גידול בהיקף המתקפות שמנצלות שירותי גישה מרחוק

ב-90% מהמתקפות שחוקרי סופוס טיפלו בהן בשנה החולפת, פושעי הסייבר ניצלו לרעה Remote Desktop Protocol (RDP) – שיטה נפוצה ליצירת גישה מרחוק במערכות Windows. זהו הנתון הגבוה ביותר של ניצול לרעה של RDP מאז 2020.

החוקרים ניתחו יותר מ-150 מקרי תגובה לאירועים (IR) שטופלו על ידי צוות Sophos X-Ops IR במהלך 2023. vo dhku aשירותי גישה מרחוק חיצוניים, כגון RDP, היו הווקטור הנפוץ ביותר שבאמצעותו השיגו התוקפים גישה ראשונית לרשת. שירותים אלה היוו את שיטת הגישה הראשונית ב-65% ממקרי התגובה לאירועים אשתקד. "שירותי גישה מרחוק היו באופן עקבי המקור השכיח ביותר לגישה ראשונית של פושעי סייבר מזה שלוש שנים", כתבו המומחים, "מה שאומר שקובעי המדיניות בארגונים נדרשים מעתה להעניק עדיפות לניהול שירותים אלה – בעת הערכת הסיכונים בארגון".

במקרה אחד שטופל על ידי צוות התגובה התוקפים הצליחו לסכן את הקורבן ארבע פעמים בתוך חצי שנה, כשבכל פעם הם הצליחו להשיג גישה ראשונית דרך יציאות ה-RDP החשופות. לאחר שנכנסו, המשיכו ההאקרים לנוע רוחבית ברשת הארגונית, השביתו את ההגנה על נקודות הקצה והצליחו לייצר גישה מרחוק לרשת זו.

עוד עולה מהניתוח שניצול הרשאות שנפגעו וניצול חולשות הם עדיין שני הגורמים הנפוצים ביותר להתקפות. עם זאת, נמצא כי במחצית הראשונה של 2023, ניצול הרשאות שנפגעו היה, בפעם הראשונה, הגורם הראשי להתקפות – יותר מניצול חולשות. מגמה זו נמשכה לאורך כל השנה, וניצול הרשאות שנפגעו היה הגורם העיקרי ביותר מ-50% מהמקרים שטופלו – במשך השנה כולה. כאשר מסתכלים על הנתונים במצטבר מ-2020 עד 2023, ניצול הרשאות שנפגעו היה הגורם מספר אחת למתקפות, עם כמעט שליש מכלל המקרים. הגורם מספר שתיים למתקפות היה ניצול חולשות. יצוין שלמרות השכיחות ההיסטורית של הרשאות שנפגעו במתקפות סייבר, ב-43% מהמקרים שטופלו בשנה החולפת לא היה בארגונים אימות רב שלבי.

"שירותי גישה מרחוק חיצוניים – מציאות הכרחית, אך מסוכנת"

לדברי ג'ון שייר, מנהל טכנולוגיות שטח בסופוס, "שירותי גישה מרחוק חיצוניים הם מציאות הכרחית, אך מסוכנת עבור עסקים רבים. התוקפים מבינים את הסיכונים שמהווים שירותי הגישה מרחוק ועושים מאמץ פעיל כדי לנצל אותם – בשל עושר המידע שעובר דרכם. הותרת שירותים שכאלה כשהם פתוחים וחשופים, מבלי לקחת בחשבון את האיומים עליהם – מעמידה ארגונים בסכנה. אלה שירותים שיש להגן עליהם מכל משמר, שכן לא לוקח לתוקף זמן רב כדי למצוא שרת RDP חשוף ולנצל אותו, וללא בקרות נוספות, גם למצוא את שרת ה-Active Directory בצד השני".

שייר הוסיף כי "ניהול סיכונים הוא תהליך אקטיבי. ארגונים שעושים זאת היטב חווים מצבי אבטחה בצורה טובה יותר מאלה שלא ניצבים מול איומים מתמשכים מצד תוקפים נחושים". לדבריו, "היבט חשוב בניהול סיכוני אבטחה, מעבר לזיהוי ולתיעדוף שלהם, הוא הפעולה שמתבצעת בעקבות קבלת מידע. עם זאת, במשך זמן רב מדי, סיכונים מסוימים, כמו RDP פתוח, ממשיכים לפגוע בארגונים, לשמחתם של התוקפים, שיכולים לעבור ישירות דרך דלת הכניסה של הארגון. אבטחת הרשת על ידי צמצום השירותים החשופים והפגיעים והקשחת האימות יהפכו ארגונים למאובטחים יותר, ולכאלה שמסוגלים יותר להביס מתקפות סייבר".