הפרצה בשירביט חשפה את הסכנה בשירותי ה-VPN

סיפורה של חברת שירביט, שנפלה קרבן לסחיטה מצד קבוצת האקרים אשר נקראת BlackShadow, מהווה תקדים מפחיד. קבוצת ההאקרים דרשו כי חברת הביטוח תשלם להם כופר בסך העולה על מיליון דולר באמצעות ביטקוין,  לאחר שדרישותיהם לא נענו הם החלו למכור את החומרים שנגנבו ממחשבי החברה, הכוללים בין השאר אינפורמציה אישית של מבוטחיה בדארק נט לכל המרבה במחיר.

בדיעבד, התברר כי, כל שהיה על שירביט לעשות היה להוריד ולהתקין טלאי תוכנה לפרצת האבטחה של ה-VPN שלה.

על פי ClearSky, שירביט לא עדכנה את שרת ה-VPN בעדכוני האבטחה ( PATCHES ) במועד.

מתקפת כופר מוצלחת דרך רשת VPN עשויה להיות הרסנית הן בהיבט הפיננסי, לדוגמא חשיפה לתביעות לקוחות שמידע אישי שלהם נחשף, והן בהיבט התדמיתי- פגיעה במוניטין של החברה שנתפסה לא מוכנה והביאה לפגיעה באמון מול הלקוחות.

נסביר בקצרה מהי רשת VPN: ארגונים רבים מעוניינים לספק לעובדיהם גישה לעבודה מרחוק, כאשר אחת התוכנות הנפוצות למתן גישה מאובטחת מרחוק לעובדים היא רשת ה-VPN הארגונית.

טכנולוגיית VPN למעשה מרחיבה את הרשת הפרטית על פני רשת ציבורית, ומאפשרת למשתמשים לשלוח ולקבל נתונים כאילו היו המחשבים שלהם מחוברים ישירות לרשת הפנימית הפרטית של הארגון.

משטח תקיפה ברשתות VPN

כאשר אמצעי VPN ארגוניים משמשים כפתרון העיקרי לגישה מרחוק, עלולה להיווצר בעיה חמורה. במקום לשמש כאמצעי אבטחה, הופך שער ה-VPN לשטח המאוים על-ידי האקרים. לעיתים קרובות, האקרים אשר מעוניינים לפרוץ לרשת של חברה תוקפים את השער (gateway) של רשת ה-VPN שלה. אם הפעולה מצליחה, המתקפה יכולה להעניק להאקרים גישה לקשת רחבה של חשבונות, נתונים ושרתים מוגנים.

הסוכנות האמריקנית לביטחון לאומי (NSA) מפרסמת לעיתים קרובות התרעות המזהירות כי רשתות VPN עלולות להיות חשופות למתקפות כאשר הן אינן מאובטחות כראוי. אזהרות אלו התגברו בעקבות מגפת הקורונה, שהביאה עימה עלייה דרמטית בכמות האנשים אשר עובדים מהבית על-מנת להסתגל לסגרים ולשיבושים אחרים כתוצאה מהמגפה.

מתקפות אפס ימים (zero-day attacks)

מתקפות אפס ימים הן סוג מסוכן במיוחד של מתקפות, כיוון שההאקר תוקף פרצת אבטחה שאינה ידועה למפתח התוכנה או לספקית התוכנה. במתקפות אפס ימים, ה"אפס" מתייחס למספר הימים שבהם מפתח התוכנה או ספקית התוכנה היו מודעים לפרצת האבטחה: אפס ימים. האקרים יכולים לנצל פגיעות אפס ימים לפני שהיא מתגלה או מתוקנת באמצעות טלאי תוכנה( PATCH ).

לאחר מתקפת אפס ימים, פרצת האבטחה הופכת להיות ידועה לציבור ב"יום אחד". לרוב, לאחר מכן מתפרסמת אזהרת CVE, ובהמשך מפותח טלאי תוכנה, אשר מועמד לרשות המשתמשים על-ידי ספקית התוכנה הרלוונטית. על המשתמשים להתקין את טלאי התוכנה כדי למנוע מהאקרים לנצל את פרצת האבטחה, שידועה כעת לכול – מבחינות מסוימות, מצב זה אף מסוכן יותר מכפי שהיה כאשר הייתה הפרצה פגיעות אפס ימים מכיוון שעכשיו הפגיעות הספציפית ידועה לציבור הרחב. – כולל ציבור ההאקרים אשר יכולים לנצל את הפגיעות ע"י פיתוח כלי פריצה תואם לניצול הפגיעות.

קיימים לפחות שלושה גורמים עיקריים אשר מקשים על הארגון ליישם טלאי תוכנה ל-VPN:

• תאימות של היישומים אשר דורשת השקעת זמן.
• צורך בעריכת בדיקות לטלאי ושחזור.
• בקרת שינוי- אשר לעיתים כרוכה בהשבתה ארגונית.

גורמים עוינים מודעים לקשיים אלו הכרוכים בעדכון לכן של טלאי תוכנה ובמיוחד לנושא הזמן שדרוש ביישום ומנצלים זאת, ולכן חובה להשקיע ולעדכן בהקדם האפשרי כדי להקטין חשיפה.

עם זאת, אנשי IT לא יכולים רק להסתמך על מרדף אינסופי ובלתי נגמר אחרי טלאי תוכנה חדשים לכל פרצת אבטחה חדשה. נדרש פתרון מודרני יותר, שאינו נשען אך ורק על טלאי תוכנה, ומסוגל עדיין לתת מענה לכל שכבה חשובה וקריטית בסביבה המחשובית של הארגון.

מחקרים ממשיכים להמליץ לחברות לא להסתכן בחשיפת הגישה לשירותים ולנתונים בצד השרת לסכנות כתוצאה משימוש בכלים שאינם תואמים את מדיניות האבטחה המקובלת ואינם מיישמים עקרונות Zero Trust Network Access.

הכותב הוא מנהל טכנולוגיות בחברת סייפ-טי המספקת את פתרון ZoneZero® לרשתות VPN