תקיפת סייבר דרך שרשרת האספקה – סטטיסטיקות ומשמעויות

העלייה הדרמטית בהתקפות על שרשרת האספקה מהווה עדות להשתכללות של קבוצות התקיפה בשנה וחצי האחרונות, מאז פרוץ מגיפת הקורונה, תוך ניצול תלות הארגונים בקבלני ובספקי משנה ונראה כי איום זה כאן כדי להישאר בטווח הנראה לעין

05/08/2021 13:07
רמון הדר, יועץ אבטחת מידע. צילום פרטי

אין עוררין כל כך שאיום התקפת סייבר דרך שרשרת האספקה של ארגון קיבל בשנה החולפת משנה תוקף (ופרסום). קבוצות התקיפה השונות הבינו את הפוטנציאל הגלום בווקטור תקיפה זה: הקונספט של היעדר הצורך בתקיפה ישירה של מנגנוני ההגנה של הארגונים, אלא עקיפתם באמצעות ניצול האמון שהם מעניקים לגופי שרשרת האספקה, קסם להאקרים, ובכוונתם לנצל אותו עד תום.

ההתקפה המיוחסת לקבוצת תקיפה רוסית, שפורסמה בשלהי שנת 2020, על ארגונים ממשלתיים רבים בארה"ב באמצעות הפצה של פוגען בתוכנת Orion של חברת סולארווינדס האירה בזרקור עז את הנושא החשוב, שנדחק הצידה שלא בצדק, של תקיפה דרך שרשרת אספקה. כמו כן, מתווה של תקיפת שרשרת האספקה מומש גם בהתקפת הכופר המשמעותית האחרונה (יולי 2021) של קבוצת התקיפה REvil על חברת קסיה, שבמסגרתה התוקפים חדרו למאות מחשבים דרך תוכנה של חברה זו, שמשמשת לניהול מחשבי לקוחות מרחוק, גם כן באמצעות עדכון תוכנה זדוני, וגרמו להשבתת מערכות וחנויות מכר, ודרשו סכום כופר דמיוני של 70 מיליון דולר. קבוצת התקיפה המוכרת והנפוצה המדוברת נעלמה אחרי תקיפה זו באופן מסתורי מהרשת וחברת קסיה הספיקה מאז לטעון שהשיגה את מפתחות ההצפנה, אולם לא ברור באם שילמה את הכופר.

יוזכר, כי במקביל, גם בישראל אירעה בדצמבר 2020 פריצה למחשבי חברת התוכנה עמיטל, אשר הובילה לפריצה לכ־40 חברות ישראליות בתחומי הלוגיסטיקה והייבוא בעקבות גניבה של פרטי ההתחברות ללקוחות.

ארגון ENISA (ארגון אירופי לשיפור תחום ההגנה בסייבר) פרסם בסוף יולי השנה דו"ח מקיף, שכולל ניתוח של 24 מקרי תקיפת שרשרת אספקה, מינואר 2020 ועד תחילת חודש יולי 2021. לפי דו"ח זה, בהתבסס על המגמות, הנתונים והדפוסים שנותחו, הארגון טוען שהתקפות שרשרת אספקה גדלו, הן במספרים והן בתחכום, וההערכה היא, שמספר ההתקפות מסוג זה יגיעו לפי ארבעה בשנת 2021 מאשר בשנה הקודמת. בנוסף, לפי הארגון, מחצית מהתקיפות מסוג זה יוחסו לקבוצות תקיפה מתקדמות (APT – Advanced Persistent Threat Actors), ולכן המורכבות והמשאבים שהוקצו להן הן הרבה מעבר לתקיפה רגילה ולא ממוקדת, וכתוצאה מכך קיים צורך גובר בנקיטת דרכי התגוננות חדשות בקרב הספקים השונים על מנת להבטיח שהארגונים יהיו מוגנים.

המטרה: לחדור למערכות המחשב של לקוחות

הנתונים של הארגון מראים, שבכ-65% מהמקרים, כשבוחנים את הנכסים שהותקפו, התוקפים התמקדו בהשגת גישה לקוד מסוים של הספק, או לתוכנה הקיימת אצל הספק, במטרה לחדור למערכות המחשב של הלקוחות. כמו כן, בכ-60% מהמקרים של התקפה על לקוחות, ההתקפות ניצלו את האמון בין מערכות הספק והלקוחות, ובהיקף דומה של אחוזים, מטרת התקיפה הייתה מידע שמצוי בידי הלקוח (כולל מידע אישי ומידע הכולל נכס קנייני). לבסוף צוין, כי טכניקת התקיפה שננקטה במרבית המקרים (כ-60%) הייתה שימוש בנוזקות (למשל תוכנת ריגול שמטרתה גניבת נתוני גישה והזדהות של העובדים), לצד שימוש בשיטות תקיפה אחרות, כגון טכניקות הנדסה חברתית שונות (פישינג, אפליקציות מזויפות), התקפה שכוללת ניחוש סיסמאות או השגתם ממידע גלוי ברשת, ניצול חולשות בתוכנות שבשימוש הספקים וניצול שגיאות תצורה ואבטחה ברשתות הספק.

לסיכום: לטענתי, העלייה הדרמטית בהתקפות על שרשרת האספקה מהווה עדות נוספת להשתכללות של קבוצות התקיפה בשנה וחצי האחרונות, מאז פרוץ מגיפת הקורונה, תוך ניצול תלות הארגונים בקבלני ובספקי משנה. מעבר לכך ניכר, כי איום זה כאן כדי להישאר איתנו בטווח הנראה לעין בתחומי הסייבר ההתקפי השונים. בד בבד התברר, כי ככל שהארגונים משפרים את ההגנה בסייבר שלהם, האיזון ייטה לכיוון היות הספקים יעד מועדף לתקיפה ("אפקט הבלון"). מעבר לכך, כפי שהוכח בתקיפות סייבר בישראל בעבר הקרוב, הסקטורים השונים במדינה, בדגש על אלו התלויים בספקים ובקבלני משנה, לא בהכרח מוכנים לתקיפות רחבות היקף על שרשרת האספקה.

על מנת לצמצם את סיכוני אבטחת המידע בשרשרת האספקה בישראל, הספקים נדרשים, ראשית כל, להבין את האיום המשמעותי המדובר ולהטמיעו בקרב עובדיהם. בנוסף, הספקים והלקוחות נדרשים לוודא שהספקים עומדים בנהלים שפורסמו עבורם על ידי מערך הסייבר הלאומי במאי ובאוגוסט 2020, ולוודא מימוש תהליך פיתוח מאובטח של מוצרים ושירותים שמסופקים ללקוחות, לפי נוהלי האבטחה המקובלים, דוגמת ISO-27001 או SP-800-161 NIST.

 

הכותב הוא יועץ אבטחת מידע.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים