העתיד השחור של סיכוני הסייבר: יותר תקיפות ויותר חמורות

במהלך השנה החולפת ראינו מגוון עצום של תקיפות סייבר על תשתיות של מערכות מידע (IT) וגם תשתיות חיוניות (Operation Technology-OT).

לאחרונה נחשפנו לתקיפה חמורה על מערכות מחשוב באמצעות מצלמות אבטחה, ובהמשך למדנו על התערבות של מדינה זרה במהלך הבחירות. השנה שחלפה גם ראתה גל גואה של תקיפות על ארגונים מסחריים גדולים וקטנים, וכן הפסדים מצטברים של מיליארד דולר עבור הקורבנות שנפגעו.

לאור ניסיון נצבר בתחום מדאיג כל כך, אילו מגמות צפויות לסיכוני סייבר עבור 2017?

● תקיפות הרסניות מסוג DDoS יעלו. בשנת 2016 ראינו את התקיפה, Mirai שגרמה לפגיעה בשרתים גדולים על ידי תקיפות השבתה תפעולית (DDoS), תוך ניצול אלפי מצלמות אבטחה שמתפקדות כרכיבי אינטרנט של הדברים. רכיבים אלה לא היו מאובטחים כראי וניתן היה להשתמש בסיסמת "ברירת מחדל" קבועה ולקבל גישה אליהם. לא קשה לנחש כי פושעי האינטרנט ימצאו דרכים חדשות ומאוד יצירתיות כדי להרחיב את יכולת החשיפה של מכשירי אינטרנט של הדברים לא מאובטחים – רצוי אלה שמסוגלים להעביר תקשורת בפס רחב.

● ניצול מרושע של חולשות האדם. פושעי האינטרנט משתפרים בכל הנוגע לניצול הפגיעות הקשורות להתנהגות של בני האדם. אנו עדים ליותר תקיפות מתוחכמות וממוקדות שבאמצעותם משדלים את המשתמשים לטעויות באבחנה (Phishing) וגורמים להם לגלות פרטים חסויים לגבי עצמם וגם לגבי הארגון בו הם עובדים.

לדוגמה, נפוץ לקבל דוא"ל בו פונה מישהו אלינו לפי שם וטוען שיש לנו יתרת חוב, וגם מציין באופן אמין שיש סמכות לגבות את החוב. היות וכולנו רגילים שמי שפונה בעניין כזה הוא גורם שיש לו סמכות, טקטיקות אלה נפוצות וגם יעילות. המכתב מכוון את מקבל הפניה אל קישור זדוני, ועקב חומרת הנושא אדם סביר ימהר ללחוץ עליו וכך מתאפשרת פריצה למחשב שלו.

● ארגונים פיננסיים בסיכון גבוה במיוחד. השימוש באמצעי הטעיה ממוקדים כלפי ארגונים, ממשיך לגדול בגלל סיכויי לרווחים גדולים בעקבות תקיפה מוצלחת. בתקיפות אלה נהוג להשתמש במידע ושמות של מנהלי חברה, וכך לגרום לחברות לשלם לרמאים או לאפשר השתלטות על חשבונות הבנק של הארגון.

צפויות תקיפות חמורות על תשתיות כגון מוסדות שמחוברים ישירות עם מערכות להעברות בין בנקים. אחת מחברות אלה כבר הודתה כי סבלה בעבר תקיפות (81 מיליון דולר מהבנק המרכזי של בנגלדש) והיא מצפה לראות יותר תקיפות בעתיד.

● תקיפה של תשתיות האינטרנט. תהיו בוודאי מופתעים כי כיום משתמשים בפרוטוקולי תקשורת מיושנים המשמשים כעמוד השדרה של רשתות האינטרנט, ואת האמצעים אלה כמעט בלתי אפשרי לשדרג לפתרונות יותר מאובטחים. לדוגמה, תקיפה ממוקדת על פרוטוקול BGP (ר"ת Boarder Gateway Protocol) שנמצאת בשימוש מאז 2006, עלולה לשבש או להשבית את התקשורת בחלק משמעותי של רשת האינטרנט.

● תקיפות סייבר מורכבות יותר. לפני תקיפות סייבר גדולות התוקפים נוהגים לאסוף מידע על אנשים ואמצעי אבטחה שפועלים ברשת של הקורבן. לאחר איסוף מידע ממושך, התוקף עשוי בהדרגה להשתלט על מספר שרתים ותחנות עבודה זמן רב לפני שהוא מתחיל לפעול. תהליכים אלה המנוהלים על ידי מומחים, והמטרה שלהם היא לגנוב מידע וכמה שיותר נזק לפני הגילוי ונקיטת אמצעים לעצירת התקיפה.

● תקיפות באמצעות כלי ניהול מתוחכמים. לאחרונה אנו רואים תקיפות המבוססות על כלי תוכנה מותקנים במערכות ההפעלה המשמשות לצורך אוטומציה של משימות ניהוליות. כמו כן, אנו רואים יותר תקיפות כלים ניהוליים שכבר קיימים וזמינים ברשת. תוקף לא צריך לבצע החדרה יזומה והוא יכול לפעול באמצעות כלים אלה בביטחון ומבלי סכנה להיחשף.

