סייבר 2023: מהצפנת מידע במערכות המוניות לגניבת מידע מקורבן איכותי בודד

שנת 2022 תירשם בעולם הסייבר כשנה מוצלחת במיוחד עבור הצד התוקף אשר אימץ טכניקות מודרניות על מנת לגרום נזק לקורבנות התקיפה. ראשית, זוהתה עלייה במספר התוקפים המשתמשים בזהויות גנובות כאמצעי כניסה ראשוני לארגון תוך הקמת תשתיות מסחר המאפשרת לכל המעוניין לקנות פרטי התחברות גנובים ולהשתמש בהם כדי לקבל אחיזה ראשונית בארגון הנתקף (ובהמשך איסוף מידע פנימי מתוך הארגון). שנית, נמצא כי התוקפים המודרניים מעדיפים להפסיק לפתח כלי תקיפה מתוחכמים או ייחודיים, ובמקומם להשתמש בכלי קוד פתוח זמינים לכולם. מגמה זו מקלה על התוקפים (שכן אין צורך להביא כלי תקיפה מהבית) ומקשה מאוד על המגנים (המתקשים לזהות שמדובר בתקיפה ולא בפעולה נורמטיבית והדבר גם מקשה על זיהו התוקף - Attribution).

מלבד זהויות ושימוש בכלי קוד פתוח, השנה ראינו יותר תוקפים מעצמתיים המנסים להסוות את התקיפות המבוצעות על ידם כפשיעת סייבר עם מניע כספי, כאשר בפועל המניע האמיתי הוא לאומי, ולמעשה מדינה עומדת מאחורי התקיפה ולא ארגון פשע כזה או אחר. דוגמה לכך היא התקיפה על מוסד הטכניון הישראלי. במקרה זה מערך הסייבר הלאומי עידכן את הציבור כי בתום חקירה נמצא כי למרות הראיות הראשוניות לתקיפה ממניעים כלכליים, בפועל מדובר היה בתקיפה מדינית אשר נראה כי בוצעה על ידי משרד המודיעין והביטחון האיראני.

אחד האתגרים הגדולים של שנת 2022, שילווה אותנו גם בשנים הקרובות, הוא הגידול בשימוש בשירותי ענן בארגונים שונים. כך, כחלק מהטמעת טכנולוגיה חדשה בארגון יש צורך במוצרי הגנה מתאימים, אך מכיוון שהענן נגיש לכולם ומידע רגיש של ארגונים יושב כרגע אצל ספקי ענן שונים, מדובר בקרקע פורייה יותר מתמיד עבור התוקפים. משטח התקיפה המודרני גדול משמעותית, שכן כלל הארגון מחובר לאינטרנט ונגיש יותר מתמיד. דוגמא לכך ניתן לראות באבולוציה של מתקפות הכופרה, המתמקדות לאחרונה יותר בתהליך סחיטה ידני של מידע משרתי הענן של קורבנות נבחרים, בשונה מהתקיפות אותן הכרנו עד כה אשר התבססו על אוטומציה תוך תקיפת קורבנות רבים. אפשר למעשה להסתכל על כך כמעבר מתקיפות רחבות ורדודות, לתקיפות מדויקות ואיכותיות.

ארגוני פשיעת הסייבר שינו כיוון, ובמקום הצפנת המידע במערכות קורבנות רבים (אשר מכונה Ransomware), התקיפה מתמקדת בגניבת המידע עצמו מקורבן איכותי, וסחיטתו בהתאם. לאחר הגניבה, התוקפים פונים לקורבן ומאיימים לחשוף את המידע אם לא ישולם הכופר. מזווית הקורבן, לא ברור מהו המידע שנגנב, וכתוצאה מכך לא ברור מה הנזק הכספי והתדמיתי שעלול להיגרם לארגון. לכן, במקרים רבים הקורבנות מעדיפים לשלם לתוקפים. על על כן הפוקוס המרכזי של חברות לשנת 2023 צריך להיות אבטחת זהויות, מיפוי הרשאות, מיפוי מידע ונכסים, וכמובן תעדוף סיכונים.

לצערי, ריבוי מוצרי אבטחת סייבר ושימוש הולך וגובר של מספר כלים ופלטפורמות יכול לגרום לחוסר מיקוד האיומים המרכזיים שארגון צריך להתמודד איתם. כיום יש אלפי חברות סייבר שונות בעולם, חלקן מספקות מוצרי אבטחה, אחרות שירותי סייבר ופעמים רבות אותן חברות מפנות את הזרקור למקום הלא נכון. הסיבות לכך רבות והן נובעות ממספר גורמים כמו חוסר מידע עשיר ואמין, יכולת זיהוי התוקף, יעדי התקיפה, ולפעמים גם מהרצון של אותן חברות בפרסום מהיר.

