Verizon 2024 DBIR: תובנות ונקודות עניין
מידי שנה מפרסמת Verizon את התקווה הטובה שיש לנו לברור עם תובנות ועדויות בעולם האמיתי להתקפות סייבר והשפעותיהן בדוח החקירות של Verizon Data Breach Investigations (DBIR).
הדוח של Verizon 2024 DBIR הוא אחד הדוחות היותר עניינים, נקודתיים וכזה שאפשר לקחת ״אותו הביתה״ ולגזור ממנו אינספור מסקנות, תובנות לשיפור החוסן הארגוני ושלל אפשרויות לשיפור נוף האבטחה.
המאמר, Verizon 2024 DBIR: תובנות ונקודות עניין מתמקד בתובנות, נקודות עניין נוגע במספר תובנות מהדוח ובהלימה אל השטח ופרקטיקות מנקודת מבט אישית.
במאמר אני משתף חלק מהתובנות שיש בדוח, שיוך ליומיום שלי (תיחוקר תקריות, ניטור אבטחה ופעולות התקפיות – בעיקר בענן) והמחשבות שלי אל מול הדוח של Verizon 2024 DBIR, כל אלה בניסיון לשקף את הנתונים של הדוח ולשתף חלק מתוך ההיגיון. במקרים מסוימים, אני נוגע בהיבט סקפטי על הפרשנות שלהם (אפשר לומר פרשנות מטא?). כשמתאים, אני מבליט נקודות עניין.
אם אפשר לקחת מספר נקודות מתוך הדוח ולשים אותו במשפט אחד, אז אפשר לומר, הדוח חושף את תפקידם של העובדים ביצירת הזדמנויות עבור שחקני תקיפה במרחב ומסייע להם לחדור לארגונים…
תובנות ומסקנות מהדוח
התובנות המוצגות מטה הם תובנות ומסקנות מתוך הדוח ובנוסף לכך הוספתי לזה מעט תובנות מנקודת מבטי ומעט מהיומיום שלי בצורה מפולפלת.
זהויות וענן
זהויות וסביבות עניות. משהו שקיים באיזה ארגון או שניים, וגם אצלך, לא? באופן אולי מפתיע אינו מוזכר כלל…
בדוחות עבר שהיו בשנים קודמות היה אפשר לראות התייחסות ומיקוד בסיכוני ובעיות סייבר בסביבות ענניות, היברידיות ובפרט זהויות. שני אלה עדיין משחקים תפקיד מרכזי ביומיום עם שטח תקיפה פורה ומקום מרכזי לניצול של שחקנים רבים בשטח. הדוח של 2024 מזכיר ווקטורי תקיפה שנוגעים בזהויות באופן עקיף אך לא ישיר. הדוח אינו נוגע בסיכוני ובעיות סייבר בענן.
מנקודת מבט אישית – אומנם זה המיקוד שלי ביומיום, אבל, בשנה האחרונה רוב התקריות שתיחקרתי היו ממוקדות בסביבות ענניות וכן בזהויות ענניות/היברידיות. מדובר על תריסרים רבים של תקריות, חלקם היו עם השפעה הרסנית, ואחרים בעלי השפעה מינורית.
בנוסף לכך, הדוח אינו נוגע בבעיות של הגנה על המידע (Data Protection) ומזכיר את הנשוא באופ עקיף.
מודל האיום הוא עדיין פשע פיננסי
לחוסר ההפתעה המוחלט שלי… אבל איכשהו להפתעתם של רבים אחרים. אבטחת סייבר ממוקדת לרוב בפשעים פיננסיים. מניעים פיננסיים נותרו המניע של 93% מכל ההפרות. כן, הריגול עלה מ 5% בשנה שעברה ל 7%, אך מרוכז מאוד בהפרות של מינהל ציבורי (כלומר ממשלתי). וכפי שצוין בדוח, "ריגול" יכול לכלול גם מקרים כמו אנשי מכירות שמורידים ושומרים את נתוני לקוחות (מסמכים ונתונים אחרים) כדי להשתמש בהם בהמשך במקום העבודה החדש שלהם.
אם נחשוב על זה ונפנים: 5,632 הפרות והטיה כלפי קורבנות ממשלתיים שמניעים את הדוח, והם גילו שריגול הוא עדיין רק 7% מהפרות. אחרי הכל, אתה לא עכביש שנתפס ברשת ריגול סקסית, ואינך צריך ליצור "חדרי מלחמה" לטיפול בתקריות גיאופוליטיות. שחקני האיום (APT) האמיתיים – אלה שמניעים כוח גיאופוליטי – לא חושבים עליך בכלל!
