Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

זהות היא זירת הפעילות החדשה

הורד
שתף
גבר ואישה יושבים ליד שולחן ומשתמשים במחשב נישא.

מהדורה 1 Cyber Signals: השג תובנות לגבי איומי סייבר מתפתחים ובאילו צעדים לנקוט כדי להגן בצורה טובה יותר על הארגון שלך.

קיימת חוסר התאמה מסוכנת בין רוב פרוטוקולי האבטחה של ארגונים לבן האיומים שאיתם הם מתמודדים. בשעה שתוקפים מנסים לפלס את דרכם לתוך רשתות, הטקטיקה המועדפת עליהם פשוטה יותר: ניחוש סיסמאות כניסה חלשות. מדדים בסיסיים כמו אימות רב-גורמי יעילים כנגד 98% מהמתקפות, אך רק 20% מהארגונים משתמשים בהם באופן מלא (דוח ההגנה הדיגיטלית של Microsoft, לשנת 2021).

במהדורה 1, תלמד על מגמות האבטחה הקיימות ועל המלצות מחוקרים ומומחים של Microsoft, כולל:

  • מי  מסתמך על סיסמה ומתקפות שמבוססות על זהות.
  • מה לעשות כדי להתנגד למתקפות, כולל אסטרטגיות נקודת קצה, דוא"ל וזהות.
  • מתי  לתעדף אמצעי אבטחה שונים.
  • היכן  נכנסים מאמצי תוכנת כופר ומתרבים במהירות בתוך רשתות, וכיצד לעצור אותם.
  • מדוע  הגנה על זהות נותרת הסיבה העיקרית לדאגה - אף היא גם ההזדמנות הגדולה ביותר לשיפור האבטחה שלך.

שחקני מדינת לקום מכפילים את המאמצים לאחיזה פשוטה באבני בניין של זהות

מתקפות סייבר שמבוצעות על-ידי שחקני מדינת לאום נמצאות בעלייה. למרות המשאבים הנרחבים שלהם, יריבים אלה לעתים קרובות מסתמכים על טקטיקות פשוטות לגניבת סיסמאות שניתן לנחש בקלות. על-ידי כך, הם יכולים להשיג גישה קלה במהירות לחשבונות של לקוחות. במקרה של מתקפות ארגון, חדירה לרשת של ארגון מאפשרת לשחקני מדינת לאום להשיג דריסת רגל שהם יכולים להשתמש בה כדי לנוח באופן אנכי, לאורך משתמשים ומשאבים שונים, או באופן אופקי על-ידי השגת גישה ליותר פרטי כניסה ומשאבים בעלי ערך.

דיוג ממוקד, מתקפות הנדסה חברתית ומתקפות password sprays בקנה מידה גדול הן טקטיקות בסיסיות של שחקן מדינת לאום שמשמשות לגניבה או ניחוש של סיסמאות. Microsoft משיגה תובנות לתוך המלאכה וההצלחה של תוקפים על-ידי צפייה בסוג הטקטיקות והטכניקות שהם משקיעים ומצליחים בהן. אם אישורי משתמש מנוהלים בצורה גרועה או נותרים פגיעים ללא הגנות קריטיות, כגון תכונות אימות רב-גורמי (MFA) וכניסה ללא סיסמה, מדינות לאום ימשיכו להשתמש באותן טקטיקות פשוטות.

לא ניתן להפריז בצורך לאכוף אימוץ של MFA או לעבור לכניסה ללא סיסמה, בגלל שהפשטות והעלות הנמוכה של מתקפות ממוקדות בזהות הופכת את אמצעים אלה לנוחות ויעילים עבור גורמי האיום. אמנם MFA אינו כלי ניהול הזהויות והגישה היחיד שמומלץ לארגונים להשתמש בו, אך הוא יכול להרתיע בעוצמה את התוקפים.

