תחזית סיגניה ל2024: מתקפות כופר, שימוש גובר ב-AI והשפעות המלחמה
יוסי תורתי, דירקטור בחברת סיגניה (Sygnia), סוקר את המגמות החמות הצפויות ללוות אותנו בשנה הקרובה בתחום הסייבר
הגנה לישראל
| 01/01/2024
יוסי תורתי דירקטור מסיגניה (צילום: באדיבות החברה)
בשנה הקרובה אנו צפויים לחזות בהתפתחויות חדשות במתקפות הסייבר, לצד העלייה המתמדת בכמות המתקפות.
מתקפות כופרה ממשיכות להתפתח
מתקפות כופרה נחשבות לסוג התקיפות הנפוץ בעולם בשוק האזרחי, באמצעותן קבוצות תקיפה משיגות את מטרתן ומממנות את פעילותן. תקיפות אלו אף לעיתים משמשות או מנוצלות ככלי בידי גופים מדינתיים, כמסווה להשגת חומרי מודיעין או לתקיפות שיבוש על רקע פוליטי.
המלחמה בין רוסיה לאוקראינה הובילה לפירוק חלק מקבוצות התקיפה המוכרות, אולם במקומן הופיעו קבוצות חדשות שהחלו לתקוף גם יעדים שלא נחשבו בעבר מטרות לגיטימיות למתקפת כופרה, כגון בתי חולים ותשתיות קריטיות (חשמל ומים).
אחת ההתפתחויות בתקיפות כופרה, כחלק מהתגובה לעליה בחסינות גיבויי המידע, היא כפל בגורמי סחיטת הקורבנות, על יד גניבת מידע ובקשת כופר בתמורה לאי פרסומו, במקום או בנוסף להצפנת המידע.
התפתחות נוספת העולה וגוברת היא ניצול מידע של חברות צד ג', ספקים ולקוחות, אשר נמצא אצל קורבנות התקיפה, כאשר המידע משמש לסחיטת הקורבן וכן את שותפיו העסקיים.
ספקי צד ג' משמשים לעיתים גם כווקטור החדירה לארגונים באופן הולך ומתגבר, כפי שראינו גם במהלך 2023. מגמות אלו ימשכו גם במהלך 2024, בעקבות הקושי של ארגונים בניהול אבטחת חיבורי צד ג', ובמקביל להצלחות התוקפים בניצול חיבורים אלו.
מלחמת "חרבות ברזל" כשעת לכושר לתקיפת ארגונים
מאז החלה המלחמה אנו רואים עלייה במקרים בהם חברות גדולות כקטנות הותקפו בדרכים מגוונות, החל ממתקפות מניעת שירות (DDoS), שנחשבות למתוחכמות פחות ומופעלות גם ע"י קבוצות אקטיביסטים פוליטיים, ועד למתקפות שמטרתן השבתת פעילות ואיסוף מודיעין, המופעלות על ידי גורמים מדינתיים.
היעד למתקפות אלה, שצפויות להימשך גם במהלך 2024, הוא כמעט כל ארגון או חברה שפעילותן העסקית מתקיימת במרחב הדיגיטלי.
אם בתנאי שגרה אנו רואים בעיקר מתקפות כופרה כנגד ארגונים, בעת מלחמה אותם גורמי טרור ומדינות תומכות טרור, שמים לעצמם למטרה להשיג כמה שיותר מידע רגיש ואסטרטגי, או לפגוע ברציפות התפקודית של הארגון, גם בחברות קטנות יותר.
למרות זאת, נראה כי הרציפות התפקודית של החברות במשק נשמרה סך הכל עד כה בימי המלחמה, גם תחת גיוס המילואים הנרחב והיעדר אנשי המקצוע האמונים בשגרה על הגנת הרשת.
אימוץ הולך וגובר של כלי AI לצרכי תקיפה
בהמשך לנסיקה המשמעותית של הבינה מלאכותית, כלים כמו ChatGPT ודומיו צפויים להמשיך ולסייע לתוקפים להתגבר על מחסום השפה באמצעות תרגום מדויק יותר ואינטואיטיבי של מתווים המיועדים לקורבנות פישינג, במדינות שאינן דוברות את שפת התוקף.
כלים אלו יכולים בין היתר לשמש את התוקפים לכתיבת הודעות מהימנות תוך התחזות לבעלי מקצוע שונים כמעט בכל שפת יעד, ללא שגיאות כתיב ובניסוח אותנטי לתרבות ולשפה המקומית, ובכך להפחית משמעותית את רמת החשד של הקורבן.
