מורכב, פגיע, חסר תצורה: איומי סייבר 2020

טכנולוגיות מתפתחות והופכות מורכבות יותר משנה לשנה, ויחד איתן משתפרות טכניקות התקיפה. המציאות המודרנית דורשת אפליקציות מקוונות, שירותי ענן ופלטפורמות וירטואליזציה, כך שכבר אי אפשר להתחבא מאחורי חומת אש ארגונית ולא להכניס את האף ל"אינטרנט המסוכן". כל זה, יחד עם התפשטות ה-IoT/IIoT, התפתחות הפינטק והפופולריות הגוברת של עבודה מרחוק, שינו את נוף האיומים ללא הכר. בואו נדבר על מתקפות הסייבר ש-2020 מחכה לנו.

ניצול של נקודות תורפה של 0day יעבור את שחרור התיקונים

המורכבות של מערכות תוכנה הולכת וגדלה, ולכן הן מכילות בהכרח שגיאות. מפתחים משחררים תיקונים, אך לשם כך, ראשית יש לזהות את הבעיה, ולבזבז את זמנם של צוותים קשורים - אותם בודקים שנאלצים לבצע בדיקות. אבל לקבוצות רבות חסר זמן. התוצאה היא שחרור תיקון ארוך באופן בלתי מקובל, או אפילו תיקון שעובד רק חלקית.

יצא ב-2018 התיקון לפגיעות 0day במנוע Microsoft Jet לא היה שלם, כלומר לא חיסל את הבעיה לחלוטין.
בשנת 2019, סיסקו פרסמה תיקונים עבור פרצות CVE-2019-1652 ו-CVE-2019-1653 בקושחת הנתב שלא תיקנה שגיאות.
בספטמבר 2019, חוקרים גילה פגיעות של 0day ב-Dropbox עבור Windows והודיע ​​למפתחים על כךעם זאת, הם לא תיקנו את השגיאה תוך 90 יום.

האקרים של Blackhat ו-Whitehat מתמקדים בחיפוש אחר נקודות תורפה, ולכן יש סיכוי גבוה יותר שהם יהיו הראשונים לגלות בעיה. חלקם מבקשים לקבל תגמולים באמצעות תוכניות Bug Bounty, בעוד שאחרים חותרים למטרות זדוניות מאוד ספציפיות.

עוד התקפות מזויפות עמוקות

רשתות עצביות ובינה מלאכותית מתפתחות, ויוצרות הזדמנויות חדשות להונאה. בעקבות סרטוני פורנו מזויפים עם ידוענים, הופיעו התקפות ספציפיות מאוד עם נזק חומרי חמור.

במרץ 2019פושעים גנבו 243 דולר מחברת אנרגיה בשיחת טלפון אחת. "ראש חברת האם" הנחה את ראש הסניף להעביר כספים לקבלן מהונגריה. קולו של המנכ"ל זויף באמצעות בינה מלאכותית.

בהתחשב בהתפתחות המהירה של טכנולוגיית Deepfake, אנו יכולים לצפות שנבלי סייבר ישלבו יצירת אודיו ווידאו מזויפים בהתקפות BEC והונאות תמיכה טכנית כדי להגביר את אמון המשתמשים.

היעדים העיקריים לזיופים עמוקים יהיו מנהלים בכירים, מכיוון שהקלטות של השיחות והנאומים שלהם זמינים באופן חופשי.

התקפות על בנקים באמצעות פינטק

אימוץ הנחיית שירותי התשלום האירופית PSD2 אפשרה לבצע סוגים חדשים של התקפות על בנקים ולקוחותיהם. אלה כוללים קמפיינים של פישינג נגד משתמשי אפליקציות פינטק, התקפות DDoS על סטארט-אפים פינטק וגניבת נתונים מבנק באמצעות API פתוח.

התקפות מתוחכמות באמצעות ספקי שירות

חברות מצמצמות יותר ויותר את ההתמחות שלהן, ומוציאות פעילויות שאינן הליבה במיקור חוץ. העובדים שלהם מפתחים אמון בגורמים חיצוניים שמטפלים בחשבונאות, מספקים תמיכה טכנית או מספקים אבטחה. כתוצאה מכך, כדי לתקוף חברה, מספיק להתפשר על אחד מספקי השירותים כדי להכניס דרכו קוד זדוני לתשתית היעד ולגנוב כסף או מידע.

באוגוסט 2019, האקרים חדרו לתשתית של שתי חברות IT המספקות שירותי אחסון וגיבוי נתונים, ובאמצעותה הציג תוכנת כופר לכמה מאות משרדי שיניים בארצות הברית.
חברת IT המשרתת את משטרת ניו יורק קרסה את מסד הנתונים של טביעות האצבעות שלה במשך מספר שעות. על ידי חיבור מיני-מחשב Intel NUC נגוע לרשת המשטרה.

ככל ששרשרות האספקה ​​מתארכות, יש יותר חוליות חלשות שניתן לנצל כדי לתקוף את המשחק הגדול ביותר.
גורם נוסף שיקל על התקפות שרשרת האספקה ​​יהיה האימוץ הנרחב של עבודה מרחוק. פרילנסרים שעובדים באמצעות Wi-Fi ציבורי או מהבית הם מטרות קלות, והם יכולים ליצור אינטראקציה עם כמה חברות רציניות, כך שהמכשירים שנפגעו שלהם הופכים לקרש קפיצה נוח להכנה ולביצוע השלבים הבאים של מתקפת סייבר.

