הדוח חושף: פושעי סייבר מנצלים פגיעויות חדשות בתעשייה במהירות הגבוהה ב-43%
לפי ממצאי הדוח, התוקפים מנצלים פגיעויות בנות יותר מ-15 שנה, מה שמדגיש את הצורך של יצרנים לפעול לפי שיטות העבודה המומלצות לחשיפת פגיעויות והצורך של ארגונים לשפר את היגיינת הסייבר וניהול העדכונים
- קובי עוזיאלי
- ל' ניסן התשפ"ד
חברת פורטינט, מובילה עולמית באבטחת סייבר המניעה את האיחוד בין ביצועי תקשורת ואבטחה, פרסמה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של FortiGuard Labs, גוף מודיעין האיומים והמחקר של החברה. הדוח מספק תמונת מצב של מפת האיומים הפעילים ומדגיש מגמות שהתרחשו בין החודשים יולי-דצמבר 2023, כולל ניתוח לגבי המהירות שבה תוקפי הסייבר מנצלים פרצות חדשות שזוהו ברחבי תעשיית אבטחת הסייבר והעלייה בפעילות ממוקדת של תוכנות כופר ותוכנות מחיקה (Wiper) נגד מגזרי התעשייה וה-OT.
להלן ממצאי הדוח העיקריים:
המתקפות החלו בממוצע 4.76 ימים לאחר שחולשות חדשות נחשפו בפומבי: בדומה לדוח מפת האיומים הגלובלי למחצית הראשונה של שנת 2023, חוקרי FortiGuard Labs חקרו כמה זמן לוקח לפגיעות לעבור מפרסום ראשוני לניצול, בין אם חולשות עם ניקוד EPSS (Exploit Prediction Scoring System) מנוצלות מהר יותר ובין אם הם יכולים לחזות את הזמן הממוצע לניצול באמצעות נתוני EPSS. בהתבסס על ניתוח זה, במחצית השנייה של 2023 התוקפים הגבירו את המהירות שבה הם ניצלו פגיעויות חדשות שפורסמו – 43% מהר יותר מאשר במחצית הראשונה של 2023. ממצא זה מדגיש את הצורך של יצרנים להקדיש תשומת לב לגילוי פנימי של פגיעויות ופיתוח תיקון לפני שניתן יהיה לנצל את הפגיעות (לצמצם מקרים של פגיעויות 0-Day). המחקר מחזק גם את העובדה כי יצרנים חייבים לחשוף באופן יזום ושקוף פגיעויות ללקוחות כדי להבטיח שיש להם את המידע הדרוש כדי להגן ביעילות על הנכסים שלהם לפני שפושעי הסייבר יוכלו לנצל פגיעויות N-day.
חלק מפגיעויות ה-N-Day נותרות ללא תיקון במשך למעלה מ-15 שנים: לא מדובר רק בפגיעויות חדשות שזוהו שמנהלי אבטחת מידע וצוותי אבטחה צריכים לדאוג לגביהן. הטלמטריה של פורטינט מצאה כי 41% מהארגונים גילו פרצות מחולשות בנות פחות מחודש וכמעט כל ארגון (98%) זיהה פגיעויות N-Day שהיו קיימות לפחות חמש שנים. חוקרי FortiGuard Labs ממשיכים לעקוב גם אחר גורמי איום המנצלים פגיעויות בנות יותר מ-15 שנה, מה שמחזק את הצורך לשמור על ערנות לגבי היגיינת אבטחה והנחיה מתמשכת לארגונים לפעול במהירות באמצעות תוכנית עקבית לתיקון ועדכון, תוך שימוש בשיטות עבודה מומלצות והנחיה מארגונים כמו Network Resilience Coalition כדי לשפר את האבטחה הכוללת של הרשתות.
פחות מ-9% מכל נקודות התורפה הידועות של נקודות הקצה הותקפו: בשנת 2022, חוקרי FortiGuard Labs הציגו את המושג "האזור האדום", המסביר לגבי הסבירות שגורמי האיום ינצלו פגיעויות ספציפיות. כדי להמחיש נקודה זו, שלושת דוחות מפת האיומים הגלובליים האחרונים בחנו את המספר הכולל של פגיעויות אשר התמקדו בנקודות קצה. במחצית השנייה של 2023, המחקר מצא כי 0.7% מכלל ה-CVEs שנצפו בנקודות הקצה היו תחת מתקפה, מה שחשף שטח תקיפה פעיל קטן בהרבה שצוותי האבטחה יכולים להתמקד בו ולתעדף את מאמצי התיקון.
44% מכלל דגימות הכופר וה-Wiper כוונו למגזרי התעשייה: בכל מערכות הגילוי של פורטינט, זיהוי תוכנות הכופר ירד ב-70% בהשוואה למחצית הראשונה של 2023. את ההאטה שנצפתה בתוכנות הכופר בשנה האחרונה ניתן לייחס בצורה הטובה ביותר למעבר של תוקפים מאסטרטגיית "רסס והתפלל" המסורתית לגישה ממוקדת יותר, אשר שמה לב ליעד בעיקר את תעשיות האנרגיה, הבריאות, הייצור, התחבורה והלוגיסטיקה והרכב.