בכל מקרה, משתמש קצה כ"שחקן איום" עלה מ 11% ל-26%, אבל בעיקר בגלל טעויות אנוש כמו "שליחת דואר שגויה", כלומר, שליחת פריט דואר לנמען הלא נכון – הכפופות לגילוי חובה. בקיצור אי אפשר לפרש את זה כ"גל איום פנימי"!
לכן, אם אתה משלב את "טעויות הגורם האנושי" עם "פשע סייבר פיננסי", אתה מקבל 90% מ"שחקני האיום" שלך. סוג השחקן "אחר" הוא קצת פחות מ 10% וכולל מקרים כמו מתחרים, לקוחות, כוח עליון, מכרים וטרוריסטים. ואחרון והפחות נפוץ, יש לנו גורמי איום הקשורים למדינת לאום או למדינה.
אני יודע שזה נשמע סופר מגניב להיות חשוב מספיק כדי שסוכנות ביון או שחקן תקיפה בעל ערך יתמקד בארגון שלך, כי באלגנטיות רבה זה פותר את הצרות הקיומיות של כל אדם, האינסטינקט הטבעי להשתוקק למשמעות בחיינו ובעבודה שלנו. בתכל'ס, זה חסר תוכן ותכלית, לפחות לפי הדוח.
GenAI: לא מה שחשבנו
בינה מלאכותית עשתה הייפ פסיכי בשנה האחרונה. האם כך הדבר אצל תוקפים? בזמן שבינה מלאכותית הוצגה בעולם האבטחה והסייבר בכל פינה אפשרית עם דרכי תקיפה באמצעות GenAI, בשטח הדבר התנהג קצת אחרת.
שחקני תקיפה אינם משתמשים בפלטפורמות בינה מלאכותית – התוקפים אינם משתמשים ב-GenAI! אין לי ממש מה להוסיף לפרשנות של הדוח בנושא בינה מלאכותית מלבד לשבח אותו על בנושא, כי זה מה שממש מתרחש.
מבחינת ראיות, נמצא כי טכנולוגיות מבוססות GenAI לא זכו אפילו ל 100 אזכורים בפורומים של פשע מחתרתיים במהלך השנה האחרונה! קולטים? כאשר GenAI מוזכר, זה מסיבות אחרות, אולי גסות:
- רוב האזכורים כללו
- מכירת חשבונות להצעות GenAI מסחריות
- כלים ליצירת בינה מלאכותית של פורנו ללא הסכמה.
- מלבד העובדה המעיקה הזו, יש אזכורים שכדאי להכיר:
- הייפ שיווקי בלתי מנומס – לחץ מצד קולני של קהילת אבטחת הסייבר.
- עם זאת, זה עדיין נושא מאוד מרכזי והעסיק את בכירי הטכנולוגיה ואבטחת סייבר ברחבי העולם – בדיוק כמו טכנולוגיות משפיעות אחרות כמו בלוקצ'יין ומטאוורס."
הם מעלים נקודה מצוינת – גם אני חושב כך – לגבי מידת הצורך של התוקפים אפילו לאמץ את GenAI בפעילותם:
אפשר לטעון, בהתחשב במספרי דפוסי ההנדסה החברתית, שהתקפות פישינג או אחרות אינן צריכות להיות מתוחכמות יתר על המידה כדי להצליח נגד המטרות שלהן, כפי שראינו עם הצמיחה של התקפות דמויות BEC, התוקפים לא נותנים ל"משהו טוב מספיק" להיות האויב של המושלם ודואגים לתוצאות.
חשוב להדגיש כי יש התייחסות אחרת לשימוש של פלטפורמות בינה מלאכותית בהגנה על הארגון. שם זה מקבל חשיבה אחרת. אולי יש עניין בהגנה יותר מהתקפה…
AI מזהה איומים לפני?
ניתוח התנהגות, המופעל על ידי בינה מלאכותית וטכנולוגיית GenAI, ממלא תפקיד מכריע בטיפול יזום באיומי אבטחת סייבר. ניתוח התנהגות מתמקד באיתור דפוסים נסתרים בהתנהגות המשתמש ובביסוס קו בסיס של פעילות נורמלית כדי לזהות סטיות עתידיות. גישה פרואקטיבית זו לזיהוי איומים מאפשרת לצוותי אבטחה לחקור ולהגיב באופן מיידי, ומפחיתה את הסיכון להפרות הקשורות למרכיב האנושי.
