תחזית איומי הסייבר ל-2017: 11 תחזיות מרכזיות שראוי לתת עליהן את הדעת

מאת: מערכת Telecom News, 17.11.16, 13:54

התחזית השנתית נערכת ע"י צוות ניתוח ומחקר הגלובלי ומבוססת על טווח רחב של תובנות ותחומי מומחיות.

במהלך 2016 חשפה מעבדת קספרסקי מתקפת ריגול (APT) המסוגלת ליצור כלים זדוניים חדשים עבור קורבנות ספציפיים. סוג זה של התקפה חיסל את היכולת להשתמש ב"סממני פריצה" כאמצעי אמין לאיתור הדבקות . כך, עפ"י תחזית האיומים של מעבדת קספרסקי ל-2017.

התחזיות השנתיות נערכות ע"י צוות הניתוח והמחקר הגלובלי של מעבדת קספרסקי (GReAT), ומבוססות על טווח רחב של תובנות ותחומי המומחיות של חוקרי החברה.

התחזית ל-2017 כוללת, בין היתר, את השפעתם הגוברת של כלי פריצה בהתאמה אישית וכלים חד פעמיים, שימוש גובר באמצעי הטעיה להסתרת זהות תוקף, השבריריות של העולם המרושת והשימוש בהתקפות סייבר כנשק של לוחמת המידע.

שקיעתם של ה- IoC - סממני פריצה:

סממני פריצה (Indicators of Compromise - IoC) היו במשך זמן רב דרך מצוינת לזיהוי והבנת  המאפיינים של קוד זדוני מוכר, כשהם מאפשרים לצד המגן לזהות הדבקה פעילה של הקוד. איתורו של ProjectSauron APT ע"י צוות GReAT חשף תמונה שונה מזו שכבר הכרנו. ניתוח של פעילות הקבוצה חשף פלטפורמת קוד זדוני עצמאית בה כל מאפיין השתנה עבור כל קורבן בנפרד.

בכך, הפלטפורמה מייצרת IoC, שאינם מאפשרים זיהוי אמין של קורבנות נוספים, אלא אם כן הם לוו באמצעי נוסף, כגון חוקי Yara חזקים. (Yara הוא, למעשה, כלי לחשיפת קבצים או דפוסים זדוניים של פעילות חשודה במערכות או רשתות, שחולקות דמיון. כללי YARA – מחרוזות חיפוש – מסייעים לחוקרים למצוא, לקבץ  ולמיין דגימות זדוניות קשורות ולהסיק קשרים ביניהם כדי לבנות משפחות של תוכנות זדוניות ולחשוף קבוצות של התקפות).

עלייתן של הדבקות קצרות מועד:

ב-2017, צופה החברה לראות צמיחה של קוד זדוני השוכן בזיכרון (memory-resident malware),  קוד שאין לו עניין לשרוד אחרי האתחול הבא, שימחק את ההדבקה מזיכרון המכשיר. קוד זדוני כזה, שמיועד לביצוע סיור שטח מקדים ואיסוף הרשאות, מתאים להפעלה בסביבות רגישות מאוד, בהן התוקפים מעוניינים להימנע מלעורר חשד או להיחשף.

תחזיות מרכזיות נוספות לשנת 2017:

ייחוס כושל של מתקפות בשל הטעיות: בעידן שבו התקפות סייבר זוכות לתפקיד נרחב יותר ביחסים בינלאומיים, הניסיון לייחס מתקפה לגורם מסוים הופך בעיה מרכזית עבור מי שמנסים לבחור תגובה מתאימה, כגון מתקפת נגד. המאמץ לאתר את התוקפים עלול להביא לכך, שיותר עבריינים יציעו מגוון רחב יותר של נוזקות מדף, יפנו לקוד זדוני מסחרי או לכלי תקיפה מבוססי קוד פתוח, או יגבירו את  השימוש הנרחב ממילא בטקטיקות הטעיה (false flags) כדי לטשטש את עקבותיהם.

צמיחת לוחמת המידע: ב-2016 התחלנו לראות שימוש גובר בהפצת מידע, שדלף למטרות תוקפניות. סוג זה של התקפות צפוי להתגבר ב-2017. קיים סיכון כי תוקפים ינסו לנצל את המוכנות של אנשים לקבל מידע מניפולטיבי או סלקטיבי כעובדות.

חשיפה מוגברת של תשתיות לפיגועי סייבר: תשתיות חיוניות ומערכות ייצור רבות מחוברות לאינטרנט, לעיתים קרובות עם מעט מאוד או כלל ללא הגנה. הפיתוי לפגוע בהן או לשבש את פעילותן עלול למשוך תוקפי סייבר, במיוחד כאלו עם כישורים מתקדמים ובמהלך תקופות של מתיחות גיאופוליטית.

הריגול עובר למובייל: החברה צופה גידול בקמפיינים של ריגול ממוקד במובייל, כשמפעיליהם נהנים מהעובדה, שתעשיית האבטחה תתקשה להשיג גישה מלאה למערכות הפעלה ניידות לצורך ניתוח פורנזי.

מסחור של התקפות פיננסיות: החברה צופה מסחור של התקפות הדומות לפרשת SWIFT ב-2016, כשמשאבים מיוחדים מוצעים למכירה בפורומים מחתרתיים או נמכרים כשירות.

איום על מערכות תשלומים: עם התרחבות השימוש והפופולריות של מערכות תשלומים, צופה החברה גידול תואם גם בעניין, שעבריינים מגלים בהן.

לא משלמים דמי כופר: החברה צופה המשך ההתרחבות של תוכנות הכופר. עם זאת, לצד ההבנה המתגברת, שתשלום לתוקפים לא תמיד יחזיר לקורבן את המידע שאבד, יש תחזית לירידה במוכנות של קורבנות לשלם את דמי הכופר.

נטרול מוצרי IoT: על רקע התקפות ה- IoT האחרונות והעובדה, שיצרני IoT רבים עדיין ממשיכים לשווק מכשירים, שאינם מאובטחים, נחזית אפשרות, שהאקרים יקחו את העניינים לידיהם וינטרלו מכשירים רבים ככל האפשר, כדי למנוע את השתתפותם של מכשירים אלה במתקפות.

הפרסום הדיגיטלי על הכוונת: במהלך השנה הקרובה, נראה כיצד כלי מעקב ומיקוד, שנכנסים לשימוש נרחב בפרסום, משמשים כדי לנטר אקטיביסטים ומתנגדי משטר. באופן דומה, רשתות פרסום, שמספקות פרופיל מצוין של מטרות באמצעות שילוב בין IP, טביעות אצבע של דפדפן, תחומי עניין וכניסה לשירותים , תשמשנה מרגלי סייבר מתקדמים המעוניינים לפגוע במטרות מדויקות.

חואן אנדראס גוררו סאאג'ה, חוקר אבטחה בכיר, צוות מחקר ופיתוח בינלאומי: "אלו הן התפתחויות דרמטיות, אך הצד המגן לא נותר חסר אונים. אנו מאמינים, שזה הזמן לקדם אימוץ נרחב של חוקי Yara טובים. אלה יאפשרו לחוקרים לסרוק ארגונים לרוחב ולעומק, לחקור ולזהות מאפיינים של קבצים, שאינם במצב ריצה, ולסרוק את הזיכרון אחר חלקים של התקפות מוכרות. התקפות קצרות טווח מחזקות את הצורך בפתרונות מתקדמים, מתוחכמים ומקיפים, עם גישה פרואקטיבית, נגד הקוד הזדוני".
 
 
הדו"ח המלא“Kaspersky Lab Threat Predictions for 2017”  - כאן.