הבוטנטים הראו עמידות מדהימה, כאשר נדרשו בממוצע 85 ימים עד שתקשורת השליטה והבקרה (C2) הופסקה לאחר הגילוי הראשון: בעוד כי תעבורת הבוטים נותרה יציבה ביחס למחצית הראשונה של 2023, חוקרי FortiGuard Labs המשיכו לראות את הבוטנטים הבולטים של השנים האחרונות, כמו Gh0st, Mirai ו-ZeroAccess, אך שלושה בוטנטים חדשים הופיעו במחצית השנייה של 2023, כולל: AndroxGh0st, Prometei ו-DarkGate.
נצפתה פעילות של 38 מתוך 143 קבוצות האיומים המתקדמים המתמידים (APT) המפורטות על ידי MITRE: המודיעין של FortiRecon, שירות ההגנה מפני סיכונים דיגיטליים של פורטינט, מצביע על כך כי 38 מתוך 143 הקבוצות ש-MITRE עוקבת אחריהן היו פעילות במחצית השנייה של 2023. מתוכן, Lazarus Group, Kimusky, APT28, APT29, Andariel ו-OilRig היו הקבוצות הפעילות ביותר. בהתחשב באופי הממוקד ובקמפיינים קצרי הימים יחסית של APT וקבוצות סייבר בחסות מדינות בהשוואה לקמפיינים המתמשכים של פושעי סייבר, ההתפתחות ונפח הפעילות בתחום זה הם משהו ש-FortiGuard Labs הולכים לעקוב אחריהם על בסיס קבוע.
שיח הרשת האפלה
דוח מפת האיומים הגלובלי למחצית השנייה של 2023 כולל גם ממצאים של FortiRecon, המספק הצצה לשיח המתקיים בין תוקפים בפורומים, בערוצי טלגרם ובמקורות אחרים ברשת האפלה. לפי הממצאים, שחקני האיום דנו בהתמקדות בארגונים בתעשיית הפיננסים בתדירות הגבוהה ביותר, כאשר אחריהם היו מגזרי השירותים העסקיים והחינוך. כמו כן, שותפו יותר מ-3,000 פריצות נתונים בפורומים בולטים ברשת האפלה, בנוסף לכך, 221 פגיעויות נדונו באופן פעיל ברשת האפלה, בעוד כי 237 פגיעויות נדונו בערוצי טלגרם ויותר מ-850,000 פגיעויות פורסמו למכירה.
הודפים את פושעי הסייבר
עם שטח תקיפה המתרחב ללא הרף ומחסור במומחי אבטחת סייבר מיומנים ברחבי התעשייה, יש אתגר רב יותר מאי פעם עבור ארגונים לנהל כראוי תשתית מורכבת, המורכבת מפתרונות נפרדים, וזאת מבלי לעמוד בקצב של נפח ההתראות מפתרונות נקודתיים והטקטיקות, הטכניקות והנהלים המגוונים שגורמי האיום ממנפים כדי לסכן את הקורבנות שלהם.
כדי להדוף את פושעי הסייבר יש צורך בתרבות של שיתוף פעולה, שקיפות ולקיחת אחריות בקנה מידה גדול יותר מאשר רק מארגונים בודדים במרחב אבטחת הסייבר. לכל ארגון יש מקום בשרשרת השיבוש מול איומי הסייבר. שיתוף פעולה עם ארגונים מכובדים ובעלי פרופיל גבוה מהמגזר הציבורי והפרטי, כולל CERTs, גופים ממשלתיים ואקדמיה, הוא היבט בסיסי במחויבותה של פורטינט כדי לשפר את חוסן הסייבר ברחבי העולם.
באמצעות חדשנות טכנולוגית מתמדת ושיתוף פעולה בין תעשיות וקבוצות עבודה, כמו ה-Cyber Threat Alliance, Network Resilience Coalition, האינטרפול, השותפות של הפורום הכלכלי העולמי (WEF) נגד פשיעת סייבר ויוזמת Cybercrime Atlas של WEF, ניתן לשפר באופן קולקטיבי את ההגנות ולסייע במאבק נגד פשיעת סייבר ברחבי העולם.
דרק מאנקי, אסטרטג אבטחה בכיר וסמנכ"ל מודיעין איומים גלובלי ב-FortiGuard Labs, פורטינט, אמר כי, "דוח מפת האיומים הגלובלי למחצית השנייה של שנת 2023 של FortiGuard Labs ממשיך לשפוך אור על המהירות שבה שחקני האיום מנצלים פגיעויות חדשות שנחשפו. באקלים הנוכחי, גם לספקים וגם ללקוחות יש תפקיד. הספקים חייבים להציג בדיקות אבטחה חזקות בכל שלבי מחזור החיים של פיתוח המוצר ולהקדיש את עצמם לשקיפות יסודית ואחראית בחשיפת הפגיעויות שלהם. עם יותר מ-26,447 פגיעויות בקרב יותר מ-2,000 ספקים בשנת 2023 שפורסמו על ידי NIST, חשוב מאוד כי גם הלקוחות ישמרו על משטר קפדני של ביצוע עדכונים כדי להפחית את הסיכון לניצול הפגיעות".
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות