תקיפות סייבר דרך שרשרת האספקה: איומים והגנות במערך אבטחת המידע
כיצד תקיפות סייבר דרך ספקי צד שלישי מאיימות על ארגונים, ומה ניתן לעשות כדי להתמודד עם האיום המתגבר?
גבי רייש
|
תקיפות סייבר דרך ספקי צד שלישי, דוגמת אירועי SolarWinds ו-Log4J, הפכו נפוצות והרסניות במיוחד. ההתמודדות מתחילה במודיעין מקיף, בעל הקשר ארגוני, שמחסל את נקודת העיוורון.
בסתיו 2023, חברת Okta Security, בעצמה חברת אבטחת מידע, חשפה אירוע אבטחה חמור שהתרחש אצלה והשפיע על רבים מלקוחותיה ברחבי העולם. הפריצה נעשתה באופן עקיף, דרך ספק שהעניק לה שירותי תמיכה טכנית – ולשם כך הייתה ברשותו רשימה מפורטת של לקוחות והרשאות.
המחיר הכבד ששולם הוא לקח חשוב לארגונים באשר הם, בבחינת "אם בארזים נפלה שלהבת": אם המובילה הגלובלית מסן פרנסיסקו בניהול זהויות וגישה למידע נפגעה, ולא בפעם הראשונה, דרך שרשרת האספקה – כולם חשופים.
245 אלף תקיפות
תקיפות של שרשרת האספקה, על בסיס יצרני וספקי צד שלישי, אחראיות כיום לכ-20% מדליפות המידע. בשנה שעברה תועדו 245 אלף תקיפות מהסוג ובהן אירועי Log4J, SolarWinds ו-Kaseya. הנזק המצטבר נאמד ב-46 מיליארד דולר, ובשנה הנוכחית הוא צפוי לטפס ל-60 מיליארד.
בתוך 12 חודשים, עד אפריל 2023, נפגעו בתקיפות דרך צד שלישי 61% מהעסקים בארצות-הברית, ו-98% מהארגונים ציינו שלפחות אחד מיצרני התוכנות המשמשות אותם חווה תקיפה בשנתיים האחרונות. והנה נתון מדהים לא פחות: שני שלישים מהחברות, על פי מחקר של מכון פונימון (Ponemon), אינן סומכות על ספקי צד שלישי שיתריעו בפניהן על פריצה משמעותית. וזו כבר בעיה אמיתית.
אין זה מקרה ששרשראות האספקה הפכו לפרקטיקת תקיפה מועדפת בקרב עברייני סייבר. במקרים רבים, זה פשוט קל יותר. מדוע? משום שגם ארגונים שמקפידים להתמגן היטב חושבים בדרך כלל על סביבות העבודה המוכרות להם. משטח התקיפה מבחינתם הוא התוכנות והמערכות המשמשות את החברה, והוא התרחב ממילא עם המעבר הכפול – לענן ולעבודה מהבית.
ומה בנוגע לשרשרת האספקה? זו נותרת ברוב המקרים נקודת עיוורון, אך היא בהחלט לא נעלמה מעיניהם של התוקפים הפוטנציאליים. גם מעיני הרגולטור: ה-SEC לדוגמה, המפקחת על שוק ההון האמריקאי, דורשת מארגונים לדווח על אירועים בכלל טביעת הרגל הדיגיטלית – לרבות מערכות צד שלישי. Blind spot, אם כן, זה לא תירוץ.
ספק צד שלישי
למה הוא לא מטופל כמו שצריך? לכך יש שתי סיבות הקשורות זו לזו: ראשית, הגורם האחראי ברוב הארגונים על מערכות, תוכנות וכלים מבית ספק צד שלישי הוא זה שמאשר אותם מלכתחילה – ה-GRC (ממשל, ניהול סיכונים וציות). אלא שאותו צוות Compliance פועל על פי רוב במתודולוגיה של ציון, דירוג ואישור המערכת (בדומה אולי למתן כשרות למסעדה, או לאישור רמת הסניטציה בה).
