הפושעים מסתובבים בדארקנט, ולכן חשוב שגם אתם תהיו שם
על פי דו״ח חדש שפרסמה חברת אבטחת המידע האמריקנית Recorded Future, ״אסטרטגיית הגנה טובה צריכה לכלול גם זיהוי איומים מוקדם, קיים צורך בשינוי תודעתי״
מנדי קוגוסובסקי
| 02/11/2021
BIGSTOCK/Copyright: shmeljov
״היקף ותדירות מתקפות הסייבר נמצאים במגמת עלייה. בלתי מתקבל על הדעת רק להגיב למתקפות לאחר התרחשותן. אסטרטגיית הגנה טובה צריכה לכלול גם זיהוי איומים מוקדם. קיים צורך בשינוי תודעתי: במקום להגן, זה הזמן לעלות להתקפה״. כך, על פי תקציר מנהלים חדש שפרסמה חברת אבטחת המידע האמריקנית Recorded Future.
אחת הדרכים האקטיביות לפעולה שמציעה החברה, היא נקיטה בפעילות יזומה מוגברת ברשת האפלה (דארקנט). ״האם לא מדובר במקום בו כל הפושעים מסתובבים, תשאלו? כן, ולכן חשוב שגם אתם תהיו שם״, כתבו החוקרים. הם מציינים שלמרות שהרשת האפלה ״מספקת הזדמנויות ייחודיות לזיהוי איומים שלא ניתן לזהות בשום מקום אחר״ – רק 42% מהחברות אוספות מידע ממקור זה. ״מדובר בהזדמנויות מוחמצות״, טוענים החוקרים.
השימושים הנפוצים ביותר עבור פושעי סייבר ברשת האפלה, על פי נתוני החברה, הנם מכירת הרשאות שנגנבו ממסדי נתונים, לרוב בחבילות (dumps); מכירת כרטיסים בנקאיים וכרטיסי מתנה - הסוג הנפוץ ביותר של הונאה בדארקנט; מכירת שילובים של מידע אישי מזהה, דוגמת שילוב של מספר זיהוי ותאריך לידה, במספר חד-ספרתי של דולרים לחבילה; מכירת גישה לארגון או לחברה תוך ניצול פגיעות ברשת; כופרה כשירות (Ransomware as a Service) - ״שירות השכרה״ שבו משכירים פושעי סייבר תוכנות זדוניות לביצוע מתקפות כופרה; ודיסאינפורמציה כשירות (Disinformation as a Service) – פרסומים כוזבים ומטעים במקורות מדיה מוכרים וברשתות החברתיות, במטרה לתדלק רגשות שליליים בנושא מסוים.
״כאשר ניתן לזהות באופן יזום איומים מתעוררים רלוונטיים לעסק ולשותפיו מוקדם ככל האפשר במחזור החיים של אותם איומים, מוקטן משמעותית הסיכון הארגוני״, כותבים החוקרים. כך, למשל, במקרים רבים מתפארים שחקנים זדוניים כי הם עומדים לבצע פשע כלשהו – וכך ניתן לנטרם ולסכל את פעולתם. כמו כן, לעתים מופיעות חבילות מידע לפני שמתבצעת דרישת הכופר הרשמית מהחברה שנפרצה. ועוד, ניתן לחשוף איומים מתעוררים על ידי ניטור אזכורי החברה או התשתיות בהן היא משתמשת – מה שיסייע לזהות איומים על ספקי צד ג׳.
בעניין ספקי צד ג׳, מתייחסים החוקרים לקשרים הגוברים בין חברות בעולם הדיגיטלי המאיץ, ובתלות הגוברת כלפי ספקים שונים (שרשרת האספקה). הם מצטטים סקר שנערך לאחרונה ע״י מכון פונמון, לפיו בקרב 55% מהארגונים שנפרצו – נבעה הפריצה מחולשה אצל ספק חיצוני, וכי 53% מכלי הבטיחות של אותם ספקים יעילים רק במידה מסוימת, אם בכלל. ״אתם מאובטחים רק כמו הספק צד ג׳ החלש ביותר שלכם״, מסכמים החוקרים, וממליצים לארגונים לפתח מנגנון בקרה שבמסגרתו יסרקו את הדארקנט גם לגבי אזכורים לכל ארגון נוסף המצוי עמם בקשר דיגיטלי.
אבל הרשת האפלה היא לא גוגל. החוקרים מציינים כי למרות שמדובר ב״מכרה מודיעיני בעל ערך רב, קשה מאוד לעקוב אחרי מרבית האתרים החשובים, שמערימים מכשולים טכניים על הכניסה, ורבים מהם פועלים באופן בלעדי רק בשפתם המקומית. כלומר, גישה למידע הנחוץ יכולה להיות קשה ובלתי אפקטיבית – בעוד שהצורך הוא להשיג את המודיעין במהירות״.
לפיכך, ההמלצות הן ליצור רשימת עדיפויות בנוגע לאיומים הרלוונטיים ביותר (למשל כרטיסי מתנה עבור רשתות קמעוניות, או מידע אישי עבור שירותי בריאות), ולהשתמש בכלי מודיעין איומים המסוגלים לבצע איסוף וניתוח אוטומטי של הנתונים.
