התרעות
תחזית איומי הסייבר של פורטינט ל-2018
יש להתכונן לנחיל של התקפות סייבר הרסניות ובעלות יכולת למידה עצמית
כלכלת פשיעת הסייבר מאמצת את השימוש בבינה מלאכותית ואוטומציה כדי לדרוש כופר משירותים מסחריים, לתקוף כמויות אדירות של התקני IoT ותשתיות קריטיות
פורטינט (נאסד"ק: FTNT), מובילה עולמית בפתרונות אבטחת סייבר בעלי ביצועים גבוהים, חשפה את ממצאי דוח מפת האיומים של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה, לשנת 2018. להלן ממצאי המחקר העיקריים:
שימוש בטרנספורמציה דיגיטלית – לטוב ולרע
במהלך השנים הקרובות נראה כי מרחבי התקיפה ימשיכו להתרחב, כאשר במקביל היכולת שלנו לאתר את המתקפות ולשלוט על תשתיות תקטן. השגשוג המהיר של מכשירים מקוונים בעלי גישה למידע אישי ופיננסי והקישורית הגוברת שלהם – החל מצבאות של התקני IoT ותשתית קריטית במכוניות, בבתים, במשרדים ועד לעלייתן של ערים חכמות – יצרו הזדמנויות חדשות עבור פושעי סייבר וגורמים עוינים נוספים. שוק פושעי הסייבר רכש מיומנות באימוץ הטכנולוגיות האחרונות בתחומים כמו בינה מלאכותית במטרה ליצור התקפות יעילות יותר. אנו צופים כי מגמה זו תגבר אף יותר בשנת 2018 ותאפשר את היווצרותן של מגמות הרסניות נוספות, כגון:
עלייתן של כוורות ונחילים בעלי יכולת למידה עצמית: בהתבסס על התקפות מתוחכמות כמו Hajime, Devil's Ivy ו-Reaper, אנו צופים כי פושעי הסייבר יחליפו את הבוטנטים במקבצים חדשים של מכשירים אשר נפגעו בשם Hivenets (כוורות) כדי ליצור וקטורי תקיפה יעילים. הכוורות ימנפו את יכולות הלמידה העצמית כדי להתמקד ביעילות במערכות פגיעות בקנה מידה חסר תקדים. הכוורות יהיו מסוגלות לתקשר ביניהן ולפעול בהסתמך על מודיעין מקומי משותף. בנוסף, ה"זומבים" יהפכו לחכמים ויפעלו לפי הוראות ללא צורך בבוטנט אשר ידריך אותם. כתוצאה מכך, הכוורות יהיו מסוגלות לגדול בצורה מעריכית כנחילים וירחיבו את היכולת שלהן לתקוף בו-זמנית קורבנות רבים ולסכל בצורה משמעותית את האפחות והתגובה. אומנם התקפות אלו עדיין לא משתמשות בטכנולוגיית הנחילים, אך טביעת הרגל הקיימת בקוד שלהן תאפשר לפושעים להמיר אותן, כך שיפגינו התנהגות של למידה עצמית. הפושעים ישתמשו בנחילים של התקנים שנפגעו, בקצב וקנה מידה עצום, במקומות בהם קצב ההתפתחות שלהן לא יאפשר את יכולת החיזוי הדרושה כדי להיאבק בהתקפה. מעבדות FortiGuard זיהו 2.9 מיליארד ניסיונות תקשורת בין בוטנטים ברבעון אחד בלבד, מוקדם יותר השנה. מספר זה מספק קנה מידה אודות הנזק העלול להיגרם על ידי הכוורות והנחילים.
