מידי שנה, חברות אבטחת המידע והסייבר מפרסמות את תחזיות האיומים שלהן לשנה הקרובה, המתבססות על הנתונים שמספקים חוקרי האיומים שלהן. מן הצד השני של המשוואה יושבים חוקרי סייבר ואנשים שתפקידם לאתר ולמנוע מתקפות סייבר, או לעדכן את מוצרי האבטחה שלהם לאותן תחזיות. כיצד הם עושים זאת? דיברנו עם כמה חוקרים ומומחי סייבר על התחזיות לשנה הבאה ועם כמה חוקרים שתפקידם לצמצם את הסכנות על מנת להכיר מקרוב את עבודתם היומיומית.
התחזיות: פושעי הסייבר ירחיבו את שיטות התקיפה
נתחיל בתחזיות לשנה הבאה: חברת פורטינט, מובילה עולמית בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, פרסמה לאחרונה את תחזיות איומי הסייבר של מעבדות FortiGuard, גוף המחקר ומודיעין האיומים הגלובלי של החברה. לפי התחזיות של החוקרים, פושעי הסייבר מתפתחים ומרחיבים את שיטות התקיפה שלהם כדי להתמקד בתחומים חדשים אותם יוכלו לנצל לטובתם לאורך כל שטח התקיפה, במיוחד כאשר מגמת העבודה מרחוק נמשכת. הפושעים מחפשים למקסם הזדמנויות, החל מקצוות התומכים ב-5G, דרך ליבת הרשת, הבית ואפילו האינטרנט הלווייני בחלל. תחזיות איומי הסייבר חושפות את האסטרטגיות, אשר לדעת חוקרי פורטינט ישמשו את פושעי הסייבר בעתיד הקרוב ואת ההמלצות אשר יסייעו להתגונן מפני המתקפות.
דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard של פורטינט, מסביר מה צפוי לנו בשנה הקרובה וכיצד חוקרי הסייבר יידרשו להתמודד עם הסכנות: "המתקפות ימשיכו להתפרס על פני כל שטח התקיפה, מה שיקשה על מומחי הסייבר והם יאבקו כדי לכסות כל שטח תקיפה אפשרי. הדבר יהיה מאתגר במיוחד היות ושטח התקיפה יתרחב גם עקב המעבר של ארגונים לסביבות וחללי עבודה היברידיים, אימוץ טכנולוגיות מבוססות בינה מלאכותית ולמידת מכונה, פיתוח אפשרויות קישוריות חדשות ופריסת יישומים והתקנים נוספים הקריטיים לעסקים אשר רוצים לפעול בענן. אם נבין אילו איומי סייבר העתיד צופן עבורנו, נוכל לתת לעצמנו את הסיכוי הטוב ביותר לנטרל אותם".
מטבעות קריפטוגרפיים ימשיכו לתדלק את פשיעת הסייבר
דוח האיומים של סופוס, מובילה גלובלית באבטחת הדור הבא, מראה כיצד כוח המשיכה של תוכנות הכופר מייצר חור שחור, שמושך אליו איומי סייבר אחרים ויוצר מערכת אספקה מחוברת ומאסיבית לאספקת תוכנות כופר עם השלכות משמעותיות על אבטחת המידע. הדוח, אשר נכתב על-ידי חוקרי האבטחה של SophosLabs, צוות ציידי האיומים, צוות תגובה מהירה וצוות ה-AI של סופוס, מזהה מגמות בשירותי תוכנות כופר, קוד זדוני מסחרי, כלי תקיפה, כורי קריפטו ואיומי אבטחה נוספים שיעסיקו ארגונים ב-2022.
לדברי חוקרי סופוס, אופק תוכנות הכופר יהפוך למודולרי ואחיד יותר וספקי תוכנות הכופר ימשיכו להציע אותן כשירות (RaaS). איומי סייבר ותיקים ימשיכו לבצע התאמות כדי להפיץ ולהחדיר תוכנות כופר. השימוש בדרכים מרובות לסחיטה כדי ליצור לחץ על הקורבנות לתשלום כופר צפוי להמשיך ולצמוח מבחינת היקף ועוצמה. מטבעות קריפטוגרפיים ימשיכו לשמש דלק לפשיעת סייבר, כגון תוכנות כופר והפעלת כורים זדוניים של מטבעות קריפטוגרפים.
