שנת 2021 הייתה שנה מרתקת ומלאת אתגרים לתעשיית ההיי-טק העולמית, שכללה לא מעט אירועי פריצות סייבר שתפסו כותרות בכל העולם, החל מצוות ההאקרים APT שפעל כשלוחה של ממשלת איראן וניצל פגיעות ידועות ב- Microsoft Exchange, מתקפות כופרה רחבות היקף שבוצעו על-ידי קבוצות פצחנים כגון Conti ,Darkside ו- Phoenix, חולשה חמורה ב- Log4j, אחת מהתוכנות הפופולריות בעולם ואף ההתקפה של קבוצת ההאקרים הידועה REvil, שהשביתה חלק משמעותי מפעילותה של JBS, חברת הבשר הגדולה בעולם.


לכל אלו צריך להוסיף את העבודה מרחוק, פגישות וירטואליות, האצת הטרנספורמציה הדיגיטלית והצמיחה חסרת התקדים ברכישות ברשת - המהוות רק חלק מהתופעות שצברו תאוצה עקב מגפת הקורונה. שינויים אלו הובילו תוקפי סייבר מכל רחבי העולם, לשנות את הטקטיקה שלהם ולנצל את המעבר ההמוני לדיגיטל לצרכיהם האישיים.


אספנו תובנות מחברות סייבר ומומחים בתעשייה, כדי לגבש לרשימת תחזיות אבטחת סייבר מובילות לשנה הקרובה.
הנוזקות הופכות ליותר ויותר חכמות
לדברי עידו יהב, מנכ"ל המו"פ והמנהל הכללי בישראל של חברת סייפבריצ' (SafeBreach), "לקראת השנה החדשה, אחד הדברים המעניינים שאנחנו רואים וצופים שימשיך הוא המודולריות והוורסטיליות של תקיפות. הדבר נובע מהעובדה שישנו שוק מפותח של מסחר ביכולות שונות ומתקיפים בפועל מחברים יכולות שונות בכדי להשיג את המטרות שלהם. בנוסף, הנוזקות הופכות ליותר ויותר חכמות ויכולות לשלב יכולות שונות ולהחליט בזמן אמת באיזה חולשה או טכניקה כדאי להשתמש. לדוגמה, חולשה שנתגלתה באפליקציה מסוימת משמשת בפועל ככלי חדירה למספר רב של תוקפים שונים ונוזקות שונות. קצת כמו הווריאנטים שאנחנו רואים בעולם הווירוסים, כאשר מתפרסמת חולשה חדשה, נוצרים מהר מאוד וריאנטים רבים שלה ובעצם מקשים על מוצרי ההגנה לספק פתרונות.


"לאחרונה, חולשה בשם LOG4J שהתפרסמה בשרת אפאצ'י הנפוץ, הובילה תוך ימים ספורים לפרסום עדויות על משפחות שלמות של תקיפות המנצלות אותה", הוא מוסיף. "החל מתקיפות כופר ועד למלוורים פיננסים המנסים לגנוב חשבונות בנק. המהירות בה מתעדכנות התקיפות בחולשה חדשה נובעת מהיכולת המודולרית ברמה הטכנית ומהידיעה שזמן התגובה של ארגונים הולך ומתקצר. המתקיפים מצדם הולכים ומשתפרים ומשתמשים בטכנולוגיות חדשות ואוטומטיות".


האתגר - תקיפת שרשרת אספקה
הודי זק, CPO בחברת Morphisec, מתייחס אף הוא לגיוון באופי וסוג התקיפות ושם את הפוקוס על תקיפות כנגד שרשראות האספקה. "בשנה-שנתיים האחרונות החלו אנשי אבטחה בארגונים להיחשף ליותר תקיפות המנצלות את שרשרת האספקה של מערכות התוכנה (ולעיתים נדירות יותר, גם רכיבי חומרה) בארגונים כדי 'להשתיל' דרכן קוד זדוני, שייצר נזק עבור הארגון הנתקף. התקיפה המפורסמת ביותר מסוג זה התפרסמה בדצמבר 2020, והשתמשה בפלטפורמה של חברת 'סולארווינדס' (המייצרת מערכות לניהול רכיבי תוכנה בארגונים) בכדי לחדור למספר רב של גופי ממשל וחברות ביטחוניות גדולות בארה"ב. מאז פורסמו עוד מספר מקרים של אירועי תקיפה רחבים מסוג זה, כגון התקיפה שהשתמשה בפלטפורמות של חברות 'קאסייה', 'סנטראון' ועוד.


