Connect with us

אבטחת מידע ארגונית

פריצות בצד השרת שולטות במפת האיומים, ופרצות OT גדלו ב- 120 אחוז

פורסם

ב-

ניתוח מגמות מצב האיומים ב- 2017 של סקייבוקס מראה כי הנכסים הקשים ביותר לתיקון הופכים ליותר ויותר פגיעים

 סקייבוקס סקיוריטי  הכריזה היום על פרסום דו"ח מגמות בפרצות ואיומים הראשון שלה, אשר מנתח פגיעויות, פריצות ואיומים שנצפו ב- 2017. הדוח, שנערך על ידי צוות אנליסטים וחוקרים במעבדת המחקר של סקייבוקס, נועד לסייע לארגונים לתאם את אסטרטגיית האבטחה שלהם מול תמונת האיומים בשטח.

מגמה שנצפתה במשך השנים האחרונות,  היא זו של גורמי איום שהופכים פשיעת סייבר למכונה לעשיית כסף. חלק אינטגרלי של גישה זו הוא בחירה בדרך של העמידות הפחותה ביותר, כלומר מינוף כלי תקיפה קיימים במקום פיתוחם של חדשים, שימוש באותה תקיפה על קורבנות רבים ככל הניתן, והתקפה של ה"טרף קל". ממצאי הדוח מטילים אור על כיצד השתנו מטרות אלה כדי לכלול את הנכסים שבדרך כלל קשה יותר לעדכן אותם.

Ron Davidson

במהלך 2017, מרבית הפריצות פגעו באפליקציות צד שרת (76%), גידול של 17% מאז 2016. רון דודזון, סמנכ"ל הטכנולוגיות  (CTO) של סקייבוקס, מציין כי התמודדות עם פגיעויות בצד השרת היא תמיד קשה יותר, מכיוון שהנכסים בעלי הערך הגבוה ביותר  דורשים תשומת לב רבה יותר בניהול עדכוני התוכנה. "מאחר שמרבית הנכסים בארגונים נמצאים על שרתים ולאו דווקא על תחנות קצה", מסביר דודזון, "ארגונים זקוקים לאמצעים כדי להבין פגיעויות צד שרת אלה בהקשר המתאים – של קריטיות הנכס,  טופולוגיית הרשת ובקרות אבטחה סביבם, ופעילות האיומים בשטח. רק אז הם יכולים להחליט במדויק על תיעדוף התיקון האופטימלי והתזמון שלו".

הגידול בתקיפות בצד השרת מקביל לירידה בשימוש בערכות פריצה מוכנות (Exploit Kits) המתבססות על פגיעות בתחנות קצה – אלה מהוות כיום רק רבע מהפריצות שאותרו בשטח בשנה האחרונה. הדבר נגרם, בין היתר, כתוצאה מהיעלמותם של ספקי ערכות פריצה מובילים, כגון Angler, Neutrino ו- Nuclear, מבלי שיופיע יורש ראוי שיחליף אותם. "למרות זאת, אין זה אומר שערכות הפריצה נעלמו", אומרת מרינה קדרון, אנליסטית אבטחת-מידע בכירה וראש הקבוצה של מעבדת המחקר של סקייבוקס. "אם יש דבר אחד שאנו יודעים אודות עברייני הסייבר, הוא שהם מתאימים את הטקטיקות שלהם כל הזמן, כך שסביר להניח שערכת הפריצה הגדולה הבאה נמצאת בפיתוח בעוד אנו מדברים. אנו גם חושדים שחלק מערכות הפריצה 'הפכו לפרטיות', ונמצאות בשימוש בלעדי של מפתחיהן בתקווה להאריך את חיוניותן".

ב-2017 גם גברו ההופעות של דוגמאות קטעי-קוד פריצה (Exploit Code) חדשים שפורסמו ברשת, כשהממוצע החודשי קפץ ב- 60% לעומת השנה שעברה. תוקפים יכולים להפוך קטעי קוד כאלה לכלי פריצה בתפקודיות מלאה, עם התאמות מזעריות או כלל ללא התאמות. תרחיש זה התקיים עם כלי הפריצה EternalBlue שפותח במקור ע"י ה-NSA ודלף באמצעות Shadow Brokers, ושימש בין היתר בהתקפות WannaCry ו- NotPetya. דליפות אלה מביאות כלי תקיפה מתקדמים לידיהם של תוקפי סייבר בעלי מיומנות נמוכה, ומשפרות את יכולות התקיפה שלהם.

