סקירה של חצי שנה: אתגרי האבטחה והתאימות העיקריים של 2024 עד כה

מאת פיל מונקסטר • 2 יולי 2024

בחודש אפריל, הממשלה אמרה לנו כי מחצית מהעסקים בבריטניה סבלו מהפרה במהלך 12 החודשים הקודמים, ועלתה לרמה גבוהה אף יותר עבור חברות בינוניות (70%) וגדולות (74%). הוא מצא כי היגיינת סייבר בסיסית, ניהול סיכונים ושרשרת אספקה ותגובה לאירועים עדיין חסרים בחלק גדול מדאיג של ארגונים אלה.

אבל מה עם ששת החודשים האחרונים? אנחנו רק באמצע השנה, אבל כבר הופיעו כמה נושאים משמעותיים שכנראה ישלטו בנרטיב האבטחה והתאימות של 2024. חמשת המובילים שלנו הם:

ה-NVD נמצא במשבר

ניצול הפגיעות חזר לאופנה. מנדיאנט טענות 38% מהפריצות בשנת 2023 התחילו כך, עלייה שנתית של שישה אחוזים. אלו חדשות רעות עבור מגיני הרשת מכיוון שללא ספק, המקור החשוב ביותר בעולם למידע על פגיעות – מסד הנתונים הלאומי לפגיעות של NIST (NVD) – היה משותק למעשה במשך מספר חודשים. כמאגר סטנדרטי של נתוני CVE מועשרים, הוא הפך למרכיב חיוני בתהליכים האוטומטיים של תיקונים ופגיעות של חברות רבות, כמו גם כלי אבטחה. א האטה פתאומית פנימה העיבוד של CVEs מאז פברואר הותיר את צוותי האבטחה בחיפוש אחר מקורות מודיעין חלופיים.

ורייזון טוענת שזיהויים של ניצול פגיעות בתור וקטור גישה ראשוני לפרצות נתונים עלו ב-180% משנה לשנה (YoY) בשנת 2023. זה מהווה כעת 14% מכלל הפרצות - כלומר צוותי אבטחה צריכים לחשוב בדחיפות על מקורות נוספים של CVE מידע, כמו ה תוכנית CVE, לצד שיפור מודיעין איומים וטקטיקות אחרות.

תוכנת כופר עוברת מרע לגרוע

עוד בינואר, המרכז הלאומי לאבטחת סייבר (NCSC) הזהיר את זה תוכנת כופר "כמעט בוודאות תגדיל את הנפח וההשפעה של מתקפות סייבר בשנתיים הקרובות". הוא ייחד תוכנות כופר לתשומת לב מיוחדת, וטען כי בינה מלאכותית תספק "התרוממות רוח" לתוקפים בהנדסה חברתית ובסיור. במילים אחרות, טכנולוגיית בינה מלאכותית תוכנה לעבוד ביצירת תוכן דיוג משכנע ביותר שקשה לזהות, ולסרוק לאיתור נקודות תורפה ידועות בארגונים ממוקדים. ה מצב ISMS של דוח אבטחת מידע 2024 גילה כי 29% מהארגונים סבלו מהתקפת תוכנת כופר במהלך השנה האחרונה.

לא ברור אם כבר נעשה שימוש ב-AI בצורה זו. ובכל זאת, עד כה השנה, קבוצות תוכנות כופר היו במתקפה, למרות ניצחונות בודדים של רשויות אכיפת החוק בשיבוש LockBitומכריחים את BlackCat/ALPHV להתפרק. ארגוני הבריאות שוב נמצאים בקצה. ראשית, אלה היו ספקים בארה"ב שינוי בריאות ו התעלות- הראשון צפוי לרשום עלויות של יותר ממיליארד דולר ביחס למתקפה. NHS אנגליה נפגע קשה לאחר שזן תוכנת הכופר Qilin הוציא ספק. זה נאלץ בהתחלה ביטול של למעלה מ-800 ניתוחים מתוכננים ו-700 פגישות חוץ.

בהתחשב בכך ששחקני תוכנות כופר עדיין משיגים את מטרותיהם באמצעות וקטורי תקיפה פשוטים יחסית (פשרה RDP, פישינג, ניצול פגיעות), נראה שארגונים צריכים להמשיך להתמקד בהשגת היסודות הנכונים כדי להישאר בטוחים.

