פרצה בשער: כיצד תוקפים מנצלים את החולשה הגדולה ביותר של הענן - הזהות

מגמות סייבר חדשות לשנת 2025 חושפות עלייה מדאיגה בתקיפות מבוססות זהויות, לצד התפתחויות בתוכנות כופר ופגיעות בשרשרת האספקה. חברת Sygnia, בדוח השדה השנתי שלה, מדגישה את הצורך הדחוף בתשומת לב ובתגובה אסטרטגית מצד מנהיגי אבטחה ומומחים בתחום.

הדוח מצביע על כך שזהויות הפכו לנקודת התורפה העיקרית בארגונים, במיוחד במעבר לסביבות ענן היברידיות. תוקפים ממקדים את מאמציהם בתקיפות מבוססות זהויות כנגד תשתית הענן, כדי להשיג גישה ראשונית. 

התוקפים מנצלים לרעה מערכות אימות ויוצרים שרשרת של פערים קטנים בהרשאות כדי להשיג הסלמת הרשאות מספקת. הם ממנפים חשבונות שירות שנפגעו ויחסי אמון של SSO כדי לנוע לרוחב המערכות.

דוגמה בולטת לאופן שבו מתבצעות תקיפות אלה היא באמצעות הנדסה חברתית, כפי שנצפה על ידי צוות התגובה לאירועים של Sygnia. קבוצת תקיפה בחסות מדינה התחזתה לאנשי מקצוע בלינקדאין ובוואטסאפ, ופנתה לעובדי פיתוח בארגון המטרה בבקשה לייעוץ טכני. לאחר שהצליחו לשכנע את העובדים להוריד קוד תמים לכאורה למחשבים הניידים שלהם, הקוד אסף מפתחות גישה ואישורים רצויים.

התוקפים השיגו גישה ל-Microsoft 365 של הארגון וביצעו אימות מול Entra ID באמצעות אסימוני סשן שנלכדו, תוך עקיפת אימות רב-גורמי (MFA) ובקרות אבטחה אחרות. בנוסף, מפתחות גישה ל-AWS התגלו במכשירים שנפגעו, מה שסיפק לתוקפים שתי דרכים להיכנס לסביבת AWS.

בדוח מוצגות המלצות קונקרטיות לשיפור האבטחה, כולל חיזוק ממשל הזהויות, אימוץ עקרונות אפס אמון והשתתפות בהערכות צוות אדום ממוקדות זהויות. ממשל זהויות יעיל צריך לכלול הגבלת הרשאות וביצוע ביקורות סדירות, כדי למנוע מתוקפים להשתמש באישורים גנובים או בעלי הרשאות כדי לנוע לרוחב הסביבות. 

יש להגן על אישורים רגישים ומפתחות API בכספת מפתחות, לסרוק קוד באופן קבוע כדי לזהות סודות המקודדים באופן קשיח ולבצע רוטציה אוטומטית של אישורים. 

יישום עקרונות אפס אמון צריך לכלול אכיפת אימות מחדש וגישה מודעת הקשר, כדי להגביל את האפקטיביות של גניבת עוגיות סשן וטקטיקות התחזות. הערכות צוות אדום ממוקדות זהויות יכולות לחשוף פערים בהרשאות וחולשות ביחסי אמון, ולאמת את האפקטיביות של בקרות הזהויות.