"תקיפת שרשרת אספקה היא מתקפה רב שלבית המבוצעת על-ידי קבוצות תקיפה מתוחכמות. בשלב הראשון מתבצעת פריצה לארגון המייצר את התוכנה – בדרך כלל זו תהיה תוכנת ניהול מערכות מידע נפוצה, אשר נמצאת בשימוש אצל הארגונים המהווים את יעדי התקיפה האמיתיים. מטרת שלב זה של התקיפה הוא למצוא ולהגיע לסביבת הפיתוח / תפעול של התוכנה ולהשתיל את הקוד הזדוני בגרסה הבאה של המערכת, או בעדכון שיופץ ללקוחות החברה. בשלב השני, התקיפה מנצלת את העובדה שהלקוחות המשתמשים בתוכנה מאפשרים גישה מרחוק לספק התוכנה אל תוך הרשת הארגונית (לצרכי עדכונים ושדרוגים של המערכת) כדי להחדיר את הקוד (עם העדכון הלגיטימי) ללקוחות החברה. הקוד הזדוני המושתל בתוך הקוד הלגיטימי אינו 'נתפס' על-ידי מערכות אבטחת המידע של הארגון. העובדה שמערכות אלה נמצאות בשימוש על-ידי אנשי המחשוב של הלקוח (שיש להם בדרך כלל הרשאות גישה רחבות), מקלות על התוקף שכבר חדר לארגון היעד כדי להשיג שליטה על הרשת ולהשיג את מטרתו (איסוף מידע, השבתה וכיוצ"ב).


"נכון להיום, אין היצע של מערכות אבטחה המסוגלות לגלות ו/או לבלום תקיפה מסוג זה באופן גורף. הלקוחות אשר חוששים מתקיפה מסוג זה מסוגלים להקטין את הסיכון על-ידי בקרת ספקים וניהול זהיר של עדכונים. אין ספק שככל שתקיפות כאלה יעשו נפוצות ומזיקות יותר בשנים הבאות, ידרשו חברות הגנת הסייבר לטפל טוב יותר באירועים מסוג זה".
התמקדות בהגנה מקיפה על חשבונות
עידו ספרותי, סמנכ"ל טכנולוגיות ומייסד שותף בחברת PerimeterX, מדבר על העלייה הצפויה בהתקפות בוטים כנגד חשבונות של משתמשים במסע המקוון שלהם. "שנת 2021 הייתה שנה מלאת אירועים בתחום אבטחת הסייבר. עסקים המשיכו להתמודד עם המפץ שנגזר ממגפת הקורונה בכל הקשור לפעילות ברשת מצד אחד, בעוד פושעי סייבר ניצלו את השינויים הללו כדי לפתח שוב ושוב את התקפותיהם מצד שני. בהסתכלות קדימה לקראת שנת 2022, אנו צופים עלייה בשימוש בתוכנות זדוניות המותאמות לטירגוט אתרים ספציפיים, ועלייה בהתקפות בוטים והונאות המתמקדות בחלק האפליקציה שאחרי ה- Login.
"אתרים ואפליקציות עוברים שינוי שבו חשבון המשתמש או ה'זהות' עומדים במרכז המערכת לבדיקת הרשאות ומאפשרים שימוש בשירותים נוספים להעשרת השירות. בשל כך, אנו מאמינים ש-2022 תהיה שנה של התמקדות בהגנה מקיפה על חשבונות, תוך התייחסות לאבטחת סייבר מנקודת המבט של שלמות חשבון המשתמש ושימוש ברמות הגנה מרובות לאורך מחזור חיי החשבון".