קיים מתח תמידי בין ניסיונות העלאת המודעות ורמת החשד שארגונים מנסים לטפח בקרב עובדים, לבין מאמצי התוקפים להיראות אותנטיים ולגיטימיים ככל האפשר בעת ביצוע מתקפות פישינג, שעודו וקטור החדירה הנפוץ והאפקטיבי ביותר לארגונים.
ברמה המתקדמת יותר, תוקפים מאמצים כלים ויכולות AI כדי לייצר קפיצת מדרגה טכנולוגית ביכולתם ההתקפית שבעבר הייתה קשה מאוד ליישום, כיוון שדרשה צוותים גדולים בעלי התמחויות ייחודיות, ניסיון טכנולוגי ושימוש בתשתיות יקרות.
קפיצה זו מעצימה את איום הייחוס של מרבית הארגונים בעולם ולכן מגדילה משמעותית את ההיערכות ההגנתית הנדרשת. למול התעצמות האיומים, חברות סטרטאפ וענקיות הסייבר נמצאות גם הן בעיצומו של מרוץ חימוש גובר לאימוץ יכולות AI שישפרו וייעלו את ההגנה במרחב הדיגיטלי.
מעקף של אימות דו-שלבי
אימות דו-שלבי נחשב כבר שנים לסטנדרט בסיסי בהגנה על זהויות דיגיטליות ומאומץ באופן הדרגתי גם על ידי חברות ללא בשלות ומודעות גבוהה בהגנה על סייבר.
לעומת זאת, קבוצות תקיפה אימצו שיטות ברמות תחכום שונות לעקוף אימות דו-שלבי ונראה כי ההצלחות שלהן בתחום יתגברו וילוו אותנו גם במהלך 2024.
חברות דלות באמצעי הגנה בסייבר ובגישה למודיעין, נוטות לאמץ פרקטיקות הגנה כגון אימות דו-שלבי באיחור יחסית לחברות גדולות, ולכן נחשפות ביתר שאת לאיומים בסיסיים ומתקדמים.
לעומת זאת נראה כי ארגונים הנמצאים בחזית אימוץ ההגנות, צפויים כבר לעבור לשלב הבא בהגנה על זהויות ולהגדיל את החסינות למעקפי אימות דו-שלבי ופישינג, באמצעות מעבר לשיטות מודרניות נטולות סיסמה.
השתרכות מאחור באימוץ שיטות הגנה אלו, תגדיל את הצלחות התוקפים בהשגת שליטה על זהויות דיגיטליות ומעקף הגנות אימות דו-שלבי.
ניצול לרעה של רגולציית הסייבר החדשה בארה"ב: עם החלת תקנות חדשות של רשות ניירות הערך האמריקאית (SEC) המחייבות דיווח מהיר על אירועי סייבר, החל מ-15 בדצמבר 2023, חברות ציבוריות עומדות בפני דרישות בדיקה וגילוי מוגברות.
משמעות התקנות היא שחברות שהותקפו יידרשו לדווח על כך לבורסה בתוך 4 ימי עסקים מרגע זיהוי תקיפה מהותית המשפיעה על קבלת ההחלטות של מחזיקי המניות, זאת בשל החשש מפני השפעה שלילית פוטנציאלית על פעילות ורווחי החברה.
רגולציית חובת הדיווח הינה נושא חם המתפתח בכל מדינות מערב, כולל בישראל תחת חוק הסייבר החדש. תקנות ה-SEC יכולות להשפיע לרעה על מרחב התגובה האפשרי של חברות תחת מתקפה ואף יכולה להפוך לאמצעי סחיטה בידי קבוצות תקיפה כנגד חברות ציבוריות.
מאז פרסומה אף נראו מספר מקרים בהם תוקפים מנצלים את חובת הדיווח על מנת להכריח קורבנות לפרסם מוקדם יותר את היותן תחת תקיפה, גם במקרים בהם החברות עדיין תחת תהליכי התאוששות, חקירת המתקפה ולמידת החשיפה.
כך עלול להיווצר מנוף לחץ נוסף על הקורבן לתשלום כספי הכופר על ידי חשיפת התקיפה בפני לקוחותיו, עובדיו, וכן חברות צד ג', העלולים להיפגע כתוצאה מפרסום המידע שנגנב על ידי התוקף.
סיכום: טרנדים אלו מספקים הצצה לדינמיות שבניהול הגנת הסייבר בארגון ולאתגרי תפקיד מנהל אבטחת המידע בארגון (CISO), וממשיכים להמחיש כי תהליך בניית ההגנה אינו חד פעמי או סטטי, אלא חייב להיות מחובר ומותאם באופן מתמיד להתפתחות האיומים, וכן דורש הכרות עמוקה עם שיטות הפעולה הדינמיות של תוקפים.
