דו"ח: כל מתקפות הסייבר בארגונים מנצלות לרעה חשבונות של בעלי הרשאות גבוהות

ב-100% ממתקפות הסייבר הממוקדות על ארגונים וחברות עסקיות, התוקפים ניצלו לרעה את החשבונות הפריבילגיים, משמע של בעלי ההרשאות המועדפות – כך עולה ממחקר של סייבר ארק (Cyber-Ark) הישראלית. על פי המחקר, "פריצה לחשבון פריבילגי וגניבת הרשאה גבוהה היא טקטיקה מרכזית בכל המתקפות המתוחכמות. מתקפות המנצלות חשבונות פריבילגיים הן מזיקות יותר ויקרות יותר".

את המחקר ביצע עבור סייבר ארק מכון Cyber Sheath. המחקר כלל ראיונות עם מאות מנהלי אבטחת מידע ומומחי אבטחה בארגונים בארצות הברית, שסך ההכנסות השנתיות שלהם מסתכם ביותר מ-40 מיליארד דולרים, ואשר מעסיקים יותר מ-170 אלף עובדים ברחבי העולם. מכון המחקר שילב את ממצאי הראיונות הללו עם ניתוח של כמה מתקפות סייבר בפרופיל גבוה שבוצעו בשנתיים האחרונות, ועם נתוני תעשיה מהשנה האחרונה.

המחקר מצא שהניצול לרעה של חשבונות פריבילגיים הולך וגובר במתקפות ייעודיות ומתקדמות, כאמצעי לפרוץ לארגונים ולגנוב מידע.

עוד עלה מהמחקר, כי היעדר אמצעים בסיסיים לבקרת גישה לחשבונות פריבילגיים, היה גורם מכריע בכל המתקפות המתקדמות שנבדקו, בהן: מתקפות על מס הכנסה בדרום קרוליינה, אוניברסיטת ג'ורג'יה, הספריה של נאס"א, מבצע הריגול המקוון "אוקטובר האדום", משרד הבריאות של מדינת יוטה, טויוטה (Toyota), שירות המודיעין השוויצרי, המתקפה על מחשבי חברת הנפט הסעודית – סעודי ארמקו (Saudi Aramco) באוגוסט האחרון וחברת הסליקה האמריקנית Global Payments.

עוד נקבע, כי "מתקפות שמשתמשות בחשבונות פריבילגיים קשות יותר למעקב, לנטרול ולתיקון. מתקפות שממנפות חשבונות פריבילגיים יכולות למחוק לוגים (logs) כדי להקשות על הניתוח בדיעבד. כמו כן, הן יכולות לאפשר התקנת נוזקות חדשות, כדי לחמוק ממעקב ולפתוח עוד פרצות. בנוסף, שימוש בחשבונות פריבילגיים נראה כמו תנועה רגילה, ואינו ניתן למעקב באמצעים ה'מסורתיים'. זיהוי של שימוש בלתי חוקי בחשבון פריבילגי במסגרת מערך התהליכים הלגיטימיים זה כמו למצוא מחט בערימת שחת".

על פי המחקר, מתקפות שמנצלות חשבונות פריבילגיים מזיקות יותר ויקרות יותר: "נטרול תוקפים מרשת מותקפת יכול להיות תהליך מאוד יקר וכואב", נכתב, "בנוסף לעלויות הגבוהות הכרוכות בפריצה לנתונים (עלות ממוצעת של פריצה לבסיס נתונים עומדת על 2.4 מיליון דולרים על פני תקופה של שנתיים), המאמצים להסיר תוקפים שהתבססו היטב מרשת ארגונית דורשים תהליכי הבראה רבים שיכולים לקחת אלפי שעות עבודה".

לדברי חן ביתן, מנהל סייבר ארק ישראל, "חשבונות פריבילגיים המוגנים היטב יכולים לצמצם משמעותית את החשיפה למתקפות ייעודיות. נעילת חשבונות פריבילגיים ומניעת השימוש בהם במתקפות ייעודיות יכולות לסכל את התקדמות המתקפה".

ביתן הוסיף, כי "מרבית הארגונים המובילים בעולם, עובדים כיום תחת ההנחה שבעת התקפה ממוקדת על ארגונם, ההגנה ההיקפית שלהם תיפרץ והתוקף יוכל להחדיר קוד עוין לרשת הארגונית. לאור העובדה שבכל ההתקפות המתוחכמות שהתגלו בשנתיים האחרונות, התוקף ביצע שימוש בחשבונות פריבילגיים על מנת להשיג גישה למערכות רגישות בתוך הארגון – ארגונים מבינים שנדבך הגנה קריטי מפני התקפות ממוקדות, הינו ניהול הגישה לחשבונות הפריבילגיים וניתוח השימוש שנעשה בהם".

בשנים האחרונות, אמר, "חל שינוי משמעותי בתפיסה של חשבונות פריבילגיים. אם פעם חשבונות אלו נתפסו כחשבונות-על לשימוש אנשי ה-IT של הארגון, הרי שבמציאות הנוכחית השימוש בחשבונות פריבילגיים גדל באופן חסר תקדים לכל רוחב הארגון. חשבונות אלו משמשים כיום גם את אנשי ה-IT, אבל גם  יישומים ארגוניים, ספקי שירותים צד שלישי, משתמשים עסקיים ואפילו קבלני משנה המנהלים עבור הארגון את פעילותו ברשתות חברתיות. החשבונות הללו קיימים בכל מקום – בשרתים, במסדי נתונים, בהתקני רשת, ביישומים ועוד. לכן הדרך לצמצם משמעותית את החשיפה למתקפות ייעודיות על ארגונים היא אבטחה פרואקטיבית של הגישה לחשבונות הפריבילגיים, וניתוח הפעילות הנעשית באמצעות חשבונות אלו על מנת להגן על המערכות הקריטיות בארגון ולזהות שימוש חריג העשוי להצביע על ניסיון התקפה".