אנטומיה של שטח תקיפה מודרני

עבור רוב הארגונים, הדוא"ל הוא חלק חיוני מהפעילות העסקית היומית. למרבה הצער, הדואר האלקטרוני ממשיך להיות וקטור איום מוביל. 35% ממקרי תוכנת כופר ב- 2022 כללו שימוש בדואר אלקטרוני.⁴ התוקפים מבצעים יותר מתקפות דוא"ל מתמיד – בשנת 2022 שיעור מתקיפות הדיוג עלה ב- 61% בהשוואה ל- 2021^.5

כיום התוקפים מרבים למנף משאבים לגיטימיים כדי לבצע מתקפות דיוג. זה מקשה עוד יותר על המשתמשים להבדיל בין מתקפות דוא"ל אמיתיות לזדוניות והסיכון לכך שאיום יצליח לחדור עולה. מתקפות דיוג הסכמה הן אחת הדוגמאות לטרנד הזה, כאשר גורמי איום מנצלים לרעה ספקי שירותי ענן לגיטימיים כדי לגרום במרמה למשתמשים להעניק הרשאות לגישה לנתונים חסויים.

ללא יכולת להתאים בין אותות דוא"ל למקרים נרחבים יותר כדי להציג את המתקפות באופן חזותי, יכול לעבור זמן רב עד לזיהוי של גורם איום שהצליח להיכנס באמצעות דואר אלקטרוני. ועד אז יכול להיות שיהיה מאוחר מדי כדי למנוע את הנזק. פרק הזמן החציוני הנדרש לתוקף לגשת לנתונים הפרטיים של ארגון הוא 72 דקות בלבד.⁶ זה יכול להביא לאבדות רציניות ברמת הארגון. חשיפה לסכנה של דואר אלקטרוני עסקי (BEC) עלתה כ- $2.4 מיליארד USD באבדות מותאמות בשנת 2021.⁷

כיום, בעולם המבוסס על ענן, לגישה מאובטחת יש חשיבות גדולה מתמיד. כתוצאה מכך, הבנה עמוקה של זהויות בארגון שלך – כולל הרשאות גישה לחשבונות משתמש, זהויות של עומסי עבודה והפגיעויות הפוטנציאליות שלהן – היא חיונית, בייחוד עם העלייה בתדירות וביצירתיות של המתקפות.

מספר המתקפות המבוססות על סיסמה עלה לכ- 921 מתקפות מדי שנייה ב- 2022, עלייה של 74% מ- 2021.⁸ גם ב- Microsoft ראינו שהיצירתיות של גורמי האיום משתפרת בעקיפת האימות הרב-גורמי (MFA), בשימוש בטכניקות כמו מתקפות דיוג מסוג 'אנשים בלתי רצויים בתווך' וניצול לרעה של אסימונים כדי לקבל גישה לנתונים של ארגונים. ערכות דיוג מקלות עוד יותר את גניבת פרטי הכניסה על גורמי האיום. היחידה של Microsoft לפשעי מחשב הבחינה בעלייה בתחכום של ערכות הדיוג בשנה שעברה, לצד רף נמוך מאוד לכניסה – אחד המוכרים מציע ערכות דיוג במחירים שמתחילים ב- USD$6 ביום.⁹

ניהול שטח תקיפה של זהות זה לא רק אבטחת חשבונות משתמשים – הוא כולל גישה לענן וכן זהויות של עומסי עבודה. פרטי כניסה שנפגעו יכולים להיות כלי רב-עוצמה בידי גורמי האיום לזריעת הרס בתשתית הענן של ארגון.

לנוכח המספר העצום של מכשירים בסביבה ההיברידית של היום, אבטחת נקודות הקצה הפכה למאתגרת יותר. מה שלא השתנה הוא העובדה שאבטחת נקודות קצה – בייחוד של מכשירים שאינם מנוהלים – היא חיונית למצב אבטחה כולל חזק, מכיוון שאפילו פגיעה אחת עלולה להעניק לגורמי האיום כניסה לארגונך.

