פגיעויות ביום אפס: כיצד ניתן להתכונן לבלתי צפוי?

מאת דן רייווד • 21 ינואר 2025

אזהרות מסוכנויות אבטחת סייבר גלובליות הראו כיצד פגיעויות מנוצלות לעתים קרובות כימים אפסיים. מול מתקפה בלתי צפויה שכזו, איך אתה יכול להיות בטוח שקיבלת רמת הגנה מתאימה והאם מסגרות קיימות מספיקות?

הבנת איום יום האפס

עברו כמעט עשר שנים מאז הדובר וחוקר אבטחת הסייבר 'The Grugq' אמור, "תן לאדם אפס-יום, ותהיה לו גישה ליום; למד אדם להתחזות, ותהיה לו גישה לכל החיים."

הקו הזה הגיע בנקודת אמצע של עשור שהחל עם ה וירוס Stuxnet והשתמש בפגיעויות מרובות של יום אפס. זה הוביל לחשש מהחולשות הלא ידועות הללו, שתוקפים משתמשים בהן להתקפה חד פעמית על תשתית או תוכנה ואשר ההכנה אליהן הייתה כנראה בלתי אפשרית.

פגיעות של יום אפס היא כזו שבה אין תיקון זמין, ולעתים קרובות, ספק התוכנה אינו יודע על הפגם. עם זאת, לאחר השימוש, הפגם ידוע וניתן לתקן אותו, מה שנותן לתוקף הזדמנות יחידה לנצל אותו.

האבולוציה של התקפות אפס יום

ככל שהתחכום של ההתקפות הצטמצם בשנות ה-2010 המאוחרות יותר ותוכנות כופר, התקפות מילוי אישורים וניסיונות פישינג היו בשימוש תכוף יותר, זה עשוי להרגיש כאילו עידן יום האפס הסתיים.

עם זאת, זה לא הזמן לבטל את האפס-ימים. הסטטיסטיקה מראה כי 97 פגיעות של יום אפס נוצלו בטבע בשנת 2023, למעלה מ-50 אחוז יותר מאשר בשנת 2022. זו הייתה תקופה בשלה עבור סוכנויות אבטחת סייבר לאומיות להוציא אזהרה על ימי אפס מנוצלים.

בנובמבר, מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC) - לצד סוכנויות מאוסטרליה, קנדה, ניו זילנד וארצות הברית - שיתף רשימה מתוך 15 הפגיעויות המובילות שנוצלו באופן שגרתי בשנת 2023.

מדוע פגיעויות ביום אפס עדיין חשובות

בשנת 2023, רוב הפגיעות הללו נוצלו בתחילה כימים אפס, עלייה משמעותית משנת 2022, כאשר פחות ממחצית מהחולשות המובילות נוצלו מוקדם.

סטפן טנאזה, מומחה למודיעין סייבר ב-CSIS, אומר, "ימים אפס הם כבר לא רק כלי ריגול; הם מתדלקים פשעי סייבר בקנה מידה גדול". הוא מצטט את הניצול של אפס ימים ב פתרונות העברת קבצים של קליאו על ידי כנופיית תוכנות הכופר של קלופ כדי לפרוץ רשתות ארגוניות ולגנוב נתונים כאחת הדוגמאות האחרונות.

מה יכולים ארגונים לעשות כדי להגן מפני אפס ימים?

אז, אנחנו יודעים מה הבעיה, איך אנחנו פותרים אותה? הייעוץ של NCSC עודד מאוד את מגיני הרשתות הארגוניות לשמור על ערנות עם תהליכי ניהול הפגיעות שלהם, כולל החלת כל עדכוני האבטחה באופן מיידי והבטחה שהם זיהו את כל הנכסים בעיזבונותיהם.

Ollie Whitehouse, קצין הטכנולוגיה הראשי של NCSC, אמר שכדי להפחית את הסיכון לפשרה, ארגונים צריכים "להישאר בחזית" על ידי החלת תיקונים מיידית, התעקשות על מוצרים מאובטחים בעיצוב ושמירה על ערנות עם ניהול נקודות תורפה.

לכן, הגנה מפני מתקפה שבה נעשה שימוש ביום אפס דורשת מסגרת ממשל אמינה המשלבת את אותם גורמי הגנה. אם אתה בטוח בתנוחת ניהול הסיכונים שלך, האם אתה יכול להיות בטוח בשרוד התקף כזה?

תפקידו של ISO 27001 במאבק בסיכוני אפס יום

ISO 27001 מציע הזדמנות להבטיח את רמת האבטחה והחוסן שלך. נספח א' 12.6, 'ניהול נקודות תורפה טכניות', קובע כי יש לקבל מידע על נקודות תורפה טכנולוגיות של מערכות מידע המשמשות באופן מיידי כדי להעריך את חשיפת הסיכון של הארגון לפגיעויות כאלה. החברה צריכה גם לנקוט באמצעים כדי להפחית סיכון זה.