שימוש לרעה בפרטי כניסה היא התנהלות קבועה של NOBELIUM, יריב מדינת לאום שמקושר לרוסיה. עם זאת, יריבים אחרים, כגון DEV 0343 שמקושרים לאיראן מסתמכים גם על מתקפות password spray. פעילות של DEV-0343 נצפתה ברחבי חברות הגנה שמייצרות מכ”מים בדרגה צבאית, טכנולוגיית רחפנים, מערכות לוויין, ומערכות תקשורת לתגובת חירום. פעילות נוספת הציבה כיעד נמלי יצירה אזוריים במפרץ הפרסי, וכמה חשבות שינוע ימי ומטען עם מיקוד בעסקים במזרח התיכון.
התפלגות של מתקפות סייבר ביוזמת איראן שמבוססות על זהות
המדינות שהיו היעד הנפוץ ביותר של איראן בין יולי 2020 ליוני 2021 הן ארצות הברית (49%), ישראל (24%), וערב הסעודית (15%). קבל מידע נוסף על תמונה זו בעמוד 4 של הדוח המלא

על הארגון:

להפוך אימות רב-גורמי לזמין: בכך הארגון יצמצם את הסיכון לכך שסיסמה תיפול לידיים הלא נכונות. ואף יותר מזה, ביטול מוחלט של סיסמאות על-ידי שימוש ב- MFA ללא סיסמה.
ביקורת על הרשאות חשבון: אם חשבונות בעלי גישה עם הרשאות נחטפים, הם הופכים לנשק רב-עוצמה שתוקפים יכולים להשתמש בו כדי להשיג גישה טובה יותר לרשתות ולמשאבים. צוותי אבטחה צריכים לערוך ביקורת להרשאות גישה באופן תדיר, באמצעות העיקרון של כמות ההרשאות הנמוכה ביותר שהוענקו כדי לאפשר לעובדים להשלים את עבודתם.
סקירה, הקשחה וניטור של כל חשבון מנהל המערכת של הדייר: על צוותי אבטחה לסקור ביסודיות את כל המשתמשים או החשבונות של מנהל מערכת דיירים שקשורים להרשאות ניהול מואצלות כדי לאמת את המקוריות של משתמשים ופעילויות. עליהם בשלב זה להשבית או להסיר את כל הרשאות הניהול המואצלות שאינן בשימוש.
ביסוס ואכיפת הגדרות בסיס לאבטחה כדי להפחית סיכון: מדינות לאום פועלות לטווח הארוך ויש להן את המימון, הרצון וקנה המידה כדי לפתח אסטרטגיות וטכניקות מתקפה חדשות. כל יוזמה שמקשיחה את הרשת ומתעכבת עקב רוחב פס או בירוקרטיה, פועלת לטובתן. על צוותי אבטחה לתעדף הטמעה של נהלי אפס אמון כגון MFA ושדרוגים ללא סיסמה . הם יכולים להתחיל בחשבונות בעלי הרשאות כדי להשיג הגנה במהירות, ולאחר מכן להתרחב לשלבים נוספים ומתמשכים.

תוכנת כופר שולטת על נתח הכרתי, אך רק מספר מאמצים שולטים

עושה רושם שהנרטיב השולט הוא שישנו מספר עצום של איומי תוכנת כופר חדשים שמותירים מאחור את יכולות המגינים. עם זאת, הניתוח של Microsoft מראה שזהו רושם מוטעה. ישנה גם תפיסה שקבוצות תוכנת כופר מסוימות הן ישות מונוליתית יחידה, שגם תפיסה זו שגויה. מה שכן קיים היא כלכלת פשעי סייבר שבה גורמים שונים שרשראות מתקפה שהפכו למצרכים מקבלים החלטות מכוונות. גורמים אלה מונעים על-ידי מודל כלכלי שנועד למקסם רווח בהתבסס על האופן שבו כל אחד מהם מנצל את המידע שיש לו גישה אליו. הגרפיקה להלן מציגה את האופן שבו קבוצות שונות מפיקות רווח מאסטרטגיות שונות של מתקפת סייבר וממידע שמקורו בהפרות נתונים.

