קראודסטרייק: זמן שהייה ממוצע של תוקף ברשת הארגונית גדל ל-95 ימים
דו"ח מחקר של החברה מצביע על עלייה בזמן הממוצע לשהייה של 95 יום בשנת 2019 - לעומת 85 יום בשנת 2018. אחד הפתרונות על פי החברה הוא עמידה בתקן ה-1-10-60.
עמי רוחקס דומבה
| 19/02/2020
זקי טורדי - אסטרטג במשרד הCTO של החברה. תמונה באדיבות CrowdStrike
CrowdStrike® Inc. הודיעה על פרסום דו"ח ה-Cyber Front Lines של CrowdStrike Services המספק לקחים יקרי ערך מקו החזית של מקרי תגובה לאירועים (IR) המשתרעים על פני 2019 ומחלק תובנות החשובות לשנת 2020 ומעבר. הדו"ח מזהה שיטות התקפה ואתגרים חדשים, תוך שהוא מציע המלצות לארגונים המעוניינים לשפר את יכולות ההיערכות, הגילוי והתגובה למתקפות סייבר.
דו"ח ה-CrowdStrike Services מספק ניתוח מחקרי מקיף כולל של חקירות IR במדינות, אזורים ותעשיות רבים, ותוך התייחסות ל-MITER ATTACKTM framework מציע שיטות עבודה מומלצות לארגונים המעוניינים לשפר את הגנות הסייבר. הדו"ח חושף כי במהלך שנת 2019, 36% מהאירועים שנחקרו על ידי Services נגרמו לרוב כתוצאה מהתקפות כופרה (Ransomware), תוכנות זדוניות (Malware) הרסניות או התקפות מניעת שירות, וחשפו כי לרוב שיבוש עסקי היה מטרת ההתקפה העיקרית של פושעי הסייבר.
ממצא בולט נוסף בדו"ח מצביע על עלייה גדולה בזמן הממוצע לשהייה של 95 יום בשנת 2019 - לעומת 85 יום בשנת 2018 - כלומר, התוקפים הצליחו להסתיר את פעילותם ממערכי ההגנה למשך זמן רב, וכי לארגונים עדיין אין את הטכנולוגיה ההכרחית להקשיח את הגנות הרשת שלהם, למנוע ניצול פרצות אבטחה ולהפחית סיכוני סייבר.
ממצאים בולטים אחרים כלולים:
-
פריצה דרך גורמי צד שלישי משמשות כמכפיל כוח להתקפות. יותר ויותר מבצעי התקפות מנצלים ספקי שירותים צד שלישי כדי לפגוע בלקוחותיהם ולהעצים את ההתקפות.
-
התוקפים מתמקדים בתשתיות ענן במודל IaaS. פעילות איום סביב גישה ל-API באמצעות מפתחות עבור תשתיות מבוססות ענן ציבורי הפכה ממוקדת יותר ככל שתוקפים מגדילים את יכולתם לקצור נכסי מידע במהירות ובשיטתיות.
-
מחשבי מקינטוש נמצאים כעת, בברור, על הכוונת במאבק בסייבר. מצבעי התקפות מתמקדים יותר ויותר בסביבות macOS, באמצעות מתקפות מסוג living off the land (LotL) דרך יישומים מובנים ומפיקים תועלת מכך שבמערכות Mac מפעילים פחות כלי אבטחת מידע בהשוואה למערכות Windows באותו ארגון, שיש להן יותר כלי אבטחה זמינים.
-
עדכון שוטף של תוכנות (patching) ממשיך להיות נושא בעיתי. ההיגיינה הבסיסית עדיין חשובה, ולמרות שארגונים השתפרו בביצוע עדכונים שוטפים בתוכנות, הגורמים שהופכים את תהליך העדכון לאתגר נעשו מורכבים יותר.
-
אופן היישום של פתרונות אבטחה משפיע על יעילותם. בדו"ח נמצא כי ארגונים רבים אינם מצליחים לנצל את מלוא היכולות של הכלים והפתרונות שכבר יש להם ברשת. הכישלון בהפעלה נכונה של מנגנוני הגנה קריטיים לא רק מותיר ארגונים פגיעים אלא גם נותן להם תחושת ביטחון כוזבת.
