מאין באנו: הטרנדים האחרונים בסייבר שיכולים ללמד אותנו על 2025
מהמלחמות הפוליטיות ועד ההתקפות על AI והענן: כך מנהלי אבטחת סייבר יכולים להיערך לשנה חדשה של איומים מתקדמים ושיטות תקיפה בלתי צפויות
מקור: dreamstime
מה שהיה הוא שיהיה; ההיסטוריה חוזרת על עצמה; דע מאין באת ולאן אתה הולך – כל כך הרבה פתגמים נוצרו לאורך השנים כדי להזכיר שחשוב להכיר את העבר כדי להתכונן לעתיד. כיום, בענף הסייבר אף חברה לא יכולה להרשות לעצמה לפעול ללא הבנה והכרה של מקרי העבר. נכון, אולי זה לא מבטיח מוכנות מלאה לאירועים בלתי צפויים שיבואו, אך בהחלט יכול להכין אותנו לאלה המתעוררים.
הדרך קדימה דורשת מנהיגות חזקה, פעולה החלטית ונכונות לאמץ שינוי, אך גם מבט אחורה, כדי להוביל לעתיד בטוח יותר. שאלנו את חוקרי SentinelLabs אילו אירועים משמעותיים קרו לאחרונה בעולמות ה-AI, ענן, פשעי סייבר, ריגול ותוכנות כופר, וכיצד מנהלי אבטחת סייבר צריכים לחשוב על ניהול איומים חדשים?
1. הספקים חוזרים לנייטרליות פוליטית
בשנים האחרונות תעשיית אבטחת הסייבר נקטה עמדה ברורה בנוגע לסכסוכים גלובליים: המלחמה באוקראינה והתמקדותה של רוסיה בלוחמת סייבר יצרו סביבה שבה חברות רבות בתעשייה הביעו תמיכה פומבית בצד מסוים. עם זאת, בעקבות המלחמה בישראל, מרבית ספקי אבטחת הסייבר חוזרים לעמדה נייטרלית יותר.
מגמת החזרה לנייטרליות צפויה להתרחב בעקבות הבחירות במדינות המערב, שם כבר מדברים על קהילות ריגול סייבר "חמושות", בשילוב עם הפיכתן של מספר חברות טכנולוגיה מובילות לכאלה שמשפיעות יותר על הזירה הפוליטית.
2. פגיעה במוניטין ומעבר לעולם האמיתי
דרכי הפעולה של פושעי הסייבר השתנו משמעותית. הסחיטות הדיגיטליות מתפשטות ומופיעות גם במקומות שלא היו נחשבים ליעדים בעבר, ואילו הקורבנות מתמודדים כיום עם פגיעות חמורות במוניטין שלהם, כולל שימוש בממים ובקודים ויראליים שמעצימים את הנזק.
קורבנות תקיפה חשופים כיום לדרכים חדשות לחלוטין בהן ניתן לפגוע ולגרום נזק למוניטין, וניתן לראות זה למשל הנהירה המהירה לקודי-מם (Meme Codes) הקשורים לתוכנות כופר ואירועי סחיטה.
בנוסף, אנו רואים עלייה באיומים פיזיים על קורבנות הסייבר. בשנת 2024 ראינו דוגמאות לכך בקבוצות כמו "Snowflake" ו-"The Com", המאופיינות בידע טכנולוגי מתקדם שמאפשר להן לעקוף הגנות מסורתיות. בשנת 2025 מגמה זו צפויה להעמיק ולהפוך לברורה יותר, כשההאקרים ימשיכו לאתגר את הכלים והשיטות שעליהם מבוססות מערכות אבטחת הסייבר כיום.
3. AI אשמה בהכל, אבל זה לא תמיד נכון
עלייתה המטאורית של הבינה המלאכותית בקהילת הטכנולוגיה הובילה את כל חברות ומוסדות אבטחת הסייבר לחקור אותה ואת תוצאותיה פוטנציאליות. מנגד, קבוצות האקרים רבות גם בוחנות את השימוש ב-AI למטרותיהן.
אנו רואים גורמים שייצרו סביבה שבה פוליטיקאים, סלבריטאים, חברות טכנולוגיה וגופים אחרים ינסו לחפות על טעויות, שערוריות, פשעים וכדומה, ויתלו את כל האשמה על הבינה המלאכותית. סביר להניח שבין האירועים יש או יהיו מקרים אמיתיים שבהם AI הוא אלמנט רלוונטי, אבל לא מדובר ברובם.