מחירים ממוצעים של שירותי פשעי סייבר מגוונים
מחירים ממוצעים של שירותים למניעת פשעי סייבר למכירה. מחירי ‘תוקפים להשכרה‘ מתחילים ב- USD$250 לכל משימה. מחיר ערכות תוכנת כופר הוא USD$66 או 30% מהרווח. מחיר הגנה על מכשיר שנחשף לסכנה מתחיל ב- 13 סנט לכל מחשב ו- 82 סנט לכל מכשיר נייד. מחיר ‘דיוג ממוקד להשכרה‘ מתפרש על הטווח שבין USD$100 ל- USD$1,000. מחיר שם משתמש וסיסמה שנגנבו כזוג מתחיל ב- 97 סנט לכל 1,000 בממוצע. קבל מידע נוסף על תמונה זו בעמוד 5 של הדוח המלא  

כלומר, לא משנה כמה תוכנות כופר מסתובבות בשוק, או אילו אילוצים מעורבים בהן, זה למעשה מסתכם בשלושה וקטורי כניסה: מתקפת brute force של פרוטוקול שולחן עבודה מרוחק (RDP), מערכות פגיעות שמתמודדות עם האינטרנט ודיוג. ניתן לצמצם את כל הווקטורים האלה באמצעות הגנת סיסמה מתאימה, ניהול זהות ועדכוני תוכנה בנוסף לערכת כלים מקיפה של אבטחה ותאימות. סוג של תוכנת כופר יכול להפוך לפורה רק כאשר הוא משיג גישה לפרטי כניסה ואת יכולת ההפצה. מכאן, אפילו אם מדובר באילוץ ידוע, הוא יכול לגרום לנזק רב.

שרטוט גורמי איום מהגישה הראשונית לתנועה רוחבית ברחבי המערכת
נתיב של התנהגות גורם איום ברגע שמתבצעת הפרה למערכת מנקודת הגישה הראשונית ועד לגניבת אישורים ותנועה רוחבית ברחבי המערכת. עוקב אחר נתיב עקבי כדי ללכוד חשבונות ולרכוש תוכן מנה של תוכנת כופר. קבל מידע נוסף על תמונה זו בעמוד 5 של הדוח המלא

על צוותי אבטחה:

להבין שתוכנת כופר משגשגת באישורי ברירת מחדל או שנחשפו לסכנה: כתוצאה מכך, על צוותי אבטחה להאיץ את הגנות כגון הטמעת MFA ללא סיסמה בכל חשבונות משתמשים ולתעדף תפקידי מנהל בכיר, מנהל מערכת ותפקידים מורשים אחרים.
לזהות כיצד לאתר חריגות בהלשנה בזמן פעולה: כניסות מוקדמות, תנועת קובץ והתנהגויות אחרות שמציגות תוכנת כופר באופן שבו היא יכולה להיראות חסר ייחודיות. למרות זאת, צוותים צריכים לנטר לאיתור חריגויות ולפעול לגביהן במהירות.
להחזיק בתוכנית תגובה לתוכנת כופר ולבצע תרגולי שחזור: אנו חיים בעידן של סנכרון ושיתוף בענן, אך עותקי נתונים שונים ממערכות IT ומסדי נתונים בשלמותם. על הצוותים לדמיין ולתרגל כיצד נראה שחזור מלא.
לנהל התראות ולנוע מהר לעבר צמצום: בעוד שכולם חוששים ממתקפות תוכנת כופר, המיקוד העיקרי של צוותי אבטחה צריך להיות חיזוק תצורות אבטחה חלשות שמאפשרות את הצלחת המתקפה. עליהם לנהל תצורות אבטחה להגיב כראוי להתראות וזיהויים.
עקומה של הפצת הגנה מציגה כיצד היגיינת אבטחה בסיסית עוזרת להגן מפני 98% מהמתקפות
התגוננו מפני 98% מהתקיפות על-ידי שימוש בתוכנות נגד תוכנות זדוניות, החלת גישה עם הרשאת סף, הפעלת אימות רב-גורמי, הקפדה על עדכניות של גרסאות ועל-ידי הגנה על נתונים. מקורם של 2% הנותרים בעקומת הפעמון הוא מתקפות הרעלת נתונים (outlier). קבל מידע נוסף על תמונה זו בעמוד 5 של הדוח המלא
קבל הדרכה נוספת ממנהל ראשי של בינת האיומים של Microsoft כריסטופר גלייר לגבי אופן אבטחת זהות.

