"כשפצצות נופלות במלחמות פיזיות – מגיעה נשורת בדמות סייבר"

"כאשר פצצות גיאו-פוליטיות נופלות, נשורת הסייבר מגיעה לעתים קרובות", כך כתבו ג'יטין שאבדו, אנליסט, ואלי מלן, אנליסטית ראשית – שניהם בפורסטר, בדו"ח שפרסמה חברת המחקר, שמתמקד באיומי הסייבר מאיראן ופורסם לאחר הפסקת האש בין ישראל לבינה.

השניים ציינו כי "בדו"ח השנתי שלנו קבענו כי 'תנודתיות גיאו-פוליטית, דיפ פייק ודיסאינפורמציה המונעת על ידי AI יעצבו מחדש את נוף איומי הסייבר'. נוף האיומים יכלול סיכונים מוגברים, גלים חדשים של איומים, רעש ואופורטוניזם מצד ספקי אבטחה. מצבים אלה דורשים בהירות ולא בהלה – המסגור של אירוע הסייבר חשוב לא פחות מההגנה עצמה. על מנהלי האבטחה להתמקד בדברים החשובים ו-'לחתוך' את הרעש".

"הדיפ פייק הוא קו החזית החדש של ההנדסה החברתית", כתבו החוקרים. "שחקני איום בסייבר איראניים, דוגמת חתלתול מקסים (APT42) ו-TA453, 'הצטיינו' בקמפיינים של פישינג כדי להערים על קורבנות בעלי ערך גבוה עבורם. מה שהשתנה השנה הוא השימוש במדיה סינתטית כדי להעמיק את ההונאה ולמנוע את יכולות הזיהוי. בעוד שקבוצות בחסות המדינה נותרו בעלות הכי הרבה יכולת והמסוכנות ביותר, ארגונים חייבים גם לאתר ולנטר קולקטיבים נוספים של האקרים המזוהים עם איראן".

לפי פורסטר, "קיים סיכון מוגבר לסביבות ICS ולסביבות IoT 'כבדות': שחקני איום מאיראן התמקדו בעבר בסביבות OT, וסביר מאוד שיעשו זאת שוב. לפני ימים אחדים פורסמה מודעת Wanted (מבוקשים – י"ה) בסך 10 מיליון דולר על קבוצות המקושרות לקבוצת האיום האיראנית CyberAv3ngers. זו התמקדה בעבר במערכות מים ואנרגיה בארצות הברית ותקפה בקרים פגיעים – מה שחושף כל ארגון 'כבד' עם מערכות בקרה תעשייתיות (ICS) לסיכון זה. גם מגזר הבריאות נמצא כעת על המכ"ם. החודש התריע הממשל הפדרלי בארצות הברית ששחקני סייבר איראניים מכוונים יותר ויותר לשירותי בריאות, במיוחד אלה עם מכשור רפואי מדור קודם, פילוח חלש בין המערכות ומערכות ניהול מבנים חשופות".

איומי נקמה: סוכנויות הממשל על הכוונת

לפי חוקרי פורסטר, "קבוצות שחקני איומים כמו APT34 ו-APT42 התמקדו בעקביות בגופים ממשלתיים בארצות הברית באמצעות קמפייני פישינג וקצירת אישורים, כולל ניסיונות לתקוף קמפיינים נשיאותיים ומערכות כוח אדם פדרליות. בינתיים, האקרים איראנים השחיתו אתרים והפעילו מתקפות מניעת שירות, כדי לשבש שירותים ולשחוק אמון. פעולות היברידיות אלה משלבות ריגול עם שיבוש. מדובר באיומים אמינים על סוכנויות פדרליות, מדינתיות ומקומיות".

"כדאי להתעלם מההייפ בשוק"

שאבדו ומלן כתבו כי "בעתות משבר ואי ודאות, ספקים ונותני שירותים עשויים, באופן טבעי, לנסות ליישר קו עם הנרטיב הרווח. מקצועני אבטחה חייבים לבחון בקפידה את היצע האבטחה, ולהבחין בין תרומות אמיתיות ומהותיות לבין אלה שעוצבו על ידי דינמיקת השוק. מנהלי האבטחה חייבים לסנן את הרעש ולהטמיע רק מה שרלוונטי לתפעול שלהם".

לתעדף את מודיעין האיומים

"אחד הדברים שהכי מתעלמים מהם בהסלמה גיאו-פוליטית שכזו (מלחמת ישראל-איראן – י"ה) הוא חוסר הרלוונטיות של סדרי עדיפויות של מודיעין איומים", כתבו האנליסטים. "תוכניות מודיעין איומים רבות עדיין פועלות לפי דרישות שנכתבו עבור קבוצות כופרה, פשעי סייבר וריגול ברמה נמוכה. כך המגנים מפספסים את האיומים העמוקים יותר – מסייבר ועד לסיכונים עסקיים וכוח אדם, שצצים עקב נוף האיומים הנוכחי. לכן, עליהם לשאול שאלות אחרות, חדשות, דוגמת: האם גורמי איומים הקשורים לאיראן מתמקדים באופן פעיל בארגון שלכם? והאם נכסי ICS/SCADA בשרשרת האספקה שלכם נבדקים, ממופים – או עוברים מניפולציה? רק מענה מדויק ואמין יביא לחיבור בין הגנה טכנית לחוסן מבצעי".

"ארגונים חייבים לפתח מדריכים לזיהוי ואימות תוכן סינתטי, ולהשתמש באלגוריתמים לזיהוי דיפ פייק והדמיית התקפות התחזות באמצעות קול ו-וידיאו שנוצרו על ידי AI", סיכמו שני האנליסטים הבכירים. "עליהם להקשיח את פרוטוקולי התקשורת של המנהלים ולחזק נהלי אימות פנימיים. ארגונים צריכים להרחיב את איסוף המודיעין שלהם כך שיכלול פלטפורמות 'שוליות' כמו טלגרם ופורומים בשפה הפרסית, כדי להיות עם אצבע על הדופק. יש לתעדף ולממש את גישת 'אפס אמון', ולזהות ולמנוע תנועות ופעולות של הרעים לרוחב הארגון, כדי לזהות איומים גם בסביבות OT".