דפוסים חדשים במתקפות סייבר מתקדמות

דוח חדש של סייבר ארק מנתח אירועים מניסיונם האישי של 6 צוותי מחקר סייבר מהידועים בעולם. בין הממצאים: ניצול לרעה של חשבונות פריבילגיים הוא "חתימה" החוזרת על עצמה במתקפות ממוקדות
סייבר ארק מפרסמת דוח חדש המזהה את הפריצה ואת הניצול לרעה של חשבונות פריבילגיים (בעלי הרשאות גבוהות) כמכנה משותף מרכזי במתקפות סייבר מתקדמות וממוקדות מטרה. הדוח נעשה בשיתוף עם צוותי מעבדות מחקר של שש חברות מהידועות בעולם, ומצביע על מגמה ברורה: ניצול לרעה של חשבונות פריבילגיים הוא מכנה משותף החוזר על עצמו במתקפות סייבר ממוקדות.

החברות שהשתתפו במחקר הן:
Cisco Talos קבוצת המחקר ומודיעין אבטחת מידע
Deloitte– ייעוץ למגזר הפיננסי – צוות מעבדות סייבר
Deloitte & Touche LLP– סיכוני סייבר
Mandiant– מקבוצת FireEye
RSA– חטיבת האבטחה של EMC
Verizon– צוות RISK

בכל חברה נותחו הארועים ממקור ראשון, על בסיס התנסותם של מומחים חוקרי האיומים בתיקון נזקים ממתקפות שהינן בין ההרסניות ביותר.

"הקואליציה הזו כוללת כמה מחוקרי אבטחת המידע המומחים והמנוסים ביותר בעולם. ניתוח והבנה של המאפיינים המשותפים שהם מגלים במהלך חקירותיהם מספקים תובנות משמעותיות של דפוסי תקיפה במתקפות ממוקדות", אומר אודי מוקדי, מנכ"ל סייבר ארק. "המחקר גילה שהניצול לרעה של חשבונות פריבילגיים חוזר על עצמו כמעט בכל מתקפה ממוקדת, וזוהי הסיבה המרכזית לכך, שקשה מאוד לגלות מתקפות כאלה ולעצור אותן. החשבונות האלה מעצימים את כוחם של התוקפים ומאפשרים להם גישה לרשתות ומאגרי נתונים מאובטחים, כמו גם את היכולת להשמיד ראיות לפריצה, למנוע גילוי מוקדם ולהקים דלתות אחוריות כך שכמעט בלתי אפשרי לנטרל את נוכחות התוקפים ברשתות.אבטחת חשבונות פריבילגיים מייצגת את קו ההגנה החדש במערכת הסייבר שמנהלות חברות כיום".

חשבונות פריבילגיים שכוללים הרשאות IT אדמיניסטרטיביות, סיסמאות ברירת מחדל וסיסמאות שקשה לשנותן, דלתות אחוריות של אפליקציות ועוד, מספקים לתוקפים 'גישה חופשית' ומאפשרים להם להגיע לאן שירצו, ולשוטט ברשת הארגונית ללא מעצורים. חשבונות אלה הם גם קריטיים עבור תוקפים במאמציהם להסתיר את עקבותיהם ולמשוך נתונים. ברגע שתוקפים מצליחים להשיג גישה פריבילגית למערכות ואפליקציות קריטיות בארגון, קשה עשרת מונים לזהות אותם ולעצור את המתקפה, וכמובן שגובר הסיכון לאיבוד נתונים ונזק לארגון.

בין הממצאים המרכזיים בדוח:
כל תעשיה, כל חברה, היא מטרה: תוקפי סייבר הרחיבו את יעדיהם, וכיום מאיימים על חברות בכל גודל שהוא, ובכל התעשיות. פעמים רבות זהו האמצעי להגיע למטרה: תוקפים מכוונים לעיתים קרובות לחברות קטנות יותר ופחות מאובטחות בייחוד אם הן חלק משרשרת האספקה של הארגונים הגדולים יותר. חוקרי איומים עקבו אחרי מהלך מתקפות על יעדים שאינם מסורתיים כמו: חברות הובלה, וסוגים שונים של חברות שירותים מקצועיים, החל מחברות לייעוץ ניהולי ובקרה, ועד לעורכי דין. זאת, לעיתים תכופות, כצעד מרכזי במתקפה על שותף עסקי של אותם ספקי שירותים.

הגנה היקפית היא בעלת תועלת נמוכה: תוקפים תמיד מצליחים לחדור את מערך האבטחה ההיקפי, כאשר נקודת הכניסה השכיחה ביותר היא עובדי החברה. מתקפות פישינג הן הדרך הנפוצה ביותר לחדור לארגון והן הולכות והופכות למתוחכמות יותר, כך שגישת העובדים (הלוג-אין שלהם) הופכת לנקודת כניסה נוחה הרבה יותר להסתננות לארגון, מאשר דרך רשת או תוכנה.

תוקפים מסתתרים ברשת הארגונית במשך חודשים או שנים: רוב המתקפות התנהלו למשך זמן של 200 ימים או יותר לפני גילוי ראשוני. מתקפות על גופים פיננסים ניתן לגלות תוך זמן קצר יותר– בד"כ פחות מ-30 יום. תוקפים יכולים להסתיר את עקבותיהם תוך שימוש בחשבונות פריבילגיים כדי למחוק את נתוני הכניסה לרשת המחשוב וראיות אחרות.

תוקפים שואפים להגיע לגישה פריבילגית: חשבונות פריבילגיים מנוצלים לרעה בכמעט כל מתקפת סייבר ממוקדת. חוקרי האיומים שהשתתפו במחקר טוענים שבין 80-100% מסך תקריות האבטחה החמורות שהם חקרו כללו את ה"חתימה" של חשבונות פריבילגיים שנפרצו ונוצלו במהלך המתקפה.

אין מספיק מודעות לסכנות האיום על חשבונות פריבילגיים: נקודות הפגיעות באבטחה והסיכונים הטמונים בחשבונות פריבילגיים גדולים לאין שיעור ממה שרוב החברות הפנימו. ארגונים לא מעריכים נכונה את כמות החשבונות הפריבילגיים שיש אצלם, או באיזה מערכות הם יושבים, ואינם מגנים עליהם בצורה מספקת. המחקר של סייבר ארק מצביע על כך שלארגונים כיום יש פי 3 או 4 חשבונות פריבילגיים ממספר העובדים בארגון.

ניצול חשבונות פריבילגיים על ידי תוקפים הופך למתוחכם יותר בצורה משמעותית: חוקרי אבטחה מדווחים על טווח רחב של ניצול לרעה של חשבונות פריבילגיים, החל בניצול חוזר של חשבונות שירות, דרך מכשירים המשולבים ב"אינטרנט של הדברים" ועד להקמת זהויות רבות ב-אקטיב דירקטורי ((Active Directory של מיקרוסופט, כדי לוודא הרבה נקודות גישה ודלתות אחוריות.

להלן לינק לעותק של הדוח המלא ואינפוגרפיקה:
http://www.cyberark.com/threat-report and http://www.cyberark.com/blog/cyber-threat-investigators-identify-signature-dangerous-cyber-attacks