"יש צורך באיתור איומים אוטומטי ושימוש ב-AI כדי לאפשר לארגונים להתמודד עם מתקפות בזמן אמת"
עופר ישראלי, מנהל פעילות פורטינט ישראל
"לפי דוח מפת האיומים הגלובלי של מעבדות FortiGuard, העלייה המשמעותית ביותר באיומי הסייבר היו מתקפות הכופר, אשר הראו זינוק של פי-עשרה במהלך 12 החודשים האחרונים. אחד הגורמים לכך זהו שינוי האסטרטגיה של חלק ממפעילי מתקפות הכופר - ממיקוד במתקפות שמקורן בדוא"ל להתמקדות בקבלת גישה לרשתות הארגוניות ומכירת פרטי הגישה, מה שמעיד אף יותר על ההתפתחות המתמשכת של פשיעת סייבר מסוג מתקפות כופר כשירות (RaaS).
"יש צורך באיתור איומים אוטומטי ושימוש בבינה מלאכותית כדי לאפשר לארגונים להתמודד עם מתקפות בזמן אמת ולמנוע אותן בזמן אמת ובקנה מידה גדול לאורך כל הרשת הארגונית. בנוסף לכך, חשוב ליישם הדרכות מודעות לאבטחת סייבר למשתמשים עבור כל אחד אשר מהווה מטרה עבור התוקפים. כולם זקוקים להדרכה שוטפת בנושא שיטות העבודה המומלצות כדי לשמור על ביטחון העובדים והארגון.
"לפי ממצאי דוח אבטחת הענן לשנת 2021 אשר נערך על ידי פורטינט ו-Cybersecurity Insiders, מרבית המשיבים העידו כי הם היו מודאגים לפחות במידה בינונית בנוגע לאבטחת העננים הציבוריים, כאשר קרוב לשליש מהמשיבים היו מודאגים מאוד. לפי ממצאי הסקר, עבור 67% ממומחי אבטחת הסייבר, תצורה שגויה של אבטחת הענן מהווה את סיכון האבטחה הגדול ביותר של סביבת הענן.
פתרונות משולבים הבנויים עבור הענן יכולים לספק נראות, הגנה ובקרה יחד עם קביעת מדיניות אחודה על פני מגוון של סביבות multi-cloud וענן היברידי. מדובר על פלטפורמת אבטחה אחודה אשר משתפת מודיעין, מספקת פתרון מאובטח יותר ומפשטת את התפעול היום-יומי.
"אירוע הסייבר הכי מכונן שהיה בשנה האחרונה התרחש בחודש מאי השנה, כאשר חברת הולכת הדלקים האמריקאית המובילה, Colonial Pipeline, נפגעה ממתקפת כופר. התוקפים קיבלו גישה לרשת מרחוק, ניסו לגנוב כמעט 100 ג'יגה בייט של נתונים קריטיים מהרשת של החברה ואף הצפינו נתונים קריטיים. כדי להתגונן מפני האיום הגובר של מתקפות כופר, ארגונים יצטרכו לאמץ את גישת ה-Zero Trust Access, לפיה לא ניתן לסמוך על אף התקן שניגש לרשת, בין אם הוא מוכר או לא ובין אם הוא מגיע מתוך הארגון או על ידי חיבור מרוחק - כל גישה לכל משאב של החברה תיבדק ותאובטח באופן פרטני".
"ספקי הענן מפעילים מודל אבטחה שיתופי - הלקוח אחראי לאבטחת המידע שהוא מאחסן בענן"
דורון כחילה, מנהל סופוס ישראל
"הגידול החד במתקפות כופרה נובע מהקלות היחסית שבה ניתן לייצר התקפה מוצלחת. השימוש בכלי תקיפה אוטומטיים מעלה את כמות המתקפות בצורה דרסטית. מודעות נמוכה של משתמשים מאפשרת לתוקפים לנצל את טבע האדם באמצעות הנדסה חברתית ולבצע פעולות שיאפשרו לתוקף לקבל אחיזה בארגון. בנוסף, אימוץ העבודה מהבית, שימוש גובר בצריכה אינטרנטית והדאגה הכללית מפני נגיף הקורונה הרחיבו בצורה ניכרת את שטח התקיפה.
