מחקר: משך הזמן הממוצע לגילוי נוזקה – 150 ימים

חומרת האיומים גוברת בעידן האינטרנט של הדברים – במיוחד לנוכח משך הזמן הארוך, 100-200 ימים בממוצע, לגילוי נוזקות. הדברים עולים מדו"ח האבטחה החצי שנתי של סיסקו (Cisco).

על פי הדו"ח, "יש צורך דחוף בקיצור הזמן הנדרש לאבחון איומים חדשים, באופן שיאפשר התמודדות עם מתקפות מתוחכמות המגיעות מכיוונם של פורצי מחשבים מיומנים".

החוקרים מצביעים על סיכונים חדשים הקשורים לשימוש בקבצי פלאש (Flash) של אדובי (Adobe). כך, נכתב, חלה עליה במספר מקרי ניצול נקודות התורפה בסביבת פלאש, בעזרת ערכות הפריצה Angler ו-Nuclear. זאת, בשל היעדר מנגנון להתקנה אוטומטית של טלאי אבטחה בסביבת פלאש, ונטייתם של משתמשים להימנע מעדכונים מיידיים. במחצית הראשונה של 2015 נרשמה עלייה של 66% בדיווחים על ניצול פרצות בסביבת פלאש בהשוואה לכל שנת 2014. אם יימשך הקצב הזה, מתריעים החוקרים, "התוכנות הזדוניות בסביבת פלאש צפויות לשבור השנה את שיא כל הזמנים בדיווחי האבטחה, בכל סביבה שהיא".

על פי הדו"ח, ערכת הפריצה Angler היא "אחד הכלים המתוחכמים ביותר, הזוכה לשימוש נרחב במיוחד, בשל הניצול היצירתי אותו היא עושה בנקודות התורפה של טכנולוגיות פלאש, ג'אווה (Java), דפדפן אקספלורר (Explorer) וכלי Silverlight". הכלי מציע יכולות משופרות להסתרת אתר המקור לפריצה, Domain shadowing – ואחראי כיום לרוב הפעילות בתחום הזה.

השימוש בקוד זדוני, הכולל דרישה לתשלום דמי כופר (ransomware), זוכה לגרסאות חדשות – כך על פי הדו"ח. הפעילות הפלילית הזאת הגיעה לרמת בשלות, המאפשרת עבודה אוטומטית מלאה, באמצעות הדארקנט. על מנת להסתיר את הפעילות הפלילית מרשויות אכיפת החוק, מתבצע התשלום באמצעות מטבעות וירטואליים מוצפנים, דוגמת ביטקוין (Bitcoin).

מתקפות Dridex, נכתב, "נשענות על הבנה מעמיקה בכל הנוגע להתחמקות מאמצעי אבטחה. כחלק מטקטיקת החדירה שלהם, מקפידים הפורצים לשנות במהירות את תוכן הודעות הדואר האלקטרוני הנגועות אשר באמצעותן מופץ הווירוס, הקבצים המצורפים, וקוד הווירוס עצמו. כך, הם מכבידים על תוכנות אנטי-וירוס מסורתיות לזהות את הפריצה".

"המסגרות הגלובליות להגנת סייבר אינן ערוכות להתמודד עם זירת האיומים ההולכת ומתהווה – או עם האתגרים הגיאו-פוליטיים המאפיינים את עולם הסייבר", מציינים החוקרים. "שאלת הגבולות, האופן בו נאספים נתונים אודות אזרחים וארגונים, ומשותפים בין רשויות ותחומי סמכות חוקית, בתוך מדינות ובין מדינות – מהווה מכשול בפני הקמת מערך הגנת סייבר הנדרש על מנת להבטיח חדשנות עסקית וצמיחה כלכלית ברמה הגלובאלית".

לדברי ליאור דולפין, מנהל תחום פעילות סייבר ואבטחת מידע, סיסקו ישראל, "חשוב לשנות את הפרדיגמה של כיצד להגן על הארגון – ולעבור לגישה שבה ארגונים מתנהלים מתוך נקודת מוצא שהם כבר נפרצו, ובשל כך, יש ליישם כלים של Malware Hunting".