תיראו מופתעים: AI טובה לרעים בסייבר

"אנו רואים ארבע מגמות עיקריות שיעצבו את נוף האיומים השנה. הראשונה ביניהן היא הבינה המלאכותית. AI הפכה למכפיל כוח עבור שחקני האיום. היא מכווצת את מחזור חיי המתקפה, תוך הכנסת וקטורים חדשים. ב-2025, משך הזמן של ההתקפות המהירות ביותר – מרגע השגת הגישה עד לקצירת הנתונים – התקצר פי ארבעה", כך לפי חוקרי יחידה 42, מחקר ומודיעין האיומים של פאלו אלטו (Palo Alto).

החוקרים פרסמו אתמול (ג') את דו"ח התגובות לאיומים 2026, בו נותחו כ-750 מהאירועים העיקריים בהם טיפלו אשתקד.

"המגמה העיקרית השנייה", כתבו החוקרים, "היא שהזהות הפכה לדרך האמינה ביותר להצלחת התוקפים. חולשות בעולם ניהול הזהות שיחקו תפקיד מהותי בכמעט 90% מהאירועים שנחקרו. התוקפים 'נכנסים' יותר ויותר עם פרטי התחברות וטוקנים גנובים, ומנצלים פרטי זהות חלקיים כדי להשיג הרשאות ולשוטט לרוחב מערכות הקורבן".

המגמה השלישית עליה דיווחו חוקרי יחידה 42 היא ההתרחבות של הסיכונים בעולם שרשרת האספקה של תוכנה. "זה כבר לא רק קוד פגיע שמנוצל לרעה. התוקפים מנצלים אינטגרציות תוכנה כשירות – SaaS, שהוא כלי ספקים ותלות בין יישומים – כדי לעקוף את ההגנה ההיקפית בקנה מידה רחב. זה מעצים את ההשפעה מהאירוע ועלול להפוך לשיבוש תפעולי נרחב". 

"המגמה הרביעית", נכתב, "היא ששחקני מדינות לאום מתאימים טקטיקות הסתרה והתמדה לסביבות תפעול ארגוניות מודרניות. הם מסתמכים יותר ויותר על חדירה מבוססת אישיות (תעסוקה מזויפת, זהויות סינתטיות) וחדירה עמוקה יותר לתשתיות ליבה ופלטפורמות וירטואליזציה, והבינה המלאכותית מחזקת את פעילות הרעים".

לפי המחקר, "התוקפים פועלים ביותר מאשר וקטור התקפה יחיד. ב-87% מהאירועים שחקרנו, הרעים פעלו בכמה משטחי תקיפה. המשמעות: המגינים חייבים להגן על נקודות קצה, רשתות, תשתיות ענן, יישומי SaaS וזהות – וביחד. יתרה מזאת, כמעט מחצית (48%) מהמתקפות היו מבוססות דפדפן: יש גידול בהיקף מתקפות שמצטלבות עם תהליכי עבודה שגרתיים בדיגיטל".

עוד עלה מהמחקר כי "רוב הפריצות התאפשרו בשל חשיפה, ולא בשל תחכום התוקפים. ביותר מ-90% מהפריצות, הפערים שניתן היה למנוע – הם שאפשרו באופן מהותי את החדירה: נראות מוגבלת, בקרות לא עקביות או זהות עם אמון מופרז. אלה עיכבו את הזיהוי, אפשרו לתוקפים תנועה רוחבית, והגבירו את הפגיעה".

"ה-AI 'משמנת' את שלבי המתקפה"

"בשנה החולפת", נכתב בדו"ח, "מהירויות המתקפות המשיכו להאיץ. התוקפים מצויים עדיין בשלבים מוקדמים של אימוץ AI, אך השפעתה כבר נראית לעין. היא 'משמנת' את שלבי המתקפה, מאפשרת היקף גדול יותר של מתקפות ויכולת לבצע כמה התקפות בו-זמנית. התוצאה היא צמצום של חלון הזמן לגילוי והכלת האירוע. AI מאפשרת לרעים לבצע סיור וגישה ראשונית במקביל למאות מטרות, ואז לרכז מאמץ ולתקוף את החוליה החלשה".

עוד מסייעת ה-AI למפעילי כופרות: "שחקני האיום משתמשים בבינה מלאכותית כדי להחליף אוטומציה בעבודה ידנית במהלך המתקפה. היא מגדילה את היקפי המתקפות, ומקצרת את הזמנים שלהן: זיהינו מתקפות מבוססות AI שארכו 25 דקות. 25% מהפריצות המהירות ביותר ארכו 1.2 שעות – קיצור פי ארבעה מ-4.8 שעות בשנה הקודמת".

"בינה מלאכותית משפרת את הצלחות התוקפים במגוון דרכים", כתבו החוקרים, "בהנדסה חברתית מותאמת אישית במיוחד; בשימוש בזהויות סינתטיות ובטכניקות דיפ פייק כדי לגנוב אישורים ולעבור תהליכי גיוס מרחוק; בפיתוח נוזקות, תוך שימוש במודל שפה גדול (LLM) ליצירת סקריפטים זדוניים; בהפחתת חסם הכניסה ובכישורים הנדרשים לעולם הסייבר ההתקפי. כך, יותר שחקנים יכולים לבצע יותר מתקפות ומהר יותר, עם פחות טעויות. הבינה המלאכותית לא הופכת את התוקפים לחכמים יותר – היא גורמת להם להיראות  מקצועיים ומסוכנים".

"ה-AI משפרת את שיעורי ההצלחה של התוקפים בכל שלב", סיכמו חוקרי יחידה 42 של פאלו אלטו. "היא משפרת את איכות הפיתויים, מקצרת את הזמן הנדרש להתאמת כלי הפריצה ומפחיתה את התלות בהתערבות מתמדת של המפעיל. היא הופכת את המתקפה לעקבית וניתנת להרחבה. הבינה המלאכותית יוצרת וקטורי התקפה חדשים. אימוץ בינה מלאכותית על ידי ארגונים יוצר סוג חדש של סיכון: שחקני האיום משתמשים באישורים תקפים, כדי לנצל לרעה פלטפורמות AI ארגוניות, ולנצל מודל זדוני כסוס טרויאני כדי לקצור נתונים. מנגד, התוקפים מנצלים פלטפורמות בינה מלאכותית לגיטימיות ככלי תקיפה בו יש עוזרים, שבעצמם הופכים למכפיל כוח עבור הרעים".