Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

האנטומיה של שטח תקיפה חיצוני

הורד
שתף
הבנת האנטומיה של מתקפת שטח חיצוני

חמישה רכיבים שארגונים צריכים לנטר

עולם אבטחת הסייבר ממשיך להפוך למורכב יותר בשעה שארגונים עוברים לענן או לעבודה מבוזרת. כיום, שטח התקיפה החיצוני כולל עננים מרובים, שרשראות אספקה דיגיטליות מורכבות ואקוסיסטמות מסיביות של צד שלישי. בסופו של דבר, קנה המידה המוחלט של בעיות אבטחה גלובליות שעכשיו הפכו לנפוצות, שינה באופן קיצוני את התפיסה שלנו של אבטחה מקיפה.

האינטרנט הוא עכשיו חלק מהרשת. למרות גודלו הבלתי נתפס, צוותי האבטחה חייבים להגן על הנוכחות של הארגון ברחבי האינטרנט באותה מידה שבה הם מגנים על כל מה שנמצא מאחורי חומות האש שלהם. בזמן שארגונים רבים יותר מאמצים את עקרונות אפס אמון, ההגנה על שטחי תקיפה פנימיים וחיצוניים כאחד הופכת לאתגר בקנה מידה של האינטרנט. בשל תכונה זו, עוד יותר קריטי שארגונים יבינו את ההיקף המלא של שטח התקיפה שלהם.

Microsoft רכשה את RiskIQ בשנת 2021 כדי לעזור לארגונים להעריך את האבטחה של הארגון הדיגיטלי במלואו. באמצעות  גרף בינת האינטרנט של RiskIQ, ארגונים יכולים לגלות ולחקור איומים ברחבי רכיבים, חיבורים, שירותים, מכשירים מחוברים ל- IP ותשתיות שמרכיבים את שטח התקיפה שלהם כדי ליצור הגנה מדרגית חסינה.

העומק והרוחב במוחלטים של מה שצוותי אבטחה צריכים להגן עליו, עשוי להיראות מבהיל עבורם. עם זאת, דרך אחת להכניס לפרספקטיבה את היקף שטח התקיפה של הארגון שלהם היא לחשוב על האינטרנט מנקודת המבט של התוקף. המאמר מדגיש חמישה תחומים שעוזרים למסגר בצורה טובה יותר את האתגרים של ניהול שטח תקיפה חיצוני ביעילות.

שטח התקיפה החיצוני הולך וגדל יחד עם האינטרנט

והוא מתרחב מדי יום. בשנת 2020, כמות הנתונים באינטרנט הגיעה ל- 40 זטה-בתים, או 40 טריליון ג’יגה-בתים.1 RiskIQ גילו שכל דקה, 117,298 מארחים ו- 613 תחומים2 נוספים להליכי משנה שזורים רבים שמרכיבים את האריג המסובך של שטח התקיפה הגלובלי. כל אחד מהם מכיל קבוצה של רכיבים, כגון מערכות ההפעלה הבסיסיות שלהם, מסגרות, אפליקציות של צד שלישי, תוספים וקוד מעקב. באמצעות כל אחד מהאתרים האלה שמתרבים במהירות ומכילים את הרכיבים הבסיסיים האלה, ההיקף של שטח התקיפה הגלובלי עולה באופן מעריכי.

שטח התקיפה החיצוני הולך וגדל בכל דקה

  • מארחים נוצרים בכל דקה.
  • תחומים נוצרים בכל דקה.
  • 375 איומים חדשים נוצרים בכל דקה.2

ארגונים לגיטימיים וגורמי איום כאחד תורמים לצמיחה זו, שמשמעה שאיומי סייבר גדלים בקנה מידה עם שאר האינטרנט. איומים עקביים מתוחכמים ומתקדמים (APTs) ופושעי סייבר חסרי חשיבות כאחד מאיימים על בטיחות של עסקים, מציבים כיעד את הנתונים, המותג, הקניין הרוחני, המערכות והאנשים של העסקים.

ברבעון הראשון של 2021, CISCO זיהה 611,877 אתרי דיוג ייחודיים,3 עם 32 אירועי הפרת תחומים ו- 375 איומים חדשים סך הכל שעולים בכל דקה.2 איומים אלה מציבים כיעד עובדים ולקוחות של ארגונים עם נכסים מושחתים, שמחפשים לשטות אותם ללחוץ על קישורים זדוניים ודיוג עבור נתונים רגישים, שכולם יכולים לשחוק את הביטחון במותג ואת אמון הלקוחות.

