03/12/2020 מאת גיא ליברמן, ראש חטיבת הסייבר
וקטורי תקיפה מובילים TSOC – החצי הראשון לשנת 2020
בזמן שחציה הראשון של 2020 אופיין בהתמודדות של ארגונים רבים עם השלכות וירוס הקורונה, מתקפות הסייבר אינן עוצרות לרגע. מניתוח של ה- TSOC שלנו עולה כי אמנם וקטורי התקיפה המרכזיים לשנת 2020 דומים לאלה של 2019, אך השנה הם הרבה יותר מסוכנים.
הטוב – פישינג (Phishing)
“Dear Sir,
You have won 1 million dollars
Dr. Evil.”
בשנים הקודמות הייתה אבחנה ברורה בין קמפיין spear phishing לבין קמפיינים לא ממוקדים ורחבי היקף. כיום, אנו רואים שהמרחק בין מתקפה כללית למתקפה ממוקדת הולך וקטן.
אנו מזהים כי קמפיינים כלליים הופכים להיות לממוקדים ואישיים תוך 2-3 הודעות, אבחנה זו הגיונית מאחר ו-Business Email Compromise (BEC) הפך להיות אחד מווקטורי התקיפה הנפוצים, הפשוטים והרווחים ביותר. וקטור תקיפה זה ניחן ביכולת הסלמה מהירה במיוחד, כאשר תוקף יכול להגיע מקורבן יחיד למצב של – man-in-the-email או השתלטות על דומיין.
מה ניתן לעשות כדי למזער את הסיכונים ממתקפות אלה?
- חסמו סוגי התקנים או דפדפנים לא רצויים או כאלה שאינם בשימוש בארגון.
- חסמו Auto Forwarding to external mailbox
- וודאו הגדרה של הזדהות מרובת אמצעים (Multi-Factor Authentication – MFA).
- הסבירו על הסכנות למשתמשי הקצה שלכם והעניקו להם דרכים לזהות ולהתריע על פעילויות חשודות.
- מזערו זמני תגובה וחדדו את יכולות הזיהוי, חקירה והתמודדות עם אירועים.
- נטרו פעילות משתמשים רגישים.
הרע – Drive by
מאז ומתמיד ניצול משתמשים היווה כניסה קלה לתוקפים. לאחרונה, אנו רואים עליה בשימוש באפליקציות “לגיטימיות” וקליקבייטים במטרה להונות משתמשים ולנצלם לפעילות התוקף. היות ומשתמשים “קלים על ההדק” וממהרים ללחוץ על כפתורים, הורדות תמימות, לכאורה, של קבצים מערימות קשיים על צוותי אבטחת המידע ומייצרות עבודה מיותרת. לפחות 10% מה- drive by’s הזדוניים מזוהים כ- loaders או first stagers (חלק ממתקפות מרובות שלבים), בעיקר בידי פושעי סייבר מוכרים.
מה ניתן לעשות כדי למזער את הסיכונים ממתקפות אלה?
- חסמו ככל הניתן הורדות עבור משתמשי קצה.
- יישמו טכנולוגיות EDR / NDR שונות על מנת לזהות מאקרו, שימוש לרעה ב- LOLBins או לאסוף מידע נדרש לטובת תחקור.
- וודאו כי אפליקציות המותקנות בארגון מנוהלות מקצה לקצה ואל תאפשרו למשתמשי קצה להוריד, לעדכן או לנהל את האפליקציות בעצמם.
- יישמו את עיקרון Least privilege – לא לאפשר הרשאות גבוהות ברמה יומיומית, בעיקר למשתמשי קצה – בטלו את האדמין המקומי.
- הסבירו על הסכנות למשתמשי הקצה שלכם ולמדו אותם דרכים לזהות ולהתריע על פעילויות חשודות.
- וודאו כי זמני הזיהוי, תגובה וחקירה הקיימים עומדים בדרישות וכמו כן וודאו כי ביכולתכם לאבחון את שורש האירועים (Root Cause analysis – RCA).
“איך זה קרה לי?” – קונפיגורציה לקויה
וירוס הקורונה משנה חדשות לבקרים את האופן בו ארגונים פועלים ואת תצורת העבודה מרחוק (עבודה מהבית), מה שמשפיע בהתאמה על משטח התקיפה שגדל באופן משמעותי. כאשר ארגונים מתאימים עצמם לשינויים הרבים לצורך המשכיות עסקית, הם חושפים את עצמם לסיכונים חדשים ובלתי ידועים. תוקפים תמיד יחפשו לנצל סיכונים הנוצרים כתוצאה משינויים מהירים, בעיקר בתקופה בה גבולות מנגנוני הזיהוי מטושטשים.
בכדי להגדיל את יכולת העבודה המבוזרת, ארגונים רבים עושים שימוש בהתקנים מבוססי ענן, שלא תמיד מסונכרנים עם סטנדרטי האבטחה המקומית של הארגון. עובדה זו חושפת משתמשים וארגונים, בעיקר נוכח ממשקים שנותרים חשופים או אי הגדרת הזדהות מרובת אמצעים (MFA).
חשיפה של שירותים ותשתיות, עלולה להוביל לתוצאות הרסניות. חשיפות אלו עלולות להיות תוצר של שינויים לא מתוכננים. כתוצאה משינויים תכופים או לא מנוהלים, תוקפים עלולים לנצל ממשקי חיבור מרחוק (RDP Ports) שנותרו חשופים. אלו רק מספר מדוגמאות רבות של סכנות הנוצרות כתוצאה מקונפיגורציה לקויה.
מה ניתן לעשות כדי למזער את הסיכונים ממתקפות אלה?
- תכננו בחכמה! בדקו את כל האספקטים של שינוי, בטרם הייישום
- וודאו כי תהליכי העבודה שלכם מקבלים התייחסות במסגרת תהליך ניהול שינויים ראוי וכך הפחיתו חשיפה לסיכונים כתוצאה משינוי לא מנוהל.
- דגמו את משטח התקיפה שלכם ונהלו את הסיכונים המזוהים.
- וודאו ששינויים קריטיים עוברים בדיקה של מספר גורמים כולל וועדת שינויים
- התייחסו לענן ולהתקנים המרוחקים שלכם כאילו מדובר במתחם הפנימי של הארגון והכילו עליהם את כלל הסטנדרטים והדרישות
- טעויות קורות אבל זמני זיהוי ותגובה הם קריטיים על מנת למזער את הנזק שיגרם מהן
- הגנו על הסיסמאות שלכם – דאגו שהסיסמאות יהיו מורכבות ועשו שימוש בהזדהות מרובת אמצעים (MFA).
- הגנו על אתרים חיצוניים חשופים או דפי כניסה צמצמו גישות מרחוק כגון RDP / SSH ואחרים לרשת
הגנות נוספות שעשויות להיות רלוונטיות – “מה הציל אותנו”
- התראות במנגנון המייל לגבי Auto Forwarding to external mailbox
- בקרה ובחינה של בעלי הרשאות האדמין הגלובליות.
- ניטור באמצעות מערכות EDR אחר פעילות LOLBins.
- ניטור ובקרה אחר פעילות משתמשים רגישים בארגון
- בחינת אפליקציות שאושרו על ידי משתמשים באמצעות O365.
- זיהוי רשימות תפוצה חריגות במייל.
לעדכונים שוטפים בתחום אבטחת מידע וסייבר בקרו בבלוג שלנו ועקבו אחרינו בדף הפייסבוק