תוקפי סייבר המתחזים למשתמשים ארגוניים הם סיכון האבטחה הגדול ביותר
מאת:
מערכת Telecom News, 12.10.15, 19:14
מסקר איומי סייבר 2015 אצל מאות מנכ"לים וסמנכ"לים עולה, שהמתקפות המזיקות ביותר קורות כשהתוקפים גונבים הרשאות פריבילגיות ואדמיניסטרטיביות ומשיגים אותה רמת הרשאה לפעילות ברשת כפי שיש למנהלי הרשתות עצמם בארגון.
תוקפי סייבר, שמנצלים לרעה חשבונות פריבילגיים ואדמיניסטרטיביים -חשבונות בעלי הרשאות גבוהות, שמורשים לנהל ולתפעל את תשתית ה-
IT של ארגונים, משקפים את הסיכון הגדול ביותר לאבטחת הארגון, כך, עפ"י סקר שערכה חברת סייבר ארק על בסיס ראיונות עם 673 מנהלי אבטחת מידע ומנהלים בכירים בדרגת
C-level (מנכ"ל וסמנכ"ל).
61% מהנשאלים בסקר מציינים השתלטות על חשבון פריבילגי כשלב הקשה ביותר לטיפול במתקפת סייבר, לעומת 44% בשנה שעברה. כמו כן, 48% מאמינים, שפריצות למאגרי נתונים נגרמות בגלל הרגלי אבטחה לא טובים של העובדים, בעוד ש-29% מאשימים את התחכום של התוקפים.
החברה ניתחה הבדלים פוטנציאליים בין איומי סייבר מזיקים ואת רמת הביטחון העצמי של ארגונים ביכולתם להגן על עצמם. מהסקר עולה, שיש מודעות גוברת לגבי הקשר בין השתלטות על חשבונות פריבילגיים כווקטור מרכזי במתקפה, למתקפות המשמעותיות האחרונות שבוצעו.
עם זאת, ארגונים רבים עדיין מתמקדים בהגנה היקפית. יותר ממחצית העונים לסקר מאמינים, שהם יכולים לזהות מתקפה בתוך ימים, אך החברה מזהירה, שלמנהלי
IT ומנהלים רבים אחרים בארגון אין תמונה מלאה של תוכניות אבטחת המידע שלהם. אם מסתכלים מעבר לקצה הקרחון של הגנה היקפית ומתקפות
phishing, ארגונים צריכים להיות מסוגלים להגן על עצמם כנגד יותר מתקפות הרסניות המתרחשות עמוק יותר בתוך הרשת, כגון מתקפות על פרוטוקולי אימות (
NTLM, Kerberos), כדוגמת
Golden Ticket ו-
Pass-the-Hash.
בין הממצאים המרכזיים של הסקר לשנת 2015:
מעבר לפריצה לרשת – תוקפים פועלים להשתלטות טוטאלית על הרשת
כפי שהודגם במתקפות על
,Sony Pictures על הסוכנות הפדרלית האמריקאית לניהול כוח אדם (
OPM) ועוד, כאשר תוקפים גונבים חשבונות פריבילגיים, הם יכולים להשתלט על תשתית הרשת ולגנוב כמויות משמעותיות של מידע רגיש. החשבונות החזקים האלה מאפשרים לתוקפים את אותה רמת שליטה כמו למשתמשי ה-
IT החזקים ביותר בכל רשת ארגונית. ברגע שתוקף יכול להתחזות למשתמש פנימי לגיטימי, הוא מסוגל להמשיך להעלות את הרשאותיו ולהתפשט ממרכיב אחד לאחר ברשת כדי לגנוב מידע רגיש ובעל ערך.
המשיבים לסקר נשאלו איזה שלב בהתקפה הוא הקשה ביותר לטיפול:
- 61% ציינו השתלטות על חשבונות פריבילגיים כשלב הקשה ביותר
- 21% ציינו את השלב של התקנת הנוזקה.
- 12% ציינו את שלב איסוף המודיעין ע"י התוקפים.
המנהלים נשאלו אילו וקטורי תקיפה מייצגים את סיכוני האבטחה הגדולים ביותר:
- 38% ענו, שהרשאות גנובות או חשבונות אדמיניסטרטיביים הם הסיכון הגדול ביותר לאבטחת המידע.
