סגור
שלום אורח התחבר לאתר
פורומים
מחשבים וטכנולוגיה

דוח מפת האיומים הרבעוני של פורטינט: שיטות ההתקפה בסייבר מתוחכמות יותר

החל מתוכנות כופר מותאמות, דרך קידוד מותאם אישית להתקפות מסוימות ועד לשיתוף תשתיות לצורך מקסום הזדמנויות התקיפה

פורטינט מפרסמת את ממצאי דוח מפת האיומים הרבעוני של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה. מהמחקר עולה כי שיטות ההתקפה של פושעי הסייבר הופכות מתוחכמות יותר, החל מתוכנות כופר מותאמות, דרך קידוד מותאם אישית להתקפות מסוימות ועד לשיתוף תשתיות לצורך מקסום הזדמנויות התקיפה.

ממצאי הדוח העיקריים:

תעבורת נתונים לפני ואחרי הפגיעה בארגון: מהמחקר אשר נערך במטרה לבדוק האם פושעי הסייבר מוציאים לפועל את שלבי ההתקפות שלהם בימים שונים של השבוע עלה כי הפושעים תמיד מנסים למקסם את הזדמנות התקיפה לתועלתם. כאשר משווים את נפח סינון נתוני ה-Web בשני שלבי שרשרת ההרס במהלך ימי השבוע ובסופי השבוע, הסבירות לקיום פעילות זדונית שקודמת לפגיעה בארגון גדולה פי שלוש לערך במהלך שבוע העבודה, ואילו בתעבורת נתונים לאחר הפגיעה בארגון אין הבדל גדול בתחום זה. הסיבה העיקרית לכך היא שפעמים רבות פעולת הפריצה והשימוש לרעה מחייבת פעולה של אדם בתוך הארגון כגון לחיצה על הודעת פישינג בדואר האלקטרוני. בניגוד לכך, פעילות שליטה ובקרה (C2 – command-and-control) אינה זקוקה לכך והיא עשויה להתרחש בכל עת. פושעי הסייבר מבינים זאת ומנסים למקסם את ההזדמנות במהלך השבוע, כאשר נפח הפעילות באינטרנט הוא הגבוה ביותר. ההבחנה בין נוהלי סינון ה-Web בימי השבוע לבין סופי השבוע חשובה להבנה מלאה של שרשרת ההרס הנגרמת כתוצאה מההתקפות השונות.

רוב האיומים משתמשים בתשתית משותפת: המידה בה איומים שונים חולקים בתשתית מעלה כמה מגמות בעלות ערך. חלק מהאיומים ממנפים תשתית הנמצאת בשימוש קהילה במידה רבה יותר מאשר תשתית ייחודית או ייעודית. כ-60% מהאיומים חולקים דומיין אחד לפחות, מה שמצביע על כך שרוב הבוטנטים ממנפים את התשתית הקיימת. בנוסף, כאשר איומים חולקים תשתית, הם נוטים לעשות זאת בתחומי שרשרת ההרס עצמה. לרוב, איום לא ימנף דומיין לצורך חדירה ואז ימנף אותו מאוחר יותר לצורך תעבורת C2. הדבר מרמז על כך שלתשתית יש תפקיד או פונקציה ספציפיים כאשר היא נמצאת בשימוש של פעולות זדוניות. ההבנה אילו איומים חולקים תשתית ומהם הנקודות של שרשרת ההתקפה, תאפשר לארגונים לחזות את נקודות ההתפתחות הפוטנציאליות של תוכנות זדוניות או בוטנטים בעתיד.

ניהול תוכן זקוק לניהול קבוע: פושעי הסייבר נוטים לעבור מהזדמנות אחת לשנייה במקבצים, תוך התמקדות בטכנולוגיות ובנקודות תורפה מתפתחות שנוצלו בהצלחה במטרה למקסם במהירות את הזדמנות לפעילות זדונית. דוגמה לטכנולוגיה חדשה שמושכת לאחרונה את תשומת לבם של פושעי סייבר רבים הן פלטפורמות ה-Web אשר עוזרות לצרכנים ולעסקים ליצור נוכחות ברשת במהירות. הפושעים ממשיכים להתמקד בפלטפורמות אלו ובתוספים החיצוניים שקשורים אליהן. דבר זה מחזק את החשיבות הקריטית של החלת עדכוני תוכנה באופן מידי ושל הבנה מלאה של זירת נקודות התורפה המתפתחת ללא הרף כדי לשמור על יתרון מול פושעי הסייבר.

תוכנות הכופר עדיין לא נעלמו: אומנם חלק גדול מתוכנות הכופר הוחלף בהתקפות ממוקדות יותר, אך תופעת תוכנות הכופר עדיין חיה ובועטת. כיום, התקפות מרובות מעידות על כך שהתוכנות הללו הותאמו עבור יעדים בעלי ערך גבוה וכדי להעניק לתוקף הרשאות גישה גבוהות יותר אל הרשת. LockerGoga היא דוגמה לתוכנת כופר ממוקדת אשר נערכה כהתקפה מרובת שלבים. LockerGoga דומה מאוד לתוכנות כופר אחרות מבחינת התחכום הפונקציונלי, אך רוב כלי תוכנות הכופר משתמשים בסוג מסוים של טשטוש כדי למנוע זיהוי ואילו ניתוח של קוד זה הראה כי רמת הטשטוש בו הייתה נמוכה. דבר זה מרמז על הטבע הממוקד של ההתקפה, וכן על הקביעה מראש כי התוכנה הזדונית לא תזוהה בקלות. כמו כן, בדומה לרוב תוכנות הכופר, היעד הראשי של Anatova הוא להצפין כמה שיותר קבצים במערכת הקבצים של הקורבן, פרט לאלו שעלולים לפגוע ביציבות המערכת הנגועה. התוכנה נמנעת גם מלהדביק מחשבים שנראים כאילו הם נמצאים בשימוש לצורך ניתוח תוכנות זדוניות או כאלה שמשתמשים במלכודת דבש (honeypots) לאיתור פעילות זדונית. שני סוגי הקוד הללו מלמדים אותנו כי על הגופים המובילים בתחום האבטחה להמשיך ולהתמקד בתיקון פרצות ובגיבוי כאמצעי למניעת תוכנות כופר, אך יחד עם זאת, איומים ממוקדים מצריכים יישום של הגנה מותאמת יותר מפני שיטות ההתקפה הייחודיות שלהם.



היה הראשון שמגיב

פורומים

שוק ההון הישראלי אמריקאי
ביומד גז ונפט
מעו"ף ניתוח טכני
תעודות סל שווקים עולמיים