על פי דו״ח חדש שפרסמה חברת אבטחת המידע האמריקנית Recorded Future, ״אסטרטגיית הגנה טובה צריכה לכלול גם זיהוי איומים מוקדם, קיים צורך בשינוי תודעתי״
BIGSTOCK/Copyright: shmeljov
״היקף ותדירות מתקפות הסייבר נמצאים במגמת עלייה. בלתי מתקבל על הדעת רק להגיב למתקפות לאחר התרחשותן. אסטרטגיית הגנה טובה צריכה לכלול גם זיהוי איומים מוקדם. קיים צורך בשינוי תודעתי: במקום להגן, זה הזמן לעלות להתקפה״. כך, על פי תקציר מנהלים חדש שפרסמה חברת אבטחת המידע האמריקנית Recorded Future.
אחת הדרכים האקטיביות לפעולה שמציעה החברה, היא נקיטה בפעילות יזומה מוגברת ברשת האפלה (דארקנט). ״האם לא מדובר במקום בו כל הפושעים מסתובבים, תשאלו? כן, ולכן חשוב שגם אתם תהיו שם״, כתבו החוקרים. הם מציינים שלמרות שהרשת האפלה ״מספקת הזדמנויות ייחודיות לזיהוי איומים שלא ניתן לזהות בשום מקום אחר״ – רק 42% מהחברות אוספות מידע ממקור זה. ״מדובר בהזדמנויות מוחמצות״, טוענים החוקרים.
השימושים הנפוצים ביותר עבור פושעי סייבר ברשת האפלה, על פי נתוני החברה, הנם מכירת הרשאות שנגנבו ממסדי נתונים, לרוב בחבילות (dumps); מכירת כרטיסים בנקאיים וכרטיסי מתנה - הסוג הנפוץ ביותר של הונאה בדארקנט; מכירת שילובים של מידע אישי מזהה, דוגמת שילוב של מספר זיהוי ותאריך לידה, במספר חד-ספרתי של דולרים לחבילה; מכירת גישה לארגון או לחברה תוך ניצול פגיעות ברשת; כופרה כשירות (Ransomware as a Service) - ״שירות השכרה״ שבו משכירים פושעי סייבר תוכנות זדוניות לביצוע מתקפות כופרה; ודיסאינפורמציה כשירות (Disinformation as a Service) – פרסומים כוזבים ומטעים במקורות מדיה מוכרים וברשתות החברתיות, במטרה לתדלק רגשות שליליים בנושא מסוים.
״כאשר ניתן לזהות באופן יזום איומים מתעוררים רלוונטיים לעסק ולשותפיו מוקדם ככל האפשר במחזור החיים של אותם איומים, מוקטן משמעותית הסיכון הארגוני״, כותבים החוקרים. כך, למשל, במקרים רבים מתפארים שחקנים זדוניים כי הם עומדים לבצע פשע כלשהו – וכך ניתן לנטרם ולסכל את פעולתם. כמו כן, לעתים מופיעות חבילות מידע לפני שמתבצעת דרישת הכופר הרשמית מהחברה שנפרצה. ועוד, ניתן לחשוף איומים מתעוררים על ידי ניטור אזכורי החברה או התשתיות בהן היא משתמשת – מה שיסייע לזהות איומים על ספקי צד ג׳.
בעניין ספקי צד ג׳, מתייחסים החוקרים לקשרים הגוברים בין חברות בעולם הדיגיטלי המאיץ, ובתלות הגוברת כלפי ספקים שונים (שרשרת האספקה). הם מצטטים סקר שנערך לאחרונה ע״י מכון פונמון, לפיו בקרב 55% מהארגונים שנפרצו – נבעה הפריצה מחולשה אצל ספק חיצוני, וכי 53% מכלי הבטיחות של אותם ספקים יעילים רק במידה מסוימת, אם בכלל. ״אתם מאובטחים רק כמו הספק צד ג׳ החלש ביותר שלכם״, מסכמים החוקרים, וממליצים לארגונים לפתח מנגנון בקרה שבמסגרתו יסרקו את הדארקנט גם לגבי אזכורים לכל ארגון נוסף המצוי עמם בקשר דיגיטלי.
אבל הרשת האפלה היא לא גוגל. החוקרים מציינים כי למרות שמדובר ב״מכרה מודיעיני בעל ערך רב, קשה מאוד לעקוב אחרי מרבית האתרים החשובים, שמערימים מכשולים טכניים על הכניסה, ורבים מהם פועלים באופן בלעדי רק בשפתם המקומית. כלומר, גישה למידע הנחוץ יכולה להיות קשה ובלתי אפקטיבית – בעוד שהצורך הוא להשיג את המודיעין במהירות״.
לפיכך, ההמלצות הן ליצור רשימת עדיפויות בנוגע לאיומים הרלוונטיים ביותר (למשל כרטיסי מתנה עבור רשתות קמעוניות, או מידע אישי עבור שירותי בריאות), ולהשתמש בכלי מודיעין איומים המסוגלים לבצע איסוף וניתוח אוטומטי של הנתונים.