כופר של שירותים מסחריים הוא עניין רציני: רק בשנה האחרונה שיעור האיומים של תוכנות כופר גדל פי 35 עם תולעי כופר וסוגי התקפות אחרים, אך הסוף עוד רחוק מלהגיע. קיימת סבירות גבוהה כי היעד הגדול הבא של תוכנות הכופר יהיו ספקי שירותי ענן ושירותים מסחריים אחרים, כאשר המטרה היא ליצור עבורם זרם של הכנסות. הרשתות המורכבות וההיפר-מקושרות אשר פותחו על ידי ספקי ענן יכולות להפיק לפושעי הסייבר נקודת כשל אחת המספקת גישה למאות עסקים, ישויות ממשלתיות, תשתיות קריטיות וארגוני בריאות. אנו צופים כי פושעי הסייבר יתחילו לשלב טכנולוגיות של בינה מלאכותית יחד עם שיטות תקיפה בעלות וקטורים רבים כדי לסרוק, לאתר ולנצל חולשות של ספקי הענן. ההשפעה של התקפות מסוג זה יכולה ליצור הכנסות עצומות עבור ארגוני פשע ולשבש את השירות עבור מאות אלפי עסקים ועשרות אלפי או מיליוני לקוחות.
תוכנות זדוניות מורפיות של הדור הבא: בקרוב נתחיל לראות תוכנות זדוניות אשר יוצרו לחלוטין על ידי מכונות ומתמחות באיתור נקודות תורפה אוטומטי וניתוח נתונים מורכב. תוכנות זדוניות רב-צורתיות (פולימורפיות) הן לא חדשות, אך הן הולכות לקבל זווית חדשה על ידי מינוף בינה מלאכותית כדי ליצור קוד חדש ומתוחכם אשר יכול לחמוק מאיתור באמצעות רוטינות הנכתבות על ידי מכונה. עם ההתפתחות הטבעית של כלים קיימים, פושעים יהיו מסוגלים לפתח את הפירצות הטובות ביותר המבוססות על המאפיינים הייחודיים של כל נקודת תורפה. כבר היום התוכנות הזדוניות מסוגלות להשתמש במודלים של למידה כדי לחמוק מאבטחה והן יכולות להפיק מעל למיליון גרסאות של וירוסים ביום. עד כה, הדבר היה מבוסס רק על אלגוריתם, ללא תחכום ושליטה רבים על התפוקה. מעבדות FortiGuard תיעדו 62 מיליון גילויים של תוכנות זדוניות במהלך רבעון אחד בשנת 2017. מתוך מיליוני התוכנות הזדוניות אשר אותרו, 16,582 גרסאות מתוכן הגיעו מ-2,534 משפחות שונות. כמו כן, 1 מתוך 5 ארגונים דיווח כי התוכנות הזדוניות התמקדו בהתקנים ניידים. האוטומציה המוגברת של תוכנות זדוניות תהפוך את המצב הזה לדחוף יותר בשנה הקרובה.
התשתית הקריטית עוברת לחזית: ספקי תשתית קריטית ממשיכים להיות המוקד העיקרי לדאגה הנובעת מאיומים אסטרטגיים וכלכליים, היות והם מפעילים רשתות בעלות ערך גבוה המגינות על שירותים ומידע חיוניים. מרבית התשתית הקריטית ורשתות טכנולוגיה תפעולית ידועות כבעלות סיכוי גבוה להיפגע, היות והן תוכננו במקור להיות מבודדות ומרווחות. הציפייה לתגובה לדרישות העובדים והלקוחות בקצב מהיר התחילה לשנות את הדרישות של הרשתות הללו וכתוצאה מכך, מניעה את הצורך באבטחה מתקדמת לרשתות אלו. כיום, ספקי תשתיות קריטיות מוצאים את עצמם במרוץ חימוש כנגד ארגונים לאומיים, ארגוני פשע וארגוני טרור עקב החשש מפגיעה ברשתות אלו והתוצאות ההרסניות שיבואו לאחר מכן. הנועזות של הפושעים והתכנסות טכנולוגיית המידע והטכנולוגיה התפעולית הפכו את אבטחת הרשתות הקריטיות לעדיפות עליונה בשנת 2018 והלאה.