בעוד ש-ISO 27001 אינו יכול לחזות את השימוש בפגיעויות של יום אפס או למנוע התקפה באמצעותן, Tanase אומר שהגישה המקיפה שלה לניהול סיכונים ומוכנות אבטחה מכשירה ארגונים לעמוד טוב יותר באתגרים שמציבים איומים לא ידועים אלה.

כיצד ISO 27001 מסייע בבניית חוסן סייבר

ISO 27001 נותן לך את הבסיס בניהול סיכונים ותהליכי אבטחה שאמורים להכין אותך למתקפות הקשות ביותר. אנדרו רוז, לשעבר CISO ואנליסט וכיום קצין אבטחה ראשי של SoSafe, יישם את 27001 בשלושה ארגונים ואומר, "זה לא מבטיח שאתה בטוח, אבל זה מבטיח שיש לך את התהליכים הנכונים לגרום לך להיות בטוח."

כשקוראת לזה "מנוע שיפור מתמשך", רוז אומרת שהוא עובד בלולאה שבה אתה מחפש נקודות תורפה, אוסף מודיעין איומים, מכניס אותו למאגר סיכונים ומשתמש במאגר הסיכונים הזה כדי ליצור תוכנית לשיפור אבטחה. לאחר מכן, אתה לוקח את זה למנהלים ונוקט בפעולה כדי לתקן דברים או לקבל את הסיכונים.

הוא אומר, "זה מכניס את כל הממשל הטוב שאתה צריך כדי להיות בטוח או לקבל פיקוח, את כל הערכת הסיכונים וניתוח הסיכונים. כל הדברים האלה נמצאים במקומם, אז זה מודל מצוין לבנות."

ביצוע ההנחיות של ISO 27001 ועבודה עם מבקר כגון ISMS כדי להבטיח שהפערים יטופלו, והתהליכים שלך תקינים היא הדרך הטובה ביותר להבטיח שאתה מוכן בצורה הטובה ביותר.

מכינים את הארגון שלך למתקפת יום האפס הבאה

כריסטיאן טון, מייסד ואסטרטג אבטחה ראשי ב-Alvearium Associates, אמר ש-ISO 27001 הוא מסגרת לבניית מערכת ניהול האבטחה שלך, תוך שימוש בה כהנחיה.

"אתם יכולים ליישר קו עם הסטנדרט ולעשות ולבחור את הקטעים שאתם רוצים לעשות", אמר. "מדובר בהגדרה מה מתאים לעסק שלך במסגרת הסטנדרט הזה."

האם יש מרכיב של עמידה בתקן ISO 27001 שיכול לעזור להתמודד עם אפס ימים? טון אומר שזה משחק מזל כשמדובר בהגנה מול יום אפס מנוצל. עם זאת, שלב אחד צריך לכלול את הארגון מאחורי יוזמת הציות.

הוא אומר שאם לחברה מעולם לא היו בעיות סייבר גדולות בעבר ו"הבעיות הכי גדולות שהיו לך כנראה הן כמה השתלטות על חשבון", אז מתכוננים לפריט 'כרטיס גדול' - כמו תיקון יום אפס - יגרום לחברה להבין שהיא צריכה לעשות יותר.

טון אומר שזה מוביל חברות להשקיע יותר בציות ובחוסן, ומסגרות כמו ISO 27001 הן חלק מ"ארגונים שמסתכנים". הוא אומר, "הם די שמחים לראות את זה כדבר קצת של ציות ברמה נמוכה", וזה מביא להשקעה.

Tanase אמר שחלק מ-ISO 27001 מחייב ארגונים לבצע הערכות סיכונים סדירות, כולל זיהוי נקודות תורפה - אפילו אלו שאינן ידועות או מתעוררות - ויישום בקרות להפחתת החשיפה.

"התקן מחייב תגובה איתנה לאירועים ותוכניות המשכיות עסקית", אמר. "תהליכים אלו מבטיחים שאם מנוצלת פגיעות של יום אפס, הארגון יכול להגיב במהירות, להכיל את המתקפה ולמזער נזקים".

מסגרת ISO 27001 מורכבת מייעוץ כדי להבטיח שהחברה פועלת באופן יזום. הצעד הטוב ביותר שצריך לעשות הוא להיות מוכן להתמודד עם אירוע, להיות מודע לאיזו תוכנה פועלת והיכן, ולהיות בעל שליטה איתנה בניהול.

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.