"ניתן בהחלט לבלום את הסיכוי לפגיעה ממתקפות כופר, ראשית על-ידי חינוך העובדים והגברת המודעות לאבטחת מידע בכלל ולמתקפות פישינג בפרט. התוקפים משתמשים היום במתקפות מתוחכמות ולכן, על ההגנה שלנו להיות חכמה יותר. מערכת הכוללת בינה מלאכותית וסנדבוקס, יחד עם היכולת לבלום את מתקפת הכופר בזמן אמת והחזרת מצב קודם (Remediation), יאפשרו לארגונים לצאת ממתקפות כופר ללא שום נזק. זאת בנוסף למערכת גיבוי מופרדת ומעודכנת לשחזור המערכות כמפלט אחרון.
"המחשבה שעננים ציבוריים מאובטחים פחות הינה שגויה. הבעיה טמונה יותר בחוסר ההבנה לגבי אחריות הלקוח לנושא האבטחה. ספקי הענן מפעילים מודל אבטחה שיתופי, מה שאומר שהלקוח אחראי לאבטח כל דבר שהוא מריץ או מאחסן בענן. ספקי פלטפורמת הענן מספקים את הכלים, אולם הלקוח הוא זה שאחראי להטמעה נכונה שלהם. כדי לאבטח כראוי סביבת ענן, יש צורך בתכנון נכון ותרחיש שימוש ברור, כך שיהיה ניתן להפעיל את הכלים שהפלטפורמה מספקת באופן יעיל ולהרחיב אותם. יש צורך בהטמעת כלי שירות נוספים, כגון שירותי CSPM לאכיפת מדיניות ארגונית וזיהוי נקודות תורפה אשר מנוצלות על-ידי התוקפים, כגון קונפיגורציות לא נכונות, הרשאות מורחבות ושימוש חריג במשאבי הענן".
"אירוע הסייבר המכונן של השנה היה הפריצה לחברת הביטוח שירביט. פריצה זו שיקפה בצורה בהירה את מה שאני קורא לו 'החטא ועונשו'. החטא בחוסר גיבוש תוכנית אבטחה מסודרת, התפשרות על שירותי וכלי סקיוריטי מתוך שיקולים שונים, שהביאו להפסקת פעילות החברה ופגיעה בלקוחות החברה בהיקף שעדיין איננו יכולים להעריך. הפריצה הביאה לשינוי בתפיסת האבטחה אצל ארגונים רבים. ארגונים משקיעים יותר בישום מדיניות אבטחה על-ידי רכישת כלים מתקדמים יותר לנראות ושליטה מלאה יותר, לצד שירותי צייד איומים אנושיים לגילוי מוקדם יותר של ניסיונות תקיפה כדי לנטרלם לפני שייגרם נזק משמעותי לארגון".
"האירוע ב'הלל יפה' המחיש לציבור שאכן ניתן להשבית מערכת כמו בי"ח ולפגוע בה"
טל יכנין, CISO ו-ארכיטקט אבטחת מידע בחברת אואזיס
"אירועי הכופרה הרבה יותר שכיחים בעקבות יכולת התשלום במטבעות דיגיטליים, אשר מאפשרים לתוקף לקבל את התשלום בלי לחשוף את זהותו (בניגוד להעברה בנקאית למשל, שבה יודעים לזהות מי בעל החשבון אליו עבר הכסף).
"על הארגון לנסות ולמנוע ככל הניתן את הסיכוי למתקפת כופר. ארגונים צריכים לחשוב סייבר בכל תהליך בארגון. הם צריכים למפות את הסיכונים, כולל אלה העקיפים, כדוגמת העסקת קבלני משנה. אירועי סייבר אשר נגרמים עקב קבלן או עובד חיצוני הינם אירועים שהופכים לשכיחים יותר ויותר. על מנהלי הארגון למפות את כלל הסיכונים ולהכין תוכנית למזעור הסיכונים. בנוסף, חשוב שלארגונים תהיה תוכנית מוכנה להתמודדות עם אירוע סייבר, גם בפן התקשורתי, כלכלי, משפטי, לוגיסטי וטכנולוגי.
"מכיוון שתשתיות הענן מאפשרות לנו גמישות אדירה בעולם התשתיות (קצב הפעלת מערכות חדשות, קצב ורמת השינויים האפשריים ועוד) הדבר מוביל לכך שהרבה יותר קשה לאנשי אבטחת המידע לפקח בזמן אמת על השינויים אשר מתבצעים. מכאן, המקום לבצע טעות אשר מנוצלת לתקיפה הינה קצרה ביותר. לשם כך ארגונים וחברות צריכים וחייבים להיעזר בשירותם של חברות תקשורת, סייבר ואבטחת מידע, כדי שאלו ינהלו את סביבת הענן ואת הגיבויים השונים הדרושים לצורך שמירה על כשירות מבצעית והמשך עבודה גם בעת משבר.
