חדשות מפתיעות: דו"ח של יבמ קובע כי למרות הופעתם של איומים חדשים, 2011 הייתה בטוחה יחסית ברשת

למרות הדיווחים הרבים על מתקפות של חברות ענק דוגמת RSA, סוני (Sony) ולוקהיד-מרטין (Lockheed Martin), קובע דו"ח חדש של יבמ (IBM), כי 2011 היתה דווקא שנה בטוחה יחסית ברשת. כך, מדווח צוות X-Force של הענק הכחול, כי בשנה החולפת חל צמצום במספר המקרים של שימוש לרעה בנקודות תורפה ביישומים, ניצול פרצות קוד ודואר זבל. בעקבות המגמות האלה, מעלה הדו"ח השערה לפיה פורצי מחשבים נאלצים לגבש טקטיקות חדשות, המתמקדות בפרצות בסביבת IT ארגונית מוגדרת, ובפריצה לסביבות טכנולוגיות חדשות, דוגמת עולם הרשתות החברתיות והמכשירים הניידים.

הנתונים בדו"ח מבוססים על מידע שנאסף מרשתות וממערכות של יותר מ-4,000 לקוחות של יבמ, בשילוב עם ניטור וניתוח של 13 מיליארד אירועי אבטחה שנרשמו אשתקד. על פי הדו"ח, במהלך 2011 נרשמה ירידה של 50% בכמויות דואר הזבל בהשוואה ל-2010. החוקרים מייחסים חלק מהירידה הזאת להפסקת הפעולה של כמה משרתי הבוטנט שאפשרו לשולחי דואר זבל להציף את הרשת. במקביל, נרשם גם שיפור מתמיד באיכות תוכנות הסינון – עימו ממשיכים שולחי דואר הזבל להתמודד באמצעות פיתוחים חדשים.

הצגה עקבית יותר של טלאי אבטחה על ידי יצרני תוכנה, הובילה למצב שבו רק 36% מהפרצות והנקודות הבעייתיות המוכרות בענף נותרו בסוף 2011 ללא תיקון תוכנה הולם – ירידה לעומת 43% בסוף 2010. נתון זה מוסבר על ידי החוקרים כתוצאה ממודעות גוברת של מפתחי התוכנה לצורך בעדכוני אבטחה, ושל נכונות שיטתית של המשתמשים להקפיד ולהתקין את העדכונים האלה. עם זאת, מציינים החוקרים, גם כיום לא כל הפרצות הידועות והמתועדות אכן זוכות לתיקונים.

איכות גבוהה יותר של קוד ביישומי תוכנה הובילה לקיצוץ של 50% מנקודות הפגיעה ביישומי אינטרנט מהסוג המוכר כ-Cross Site Scripting (קוד זדוני החוצה ועובר באתרים), בהשוואה למצב הרשת לפני ארבע שנים. ביבמ מצביעים במיוחד על עליה באיכות האבטחה של יישומים בארגונים המשתמשים בשירות של החברה, לניתוח, איתור ותיקון נקודות תורפה בקוד יישומים. עם זאת, מציינים, פרצות מסוג זה קיימות עדיין בכ-40% מהיישומים הנסרקים על ידי השירות של יבמ. עוד עולה מהדו"ח, כי חלה ירידה של 30% בזמינות קוד המיועד לניצול פרצות אבטחה, המופץ ברשת בסמוך לחשיפת פרצות חדשות ומאפשר את ניצולן. הנתון מוסבר על ידי החוקרים בשיפור בארכיטקטורה ובתהליכים המיושמים על ידי מפתחי תוכנה.

איומים חדשים
למרות מגמת השיפור הכולל באיכות האבטחה, נרשמה עליה באיומים בשורת תחומים המעידים על רמת התמקצעות הולכת ומשתפרת של הפורצים. צוות X-Force של יבמ תיעד עליה בכמה תחומי מפתח של פעילות פריצה וחדירה למערכות.

