פריצות בצד השרת שולטות במפת האיומים ופרצות OT גדלו ב-2017 ב-120%
מאת:
מערכת Telecom News, 7.2.18, 18:26
דו"ח מגמות פרצות ואיומים ב-2017 מראה, שנכסים הקשים ביותר לתיקון הופכים ליותר ויותר פגיעים. הדו"ח נועד לסייע לארגונים לתאם את אסטרטגיית האבטחה שלהם מול תמונת האיומים בשטח.
סקייבוקס סקיוריטי (Skybox Security) העוסקת בניהול אבטחת סייבר ושמרכז המחקר והפיתוח שלה שוכן בהרצליה, הכריזה היום על פרסום דו"ח
מגמות בפרצות ואיומים הראשון שלה, שמנתח פגיעויות, פריצות ואיומים שנצפו ב-2017. הדוח, שנערך ע"י צוות אנליסטים וחוקרים במעבדת המחקר של סקייבוקס, נועד לסייע לארגונים לתאם את אסטרטגיית האבטחה שלהם מול תמונת האיומים בשטח.
מגמה, שנצפתה במשך השנים האחרונות, היא זו של גורמי איום ההופכים פשיעת סייבר למכונה לעשיית כסף. חלק אינטגרלי של גישה זו הוא בחירה בדרך של העמידות הפחותה ביותר. כלומר, מינוף כלי תקיפה קיימים במקום פיתוחם של חדשים, שימוש באותה תקיפה על קורבנות רבים ככל הניתן והתקפה של ה"טרף קל". ממצאי הדו"ח מטילים אור על כיצד השתנו מטרות אלו כדי לכלול את הנכסים, שבדרך כלל קשה יותר לעדכן אותם.
במהלך 2017, מרבית הפריצות פגעו באפליקציות צד שרת (76%), גידול של 17% מאז 2016.
ד"ר
רון דודזון, (בתמונה למעלה), סמנכ"ל הטכנולוגיות
(CTO) של סקייבוקס: "התמודדות עם פגיעויות בצד השרת היא תמיד קשה יותר, מכיוון שהנכסים בעלי הערך הגבוה ביותר דורשים תשומת לב רבה יותר בניהול עדכוני התוכנה. מאחר שמרבית הנכסים בארגונים נמצאים על שרתים ולאו דווקא על תחנות קצה, ארגונים זקוקים לאמצעים כדי להבין פגיעויות צד שרת אלה בהקשר המתאים של קריטיות הנכס, טופולוגיית הרשת ובקרות אבטחה סביבם, ופעילות האיומים בשטח. רק אז הם יכולים להחליט במדויק על תיעדוף התיקון האופטימלי והתזמון שלו".
הגידול בתקיפות בצד השרת מקביל לירידה בשימוש בערכות פריצה
Exploit Kits המתבססות על פגיעות בתחנות קצה. אלו מהוות כיום רק רבע מהפריצות, שאותרו בשטח בשנה האחרונה. הדבר נגרם, בין היתר, כתוצאה מהיעלמותם של ספקי ערכות פריצה מובילים, כגון
Angler,
Neutrino ו-
Nuclear, מבלי שיופיע יורש ראוי, שיחליף אותם.
מרינה קדרון, אנליסטית אבטחת-מידע בכירה וראש הקבוצה של מעבדת המחקר של סקייבוקס: "למרות זאת, אין זה אומר שערכות הפריצה נעלמו. אם יש דבר אחד, שאנו יודעים אודות עברייני הסייבר, הוא שהם מתאימים את הטקטיקות שלהם כל הזמן. כך, שסביר להניח, שערכת הפריצה הגדולה הבאה נמצאת בפיתוח בעוד אנו מדברים. אנו גם חושדים, שחלק מערכות הפריצה 'הפכו לפרטיות' ונמצאות בשימוש בלעדי של מפתחיהן בתקווה להאריך את חיוניותן".