שימוש נרחב ב-IoT/IIoT לריגול וסחיטה

הגידול המהיר במספר מכשירי ה-IoT, לרבות טלוויזיות חכמות, רמקולים חכמים ועוזרים קוליים שונים, יחד עם המספר הרב של נקודות תורפה שזוהו בהם, ייצרו הזדמנויות רבות לשימוש בלתי מורשה בהם.
התפשרות על מכשירים חכמים וזיהוי דיבור של אנשים באמצעות AI מאפשרים לזהות את מטרת המעקב, מה שהופך מכשירים כאלה לערכה לסחיטה או ריגול תאגידי.

כיוון נוסף בו ימשיכו להשתמש במכשירי IoT הוא יצירת בוטנטים לשירותי סייבר זדוניים שונים: ספאם, אנונימיזציה והתנהלות התקפות DDoS.
מספר ההתקפות על מתקני תשתית קריטיים המצוידים ברכיבים יגדל אינטרנט תעשייתי של דברים. המטרה שלהם יכולה להיות, למשל, סחיטת כופר תוך איום של הפסקת פעולת המיזם.

ככל שיותר עננים, יותר סכנות

המעבר המאסיבי של תשתיות IT לענן יוביל להופעתם של מטרות חדשות להתקפות. שגיאות בפריסה ובתצורה של שרתי ענן מנוצלות בהצלחה על ידי תוקפים. מספר ההדלפות הקשורות להגדרות מסד נתונים לא מאובטחות בענן גדל מדי שנה.

באוקטובר 2019, שרת ElasticSearch המכיל 4 מיליארד רשומות עם נתונים אישיים.
בסוף נובמבר 2019 בענן Microsoft Azure נמצא ברשות הציבור מסד נתונים של חברת True Dialog, המכיל כמעט מיליארד רשומות, שהכיל את השמות המלאים של המנויים, כתובות דואר אלקטרוני ומספרי טלפון, כמו גם טקסטים של הודעות SMS.

דליפות נתונים המאוחסנים בעננים לא רק יפגעו במוניטין של חברות, אלא גם יובילו להטלת קנסות ועונשים.

הגבלות גישה לא מספקות, ניהול הרשאות לקוי ורישום רשלני הם רק חלק מהטעויות שחברות יעשו בעת הגדרת רשתות הענן שלהן. ככל שתתקדם העברת הענן, ספקי שירותים של צד שלישי בעלי מומחיות אבטחה משתנה יהפכו מעורבים יותר ויותר, ויספקו משטחי תקיפה נוספים.

החמרה של בעיות וירטואליזציה

קונטיינריזציה של שירותים מקלה על פיתוח, תחזוקה ופריסה של תוכנה, אך בו זמנית יוצרת סיכונים נוספים. פגיעויות בתמונות קונטיינר פופולריות ימשיכו להוות בעיה עבור כל מי שישתמש בהן.

חברות יצטרכו להתמודד גם עם נקודות תורפה ברכיבים שונים של ארכיטקטורת הקונטיינר, החל מבאגים בזמן ריצה ועד לתזמרים וסביבות בנייה. תוקפים יחפשו וינצלו כל חולשה כדי לסכן את תהליך ה-DevOps.

מגמה נוספת הקשורה לווירטואליזציה היא מחשוב ללא שרת. לפי גרטנר, בשנת 2020, יותר מ-20% מהחברות ישתמשו בטכנולוגיה זו. פלטפורמות אלו מציעות למפתחים את היכולת להריץ קוד כשירות, ומבטלת את הצורך לשלם עבור שרתים או קונטיינרים שלמים. עם זאת, מעבר למחשוב ללא שרת אינו מספק חסינות מפני בעיות אבטחה.

נקודות כניסה להתקפות על יישומים ללא שרת יהיו ספריות מיושנות ונפגעות וסביבות מוגדרות בצורה שגויה. תוקפים ישתמשו בהם כדי לאסוף מידע סודי ולחדור לרשתות ארגוניות.

איך להתמודד עם איומים ב-2020

בהתחשב במורכבות ההולכת וגוברת של ההשפעות על פושעי סייבר, חברות יצטרכו להגביר את שיתוף הפעולה עם אנשי אבטחה כדי להפחית סיכונים בכל מגזרי התשתית שלהן. זה יאפשר למגנים ולמפתחים להשיג מידע נוסף ולשלוט טוב יותר במכשירים המחוברים לרשת ולבטל את הפגיעויות שלהם.

נוף האיומים המשתנה ללא הרף ידרוש יישום של הגנה רב-שכבתית המבוססת על מנגנוני אבטחה כגון:

• זיהוי התקפות מוצלחות והפחתת השלכותיהן,
• זיהוי ומניעה מנוהלים של התקפות,
• ניטור התנהגותי: חסימה יזומה של איומים חדשים, וזיהוי של התנהגות חריגה,
• הגנה על נקודות קצה.

מחסור במיומנויות וידע אבטחת סייבר באיכות נמוכה יקבעו את רמת האבטחה הכוללת של ארגונים, ולכן הכשרה שיטתית של התנהגות מאובטחת של עובדים בשילוב עם הגברת המודעות בתחום אבטחת המידע צריכה להיות מטרה אסטרטגית נוספת של ניהולם.

מקור: www.habr.com