סקר: מתקפות הכופרה ההרסניות ביותר – בסופי השבוע ובחגים

כשאנחנו בחופשה – התוקפים עסוקים: מחקר חדש של סייבריזן (Cybereason) חושף את התופעה שלפיה התוקפים יעדיפו לתקוף את ארגונכם דווקא במהלך עונת החגים או בסופי השבוע, ומרחיב על הקשר בין מועד תקיפות הכופר לעוצמת פגיעתן בארגונים.

לפי הסקר של חברת הסייבר, אף על פי שמתקפות כופר רבות מתרחשות במהלך סופי שבוע או חגים, ארגונים רבים ברחבי העולם אינם ערוכים למתן מענה מיידי ואיכותי במועדים אלו. כתוצאה מכך מרבית מתקפות הכופר מצליחות להסב נזק רב, והארגונים חווים פגיעה קשה. רק באוקטובר האחרון, קבוצת ההאקרים BlackShadow חשפה במהלך סוף שבוע שפרצה אל חוות השרתים של חברת סייברסרב (Cyberserve) הישראלית, האחראית לאחסון של עשרות אתרים ישראליים. בחודש מאי האחרון, חברת קולוניאל פייפליין, אשר מפעילה את אחד מצינורות הדלק המרכזיים בארצות הברית, חוותה גם היא תקיפה קשה שבוצעה במהלך סוף שבוע על ידי קבוצת התקיפה DarkSide, אשר גרמה להשבתה של קווי הדלק במשך חמישה ימים רצופים והסתיימה בתשלום כופר של חמישה מיליון דולר.

תוקפים רבים משכילים לזהות את סופי השבוע והחגים כ"זמנים מתים", בהם כוננות צוותי האבטחה יורדת ותוך כך גם המעקב אחר המתרחש ברשתות הארגון. בשנים האחרונות מתקפות הכופר עלו שלב, אמצעי התקיפה ופעולות התוקפים השתכללו, וכתוצאה מכך גם ממוצע משך התקיפות ירד בצורה משמעותית. כיום, על מנת למנוע נזק ממשי לארגון, על צוותי האבטחה לאתר את אירועי התקיפה בזמן אמת ולהגיב עליהם בתוך מספר דקות בודדות, זאת בשונה משנים קודמות, שבהן לצוותי האבטחה היו ימים או שעות כדי למנוע נזק. מצב זה, בשילוב העובדה שארגונים רבים אינם מוגנים על ידי פלטפורמות הגנה מתקדמות, מגביר את עוצמת הפגיעה של מתקפות הכופר ומעצים את שכיחות התופעה.

הסקר שנערך כלל 1,200 מומחי אבטחה וסייבר, השייכים לארגונים גדולים מרחבי העולם, אשר חוו מתקפת כופר במהלך חג או סוף שבוע בשנה האחרונה. כלל המשתתפים התייחסו בתשובותיהם להשפעת מתקפות הכופר על הארגון ועל צעדי אבטחה חדשים שבהם נקטו כתוצאה מהמתקפות שחוו בעבר. מתוצאות הסקר עולה, כי 90% מהמשיבים ציינו שהם מודעים לסכנות הקיימות וחוששים מפני תקיפות כופר בארגון. עם זאת, יותר מ-50% מהם העידו, שאין בידיהם את הכלים המתאימים להתמודד מול אירוע תקיפה פוטנציאלי. בנוסף, 25% מהנשאלים העידו, שאף על פי שחוו מתקפת כופר במהלך סוף שבוע או חג בעבר, לא קיים בארגונם צוות אבטחה ייעודי, הפועל בזמנים אלו לטובת איתור ותגובה לתקיפות פוטנציאליות.

