מחקר של סייבר ארק: כל תעשיה וכל חברה – מטרה לתוקפים הקיברנטיים

על פי הדו"ח, "פעמים רבות מתקפת הסייבר היא האמצעי להגיע למטרה: תוקפים מכוונים לעיתים קרובות לחברות קטנות יותר, ופחות מאובטחות - בייחוד אם הן חלק משרשרת האספקה של הארגונים הגדולים יותר"

אודי מוקדי, מייסד ומנכ"ל סייבר ארק

"כל תעשיה, כל חברה, היא מטרה למתקפת סייבר. תוקפי הסייבר הרחיבו את יעדיהם, וכיום הם מאיימים על חברות בכל גודל שהוא, ובכל התעשיות", כך עולה ממחקר שנערך על ידי שישה צוותי אבטחה וסייבר בשש חברות, ביוזמתה ובהובלתה של סייבר ארק (CyberArk) הישראלית.

חוקרי החברות שהשתתפו במחקר הם: חברי קבוצת המחקר ומודיעין אבטחת המידע Talos של סיסקו (Cisco); צוות מעבדות סייבר לייעוץ במגזר הפיננסי מדלויט (Deloitte); צוות סיכוני הסייבר של Deloitte & Touche LLP; אנשי מנדיאנט (Mandiant) מבית FireEye, יחד עם אנשי RSA, חטיבת האבטחה של EMC; וצוות RISK של וריזון (Verizon).

על פי הדו"ח, "פעמים רבות מתקפת הסייבר היא האמצעי להגיע למטרה: תוקפים מכוונים לעיתים קרובות לחברות קטנות יותר, ופחות מאובטחות – בייחוד אם הן חלק משרשרת האספקה של הארגונים הגדולים יותר". כך, החוקרים עקבו אחרי מהלך מתקפות על יעדים שאינם מסורתיים, כמו חברות הובלה ושירותים מקצועיים – החל מפירמות לייעוץ ניהולי ובקרה ועד לעורכי דין. הממצאים העלו כי "לעתים תכופות, המתקפה היא על שותף עסקי של אותם ספקי שירותים".

ממצא נוסף הוא ש-"הגנה היקפית היא בעלת תועלת נמוכה: תוקפים תמיד מצליחים לחדור את מערך האבטחה ההיקפי, כאשר נקודת הכניסה השכיחה ביותר היא עובדי החברה". מתקפות פישינג, קובעים החוקרים, הן הדרך הנפוצה ביותר לחדור לארגון והן הולכות והופכות למתוחכמות יותר, "כך שגישת העובדים (ה-Log In שלהם) הופכת לנקודת כניסה נוחה הרבה יותר להסתננות לארגון, מאשר דרך רשת או תוכנה".

ממצא חשוב הוא שתוקפים מסתתרים ברשת הארגונית במשך חודשים או שנים: רוב המתקפות התנהלו למשך זמן של 200 ימים או יותר לפני גילוי ראשוני. "מתקפות על גופים פיננסים ניתן לגלות תוך זמן קצר יותר, בדרך כלל פחות מ-30 יום. תוקפים יכולים להסתיר את עקבותיהם, תוך שימוש בחשבונות פריבילגיים כדי למחוק את נתוני הכניסה לרשת המחשוב וראיות אחרות", נכתב בדו"ח.

התוקפים, העלה המחקר, "שואפים להגיע לגישה פריבילגית: חשבונות פריבילגיים מנוצלים לרעה בכמעט כל מתקפת סייבר ממוקדת". חוקרי האיומים שהשתתפו במחקר מצאו שבין 100%-80% מכלל תקריות האבטחה החמורות שהם חקרו, כללו את ה-'חתימה' של חשבונות פריבילגיים שנפרצו ונוצלו במהלך המתקפה". עוד עלה כי אין מספיק מודעות לסכנות האיום על חשבונות פריבילגיים: "נקודות הפגיעות באבטחה והסיכונים הטמונים בחשבונות פריבילגיים גדולים לאין שיעור ממה שרוב החברות הפנימו", נכתב, "ארגונים לא מעריכים נכונה את כמות החשבונות הפריבילגיים שיש אצלם, או באילו מערכות הם יושבים, ואינם מגנים עליהם בצורה מספקת". כך, עלה במחקר שלארגונים כיום יש פי 3 או 4 חשבונות פריבילגיים ממספר העובדים בארגון.

עוד עלה כי ניצול חשבונות פריבילגיים על ידי תוקפים הופך למתוחכם יותר בצורה משמעותית. "יש טווח רחב של ניצול לרעה של חשבונות פריבילגיים, החל בניצול חוזר של חשבונות שירות, דרך מכשירים המשולבים ב'אינטרנט של הדברים' ועד להקמת זהויות רבות ב-Active Directory של מיקרוסופט (Microsoft), כדי לוודא הרבה נקודות גישה ודלתות אחוריות".

לדברי אודי מוקדי, מנכ"ל סייבר ארק, "המחקר גילה שהניצול לרעה של חשבונות פריבילגיים חוזר על עצמו כמעט בכל מתקפה ממוקדת, וזוהי הסיבה המרכזית לכך שקשה מאוד לגלות מתקפות כאלה ולעצור אותן". הוא הוסיף כי "החשבונות האלה מעצימים את כוחם של התוקפים ומאפשרים להם גישה לרשתות ומאגרי נתונים מאובטחים, כמו גם את היכולת להשמיד ראיות לפריצה, למנוע גילוי מוקדם ולהקים דלתות אחוריות כך שכמעט בלתי אפשרי לנטרל את נוכחות התוקפים ברשתות. אבטחת חשבונות פריבילגיים מייצגת את קו ההגנה החדש במערכת הסייבר שמנהלות חברות כיום".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. צחי

    לא ברור לי מה זה מחדש. בספר "תורת האבטחה 773" נכתב כי על כל המנגנונים שאנו קוראים להם מנגנוני מניעה הם למעשה מעכבים בלבד וחדירה לארגון תתרחש במוקדם או במאוחר ולכן כל ארגון צריך להיערך ברצינות לטיפול על מנת לצמצם נזקים והתאוששות.

אירועים קרובים