"כבר לא מספיק שארגון יניח כי הוא מוגן באמצעות כלים לניטור אבטחה ויניח כי הם מזהים קוד זדוני", אומר צ'סטר ווישנייבסקי, מדען מחקר ראשי בסופוס. "שילובים מסוימים של זיהוי או התראות הם המקבילה הווירטואלית של פורץ, שישבור צנצנת פרחים בעודו מטפס דרך החלון האחורי. המגינים חייבים לחקור התראות, אפילו כאלו שנחשבו בעבר ללא משמעותיות – מאחר והן הפכו לנקודת גישה להשתלטות על הרשת כולה".
גילוי חולשות בקוד עוד בתהליך הפיתוח
כפי שניתן לראות, חוקרי אבטחת מידע ברחבי העולם פועלים ללא לאות כדי לאתר את איומי סייבר הקיימים והעתידיים ולנסות לסכל אותם לפני התרחשותם. שוחחנו עם כמה מהם כדי להבין כיצד הם עושים זאת.
טל מלמד, דירקטור בכיר למחקר בחברת קונטרסט סקיוריטי, המתמחה בפתרונות אבטחה לאפליקציות בתהליך הפיתוח ומפעילה בישראל מרכז פיתוח וסניף מכירות, מספר על תהליך הפיתוח של מוצרי אבטחה, אשר יתמודדו עם מתקפות וסיכוני סייבר: "ארגונים רבים עברו לעבודה על גבי פלטפורמת הענן, המהווה כיום עבורם תשתית קריטית. לכן, אם קיימת פגיעות רצינית בשירותי הענן הנזק הוא אדיר. התפקיד שלנו כחוקרים הוא לבדוק פלטפורמות שונות, לנסות לאתר חולשות, לזהות אותן ולחקות אותן וזאת צעד אחד לפני האקרים. בניגוד להאקרים, חוקרי אבטחה פועלים למטרות חיוביות, כמו העשרה ושיפור של מוצרי החברה והנגשת הידע לקהילה.
"המחקר שאני מוביל מתמקד בתשתיות ענן ובסביבות פיתוח מודרניות (סרברלס), אשר מאפשרות לארגוני פיתוח לזוז מהר יותר ויעיל יותר מצד אחד, ומייצרות מורכבות חדשה של סיכוני אבטחה לארגון מצד שני. הצוות שלי ואני מפתחים סימולציות של התקפה שיעזרו לנו לגלות חולשות בקוד עוד בתהליך הפיתוח ועם מינימום הפרעה למפתחים. דוגמה לעבודה שעשיתי בעבר הוצגה בכנס BLACKHAT 2019. הצגתי שם חולשה בדמות תקיפת אפליקציה מבוססת סרברלס על-ידי שימוש בפקודות קוליות בלבד. באמצעות אותן פקודות ודרך מכשיר ALEXA הצלחתי לחדור למערכת ולהוכיח שניתן לגנוב מידע מהדאטה-בייס. הפעילות שלנו כחוקרים קריטית ליישום כבר בשלבי הפיתוח וזאת על מנת לשחרר קוד בטוח ככל הניתן לייצור".
לאפיין את התוקפים בצורה מדויקת
עידן רביבו, ראש צוות המחקר באקווה סקיוריטי, מתייחס לאחד האתגרים המרכזיים כיום בתחום הסייבר, אבטחת מידע בענן: "מיום הקמת החברה, אחת מאבני היסוד של אקווה היא ההגנה שבזכותה ניתן להשתמש בטכנולוגיית הענן. כלומר, למנוע מהתוקפים להיכנס לשירותים שנמצאים בענן ולנצל אותם לרעה. המטרה של צוות המחקר שלי היא להבין את התוקפים, את המטרות שלהם ואת הדרכים בהן הם משתמשים. התפקיד שלנו הוא למדל את ההתנהגויות שלהם, להבין את נקודות התורפה דרכן התוקפים נכנסים, איך הם מריצים את הקוד הזדוני שלהם, כיצד הם מצליחים להתחבא מכלי ההגנה. דרך ניתוח ההתנהגויות של התוקפים אנחנו מבינים אילו כלי אבטחה אנחנו צריכים להקים".
