טרנדים בתעשייה באים והולכים. אבל אחד המרכיבים העיקריים של נוף אבטחת הסייבר ב-17 השנים האחרונות היה דוח החקירות של Verizon Data Breach Investigations (DBIR). זה ניתוח קפדני של פרצות ותקריות נתונים בעולם האמיתי על ידי Verizon ושותפות, אשר מספק את אחת התמונות הטובות והמפורטות ביותר של נוף האיומים הנוכחי. Verizon לבדה טוענת לעבד 34 טריליון יומנים בכל שנה.
אז מה הסיפור לשנת 2023? זה מרגיע ומקצת מדכא לראות שלמרות החששות מהתפקיד של AI בפשעי סייבר - החשודים הרגילים של ניצול פגיעות, סיכון שרשרת אספקה וטעות אנוש הם שממשיכים להציק לחברות. מדכא, כי ארגונים עדיין לא התמודדו עם התמודדות עם אתגרים אלו, אבל מרגיע כי מסגרות וסטנדרטים של שיטות עבודה מומלצות מציעות מסלול מוכן להפחתת סיכונים כאלה.
דוח חדש, אותן הפרות ישנות
השנה, הדוח מבוסס על ניתוח של 30,458 אירועי אבטחה ו-10,626 הפרות מאושרות - כפול ממספרם של לפני שנה. זה לא אינדיקציה לכך שהיו יותר הפרות כשלעצמן; פשוט שהדוח מכיל יותר נתונים ולכן סביר להניח שהוא ייצוג מדויק יותר של מה שבאמת קורה שם בחוץ. אז מה זה מגלה? שלושה נושאים הקשורים זה לזה בולטים:
1) הפגיעות גדלות
ה-DBIR מציין עלייה של 180% בניצול הפגיעות כגורם שורש לפרצות נתונים. כעת הם מהווים 14% מכלל ההפרות, לפי Verizon. העלייה נבעה בעיקר מהניצול ההולך וגובר של באגים של יום אפס על ידי שחקני תוכנת כופר: תחשוב MOVEit. הקמפיין הזה בשנה שעברה הוביל ל פשרה של כמעט 3,000 ארגונים ו-95 מיליון לקוחות במורד הזרם - רבים מהם היו במגזרי החינוך, הפיננסים והביטוח.
זה נכון מצד אחד שלמנהלי מערכת יש משימה חסרת תודה. מספר שיא של CVEs פורסם במסד הנתונים הלאומי לפגיעות (NVD) עבור שבע השנים האחרונות. בשנת 2023 היא מנתה למעלה מ-29,000 נקודות תורפה. ושחקני איומים ממקדים את הפגיעויות הללו במהירות גוברת. רבע מנוצלים ביום פרסומם. עם זאת, מגיני הרשת חייבים להשתפר. Verizon מוצאת שלוקח כ-55 ימים לתקן 50% מהחולשות הקריטיות הרשומות בקטלוג ה-Cybersecurity Infrastructure and Security Agency (CISA) Known Exploited Vulnerabilities (KEV), ברגע שתיקונים זמינים. הזמן החציוני לניצול המוני של באגים אלו הוא חמישה ימים.
ברור שארגונים עדיין לא מריצים תוכניות ניהול אוטומטיות מבוססות סיכונים, מה שיעזור להם לתעדף עדכונים ולשפר את העמידות של מערכות קריטיות. באגים של יום אפס, לעומת זאת, קשה יותר לחסום באופן מוחלט. אבל ניתן להגדיר אמצעים כדי לצמצם את השפעתם, כולל פילוח רשת וזיהוי ותגובה מתמשכים.
2) צדדים שלישיים הם וקטור התקפה עיקרי
חלק מהסיבה לכך שניצול הפגיעות גואה בתור וקטור גישה ראשוני היא בגלל מוצרי באגי. זה מביא אותנו לנושא השני: סיכון המעורב צדדים שלישיים. כאן Verizon סופרת שותפים עסקיים (כגון משרדי עורכי דין או חברות ניקיון), מעבדי נתונים או אפוטרופוסים של צד שלישי כמו ספקי שירותים מנוהלים וספקי תוכנה (כולל קוד פתוח). הוא מוצא עלייה של 68% בהפרות המעורבות צדדים שלישיים כמו זה, כך שהן מהוות כעת 15% מהסך הכל - מונעים בעיקר על ידי סחטנים המשתמשים בניצול של יום אפס בהתקפות.
"אנו ממליצים לארגונים להתחיל לבחון דרכים לבצע בחירות טובות יותר כדי לא לתגמל את החוליות החלשות בשרשרת", נטען בדו"ח. "בתקופה שבה חשיפת הפרות הופכת להיות חובה, אולי סוף סוף יהיו לנו הכלים והמידע לעזור למדוד את יעילות האבטחה של השותפים הפוטנציאליים שלנו."
ממצאים אלו מהדהדים במחקר חדש מ-ISMS.online, The State of Information Security Report 2024. הוא מגלה כי הרוב המכריע (79%) של אנשי אבטחת מידע מודים שסיכון האספקה תורגם לבסוף לאירוע אבטחה מהותי אחד במהלך 12 החודשים האחרונים.