הרשת האפלה וכלכלת פשיעת הסייבר מציעות שירותים חדשים המשתמשים באוטומציה: עולם פשיעת הסייבר מתפתח וכך גם הרשת האפלה (darkweb). ארגוני הפשע-כשירות (Crime-as-a-Service) משתמשים בטכנולוגיית אוטומציה חדשה ואנו צופים לראות שירותים חדשים להאקרים אשר יוצעו ברשת האפלה. כבר היום אנחנו רואים הצעות של שירותים מתקדמים הממנפים יכולת למידת מכונה בשוק של הרשת האפלה, כמו שירות ה-FUD (Fully Undetected). שירות זה מאפשר למפתחים בשירות פושעי הסייבר להעלות קוד תקיפה ותוכנות זדוניות לשירות ניתוח תמורת תשלום. לאחר מכן, הפושעים מקבלים דוח האומר להם האם כלי אבטחה של ספקים שונים מסוגלים לאתר אותו. בעתיד הקרוב נוכל לראות שימוש רב יותר בלמידת מכונה במטרה להתאים קוד בצורה היעילה ביותר ולהפוך את פשיעת הסייבר וכלי החדירה לקשים יותר לאיתור. כלי ה-Sandbox העושים שימוש בלמידת מכונה מאפשרים לנו לזהות במהירות איומים אשר לא נראו קודם וליצור הגנות באופן דינמי. גישה זו יכולה להיות אוטומטית ולשמש גם את הצד של פושעי הסייבר למיפוי רשתות, מציאת יעדי תקיפה, קביעת נקודות החולשה של המטרות הללו או הכנת תכנית כדי לבצע מבדק חדירה וירטואלית, בנייה והשקת התקפה מותאמת אישית.
אלי פרנס, סגן נשיא לאזור ישראל, יוון, קפריסין ומזרח אירופה בפורטינט, אמר כי: "מדובר בהזדמנות עבור פושעי סייבר בעלי יוזמה – המתאפשרת בעקבות התקדמות באוטומציה ובינה מלאכותית – להשתמש בכלים הנכונים כדי לפגוע בחומרה בכלכלה הדיגיטלית שלנו. פתרונות אבטחה צריכים להיות בנויים סביב טכנולוגיות אבטחה משולבות, מודיעין איומים המניע לפעולה ומארגי אבטחה הניתנים להתאמה בצורה דינמית. אבטחה צריכה לפעול בקצב המותאם לעולם הדיגיטלי על ידי תגובות אוטומטיות, יישום מודיעין ולמידה עצמית, כך שרשתות יהיו מסוגלות לקבל החלטות יעילות ואוטונומיות. הדבר לא רק ירחיב את הנראות והשליטה המרכזית, אלא גם יאפשר חלוקה אסטרטגית במטרה להניע את האבטחה לעומק תשתית הרשת כדי לזהות, לבודד ולתקן במהירות מכשירים אשר חוו פגיעה ולסכל התקפות, אפילו על פני אקו-סיסטם של רשתות שונות, החל ממכשירי נקודת קצה ומשאבים של רשתות מקומיות ועד לענן. בנוסף, היגיינת אבטחה צריכה להפוך לחלק מפרוטוקולי אבטחה בסיסיים. זהו דבר אשר מוזנח לעיתים קרובות מידי, אך הוא חיוני ונועד כדי להגביל את ההשלכות השליליות שאנו רוצים להימנע מהן".
דרק מנקי, אסטרטג אבטחה גלובלי בפורטינט, אמר כי: "הכלכלה הדיגיטלית מונעת על ידי חדשנות טכנולוגית היוצרת הזדמנויות לטוב ולרע בתחום אבטחת הסייבר. השגשוג המהיר של התקנים מקוונים וההיפר-קישוריות יצרו מגרש משחקים עבור הפושעים, אשר נהיה קשה יותר לאבטח. בו-בזמן, הפושעים ממנפים אוטומציה ובינה מלאכותית בקצב ובקנה מידה בלתי נתפשים על פני שטח תקיפה המתרחב ללא הרף. התקפות כמו WannaCry ו-NotPetya מעידות על השיבושים המסיביים וההשפעות הכלכליות האפשריות בעתיד הקרוב, הנובעים מדרישות כופר והפרעה לפעילות של שירותים מסחריים או קניין רוחני. גישות אבטחה מבוססות מארג הממנפות את כוחן של האוטומציה, האינטגרציה וחלוקה אסטרטגית הן קריטיות על מנת להיאבק בהתקפות האינטליגנטיות המצפות לנו בעתיד הקרוב".
למידע נוסף אודות תחזית איומי הסייבר לשנת 2018 בקרו בבלוג.