סייברארק: תחזית אבטחת הסייבר לשנת 2023
לביא לזרוביץ, מנהל המחקר בסייברארק, פורס את משנתו בהקשר איומי הסייבר המצפים לנו בשנת 2023
ישראל דיפנס
| 18/12/2022
קרדיט: סלי פרג' לוי
שנת 2022 הייתה עמוסה באירועים, ולפי התחזיות של צוות מעבדות סייברארק (CyberArk Labs), שנת 2023 תהיה אף היא רצופה באיומים ואתגרים בתחום אבטחת הסייבר, יחד עם מספר הזדמנויות חדשות למגני הסייבר הערניים לנעשה סביבם. להלן שש תחזיות אבטחת הסייבר שלנו לשנה הקרובה:
Web3
כיום, מעל 40% מהצרכנים מרגישים שאינם יכולים להגן על המידע האישי שלהם, ורבים מהם נקטו בפעולה כדי להתמודד עם מצב זה. הרצון הנרחב לשקיפות גדולה יותר ולשליטה אישית בנתונים רק ילך ויתחזק ב-2023, וכך יאיץ את המעבר העולמי ל-Web3 (המכונה גם Web 3.0) בענף הבלוקצ'יין.
עם זאת, ככל שתשתית הטכנולוגיה נעשית מבוזרת יותר, חשיפת היישומים הפיננסיים להתקפות תתרחב משמעותית, בעוד ששיטות האבטחה הנהוגות בתחום חדש זה ישתרכו מאחור. תוקפים ינצלו זאת לטובתם כדי לתקוף את בורסות הקריפטו וגשרים רגישים לעולם "שמחוץ לשרשרת", בהשראת שוד רשת הקריפטו Ronin שהתרחש ב-2022, שבו נגנבו מטבעות בשווי מוערך של כ-615 מיליון דולר.
משבר "החורף מגיע" הגיאופוליטי, יחד עם יותר מתקפות על תשתיות קריטיות
התחזית הראשונה שלנו עשויה להתגבר עקב העימות המתמשך באוקראינה, כאשר כנופיות פושעים מסוימות מגבירות את קצב ההתקפות הפיננסיות, בעוד שהפונטציאל המבטיח לשלל רב גורם להן להפנות את מבטן לעבר תשתיות מבוזרות. בינתיים, החורף מתקרב במהירות במזרח אירופה, ואנו יכולים לצפות לזינוק בהתקפות על תשתיות קריטיות עם צניחת הטמפרטורות, ומכאן, לעלייה נוספת במחירי האנרגיה הגלובליים.
ההיסטוריה חוזרת על עצמה - התוקפים חוזרים לטריקים המוכרים
מאז גלי ההלם שחולל משבר Log4j ברחבי העולם, מומחי האבטחה לא חדלו מספקולציות ותחזיות לפריצת משבר חדש. אולם "הדבר הגדול הבא" לא צפוי להיות ניצול מסיבי של חולשת Zero Day – במיוחד כשהמחירים של החולשות הנחשקות האלה נושקים ל-10 מיליון דולר ב"דארקנט" ובשווקים מחתרתיים אחרים, עם תחרות עזה בין קבוצות וממשלות עתירות משאבים.
רוב הגורמים ההתקפיים ישתמשו בדרכים חלופיות כדי לחדור לארגונים וינסו לנוע בצורה רוחבית לעבר המטרות שלהם. בסופו של דבר, מדוע עליהם להשקיע כל כך הרבה כסף וזמן באיתור חולשות ושיטות חדשות כאשר השיטות הישנות בהן התחזות, גניבת פרטי התחברות והנדסה חברתית, או ניצול חולשות ידועות שטרם תוקנו אצל משתמשים רבים (באמצעות חולשות ידועות - one days ) ברמת מערכת ההפעלה או האפליקציה, עושות את העבודה?
תשכחו מהדיאטות של השנה החדשה – העוגיות שלכם הן פיתוי שקשה לסרב לו
החדשות הטובות הן שרוב הארגונים אינם רואים עוד באימות רב-שלבי (MFA) כ"דבר נחמד אך אופציונלי" עבור היישומים העסקיים שלהם. רוב המשתמשים נדרשים להזין שילוב של שם משתמש וסיסמה ולהשלים אתגר אימות משני לפני יצירת הפעלה באתרי אינטרנט. החדשות הרעות הן שהתוקפים נעשים מתוחכמים יותר בגניבת קבצי עוגיות, המקנים גישה ליישומי צד שלישי אלה, כדי לעקוף הן את האימות הראשוני והן את אתגרי ה-MFA ולפרוץ לחשבונות המשתמשים.