אין לו יכולת לעקוב אחר מודול חיצוני כלשהו בזמן אמת, לא כל שכן להניף דגל אדום כאשר הוא מתחיל לסכן את הארגון. על המשימה האחרונה אמון כמובן ה-SOC. אלא שאנשיו – וזו הסיבה השנייה לטיפול הלקוי – נעדרים אמצעים לניטור המערכות הללו, לזיהוי החולשות בהן ולפעולה מהירה במקרה שהסיכון התממש. בהיעדר האמצעים הנדרשים, הם פונים – ובכן – ל-GRC.
מה עושים? לאחר שהבנו את עומק הבעיה ואת הסיבות לה, אפשר לגשת לפתרון. והפתרון מצריך שילוב של מערכות פיזיות עם מחקר מודיעיני. מחקר שיתבסס על איסוף מודיעין ממגוון רחב של מקורות, גלויים ושאינם גלויים (מהרשת האפלה והעמוקה – טלגרם, פורומים ועוד), ויגבש תמונה מהימנה ביחס לאיומים הנשקפים לארגון הספציפי – בין שהוא עצמו מטורגט ובין שמדובר בתקיפת Spray & pray ("תקוף כפי יכולתך") שעלולה לפגוע בו.
תמונת המודיעין
הנקודה האחרונה היא קריטית: תמונת המודיעין חייבת להיות מגובה בקונטקסט ארגוני, ולנסות להשיב לשאלות שמעניינות את האנליסטים: מיהו התוקף? איך ומתי צפויה התקיפה להתבצע? מהיכן תגיע? ומה במשטח התקיפה ייפגע? ללא התייחסות לשאלות הללו, ללא יכולות סינון, כל החולשות שבעולם אינן אלא רעשי רקע. לא משהו שניתן לפעול על פיו או לבנות סביבו הגנה ראויה.
מודיעין מקיף על איומים בסייבר חייב בימינו להגיע מפריזמה רחבה מאוד, הן של משטח התקיפה הארגוני והן ביחס למערכות צד שלישי. בשני המקרים התמונה היא דינמית ומורכבת ומחייבת ניטור בהקשר מתאים והמלצות לפעולה בזמן אמת. מודיעין כזה ביחס לסיכונים בארגון עשוי גם לסייע במהלכים אסטרטגיים, דוגמת מיזוגים ורכישות. אך הוא בראש ובראשונה נועד לאפשר את הפעילות הארגונית השוטפת, להגביר את רמת האבטחה, לאפשר היערכות לתרחישים ריאליים (עם תיעדוף על פי הסתברות ההתממשות ופוטנציאל הנזק) ולמקד את ה-SOC בחולשות הרלוונטיות באשר הן.
מודול כזה, אשר עונה על המאפיינים והדרישות שצוינו כאן, הוכנס לאחרונה בפלטפורמת המודיעין של Cybersixgill, כמשלים לפתרון שלנו לניהול משטח התקיפה (ASM). יהיה מי שישאל: לשם מה כל זה נדרש? ככל שמדובר במערכות צד שלישי – וכאלו יכולות להיות באלפים בארגון גדול – ברוב המקרים לא נוותר עליהן בשל חולשה אפשרית.
התשובה שלי לכך היא שעדיף תמיד ובכל מצב לדעת, ודאי לא לטמון את הראש בחול. במקרים רבים, דווקא יש מה לעשות – החל מתרחיש מצבים של התממשות האיום, דרך הגברת תשומת הלב סביב מערכות וכלים קונקרטיים ועד, במקרים נדירים, החלפת ספק או הימנעות משימוש במערכת. רק בדבר אחד אין ספק: בלי מודיעין על הסיכונים הנשקפים לשרשרת האספקה ועל האימפקט האפשרי שלהם על הארגון, צוותי הגנת הסייבר חסרים כלי חיוני להשלמת המשימה. ההשלכות עלולות להיות הרות אסון.
