אנחנו רגילים לשמוע איך היקף הרשת המסורתי מת. שההופעה של אפליקציות ענן, עבודה בבית ומכשירים ניידים בכל מקום יצרה סביבת IT ארגונית זורמת יותר מבוזרת. זה יכול להיות נכון עד נקודה מסוימת. אבל גם אם עובדים ניגשים לאפליקציות SaaS ארגוניות, בדרך כלל עדיין תהיה קיימת רשת ארגונית מסוגים. ואפליקציות או מכשירים שיושבים בקצה שלו.
האתגר של צוותי אבטחת IT הוא שמוצרים אלה מותקפים יותר ויותר מצד גורמי איומים. המצב כל כך גרוע שהמרכז הלאומי לאבטחת סייבר (NCSC) הנחיות שפורסמו לאחרונה כיצד להפחית סיכונים אלו. מגיני רשת צריכים לשים לב.
מאז ועד עכשיו
כפי שמסביר ה-NCSC, המיקוד הנוכחי של מוצרים היקפיים הוא סוג של חזרה לימים הראשונים של האינטרנט, כאשר שחקני איומים ניצלו אבטחה היקפית לקויה כדי לנצל נקודות תורפה ולחטוף חשבונות. זה נתן להם דריסת רגל לרשתות שהיו להן ניטור מוגבל - מה שאפשר לתוקפים לשהות במשך תקופות ממושכות שלא נראו.
עם זאת, בסופו של דבר מגיני הרשת השיגו את הקצב והפכו את השירותים הללו לקשים יותר לפשרה. לאחר מכן, שחקני איומים הפנו את תשומת לבם לתוכנות לקוח ודפדפנים לא מאובטחים ולמיילים דיוגים.
כעת המטוטלת שוב מתנדנדת. תוכנת לקוח מתוכננת יותר ויותר מתוך מחשבה על אבטחה (חשוב: ארגזי חול, שכתובים שלמים ושפות בטוחות בזיכרון) ופקודות מאקרו של Office חסומות כברירת מחדל. לפי ה-NCSC, הדבר מאלץ את שחקני האיומים להפנות את תשומת לבם בחזרה למוצרים היקפיים.
מדוע התקפות היקפיות עושות חזרה
"כיוון שהם יודעים שהם פחות יוכלו להסתמך על סיסמאות גרועות או תצורות שגויות, הם מסתכלים יותר ויותר על מוצרים בהיקף הרשת (כגון יישומי העברת קבצים, חומות אש ו-VPN), ומוצאים פגיעויות חדשות של יום אפס במוצרים אלה, ונכנס ישירות פנימה", מזהיר ה-NCSC. "ברגע שנודע על פגיעות, תוקפים אחרים מצטרפים וכתוצאה מכך ניצול המוני."
מציאת ימי האפס הללו אינה קשה כפי שהיא עשויה להיראות - מכיוון שקוד במוצרים כאלה בדרך כלל פחות מאובטח מתוכנת לקוח, אומרת הסוכנות. הצעות מבוססות היקפי אלו סובלות גם מהיעדר רישום יעיל, בניגוד למכשירי לקוח אשר מריצים כיום יותר ויותר כלי זיהוי ותגובה "מתקדמים". כל זה הופך אותם למטרה המושלמת עבור שחקני איומים המעוניינים להשיג דריסת רגל ברשתות ארגוניות עבור גניבת נתונים, סחיטה ועוד.
סיפור אזהרה: איבנטי
האזהרות של ה-NCSC מגיעות בתוך שלל התקפות נגד מוצרים היקפיים. בין הבולטים ביותר היו שורה של ניצול של יום אפס המכוונים למוצר Connect Secure VPN של Ivanti ופתרון בקרת הגישה לרשת (NAC) של Policy Secure. CVE-2023-46805 ו-CVE-2024-21887 נחשפו על ידי הספק בינואר, למרות שמאמינים ששחקן איומים סיני ניצל אותם במשך יותר מחודש כדי להציב קונכיות רשת על שרתי האינטרנט הפנימיים והחיצוניים של ארגוני הקורבנות.
שבועות לאחר מכן, זה הגיח שהאקרים מנצלים עוד יום אפס (CVE-2024-21893) על מנת לעקוף הקלה ראשונית שפרסמה איבנטי כדי להתמודד עם שני באגים מקוריים של יום אפס. האיום הפוטנציאלי על ארגונים כה חריף שסוכנויות הביון Five Eyes פרסמו א ייעוץ אבטחה ארוך בסוף פברואר.