"למרות שהשנה עוד לא הסתיימה, אני חושב שלפחות נכון לשעה זו, האירוע ב'הלל יפה' הינו האירוע המשמעותי של השנה האחרונה. זאת מכיוון שכל האירועים עד עכשיו היו בגזרה של חשיפת מסמכים, פרטיות וכדומה. הנושא כמובן חשוב, אך חלק גדול מהציבור לא בטוח שהבין את המשמעות בהתקפות סייבר. אני חושב שעכשיו, כשהציבור מבין שבאמת ניתן להשבית מערכת כמו בית חולים ולפגוע בה, הסיכון מוחשי וברור יותר. מוקדם לדעת האם האירוע יחולל שינוי משמעותי ביחס לסייבר, אבל אין ספק שהסיכון הפך למוחשי יותר לחלק רחב מן הציבור".
"אם המערכות מגובות בצורה תדירה אז קל יותר להתאושש ממתקפת כופרה"
אמיר ג'רבי, מייסד שותף ו-CTO באקווה סקיוריטי
"מתקפות הכופרה פשוט עובדות, מה שמעלה את הפופולאריות שלהן. יש תוכנות כופרה זמינות באינטרנט שכל אחד יכול להשתמש בהן. ההתקפה היא בסיכוי גבוהה להצלחה, שכן אלפי מחשבים מותקפים בו זמנית, ובסיכון נמוך לתוקף. הדרך הכי אפקטיבית להתאושש ממתקפת כופר קשורה לגיבויים. אם המערכות מגובות בצורה תדירה אז קל יותר להתאושש ממתקפת כופרה. בנוסף, יש להשקיע בחינוך של העובדים כיצד להיזהר מאימיילים וקבצים שהם מקבלים. לבסוף, להשקיע בתוכנות אבטחת שימנעו את תקיפת הכופרה במקרה של טעות אנוש.
"הטיפול בנתונים שלנו, בין אם בענן ובין אם על המחשב האישי - הוא עדיין באחריות המשתמש. בענן יש כלים מובנים המאפשרים גיבוי ושיחזור בצורה קלה יותר, אבל האחריות להשתמש בהן היא על הלקוח.
"אירוע הסייבר הכי מכונן בשנה האחרונה הוא הפריצה לחברת SolarWinds. חברת תוכנה המספקת מוצרי ניטור וניהול למאות אלפי משתמשים בעולם. התוקפים הצליחו להשתיל קוד זדוני בתוך התוכנה ש-SolarWinds, בהתקפה שנקראת Supply Chain Attack. התוצר היה שקוד זדוני של התוקפים הותקן דרך התוכנה של SolarWinds לאלפי משתמשים בעולם, ומשם התוקפים הצליחו לגנוב מידע ולהדביק עוד מערכות. החשש הגדול הוא שחלק מלקוחות SolarWinds הינן חברות תוכנה, מה שמעלה אפשרות שהקוד הזדוני הצליח להיכנס למערכות נוספות שיגיעו ללקוחות".
"ספקי תוכנה של צד ג' חייבים שיהיו ברשותם אמצעי אבטחה על היישומים שהם מספקים"
סטיב ווילסון, מנהל מוצר ראשי בחברת קונטרסט סקיוריטי, המספקת פלטפורמת אבטחת יישומים חדשנית, שלאחרונה הקימה מרכז פיתוח בישראל על בסיס רכישת הסטארט-אפ הישראלי קלאודאסנס.