מכשירי אדג' גוזלים מכות

נראה שהקצה הוא הגבול החדש במתקפות סייבר בחסות המדינה. ה-NCSC היה אחד הראשונים לאותת אזהרה השנה, בטענה זאת גורמי איומים מגדילים את המיקוד שלהם למוצרים מבוססי היקפית (כמו יישומי העברת קבצים, חומות אש, VPNs ומאזני עומסים) לאחר שיפורים בעיצוב תוכנת הלקוח. הם יעד מושלם, מכיוון שסביר שקוד יהיה מאובטח בעיצובו מאשר תוכנת לקוח, מה שהופך את ניצול הבאגים לקל יותר, ויש חוסר ברישום יעיל במכשירי קצה, טען ה-NCSC.

ראינו צונאמי של התקפות כופר וריגול סייבר במהלך ששת החודשים האחרונים כתוצאה מכך, כולל ניצול המוני של איבנטי Connect Secure ו-Policy Secure שערים, מכשירי FortiGate, ומורשת מכשיר F5 BIG-IP. דו"ח אחרון של Action1 גילה א שיא שיעור ניצול עבור מאזני עומסים בשנים 2021-23, בעוד ספק אחר נתבע מספר ה-CVEs המקושרים לשירותי קצה ותשתיות עלה ב-22% בין 2023 ל-YTD 2024.

ה-NCSC קורא לארגונים לעבור ממוצרים היקפיים המתארחים בענן ולהשתמש בחומות אש כדי לחסום כל "ממשק, פורטלים או שירותים של תוכנה הפונה לאינטרנט" שאינם בשימוש.

קוד פתוח סיכוני שלג

הסיכונים בשימוש בתוכנת קוד פתוח מובנים כבר זמן מה. שחקני איומים מסתירים יותר ויותר תוכנות זדוניות ברכיבים של צד שלישי ומניחים אותה במאגרים רשמיים בתקווה שמפתח דל בזמן יוריד אותם. עם זאת, באפריל, אפילו יותר איום ערמומי נחשף לאחר גילוי מקרי: מאמץ מתוחכם בן שנים לחדור ולהשתיל תוכנות זדוניות בדלת אחורית ברכיב קוד פתוח פופולרי המכונה xz Utils. הקבוצה שמאחורי התוכנית עשתה מאמצים רבים כדי להסתיר את הפעילות הזדונית שלה תוך הנדסה חברתית של המתחזק המקורי, לאסה קולין, להעלות את אישיות המפתחים שלהם כתורם 'מהימן'.

החדשות הרעות עבור צוותי אבטחה הן מאמצי העתקה מרובים התגלו מאז, שעלול לרמוז על משבר הולך וגובר עבור קוד פתוח. כ-79% מהמשיבים של ISMS.online דיבר לומר העסק שלהם הושפע בשנה האחרונה מתקרית אבטחה שנגרמה על ידי ספק צד שלישי או שותף לשרשרת האספקה. בהמשך, יהיה צורך בבדיקה מעמיקה של שרשראות אספקת תוכנה, לרבות רשימות חומרים (SBOM), סריקת פגיעות רגילה ומדיניות ממשל קפדנית יותר.

אתגרי הציות מתרבים

אם לצטט בטעות את בנג'מין פרנקלין, שום דבר בעולם הזה אינו בטוח מלבד מוות, מסים ומנדטים חדשים לציות. כך הוכיחה 2024, עם השקת ה- חוק AI של האיחוד האירופי, חוק אבטחת IoT חדש בבריטניה, הצעות לבריטניה החדשה כללי אבטחת מרכז הנתונים, תוכנית הסמכה לאבטחת סייבר של האיחוד האירופי, ועוד חוץ מזה. ארגונים ראו גם את תאריך היעד האחרון לעמידה בעבור PCI DSS 4.0 במרץ וכרגע עסוקים בהכנות ל-2 שקלים.

רבים נאבקים בעומס העבודה. טוען מחקר של ISACA שתוכניות פרטיות, בפרט, אינן ממומנות בחסר ומאוייש חסר. גם כלים ותהליכים מדור קודם לא עוזרים.

עמידה בשיטות העבודה המומלצות בתעשייה יכולה לבנות בסיס חזק לאספקת תוכניות תאימות לרגולציה בתחומים כמו אבטחת מידע (ISO 27001) ובינה מלאכותית (ISO 42001). אבל בעוד ש-ISMS.online מגלה ש-59% מהארגונים מתכננים להגדיל את ההוצאות על תוכניות כאלה בשנה הקרובה, כמעט מחצית (46%) אומרים שלוקח 6-12 חודשים לעמוד בתקן ISO 27001. 11% נוספים טוענים שזה לוקח 12 -18 חודשים. עם הסט הנכון של כלים אינטואיטיביים ומוגדרים מראש, זה לא אמור להיות כל כך קשה.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.