תחזית איומי הסייבר ל-2022: בעלי ארנק קריפטו צריכים להיזהר
על פי הדוח השנתי של פורטינט, מתקפות הסייבר מכוונות לכל היעדים – החל מארנקי קריפטו ועד לאינטרנט לווייני. עוד על הכוונת של התוקפים: מערכות הפעלה של Linux והספורט האלקטרוני
פורטינט חשפה את תחזיות איומי הסייבר של מעבדות FortiGuard, גוף המחקר ומודיעין האיומים הגלובלי של החברה, לשנת 2022 והלאה. פושעי הסייבר מתפתחים ומרחיבים את שיטות התקיפה שלהם כדי להתמקד בתחומים חדשים אותם יוכלו לנצל לטובתם לאורך כל שטח התקיפה, במיוחד כאשר מגמת העבודה מכל מקום נמשכת.
הפושעים מחפשים למקסם הזדמנויות, החל מקצוות התומכים ב-5G, דרך ליבת הרשת, הבית ואפילו האינטרנט הלווייני בחלל. התחזיות חושפות את האסטרטגיות אשר לדעת חוקרי פורטינט ישמשו את פושעי הסייבר בעתיד הקרוב ואת ההמלצות אשר יסייעו להתגונן מפני המתקפות.
התגברות של טכניקות איסוף מודיעין כדי למקסם מתקפות לעיתים קרובות דנים במתקפות במונחים של איומי left-hand ו-right-hand, כאשר מתבוננים דרך שרשרת מתקפה כמו מסגרת העבודה ATT&CK של MITRE. בצד השמאלי של שרשרת המתקפה נמצאים השלבים לפני הרצת המתקפה, הכוללים אסטרטגיות תכנון, פיתוח וחימוש בעוד שבצד ימין נמצא שלב ההוצאה לפועל של המתקפה. חוקרי מעבדות FortiGuard צופים כי פושעי הסייבר יקדישו זמן ומאמצים רבים יותר לצורך איסוף מודיעין וגילוי של יכולות zero-day כדי לנצל טכנולוגיות חדשות ולהבטיח כי המתקפות שלהם יהיו מוצלחות יותר. כמו כן, צפויה עלייה בשיעור המתקפות החדשות שניתן להוציא לפועל מצד ימין עקב התרחבות שוק הפשיעה-כשירות (Crime-as-a-Service).
מתקפות הכופר יהפכו להרסניות יותר: תוכנות הפשיעה ימשיכו להתרחב ומתקפות הכופר ימשיכו להיות במוקד הפעילות גם בעתיד. התוקפים המשיקים מתקפות כופר כבר משלבים את המתקפות הללו יחד עם מתקפות מניעת שירות מבוזרות (DDoS) בתקווה להציף את צוותי ה-IT, כך שהם לא יהיו מסוגלים לנקוט בפעולות ברגע האחרון כדי לצמצם את הנזק הנגרם על ידי המתקפה. הוספה של תוכנת מחיקה זדונית (Wiper) שמהווה פצצת זמן מתקתקת – שיכולה לא רק להרוס נתונים, אלא גם להחריב מערכות וחומרה – יוצרת דחיפות נוספת עבור החברות לשלם את הכופר במהירות. מתקפות המשתמשות בתוכנת מחיקה זדונית כבר חזרו לאור הזרקורים, כאשר התגלתה מתקפה שכזו במשחקים האולימפיים בטוקיו.
בהינתן רמת ההתכנסות אשר נראתה בין שיטות התקיפה של פושעי הסייבר ואיומים מתקדמים מתמידים (APTs), מדובר רק בעניין של זמן לפני שיכולות הרסניות כמו תוכנות מחיקה זדוניות יתווספו לארגז הכלים של מתקפות הכופר. מתקפות אלו עלולות להוות דאגה עבור סביבות קצה מתפתחות, תשתיות קריטיות ושרשראות אספקה.