Advertisement

"ארגונים צריכים להזדרז לא רק ביחס לפריצות פעילות בשטח", אומרת קדרון, "אלא גם לבצע שקלול של הפרצות אל מול קוד הפריצה שזמין לתוקפים, על מנת לבצע תיעדוף נכון. גם אם המגמה האחרונה אינה מהווה איום מוחשי כעת, המעבר לכלי פריצה פעילים יכול להתרחש במהירות רבה – צוותי אבטחה צריכים תמונת-מודיעין מעודכנת לצדם כאשר הדבר מתרחש".

הדוח גם מראה כי ב- 2017 חל גידול של 120% בפרצות חדשות ספציפיות לטכנולוגיה תפעולית (OT – Operational Technology) בהשוואה לשנה הקודמת (OT כולל התקני ניטור ובקרה הנפוצים  בארגוני תשתיות קריטיות כגון חברות חשמל, תשתיות ויצרנים – ICS, SCADA). זינוק זה מדאיג במיוחד מאחר ולארגונים רבים יש שקיפות נמוכה, אם בכלל, לתוך רשת ה- OT, בעיקר בכל הנוגע לחולשות, מאחר שסריקה פעילה אסורה בדרך-כלל ברשתות אלה.

"OT נמצא בדרך כלל באפלה, והמשמעות היא שמנהל האבטחה לא מקבל תמונה מלאה של סיכוני הסייבר בארגון", אומרת קדרון. "אפילו כאשר מזהים חולשות הניתנות לתיקון, מהנדסי OT מהססים, ובצדק, לגבי התקנת העדכונים, מאחר שאלה עלולים לשבש את השירות, לגרום נזק לציוד, או אפילו לסכן חיי אדם. ארגונים עם רשתות OT זקוקים לתפישה וכלים לא רק עבור הערכה של פרצות OT ותיעדוף תיקונים, אלא גם כדי לאחד תהליכים כאלה עם תהליכים ברשת ה-IT, כדי להבין לעומק ולנהל סיכונים".

בסך הכל הוכפל ב- 2017 מספרן של הפרצות החדשות שקוטלגו בבסיס הנתונים הלאומי לפרצות (NVD) של MITRE. הקפיצה חלה בעיקר כתוצאה משיפורים ארגוניים ב- MITRE ומחקר אבטחה מוגבר מצד ספקים וגופים חיצוניים, כולל תכניות מתגמלות לגילוי באגים (Bug Bounty programs). התוצאה היא קרוב ל- 15,000 CVEs (חולשות ופרצות נפוצות) חדשות שהתגלו ופורסמו. תהיה הסיבה אשר תהיה, נתונים אלה מציבים אתגר משמעותי בפני הצוותים האחראים על ניהול האבטחה.

"אם ב- 2017 עדיין הסתמכו על שיטות תיעדוף מסורתיות, כגון שיטות לדירוג פרצות נפוצות (CVSS), הרי הרשימה רק הלכה והתארכה", אמר דודזון. "ב- 2018 אנו צפויים לראות מספרים גבוהים אף יותר. ארגונים חייבים לנקוט בגישה שונה לחלוטין לניהול הטיפול בחולשות".

Advertisement

סקייבוקס ממליצה ליצור תכנית לניהול הטיפול בחולשות שתהיה ממוקדת באיומים (TCVM – Threat-Centric Vulnerability Management) לצורך התאמה לשינויים אלה במפת האיומים ולאלה שיבואו בהמשך. גישת ה- TCVM מסייעת לאנשי אבטחה להתמקד בנגזרת קטנה של פרצות בעלות הסבירות הגבוה ביותר לניצול בתקיפה, על ידי ניתוח שלהם מנקודות מבט משולבות של עסקים, רשת ואיומים בשטח.

קראו את הדוח המלא כאן. כדי לדעת יותר על Skybox TCVM בקרו כאן.
הבלוג של מעבדת המחקר של סקייבוקס נמצא כאן.