גבי רייש הוא סמנכ"ל מוצרים בחברת סייברסיקסגיל
כיצד תקיפות סייבר דרך ספקי צד שלישי מאיימות על ארגונים, ומה ניתן לעשות כדי להתמודד עם האיום המתגבר?
תקיפות סייבר דרך ספקי צד שלישי, דוגמת אירועי SolarWinds ו-Log4J, הפכו נפוצות והרסניות במיוחד. ההתמודדות מתחילה במודיעין מקיף, בעל הקשר ארגוני, שמחסל את נקודת העיוורון.
בסתיו 2023, חברת Okta Security, בעצמה חברת אבטחת מידע, חשפה אירוע אבטחה חמור שהתרחש אצלה והשפיע על רבים מלקוחותיה ברחבי העולם. הפריצה נעשתה באופן עקיף, דרך ספק שהעניק לה שירותי תמיכה טכנית – ולשם כך הייתה ברשותו רשימה מפורטת של לקוחות והרשאות.
המחיר הכבד ששולם הוא לקח חשוב לארגונים באשר הם, בבחינת "אם בארזים נפלה שלהבת": אם המובילה הגלובלית מסן פרנסיסקו בניהול זהויות וגישה למידע נפגעה, ולא בפעם הראשונה, דרך שרשרת האספקה – כולם חשופים.
245 אלף תקיפות
תקיפות של שרשרת האספקה, על בסיס יצרני וספקי צד שלישי, אחראיות כיום לכ-20% מדליפות המידע. בשנה שעברה תועדו 245 אלף תקיפות מהסוג ובהן אירועי Log4J, SolarWinds ו-Kaseya. הנזק המצטבר נאמד ב-46 מיליארד דולר, ובשנה הנוכחית הוא צפוי לטפס ל-60 מיליארד.
בתוך 12 חודשים, עד אפריל 2023, נפגעו בתקיפות דרך צד שלישי 61% מהעסקים בארצות-הברית, ו-98% מהארגונים ציינו שלפחות אחד מיצרני התוכנות המשמשות אותם חווה תקיפה בשנתיים האחרונות. והנה נתון מדהים לא פחות: שני שלישים מהחברות, על פי מחקר של מכון פונימון (Ponemon), אינן סומכות על ספקי צד שלישי שיתריעו בפניהן על פריצה משמעותית. וזו כבר בעיה אמיתית.
אין זה מקרה ששרשראות האספקה הפכו לפרקטיקת תקיפה מועדפת בקרב עברייני סייבר. במקרים רבים, זה פשוט קל יותר. מדוע? משום שגם ארגונים שמקפידים להתמגן היטב חושבים בדרך כלל על סביבות העבודה המוכרות להם. משטח התקיפה מבחינתם הוא התוכנות והמערכות המשמשות את החברה, והוא התרחב ממילא עם המעבר הכפול – לענן ולעבודה מהבית.
ומה בנוגע לשרשרת האספקה? זו נותרת ברוב המקרים נקודת עיוורון, אך היא בהחלט לא נעלמה מעיניהם של התוקפים הפוטנציאליים. גם מעיני הרגולטור: ה-SEC לדוגמה, המפקחת על שוק ההון האמריקאי, דורשת מארגונים לדווח על אירועים בכלל טביעת הרגל הדיגיטלית – לרבות מערכות צד שלישי. Blind spot, אם כן, זה לא תירוץ.
ספק צד שלישי
למה הוא לא מטופל כמו שצריך? לכך יש שתי סיבות הקשורות זו לזו: ראשית, הגורם האחראי ברוב הארגונים על מערכות, תוכנות וכלים מבית ספק צד שלישי הוא זה שמאשר אותם מלכתחילה – ה-GRC (ממשל, ניהול סיכונים וציות). אלא שאותו צוות Compliance פועל על פי רוב במתודולוגיה של ציון, דירוג ואישור המערכת (בדומה אולי למתן כשרות למסעדה, או לאישור רמת הסניטציה בה).
