דו"ח מגמות האיומים וחולשות האבטחה: זינוק בתוכנות כופרה חדשות ב-2021
מאת:
מערכת Telecom News, 13.4.22, 11:23
תוקפים מנצלים את החולשות מהר יותר. צומצם משמעותית חלון ההזדמנות, שיש לארגונים כדי לתקן נקודות תורפה לפני שייפלו קרבן למתקפה. התשתיות הקריטיות על הכוונת. הוכפל מספר חולשות האבטחה ב-OT וחלה צמיחה שוברת שיאים בחולשות אבטחה חדשות ובמספר חולשות האבטחה המדווחות - הרב ביותר שדווח אי פעם בשנה אחת.
צוות האנליסטים הישראלי
במעבדת המחקר של סקייבוקס סקיוריטי (Skybox Security), חברת סייבר ישראלית-גלובלית המפתחת פלטפורמה לניהול האבטחה ברשתות ארגוניות, חושף, שב-2021 חלה עלייה של 42% בתוכנות כופרה חדשות, שניצלו חולשות אבטחה ידועות. החברה פרסמה היום את
דו"ח מגמות האיומים וחולשות האבטחה השנתי שלה ל-2022, שחושף באיזו מהירות פושעי סייבר מנצלים חולשות אבטחה חדשות, ובכך מצמצמים את חלון ההזדמנות, שיש לארגונים כדי לתקן נקודות תורפה לפני שייפלו קרבן למתקפה.
צמיחה שוברת שיאים בחולשות אבטחה חדשות
על פי מעבדת המחקר של החברה, 2021 הייתה שנת שיא עם 20,175 חולשות אבטחה חדשות - המספר הרב ביותר שדווח אי פעם בשנה אחת. אולם, זה רק קצה הקרחון, מפני שמספר חולשות האבטחה, שפורסמו בעשר השנים האחרונות הגיע ב-2021 ל-166,938 - עלייה של פי 3 במספר החולשות תוך עשור.
נקודות התורפה המצטברות הללו, שנערמות שנה אחר שנה, מהוות סיכון מצטבר עצום, כפי שסוכנות אבטחת הסייבר והתשתיות של ארה"ב (CISA) מציינת ברשימת החולשות המנוצלות ביותר שפרסמה - תוקפי סייבר מנצלים באופן קבוע נקודות תורפה, שנחשפו גם בשנים קודמות.
תוך שנה בלבד: חולשות האבטחה ב-OT כמעט הכפילו את עצמן
מספר חולשות האבטחה ב-
OT (טכנולוגיות תפעול תעשייתיות) זינקו ב-88% על פי
CISA, מה שהגביר את החשיפה של תשתיות קריטיות ומערכות חיוניות לפרצות אבטחה שעלולות להיות הרסניות. מערכות OT תומכות בתשתיות ובמתקני אנרגיה, מים, תחבורה, מערכות בקרה סביבתיות וציוד חיוני אחר. התקפות על נכסים חיוניים אלה עלולות לגרום נזק כלכלי חמור ואף לסכן את בריאות הציבור ובטיחותו.
ככל שרשתות OT ו-IT מתכנסות ומתחברות אחת לשנייה, כך תוקפי סייבר מנסים יותר ויותר לנצל חולשות אבטחה בסביבה אחת כדי להגיע דרכה לסביבה האחרת. התקפות רבות על מערכות
OT מתחילות מפריצה ל-IT ובמידה דומה, פושעי סייבר עלולים להשתמש במערכות OT כנקודת פריצה, שממנה הם מתקדמים לרשתות IT. שם הם יכולים להחדיר תוכנה זדונית, לגנוב נתונים, להפעיל מתקפת כופרה או כל תרחיש תקיפה אחר. כיום יותר מתמיד, תוכנות זדוניות יכולות לנצל חולשות לפגיעה במערכות IT ו-OT כאחד.
זינוק של 24% בניצול חולשות לתקיפות סייבר פעילות
תוקפי סייבר לא בזבזו זמן בבואם לנצל חולשות שהתגלו ב-2021. 168 חולשות אבטחה חדשות, שפורסמו ב-2021, נוצלו באופן מידי לתקיפה בתוך פחות מ-12 חודשים - 24% יותר מאשר ב-2020. במילים אחרות, שחקני איום ומפתחי תוכנות זדוניות משתפרים בהפיכת נקודות התורפה האחרונות לכלי תקיפה.
