2022: חולשות אבטחה המשיכו להוות כר פורה למתקפות שרשרת אספקה
מה היה לנו השנה? ● האקרים שבו לתקוף מכשירים מחוברים והתקני IoT - למטרות ריגול, שיבוש פעילות או רווח כספי ● אתגרי ההורים לילדים במרחב המקוון והלא מאובטח צמחו ● חלק רביעי, ואחרון, בסיכום שנת 2022 בסייבר
חולשות אבטחה המשיכו להוות השנה כר פורה למתקפות על שרשראות האספקה, כך קבעו ב-Vedere Labs, חטיבת המחקר של פורסקאוט.
לדברי החוקרים, "השנה נחשפו עוד ועוד חולשות אבטחה. פרסמנו השנה את Access:7, קבוצת חולשות אבטחה המשפיעות על פלטפורמות IoT לניהול גישה מרחוק, הנפוצות במכשור רפואי. בסוף 2021, נחשפה חולשת האבטחה Log4shell בספריית הלוגים הפופולרית Log4j, שבה משתמשים אלפי יצרנים, וכצפוי היא הפכה לאחת החולשות העיקריות שנוצלו השנה. ועדת הביקורת לאבטחת סייבר ב-CISA, הסוכנות לאבטחת סייבר ותשתיות, הגדירה אותה 'חולשת אבטחה תחומה', משמע שהיא תמשיך ללוות את צוותי אבטחת הסייבר גם בעתיד".
לדברי רני אסנת, סמנכ"ל אסטרטגיה בכיר באקווה סקיוריטי הישראלית, "אבטחת שרשרת האספקה של התוכנה זכתה לתעדוף השנה, בייחוד לאחר גילוי החולשה ב-log4j – שהכניסה ארגונים רבים לסחרור במאמצים למצוא כיצד הם מושפעים מכך. גם הממשל הפדרלי בארה"ב הגדיר את הצעדים שעל סוכנויות פדרליות לנקוט בהם על מנת להפחית את רמת הסיכון בתחום אבטחת שרשרת האספקה של התוכנה. ה-OMB, המשרד לניהול ותקצוב בבית הלבן, פרסם תזכיר מחייב שמפרט את הדרישות לתחום. לצעדים אלה תהיינה השלכות מרחיקות לכת, לא רק על ספקי התוכנה הישירים לממשל, אלא על הספקים שלהם, והספקים של ספקי-המשנה, וכן הלאה".
אסנת ציין מגמה אחרת השנה: "המעבר לענן ממשיך לתפוס תאוצה, ועימו גדלה ועולה רמת התחכום של התקפות המתמקדות בתשתיות ענן וביישומים הרצים בענן. המעבר לשירותי הענן מבוססי קונטיינרים מצריך שינוי בפתרונות ושיטות האבטחה, ולכן קטגוריית ה-CNAPP (ר"ת Cloud Native Application Protection Platforms) צברה תאוצה אף היא. עדיין מדובר בתחום מתפתח, ההייפ סביבו הגיע לשיא עם הכרזות רבות על מוצרים, והוא הפך ממונח די עלום למונח שגור בעולמות אבטחת המידע".
עוד ציינו בפורסקאוט כי "התוקפים שבו לתקוף השנה מכשירים מחוברים והתקני IoT. השנה נצפו מתקפות מתוחכמות, יותר מאי פעם, על התקני IoT למטרות ריגול, שיבוש פעילות או רווח כספי. המתקפות מדגימות את העניין הרב שיש לתוקפים בהתקני IoT, כשמטרת התוקפים היא השגת גישה מהתקנים אלה אל הרשת ומערכות המידע (IT) בארגונים".
לדברי החוקרים, "מאפיין נוסף השנה היה תקיפות של מערכות בקרה תעשייתיות, המחוברות באופן קבוע לרשת. בחלק מהמתקפות הצליחו התוקפים להשתלט על מערכות בקרה תעשייתיות חשופות באמצעות מתקפה ישירה, או לאחר שהשיגו גישה ראשונית לרשת הארגון וממנה עברו אל מערכת הבקרה התעשייתית והשתלטו עליה. זאת ועוד, בראשונה זיהינו שתי נוזקות מתוחכמות, חדשות וייעודיות, לתקיפת מערכות בקרה תעשייתיות: Industroyer2 ו-INCONTROLLER. אלו ניצלו חולשות אבטחה בשל תכנון לקוי (Insecure by design) המאפיינות מערכות בקרה תעשייתיות".
בעיית ההורים: החיים הסודיים של הילדים ברשת
ולסיום, היבט אבטחה שלמרות שאינו ארגוני הוא נוגע לרבים מאיתנו, כהורים. מחקר של מק'אפי (McAfee), שנערך באחרונה, העלה שכמעט כל ההורים ברחבי העולם מכירים בתפקידם כ-מגן המקוון של ילדיהם – אך חשף פער בין הכוונה למאמץ.
לפי המחקר, "הורים נוקטים באמצעי זהירות נוספים, כגון התקנת תוכנת אנטי-וירוס, שימוש בהגנה באמצעות סיסמה, או רכישות אונליין רק בחנויות מקוונות מכובדות – במכשירים שלהם יותר מאשר במכשירים של ילדיהם. לדוגמה, בעוד ש-56% מההורים אמרו שהם מגינים על הטלפון החכם שלהם באמצעות סיסמה או קוד גישה, רק 42% אמרו שהם עושים את אותו הדבר עבור הסמארטפון של ילדיהם".
"השימוש באינטרנט למבוגרים מתחיל מוקדם, וכך גם הסיכונים שניתן לעקוב אחריהם", ציינו החוקרים. לדבריהם, "בגילאי 15-16, השימוש של בני נוער במובייל קפץ משמעותית והתקרב לרמות של המבוגרים. ילדים רוצים להרגיש בטוחים באינטרנט, ו-73% מהם פונים להורים לעזרה באבטחה מקוונת. בגיל 17-18, הדיווחים על בריונות ברשת עלו ל-18%, ניסיונות גניבה של חשבון מקוון עמדו על 16% ושימוש לא מורשה בנתונים אישיים הגיע ל-14%".
"ילדים ובני נוער רוצים פרטיות והגנה בזמן שהם בונים את חייהם המחוברים", ציינו החוקרים. "מניקוי היסטוריית הדפדפן ועד השמטת פרטים על מה שהם עושים באינטרנט, יותר ממחצית מהילדים (59%) פועלים כדי להסתיר את הפעילות המקוונת שלהם".
תת-תחום נוסף בנושא ההגנה על בני הדור הצעיר הוא ההטיה המגדרית: הורים רואים בנים ובנות בצורה שונה בכל הנוגע להגנה עליהם באינטרנט. "ההטיה המגדרית היא נתון הנראה לעין, וממנה עולה שבנות מוגנות יותר מבנים, ובכל זאת – הבנים הם שנתקלים ביותר בעיות באינטרנט".
לחלקו הראשון של סיכום השנה בסייבר – לחצו כאן.
לחלקו השני של הסיכום – לחצו כאן.
לחלקו השלישי של הסיכום – לחצו כאן.
תגובות
(0)