דו"ח האבטחה של סיסקו: התעבורה מ-94% הארגונים בעולם מגיעה לאתרים שמארחים תוכנות זדוניות

מתקפות Man-in-the-Browser מהוות סיכון עבור ארגונים: כמעט 94% מהרשתות הארגוניות בעולם זוהו ככאלה שתעבורה היוצאת מהן מגיעה לאתרי אינטרנט שמארחים תוכנות זדוניות – כך עולה מדו"ח האבטחה החצי שנתי של סיסקו (Cisco).

הדו"ח בחן את החוליות החלשות בתחום אבטחת המידע בעידן של עלייה באיומים דינמיים. הוא פורסם במסגרת ועידת Black Hat U.S. החוקרים בחנו 16 ארגונים רב לאומיים גדולים שנכון ל-2013 החזיקו יחד בנכסים בסך יותר מארבעה טריליון דולר, עם הכנסות של יותר מ-300 מיליארד.

על פי הדו"ח, הנפקת בקשות DNS ל-Hostnames דווחו כמזוהות עם הפצה של Palevo ,SpyEye ומשפחות של תוכנות זדוניות מסוג Zeus, המשלבות Man-in-the-browser (MiTB) functionality.

לפי חוקרי האבטחה של סיסקו, "חוליות חלשות" בארגונים עלולות להיות תוכנות מיושנות, קודים הכתובים באופן לא מאובטח, נכסים דיגיטליים נטושים או טעויות של משתמשים. אלה עלולים לתרום ליכולתו של היריב לנצל נקודות תורפה בשיטות כגוןDNS ,kits exploit ,amplification attacks  POS ,malvertising ,ransomware, חדירה של פרוטוקולי הצפנה, Social Engineering ודואר זבל של "אירוע חיים".

הדו"ח מראה כי ארגונים שמתמקדים רק בפגיעויות בפרופיל גבוה במקום באיומים נפוצים בעלי השפעה רבה ובאיומים חשאיים נמצאים בסיכון גבוה יותר. על ידי התרבות מתקפות נגד יישומי Legacy בעלי פרופיל נמוך ותשתיות עם חולשות ידועות, Malicious Actors מסוגלים לחמוק מחשיפתם, כשצוותי אבטחה ממוקדים במקום זאת בהדגשת נקודות תורפה, כגון Heartbleed.

עוד עלה מהדו"ח כי כ-70% מהרשתות זוהו כמנפיקות שאילתות DNS לדומיינים דינמיים של DNS. "הדבר מצביע על שימוש לרעה ברשתות או על רשתות שנפרצו המכילות כעת בוטנטים שמבצעים שימוש ב-DDNS כדי לשנות את כתובת ה-IP של שרת השליטה שלהם, כדי להימנע מאיתור ו/או רשימות Black lists. מספר ניסיונות חיבור לגיטימיים שיוצאים מחברות יבקשו דומיינים דינמיים של DNS, למעט תשדורות Call-Home יוצאות, של תעבורת C&C המנסות להסוות את מיקום הבוטנט שלהן", כתבו החוקרים.

מגמה נוספת שעולה מהדו"ח נוגעת להצפנת נתונים שנגנבו: כ-44% מרשתות של לקוחות שנצפו ב-2014 זוהו כמנפיקות בקשות DNS לאתרים ותחומים עם מכשירים המספקים שירותי ערוץ מוצפנים, בשימוש על ידי Malicious actors, המטשטשים את העקבות שלהם על ידי הסתרת נתונים באמצעות ערוצים מוצפנים כדי למנוע זיהוי כמו VPN ,SSH ,SFTP ,FTP ו-FTPS.

חוקרי האבטחה של סיסקו מסרו כי מספר ה-Exploit kits ירד ב-87% מאז שהיוצר של Blackhole exploit kit הפופולרי נעצר בשנה שעברה. כמה מה-Exploit kits שנצפו במחצית הראשונה של 2014 ניסו לעבור לשטח שנשלט בעבר על ידי Blackhole exploit kit, אבל טרם התגלה מנהיג ברור.

ג'אווה פופולרית
עוד עולה מהדו"ח כי ג'אווה (Java) ממשיכה להיות שפת התכנות המנוצלת ביותר על ידי הרעים, אותם Malicious Actors. חוקרי אבטחה של סיסקו מצאו כי החל ממאי האחרון, אחוז הפרצות מבוססות ג'אווה עמד על 93% מכלל המדדים המצביעים על חשד לפריצה (IOC's). מדובר בעלייה לעומת 91% בדו"ח הקודם.

במחצית הראשונה של השנה, תעשיית התרופות והכימיה, שנחשבת לתעשייה בעלת רווחיות גבוהה, שוב נמצאת בין שלושת הענפים בעלי הסיכון הגבוה לפגיעה על ידי תוכנות זדוניות באינטרנט. בתחום המדיה וההוצאה לאור נרשמו כמעט פי ארבעה יותר תוכנות זדוניות באינטרנט מאשר הממוצע. ענף התעופה הגיע למקום השלישי עם יותר מפי שניים מפגשי תוכנות זדוניות באינטרנט מהממוצע. הענפים המושפעים ביותר לפי אזורים היו: מדיה והוצאה לאור ביבשת אמריקה, מזון ומשקאות באזור EMEA (אפריקה, אירופה והמזרח התיכון) ותחום הביטוח באזור APJC (אסיה פסיפיק, סין, יפן והודו).

לדברי ג'ון סטיוארט, סגן נשיא בכיר ומנהל אבטחה ראשי בחטיבת המענה לאיומים, מודיעין ופיתוח בסיסקו, "חברות רבות בודקות את העתיד של המודלים העסקיים שלהן על בסיס החיבור הנרחב שהאינטרנט של הדברים מבטיח. כדי להצליח בסביבה הזו, המתפתחת במהירות, מנהלים בכירים צריכים להבין, במונחים עסקיים, את סיכוני הסייבר הקשורים בתלות הגוברת ברשת. ניתוח והבנת החוליות החלשות על פני שרשרת האבטחה נשענים במידה רבה על יכולתם של ארגונים יחידים ושל התעשייה ליצור מודעות לסיכוני הסייבר ברמת ההנהלה, וכן להפוך את ההגנה בסייבר להכרחית עבור העסקים".

הוא הוסיף כי "כדי לכסות את כל הרצף – לפני, במהלך ואחרי מתקפה, הארגונים חייבים להתייחס למגוון רחב של מתקפות עם פתרונות אבטחה שפועלים בכל מקום בו איום יכול לבוא לידי ביטוי".