שילוב ניתוח התנהגות באסטרטגיית אבטחת סייבר מעצימה צוותים לטפל באופן יזום בצד האנושי של אבטחת סייבר. על ידי מינוף הטכנולוגיות הללו, ארגונים יכולים לזהות ולהגיב לחריגות, להפחית את הסיכונים הכרוכים בהתקפות הנדסה חברתית וטעויות אנוש, ולחזק את עמדת האבטחה הכוללת שלהם.
העצמת הצוותים היא ברמת TIER1 או TIER3, פלטפורמת מבוססת בינה מלאכותית הראתה ש TIER3 תדע להשתמש בזה טוב יותר ולהעצים את עצמה, מצד שני זה מייתר אוכולסיה TIER1. אז, לזהות איומים לפני יקרה בתנאים מסוימים? מהם התנאים? האם מדובר בתנאים שלנו? או בתנאים של התוקף? הרבה חלקים אפורים.
עקיצה ב 60 שניות או פחות…
אחד הממצאים המעניינים ואולי ״המדאיגים״ (כך מוזכר בדוח) נוגע בזמן החציוני של משתמשים להיות חלק מתוך מניפולציות דואר דיוג שהוא פחות מ 60 שניות.
אני לא מבין מה מדאיג בזה פתאום? זה מרגיש מאוד לא מפתיע. ביומיום מי משקיע יותר מדקה בבדיקת מיילים? לפחות ברוב המוחץ של המיילים.
אז לקחתי את זה צעד קדימה ועשיתי מספר בדיקות והגעתי לדוחות אחרים ויחד עם מתמטיקה עצלה ביותר שמתי את הנתונים אל מול הדוח של DBIR והגעתי לתוצאות מעניינות.
מעטים האנשים שמבזבזים דקות שלמות על מיילים. בשנת 2023, דוחות אחרים גילו שבני אדם מבלים פחות מ 10 שניות בממוצע בהסתכלות באימייל. 30% בממוצע מקבלים פחות משתי שניות של תשומת לב, בעוד שרק 29% מקבלים יותר משמונה שניות. בהתחשב בכך שגורמים מסוימים (ניוזלטר וכאלה) מעורבים במשלוח סוג הדואר שאנו יכולים לראות בנדיבות ספאם בהסכמה, אנו יכולים לטעון שאנשים מבלים קצת יותר זמן בבדיקת דוא"ל ארגוני… אבל סביר להניח שלא בהרבה.
בהתחשב בכך, שהגורם האנושי מקדיש 21 שניות כדי ללחוץ על קישור זדוני לאחר פתיחת אימייל? או אפילו לוקח לקורבן פוטנציאלי 28 שניות להזין את הנתונים שלו? בין אם יש בדואר ״חתול שמצילים״ או ״הטבה שהארגון מחלק״, הניסיון האוניברסלי שלנו הוא שאנחנו רוצים לסיים דוא"ל בצורה הכי מהירה ויעילה שאנחנו יכולים כדי שנוכל לעבור לעניינים אחרים.
חישוב פשוט יכול להיות בין היתר:
- אם נניח שעובד ממוצע מקבל כ 100 מיילים ביום במהלך שבוע העבודה, זה בערך 26,000 בשנה. נניח ש 50% מתוכם מכילים קישורים.
- במידה והמשתמש ילחץ על קישור זדוני אחד בשנה, זה שיעור "נכשלים" של 0.008%.
- אם משקיעים אפילו דקה אחת על בדיקה מדוקדקת של כל אימייל אז זה מצטבר ל 217 שעות בשנה
אם תקוותנו נשענת על הגורם האנושי שלא ילחץ על קישורים או כל תוכן מסוכן – כאן הכשל.
אם משקיעים זמן רב מידי על קריאת דואר זה מצטבר למאות שעות בשנה, דבר שלא משתמשים ולא גורם אחר בסביבתם יעריכו. נחזור למסגרת של שניות על פריט דואר וגם במצב כזה שמתואר בדוח של 20 שניות הוא "מדאיג", אז זה מצביע על כך שאפילו דקה עשויה לא להספיק.
בקיצור, זה לגמרי רציונלי ללחוץ על קישורים, בטח משתמשי קצה שאינם טכנולוגיים – זה נמצא בשטח ותקריות רבות יעידו על כך. בשטח אפשר לומר שתקריות מבוססות BEC ״שעוקצות ארגונים״ גדולים במאות אלפי דולרים כבר ״מובנים מאליו״ וחלק מהנוף השנתי. האם כך אצלך?
ווקטור תקיפה נסתר: עמדות קצה
עוד תובנה ״מפתיעה״ והיא עמדות קצה. ווקטור נוסף בפרצות מידע שהוא מסוכן לא פחות, אבל זוכה לתשומת לב ישירה פחות: עמדות קצה.