מודעות שגוררות את המשתמשים לתרמיות פישינג
שנת 2022, תהיה השנה שבה מנהלי אבטחה ועסקים יראו עד כמה עולם ההונאה (fraud) מגוון ומקיף. עסקים דיגיטליים יעברו מהתמקדות אבטחתית ב"שומרי סף", להבטחת שלמות החשבונות והזהות של הלקוחות שלהם. זאת תוך שמירה על הגנה מרבית בכל שלב במסע המקוון שלהם. משמעות הדבר היא למעשה צורך באימוץ פלטפורמה שלומדת ומתפתחת ללא הרף, בזמן אמת, כדי לזהות ולעצור ניצול לרעה של זהות ומידע של חשבון באינטרנט. הפעלת הגנה מקיפה על חשבון תהיה הדרך היחידה להילחם בהונאות בכל החזיתות.
לדברי אמנון זיו, מנכ"ל חברת GeoEdge, אחת החזיתות החדשות מבחינת האיום על המשתמשים היא מודעות שגוררות את המשתמשים לתרמיות פישינג, מכירה של מוצרים מזויפים או גביית כספים מבלי לספק מוצר כלל. "מדובר במודעות קליקבייט מטעות זדוניות ודפי נחיתה שמשכפלים אתרים קיימים, שנועדו לפתות משתמשים לספק את פרטיהם או לרכוש שירותים מפוקפקים. לרוב, מוצגת פרסומת ובה סלבריטאים דוגמת קיאנו ריבס, אילון מאסק ועוד שממליצים להשקיע באפיק מסוים. לעיתים מדובר במודעות שמבטיחות רכישה של מותגים בעשרות אחוזי הנחה והמודעות מובילות במקרים רבים לעמודים מטעים. חלק מהמודעות הן שכפול של מודעות למותגים מוכרים שנמצאות שם כפיתיון בלבד, כמו גם מודעות שמבטיחות השתתפות בהגרלה או זכיה מיידית בפרסים יקרי ערך.
"העלות של הפצת מודעות כאלו ושל יצירת אתרים, שמתחזים למשל לאתרי חדשות או לאתרים של בנקים מובילים, היא נמוכה וקל מאוד להפיץ את התרמיות הללו באמצעות פרסומות שמוצגות אוטומטית על העמוד. אנחנו עובדים בצמוד לפלטפורמות פרסום ואתרי ווב ומובייל מהמובילים בעולם כדי לחסום מודעות כאלו בטרם הגיעו לגולשים", מוסיף זיו.
"במקרים רבים, מודעות זדוניות עוברות את מנגנוני הסינון הרגילים משום שהן נראות לגיטימיות, אך הן מובילות לאתר לא לגיטימי, ויש הרבה תרמיות פישינג, תרמיות של מכירת מוצרים מזויפים, או גביית כספים שלא מסופק בעבורם שום מוצר או שירות. גולשים באתרים נוטים להניח שמודעות שנמצאות על העמוד עוברות סינון על-ידי מנהלי האתרים. מה שהם לא מבינים זה שמדובר פעמים רבות במודעות שמוצגות אוטומטית מבלי שעברו מנגנוני בקרת איכות".
התקפות על חשבונות משתמשים באתרי סחר אלקטרוני
אלעד כהן, VP Data Science & Research בחברת ריסקיפייד, מוסיף כי "עקב העלייה המתמידה ברכישות המבוצעות באתרי מסחר אלקטרוני, למבצעי הונאות ישנן יותר הזדמנויות לפעול. אחת המגמות שאנו בריסקיפייד חווים לאחרונה, וצופים שתמשיך בשנה הבאה, היא התקפות השתלטות על חשבונות משתמשים באתרי סחר אלקטרוני, תוך שימוש במידע שהושג באמצעות פריצות למאגרי נתונים.
