הסייבר ב-2024: אפס אמון בשרשראות האספקה

חלק זה של הסקירה נפתח עם נתון לא מפתיע, אבל חשוב: קרוב למחצית (45%) מ-2,700 מקצועני ניהול סיכונים מ-94 מדינות ציינו כי אירועי סייבר הם הגורם המפחיד ביותר להפרעה עסקית – יותר מאשר אסונות טבע או דאגות שקשורות לאנרגיה; כך לפי "ברומטר הסיכונים" של Allianz.

אחת ממתקפות שרשרת האספקה הגדולות והמתוחכמות ביותר הייתה מתקפת סולארווינדס, שבוצעה ב-2020, כאשר ההאקרים השיגו גישה לרשתות של עשרות אלפי ארגונים באמצעות פריצה לתוכנת הניהול של החברה. מאז, המצב בתחום רק החמיר: מחקר שערכה אקסנצ'ר באחרונה העלה כי 54% מהמנהלים העסקיים בארגונים רואים בצדדים שלישיים וברשתות חיצוניות את האזורים הרגישים ביותר להתקפה. במחקר של Venafi, שנערך בקרב 1,000 מנמ"רים, 82% מהם העידו שהארגונים שלהם חשופים למתקפות סייבר שמכוונות לרשתות אספקת תוכנה.

"שרשרת האספקה נותרה חוליה חלשה"

לפי צ'ק פוינט, "הגידול במתקפות הסייבר על תשתיות קריטיות, במיוחד מתקפות שבהן מעורבות מדינת לאום, יוביל למעבר למודלים של 'אפס אמון', שדורשים אימות מכל מי שמנסה להתחבר למערכת – ללא קשר לשאלה אם הם בתוך או מחוץ לרשת. שרשרת האספקה נותרה עדיין חוליה חלשה, ויש לה השפעות מרחיקות לכת. המגמה הזו תימשך השנה".

את החוליה החלשה. שלום! צילום: ShutterStock

לדברי צ'סטר וישנייבסקי, מנהל טכנולוגיות ראשי בסופוס, "ב-2023 חלה התקדמות רבה בניצול לרעה של שרשראות אספקה לצורך תקיפה – באמצעות ניצול חולשות של ספקי שירות מנוהלים (MSPs), אמצעי שיתוף קבצים או באמצעות ספקי אימות. לעתים, הדרך הקלה ביותר לפרוץ היא דרך הדלת האחורית. ככל שארגונים ממשיכים למגן את הרשתות שלהם ולאמץ מודלים של פתרונות כשירות, המתקפות האלה גדלות, וכך יקרה גם השנה".

וישנייבסקי לא לבד: הקונצנזוס בקרב המומחים היא שבשל גידול בשיעור של מאות אחוזים במתקפות שרשרת האספקה ב-2023, המגמה תועצם השנה או לכל הפחות תיוותר באותו שיעור.

מתקפות יום אפס

לפי חוקרי גוגל, גם השנה יימשך הניצול של פגיעויות יום אפס. מאז 2012 חלה עלייה כללית בניצול נקודות התורפה מסוג זה, ו-2023 הייתה שנת שיא בתחום. חוקרי גוגל צופים שתוקפים משני הסוגים – בחסות מדינות לאום וארגוני פשע – ימשיכו לנצל פגיעויות יום אפס השנה בין השאר בשל רצונם לקבל גישה מתמשכת למערכת, למשך זמן רב ככל האפשר. על ידי ניצול פגיעויות יום אפס הם יכולים לשהות במערכת של הארגון הקורבן הרבה יותר זמן ממה שהם היו יכולים לו היו שולחים מייל פישינג, ואז מתקינים נוזקות. החוקרים ציינו כי "בהתבסס על אירועי סחיטה קודמים, פושעי סייבר מודעים לכך ששימוש בפגיעות יום אפס יגדיל את היקף הקורבנות והארגונים שמוכנים לשלם דמי כופר מוגזמים".

גם מבצעי מתקפות יום האפס לא נחים. צילום: BigStock

עודד טורג'מן, ארכיטקט סייבר בבזק בינלאומי, סבור שתחול השנה עלייה בהיקף של פרצות האבטחה הלא ידועות. "ארגונים שמרחיבים את היקף הפלטפורמות, היישומים והטכנולוגיות שלהם מספקים להאקרים, מבלי שהם יודעים, הזדמנויות ייחודיות לחשוף ולנצל נקודות תורפה בתוכנות שלהם", ציין. "השנה נראה יותר סוכני Zero day – קבוצות פשיעת סייבר שימכרו חולשות יום אפס בקהילת פשיעת הסייבר כשירות בדארקנט".

רבותיי, ההיסטוריה חוזרת

טוב, לא ממש היסטוריה: החלק הזה אמנם עוסק בשיטות ה-"קלאסיות", הוותיקות, שלא לומר ההיסטוריות, של המתקפות, אבל למעשה, מדובר במתקפות שעדיין כאן, והן לא הולכות להיעלם. להפך, החוקרים – לפחות מפורטינט – סבורים שבשנה הקרובה נראה יותר ויותר מהן. "השיטות האלה מתפתחות ומתקדמות, ככל שהתוקפים מקבלים גישה ליכולות חדשות", לדבריהם. לדוגמה, החוקרים צופים פעילות רבה יותר בקרב מספר הולך וגובר של קבוצות איומי סייבר מתקדמים ומתמידים (APT). בנוסף לכך, הם ציינו שבאופן כללי, קבוצות של פשיעת סייבר יגוונו את המטרות והשיטות שלהן ויתמקדו במתקפות מתוחכמות והרסניות יותר – בין היתר במניעת שירות וסחיטה. גם "מלחמות השטחים" של פשיעת הסייבר ממשיכות, עם קבוצות תקיפה רבות שמתבייתות על אותן מטרות ופורסות גרסאות של מתקפות כופרות, לעתים בתוך 24 שעות מחדירתן למערכת, או פחות. ב-2023 הבחינו החוקרים בעלייה בפעילות מסוג זה, מה שהוביל את ה-FBI להוציא אזהרה לארגונים לגבי הנושא.

לסיום, בחזרה לחוקרים מגוגל: הם אומרים ש-"כיוון שצוותי האבטחה טובים בהרבה באיתור נוזקות והודעות פישינג, וכך גם המוצרים שהשתפרו – תוקפים יחפשו דרכים נוספות להימנע מזיהוי". להערכתם, "שחקני האיומים יימשכו במיוחד למכשירי קצה ולתוכנות וירטואליזציה – בשל הקושי שלהם בניטור".

לחלק א' של הסקירה לחצו כאן, לחלק ב' לחצו כאן ולחלק ג' – כאן.