מחקר: זיהוי המתקפות מוביל את ההאקרים לפעולה יותר מהירה ונחושה

בשל העובדה שפרק הזמן, מרגע תחילת מתקפת סייבר ועד גילויה – התקצר, ההאקרים פועלים ביותר מהירות ונחישות במהלך המתקפות, כך לפי מחקר חדש של סופוס (Sophos).

לפי המחקר, במחצית הראשונה של 2023 הזמן מרגע תחילת מתקפת סייבר ועד גילויה התקצר לשמונה ימים בלבד. 

צוות Sophos X-Ops ניתח מתקפות סייבר שבהן טיפל בין ינואר ליולי 2023, ומצא כי זמן השהייה החציוני – משמע, מרגע תחילת המתקפה ועד גילויה – התקצר מעשרה לשמונה ימים באופן כללי, ולחמישה ימים במקרה של מתקפות כופר. זהו המשך המגמה שתחילתה ב-2022, אז התקצר זמן השהייה מ-15 ימים לעשרה ימים בלבד.

ג'ון שיר, מנהל טכנולוגיות ראשי למגזר העסקי בסופוס. צילום: יח"צ

"מערכת Active Directory – הפכה למטרה נחשקת"

צוות Sophos X-Ops מצא כי בממוצע נדרשו לתוקפים רק 16 שעות כדי לפרוץ למערכת Active Directory, שהיא אחד מהנכסים החיוניים ביותר בארגון. "Active Directory בארגונים היא מטרה מאוד הגיונית מנקודת מבטם של התוקפים", אמר ג'ון שיר, מנהל טכנולוגיות ראשי למגזר העסקי בסופוס. "המערכת משמשת לאימות זהות וניהול הרשאות הגישה למשאבי המחשוב והמידע בארגון, והשתלטות עליה פירושה השגת שליטה בארגון. עוצמת והיקף הנזק האפשרי של מתקפה כזאת, לצד עלות ההתאוששות הגבוהה, הופכים את מערכת Active Directory למטרה נחשקת".

לדברי שיר, "פריצה לשרת Active Directory מציבה את התוקפים בעמדת יתרון. הם יכולים לשהות ברשת הארגון מבלי להתגלות בזמן שהם אוספים מידע ומתכננים את שלב המתקפה הבא, וברגע שהבשילו התנאים – לפתוח במתקפה במהירות ובצורה הרסנית בלא הפרעה. התאוששות מלאה ממתקפה שכזו עלולה להיות ארוכה ויקרה מאוד. מתקפה שכזאת מערערת את תשתית אבטחת המידע בארגון ולא פעם, הדרך היחידה להתאושש ממנה היא להתחיל מאפס ולבנות הכל מחדש מהיסוד".

מתקפות כופרה – הנפוצות ביותר

מתקפות כופרה ממשיכות להיות מתקפת הסייבר מהסוג הנפוץ ביותר. כך, 69% מהמתקפות היו מתקפות כופרה, וזמן השהייה החיצוני שלהן התקצר לחמישה ימים בלבד.

ב-81% ממתקפות אלו, התרחשה הצפנת המידע – השלב האחרון של המתקפה – מחוץ לשעות העבודה הרגילות. רק בחמש מהמתקפות שכן אירעו במהלך שעות העבודה הרגילות, התרחשה הצפנת המידע באמצע השבוע. מספר המתקפות הלך וגדל ככל שהתקדם השבוע, ובפרט כשמדובר במתקפות כופרה. כמעט מחצית (43%) ממתקפות הכופר התגלו בימים ששי או שבת.

"במובנים מסוימים, אנחנו קורבן של ההצלחה שלנו. המשך אימוץ טכנולוגיות כמו גילוי ותגובה מורחבים (XDR) ושירותי זיהוי ותגובה מנוהלים (MDR) שיפר מאוד את היכולת לגלות מתקפות כבר בשלבים מוקדמים", הסביר שיר. "אך אליה וקוץ בה – קיצור חלון הזמנים לביצוע מתקפה הוביל את התוקפים לפעולה מהירה יותר ונחושה יותר, כשבמקביל, ממשיכים התוקפים לשכלל את שיטות הפעולה ואת ארסנל הכלים שלהם, ובפרט את השיטות והכלים המשמשים למתקפות כופר, כדי להתגבר על יכולות הגנת הסייבר המשופרות".

שיר סיכם בציינו כי "תהיה טעות לחשוב שהיכולת שלנו לגלות מתקפות מוקדם יותר פירושה הגנה טובה יותר. ההוכחה לכך היא התייצבות זמני השהייה של מתקפות סייבר שלא מסוג כופר. התוקפים ממשיכים להצליח לחדור לרשתות ארגונים, וכשאין להם הכרח לפעול במהירות – הם ישהו בהן זמן ארוך יותר. יעילותם של אמצעי אבטחת המידע האוטומטיים היא מוגבלת. רק שילוב בין כלים אוטומטיים לניטור רציף ויזום של הפעילות ברשת הארגון יכול לסכל את מאמצי התוקפים".