מבצעי הונאות בדרך כלל משיגים את פרטי החשבונות מה- darknet, שם הם נמכרים לאחר שהגיעו מפריצות לאתרים ומניסיונות פישינג מוצלחים. מכיוון שאנשים רבים משתמשים באותם פרטי חשבון, כל אתר חשוף להונאה זו, גם אם הם עצמם לא עברו פריצה מעולם. בכדי להקל על תהליך הרכישה, הסוחרים מעודדים את שמירת הפרטים בתוך החשבון ומאפשרים צבירת נקודות והטבות כספיות כתמריץ. בשל כך, 'התחזות' ללקוח לגיטימי ושימוש בפרטי ההתחברות שלנו לחשבון מסייעת למבצעי ההונאות להיראות כמה שיותר לגיטימיים ומקשה על האתרים לזהות את ההונאה. התקפות אלו עלולות לגרום לנזקים פיננסיים ונזקי מוניטין חמורים. כיום, האחריות על מניעת פריצות אבטחה ומקרי הונאה נופלת על האתרים עצמם, שצריכים להיעזר בטכנולוגיות מתקדמות המסוגלות להגן על לקוחותיהם ולמנוע הפסדים כלכליים משמעותיים ואובדן לקוחות".
האקרים יתמקדו בדרכים חדשות לפרוץ את הענן
שי מורג, מנכ"ל חברת Ermetic, מציין כי "שנת 2021 הייתה שנת המעבר לעבודה באמצעות פלטפורמות הענן, זאת כתוצאה ממשבר הקורונה שחייב את כולם לעבוד מהבית. בימים אלו, ניתן לראות בבירור, כי העסקים לעולם לא יחזרו לאופן בו התנהלו לפני המגפה. לכן, אנו צופים כי התוקפים יתמקדו באפשרויות בהן 'נמצא הכסף', ויכפילו את הפעילות שלהן בתשתיות הענן ב-2022. האקרים יתמקדו בדרכים חדשות לפרוץ את הענן ולטרגט את החוליות החולשות בשרשרת האספקה כנקודת כניסה לנכסים מוגנים היטב, בדומה לתקרית של Solarwinds. כמו כן, רק לאחרונה התוודענו לחולשה בגרסה של ספריית הקוד הפופולרית log4j, אחת מהחולשות המשמעותיות והנפוצות ביותר בספריות קוד בעשור האחרון. חולשה זו וחולשות אחרות הדומות לה (ואת חלקן ככל הנראה אנו עוד לא מכירים) - יכולות להוות ראש גשר משמעותי עבור האקרים לסביבות ענן".
לדבריו, זהויות לא אנושיות, כגון אלה בהן משתמשים רכיבי מחשוב, יתגלו כעקב אכילס של אבטחת ענן. ככל שיותר ויותר ארגונים משפרים את אבטחת הזהויות האנושיות שלהם באמצעות אימות רב-שלבי (MFA), התוקפים יתמקדו דווקא בזהויות לא אנושיות וינסו להגיע למצב בו הם יכולים להתחזות להן על-ידי פריצתן, או לעשות מניפולציה כזו או אחרת על דרך פעולתן. "זהויות אלה וההרשאות שלהן כבר מנוצלות, כמעט בכל פריצת ענן כדי לגשת לנתונים באופן רוחבי", הוא מציין. "בשל הקושי והמורכבות שיש בדבר, ארגונים רבים לא מנהלים את ההרשאות הניתנות לזהויות אלה (וגם לזהויות אנושיות) בצורה אדוקה מספיק התואמת את עיקרון מתן ההרשאות המינימלי (Least Privilege) ולפיכך התוצאה הפוטנציאלית של פריצה לרכיבי מחשוב היא הרסנית בהרבה ממה שהייתה יכולה להיות לו הרשאות אלה נוהלו בצורה אפקטיבית".
לסיכום, ניתן לומר כי שנת 2022 צפויה להיות מאתגרת לא פחות ואף יותר מהשנה שקדמה לה, בכל הנוגע לשיעור מתקפות הסייבר וההונאות ברשת. כמו כן, אותן מתקפות צפויות להיות מגוונות ומשוכללות יותר. התוקפים יהפכו ליותר אגרסיביים ומיומנים, מה שיוביל למתקפות יותר מורכבות ורווחיות. לפיכך, השילוב בין שמירה על ערנות ומודעות למצב מצד החברות עצמן וצוותי האבטחה, לצד הקצאת המשאבים הנדרשים להטמעת טכנולוגיות הגנת סייבר מתקדמות, יוכלו לשמור על אבטחתם ולמנוע הפסדים כלכליים משמעותיים ופגיעה במוניטין ובתדמית החברה.