העלייה בפגיעויות שנוצרת מכוח עבודה מרוחק

הצמיחה המהירה של נכסים שחשובים לאינטרנט הרחיבה דרמטית את הספקטרום של איומים ופגיעויות שמשפיעים על הארגון הממוצע. עם הופעתה של מגיפת הקורונה, הצמיחה הדיגיטלית הואצה שוב, כאשר כמעט כל ארגון הגדיל את טביעת הרגל הדיגיטלית שלך כך שהיא תעניק מודל של כוח עבודה ועסקים מרוחק וגמיש במיוחד. התוצאה: לתוקפים יש עכשיו הרבה יותר נקודות גישה לגשש או לנצל.

השימוש בטכנולוגיות גישה מרחוק כגון RDP (פרוטוקול שולחן עבודה מרוחק) ו- VPN (רשת וירטואלית פרטית) הרקיעו שחקים עם תוספת של 41% ו- 33%4 בהתאמה, כשרוב העולם אימץ מדיניות עבודה מהבית. גודלו של שוק תוכנת שולחן העבודה המרוחק הגלובלי, ששוויו עמד על 1.53 מיליארד USD בשנת 2019, יגיע ל- 4.69 מיליארד USD עד לשנת 2027.5

עשרות פגיעויות חדשות בתוכנה ומכשירי גישה מרחוק העניקו לתוקפים דריסת רגל כפי שלא הייתה להם מעולם לפני כן. RiskIQ העלתה על-פני השטח מופעים פגיעים רבים של הגישה המרוחקת הפופולרית ביותר ומכשירים היקפיים, והקצב הסוחף של פגיעויות לא האט מאז. באופן כללי, דווחו על 18,378 פגיעויות בשנת 2021.6

נוף הפגיעויות החדש

  • צמיחה בשימוש ב- RDP.
  • צמיחה בשימוש ב- VPN.
  • פגיעויות שדווחו בשנת 2021.

עם העלייה של מתקפות בקנה מידה גלובלי שמתוזמרות על-ידי קבוצות איום מרובות ומותאמות עבור ארגונים דיגיטליים, צוותי אבטחה צריכים לצמצם פגיעויות עבור עצמם, עבור צדדים שלישיים, שותפים, אפליקציות נשלטות ובלתי נשלטות ושירותים במסגרת ובקרב מערכות יחסים בשרשרת האספקה הדיגיטלית.

שרשרת אספקה דיגיטלית, A&M, ו- Shadow IT יוצרים שטח תקיפה נסתר

המקור של רוב מתקפות הסייבר הוא במרחק רב מהרשת; אפליקציות אינטרנט חשפו לסכנה את קטגוריית הווקטור הנפוצה ביותר שנוצלה בהפרות שקשורות לפריצה. למרבה הצער, ברוב הארגונים חסרה תצוגה מלאה של נכסי האינטרנט שלהם ושל האופן שבו נכסים אלה מחוברים לשטח התקיפה הגלובלי. שלוה תורמים משמעתיים למחסור זה בנראות הם Shadow IT, מיזוגים ורכישות (A&M) ושרשראות אספקה דיגיטליות.

יחסי תלות בסיכון

  • מכשירים שתוקפם פג לדקה.2
  • מהעסקאות כוללות בדיקת נאותות של אבטחת סייבר.7
  • מהארגונים חוו הפרת נתונים אחת לפחות שנגרמה על-ידי צד שלישי.8

Shadow IT

 

כאשר IT לא יכול לשמור על הקצב של דרישות עסקיות, העסק מחפש תמיכה במקום אחר ופורס נכסי אינטרנט חדשים. צוות האבטחה נמצאה לעתים קרובות באפלה בנוגע לפעילויות Shadow IT אלה, וכתוצאה מכך לא יכול להכניס את הנכסים שנוצרו לתוך ההיקף של תוכנית האבטחה שלהם. נכסים שאינם פגומים ויתומים יכולים להפוך לנטל בשטח מתקפה של ארגון לאורך זמן.

התרבות מהירה זו של נכסים דיגיטליים מחוץ לחומת האש היא עכשיו נורמה. לקוחות חדשים של RiskIQ בדרך-כלל מוצאים 30% יותר נכסים לערך לעומת מה שהם חשבו שיש להם, ו- RiskIQ מזהה 15 שירותים פגי תוקף (פגיעים להשתלטות של תחום משנה) ו- 143 יציאות פתוחות כל דקה.2

מיזוגים ורכישות

 

פעולות יומיומיות ויוזמות עסקיות קריטיות כגון A&M, מערכות יחסים אסטרטגיות ומיקור חוץ, יוצרים ומרחיבים שטחי תקיפות. כיום, פחות מ- 10% מהעסקאות כוללות באופן כללי בדיקת נאותות של אבטחת סייבר.