- 27% ציינו מתקפות פישינג.
- 23% ציינו נוזקה ברשת.
ביטחון בלתי מוצדק באסטרטגיות האבטחה של החברה
הסקר חושף, שבעוד שהנשאלים מביעים אמון באסטרטגיות של המנכ"ל והדירקטוריון בחברה, הטקטיקות בהן משתמשים הארגונים סותרות לעיתים את הגישות המיטביות לאבטחה. למרות מחקר המראה, שבד"כ לוקח לארגונים בממוצע 200 ימים לגלות מתקפות ברשת הארגונית, מרבית העונים לסקר מאמינים, שהם יכולים לזהות תוקפים בתוך ימים או שעות (!!). המשיבים גם ממשיכים להאמין, שהם יכולים להרחיק את התוקפים מהרשת בכלל, למרות ראיות חוזרות ונשנות להיפך הגמור.
- 55% משוכנעים, שהם יכולים לזהות פריצה בתוך ימים; 25% סבורים, שהם יכולים לזהות פריצה בתוך שעות.
44% עדיין סבורים, שהם יכולים להרחיק את התוקפים לחלוטין מרשת, שהם רוצים לתקוף.
- 48% סבורים, שהרגלי עבודה רעים של עובדים הם הסיבה לפריצות למאגרי נתונים; 29% מאמינים, שהתוקפים פשוט מתוחכמים מדי.
- 57% מהמשיבים הרגישו ביטחון באסטרטגיות האבטחה, שנקבעו ע"י המנכ"ל או מועצת המנהלים שלהם.
ארגונים נכשלים בזיהוי סכנות מתקפה מבפנים
תוקפי סייבר ממשיכים לפתח טקטיקות כדי לכוון, לגנוב ולנצל לרעה חשבונות פריבילגיית, שמהווים את ה"מפתח" לנכסי המידע הרגישים ובעלי הערך הרב ביותר. בעוד שארגונים רבים מתמקדים באופן מיוחד על הגנה כנגד מתקפות היקפיות כמו פישינג, הרי שמתקפות, שמתחילות מתוך הארגון, הן בעלות פוטנציאל לנזק הגדול ביותר. המנהלים התבקשו לדרג את סוג המתקפות, שמדאיגות אותם במיוחד. להלן התוצאות:
- גניבת סיסמא שיעור של 72%.
- מתקפות פישינג שיעור של 70%.
- גניבת מפתחות SSH שיעור של 41%.
- מתקפות Pass-the-Hash שיעור של 36%.
- מתקפות Golden Ticket שיעור של 23%.
- מתקפות Overpass-the-Hash שיעור של 18%.
- מתקפותSilver Ticket שיעור של 12%.
Golden Ticket, Overpass–the-Hash ו-
Silver Ticket הם סוגי מתקפות
Kerberos, שיכולים לאפשר שליטה מלאה על רשת ע"י השתלטות על שרת ה-
domain controller. אחת המסוכנות ביותר היא מתקפת
Golden ticket, שמשמעותה "סוף משחק" עבור הארגון ואובדן אמון מוחלט בתשתית ה-
IT.
אנדרי דולקין, (בתמונה), מנהל חדשנות סייבר בחברת סייבר ארק "ההנחה, שהארגון יצליח להרחיק תוקפים מהרשת כבר אינה מתקבלת על הדעת. התוקפים מצליחים לחדור והמתקפות המזיקות ביותר מתרחשות כאשר התוקפים גונבים הרשאות פריבילגיות ואדמיניסטרטיביות וכך משיגים את אותה רמת הרשאה לפעילות ברשת כפי שיש למנהלי הרשתות עצמם. הארגון הופך נתון לחסדי התוקף ומניעיו, בין אם כלכליים, מניעי ריגול או גרימת נזק לארגון. הסקר מצביע על מודעות הולכת וגוברת להשלכות ההרסניות של השתלטות תוקפים על חשבונות פריבילגיים, שאנו מקווים, שתמשיך לחלחל בשוק. ארגונים מכירים בכך, שהם צריכים להרחיב את אסטרטגיות האבטחה שלהם, מעבר לניסיונות לעצור מתקפות פריצה של הגנה היקפית כמו פישינג".
את הסקר המלא ניתן להוריד –
כאן.