זמן תגובה ארוך מהרגיל ושחיקת צוותי האבטחה

כיום יש במרבית הארגונים צוותי אבטחה פנימיים או חיצוניים, שמטרתם לתת מענה ראשוני מקצועי במקרה של תקיפה בארגון ולעצור את התפשטות התוקפים ברשת. עם זאת, נראה שקיים פער בזמינות של צוותי האבטחה ונוכחות כוח אדם מקצועי במהלך סופי שבוע וחגים. יותר ממחצית מהנשאלים העידו, שזמן ביצוע הערכה כללית ומתן תגובה ראשונית לאירוע תקיפה אשר התרחש במהלך סוף שבוע או חג – היה ארוך מהרגיל, לעומת תקיפה שנערכה בזמני פעילות רגילים. בנוסף, 33% מהנשאלים העידו, שהתאוששות מאירוע תקיפה שכזה והליך החזרה לשגרה בארגון ארך זמן רב יותר לעומת אירועי עבר שחוו בזמני פעילות רגילים.  לצד זמני התגובה הארוכים, נראה שהפער הנ"ל פוגע גם ברווחת צוותי האבטחה. 86% מהנשאלים העידו כי הפסידו בעבר חופשות מתוכננות מאחר שנקראו בדחיפות בעקבות מתקפת כופר שהתגלתה בארגון במהלך סוף שבוע או חג, בעוד ש-70% מהנשאלים התוודו שהגיעו לטפל באירוע תקיפה כאשר היו תחת השפעת אלכוהול. בטווח הקצר, גורמים אלו עלולים לפגוע בתפקודם המקצועי של צוותי האבטחה, ואילו בטווח הארוך תיתכן שחיקה והשפעה שלילית על שביעות רצונם.

תעשיות בסיכון מוגבר – קמעונאות, תחבורה ומערכות בריאות

בעוד מרבית מדינות העולם נכנסות לתקופת החגים של סוף השנה הלועזית, תעשיות הקמעונאות והתחבורה מסתמנות כיעדי תקיפה אטרקטיביים במיוחד, בעיקר בשל הפעילות המוגברת של אותם ארגונים בתקופה הזו של השנה ופוטנציאל אובדן הכנסות אדיר מעצירת הפעילות השוטפת. סקטור נוסף שנמצא על הכוונת כולל את המוסדות והמכונים הרפואיים, אשר מהווים יעד פופולרי בשל החשש לפגיעה בחיי אדם במקרה של השבתת מערכות רפואיות או שיבוש פעילות. אלמנטים אלו משפיעים על שיקול הדעת של הקורבנות וגורמים להם לשלם דרישות כופר גבוהות באופן מיידי, דבר שתורם ומעודד את התוקפים להמשיך ולתקוף. מהסקר עולה, כי יותר מ-65% מהנשאלים אשר משתייכים לארגונים מהסקטורים הנ"ל העידו, שמתקפות שחוו בעבר גרמו לפגיעה קשה בארגונתם, וזאת מאחר שלא היו בידם פתרונות אבטחה מתאימים. 24% העידו, שעל אף שחוו מתקפת כופר בעבר, הם אינם מחזיקים כלל בתוכנית פעולה להתמודדות מול מתקפות כאלה בהווה.

פער בהבנת חומרת המצב

נראה שכיום קיים עדיין פער בהבנת חומרת המצב. ישנן קבוצות תקיפה שונות ומגוונות, אשר פעילות ברחבי העולם ועלולות להסב נזק אדיר לארגונים שונים. על פי תוצאות הסקר, 63% מהמשיבים האמינו, כי מתקפת הכופר שחוו בארגונם בוצעה על ידי גורם מדיני מתקדם בעל אמצעים, וכללה מערכי תקיפה מורכבים. זאת למרות שבפועל תקיפות אלו בוצעו על ידי קבוצות תקיפה עצמאיות שאינן משתייכות לגוף מדיני גדול ומתוקצב. עוד עולה מתוצאות הסקר, כי מחצית מהמשיבים העידו שמערכת ההגנה הקיימת בארגונם הינה אנטי וירוס מסורתי בלבד, למרות שזו אינה יעילה מול מערכי התקיפות של היום. רק 36% מהמשתתפים העידו כי ברשותם מערכות הגנה מתקדמות, כגון  EDR, אשר מיועדות להגן על נקודות הקצה בארגון מפני מתקפות סייבר מתחכמות.

ליאור דיב, מנכ"ל ומייסד סייבריזן אמר, כי "מתקפות הכופר ההרסניות ביותר מתרחשות לרוב במהלך סופי שבוע וחגים, כאשר התוקפים יודעים שיש להם יתרון על הארגונים המותקפים. סקר זה מוכיח, שארגונים רבים אינם ערוכים כראוי להתמודדות מול מתקפות פוטנציאליות, ועליהם לנקוט צעדים נוספים על מנת להבטיח מוכנות לאיתור ותגובה מיידית להגנה על הנכסים הקריטיים בארגון.״