תחזית: יש להתכונן לנחיל של התקפות סייבר הרסניות ובעלות יכולת למידה עצמית
מאת: מערכת Telecom News, 5.12.17, 14:31

כלכלת פשיעת הסייבר מאמצת את השימוש בבינה מלאכותית ואוטומציה כדי לדרוש כופר משירותים מסחריים ולתקוף כמויות אדירות של התקני IoT ותשתיות קריטיות. תחזית איומי הסייבר של פורטינט ל-2018 על עלייתם של כוורות ונחילים.
 
פורטינט העוסקת בפתרונות אבטחת סייבר בעלי ביצועים גבוהים, חשפה את ממצאי דו"ח מפת האיומים של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה, ל- 2018. להלן ממצאי המחקר העיקריים:

שימוש בטרנספורמציה דיגיטלית – לטוב ולרע
במהלך השנים הקרובות נראה, שמרחבי התקיפה ימשיכו להתרחב, כאשר במקביל היכולת שלנו לאתר את המתקפות ולשלוט על תשתיות תקטן. השגשוג המהיר של מכשירים מקוונים בעלי גישה למידע אישי ופיננסי והקישורית הגוברת שלהם, החל מצבאות של התקני IoT ותשתית קריטית במכוניות, בבתים, במשרדים ועד לעלייתן של ערים חכמות, יצרו הזדמנויות חדשות עבור פושעי סייבר וגורמים עוינים נוספים.

שוק פושעי הסייבר רכש מיומנות באימוץ הטכנולוגיות האחרונות בתחומים כמו בינה מלאכותית כדי ליצור התקפות יעילות יותר. אנו צופים, שמגמה זו תגבר אף יותר ב-2018 ותאפשר את היווצרותן של מגמות הרסניות נוספות, כגון:  

עלייתן של כוורות ונחילים בעלי יכולת למידה עצמית: בהתבסס על התקפות מתוחכמות כמו Hajime, Devil's Ivy ו-Reaper, אנו צופים, שפושעי הסייבר יחליפו את הבוטנטים במקבצים חדשים של מכשירים, שנפגעו בשם Hivenets (כוורות) כדי ליצור וקטורי תקיפה יעילים. הכוורות ימנפו את יכולות הלמידה העצמית כדי להתמקד ביעילות במערכות פגיעות בקנה מידה חסר תקדים. הכוורות תהיינה מסוגלות לתקשר ביניהן ולפעול בהסתמך על מודיעין מקומי משותף.

בנוסף, ה"זומבים" יהפכו לחכמים ויפעלו לפי הוראות ללא צורך בבוטנט, שידריך אותם. כתוצאה מכך, הכוורות תהיינה מסוגלות לגדול כנחילים ותרחבנה את היכולת שלהן לתקוף בו-זמנית קורבנות רבים ולסכל בצורה משמעותית את התגובה.

אומנם התקפות אלו עדיין לא משתמשות בטכנולוגיית הנחילים, אך טביעת הרגל הקיימת בקוד שלהן תאפשר לפושעים להמיר אותן, כך, שתפגנה התנהגות של למידה עצמית. הפושעים ישתמשו בנחילים של התקנים שנפגעו, בקצב וקנה מידה עצום, במקומות בהם קצב ההתפתחות שלהן לא יאפשר את יכולת החיזוי הדרושה כדי להיאבק בהתקפה. מעבדות FortiGuard זיהו 2.9 מיליארד ניסיונות תקשורת בין בוטנטים ברבעון אחד בלבד, מוקדם יותר השנה. מספר זה מספק קנה מידה אודות הנזק העלול להיגרם ע"י הכוורות והנחילים.

כופר של שירותים מסחריים הוא עניין רציני: רק בשנה האחרונה שיעור האיומים של תוכנות כופר גדל פי 35 עם תולעי כופר וסוגי התקפות אחרים, אך הסוף עוד רחוק מלהגיע. קיימת סבירות גבוהה, שהיעד הגדול הבא של תוכנות הכופר יהיו ספקי שירותי ענן ושירותים מסחריים אחרים, כאשר המטרה היא ליצור עבורם זרם של הכנסות.