בדו"ח נמצא כי ארגונים העומדים בתקן ה-1-10-60 - גילוי אירוע בדקה הראשונה, חקירת האירוע תוך 10 דקות ותיקון תוך שעה - משפרים את הסיכוי שלהם לעצור את תוקפי הסייבר. יחד עם זאת, סקר עמדות האבטחה העולמית של CrowdStrike משנת 2019 מצא כי הרוב המכריע של הארגונים מתקשים לעמוד בתקן 1-10-60. מעבר לתקן ה-1-10-60, הדו"ח מספק הנחיות להבטחת ההגנה בנוף האיומים המתפתח והמשתנה בהתמדה של ימינו, כולל שילוב כלי אבטחת תחנות קצה של הדור הבא ואסטרטגיות יזומות לחיזוק עמידות הסייבר. כלים וטקטיקות חדשניים כגון למידת מכונה (Machine Learning), ניתוח התנהגות וצוותי ציד איומים מנוהל (managed threat hunting) עוזרים לחשוף התנהגות ומניעים עברייניים ברשת, ובמקביל מונעים את הפיכתם לאירועים.
"דו"ח ה-Cyber Front Lines של CrowdStrike Services מציע לארגונים לקחים יקרי ערך כדי להעצים את אמצעי האבטחה הפרואקטיביים שמטרתם ליצור סביבה עמידה יותר בסייבר. כיוון שהתוקפים הם חמקניים יותר מתמיד, עם כיווני התקפה חדשים במגמת עלייה, עלינו להישאר זריזים, פרואקטיביים ומחויבים להביסם. הם עדיין מחפשים את הדרך עם הכי פחות התנגדות - כשאנחנו מקשיחים תחום אחד, הם מתמקדים בגישה ובניצול של תחום אחר," אמר שון הנרי, מנהל אבטחת המידע הראשי ונשיא CrowdStrike Services.
"הדו"ח מציע הבחנות לגבי הסיבות שתוכנת כופר ושיבוש עסקי בלטו בכותרות בשנת 2019, והוא נותן תובנה חשובה מדוע סוגיית זמן השהיית התקיפה נותרה בעיה עבור עסקים ברחבי העולם. עמידות אבטחת סייבר חזקה טמונה בסופו של דבר בטכנולוגיה שמבטיחה גילוי מוקדם, תגובה מהירה ותיקון מהיר בכדי להרחיק את התוקפים מהרשתות לעולם ועד."
כדי להוריד עותק של דו"ח ה-Cyber Front Lines של CrowdStrike Services, בקר באתר CrowdStrike.בקרו בבלוג של CrowdStrike כדי לקרוא עוד מתוך שון הנרי של CrowdStrike על ממצאי המפתח בדו"ח.
דו"ח מחקר של החברה מצביע על עלייה בזמן הממוצע לשהייה של 95 יום בשנת 2019 - לעומת 85 יום בשנת 2018. אחד הפתרונות על פי החברה הוא עמידה בתקן ה-1-10-60.
זקי טורדי - אסטרטג במשרד הCTO של החברה. תמונה באדיבות CrowdStrike
CrowdStrike® Inc. הודיעה על פרסום דו"ח ה-Cyber Front Lines של CrowdStrike Services המספק לקחים יקרי ערך מקו החזית של מקרי תגובה לאירועים (IR) המשתרעים על פני 2019 ומחלק תובנות החשובות לשנת 2020 ומעבר. הדו"ח מזהה שיטות התקפה ואתגרים חדשים, תוך שהוא מציע המלצות לארגונים המעוניינים לשפר את יכולות ההיערכות, הגילוי והתגובה למתקפות סייבר.
דו"ח ה-CrowdStrike Services מספק ניתוח מחקרי מקיף כולל של חקירות IR במדינות, אזורים ותעשיות רבים, ותוך התייחסות ל-MITER ATTACKTM framework מציע שיטות עבודה מומלצות לארגונים המעוניינים לשפר את הגנות הסייבר. הדו"ח חושף כי במהלך שנת 2019, 36% מהאירועים שנחקרו על ידי Services נגרמו לרוב כתוצאה מהתקפות כופרה (Ransomware), תוכנות זדוניות (Malware) הרסניות או התקפות מניעת שירות, וחשפו כי לרוב שיבוש עסקי היה מטרת ההתקפה העיקרית של פושעי הסייבר.
ממצא בולט נוסף בדו"ח מצביע על עלייה גדולה בזמן הממוצע לשהייה של 95 יום בשנת 2019 - לעומת 85 יום בשנת 2018 - כלומר, התוקפים הצליחו להסתיר את פעילותם ממערכי ההגנה למשך זמן רב, וכי לארגונים עדיין אין את הטכנולוגיה ההכרחית להקשיח את הגנות הרשת שלהם, למנוע ניצול פרצות אבטחה ולהפחית סיכוני סייבר.