ככל שהארגונים יאמצו יישומי SaaS נוספים ויאחדו את השימוש בהם דרך הדפדפן, קובצי העוגיות יהפכו לרכיבים קריטיים ופגיעים יותר. עם הפופולריות הגוברת והולכת של שוק כלי הפריצה Genesis ושווקים נוספים המתמחים בעוגיות הפעלה גנובות, תוקפי סייבר יחפשו דרכים להגביר את האוטומציה ולהגדיל את ההיקף של התקפות חטיפת ההפעלה כדי להגדיל את הרווחיות בשנה הבאה.
הצד החיובי של עידן הסחר בפרטי התחברות
2023 היא השנה המושלמת לפתיחת קריירה בפשע מקוון, הודות לענף הסחר בפרטי התחברות גנובים. תוקפים שחסרים להם הכישורים (או הזמן) יכולים לשוטט בשווקי פרטי ההתחברות, למלא את עגלות הקניות שלהם ברשימות זולות של פרטי התחברות ועוגיות גנובות או ערכות מוכנות לשימוש של תוכנות כופר, פישינג וניצול חולשות, ולהשלים את הרכישה – אין צורך בעבודה מפרכת להכנה וביצוע של מתקפות. בסביבה זו, שיטות MFA ואימות דו-שלבי לא יספיקו.
עם זאת, ישנו גם צד חיובי בכך עבור צוותי אבטחה הנוקטים בגישת "הגנת עומק" – שיכולה להטות את המאזניים לטובתם. עברייני רשת רבים הממהרים להתעשר יעשו טעויות של טירונים או ייצרו יותר מדי רעש ברשת, תוך פגיעה קשה בתוכניותיהם. לדוגמה, שליחת 20 בקשות הרשאה ברצף מהיר כחלק מניסיון "הפצצת MFA" יופיע ביומני הרישום של הארגון הקורבן ויביא להרמת דגלים אדומים בולטים.
נקודות זיכוי בקיזוז פחמן יתפסו מקום מרכזי עם הונאות הנאמדות במיליונים רבים
בעקבות ועידת האקלים COP27 במצרים, שבה כיכבו נקודות הזיכוי בקיזוז פחמן, תוקפי סייבר אופורטוניסטים יגבירו את המאמצים לתמרן את שוק הפחמן, הוולונטרי, שעדיין אינו מפוקח או מוסדר. בעוד שהפופולריות של נקודות זיכוי הפחמן ממשיכה לצמוח בקרב חברות וממשלות הפועלות להפחתת הפליטות וקיזוז יצירת הפחמן שלהן, ניתן לצפות לעלייה בפעילות תוקפנית שמטרתה לגנוב ולמכור זכויות לסחר בפליטות ב-12 החודשים הבאים.
לביא לזרוביץ, מנהל המחקר בסייברארק, פורס את משנתו בהקשר איומי הסייבר המצפים לנו בשנת 2023
קרדיט: סלי פרג' לוי
שנת 2022 הייתה עמוסה באירועים, ולפי התחזיות של צוות מעבדות סייברארק (CyberArk Labs), שנת 2023 תהיה אף היא רצופה באיומים ואתגרים בתחום אבטחת הסייבר, יחד עם מספר הזדמנויות חדשות למגני הסייבר הערניים לנעשה סביבם. להלן שש תחזיות אבטחת הסייבר שלנו לשנה הקרובה:
Web3
כיום, מעל 40% מהצרכנים מרגישים שאינם יכולים להגן על המידע האישי שלהם, ורבים מהם נקטו בפעולה כדי להתמודד עם מצב זה. הרצון הנרחב לשקיפות גדולה יותר ולשליטה אישית בנתונים רק ילך ויתחזק ב-2023, וכך יאיץ את המעבר העולמי ל-Web3 (המכונה גם Web 3.0) בענף הבלוקצ'יין.
עם זאת, ככל שתשתית הטכנולוגיה נעשית מבוזרת יותר, חשיפת היישומים הפיננסיים להתקפות תתרחב משמעותית, בעוד ששיטות האבטחה הנהוגות בתחום חדש זה ישתרכו מאחור. תוקפים ינצלו זאת לטובתם כדי לתקוף את בורסות הקריפטו וגשרים רגישים לעולם "שמחוץ לשרשרת", בהשראת שוד רשת הקריפטו Ronin שהתרחש ב-2022, שבו נגנבו מטבעות בשווי מוערך של כ-615 מיליון דולר.
משבר "החורף מגיע" הגיאופוליטי, יחד עם יותר מתקפות על תשתיות קריטיות
התחזית הראשונה שלנו עשויה להתגבר עקב העימות המתמשך באוקראינה, כאשר כנופיות פושעים מסוימות מגבירות את קצב ההתקפות הפיננסיות, בעוד שהפונטציאל המבטיח לשלל רב גורם להן להפנות את מבטן לעבר תשתיות מבוזרות. בינתיים, החורף מתקרב במהירות במזרח אירופה, ואנו יכולים לצפות לזינוק בהתקפות על תשתיות קריטיות עם צניחת הטמפרטורות, ומכאן, לעלייה נוספת במחירי האנרגיה הגלובליים.