"על-פי דו"ח חקירות פרצות נתונים של Verizon לשנת 2021, קיימת עליה חדה וברורה לאורך השנים במספר מתקפות הכופרה והסיבה לכך היא כי המתקפות הללו פשוט מייצרות הכנסות לפושעי הסייבר. על-פי הדוח, ההפסד החציוני לארגונים המותקפים במתקפת כופר הוא 11,150 דולר, כאשר 95% מן המתקפות נופלות בטווח ההפסד שבין 70 דולר ל- 1.2 מיליון דולר. יש להניח כי מספר מתקפות הכופר בפועל גדול יותר מן הכמות המדווחות משום שיש ארגונים שאינם מדווחים על מתקפת הכופר, משלמים לתוקפים או פותרים זאת בדרך אחרת. עוד עולה, כי אם בעבר הפושעים היו מצפינים את הקבצים ודורשים כופר לפתוח את הצופן, כיום תוקפים רבים גונבים את הקבצים, ואם בעבר פושעי הסייבר היו מחפשים להצפין בעיקר קבצים פיננסים, כיום הם מחפשים להצפין או לגנוב כל סוג של קובץ שיש לו השפעה על תפקוד הארגון.
"בעולם מרובה המתקפות של ימינו, ספקי תוכנה של צד שלישי חייבים שיהיו ברשותם אמצעי אבטחה והגנה על היישומים שהם מספקים ללקוחותיהם. מעבר לפתרונות אבטחת יישומים ייעודיים, הדרך הטובה ביותר לאבטח את כל שרשרת האספקה של פיתוח התוכנה היא באמצעות הטמעת רכיבי הגנה ואבטחה (instrumentation) בתוך הקוד עצמו. שיטה זו מאפשרת ניטור ושקיפות מהיבטי אבטחת מידע לכל אורך מחזור חיי הפיתוח של התוכנה.
"השנה האחרונה תיזכר כשנה קשה במיוחד של התקפות נגד מערכי שרשרת האספקה של תחום התוכנה. במחצית הראשונה של 2021, התקפות בולטות שניצלו חולשות בתוכנה של SolarWinds או בשרת הדואר של מייקרוסופט (exchange) הדגישו את רמת הסיכון והיקף ההשפעה של התקפות מסוג זה על שרשראות האספקה של תחום התוכנה. אחת הדוגמאות האחרונות במגמה זו היא מתקפת תוכנת כופר על פתרון מערכת הניהול הווירטואלית (VSA) של Kaseya לניטור וניהול מרחוק (RMM)".
"יותר ויותר ארגונים מבינים - סביבת הענן יש להתמקד קודם כל בהגנה על הזהות"
"יותר ויותר ארגונים מבינים שבסביבת הענן יש להתמקד קודם כל בהגנה על הזהות – זאת לפני כל דבר אחר, כגון הגנה על השרתים או טיפול בהגדרות רשת ו-firewall", מציין אריק גומנובסקי, שותף מייסד ו-CBO בחברת Ermetic - "הקמנו את Ermetic מתוך מטרה לספק פתרון כולל להגנה על הענן, אך הסוד הוא בתיעדוף נכון של האתגרים".
חברת הסייבר Ermetic מספקת פתרון הגנה כולל לפלטפורמות בסביבת ענן, תוך דגש על מניעה וזיהוי תקיפות מבוססות זהות (identity), המהוות את משטח התקיפה המרכזי של תשתיות ענן. Ermetic מאפשרת לארגונים למפות את משטח התקיפה הכולל למול תשתית הענן, לרבות בסיכונים הנובעים מזהויות בעלות הרשאות רגישות. החברה מאפשרת ללקוחותיה להגן על זהויות אלו, כך לדוגמה, באמצעות הידוק אוטומטי של מדיניות הרשאות ומימוש עקרון ה - Least Privilege, חסימת גישה מהאינטרנט, בקרה על גישה של גורמי צד שלישי ועוד.
"עלות הנזקים לעסקים יכולה להגיע למיליוני דולרים למתקפה"
לדברי עידו ספרותי, מייסד שותף ו- CTO בחברת PerimeterX (פרימטראיקס) המתמחה במתן פתרונות אבטחה ומניעת הונאות לאתרי האינטרנט הגדולים בעולם, ביניהם חברות סחר מקוון ותיירות, "אתרי הקמעונאות הפכו בשנים האחרונות ובתקופת הקורונה בפרט ליעד מרכזי של תוקפים והאקרים שמנסים לשלוט על חשבונות משתמשים לביצוע הונאות, וגניבת מידע עסקי ואישי רגיש (פרטי אשראי, תעודות זהות, שמות משתמשים, סיסמאות). עלות הנזקים לעסקים יכולה להגיע למיליוני דולרים למתקפה. בתקופות עמוסות כמו נובמבר, שהינו חודש בו מכירות האון-ליין מהוות חלק ניכר מההכנסה השנתית, כמות המתקפות גדלה משמעותית. בחגי הקניות בשנה הקודמת, בתקופה של חמישה ימים בלבד PerimeterX הגנה על עסקאות בהיקף של כ-12 מיליארד דולר וניטרה מעל 92 מיליארד בקשות ללקוחותיה".