ממצאים בולטים אחרים כלולים:
-
פריצה דרך גורמי צד שלישי משמשות כמכפיל כוח להתקפות. יותר ויותר מבצעי התקפות מנצלים ספקי שירותים צד שלישי כדי לפגוע בלקוחותיהם ולהעצים את ההתקפות.
-
התוקפים מתמקדים בתשתיות ענן במודל IaaS. פעילות איום סביב גישה ל-API באמצעות מפתחות עבור תשתיות מבוססות ענן ציבורי הפכה ממוקדת יותר ככל שתוקפים מגדילים את יכולתם לקצור נכסי מידע במהירות ובשיטתיות.
-
מחשבי מקינטוש נמצאים כעת, בברור, על הכוונת במאבק בסייבר. מצבעי התקפות מתמקדים יותר ויותר בסביבות macOS, באמצעות מתקפות מסוג living off the land (LotL) דרך יישומים מובנים ומפיקים תועלת מכך שבמערכות Mac מפעילים פחות כלי אבטחת מידע בהשוואה למערכות Windows באותו ארגון, שיש להן יותר כלי אבטחה זמינים.
-
עדכון שוטף של תוכנות (patching) ממשיך להיות נושא בעיתי. ההיגיינה הבסיסית עדיין חשובה, ולמרות שארגונים השתפרו בביצוע עדכונים שוטפים בתוכנות, הגורמים שהופכים את תהליך העדכון לאתגר נעשו מורכבים יותר.
-
אופן היישום של פתרונות אבטחה משפיע על יעילותם. בדו"ח נמצא כי ארגונים רבים אינם מצליחים לנצל את מלוא היכולות של הכלים והפתרונות שכבר יש להם ברשת. הכישלון בהפעלה נכונה של מנגנוני הגנה קריטיים לא רק מותיר ארגונים פגיעים אלא גם נותן להם תחושת ביטחון כוזבת.
בדו"ח נמצא כי ארגונים העומדים בתקן ה-1-10-60 - גילוי אירוע בדקה הראשונה, חקירת האירוע תוך 10 דקות ותיקון תוך שעה - משפרים את הסיכוי שלהם לעצור את תוקפי הסייבר. יחד עם זאת, סקר עמדות האבטחה העולמית של CrowdStrike משנת 2019 מצא כי הרוב המכריע של הארגונים מתקשים לעמוד בתקן 1-10-60. מעבר לתקן ה-1-10-60, הדו"ח מספק הנחיות להבטחת ההגנה בנוף האיומים המתפתח והמשתנה בהתמדה של ימינו, כולל שילוב כלי אבטחת תחנות קצה של הדור הבא ואסטרטגיות יזומות לחיזוק עמידות הסייבר. כלים וטקטיקות חדשניים כגון למידת מכונה (Machine Learning), ניתוח התנהגות וצוותי ציד איומים מנוהל (managed threat hunting) עוזרים לחשוף התנהגות ומניעים עברייניים ברשת, ובמקביל מונעים את הפיכתם לאירועים.
"דו"ח ה-Cyber Front Lines של CrowdStrike Services מציע לארגונים לקחים יקרי ערך כדי להעצים את אמצעי האבטחה הפרואקטיביים שמטרתם ליצור סביבה עמידה יותר בסייבר. כיוון שהתוקפים הם חמקניים יותר מתמיד, עם כיווני התקפה חדשים במגמת עלייה, עלינו להישאר זריזים, פרואקטיביים ומחויבים להביסם. הם עדיין מחפשים את הדרך עם הכי פחות התנגדות - כשאנחנו מקשיחים תחום אחד, הם מתמקדים בגישה ובניצול של תחום אחר," אמר שון הנרי, מנהל אבטחת המידע הראשי ונשיא CrowdStrike Services.
"הדו"ח מציע הבחנות לגבי הסיבות שתוכנת כופר ושיבוש עסקי בלטו בכותרות בשנת 2019, והוא נותן תובנה חשובה מדוע סוגיית זמן השהיית התקיפה נותרה בעיה עבור עסקים ברחבי העולם. עמידות אבטחת סייבר חזקה טמונה בסופו של דבר בטכנולוגיה שמבטיחה גילוי מוקדם, תגובה מהירה ותיקון מהיר בכדי להרחיק את התוקפים מהרשתות לעולם ועד."
כדי להוריד עותק של דו"ח ה-Cyber Front Lines של CrowdStrike Services, בקר באתר CrowdStrike.בקרו בבלוג של CrowdStrike כדי לקרוא עוד מתוך שון הנרי של CrowdStrike על ממצאי המפתח בדו"ח.
