פורטינט: איומים חולקים תשתיות

פורטינט פרסמה את ממצאי דוח מפת האיומים הרבעוני של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה. מהמחקר עולה כי שיטות ההתקפה של פושעי הסייבר הופכות מתוחכמות יותר, החל מתוכנות כופר מותאמות; קידוד מותאם אישית להתקפות מסוימות; התקפות מסוג living-off-the-land או שיתוף תשתיות לצורך מקסום הזדמנויות התקיפה.

להלן ממצאי הדוח העיקריים:  

תעבורת נתונים לפני ואחרי הפגיעה בארגון: מהמחקר עלה כי הפושעים תמיד מנסים למקסם את הזדמנות התקיפה לתועלתם, ואת שלב התקיפה הראשון של חדירה לארגון הם בדרך כלל יבצעו במהלך שבוע העבודה. הסיבה העיקרית לכך היא שפעמים רבות פעולת הפריצה והשימוש לרעה מחייבת פעולה של אדם בתוך הארגון כגון לחיצה על הודעת פישינג בדואר האלקטרוני. לעומת זאת, פעילות שליטה ובקרה (C2 – command-and-control) אינה זקוקה לכך והיא עשויה להתרחש בכל עת. ההבחנה בין נוהלי סינון ה-Web בימי השבוע לבין סופי השבוע חשובה להבנה מלאה של שרשרת ההרס הנגרמת כתוצאה מההתקפות השונות.

רוב האיומים משתמשים בתשתית משותפת: חלק מהאיומים ממנפים תשתית הנמצאת בשימוש ציבורי יותר מאשר תשתית ייחודית או ייעודית. המחקר מצא כי כ-60% מהאיומים חולקים דומיין אחד לפחות, מה שמצביע על כך שרוב הבוטנטים ממנפים את תשתית קיימת. ההבנה אילו איומים חולקים תשתית ומהם הנקודות של שרשרת ההתקפה, תאפשר לארגונים לחזות את נקודות ההתפתחות הפוטנציאליות של תוכנות זדוניות או בוטנטים בעתיד.

ניהול תוכן זקוק לניהול קבוע: דוגמה לטכנולוגיה חדשה שמושכת לאחרונה את תשומת לבם של פושעי סייבר רבים הן פלטפורמות ה-Web אשר עוזרות לצרכנים ולעסקים ליצור נוכחות ברשת במהירות. הפושעים ממשיכים להתמקד בפלטפורמות אלו ובתוספים החיצוניים שקשורים אליהן. דבר זה מחזק את החשיבות הקריטית של החלת עדכוני תוכנה באופן מידי ושל הבנה מלאה של זירת נקודות התורפה המתפתחת ללא הרף כדי לשמור על יתרון מול פושעי הסייבר.  

תוכנות הכופר עדיין לא נעלמו: אומנם חלק גדול מתוכנות הכופר הוחלף בהתקפות ממוקדות יותר, אך תופעת תוכנות הכופר עדיין חיה ובועטת. כיום, התקפות מרובות מעידות על כך שהתוכנות הללו הותאמו עבור יעדים בעלי ערך גבוה וכדי להעניק לתוקף הרשאות גישה גבוהות יותר אל הרשת. LockerGoga היא דוגמה לתוכנת כופר ממוקדת אשר נערכה כהתקפה מרובת שלבים. LockerGoga דומה מאוד לתוכנות כופר אחרות מבחינת התחכום הפונקציונלי, אך רוב כלי תוכנות הכופר משתמשים בסוג מסוים של טשטוש כדי למנוע זיהוי ואילו ניתוח של קוד זה הראה כי רמת הטשטוש בו הייתה נמוכה. דבר זה מרמז על הטבע הממוקד של ההתקפה, וכן על הקביעה מראש כי התוכנה הזדונית לא תזוהה בקלות. כמו כן, בדומה לרוב תוכנות הכופר, היעד הראשי של Anatova הוא להצפין כמה שיותר קבצים במערכת הקבצים של הקורבן, פרט לאלו שעלולים לפגוע ביציבות המערכת הנגועה. התוכנה נמנעת גם מלהדביק מחשבים שנראים כאילו הם נמצאים בשימוש לצורך ניתוח תוכנות זדוניות או כאלה שמשתמשים במלכודת דבש (honeypots) לאיתור פעילות זדונית. שני סוגי הקוד הללו מלמדים אותנו כי על הגופים המובילים בתחום האבטחה להמשיך ולהתמקד בתיקון פרצות ובגיבוי כאמצעי למניעת תוכנות כופר, אך יחד עם זאת, איומים ממוקדים מצריכים יישום של הגנה מותאמת יותר מפני שיטות ההתקפה הייחודיות שלהם.

כלים וטריקים עבור Living off The Land: פעמים רבות שיטות ההתקפה ממשיכות להתפתח גם לאחר הפריצה הראשונית, וזאת כדי למקסם את מאמצי התוקפים. הם ישתמשו לשם כך הם יעשו שימוש בכלים שכבר מותקנים במערכות היעד. טקטיקת "living off the land" ( שימוש בכלים קיימים) מאפשרת להאקרים להסתיר את הפעילות שלהם מאחורי תהליכים לגיטימיים, מה שמקשה על הצד המתגונן לאתר אותם. הגופים המתגוננים שרוצים לפעול בצורה חכמה יידרשו להגביל את הגישה אל כלים אדמיניסטרטיביים מאושרים ולתעד את השימוש במערכות שלהם.

עופר ישראלי, מנהל פעילות פורטינט ישראל, אמר כי, "שיפור היכולת של הארגון להתגונן כראוי מפני מגמות איומים קיימות ואף להתכונן  להתפתחות ולאוטומציה של התקפות לאורך זמן מחייבים הטמעה של מודיעין איומים דינמי, יזום וזמין על פני הרשת המבוזרת. ידע זה יוכל לעזור לזהות מגמות המצביעות על התפתחות שיטות ההתקפה אשר מתמקדות בשטח התקיפה הדיגיטלי ולתת דגש על עדיפות להיגיינת סייבר המבוססת על הנקודות בהן מתמקדים הפושעים. הערך והיכולת לנקוט בפעולה בעקבות מודיעין איומים יקטנו משמעותית אם הם לא יהיו ברי פעולה בזמן אמת בכל התקן אבטחה. רק מארג אבטחה (Security Fabric) מקיף, משולב ואוטומטי יוכל לספק הגנה עבור סביבת הרשת כולה החל מה-IoT, דרך הקצה וליבת הרשת וכלה בריבוי עננים במהירות ובצורה מותאמת".

פיל קוודה, CISO בפורטינט, אמר כי, "לרוע המזל, אנו ממשיכים לראות כיצד קהילת פושעי הסייבר מעתיקה את האסטרטגיות והמתודולוגיות של גופים מדיניים, וכן את הרשתות וההתקנים המתפתחים בהם פושעים אלו מתמקדים. על הארגונים לשנות ולהתאים את האסטרטגיה שלהם כדי לשפר את ההגנה ואת ניהול סיכוני הסייבר. שלב חשוב וראשון בתהליך הוא התייחסות מדעית אל תחום אבטחת הסייבר – טיפול הולם בדרישות היסודיות – מה שמצריך מינוף של תשתית מרחב הסייבר מבחינת מהירות וקישוריות לצורך הגנה. האימוץ של גישת המארג, חלוקת מיקרו ומאקרו למקטעים, מינוף למידת מכונה והאוטומציה כאבני הבניין של הבינה המלאכותית, יהוו הזדמנות מצוינת אשר תאלץ את פושעי הסייבר לחזור אל קו ההתחלה".