ישנן כמה סיבות נפוצות שבגלל ארגונים לא מקבלים תצוגה מלאה של סיכוני סייבר פוטנציאליים במהלך תהליך בדיקת הנאותות. הראשונה היא קנה המידה המוחלט של הנוכחות הדיגיטלית של החברה שהם רוכשים. החזקת אלפי אתרי אינטרנט ונכסים אחרים שנחשפו לציבור, ואף עשרות אלפים, על-ידי ארגונים גדולים היא עניין נפוץ. אמנם לצוותי IT ואבטחה בחברה שעומדת להירכש יהיה רישום נכסים של אתרי אינטרנט, כמעט תמיד מדובר בתצוגה חלקית של הנכסים הקיימים. ככל שפעילויות IT של ארגון מבוזרות יותר, כך הפער משמעותי יותר.

שרשראות אספקה

 

הארגון תלוי יותר ויותר בבריתות הדיגיטליות שיוצרות את שרשרת האספקה המודרנית. בעוד שגורמי תלות אלה חיוניים לתפעול במאה ה- 21, הם גם יוצרים רשת חסרת סדר, מרובת שכבות ומסובכת מאוד של מערכות יחסים עם צד שלישי, שרובן נמצאות מחוץ לתחום של צוותי אבטחה וסיכון כדי להגן באופן יזום. כתוצאה מכך, זיהוי מהיר של נכסים דיגיטליים פגיעים שמאותתים על סיכון הוא אתגר עצום.

מחסור בהבנה ובנראות לתוך גורמי תלות אלה הפכו מתקפות של צד שלישי לאחד הווקטורים התדירים והיעילים ביותר עבור גורמי איום. כמות משמעותית של מתקפות מגיעה עכשיו באמצעות שרשרת האספקה הדיגיטלית. כיום, 70% מאנשי המקצוע בתחום ה- IT ציינו על רמה בינונית עד גבוהה של תלות בישויות חיצוניות שעשויות לכלול צדדים שלישיים, רביעיים וחמישיים.9 במקביל, 53% מהארגונים חוו לפחות הפרת נתונים אחת שנגרמה על-ידי צד שלישי.10

בעוד שמתקפות שרשרת אספקה בקנה מידה גדול הופכות לנפוצות יותר, ארגונים מתמודדים עם מתקפות קטנות יותר מדי יום. תוכנה זדונית שגונבת באופן מקוון פרטי כרטיס אשראי דיגיטלי, כגון Magecart, משפיעה על תוספי מסחר אלקטרוני של צד שלישי. בפברואר 2022, RiskIQ זיהתה מעל 300 תחומים שהושפעו על-ידי תוכנה זדונית שגנבה באופן מקוון כרטיס אשראי דיגיטלי של Magecart.11

בכל שנה, עסקים משקיעים יותר במכשירים ניידים מאחר שאורח החיים של הלקוח הממוצע הופך ליותר מרוכז במכשיר הנייד. אמריקאים מבלים כעת יותר זמן במכשיר הנייד לעומת בצפייה בטלוויזיה בשידור חי, וריחוק חברתי גורם להם להעביר יותר מהצרכים הפיזיים שלהם למכשיר הנייד, כגון קניות והשכלה. חברת App Annie מראה שהבילוי במכשיר נייד התעצם לגודל מדהים של 170 מיליארד USD$ בשנת 2021, צמיחה משנה לשנה של 19%.12

דרישה זו למכשירים ניידים יוצרת התרבות מהירה מאסיבית של אפליקציות למכשירים ניידים. משתמשים הורידו 218 מיליארד אפליקציות בשנת 2020. בינתיים, RiskIQ ציינה צמיחה כוללת של 33% בזמינות אפליקציות למכשירים ניידים בשנת 2020, כאשר 23 אפליקציות צצות מדי דקה.2

חנויות אפליקציות הן שטח תקיפה צומח

  • צמיחה באפליקציות למכשירים ניידים.
  • אפליקציות למכשירים ניידים צצות כל דקה.
  • אפליקציה נחסמת כל חמש דקות.2

עבור ארגונים, אפליקציות אלה מקדמות תוצאות עסקיות. עם זאת, הן יכולות גם להיות חרב פיפיות. נוף האפליקציות הוא חלק ניכר משטח התקיפה הכולל של ארגון, שקיים מעבר לחומת האש ובו צוותי אבטחה לעתים קרובות סובלים ממחסור קריטי בנראות. גורמי איום התפרנסו מניצול של קוצר ראייה זה כדי ליצור ”אפליקציות מושחתות” שמחקות מותגים מוכרים או מתכוונות להיות משהו שהן לא, אפליקציות שנבנו מתוך כוונה לשטות בלקוחות שיורידו אותן. ברגע שמשתמש שאינו חושד באפליקציות זדוניות אלה מוריד אותן, מגיע תורם של גורמי האיום, שדגים מידע רגיש או מעלים תוכנה זדונית למכשירים. RiskIQ יוצרת רשימת חסימות של אפליקציה זדונית למכשירים ניידים כל חמש דקות.