הרשתות המורכבות וההיפר-מקושרות, שאשר פותחו ע"י ספקי ענן, יכולות להפיק לפושעי הסייבר נקודת כשל אחת המספקת גישה למאות עסקים, ישויות ממשלתיות, תשתיות קריטיות וארגוני בריאות. אנו צופים, שפושעי הסייבר יתחילו לשלב טכנולוגיות של בינה מלאכותית יחד עם שיטות תקיפה בעלות וקטורים רבים כדי לסרוק, לאתר ולנצל חולשות של ספקי הענן. ההשפעה של התקפות מסוג זה יכולה ליצור הכנסות עצומות עבור ארגוני פשע ולשבש את השירות עבור מאות אלפי עסקים ועשרות אלפי או מיליוני לקוחות.

תוכנות זדוניות מורפיות של הדור הבא: בקרוב נתחיל לראות תוכנות זדוניות, שתיוצרנה לחלוטין ע"י מכונות, ומתמחות באיתור נקודות תורפה אוטומטי וניתוח נתונים מורכב. תוכנות זדוניות רב-צורתיות (פולימורפיות) הן לא חדשות, אך הן הולכות לקבל זווית חדשה ע"י מינוף בינה מלאכותית כדי ליצור קוד חדש ומתוחכם, שיכול לחמוק מאיתור באמצעות רוטינות הנכתבות ע"י מכונה.

עם ההתפתחות הטבעית של כלים קיימים, פושעים יהיו מסוגלים לפתח את הפרצות הטובות ביותר המבוססות על המאפיינים הייחודיים של כל נקודת תורפה. כבר היום התוכנות הזדוניות מסוגלות להשתמש במודלים של למידה כדי לחמוק מאבטחה והן יכולות להפיק מעל למיליון גרסאות של וירוסים ביום. עד כה, הדבר היה מבוסס רק על אלגוריתם, ללא תחכום ושליטה רבים על התפוקה.

מעבדות FortiGuard תיעדו 62 מיליון גילויים של תוכנות זדוניות במהלך רבעון אחד ב-2017. מתוך מיליוני התוכנות הזדוניות שאותרו, 16,582 גרסאות מתוכן הגיעו מ-2,534 משפחות שונות. כמו כן, 1 מתוך 5 ארגונים דיווח, שהתוכנות הזדוניות התמקדו בהתקנים ניידים. האוטומציה המוגברת של תוכנות זדוניות תהפוך את המצב הזה לדחוף יותר בשנה הקרובה.

התשתית הקריטית עוברת לחזית: ספקי תשתית קריטית ממשיכים להיות המוקד העיקרי לדאגה הנובעת מאיומים אסטרטגיים וכלכליים, היות והם מפעילים רשתות בעלות ערך גבוה המגינות על שירותים ומידע חיוניים. מרבית התשתית הקריטית ורשתות טכנולוגיה תפעולית ידועות כבעלות סיכוי גבוה להיפגע, היות והן תוכננו במקור להיות מבודדות ומרווחות.

הציפייה לתגובה לדרישות העובדים והלקוחות בקצב מהיר התחילה לשנות את הדרישות של הרשתות הללו וכתוצאה מכך, מניעה את הצורך באבטחה מתקדמת לרשתות אלו. כיום, ספקי תשתיות קריטיות מוצאים את עצמם במרוץ חימוש כנגד ארגונים לאומיים, ארגוני פשע וארגוני טרור עקב החשש מפגיעה ברשתות אלו והתוצאות ההרסניות שיבואו לאחר מכן. הנועזות של הפושעים והתכנסות טכנולוגיית המידע והטכנולוגיה התפעולית הפכו את אבטחת הרשתות הקריטיות לעדיפות עליונה ב-2018 והלאה.

הרשת האפלה וכלכלת פשיעת הסייבר מציעות שירותים חדשים המשתמשים באוטומציה: עולם פשיעת הסייבר מתפתח וכך גם הרשת האפלה (darkweb). ארגוני הפשע-כשירות (Crime-as-a-Service) משתמשים בטכנולוגיית אוטומציה חדשה ואנו צופים לראות שירותים חדשים להאקרים, שיוצעו ברשת האפלה.

