מפת איומי הסייבר ב-2024 על פי סופוס

אם ההיסטוריה לימדה אותנו משהו, נוף איומי הסייבר של 2024 יהיה דומה למדי לנוף האיומים של 2023, רק מדויק ויעיל יותר. את פושעי הסייבר מעניין רק דבר אחד: כסף, וכדי להשיגו הם ימשיכו לנקוט מגוון רחב של אמצעים. ההבדל העיקרי שאנחנו רואים לקראת 2024 הוא מאמצים מדויקים יותר וקיצורי דרך שיינקטו כדי לקדם את מטרותיהם.

במרוצת השנים התמקדו קבוצות הפשיעה בניצול חולשות zero-day או שימוש באישורים גנובים כדי לקבל גישה לרשתות של קורבנות, אבל מדי פעם הם מזהים חולשה חדשה שקל לנצלה, ומיד תוקפים (כפי שראינו לאחרונה עם Citrix Bleed, חולשה CVE-2023-4966 שנוצלה על ידי קבוצות כופר ב-Citrix NetScaler). אחרי שינוצל על ידם היתרון החדש ואחרי שהתגלה וטופל, הם יחזרו לשיטה היעילה מעט פחות של גניבת אישורים, כפי שקרה בעקבות האימוץ המתרחב של אימות רב שלבי על ידי ארגונים, אשר שוב אילץ את ארגוני הפשיעה להיות יצירתיים ולפתח מעקפים מתוחכמים יותר.

לדברי צ'סטר וישנייבסקי, מנהל טכנולוגיות ראשי בסופוס, 2023 הציגה התקדמות רבה בניצול לרעה של שרשרות אספקה לצורך תקיפה של קורבנות באמצעות ניצול חולשות של ספקי שירות מנוהלים (MSPs), שיתוף קבצים או באמצעות ספקי אימות - לעיתים הדרך הקלה ביותר לפרוץ היא דרך הדלת האחורית. ככל שאנו ממשיכים למגן את הרשתות שלנו ולאמץ מודלים של פתרונות כשירות, אפשר לצפות שהתקפות כאלו יתרחבו במהלך 2024.

עם התרחבות השימוש באימות רב-שלבי, נמשיך לראות התרחבות מקבילה בשימוש בגורמי צד שלישי זדוניים כגון evilginx ושיטות הנדסה חברתית במאמץ לשכנע את משתמשי הקצה ואת צוותי התמיכה ב-IT להעניק לתוקפים גישה למערכות. קבוצות כגון $LAPSU ו-Scattered Spider משכו את תשומת הלב הגלובלית במהלך 2022 ו-2023 על רקע הצלחתם להשיג גישה לשמות ידועים כגון MGM Resorts International ו-Caesars Entertainment. הצלחתם תעורר בוודאי השראה לקבוצות אחרות שינסו לחקות את הישגיהם.

"אנו צופים השנה כניסה של ממשלות גדולות ברחבי העולם למגרש ונקיטת צעדים משמעותיים יותר מצידן לסיכול ומיגור של קבוצות הכופר", אומר וישנייבסקי. הסיבה לכך פשוטה: חיי היום יום של ציבורים שלמים מושפעים יותר ויותר מהשבתות ומפגיעה בפעילות של בתי חולים, בתי ספר, משרדי עורכי דין ובנקים, הנגרמים ממתקפות סייבר. קשה להעריך עדיין אם הכניסה של ממשלות למגרש תייצר תגובה יעילה, אבל אנחנו מגיעים לנקודה שבה ציבורים נרחבים יתחילו לדרוש 'שמישהו יעשה משהו'.

"טכנולוגיות כגון AI יסייעו לנו יותר ויותר באמצעות ביצוע יעיל יותר ועבודה משופרת של צוותי אבטחה. בינה מלאכותית מצטיינת בטיפול בהיקפים גדולים מאוד של נתונים ושימוש בשאילתות לסיווג התוצאות והבנתן. היכולת האנושית מסוגלת לעשות את כל זה, אבל בינה מלאכותית תייעל את העבודה מבחינת זמני הביצוע ודיוק. שימוש ב-AI גם יאפשר זיהוי ואיתור משופרים של חריגות במערכות נתונים גדולות, משום שהמכונה יכולה "לראות" את כל המידע בבת אחת ולסייע בהפניית תשומת לב אנושית לדברים חריגים או שונים מהרגיל."

לסיכום, אומר וישנייבסקי, מערכות צריכות להגן על המשתמש הממוצע בלי שיידרש לעבור הכשרה. אם לא, נכשלנו. הדבר החשוב ביותר שאנחנו יכולים לעשות כדי להפוך את זה למציאות הוא להוציא לגמלאות את הסיסמאות ולהתקדם לאימות עמיד בפני פישינג באמצעות passkeys. passkeys מאפשרים למשתמש להשתמש באימות ביומטרי במכשיר הנייד האישי כדי לאמת דואר, את חשבונות המדיה החברתית או את אתרי הקניות המועדפים. ככל שנבטל את המורכבות ונמשיך להפוך נושאים כגון עדכוני תוכנה לאוטומטיים יותר, הציבור הרחב יוכל לשבת בחיבוק ידיים, להירגע וליהנות מהזמן המקוון שלו בלי לחשוש מפריצה או תקיפה. תפקידנו כאנשי אבטחה הוא להאיץ את האימוץ של הכלים האלו כדי להפוך את העולם לבטוח יותר לכולם.