פושעי הסייבר משתמשים בבינה מלאכותית כדי להתמקצע בדיפ-פייק: הבינה המלאכותית כבר נמצאת בשימוש לצרכי הגנה בדרכים רבות, כמו איתור התנהגות חריגה אשר עלולה להצביע על מתקפה, לרוב על ידי בוטנטים. חשוב להבין כי גם פושעי הסייבר ממנפים בינה מלאכותית כדי להדוף את האלגוריתמים המשמשים כדי לאתר את הפעילות החריגה שלהם. בעתיד הקרוב, התחום יתפתח ויהפוך לנושא לדאגה בעקבות השימוש של הדיפ-פייק בבינה מלאכותית כדי לחקות פעילויות אנושיות, בין היתר, כדי לשפר מתקפות הנדסה חברתית. כמו כן, רף יצירת הדיפ-פייק יהיה נמוך יותר באמצעות המסחור המתמשך של יישומים מתקדמים. אלו יכולים, בסופו של דבר, להוביל להתחזות בזמן אמת באמצעות יישומי ווידאו וקול אשר יכולים לעבור ניתוח ביומטרי, מה שמציב אתגרים עבור דרכי אימות מאובטחות, כמו טביעת קול או זיהוי פנים.
התגברות מתקפות נגד מערכות בשרשרת האספקה שלא היוו יעד עד כה: מערכות מבוססות Linux מריצות הרבה ממערכות מחשוב ה-back-end ברשתות רבות ועד לאחרונה, היא לא שימשה כמטרה מרכזית עבור קהילת פושעי הסייבר. אך לאחרונה, אותרו קבצים בינאריים זדוניים חדשים אשר התמקדו ב-WSL (תת-מערכת של Windows ל-Linux), שהיא שכבת תאימות להפעלת קבצי הרצת Linux בינאריים מקוריים של Windows 10, Windows 11 ו-Windows Server 2019. בנוסף לכך, תוכנות זדוניות של בוטנטים כבר נכתבות עבור פלטפורמות Linux, מה שמרחיב את שטח התקיפה אל ליבת הרשת ומגביר את האיומים שיש להתגונן מפניהם. איום זה ישפיע על התקני טכנולוגיה תפעולית (OT) ושרשראות אספקה הפועלות על פלטפורמות Linux.
פושעי הסייבר מתמקדים בכל דבר – הארנק שלכם, הבית ואפילו החלל האתגר העתידי העומד בפני גורמי האבטחה הוא הרבה מעבר למספר הגובר של מתקפות או השיטות המתקדמות של פושעי הסייבר. התוקפים חוקרים תחומים חדשים אותם יוכלו לנצל, אשר מתפרשים על פני שטח תקיפה רחב אף יותר. מדובר באתגר קשה במיוחד היות ובו בזמן, ארגונים ברחבי העולם ממשיכים להרחיב את הרשתות שלהם באמצעות קצוות רשת חדשים המונעים על ידי עבודה מכל מקום (WFA), למידה מרוחקת ושירותי ענן חדשים. באופן דומה, בבית, הלמידה המחוברת ותחום הגיימינג הפכו בתקופה האחרונה לפעולות שבשגרה. העלייה בקישורים מהירים, בכל מקום וכל הזמן, מציגה הזדמנויות תקיפה עצומות עבור פושעי הסייבר. הגורמים העוינים יעבירו משאבים משמעותיים כדי להתמקד ולנצל את הקצוות החדשים אשר צצים והסביבות הנוצרות בכל מקום לאורך הרשת המתרחבת ולא יסתפקו רק בליבת הרשת.
פשיעת הסייבר מתמקדת בחלל: חוקרי מעבדות FortiGuard צופים לראות איומי POC (הוכחת היתכנות) חדשים המתמקדים ברשתות לוויין במהלך השנה הקרובה, זאת עקב הגידול בגישת אינטרנט מבוססת-לוויין. המטרות העיקריות יהיו ארגונים אשר מסתמכים על חיבוריות מבוססת-לוויין כדי לתמוך בפעילויות בשיהוי נמוך, כמו משחקים מקוונים או אספקת שירותים קריטיים למיקומים רחוקים, כמו גם משרדים מרוחקים בשטח, צינורות, ספינות וחברות תעופה. משמעות הדבר היא הרחבת שטח התקיפה הפוטנציאלי ככל שארגונים יוסיפו רשתות לוויין כדי לחבר מערכות שהיו לפני כן מחוץ לרשת – כמו התקני OT מרוחקים – לרשתות המחוברות שלהם. ככל שהדבר ימשיך לקרות, עולה הסבירות למתקפות שונות, כמו מתקפות כופר.