כדי להתמודד עם התוקפים, הקימו אקווה סקיוריטי את צוות המחקר בהובלתו של רביבו. "הצוות שלנו פורש שרתים פגיעים באינטרנט וכך אנחנו אוספים הרבה מידע על אופי הפעולה של התוקפים. זה סוג של אומנות - לאפיין את התוקפים בצורה המדויקת בעזרת המידע הקיים ברשותנו ולהשתמש במידע הזה כדי לשפר את ההגנות עבור הלקוחות שלנו. אני אוהב לדמות את התפקיד שלנו לעבודת שמירה על בסיס צבאי. אנחנו סורקים את כל מה שנכנס לבסיס ומגנים על גדרותיו וגבולותיו, אבל בעיקר שומרים גם בתוך הבסיס, כך שאם אחת הדלתות בתוך הבסיס תיפתח בשעה כלשהי לפנות בוקר, הדבר יאותת לנו שמשהו חריג קורה".
להתאים את השירות והפתרונות ללקוח
לדברי דוריה גלעם, מנהל צוות תקיפה ב-Matrix 2Bsecure: "צוות התקיפה שלנו מורכב מהאקרים מנוסים ומקצועיים, אשר מבצעים מגוון סוגי בדיקות ביישומים, אפליקציות ותשתיות שונות. העבודה משתנה בהתאם לאופי הלקוח וצרכיו, כאשר יכולים להיות לנו פרויקטים קצרים של מספר ימים, או פרויקטים מתמשכים על פני מספר שבועות. אנחנו עובדים בשיתוף פעולה עם הלקוח להבנת הצרכים ואיפיון הבדיקה המתאימה ומעדכנים אותו על התקדמות הבדיקות והממצאים לאורך כל התקופה. בסיום הפרויקט, אנחנו מלווים את הלקוח עד להשלמת תיקון הליקויים ומבצעים בדיקת תקינות בשנית".
גלעם מוסיף, "איומי התקיפה ממשיכים להתפתח כל הזמן ובהתאם לכך, עולם אבטחת המידע ואיתו גם יכולות הבדיקה שלנו מתחדשות כל העת, כך שכל יום אני לומד משהו חדש. אנחנו עובדים עם לקוחות בעולמות תוכן שונים ואפשר להגיד שהאתגר הגדול ביותר הוא לדעת להתאים את השירות והפתרונות שלנו ללקוח. על מנת למטב את הפתרונות שלנו בכל פרויקט, אנחנו מבצעים הרבה תהליכים של למידה עצמית, תוך חקירת המערכות והבנת הטכנולוגיות הפועלות בקרב כל אחד מלקוחותינו. ישנם לקוחות שאינם מגיעים מעולמות הטכנולוגיה והאתגר שלנו הוא לתת את המענה המקצועי ביותר, במטרה לסייע לארגון ליישם מדיניות אבטחת מידע איכותית, שתספק את ההגנה הטובה ביותר עבורו ועבור המערכות הפועלות בו".
2021 - שנת המפנה בסייבר
עלייתה של הכופרה, העברת המוקד לשרשרת האספקה, מוטיבציות כלכליות ולאומניות בתמהיל קשה להפרדה. סיכום המגמות המרכזיות בסייבר בשנה החולפת | רועי ירום
נדמה שבכל שנה אנחנו חוזים ב-"שנת המפנה" של הסייבר. רמת האיום, תוחלת הנזק, הבולטות בסדר היום הציבורי והארגוני, מגיעים לשיאים חדשים שנה אחרי שנה. מה בכל זאת הפך את 2021 ליוצאת דופן?
מודל התקיפה: עלייתה של הכופרה. מגמה זו, שמתעצמת בשנים האחרונות, חוותה עליית מדרגה משמעותית ב-2021. מתקפות כופרה משתקות הלמו בארגונים מסביב לעולם: במשק האנרגיה, הבריאות, הייצור, התחבורה, הפיננסים ועוד. מתקפות אלו הוכיחו כי הן מסוגלות לשבש רציפות תפקודית של שירותים חיוניים ולגרום לנזק מוחשי בעולם הפיזי. העלייה בעצימות הכופרות איננה תוצאה של מהפכנות ויצירתיות טכנולוגית בצד התוקף, אלא גרוע מכך, של הבשלה תודעתית, עסקית ממש, כיצד הפשע יכול להשתלם במרחב הסייבר. חציית הסף הזה פירושו מציאות חדשה, של בעיה כלכלית-חברתית-ביטחונית, שתלווה את מקבלי ההחלטות הבכירים בארגונים ובמדינות בשנים הקרובות.