ההיסטוריה חוזרת על עצמה - התוקפים חוזרים לטריקים המוכרים
מאז גלי ההלם שחולל משבר Log4j ברחבי העולם, מומחי האבטחה לא חדלו מספקולציות ותחזיות לפריצת משבר חדש. אולם "הדבר הגדול הבא" לא צפוי להיות ניצול מסיבי של חולשת Zero Day – במיוחד כשהמחירים של החולשות הנחשקות האלה נושקים ל-10 מיליון דולר ב"דארקנט" ובשווקים מחתרתיים אחרים, עם תחרות עזה בין קבוצות וממשלות עתירות משאבים.
רוב הגורמים ההתקפיים ישתמשו בדרכים חלופיות כדי לחדור לארגונים וינסו לנוע בצורה רוחבית לעבר המטרות שלהם. בסופו של דבר, מדוע עליהם להשקיע כל כך הרבה כסף וזמן באיתור חולשות ושיטות חדשות כאשר השיטות הישנות בהן התחזות, גניבת פרטי התחברות והנדסה חברתית, או ניצול חולשות ידועות שטרם תוקנו אצל משתמשים רבים (באמצעות חולשות ידועות - one days ) ברמת מערכת ההפעלה או האפליקציה, עושות את העבודה?
תשכחו מהדיאטות של השנה החדשה – העוגיות שלכם הן פיתוי שקשה לסרב לו
החדשות הטובות הן שרוב הארגונים אינם רואים עוד באימות רב-שלבי (MFA) כ"דבר נחמד אך אופציונלי" עבור היישומים העסקיים שלהם. רוב המשתמשים נדרשים להזין שילוב של שם משתמש וסיסמה ולהשלים אתגר אימות משני לפני יצירת הפעלה באתרי אינטרנט. החדשות הרעות הן שהתוקפים נעשים מתוחכמים יותר בגניבת קבצי עוגיות, המקנים גישה ליישומי צד שלישי אלה, כדי לעקוף הן את האימות הראשוני והן את אתגרי ה-MFA ולפרוץ לחשבונות המשתמשים.
ככל שהארגונים יאמצו יישומי SaaS נוספים ויאחדו את השימוש בהם דרך הדפדפן, קובצי העוגיות יהפכו לרכיבים קריטיים ופגיעים יותר. עם הפופולריות הגוברת והולכת של שוק כלי הפריצה Genesis ושווקים נוספים המתמחים בעוגיות הפעלה גנובות, תוקפי סייבר יחפשו דרכים להגביר את האוטומציה ולהגדיל את ההיקף של התקפות חטיפת ההפעלה כדי להגדיל את הרווחיות בשנה הבאה.
הצד החיובי של עידן הסחר בפרטי התחברות
2023 היא השנה המושלמת לפתיחת קריירה בפשע מקוון, הודות לענף הסחר בפרטי התחברות גנובים. תוקפים שחסרים להם הכישורים (או הזמן) יכולים לשוטט בשווקי פרטי ההתחברות, למלא את עגלות הקניות שלהם ברשימות זולות של פרטי התחברות ועוגיות גנובות או ערכות מוכנות לשימוש של תוכנות כופר, פישינג וניצול חולשות, ולהשלים את הרכישה – אין צורך בעבודה מפרכת להכנה וביצוע של מתקפות. בסביבה זו, שיטות MFA ואימות דו-שלבי לא יספיקו.
עם זאת, ישנו גם צד חיובי בכך עבור צוותי אבטחה הנוקטים בגישת "הגנת עומק" – שיכולה להטות את המאזניים לטובתם. עברייני רשת רבים הממהרים להתעשר יעשו טעויות של טירונים או ייצרו יותר מדי רעש ברשת, תוך פגיעה קשה בתוכניותיהם. לדוגמה, שליחת 20 בקשות הרשאה ברצף מהיר כחלק מניסיון "הפצצת MFA" יופיע ביומני הרישום של הארגון הקורבן ויביא להרמת דגלים אדומים בולטים.
נקודות זיכוי בקיזוז פחמן יתפסו מקום מרכזי עם הונאות הנאמדות במיליונים רבים
בעקבות ועידת האקלים COP27 במצרים, שבה כיכבו נקודות הזיכוי בקיזוז פחמן, תוקפי סייבר אופורטוניסטים יגבירו את המאמצים לתמרן את שוק הפחמן, הוולונטרי, שעדיין אינו מפוקח או מוסדר. בעוד שהפופולריות של נקודות זיכוי הפחמן ממשיכה לצמוח בקרב חברות וממשלות הפועלות להפחתת הפליטות וקיזוז יצירת הפחמן שלהן, ניתן לצפות לעלייה בפעילות תוקפנית שמטרתה לגנוב ולמכור זכויות לסחר בפליטות ב-12 החודשים הבאים.
