ב-2017 הוכפל מספר הפרצות החדשות – והנתון יגדל גם השנה

בשנה החולפת הוכפל מספרן של הפרצות החדשות שזוהו וקוטלגו, והנתונים השנה מציבים אתגר משמעותי בפני הצוותים האחראים על ניהול האבטחה כי הם יהיו גבוהים יותר, כך על פי דו"ח מגמות הפרצות והאיומים של סקייבוקס סקיוריטי (Skybox Security).

משרדיה של חברת הגנת הסייבר הישראלית שוכנים בעמק הסיליקון ומרכז המחקר והפיתוח שלה – בהרצליה. על פי הדו"ח, פריצות בצד השרת שולטות במפת האיומים, ופרצות OT גדלו ב-120%. ניתוח מגמות מצב האיומים ב-2017, נכתב, "מעלה כי הנכסים הקשים ביותר לתיקון – הופכים ליותר ויותר פגיעים".

מגמה שנמשכת בשנים האחרונות, היא זו של האקרים שהופכים פשיעת סייבר – למכונה לעשיית כסף. חלק אינטגרלי מגישה זו הוא בחירה בדרך של העמידות הפחותה ביותר, כלומר מינוף כלי תקיפה קיימים – במקום פיתוח חדשים, שימוש באותה תקיפה על קורבנות רבים ככל הניתן, והתקפה של ה-"טרף קל".

גידול בתקיפות בצד השרת

על פי המחקר, במהלך 2017, מרבית הפריצות פגעו באפליקציות צד שרת (76%), גידול של 17% מ-2016. ד"ר רון דודזון, CTO סקייבוקס, ציין כי התמודדות עם פגיעויות בצד השרת היא תמיד קשה יותר, מכיוון שהנכסים בעלי הערך הגבוה ביותר דורשים תשומת לב רבה יותר בניהול עדכוני התוכנה.

"מרבית הנכסים בארגונים נמצאים על שרתים ולא על תחנות קצה", אמר. "ארגונים זקוקים לאמצעים כדי להבין פגיעויות צד שרת אלו בהקשר המתאים – של קריטיות הנכס, טופולוגיית הרשת ובקרות אבטחה סביבם, ופעילות האיומים בשטח. רק אז הם יכולים להחליט במדויק על תיעדוף התיקון האופטימלי והתזמון שלו".

"ערכות הפריצה לא נעלמו"

הגידול בתקיפות בצד השרת מקביל לירידה בשימוש בערכות פריצה מוכנות (Exploit Kits) המתבססות על פגיעות בתחנות קצה – אלה היוו רק רבע מהפריצות בשנה האחרונה. הדבר נגרם, בין היתר, כתוצאה מהיעלמותם של ספקי ערכות פריצה מובילים – מבלי שהופיע מחליף.

"למרות זאת, ערכות הפריצה לא נעלמו", אמרה מרינה קדרון, אנליסטית בכירה וראש קבוצת מעבדת המחקר, סקייבוקס. "עברייני הסייבר מתאימים את הטקטיקות שלהם כל הזמן. ערכת הפריצה הגדולה הבאה נמצאת בפיתוח בזמן זה. אנו גם חושדים שחלק מערכות הפריצה הפכו ל-'פרטיות', ונמצאות בשימוש בלעדי של מפתחיהן, כדי להאריך את חיוניותן".

ד"ר רון דודזון, CTO סקייבוקס. צילום: יח"צ

ב-2017 גם גברו ההופעות של דוגמאות קטעי-קוד פריצה (Exploit Code) חדשים שפורסמו ברשת: הממוצע החודשי קפץ ב-60% לעומת 2016. תוקפים יכולים להפוך קטעי קוד כאלה לכלי פריצה בתפקודיות מלאה, עם התאמות מזעריות או כלל בלא התאמות, כפי שקרה במתקפות WannaCry ו-NotPetya.

"ארגונים צריכים להזדרז, לא רק ביחס לפריצות פעילות בשטח", אמרה קדרון, "אלא גם לבצע שקלול של הפרצות אל מול קוד הפריצה שזמין לתוקפים, על מנת לבצע תיעדוף נכון. גם אם המגמה האחרונה אינה מהווה איום מוחשי כעת, המעבר לכלי פריצה פעילים יכול להתרחש במהירות רבה. צוותי אבטחה צריכים תמונת מודיעין מעודכנת כשהדבר מתרחש".

גידול מדאיג בפרצות ל-OT

על פי הדו"ח, ב-2017 חל גידול של 120% בפרצות חדשות ספציפיות לטכנולוגיה תפעולית, OT (ר"ת Operational Technology) – בהשוואה לשנה שלפניה.

OT כולל התקני ניטור ובקרה הנפוצים בארגוני תשתיות קריטיות, כגון חברות חשמל, תשתיות ויצרנים – ICS ,SCADA. זינוק זה מדאיג במיוחד, מציינים החוקרים, כי "לארגונים רבים יש שקיפות נמוכה, אם בכלל, ברשת ה-OT, בעיקר בכל הנוגע לחולשות, מאחר שסריקה פעילה אסורה, בדרך כלל, ברשתות אלו.

OT נמצא בדרך כלל באפלה – ומנהל האבטחה לא מקבל תמונה מלאה של סיכוני הסייבר בארגון. לדברי קדרון, "אפילו כשמזהים חולשות הניתנות לתיקון, מהנדסי OT מהססים, ובצדק, לגבי התקנת העדכונים, מאחר שאלה עלולים לשבש את השירות, לגרום נזק לציוד, או אפילו לסכן חיי אדם. ארגונים עם רשתות OT זקוקים לתפישה וכלים – לא רק עבור הערכה של פרצות OT ותיעדוף תיקונים – אלא גם כדי לאחד תהליכים כאלה עם תהליכים ב-IT, ולנהל סיכונים".

סקייבוקס ממליצה ליצור תכנית לניהול הטיפול בחולשות שתהיה ממוקדת באיומים, TCVM (ר"ת Threat-Centric Vulnerability Management) לצורך התאמה לשינויים אלה במפת האיומים ולאלה שיבואו בהמשך. גישת ה-TCVM מסייעת לאנשי אבטחה להתמקד בנגזרת קטנה של פרצות בעלות הסבירות הגבוה ביותר לניצול בתקיפה, על ידי ניתוח שלהם מנקודות מבט משולבות של עסקים, רשת ואיומים בשטח.