יגאל גופמן | צילום: דנה תמרי

דוגמה מצוינת היא הפוקוס שאנו עדים לו סביב מהפכת ה - AI. חברות סייבר רבות מנסות לרכב על הפוקוס הציבורי הקיים סביב הנושא אך למעשה הטמעת AI בתוך מוצר הגנתי כלשהו בצורה טובה ונכונה היא תהליך מאוד מורכב, ונכון להיום לא באמת יכול להבשיל לתוצאות מדויקות מספיק. עוד יותר צורם הוא הדיון סביב השימוש ב AI ככלי התקפי. האיום אכן אמיתי אבל הדיון שמתבצע בציבור הוא לגמרי לא בכיוון לעומת מה שקורה במציאות.

ב-Ermetic, אנו מאמינים כי הגישה הנכונה לגשת לניהול אבטחת תשתיות ענן היא הוליסטית. במעבר לענן בו קונפיגורציות מונגשות מאוד וע״י ממשק אחיד ניתן למעשה לשלוט בכל מרכיבי התשתית - נוצרו סיכונים רבים הנובעים מהמורכבות של תשתיות הענן והחוסר המשמעותי שיש במומחים בתחום הזה שחברות מתקשות להעסיקם. הגמישות והביזור של ניהול התשתיות, מאפיינים שמהווים יתרון גדול של השימוש בתשתית הענן, הפכו לנקודות תורפה מבחינה אבטחתית במידה והם מביאים לכך שמוגדרות קונפיגורציות בעייתיות מבחינת אבטחה עקב רשלנות או רצון לגרום דברים לעבוד כמה שיותר מהר וככל שיהיו בעיות ״נטפל בהן אח״כ״ (אח״כ שלעולם לא יגיע כמובן).

עם זאת, אותם מאפיינים ממש מביאים גם להזדמנות חסרת תקדים להשיג שליטה שאנשי אבטחה חלמו עליה מאז ומעולם ולא הייתה אפשרית קודם. כך, באמצעות עיבוד אוטומטי ומתמשך של כל המידע הנוגע לתשתית ניתן לבצע ניתוח אבטחתי שלם מקצה לקצה הנוגע למרכיבים רבים בתשתית - זהויות והרשאות, קונפיגורציית רשת, חולשות במערכות הפעלה ובתוכנות המותקנות על רכיבי מחשוב שונים - ממכונות ועד ל-container׳ים, הגדרות הנוגעות לנגישות לשרתי מידע וכו׳ - ולהביא לידי אנשי האבטחה של הארגון על מגש של כסף את המקומות הספציפיים מהם נכסי הארגון יהיו הכי פגיעים, את האופן בו תוקפים יכולים לנצל חולשות אלה ואת הדרך בה אפשר בצורה הטובה ביותר לתקן את בעיות האבטחה בלי פגיעה בתהליכים העסקיים בהם התשתית תומכת.

זהו אתגר מורכב מאוד והוא כמעט בלתי אפשרי ללא הטכנולוגיה המתאימה שתתמוך. אולם עמידה בו בצורה הנכונה מביאה לכך שהסיכון הגדול ביותר שנוצר לנכסים החשובים ביותר של מרבית הארגונים היום - הופך להזדמנות עבור אנשי האבטחה להגיע לרמה מקסימלית של אבטחה. במקום לבלות זמן רב בהיתוך של כלי אבטחה רבים יחדיו, אנשי האבטחה יכולים לצרוך את המידע מכלי אחד מרכזי שנועד להגן על רכיבי המחשוב בענן - CNAPP (Cloud Native Application Protection Platform) - ולהשתמש בו כבסיס לניהול אסטרטגיית אבטחת המידע שלהם.

זה בדיוק מה שהמוצר של Ermetic עושה. אנו מעבדים מידע מכלל השכבות השונות של תשתיות הענן המובילות (AWS, Azure ו-GCP) ומאפשרים ללקוחות לצפות באופן שלא מצריך רקע משמעותי בהבנה של המנגנונים הייחודיים לתשתיות הענן בניתוח מדויק לגבי בעיות האבטחה שלהם, הסיכונים הפוטנציאליים הנגזרים מהם והדרך בה הם יכולים לפתור אותם. למעשה תוך שימוש ב-Ermetic מומחי אבטחה נעשים מומחי אבטחה בענן.

היתרון הגדול ביותר של שימוש במוצר CNAPP וב-Ermetic בפרט הוא היכולת לבצע באופן רציף ובצורה המדויקת ככל האפשר את אחת הפעולות החשובות ביותר בהתמודדות עם מפת איומי הסייבר הדינאמית שלא חוסכת את שבטה גם מתשתיות הענן - תיעדוף המשאבים של הארגון כדי להתמודד בסיכונים הרלוונטיים ביותר. מהסיבה הזו הטמעה אפקטיבית של מוצר CNAPP יכולה להיות הצעד הראשון במסע של הארגון שלכם להתמודדות עם אתגרי הסייבר ש-2023 מביאה איתה.

מאת יגאל גופמן, מנהל מחלקת מחקר, ארמטיק

d&b – לדעת להחליט