חיפוש

מגמות באבטחת סייבר ל-2022: שורשי החדשנות של התוקפים

התוקפים ממשיכים לשכלל את שיטות העבודה שלהם כדי לפעול באופן חכם ומהיר יותר, תוך הרחבת המתקפות עמוק לתוך שרשראות האספקה במטרה לגרום נזק גדול יותר. מה יהיה אופיין של אותן מתקפות ומה יכולים המתגוננים לעשות?

שיתוף בוואטסאפ

הדפסת כתבה זמינה למנויים בלבד

ללא פרסומות ותמונות, ובהגשה נוחה להדפסה

לרכישת מינוי
shutterstock
shutterstock
צילום: shutterstockתוכן שיווקי
לביא לזרוביץ, בשיתוף סייברארק
תוכן שיווקי

"הקבוע היחיד הוא השינוי", כך אמר הפילוסוף היווני הרקליטוס לפני אלפי שנים, וזה נשמע נכון גם היום. במיוחד כשמסתכלים על השנה האחרונה, שהתאפיינה בשינויים רבים שהניעו ארגונים לאמץ אסטרטגיות חדשות לחיזוק החסינות שלהם מפני מתקפות. אך גם התוקפים המשיכו לשכלל את שיטות העבודה שלהם כדי לפעול באופן חכם ומהיר יותר, ולהרחיב את המתקפות עמוק לתוך שרשראות האספקה כדי לגרום נזק גדול יותר.הצוות של מעבדות סייברארק הבחין בסימנים ראשונים של חדשנות המתפתחת אצל התוקפים. לכל חידוש כזה יש פוטנציאל לשנות את נוף הסיכונים בשנה הנוכחית.

לביא לזרוביץ | צילום: סלי לוי פרג'
לביא לזרוביץ | צילום: סלי לוי פרג'
לביא לזרוביץ | צילום: סלי לוי פרג'
לביא לזרוביץ | צילום: סלי לוי פרג'

חידוש מס' 1: ארגונים מחתרתיים יפלו במלכודת של עצמם, ותוך כדי זה יאכפו שינוי של מערך האבטחה
תהליכי ה-DevOps משנים את האופן שבו מתנהלים עסקים, והשינוי לא פוסח גם על ארגוני פשע מחתרתיים. בדיוק כמו ספקי תוכנה לגיטימיים, גם תוקפים משתמשים בתהליכי CI/CD, תשתית ענן וטכנולוגיות דיגיטליות אחרות כדי לפתח ולמכור נוזקות-כשירות (MaaS) חדשות. הצורך לשחרר לשוק פיצ'רים חדשים מונע על-ידי הביקוש (המחתרתי) הגדל לכלים פופולריים, כגון נוזקה לגניבת הרשאות, הניתנת להגדרה כך שתאסוף בסתר הרשאות משתמשים ואז תגנוב מידע רגיש מהקורבנות. נוזקות אלו הן לא רק עוצמתיות, אלא גם פשוטות לשימוש, ממש כמו מוצר מדף, מה שמחזק הן תוקפים טירונים והן תוקפים מתוחכמים.

בזמן שקבוצות עברייניות אלו, קבוצות התקיפה, מתייחסות לעצמן יותר ויותר כעסקים "אמיתיים" ומתנהלות כך, גם הן יחשפו את עצמן לסיכונים חדשים. כמו כל ארגון אחר, הן יתמודדו עם אתגרי אבטחה חדשים בניהול יישומי SaaS מרובי משתמשים, שריון גישה מרחוק למערכות השליטה והנתונים ועוד.

תשתית הפיתוח והתקיפה של ארגוני הפשע האלה, תהווה חרב פיפיות. מערכי ביון ויחידות טכנולוגיות של מעצמות סייבר יוכלו לנצל את חרב הפיפיות הזו על מנת לבצע מהלכים התקפיים ולפגוע בתשתיות התקיפה ולזהות באופן יותר מדוייק מי עומד מאחוריהן ולפעול בהתאם.

חידוש מס' 2: התוקפים ישתמשו ב-OSS (תוכנת קוד פתוח) כדי להרחיב את המתקפות על שרשרת האספקה ולהפוך אותן לאוטומטיות
הכלכלה הדיגיטלית שלנו רצה על תוכנת קוד פתוח (Open Source Software) משום שהיא גמישה ומנצלת את כוחה של הקהילה כדי לעודד חדשנות. אבל, אינספור ספריות OSS "פתוחות" ו"חינמיות" גם מגדילות דרמטית את משטח ההתקפה ומאפשרות לגורמים מאיימים למכן את מאמציהם, לעקוף אמצעי גילוי ולגרום נזק נוסף.
מתקפת Codecov באפריל 2021 סיפקה לנו הצצה, כיצד שינוי קל בשורת קוד אחת יכול להפוך ספריה תמימה לגמרי לזדונית. השינוי הקל בספרייה יהיה קשה מאוד לזיהוי מבין מאות ואולי אלפי שורות קוד אחרות ויאפשר לתוקפים שליפת מפתחות וסיסמאות באלפי הארגונים העושים שימוש בספריה, וגם בארגונים נוספים בהמשך שרשרת האספקה העושים שימוש בשירותים ובתוכנה הפגיעים.