ב-2017 גם גברו ההופעות של דוגמאות קטעי-קוד פריצה (
Exploit Code) חדשים, שפורסמו ברשת, כשהממוצע החודשי קפץ ב-60% לעומת השנה שעברה. תוקפים יכולים להפוך קטעי קוד כאלה לכלי פריצה בתפקודיות מלאה, עם התאמות מזעריות או כלל ללא התאמות. תרחיש זה התקיים עם כלי הפריצה
,EternalBlue שפותח במקור ע"י ה-
NSA ודלף באמצעות
Shadow Brokers, ושימש בין היתר בהתקפות
WannaCry ו-
NotPetya. דליפות אלו מביאות כלי תקיפה מתקדמים לידיהם של תוקפי סייבר בעלי מיומנות נמוכה, ומשפרות את יכולות התקיפה שלהם.
קדרון: "ארגונים צריכים להזדרז לא רק ביחס לפריצות פעילות בשטח אלא גם לבצע שקלול של הפרצות מול קוד הפריצה, שזמין לתוקפים, כדי לבצע תיעדוף נכון. גם אם המגמה האחרונה אינה מהווה איום מוחשי כעת, המעבר לכלי פריצה פעילים יכול להתרחש במהירות רבה. צוותי אבטחה צריכים תמונת-מודיעין מעודכנת לצדם כאשר הדבר מתרחש".
הדו"ח גם מראה, שב-2017 חל גידול של 120% בפרצות חדשות ספציפיות לטכנולוגיה תפעולית (
OT - Operational Technology) בהשוואה לשנה הקודמת (
OT כולל התקני ניטור ובקרה הנפוצים בארגוני תשתיות קריטיות כגון חברות חשמל, תשתיות ויצרנים
- ICS,
SCADA). זינוק זה מדאיג במיוחד מאחר שלארגונים רבים יש שקיפות נמוכה, אם בכלל, לתוך רשת ה-
OT, בעיקר בכל הנוגע לחולשות, מאחר שסריקה פעילה אסורה בד"כ ברשתות אלה.
קדרון: "
OT נמצא בדרך כלל באפלה, והמשמעות היא, שמנהל האבטחה לא מקבל תמונה מלאה של סיכוני הסייבר בארגון. אפילו כאשר מזהים חולשות הניתנות לתיקון, מהנדסי
OT מהססים, ובצדק, לגבי התקנת העדכונים, מאחר שאלה עלולים לשבש את השירות, לגרום נזק לציוד, או אפילו לסכן חיי אדם. ארגונים עם רשתות
OT זקוקים לתפישה וכלים לא רק עבור הערכה של פרצות
OT ותיעדוף תיקונים, אלא גם כדי לאחד תהליכים כאלה עם תהליכים ברשת ה-
IT, כדי להבין לעומק ולנהל סיכונים".
בס"ה הוכפל ב-2017 מספרן של הפרצות החדשות, שקוטלגו בבסיס הנתונים הלאומי לפרצות (
NVD) של
MITRE. הקפיצה חלה בעיקר כתוצאה משיפורים ארגוניים ב-
MITRE ומחקר אבטחה מוגבר מצד ספקים וגופים חיצוניים, כולל תכניות מתגמלות לגילוי באגים (
Bug Bounty programs). התוצאה היא קרוב ל-15,000
CVEs (חולשות ופרצות נפוצות) חדשות, שהתגלו ופורסמו. תהיה הסיבה אשר תהיה, נתונים אלה מציבים אתגר משמעותי בפני הצוותים האחראים על ניהול האבטחה.
דודזון: "אם ב-2017 עדיין הסתמכו על שיטות תיעדוף מסורתיות, כגון שיטות לדירוג פרצות נפוצות
(CVSS), הרי הרשימה רק הלכה והתארכה. ב-2018 אנו צפויים לראות מספרים גבוהים אף יותר. ארגונים חייבים לנקוט בגישה שונה לחלוטין לניהול הטיפול בחולשות".
החברה ממליצה ליצור תכנית לניהול הטיפול בחולשות, שתהיה ממוקדת באיומים
TCVM -
Threat-Centric Vulnerability Management לצורך התאמה לשינויים אלה במפת האיומים ולאלה, שיבואו בהמשך. גישת ה-
TCVM מסייעת לאנשי אבטחה להתמקד בנגזרת קטנה של פרצות בעלות הסבירות הגבוה ביותר לניצול בתקיפה, ע"י ניתוח שלהם מנקודות מבט משולבות של עסקים, רשת ואיומים בשטח.