מגמה זו מעמידה את צוותי האבטחה בבעיה, מפני שהיא מקצרת את הזמן בין הגילוי הראשוני של חולשות אבטחה להופעת כלי תקיפה חדשים המנצלים אותן. כתוצאה מצמצום חלון ההזדמנות הזה, גישות פרואקטיביות לניהול חולשות אבטחה חיוניות יותר מאי פעם.
עלייה של 75% בתוכנות זדוניות חדשות לכריית מטבעות קריפטו
נוזקות קריפטו חדשות המנצלות חולשות אבטחה ידועות גדלו ב-2021 ב-75% בהשוואה לשנה הקודמת, יחד עם עלייה של 42% במספר תוכנות הכופר. שני הנתונים הללו ממחישים כיצד תעשיית התוכנות הזדוניות משתפרת במינוף הזדמנויות עסקיות חדשות, כשהיא מספקת מגוון כלים ושירותים לתוקפי סייבר מנוסים וגם לפושעים חסרי ניסיון.
פושעי סייבר מתמקדים בהזדמנויות להשגת כסף קל. חבילות המציעות נוזקה כשירות
(malware-as-a-service) מנצלות את החולשות הנפוצות ביותר, וב-2021 המספר הגדול ביותר של תוכניות זדוניות התמקד ב-Log4Shell, בחולשות ב-
Microsoft Exchange Server ובחולשה, שנחשפה ב-
Pulse Connect Server.
חיזוי ומניעת התקפות סייבר באמצעות מדע הנתונים
על פי חברת
Forrester Research, השאלה, שמפחידה מנהלי אבטחת מידע יותר מכל, היא שהממונים עליהם ישאלו: 'האם אנו בטוחים?'. חברי דירקטוריונים שואלים את השאלה הזו כדי להיות בטוחים, שמנהלי האבטחה שלהם משקיעים מספיק בתחומים הנכונים, כדי לעמוד ברף הספיגה של הארגון להפסד כספי אפשרי כתוצאה מאירועי סייבר. אולם, במשך זמן רב סמנכ"לי אבטחת מידע התקשו לענות על שאלה זו, מפני שניסו להסתמך על גישות איכותניות כמו מנגנוני ניקוד סידוריים ומפות חום, שהתבססו על מומחים וחוות דעת סובייקטיביות.
כדי לגבש ביניהם שפה משותפת, צוותי אבטחה זקוקים למערכת אובייקטיבית, שמסוגלת למדוד את הסיכון הממשי שכל חולשת אבטחה עלולה לגרום לארגונם. זה דורש שימוש במערכת ניקוד מתוחכמת, שמאפשרת לדרג ולתעדף את הצעדים הדרושים ולהקצות את משאבי האבטחה של הארגון להיכן שהם נחוצים ביותר. התוצאה המתקבלת היא יכולת להעניק ציונים מדויקים לדירוג הסיכון הנשקף לנכסים שונים, על בסיס 4 משתנים קריטיים:
- ציון רמת החומרה של החולשה לפי CVSS,
- רמת הסבירות לניצול החולשה,
- רמת חשיפה המבוססת על תצורות ובקרי אבטחה בארגון,
- חשיבות הנכס לארגון.
רן אברמסון, אנליסט במעבדת המחקר של סקייבוקס סקיוריטי: "ההיקף העצום של הסיכונים המצטברים - מאות אלפים ואף מיליוני נקודות תורפה וחולשות בתוך ארגונים, מלמד, שלא ניתן באמת לתקן את כולם. כדי למנוע אירועי אבטחת סייבר חמורים, יש לתעדף את חולשות האבטחה הגלויות העלולות להסב את הנזק ברב ביותר לארגון. לאחר מכן יש לבצע מהלכים מניעתיים כמו שינויי תצורה או פילוח רשת, כדי להפחית את הסיכון עוד לפני שמתקינים עדכוני אבטחה, ובטח במקרים בהם עדכוני אבטחה אינם זמינים עדיין.
למרות שניתוח חשיפה לאיומים הוא בעל חשיבות עליונה, הוא עדיין לא קיים בגישות קונבנציונליות לדירוג סיכונים. ניתוח חשיפה מזהה עבור הארגון חולשות אבטחה הניתנות לניצול, ומצליב זאת עם תצורות הרשת ואמצעי האבטחה הייחודיים של הארגון כדי לקבוע אם המערכת חשופה למתקפת סייבר אפשרית".