השנה התוקפים ימשיכו לחפש דרכים חדשות לפגוע בספריות קוד פתוח. ראינו תוקפים המבצעים מתקפות דמויות typosquatting באמצעות יצירת חבילות קוד הכוללות שינויים קטנים בשמותיהן של אותן חבילות (למשל, atlas-client לעומת atlas_client). מדובר בעצם בגרסאות טרויאניות של החבילות המקוריות המטמיעות או מורידות פונקציונליות שגונבת הרשאות מהדלת האחורית. במקרה אחר, חבילת NPM נוצלה באמצעות סוס טרויאני כדי להריץ סקריפט של כריית מטבעות קריפטו ונוזקה לגניבת מפתחות וסיסמאות לאחר שתוקפים השיגו גישה לקוד. ראינו דוגמה נוספת לכך לפני מספר ימים כאשר מספר חבילות NPM שזוהו כזדוניות חוטפות Discord access tokens.

ארגונים חייבים להמשיך לעמוד על המשמר כי רק לעתים רחוקות המתקפות ה"מעודנות" האלו לכאורה מציפות סימנים ולכן קשה מאוד לאתרן, במיוחד משום שספריות כאלה נפרשות כחלק מהפעולות הלגיטימיות והיום-יומיות. בנוסף, כיוון שאת ההתקפות האוטומטיות הללו קל ומהיר לבצע כמעט ללא טביעת אצבע, הן יהיו יותר תכופות, פתאומיות והרסניות.

חידוש מס' 3: אזורי מסתור חדשים יאפשרו לתוקפים להתחבא בשטח פתוח
ואם המצב לא מסובך מספיק, משימת האבטחה תהפוך לעוד יותר מורכבת, הודות למקומות מסתור חדשים שמציעות טכנולוגיות הענן, הווירטואליזציה והקונטיינרים. לדוגמה, ככל שגוברת הפופולריות של המיקרו-וירטואליזציה, התוקפים יוכלו לבודד את הנוזקה במערכות הווירטואליות ולהסתיר אותה מאמצעי הבקרה המותקנים בשרת המארח.
למרות שטכניקות ההתקפה האלו אינן שכיחות, בינתיים לפחות, תוקפים הפועלים בשם בעלי עניין כספי או מדינות נצפו כשהם בודקים מערכות כגון Windows Subsystem for Linux (WSL) - תת-מערכת הפעלה לינוקסית, שמתארחת על שרת עם מערכת הפעלה חלונות (Windows). עצם הרצת התוכנה הזדונית, כופרה למשל, לרוב נסתרת מאנטי-וירוסים, מכלים לגילוי ותגובה בנקודת הקצה (EDR) ומכלי אבטחה אחרים לנקודת הקצה הממוקמים בשרת המארח.

לסיכום, השנה אנחנו צופים לראות חדשנות בצד ההתקפי. כזו שתקדם את הפיתוח והמוניטיזציה אצל ארגוני הפשע הקיברנטי וכזו שתפתח משטחי תקיפה עבור אלו שהיו עד עכשיו בעיקר מגנים.

הכותב הוא מנהל המחקר במעבדות סייברארק

בשיתוף סייברארק

חזרה למדור

Labels

תוכן שיווקי

    כתבות שאולי פספסתם

    עומר אדם בהופעה

    "יש לו מספיק כסף, הוא יכול להפסיק לעבוד — אבל הוא רוצה עוד"

    ענת ג'ורג'י
    חברת אנתרופיק משרד סן פרנסיסקו

    "מי שיישאר עד ההנפקה, לא יצטרך יותר לעבוד": להתקבל לחברה הנחשקת בהייטק

    בלומברג ביזנסוויק
    רמין סמאהי (משמאל), בעל חנות מוצרי חשמל

    "בעלי עסקים צעירים שנכנסים הנה מפסידים את התחתונים ובורחים"

    ירדן בן גל הירשהורן
    צילומי רחפן מפרץ חיפה

    דירות ב-2 מיליון שקל, צמוד לחוף הים: במקום הכי נמוך המחירים קפצו פי 4

    שלומית צור
    בישראל 2026 כל אחד קורא לזה אחרת: עזיבה, הגירה, ירידה, התמחות, רילוקיישן, התאווררות

    "יש לך בית גדול, תעשי עוד ילד": המחיר מאחורי החלום הזוהר של הרילוקיישן

    קים לגזיאל
    מייסדי סקפיון: גל גורן (מימין), ירון קרפ, פיני יונגמן, צפריר יואלי ועדו בר־און. יצטרכו להוכיח שהטכנולוגיה שלה עובדת גם בשטח

    ליירט מאות כטב"מים במקביל: סקפיון נחשפת עם גיוס של 36 מיליון דולר