יוסי תורתי, דירקטור בחברת סיגניה (Sygnia), סוקר את המגמות החמות הצפויות ללוות אותנו בשנה הקרובה בתחום הסייבר
יוסי תורתי דירקטור מסיגניה (צילום: באדיבות החברה)
בשנה הקרובה אנו צפויים לחזות בהתפתחויות חדשות במתקפות הסייבר, לצד העלייה המתמדת בכמות המתקפות.
מתקפות כופרה ממשיכות להתפתח
מתקפות כופרה נחשבות לסוג התקיפות הנפוץ בעולם בשוק האזרחי, באמצעותן קבוצות תקיפה משיגות את מטרתן ומממנות את פעילותן. תקיפות אלו אף לעיתים משמשות או מנוצלות ככלי בידי גופים מדינתיים, כמסווה להשגת חומרי מודיעין או לתקיפות שיבוש על רקע פוליטי.
המלחמה בין רוסיה לאוקראינה הובילה לפירוק חלק מקבוצות התקיפה המוכרות, אולם במקומן הופיעו קבוצות חדשות שהחלו לתקוף גם יעדים שלא נחשבו בעבר מטרות לגיטימיות למתקפת כופרה, כגון בתי חולים ותשתיות קריטיות (חשמל ומים).
אחת ההתפתחויות בתקיפות כופרה, כחלק מהתגובה לעליה בחסינות גיבויי המידע, היא כפל בגורמי סחיטת הקורבנות, על יד גניבת מידע ובקשת כופר בתמורה לאי פרסומו, במקום או בנוסף להצפנת המידע.
התפתחות נוספת העולה וגוברת היא ניצול מידע של חברות צד ג', ספקים ולקוחות, אשר נמצא אצל קורבנות התקיפה, כאשר המידע משמש לסחיטת הקורבן וכן את שותפיו העסקיים.
ספקי צד ג' משמשים לעיתים גם כווקטור החדירה לארגונים באופן הולך ומתגבר, כפי שראינו גם במהלך 2023. מגמות אלו ימשכו גם במהלך 2024, בעקבות הקושי של ארגונים בניהול אבטחת חיבורי צד ג', ובמקביל להצלחות התוקפים בניצול חיבורים אלו.
מלחמת "חרבות ברזל" כשעת לכושר לתקיפת ארגונים
מאז החלה המלחמה אנו רואים עלייה במקרים בהם חברות גדולות כקטנות הותקפו בדרכים מגוונות, החל ממתקפות מניעת שירות (DDoS), שנחשבות למתוחכמות פחות ומופעלות גם ע"י קבוצות אקטיביסטים פוליטיים, ועד למתקפות שמטרתן השבתת פעילות ואיסוף מודיעין, המופעלות על ידי גורמים מדינתיים.
היעד למתקפות אלה, שצפויות להימשך גם במהלך 2024, הוא כמעט כל ארגון או חברה שפעילותן העסקית מתקיימת במרחב הדיגיטלי.
אם בתנאי שגרה אנו רואים בעיקר מתקפות כופרה כנגד ארגונים, בעת מלחמה אותם גורמי טרור ומדינות תומכות טרור, שמים לעצמם למטרה להשיג כמה שיותר מידע רגיש ואסטרטגי, או לפגוע ברציפות התפקודית של הארגון, גם בחברות קטנות יותר.
למרות זאת, נראה כי הרציפות התפקודית של החברות במשק נשמרה סך הכל עד כה בימי המלחמה, גם תחת גיוס המילואים הנרחב והיעדר אנשי המקצוע האמונים בשגרה על הגנת הרשת.
אימוץ הולך וגובר של כלי AI לצרכי תקיפה
בהמשך לנסיקה המשמעותית של הבינה מלאכותית, כלים כמו ChatGPT ודומיו צפויים להמשיך ולסייע לתוקפים להתגבר על מחסום השפה באמצעות תרגום מדויק יותר ואינטואיטיבי של מתווים המיועדים לקורבנות פישינג, במדינות שאינן דוברות את שפת התוקף.
כלים אלו יכולים בין היתר לשמש את התוקפים לכתיבת הודעות מהימנות תוך התחזות לבעלי מקצוע שונים כמעט בכל שפת יעד, ללא שגיאות כתיב ובניסוח אותנטי לתרבות ולשפה המקומית, ובכך להפחית משמעותית את רמת החשד של הקורבן.