מהדו"ח עולה, כי התוקפים מתמקדים בהזרקת קוד ברמת גרעין המערכת (Shell Command Injection). לאחר שתעשיית האבטחה הצליחה לשפר את כושר ההתמודדות עם הזרקת פקודות לבסיסי נתונים בסביבת SQL, המאפשרת לפורצים לבצע מניפולציות בבסיס הנתונים העומד מאחורי אתר האינטרנט – עברו הפורצים בשנת 2011 להתמקד במערכת ההפעלה עצמה. הפרצות כאן מאפשרות לבצע פעולות ברמת השרת, "ומפתחי יישומי ווב חייבים להקדיש תשומת לב לפריצות מכיוון זה".

נתון נוסף העולה בצידו השלילי של הדו"ח קובע, כי חל זינוק בניסיונות אוטומטיים לניחוש סיסמאות גישה, מגמה שנרשמה במחצית השניה של 2011, ומתמקדת בחיפוש אחר ססמאות חלשות: מספר קטן של תווים, צירופים ומילים פופולריות.

עוד נכתב, כי התקפות גניבת זהות והתחזות אתרים, פישינג (phishing), צוברות תאוצה בעולם המדיה החברתית. כמות ההתקפות האלה המריאה אשתקד לשיאים שלא נרשמו מאז 2008. באחת השיטות המוכרות ביותר של התקפות כאלה, שולחים התוקפים דואר אלקטרוני המתחזה כאילו הגיע מאתר רשת חברתית, משירות משלוח חבילות, או ממוסד אחר – ושולח את הגולש לעמוד ווב המדביק את המחשב שלו בקוד זדוני.

מיחשוב ענן ועולם נייד
טכנולוגיות חדשות, דוגמת שירותי מיחשוב ענן ומכשירי קצה ניידים, יוצרים על פי יבמ זירת איומים חדשה. מחברי הדו"ח קובעים, כי מספר הפרצות המתועדות במכשירים ניידים עלה אשתקד ב-19%, תוך ניצול המגמה בה ארגונים מעודדים את עובדיהם להביא עימם את מכשירי הקצה והטלפונים החכמים שלהם ולהשתמש בהם במסגרת העבודה.

"המעבר לעבודה בסביבת מיחשוב ענן יוצר אתגרי אבטחה חדשים", נכתב בדו"ח. "על המנמ"רים ומנהלי האבטחה בארגונים להגדיר ולשקול אלו יישומים הם מתכוונים להעביר לסביבת הענן – ולדאוג מראש להבטיח את היישומים האלה ולהגן עליהם. המעבר לאבטחת ענן מחייב היערכות מקיפה, ומומלץ במיוחד על מתכונת של הסכמי רמת שימוש (SLA) שיאפשרו עבודה במתכונת גמישה, על פי התפתחות הצרכים הארגוניים והיקפי אימוץ הענן".

עוד עלה מהדו"ח, כי יותר ויותר התקפות קשורות בשימוש ברשתות חברתיות. "היקף המידע האישי אותו אנשים מוכנים לחשוף ברשתות האלה", נכתב, "יוצר קרקע פוריה לתרמיות ולניסיונות הונאה".

ה-"רעים" משתכללים
על רקע השיפורים האלה, נראה כי פורצי מחשבים מפתחים ומחדדים את הטכניקות שלהם. אנשי  יבמ מצביעים על עליה בשכיחות סוגי התקפה חדשים ובכלל זה ניצול פרצות במכשירים ניידים, ניחוש אוטומטי של סיסמאות, והתקפות של אתרים מתחזים המוכרות כתרמיות פישינג. "העליה בשכיחות ההתקפות בהן מתבצעת הזרקה אוטומטית של פקודות אל גרעין מערכת ההפעלה של שרתים, עשויה להיות תגובה להצלחת המאמצים לסגור ולבלום פרצות אחרות ביישומי אינטרנט".

"בשנה שעברה ראינו התקדמות יפה בפעילות נגד התקפות, הודות למאמצי גורמים בתעשיית ה-IT לשפר את איכות התוכנה", אמר יוסי טל, מנהל פיתוח עסקי של חטיבת האבטחה ביבמ ישראל. "בתגובה, המשיכו תוקפים בניסיונות לשדרג את הטכניקות שלהם ולמצוא דרכים חדשות לחדירה לארגונים ולאתרים. כל עוד המתקיפים יוכלו להפיק רווחים מפשעי סייבר – ארגונים ועסקים חייבים להמשיך במאמצים לסתום פרצות  ולחזק את האבטחה של מערכותיהם".