הפתרונות של PerimeterX רלוונטיים להגנה על יישומי אינטרנט וסלולר וממשקי תכנות (API), ומסוגלים לזהות בזמן אמת אם השימוש באותם יישומים מתבצע ע״י משתמש לגיטימי או על ידי משתמש זדוני, ומאפשרת אמצעי טיפול שונים המותאמים לסוג המתקפה. מערכות הלמידה של החברה מאפשרות זיהוי מוקדם של בקשות זדוניות כמו גם זיהוי מהיר של משתמשים טובים, בכדי לאפשר להם חוויה חלקה ונוחה יותר. ככל שכמות הלקוחות וכמות המידע שעובר ברשת גדל, כך משתפר השירות.
פרסומות און-ליין ומובייל: המודעה עשויה להיראות תמימה, אך ניתוח דף הנחיתה מדגים שיש כאן תרמית
תופעה מדאיגה שהולכת ומתרחבת בשנה האחרונה היא השימוש במודעות אונליין על מנת לעודד לקוחות לרכוש מוצרים מזויפים, או לרכוש באתרי דמה, שמתחזים לאתרים לגיטימיים. במקרים כאלו, לקוחות יראו מודעה שמעודדת רכישה בהנחה משמעותית ובעקבותיה יועברו לעמוד נחיתה זדוני - שם יחויב כרטיס האשראי שלהם, אך לא יסופק להם כל מוצר. ביפן היתה סערה גדולה השנה, בעקבות תרמית כנגד לקוחות שהוצע להם לרכוש שואב אבק דייסון בהנחה בת עשרות אחוזים - כרטיסי האשראי שלהם חויבו, אך הם קיבלו מגבת קטנה עם הלוגו של דייסון ולא מעבר.
"אנחנו עובדים עם פלטפורמות הפרסום הגדולות בעולם ועם מוציאים לאור כדי למנוע ממודעות כאלו לטרגט את הגולשים", אומר אמנון זיו, מנכ״ל GeoEdge - חברת סייבר המתמחה באבטחת מידע הנוגעת לפרסומות און-ליין ומובייל. "במקרים רבים, המודעה עצמה עשויה להיראות תמימה, אך ניתוח של דף הנחיתה מדגים שיש כאן תרמית. הנטייה של גולשים באתרים מכובדים ולגיטימיים היא לסמוך ולתת אמון במודעות שנמצאות על העמוד. מה שהם לא מבינים זה שמדובר פעמים רבות במודעות שמוצגות באופן אוטומטי ואין לבעלי האתרים שום שליטה על סוג המודעות ואיכותן".
"המטרה היא שחברות יתכוננו לאירועים מראש ולא יגיבו רק לאחר שהם מתרחשים"
דרך נוספת להתמודדות עם איומי סייבר פוטנציאלים, היא באמצעות פריסה של הסיכונים הקיימים עבור החברה, ובכך ללמוד את הפעולות הנדרשות בזמן אמת. חברת SafeBreach המובילה את קטגוריית Breach and Attack Simulation, מסבירים שהסיכונים מתמקדים בליבת הארגון ובשירותים אותם הוא מציע. הפתרון הייחודי שמציעה החברה הוא מוצר שעורך סימולציות התקפה אוטומטיות בשגרה, וממפה את נקודות החולשה והחוזקה במערכות ההגנה של הארגון. בדרך זו, ניתן לייעל ולשפר את נקודות החולשה שנמצאו בכדי למנוע מתקפות עתידיות או במקרה שבו הארגון נתקף, להגיע ערוכים בהתאם.
"אנו מאפשרים ללקוחות לבחון את העמידות שלהם מפני קבוצות תקיפה רבות כולל השיטות והכלים בהם נעשה שימוש", אומר תומר בר, Director Of Security Research בחברת SafeBreach, "תוך שאנו חוקרים את השיטות והכלים הידועים, הלקוח מקבל מידע אופרטיבי ויכול להיערך ברמה הפנים-ארגונית. המטרה היא שחברות יתכוננו לאירועים מראש, ולא יגיבו רק לאחר שהם מתרחשים".