שמרו על הכיסים הדיגיטליים שלכם: גניבת מידע של העברות בנקאיות הפכה לקשה יותר עבור פושעי הסייבר היות ומוסדות פיננסיים מצפינים את הטרנסאקציות שלהם ודורשים אימות רב-שלבים (MFA). ארנקים דיגיטליים, מצד שני, עלולים להיות לעיתים פחות מאובטחים. בעוד כי ארנקים של אנשים אינדיבידואליים לא משתלמים כל כך, דבר זה יכול להשתנות היות ועסקים מתחילים להשתמש באופן גובר בארנקים דיגיטליים כמטבע עבור עסקאות מקוונות. סביר להניח כי דבר זה יביא עמו שימוש בתוכנות זדוניות רבות יותר אשר מתוכננות להתמקד בפרטים אישיים המאוחסנים על הארנקים הדיגיטליים ולרוקן אותם.
הספורט האלקטרוני משמש כיעד: הספורט האלקטרוני מורכב מתחרויות גיימינג מאורגנות ומרובות-שחקנים, המערבות פעמים רבות שחקנים וצוותים מקצועיים. מדובר בתעשייה משגשגת אשר נמצאת בדרכה לעבור את הסכום של מיליארד דולר בהכנסות השנה. הספורט האלקטרוני מהווה יעד מזמין עבור פושעי הסייבר, בין אם באמצעות שימוש במתקפות מניעת שירות, מתקפות כופר, גניבה פיננסית וגניבת עסקאות או מתקפות הנדסה חברתית, היות וגיימינג דורש חיבוריות קבועה ולעיתים קרובות מתבצע באמצעות רשתות ביתיות לא מאובטחות או בסיטואציות של כמויות גדולות של רשתות Wi-Fi פתוחות. עקב טבעו האינטראקטיבי של תחום הגיימינג, הוא מהווה יעד למתקפות של הנדסה חברתית. בהינתן שיעור הצמיחה והעניין הגובר, הספורט האלקטרוני והמשחקים המקוונים צפויים להיות מטרות גדולות עבור מתקפות הסייבר בשנה הקרובה.
האיומים החדשים נמצאים בקצה הרשת קצוות רשת רבים יותר כוללים מספר גדל של התקני IoT ו-OT, כמו גם התקנים חכמים המופעלים באמצעות 5G ובינה מלאכותית, המאפשרים יצירה של טרנסאקציות ויישומים בזמן אמת. איומים חדשים מבוססי-קצוות ימשיכו להופיע ככל שפושעי הסייבר ימשיכו להתמקד ברשת המורחבת כולה כנקודת כניסה לצורך ביצוע מתקפה. התוקפים יפעלו כדי למקסם כל פער אבטחה אפשרי הנוצר על ידי הקצוות החכמים והחידושים בכוח המחשוב כדי ליצור איומים הרסניים יותר בקנה מידה חסר תקדים. ככל שהתקני הקצה הופכים לעוצמתיים יותר ובעלי יכולות מובנות יותר, מתקפות חדשות יתוכננו עבורם. המשך ההתכנסות בין רשתות ה-IT וה-OT צפויה להביא לעלייה במתקפות המתמקדות ב-OT, במיוחד בקצוות.
פושעי הסייבר משגשגים ממתקפות Living Off the Land בקצוות: ניתן לראות את ההתפתחות של איומים חדשים מבוססי-קצוות. מתקפה מסוג Living off the land (שימוש בכלים קיימים) מאפשרת לתוכנה זדונית למנף ערכות כלים ויכולות קיימות בסביבות שנפגעו, כך שמתקפות וחילוץ נתונים ייראו כפעילות נורמלית של המערכת ואף אחד לא יבחין בה. מתקפות ה-Hafnium על שרתי Microsoft Exchange השתמשו בטכניקה זו כדי לפעול בהתמדה בשרתי הדומיין. מתקפות Living off the land יעילות בגלל שהן משתמשות בכלים חוקיים כדי להוציא לפועל את הפעילויות הזדוניות שלהן. השילוב של מתקפות אלו יחד עם סוסים טרויאנים בעלי גישה לקצה (EATs) יכול להביא למתקפות חדשות אשר יתמקדו בקצה ולא רק בפני השטח, ככל שהתקני הקצה הופכים לעוצמתיים יותר, בעלי יכולות מובנות רבות יותר וכמובן, בעלי פריבילגיות רבות יותר. תוכנה זדונית בקצה הרשת יכולה לנטר את הפעילויות ואת הנתונים ואז לגנוב, לחטוף או אפילו לדרוש כופר עבור מערכות, יישומים או מידע קריטי, תוך הימנעות מאיתור.