ערוץ התקיפה: המוקד עובר לשרשרת האספקה. שנת 2021 המחישה את התלות של ארגונים זה בזה. שוב ושוב מתקפות סייבר הצליחו לחדור, לגנוב מידע רגיש ולהסב נזק, תוך שימוש בספקים כערוץ חדירה: חברות אחסון, ענן , ספקיות תוכנה ונותני שירותים דיגיטליים אחרים הם בטן רכה ופגיעה של אקו-סיסטם הסייבר. התובנה שמתחדדת היא משולשת. ראשית, ההיגיינה, החוסן של ארגון בסייבר, טובים רק כמו ההיגיינה והחוסן של הספק הפגיע ביותר בשרשרת האספקה שלו. שנית, חולשות כמו log4j האקטואלית עד כדי כאב, מדגימות את השבריריות והפגיעות של מוצר, של תוכנה ושל חומרה. אמיתות אלו מחייבות עירנות מתמדת, והטמעת שגרות ארגוניות של חיפוש מתמיד של ליקויים וטיפול בהם. שלישית, הקורונה האיצה את המגמה של התרחבות החיץ הארגוני, אל "המשרדים הביתיים" אל המובייל ואל עמדות קצה מגוונות. גם אלו מהווים כיום נתיבי חדירה אפשריים ומפתים אל נכסיו הרגישים של כל ארגון.
התוקף: טשטוש הגבולות בין המדינה לפרט. מלחמות סייבר אינן עוד משהו במחוזות הפנטזיה, מדובר במציאות. אמנם, מציאות מורכבת וסבוכה. הקשר בין קבוצות תקיפה למדינות שנותנות להן חסות הוא בעל שונות גבוהה, לא תמיד ניתן לקשור ביניהם באופן חד-חד ערכי. כך גם בעולמות המוטיבציה. מוטיבציות כלכליות ולאומניות מתערבבות בתמהיל קשה להפרדה. עם זאת, התובנה הברורה היא שארגונים, בכל הגדלים ומכל הסוגים, מהווים מטרות סייבר בלוח משחק שעליו משחקות גם מדינות, והדבר מצריך שינוי מחשבתי בכל העולם, בפרט במדינה כמו ישראל.
החדשות הטובות: הביקוש העולמי לחדשנות כחול-לבן מרקיע שחקים. בשנות הקורונה, שנים של משבר כלכלי עולמי, תעשיית החדשנות הישראלית בסייבר שוברת שיאים ומגיעה למספרים שהיו נתפסים כדמיוניים רק לפני שנה, שלא לדבר על לפני עשור. חברות ההזנק הישראליות שקמו בעשור האחרון מבשילות, מגייסות מיליארדי דולרים, מנפיקות בבורסות בתל-אביב ובניו-יורק ונמכרות בסכומים משמעותיים בארץ ובעולם. בעוד ב-2020 כולה תעשייה זו גייסה קצת פחות משלושה מיליארד דולר, סקירה ראשונית מלמדת, כי סכום זה גדל ב-2021 ביותר מפי-שניים. מדובר בנתח שוק עצום מההשקעה העולמית בתחום הסייבר, המתחרה ראש בראש בנתח השוק האמריקני.
צמיחה מעריכית זו היא תולדה של תרבות חזקה של יזמות וכישרון, של מרכזיות צה"ל וגופי הביטחון באקו-סיסטם ההיי-טק, של הבשלה ובגרות בשוק אחרי עשור של צמיחה, אבל נובעת גם מהתפיסה העולמית המתעצבת של משמעות הסייבר והצורך להיערך להמשך התעצמותו כאיום. תחומים כמו הגנה בענן, הגנה על רשתות ארגוניות מבוזרות ומניעת הונאות זוכים להשקעות חסרות תקדים כמענה לאתגרי השעה.
במידה רבה הסייבר הוא אחד הקטרים המובילים של רכבת ההיי-טק הישראלית בשנתיים האחרונות. האתגר במקרה הזה הוא לתרגם את ההצלחה הזאת, לא רק לפירות כלכליים וחברתיים, עניין חשוב מאוד לכשעצמו, אלא גם לפירות הגנתיים, לוודא כי המשק הישראלי עצמו נהנה מהיכולות המתקדמות המפותחות בו.
עבור "אומת הסייבר", האיום הוא אתגר והזדמנות, ובשנים הקרובות ניבחן ביכולת לשלב בין השניים.
הכותב הוא ראש מרכז התעצמות במערך הסייבר הלאומי