מאז שארגונים אימצו את מדיניות BYOD ("הבא את המכשיר שלך"), מספר המכשירים הלא מנוהלים עלה. כתוצאה מכך, שטח התקיפה של נקודת הקצה גדול יותר וחשוף יותר כעת. בממוצע, יש 3,500 מכשירים מחוברים בארגון שאינם מוגנים באמצעות סוכן זיהוי ותגובה בנקודות קצה.¹¹

מכשירים שאינם מנוהלים (המהווים חלק מנוף ה- Shadow IT) מעניינים במיוחד את גורמי האיום מכיוון שלצוותי האבטחה אין את הראות הנדרשת כדי לאבטח אותם. ב- Microsoft גילינו שלמשתמשים יש סיכוי גדול ב- 71% לזיהום במכשיר שאינו מנוהל.¹² מכיוון שהם מתחברים לרשתות של החברה, המכשירים שאינם מנוהלים מהווים גם הזדמנות לתוקפים להוציא לפועל מתקפות נרחבות יותר על שרתים ותשתיות אחרות.

גם שרתים שאינם מנוהלים מהווים וקטורים פוטנציאליים למתקפות על נקודות קצה. ב- 2021, האבטחה של Microsoft זיהתה מתקפה שבה גורם איום ניצל שרת שלא בוצעו בו תיקונים, ניווט בספריות וגילה תיקיית סיסמאות שמעניקה גישה לפרטי כניסה לחשבונות.

אחד הווקטורים שמתעלמים ממנו לעתים הקרובות ביותר של מתקפה על נקודת קצה הוא IoT (האינטרנט של הדברים) – הכולל מיליארדי מכשירים, גדולים וקטנים כאחד. אבטחת ה- IoT מכסה מכשירים פיזיים שמתחברים לרשת ומחליפים איתה מידע כגון נתבים, מדפסות, מצלמות ומכשירים דומים. היא יכולה גם לכלול חיישנים ומכשירים תפעוליים (טכנולוגיה תפעולית או OT), כגון ציוד חכם בפסי ייצור בתעשייה.

עם העלייה במספר מכשירי IoT, כך גם עולה מספר הפגיעויות. IDC צופה שעד 2025, בסביבות של ארגונים וצרכנים יהיו 41 מיליארד מכשירי IoT.‏¹⁵ מכיוון שארגונים רבים מקשיחים את הנתבים והרשתות כדי להקשות על גורמי האיום לפרוץ אליהם, מכשירי ה- IoT הולכים ונעשים למטרה קלה ומושכת יותר. אנחנו רואים לעתים קרובות שגורמי האיום מנצלים לרעה פגיעויות כדי להפוך את מכשירי ה- IoT לנקודות Proxy – על-ידי שימוש במכשיר שפגע כנקודת אחיזה לכניסה לרשת. כאשר גורם איום מקבל גישה למכשיר IoT, הוא יכול לנטר את תעבורת הרשת לנכסים אחרים שאינם מוגנים, לנוע לרוחב כדי לחדור לחלקים אחרים בתשתית של המטרה או לבצע איסוף זדוני של מידע כדי לתכנן מתקפות בקנה מידה רחב על ציוד ומכשירים רגישים. באחד המחקרים, 35% מאנשי האבטחה דיווחו שבשנתיים האחרונות נעשה שימוש במכשיר IoT לביצוע מתקפה רחבה יותר על הארגון שלהם.¹⁶

לרוע המזל, ה- IoT מהווה לעתים קרובות 'קופסה שחורה' עבור הארגונים מבחינת ניראות, ולארגונים רבים חסרים אמצעי אבטחה ראויים של IoT. 60% מאנשי האבטחה ציינו את אבטחת IoT ו- OT כאחד ההיבטים הפחות מאובטחים של תשתית ה- IT וה- OT.¹⁷

כיום, שטח התקיפה החיצוני של ארגון כולל עננים מרובים, שרשראות אספקה דיגיטליות מורכבות ואקוסיסטמות מסיביות של צד שלישי. האינטרנט מהווה כיום חלק מהרשת, ולמרות גודלו הבלתי נתפס, צוותי האבטחה חייבים להגן על הנוכחות של הארגון ברחבי האינטרנט באותה מידה שבה הם מגנים על כל מה שנמצא מאחורי חומות האש שלהם. וככל שארגונים רבים יותר מאמצים את עקרונות אפס אמון, ההגנה על שטחי תקיפה פנימיים וחיצוניים כאחד הפכה לאתגר בקנה מידה של האינטרנט.