● תקיפות כופר מתרחבות במהירות. ככל שיותר משתמשים מודעים לסיכונים של תקיפות כופר (Ransomware) באמצעות דוא"ל והופכים לעירניים, פושעים מיישמים מסלולי תקיפה חלופיים. חלקם כבר משתמשים בתוכנה זדונית שעלולה להדביק את המחשב מחדש זמן רב לאחר כופר הנדרש שולם. תוקפים גם מתחילים להשתמש בכלים מובנים במערכות ההפעלה כדי למנוע זיהוי על ידי אמצעי הגנה בנקודות קצה מסוג שמתמקד בגילוי קבצי הפעלה (executable files).

● תקיפות באמצעות התקני אינטרנט של הדברים. מרבית המשתמשים של מכשירי אינטרנט של הדברים הביתיים עלולים שלא להבחין שההתקן שלהם נפוץ לצורך תקיפת סייבר על אתר אחר ברשת. אבל ברגע שהתוקף הצליח להשתלט על התקן אינטרנט של הדברים שמחובר ברשת ביתית, הוא יכול להשתלט על התקנים אחרים באותה הרשת.

● תקיפות על מערכות פרסום. החדרה של תוכנות זדוניות דרך האינטרנט לצורך תקיפה של אתרי מסחר וכלים ניהוליים מרחוק שפועלים באינטרנט היא תופעה מוכרת, אבל ב-2016 ראינו דיווחים על גידול משמעותי של אירועים אלה. תקיפות אלו מדגישות את החולשה לגבי כל התעשייה הקשורה למכירות באמצעות פרסום ברשת.

תקיפות אלה עלולות ליצור פעולות לא אמיתיות של המשתמש, וכך לגרום ל"הונאת קליקים" שלא בוצעו בפועל על ידי המשתמש, אשר יגרמו לנזקים שקשה להעריך.

● תקיפות במערכות מוצפנות. כיום אנחנו רואים הצפנה במרבית מערכות מחשוב וגם התקני אינטרנט של הדברים מקצועיים. מצד אחד זה טוב, אבל הצפנה מונעת לזהות מצבים חריגים, מה שמקל על הפושעים להתקדם בתהליך התקיפה ללא שיבחינו בה. לכן לא מפתיע, שהתוקפים מנצלים חולשות אלה ויוצרים דרכים חדשות לביצוע פשעים באינטרנט.

לאור מצב זה, הפתרונות הטכנולוגיים יצטרכו בעתיד לשלב יכולות המאפשרות לזהות את האירוע לאחר פיענוח ההודעה, מיד לאחר שההודעה תגיע ליעדה. מהירות הזיהוי והפעלה מהירה של אמצעי הגנה יאפשרו להקטין את הנזק.

● תקיפה נגד מערכות וירטואליות ומחשוב ענן. נחשפנו כבר לתקיפות שמממוקדות גם נגד מערכות ענן וירטואליות. תוקפים עלולים לפגוע במערכת מחשבים אלה וכך גם במשתמשים במערכות הענן ולבצע תקיפות לצורך השמדה או פגיעה בנתונים. לאור ההתרחבות של השימוש בענן (SaaS ,IaaS ,PaaS) מדובר במגמה מדאיגה וצפוי שהתוקפים יחפשו דרכים חדשות לצורך ניצול פגיעויות אלה.

● תקיפות נגד מדינות וארגונים גדולים. תקיפות המנצלות אמצעים טכנולוגיים כדי להשפיע על התנהלות של מדינות או ארגונים גדולים במדינות יעד הפכו לעניין פוליטי, וגם שמענו פרסומים על התערבות במערכת בחירות. התוקפים יכולים גם לשבש מנגנוני הצבעה ממוחשבים וכך לאפשר לבוחר להצביע שוב ושוב ללא זיהוי.

היום כבר לא מטילים ספק בכך שהתערבות מסוג זה אפשרית וגם אם מדינות עוינות לא יפעילו כלים אלה, התפיסה היא כי תקיפות אלה אפשריות ועובדה זו היא נשק רב עוצמה.

מה אנחנו האזרחים והמנהלים בארגונים יכולים לעשות? הגנת סייבר ברמה האישית והארגונית בנויה משלושה מרכיבים חיוניים ברי השגה: טכנולוגיה חדישה; יישום והקפדה על נהלים; והתנהלות זהירה של משתמשים. הואיל ואחוז גבוה של תקיפות הצליחו תוך ניצול חולשת האדם, חשוב להשקיע בהדרכה ותרגולים.

ניסיון בארגונים כבר הוכיח כי באמצעות הדרכה והשקעה בשדרוג המודעות של העובדים, ניתן היה להוריד באופן משמעותי את הסיכון עקב הכשל של האדם. מנהלים שלא יפנימו שסיכונים אלה קיימים, יהיו אחראיים על הנזק שעלול להיגרם לארגון.