"האירנים לא מרפים במתקפות סייבר על ישראל"

"קבוצות ההאקרים מאירן אינן מרפות ממתקפות הסייבר שלהן על ישראל. אף שהמגמה משתנה ולעיתים היקף המתקפות קטן, אנו עדים לכך שישראל מהווה אחד מיעדי התקיפה בסייבר המועדפים של אירן במזרח התיכון, בין השנים 2013 ל-2018, והמתקפות נמשכות", כך אמר דרק מאנקי, אסטרטג אבטחה גלובלי בכיר בפורטינט.

מאנקי היה דובר המפתח בערב בכירים שערך הסניף הישראלי של ענקית אבטחת המידע. בערב, בהפקת אנשים ומחשבים, השתתפו עשרות מנהלי אבטחת מידע מהמשק. הוא נערך אמש (ב') בקופיולה בתל אביב.

לדבריו, "ההאקרים האיראנים הפגינו בשנים האחרונות יכולות תקיפה מתוחכמות בסייבר ושכנותיה של אירן במזרח התיכון, לרבות השכנה הרחוקה ישראל – מהוות יעד למתקפות. אחת מהקבוצות היא CopyKittens שפעילותה גברה ב-2017 והיא חדרה, או ניסתה לחדור, לעשרות ארגונים בישראל. CopyKittens פעילה מ-2014 וערכה מתקפות על חברות עסקיות, ארגוני ביטחון וממשלה ומוסדות אקדמיים בישראל, כמו בעולם. לצד קבוצה זו, פועלות שתי קבוצות האקרים נוספות – RocketKitten ו-FlyingKitten".

לישראל, אמר מאנקי, "יש מאפיין ייחודי נוסף: בשאר העולם ההאקרים לא מהססים להשתמש בכלי פריצה ובחולשות בנות חמש שנים. בישראל, בשל העדכניות הטכנולוגית שלה, ההאקרים משתמשים רק בכלי פריצה עדכניים, בני ימים או חודשים ספורים".

בהתייחסו לתחזית איומי הסייבר של פורטינט ל-2019, אמר מאנקי כי "חברות וארגונים יידרשו לכלים אוטומטיים, כדי להתמודד עם מתקפות הסייבר. למידת מכונה ובדיקות אוטומטיות מבוססות בינה מלאכותית יחשפו נקודות תורפה חדשות ברשתות ובתוכנות".
לדבריו, "מתקפות סייבר יהפכו ליותר חכמות ומתוחכמות: עבור ארגוני פשע רבים, טכניקות התקפה נמדדות לא רק ברמת האפקטיביות שלהן – אלא במשאבים הנדרשים כדי לפתח, לעדכן וליישם אותן. שינויים אסטרטגיים אצל אנשים, תהליכים וטכנולוגיות, יכולים להכריח חלק מהפושעים לחשוב מחדש על הערך הכלכלי של התמקדות בארגונים מסוימים".

אחת הדרכים להתמודדות עם מתקפות, אמר, "היא באימוץ טכנולוגיות חדשות כגון לימוד מכונה ואוטומציה כדי לבצע פעולות הגנה מייגעות וגוזלות זמן שדורשות פיקוח והתערבות אנושית רבים". מאנקי הסביר עוד כי "אסטרטגיות הגנה חדשות אלו ישפיעו על האסטרטגיות של פושעי הסייבר ויגרמו להם לשנות את שיטות המתקפה. אנחנו בפורטינט צופים כי קהילת פושעי הסייבר תאמץ כמה אסטרטגיות, שתעשיית האבטחה תצטרך לעקוב אחריהן מקרוב: בדיקות אוטומטיות מבוססות בינה מלאכותית (Artificial Intelligence Fuzzing- AIF) ופרצות תוכנה".

"להאקר לוקח כחודש למצוא פירצה שעולה בדארקנט מאות אלפי דולרים עד מיליון. מסורתית, Fuzzing הייתה טכניקה מתוחכמת שנעשה בה שימוש בסביבות מעבדה על ידי חוקרי איומים, לגילוי פרצות בממשקים ויישומים של חומרה ותוכנה. היסטורית הטכניקה הוגבלה למספר מצומצם של חוקרים מיומנים. אלא שככל שיכולות וכלים של למידת מכונה ייושמו בתהליכים אלו, הן יהפכו ליותר יעילות וינוצלו על ידי ההאקרים", אמר. בהתאם, הוסיף מאנקי, "כמו שפושעי סייבר החלו למנף למידת מכונה לפיתוח כלי Fuzzing אוטומטיים, כך הם יוכלו להאיץ את תהליך גילוי פרצות יום אפס (Zero Day), שיוביל לעלייה של התקפות מסוג זה על פלטפורמות ותוכנות שונות".

נחילים כשירות

מגמות נוספות אותן ציין מאנקי הן פרצת יום אפס לכרייה באמצעות AIF; ירידה ב"מחיר" של פרצות יום אפס, בשל הפיכתן לשכיחות. לגבי מגמת נחילים כשירות (Swarm as a Service), מאנקי הסביר כי "חלה התקדמות משמעותית בהתקפות מתוחכמות, המופעלות על ידי טכנולוגיית מודיעין המבוססת נחילים בעלי יכולת למידה עצמית. זו מזמנת שימוש בבוטנטים מבוססי נחילים, בשם hivenets (כוורות). דור חדש זה של איומים ישמש ליצירת נחילים גדולים, של בוטים אינטליגנטיים, שיכולים לפעול בשיתוף פעולה ואוטונומית. רשתות נחילים אלו יגבירו את הצורך בהגנה על ארגונים, ואף ישפיעו על המודל העסקי של פושעי הסייבר".

מאנקי סיים בציינו כי "אנו רואים התקדמות משמעותית בכלים ובשירותים של פושעי סייבר הממנפים אוטומציה ובינה מלאכותית. כך, בתוך חצי שנה ב-2018, מספר המתקפות בעולם בדקה קפץ מ-4 ל-8 מיליון. ארגונים צריכים לחשוב מחדש על האסטרטגיה שלהם כדי לחזות טוב יותר את האיומים ולהילחם במניעים הכלכליים המאלצים את פושעי הסייבר לקדם דרכי פעולה חדשות במקום אלו שנכשלו. במקום לעסוק במרוץ חימוש מתמיד, ארגונים צריכים לאמץ אוטומציה ובינה מלאכותית כדי לכווץ את מרחב התקיפה מחדירה לגילוי ומגילוי לחסימה".