אפשר לחשוב על הסיכונים של עמדות קצה (מחשבים ניידים, טאבלטים וסמארטפונים) בשתי דרכים: מכשירים לא ידועים ומכשירים לא מאובטחים, ונוסיף לזה ניידות של עמדות קצה. בואו נתמודד איתם לפי הסדר הזה.
עמדות קצה לא ידועות
ארגון שמאפשר לכל עמדת קצה לגשת למערכות ונכסים ללא התנאים הנדרשים והמתאימים הוא חשוף למתקפה. זו באמת הרחבה של בעיית ההתקפה המבוססת על קרדס, כל עוד סיסמאות נשארות כל כך פגיעות לגניבה, דיוג, ניחוש או רכישה, צריך נואשות לצורה חזקה יותר של התניות ואימות.
מה שאתה באמת צריך זה גורם אימות שחי על המכשיר עצמו ואינו מסוגל להתחזות. כך, כל הקרדס המזויפים לא יאפשרו לשחקן לבצע אימות בעמדת קצה לא ידועה. הפיכת זהות העמדה לחלק מהאימות הוא היבט אחד של פתרון אמון במכשיר. עכשיו בואו נסתכל על השני.
עמדות קצה לא מאובטחות
ההשלכות של עמדות קצה לא בטוחות נמצאות בדוח. שתי דוגמאות:
התקפות חדירות למערכת, הכוללות מקרי כופר, מהוות 23% מכלל הפרצות. "בקרות אבטחה מבוססות CIS" להפחתת התקפות אלו מתמקדות רבות בהגנה על עמדות קצה, כולל הקשחות רגילות והיגיינת אבטחה בסיסית. בקשר לכך, הדוח ממליץ גם לדרוש MFA עבור יישומים חשופים חיצונית וגישה לרשת מרחוק. לא הבנתי למה האחרון מוזכר בצורה הזאת, זה כבר לא אמור להיות הקשחה בסיסית בכל סביבה? בטח בסביבות ענניות והיברידיות!
עמדות קצה שאבדו ונגנבו אחראים ל-199 תקריות השנה, 181 מהן הובילו לחשיפת נתונים, מה שאומר כנראה שהעמדות קצה האלה ננעלו או הוצפנו בצורה לא נכונה. במקרה זה, "בקרות CIS" יכללו הצפנת נתונים בעמדות קצה, אכיפת נעילת עמדות קצה אוטומטית ויכולת מחיקה מרחוק. (למרבה הצער, ההמלצה האחרונה עשויה להיות קשה לביצוע עבור כל ארגון עם מדיניות BYOD, אשר לא יוכל למחוק מרחוק את המכשירים הבלתי מנוהלים של עובדיו.)
אז למה כל עמדות קצה הפגיעות האלה ניגשות לנתונים רגישים מלכתחילה? זה בין השאר משום שפתרונות ניהול מכשירים מסורתיים כמו MDM אינם יעילים בזיהוי ופתרון בעיות אלו. וזה בין השאר בגלל שכל כך הרבה ארונים עדין מאפשרים לעבוד על עמדות קצה לא מנוהלות שאינם נראים מבחינה פונקציונלית ל MDM.
שוב, פתרון אמון במכשיר יכול להפחית את הבעיות הללו על ידי הבטחה שעמדות קצה נמצא במצב מאובטח לפני שהוא מאומת.
הנתונים האלה אינם חדשים ומחזירים אותנו לאחור, אולי לשנת 2018… כלי ניהול לעמדות קצה הינו אבטה בסיסית בימינו.
לסיכום
הדוח של Verizon 2024 DBIR מביא תובנות ומסקנות נוספות שלא הוזכרו במאמר הנוכחי ומדובר על תובנות ומסקנות שיכולות להיות מעניינות לכל גורם. המסקנות בדוח מוכרות וחלקם לא מפתיעות ואף הוזכרו בדוחות קודמים או כאלה שנתקלים בהם ביומיום.
אומנם הדוח מביא המון מסקנות חשובות ומעניינות בנושאים כמו סיכון בתשתיות דואר, עמדות קצה, כופר והרבה אחרים, אך הוא עדיין מפספס מספר ווקטורים ושטחי תקיפה מהותיים מאוד שיש לכל ארגון עניין בהם, כמו סביבות היברידיות וענניות, זהויות והרבה אחרים.
ממליץ לקרוא את הדוח, להעמיק בו ולקחת את התובנות לפרקטיקות בארגון. התובנות והמסקנות של הדוח יכולות לשפר את נוף האבטחה הארגוני ולתת נקודות מבט נוספות שלא התקמדו בהם בארגון.