קיים מתח תמידי בין ניסיונות העלאת המודעות ורמת החשד שארגונים מנסים לטפח בקרב עובדים, לבין מאמצי התוקפים להיראות אותנטיים ולגיטימיים ככל האפשר בעת ביצוע מתקפות פישינג, שעודו וקטור החדירה הנפוץ והאפקטיבי ביותר לארגונים.
ברמה המתקדמת יותר, תוקפים מאמצים כלים ויכולות AI כדי לייצר קפיצת מדרגה טכנולוגית ביכולתם ההתקפית שבעבר הייתה קשה מאוד ליישום, כיוון שדרשה צוותים גדולים בעלי התמחויות ייחודיות, ניסיון טכנולוגי ושימוש בתשתיות יקרות.
קפיצה זו מעצימה את איום הייחוס של מרבית הארגונים בעולם ולכן מגדילה משמעותית את ההיערכות ההגנתית הנדרשת. למול התעצמות האיומים, חברות סטרטאפ וענקיות הסייבר נמצאות גם הן בעיצומו של מרוץ חימוש גובר לאימוץ יכולות AI שישפרו וייעלו את ההגנה במרחב הדיגיטלי.
מעקף של אימות דו-שלבי
אימות דו-שלבי נחשב כבר שנים לסטנדרט בסיסי בהגנה על זהויות דיגיטליות ומאומץ באופן הדרגתי גם על ידי חברות ללא בשלות ומודעות גבוהה בהגנה על סייבר.
לעומת זאת, קבוצות תקיפה אימצו שיטות ברמות תחכום שונות לעקוף אימות דו-שלבי ונראה כי ההצלחות שלהן בתחום יתגברו וילוו אותנו גם במהלך 2024.
חברות דלות באמצעי הגנה בסייבר ובגישה למודיעין, נוטות לאמץ פרקטיקות הגנה כגון אימות דו-שלבי באיחור יחסית לחברות גדולות, ולכן נחשפות ביתר שאת לאיומים בסיסיים ומתקדמים.
לעומת זאת נראה כי ארגונים הנמצאים בחזית אימוץ ההגנות, צפויים כבר לעבור לשלב הבא בהגנה על זהויות ולהגדיל את החסינות למעקפי אימות דו-שלבי ופישינג, באמצעות מעבר לשיטות מודרניות נטולות סיסמה.
השתרכות מאחור באימוץ שיטות הגנה אלו, תגדיל את הצלחות התוקפים בהשגת שליטה על זהויות דיגיטליות ומעקף הגנות אימות דו-שלבי.
ניצול לרעה של רגולציית הסייבר החדשה בארה"ב: עם החלת תקנות חדשות של רשות ניירות הערך האמריקאית (SEC) המחייבות דיווח מהיר על אירועי סייבר, החל מ-15 בדצמבר 2023, חברות ציבוריות עומדות בפני דרישות בדיקה וגילוי מוגברות.
משמעות התקנות היא שחברות שהותקפו יידרשו לדווח על כך לבורסה בתוך 4 ימי עסקים מרגע זיהוי תקיפה מהותית המשפיעה על קבלת ההחלטות של מחזיקי המניות, זאת בשל החשש מפני השפעה שלילית פוטנציאלית על פעילות ורווחי החברה.
רגולציית חובת הדיווח הינה נושא חם המתפתח בכל מדינות מערב, כולל בישראל תחת חוק הסייבר החדש. תקנות ה-SEC יכולות להשפיע לרעה על מרחב התגובה האפשרי של חברות תחת מתקפה ואף יכולה להפוך לאמצעי סחיטה בידי קבוצות תקיפה כנגד חברות ציבוריות.
מאז פרסומה אף נראו מספר מקרים בהם תוקפים מנצלים את חובת הדיווח על מנת להכריח קורבנות לפרסם מוקדם יותר את היותן תחת תקיפה, גם במקרים בהם החברות עדיין תחת תהליכי התאוששות, חקירת המתקפה ולמידת החשיפה.
כך עלול להיווצר מנוף לחץ נוסף על הקורבן לתשלום כספי הכופר על ידי חשיפת התקיפה בפני לקוחותיו, עובדיו, וכן חברות צד ג', העלולים להיפגע כתוצאה מפרסום המידע שנגנב על ידי התוקף.
סיכום: טרנדים אלו מספקים הצצה לדינמיות שבניהול הגנת הסייבר בארגון ולאתגרי תפקיד מנהל אבטחת המידע בארגון (CISO), וממשיכים להמחיש כי תהליך בניית ההגנה אינו חד פעמי או סטטי, אלא חייב להיות מחובר ומותאם באופן מתמיד להתפתחות האיומים, וכן דורש הכרות עמוקה עם שיטות הפעולה הדינמיות של תוקפים.