שטח התקיפה החיצוני הולך וגדל יחד עם האינטרנט, והוא מתרחב מדי יום. ב- Microsoft, אנחנו רואים ראיות להתרחבות זו בסוגים שונים של איומים, כגון מתקפות דיוג. בשנת 2021, יחידת פשעי המחשב של Microsoft הנחתה להסיר מעל 96,000 כתובות URL ייחודיות לדיוג ו- 7,700 ערכות דיוג, פעולה שהובילה לזיהוי וסגירה של מעל 2,200 חשבונות דוא"ל זדוניים המשמשים לאיסוף פרטי כניסה גנובים של לקוחות.²⁴

שטח התקיפה החיצוני נפרס הרבה מעבר לנכסים של הארגון עצמו. לעתים קרובות הוא כולל ספקים, שותפים, מכשירים אישיים לא מנוהלים של עובדים המחוברים לרשתות או לנכסים של החברה וארגונים שנרכשו לאחרונה. כתוצאה מכך חובה להיות מודעים לחשיפה ולחיבורים חיצוניים כדי למזער את האיומים הפוטנציאליים. דוח של מכון Ponemon משנת 2020 חשף ש- 53% מהארגונים חוו הפרת נתונים אחת לפחות שנגרמה על-ידי צד שלישי בשנתיים האחרונות, עם עלות תיקון ממוצעת של $7.5 מיליון USD.‏²⁵

עם ההתרחבות של התשתית העומדת מאחורי מתקפות הסייבר, חיוני יותר מתמיד לקבל ניראות של תשתית האיומים וליצור רשימה של הנכסים החשופים לאינטרנט. גילינו שארגונים מתקשים לעתים קרובות להבין את ההיקף של החשיפה החיצונית שלהם, וכתוצאה מכך מתקבלים 'שטחים מתים' משמעותיים. ל'שטחים מתים' אלה יכולות להיות השלכות הרסניות. בשנת 2021, ‏61% מהעסקים חוו מתקפת תוכנת כופר שהובילה לשיבוש חלקי לפחות של הפעילות העסקית.²⁶

ב- Microsoft אנחנו אומרים לעתים קרובות ללקוחות לראות את הארגון שלהם מבחוץ פנימה כאשר הם מעריכים את מצב האבטחה הכולל. מעבר ל- VAPT (הערכת פגיעות ובדיקת חדירה), חשוב לקבל ניראות מעמיקה על שטח התקיפה החיצוני כדי שתהיה אפשרות לזהות את הפגיעויות לרוחב הסביבה והאקוסיסטמה המורחבת שלך. אם הייתם תוקפים שמנסים להיכנס, במה הייתם יכולים להשתמש? הבנת הרוחב המלאה של שטחה התקיפה החיצוני של הארגון היא היסוד לאבטחתו.

כיצד Microsoft יכולה לעזור

נוף האיומים של ימינו משתנה ללא הפסקה, וארגונים זקוקים לאסטרטגיית אבטחה שיכולה לעמוד בקצב. המורכבות והחשיפה הארגוניות המוגברות, לצד כמות גדולה של איומים ורף נמוך לכניסה בכלכלת פשע הסייבר גורמים לצורך דחוף מתמיד לאבטח כל תפר בתוך שטחי התקיפה וביניהם.

צוותי האבטחה זקוקים לבינת איומים רבת עוצמה כדי להגן מפני הכמויות האדירות של האיומים שרק הולכים ומתפתחים. בינת האיומים הנכונה מתאמת בין אותות ממקומות שונים – ומעניקה את ההקשר הנכון בזמן הנכון עבור המגמות ודפוסי הפעולה הנוכחיים של מתקפות, כך שצוותי האבטחה יוכלו לזהות בהצלחה פגיעויות, לקבוע סדר עדיפויות של התראות ולמנוע מתקפות. ואם בכל זאת תתבצע מתקפה, בינת האיומים חיונית כדי למנוע את המשך הנזק ולשפר את ההגנות כדי שמתקפה דומה לא תתרחש שוב. במילים פשוטות, ארגונים שממנפים יותר את בינת האיומים, יהיו מאובטחים יותר ויצליחו יותר.

ל- Microsoft יש תצוגה חסרת תחרות של נוף האיומים המתפתח, עם 65 טריליון אותות שמנותחים מדי יום. על-ידי יצירת מתאם בין אותות אלה בזמן אמת על פני שטחי התקיפה, בינת האיומים המובנית בפתרונות האבטחה של Microsoft מספקת תובנות לגבי סביבת האיומים ותוכנת הכופר המתרחבת, כדי לאפשר לך לראות ולמנוע יותר מתקפות. ועם יכולות ה- AI המתקדמות כגון  Copilot האבטחה של Microsoft תוכל להישאר תמיד צעד אחד לפני האיומים המתפתחים ולהגן על הארגון שלך במהירות של מחשב – לתפוס את מה שאחרים מפספסים ולהגן על הכל.