"הפגיעויות משפיעות על כל הגרסאות הנתמכות (9.x ו-22.x) וניתן להשתמש בהן בשרשרת של ניצולים כדי לאפשר לשחקני איומי סייבר זדוניים לעקוף אימות, ליצור בקשות זדוניות ולבצע פקודות שרירותיות עם הרשאות גבוהות", הוא מציין .
חיזוק הגנות היקפיות
השאלה של CISOs היא איך להפחית איומים כאלה. בטווח הארוך, ה-NCSC דוגל בדחיפה של ספקים לבנות מוצרים מאובטחים יותר, ולהימנע מאלה שאינם יכולים להוכיח תוכנה מאובטחת לפי עיצוב. אבל זה לא ימנע את האיומים של היום. הצעות אחרות שלה עשויות להיות ניתנות לפעולה יותר:
1) שקול גרסאות מתארחות בענן ולא מקומיות של מוצרים היקפיים אלה. למרות שאלו עדיין לא בטוחים בתכנון, הם יתוקנו מהר יותר ויש לפקח עליהם באופן קבוע על ידי הספק. בנוסף, אם יקרה הגרוע מכל והם ייפגעו, לפחות זה לא ייתן לתוקפים דריסת רגל לרשת הארגונית. במקרה הטוב, גורמי האיום עשויים אפילו להשאיר את הנתונים הארגוניים שלך לבד.
2) אם העברה לגרסת ענן אינה אפשרית, כבה או חסום ברמת חומת האש כל "ממשקים, פורטלים או שירותים של תוכנה הפונה לאינטרנט" שאינם בשימוש. ימי האפס במוצרי Ivanti השפיעו על סוג זה של שירות נוסף (במקרה זה, "רכיבי האינטרנט" שלהם)
3) ודא שכל מוצר היקפי בתוך הבית מפותח עם אבטחה בחזית ובמרכז - עם אירוח בענן ואפשרויות ללא שרת שכדאי לשקול כדי להגביל כל נפילה פוטנציאלית אם הם יותקפו
ריצ'רד ורנר, יועץ אבטחת סייבר בטרנד מיקרו, טוען שבחירה באפליקציות מתארחות בענן (SaaS) כברירת מחדל אינה תרופת פלא.
"גישות SaaS הופכות למטרות אטרקטיביות עבור פושעים שמטרתן להשפיע על מטרות מרובות במתקפה אחת, דוגמת 2021 תקרית קאסיה," הוא אומר ל-ISMS.online. "בעוד ש-SaaS יכול להפחית סיכוני סייבר ידועים ביעילות, אין לראות בו את הפתרון האולטימטיבי לבעיית הליבה."
הוא מוסיף כי מניעת ניצול פגיעות תישאר כנראה מאתגרת ביותר - ודורש גישה הגנתית רב-שכבתית.
"הקפדה על שיטות אבטחה מומלצות היא חיונית, אבל אפילו בתרחישים אידיאליים, הימנעות מוחלטת מסיכונים אינה ניתנת להשגה", טוען ורנר. לפיכך, חברות חייבות להשלים את אמצעי האבטחה שלהן עם טכנולוגיות כמו זיהוי ותגובה מורחבת (XDR), המחייבות חוקים מודרניים כמו 2 שקל".
בסופו של דבר, אם ההיקף יהפוך עם הזמן לקשה יותר עבור גורמי איומים לכוון, הם יעברו לחלק אחר של משטח ההתקפה שמוגן פחות טוב.
"זה חיוני להבין את האופי המחזורי של דיוני אבטחה, שבהם התוקפים מנצלים נקודות תורפה, והמגנים שואפים לסכל אותן. מנגנוני ההגנה הללו מניעים את התוקפים לחפש נקודות כניסה חדשות או להגביר את המאמצים שלהם", מסכם ורנר.
"יעילות בהגנה נמדדת על ידי כך שיקרה מדי לתוקפים למצוא נתיב מוצלח. עם זאת, מדידת ההצלחה נותרה מאתגרת עבור מגנים בגלל יעדי תוקף משתנים".
ככל שהמטרות הללו ממשיכות להשתנות, מגיני הרשת וקהילת הספקים חייבים להסתגל. האתגר הוא שעד עכשיו, הזריזות בצד התוקף עלתה בהרבה על מהירות התגובה.