התובנות מושגות והאיומים נחסמים באמצעות מעל ל- 24 טריליון אותות מדי יום

איומי נקודות קצה:
Microsoft Defender עבור נקודת קצה חסמה מעל 9.6 מיליארד איומי תוכנה זדונית שהציבו כיעד מכשירים ארגוניים ומכשירי לקוחות צרכנים, בין ינואר לדצמבר 2021.
איומי דוא"ל:
Microsoft Defender עבור Office 365 חסמה מעל 3.57 מיליארד מתקפות דיוג והודעות דואר אלקטרוני זדוניות אחרות שהציבו כיעד ארגונים ולקוחות צרכנים, בין ינואר לדצמבר 2021.
איומי זהות:
Microsoft (‏Azure Active Directory) זיהתה וחסמה מעל 25.6 מיליארד ניסיונות לחטוף חשבונות לקוח ארגוניים על-ידי סיסמאות שנגנבו במתקפת brute-forcing, בין ינואר לדצמבר 2021.

מתודולוגיה: לקבלת נתוני תמונת דוח, פלטפורמות של Microsoft כוללות את Defender ואת Azure Active Directory בהינתן נתונים אנונימיים לגבי פעילות איומים, כגון ניסיונות כניסה של מתקפת brute force, דיוג ומתקפות דואר אלקטרוני זדוניות אחרות שהציבו כיעד ארגונים ולקוחות, ומתקפות תוכנה זדונית בין ינואר לדצמבר 2021. תובנות נוספות מגיעות מ- 24 טריליון אותות אבטחה יומיים שהתקבלו מרחבי Microsoft, כולל הענן, נקודות קצה והיתרון החכם. נתוני אימות חזקים בשילוב עם הגנת MFA וללא סיסמה.

זהות תוכנות כופר מדינת לאום

מאמרים קשורים

'אותות סייבר' מהדורה 2: כלכלת סחיטה

האזן למומחים מובילים דנים בהתפתחות תוכנות הכופר כשירות. קבל מידע על הכלים, הטקטיקות והמטרות המועדפות על פושעי הסייבר, החל מתוכנות ותוכני מנה ועד לסוכני גישה ושותפיהם, וקבל הדרכה להגנה על הארגון.
למידע נוסף

הגנה על אוקראינה: לקחים מוקדמים ממלחמת הסייבר

ממצאים העדכניים ביותר במאמצי בינת האיומים המתמשכים שלנו במלחמה בין רוסיה לאוקראינה, וסדרה של מסקנות מארבעת החודשים הראשונים שלה מחזקת את הצורך בחקירות מתמשכות וחדשות בטכנולוגיה, נתונים ושותפות כדי לתמוך בממשלות, חברות, ארגונים שאינם למטרות רווח ואוניברסיטאות.
למידע נוסף

פרופיל מומחה: כריסטופר גלייר

כריסטופר גלייר שמשמש כמנהל ראשי של בינת איומים שמתמקד בתוכנת כופר במרכז בינת האיומים של Microsoft (‏MSTIC), ‏הוא חלק מהצוות שחוקר את האופן שבו גורמי איום מתקדמים מקבלים גישה למערכות ומנצלים אותן לרעה.
למידע נוסף