3) בני אדם נשארים גורם סיכון עליון
אולי הממצא הכי לא מפתיע השנה הוא שעובדים הם ללא ספק הגורם הגדול ביותר לפרצות מידע - בין אם באופן ישיר או עקיף. רוב ההפרות (68%) שנותחו כוללות "אלמנט אנושי לא זדוני", כלומר מישהו עשה שגיאה או נפל קורבן למתקפה של הנדסה חברתית. נתון זה כמעט ללא שינוי לעומת השנה הקודמת. הנדסה חברתית פירושה התחזות או, סביר יותר, תירוצים - המקושרים ל-BEC (compromitting email business). זה האחרון מהווה כעת כרבע מהאירועים על רקע פיננסי, ללא שינוי לעומת שנה שעברה.
הנדסה חברתית תורמת גם לממצא בולט מ-EMEA: שמחצית (49%) מכל ההפרות נובעות כעת מתוך ארגונים, ולא מגורמים חיצוניים. הנדסה חברתית עומדת גם מאחורי המשך הדירוג מספר אחת של "אישורים" כסוג פעולה ראשוני בהפרות (24%). אישורים נפגעים במחצית (50%) מהתקפות ההנדסה החברתית. ולמרות שהם נגנבים לפעמים דרך צדדים שלישיים שלא באשמת הפרט, בהזדמנויות אחרות מנוצלים אישורים חלשים על ידי תוקפים בכוח גס בפרצות. זה מצלצל שוב עם דוח ISMS.online, שמגלה כי שליש (32%) מהנשאלים חוו התקפות הנדסה חברתית במהלך 12 החודשים האחרונים. כ-28% מציינים איומים פנימיים.
יש סיבה קטנה לאופטימיות שמודעות המשתמשים משתפרת - בכך שנראה שהמשתמשים משתפרים בדיווח על דיוג. Verizon מגלה ש-20% מהמשתמשים מזהים ומדווחים על דיוג בהתעסקויות סימולציות, ו-11% מאלה שלוחצים גם מדווחים. עם זאת, העובדה שהנתון של 68% עבור טעויות אנוש לא זדוניות לא השתנה במשך שנה מראה שיש עדיין הרבה עבודה לעשות.
זמן לפעולה
קסיוס אדיסון, ראש השירותים המקצועיים באבטחת דלתות סגורות, מזהיר כי זמן הזיהוי החציוני של חמישה ימים עבור פגיעויות מנוצלות נרחב עדיין ארוך מדי.
"זמן זיהוי חציוני של חמישה ימים אכן מהווה סיכונים משמעותיים, שעלול לספק לשחקנים זדוניים מספיק זמן לנצל נקודות תורפה", הוא אומר ל-ISMS.online. "למרות שהפתרונות לשיפור מהירות הזיהוי, כגון מודיעין איומים משופר וניטור בזמן אמת, יגבו עלויות, עריכת הערכת סיכונים יסודית יכולה לעזור לתעדף השקעות אלו ביעילות."
Barrier Networks המנהל את CISO, ג'ורדן שרדר, מוסיף כי 55 ימים לתיקון הם גם איטיים מדי עבור ארגונים רציניים בנוגע להכלת סיכון סייבר.
"מערכות שהן חלק מהסט שמנוצלות בצורה מאסיבית צריכות להתעדכן בהקדם האפשרי", הוא אומר ל-ISMS.online. "מערכת OT/ICS שאין לה גישה לאינטרנט נמצאת בסיכון נמוך יותר לניצול. לכן, צריך לבצע הערכה מבוססת סיכונים של מה צריך לעדכן, וכמה מהר צריך לבצע את זה".
שרדר גם תומך בשימוש בתקנים ובמסגרות של שיטות עבודה מומלצות, כל עוד CISO מקבלים שהם לא תרופת פלא.
"הם מספקים בסיס חשוב מאוד לכל ארגון לבנות תוכנית אבטחה שעובדת עבורם, ולהבטיח שגורמים חשובים ייחשבו", הוא טוען. "אני תמיד מתחיל לעצב או לשפר אסטרטגיה או תוכנית אבטחה עם מסגרות קיימות. לא תמיד יש לי אסטרטגיה או תוכנית שתואמות בצורה מושלמת את המסגרות האלה. אבל עד סוף התהליך, הארגון ישקול בקפידה כל נקודה ויצר משהו שהסביר הכל".
שילוב של סטנדרטים עשוי לעזור למלא את כל הפערים הקיימים בהצעות בודדות, הוא אומר.
"ארגון יכול לשפר באופן דרמטי את יכולתו לצמצם את הבעיות הנפוצות המודגשות בדו"ח זה על ידי הישענות מושכלת ומושכלת על שילוב של מסגרות וסטנדרטים שמתאימים היטב לארגון, ועוד יותר מעודנת ליצירת סטנדרט רב עוצמה הכי מתאים לארגון", מסכם שרדר.