אין לו יכולת לעקוב אחר מודול חיצוני כלשהו בזמן אמת, לא כל שכן להניף דגל אדום כאשר הוא מתחיל לסכן את הארגון. על המשימה האחרונה אמון כמובן ה-SOC. אלא שאנשיו – וזו הסיבה השנייה לטיפול הלקוי – נעדרים אמצעים לניטור המערכות הללו, לזיהוי החולשות בהן ולפעולה מהירה במקרה שהסיכון התממש. בהיעדר האמצעים הנדרשים, הם פונים – ובכן – ל-GRC.
מה עושים? לאחר שהבנו את עומק הבעיה ואת הסיבות לה, אפשר לגשת לפתרון. והפתרון מצריך שילוב של מערכות פיזיות עם מחקר מודיעיני. מחקר שיתבסס על איסוף מודיעין ממגוון רחב של מקורות, גלויים ושאינם גלויים (מהרשת האפלה והעמוקה – טלגרם, פורומים ועוד), ויגבש תמונה מהימנה ביחס לאיומים הנשקפים לארגון הספציפי – בין שהוא עצמו מטורגט ובין שמדובר בתקיפת Spray & pray ("תקוף כפי יכולתך") שעלולה לפגוע בו.
תמונת המודיעין
הנקודה האחרונה היא קריטית: תמונת המודיעין חייבת להיות מגובה בקונטקסט ארגוני, ולנסות להשיב לשאלות שמעניינות את האנליסטים: מיהו התוקף? איך ומתי צפויה התקיפה להתבצע? מהיכן תגיע? ומה במשטח התקיפה ייפגע? ללא התייחסות לשאלות הללו, ללא יכולות סינון, כל החולשות שבעולם אינן אלא רעשי רקע. לא משהו שניתן לפעול על פיו או לבנות סביבו הגנה ראויה.
מודיעין מקיף על איומים בסייבר חייב בימינו להגיע מפריזמה רחבה מאוד, הן של משטח התקיפה הארגוני והן ביחס למערכות צד שלישי. בשני המקרים התמונה היא דינמית ומורכבת ומחייבת ניטור בהקשר מתאים והמלצות לפעולה בזמן אמת. מודיעין כזה ביחס לסיכונים בארגון עשוי גם לסייע במהלכים אסטרטגיים, דוגמת מיזוגים ורכישות. אך הוא בראש ובראשונה נועד לאפשר את הפעילות הארגונית השוטפת, להגביר את רמת האבטחה, לאפשר היערכות לתרחישים ריאליים (עם תיעדוף על פי הסתברות ההתממשות ופוטנציאל הנזק) ולמקד את ה-SOC בחולשות הרלוונטיות באשר הן.
מודול כזה, אשר עונה על המאפיינים והדרישות שצוינו כאן, הוכנס לאחרונה בפלטפורמת המודיעין של Cybersixgill, כמשלים לפתרון שלנו לניהול משטח התקיפה (ASM). יהיה מי שישאל: לשם מה כל זה נדרש? ככל שמדובר במערכות צד שלישי – וכאלו יכולות להיות באלפים בארגון גדול – ברוב המקרים לא נוותר עליהן בשל חולשה אפשרית.
התשובה שלי לכך היא שעדיף תמיד ובכל מצב לדעת, ודאי לא לטמון את הראש בחול. במקרים רבים, דווקא יש מה לעשות – החל מתרחיש מצבים של התממשות האיום, דרך הגברת תשומת הלב סביב מערכות וכלים קונקרטיים ועד, במקרים נדירים, החלפת ספק או הימנעות משימוש במערכת. רק בדבר אחד אין ספק: בלי מודיעין על הסיכונים הנשקפים לשרשרת האספקה ועל האימפקט האפשרי שלהם על הארגון, צוותי הגנת הסייבר חסרים כלי חיוני להשלמת המשימה. ההשלכות עלולות להיות הרות אסון.
גבי רייש הוא סמנכ"ל מוצרים בחברת סייברסיקסגיל