אפליקציות מושחתות אלו מופיעות בחנויות רשמיות מדי פעם, אפילו מפרות את ההגנות האיתנות של חנויות האפליקציות הגדולות. עם זאת, מאות או פחות חנויות אפליקציות מכובדות מייצגות עולם תחתון קודר של מכשירים ניידים נחוץ לבטיחות היחסית של חנויות מכובדות. אפליקציות בחנויות אלה הן משמעותית פחות מתוקננות מחנויות אפליקציות רשמיות, וחלקן כל-כך מוצפות באפליקציות זדוניות שהן עולות במספרן על ההצעות הבטוחות של החנויות.

שטח התקיפה הגלובלי מהווה גם חלק משטח תקיפה של ארגון

שטח התקיפה באינטרנט הגלובלי של ימינו השתנה דרמטית לכדי אקוסיסטמה דינמית, מוקפת לחלוטין ומשולבת לגמרי שכולנו חלק ממנה. אם יש לך נוכחות באינטרנט, אתה מתחבר לכל אחד אחר, כולל לאנשים וגורמים שרוצים להזיק לך. לכן מעקב אחר תשתית איומים הוא חשוב באותה מידה כמו מעקב אחר התשתית שלך.

שטח התקיפה הגלובלי הוא חלק משטח תקיפה של ארגון

  • חלקים חדשים של תוכנה זדונית מזוהים מדי יום.2
  • עלייה בווריאנטים של תוכנה זדונית.13
  • שרת של Cobalt Strike כל 49 דקות.2

קבוצות איום שונות ימחזרו וישתפו תשתית - כתובות IP, תחומים ופרטי כניסה - וישתמשו בכלי מוצרים שמבוססים על קוד פתוח, כגון תוכנה זדונית, ערכות דיוג ורכיבי C2, כדי להימנע משייכות פשוטה, כוונון ושיפור שלהם כדי שיתאימו לצרכים הייחודיים שלהם.

מעל 560,000 יחידות חדשות של תוכנה זדונית מזוהות מדי יום, והמספר של ערכות דיוג שמפורסמות בשווקי פשעי סייבר מחתרתיים, הוכפל בין השנים 2018 ל- 2019. בשנת 2020, מספר משתני התוכנה הזדונית שזוהו עלה ב- 74%.14 RiskIQ מזהה עכשיו שרת C2 של Cobalt Strike כל 49 דקות.

באופן מסורתי, אסטרטגיית האבטחה של רוב הארגונים כללה גישה של הגנה מעמיקה החל מההיקף והשכבות, חזרה לנכסים שזקוקים להגנה. עם זאת, ישנם ניתוקים בין סוג זה של אסטרטגיה לבין שטח התקיפה, כפי שמוצג בדוח זה. בעולם המעורבות הדיגיטלית של ימינו, משתמשים יושבים מחוץ להיקף - בדומה למספר גדל של נכסים דיגיטליים ארגונים חשובים ורבים מהגורמים הזדוניים. החלת עקרונות ’אפס אמון’ ברחבי משאבים ארגוניים יכולה לעזור לאבטח את כוח העבודה של ימינו - מגינה על אנשים, מכשירים, אפליקציות ונתונים, לא משנה היכן הם ממוקמים או מהו קנה מידה של איומים שאיתם יש להתמודד. האבטחה של Microsoft מציעה סדרה של כלי הערכה ייעודיים כדי לעזור לך להעריך את שלב הבשלות של ’אפס אמון’ של הארגון שלך.

מאמרים קשורים

דקה בנושא איום סייבר

במהלך מתקפות סייבר, כל שניה חשובה. כדי להמחיש את קנה המידה וההיקף של פשעי סייבר ברחבי העולם, דחסנו מחקר שווה ערך לשנה בנושא אבטחת סייבר לתוך חלון של 60 שניות.
למידע נוסף

תוכנת כופר כשירות

המודל העסקי החדש ביותר של פשע סייבר, מתקפות שמופעלות על-ידי בני אדם, פשעים מעודדים של יכולת אימות.
למידע נוסף

IoT צומח והסיכון ל- OT

המחזור הגדל של IoT מסכן את ה- OT, עם מערך של פגיעויות פוטנציאליות וחשיפה לגורמי איום. גלה כיצד לשמור על הארגון שלך מוגן.
למידע נוסף