כבר היום אנו רואים הצעות של שירותים מתקדמים הממנפים יכולת למידת מכונה בשוק של הרשת האפלה, כמו שירות ה-FUD (Fully Undetected). שירות זה מאפשר למפתחים בשירות פושעי הסייבר להעלות קוד תקיפה ותוכנות זדוניות לשירות ניתוח תמורת תשלום. לאחר מכן, הפושעים מקבלים דו"ח האומר להם האם כלי אבטחה של ספקים שונים מסוגלים לאתר אותו.

בעתיד הקרוב נוכל לראות שימוש רב יותר בלמידת מכונה במטרה להתאים קוד בצורה היעילה ביותר ולהפוך את פשיעת הסייבר וכלי החדירה לקשים יותר לאיתור. כלי ה-Sandbox העושים שימוש בלמידת מכונה מאפשרים לנו לזהות במהירות איומים, שלא נראו קודם, וליצור הגנות באופן דינמי. גישה זו יכולה להיות אוטומטית ולשמש גם את הצד של פושעי הסייבר למיפוי רשתות, מציאת יעדי תקיפה, קביעת נקודות החולשה של המטרות הללו או הכנת תכנית כדי לבצע מבדק חדירה וירטואלית, בנייה והשקת התקפה מותאמת אישית.

אלי פרנס, (בתמונה), סגן נשיא לאזור ישראל, יוון, קפריסין ומזרח אירופה בפורטינט: "מדובר בהזדמנות עבור פושעי סייבר בעלי יוזמה, שמתאפשרת בעקבות התקדמות באוטומציה ובינה מלאכותית, להשתמש בכלים הנכונים כדי לפגוע בחומרה בכלכלה הדיגיטלית שלנו. פתרונות אבטחה צריכים להיות בנויים סביב טכנולוגיות אבטחה משולבות, מודיעין איומים המניע לפעולה ומארגי אבטחה הניתנים להתאמה בצורה דינמית. אבטחה צריכה לפעול בקצב המותאם לעולם הדיגיטלי על ידי תגובות אוטומטיות, יישום מודיעין ולמידה עצמית. כך, שרשתות תהיינה מסוגלות לקבל החלטות יעילות ואוטונומיות.

הדבר לא רק ירחיב את הנראות והשליטה המרכזית, אלא גם יאפשר חלוקה אסטרטגית כדי להניע את האבטחה לעומק תשתית הרשת כדי לזהות, לבודד ולתקן במהירות מכשירים, שחוו פגיעה ולסכל התקפות, אפילו על פני אקו-סיסטם של רשתות שונות, החל ממכשירי נקודת קצה ומשאבים של רשתות מקומיות ועד לענן. בנוסף, היגיינת אבטחה צריכה להפוך לחלק מפרוטוקולי אבטחה בסיסיים. זהו דבר, שמוזנח לעיתים קרובות מידי, אך הוא חיוני ונועד כדי להגביל את ההשלכות השליליות שאנו רוצים להימנע מהן".

דרק מנקי, אסטרטג אבטחה גלובלי בפורטינט: "הכלכלה הדיגיטלית מונעת ע"י חדשנות טכנולוגית היוצרת הזדמנויות לטוב ולרע בתחום אבטחת הסייבר. השגשוג המהיר של התקנים מקוונים וההיפר-קישוריות יצרו מגרש משחקים עבור הפושעים, שנהיה קשה יותר לאבטח. בו-בזמן, הפושעים ממנפים אוטומציה ובינה מלאכותית בקצב ובקנה מידה בלתי נתפשים על פני שטח תקיפה המתרחב ללא הרף.
התקפות כמו WannaCry ו-NotPetya מעידות על השיבושים המסיביים וההשפעות הכלכליות האפשריות בעתיד הקרוב, שנובעים מדרישות כופר והפרעה לפעילות של שירותים מסחריים או קניין רוחני. גישות אבטחה מבוססות מארג הממנפות את כוחן של האוטומציה, האינטגרציה וחלוקה אסטרטגית הן קריטיות כדי להיאבק בהתקפות האינטליגנטיות המצפות לנו בעתיד הקרוב".

מידע נוסף אודות תחזית איומי הסייבר ל-2018 - כאן.