הרשת האפלה מגדילה את המתקפות על תשתיות קריטיות: פושעי הסייבר למדו שהם יכולים להרוויח כסף על ידי מכירת התוכנות הזדוניות שלהם כשירות באינטרנט. במקום להתחרות עם פושעים אשר מציעים כלים דומים, הם מרחיבים את הפורטפוליו שלהם כדי לכלול מתקפות מבוססות OT, לצד המשך ההתכנסות בין ה-OT וה-IT בקצה. החזקה במערכות ותשתיות קריטיות תמורת כופר תהיה רווחית, אך הדבר יכול להיות גם בעל השלכות מפחידות, כולל השפעה על החיים ועל הביטחון של בני האדם. היות והרשתות מתקשרות ביניהן באופן גובר, כל נקודת גישה יכולה לשמש כמטרה כדי לקבל גישה לרשת ה-IT. באופן מסורתי, מתקפות על מערכות OT היו השטח של גורמים עוינים שמתמחים יותר בתחום, אך יכולות כאלה נכללות יותר ויותר בערכות תקיפה הזמינות לרכישה ברשת האפלה, מה שהופך אותן לזמינות עבור קבוצת תוקפים רחבה יותר.
פלטפורמת מארג אבטחה אשר נוסדה על ארכיטקטורת רשת של אבטחת סייבר היקף הרשת הפך למקוטע יותר וצוותי אבטחת הסייבר פועלים פעמים רבות באופן מבודד. בו בזמן, ארגונים רבים עוברים למודלים של ריבוי-עננים או מודלים היברידיים. כל הגורמים הללו יוצרים את ההזדמנות המושלמת עבור פושעי הסייבר ליישם גישה הוליסטית ומתוחכמת. ארכיטקטורת רשת של אבטחת סייבר משלבת בקרות אבטחה לתוך ולאורך רשתות ונכסים מבוזרים ביותר. בשילוב עם גישת מארג אבטחה (Security Fabric), ארגונים יכולים להרוויח מפלטפורמת אבטחה אשר מאבטחת את כל הנכסים באתר המקומי של הלקוח, במרכז הנתונים, בענן או בקצה.
גורמי האבטחה יצטרכו לתכנן את אסטרטגיות האבטחה העתידיות שלהם כבר היום באמצעות מינוף כוחן של הבינה המלאכותית ולמידת המכונה כדי להאיץ מניעה, איתור ותגובה לאיומים. טכנולוגיות מתקדמות כמו איתור ותגובה לנקודות קצה (EDR) יכולות לסייע לזהות איומים זדוניים בהתבסס על התנהגות. כמו כן, גישת רשת במודל zero-trust (ZTNA) תהיה קריטית לאבטחת גישה ליישומים כדי להרחיב את ההגנות עבור העובדים הניידים, בעוד כי ה-Secure SD-WAN חשוב כדי להגן על קצות ה-WAN המתפתחים. בנוסף לכך, הסגמנטציה תמשיך להיות אסטרטגיה חיונית כדי להגביל את התנועה הרוחבית של התוקפים בתוך הרשת ולהגביל את הפרצות לחלק קטן של הרשת. מודיעין איומים משולב שניתן לפעול לפיו יכול לסייע לשפר את יכולת הארגון להתגונן בזמן אמת, בד בבד עם עליית קצב הפעילות של התוקפים.
בשלב המיידי, כל המגזרים וכל סוגי הארגונים יכולים לשתף פעולה ונתונים כדי לאפשר תגובות יעילות יותר ולחזות בצורה טובה יותר את השיטות העתידיות של התוקפים ולסכל אותן. איחוד כוחות באמצעות שיתופי פעולה צריך להיות בראש סדר העדיפויות כדי לשבש את מאמצי שרשרת האספקה של פושעי הסייבר לפני שהם יצליחו להוציא לפועל את התוכניות הזדוניות שלהם.
דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard, פורטינט, אמר כי, "פושעי הסייבר מתפתחים והופכים דומים יותר לקבוצות APT מסורתיות; מצוידים במתקפות zero-day, הרסניים ומסוגלים להרחיב את הטכניקות שלהם ככל הנדרש כדי להשיג את מטרותיהם. אנו נראה מתקפות אשר יוצאות אל מחוץ לרשת המורחבת, אפילו אל החלל, כאשר התוקפים מנצלים את היקף הרשת המקוטע, את הצוותים והכלים המבודדים ואת שטח התקיפה המורחב. כדי להיאבק באיומים מתפתחים אלו, ארגונים צריכים לאמץ פלטפורמת מארג אבטחה אשר בנויה על ארכיטקטורת רשת של אבטחת סייבר".