4. מכשירים לא מנוטרים הופכים למטרות עיקריות
בשנת 2025 שחקני איום יתמקדו יותר ויותר במינוף טכנולוגיות נרחבות ולא מוגנות, שיאפשרו לחמוק מזיהוי ולפעול בקלות יחסית. למשל התקני רשת קצה כגון חומות אש, נתבים ומתגים, ורכיבים קריטיים של תשתית מודרנית שלעתים קרובות חסרים ניטור טוב או הגנות עדכניות. באופן דומה, גם מכשירים ניידים כמו אייפונים ושעונים חכמים, שכמעט אינם מנוטרים לפעילות חשודה, יהפכו למטרות עיקריות.
את הטכנולוגיות הלא מוגנות האלה ינצלו קבוצות שונות, כולל יצרני תוכנות ריגול במגזר הפרטי, APTs של מדינות לאום, ארגוני טרור ופושעי סייבר ממניעים כלכליים, שישתמשו בהן כדי לפרוץ רשתות ולעקוף את ההגנות המוגבלות.
מקור: Pexels
5. האקרים יתמקדו בטכנולוגיית ענן ושירותי AI
התפשטותה האדירה של הבינה המלאכותית משפיעה רבות על העולם ועל עסקים. חברות משלבות במהירות AI במוצריהן כדי לשפר את היעילות, את חוויית הלקוח ואת יכולותיהן הכוללות. ככל שהשימוש בבינה מלאכותית יגדל, כך ארגונים רבים יפנו לפלטפורמות בינה מלאכותית מבוססות ענן.
כמו בכל חידוש טכנולוגי, האקרים יוכלו לנצל את "משטחי התקיפה" החדשים שמציעים פתרונות אלה. בשנת 2024 ראינו תוקפים משתמשים בבינה מלאכותית כדי לשפר את הכלים שלהם. דו"חות תיארו כיצד התוקפים חטפו שירותי AI המתארחים בענן והשתמשו בתשתית הקורבנות כדי ליצור יישום LLM שסיפק אינטראקציות שאינן תואמות את ההגנות הרגילות המובנות בשירות. גישה זו תשמש ככל הנראה כמודל לפעילויות אחרות של גניבת שירותי AI בענן בשנת 2025.
6. מערכות מק יכולות להיות עקב אכילס
אחת הסיבות לפופולריות החדשה של מחשבי מקינטוש בעסקים היא מה שנתפס כ"אבטחה מוגברת", אך מחשבי מק אינם מאובטחים יותר מכל מכשיר אחר. הם יכולים להיפגע באופן קבוע ויש להתייחס אליהם באסטרטגיית אבטחת הסייבר הכוללת של הארגון כאחת המטרות העיקריות של האקרים.
בשנת 2024 חלה עלייה חדה בפשעים הממוקדים ב-macOS,. האקרים אלה מוותרים על ההתמדה ומנסים לגנוב הכל בחדירה אחת, כולל אישורים לחשבונות מקוונים וענן.
אין תיקון מהיר עבור "הסיסמה האוניברסלית" או תיבת הדו-שיח של הסיסמה המזויפת. מדובר בטכנולוגיות שהוכנסו למערכת ההפעלה המקורית ואפל לא צפויה לתקן אותן בקרוב. כתוצאה מכך, ההערכה היא כי בשנת 2025 איומי אבטחת סייבר ימשיכו לנצל לרעה את שניהם.
ככל ששירותים מוצפנים הופכים נפוצים יותר, הם גם ימשכו את תשומת הלב של פושעי סייבר ומדינות לאום. הדינמיקה הכפולה הזו תהפוך את שירותי התקשורת המוצפנת הן לאמצעי הגנה קריטי והן למטרה בעלת ערך
7. שירותי תקשורת מוצפנים הופכים לאמצעי הגנה והתקפה
השכיחות הגוברת של חדירות בגיבוי המדינה, במיוחד קבוצות כמו "טייפון המלח הסיני" (Chinese Salt Teams) החודרות לרשתות מערביות, תביא לכך ששירותי תקשורת מוצפנים כמו סיגנל ופרוטונמייל יהפכו חשובים יותר ויותר. ככל שההתמקדות בפרטיות ובאבטחת סייבר גדלה, פלח גדול יותר של משתמשים שאינם טכניים יתעדף פלטפורמות מאובטחות של הודעות ודוא"ל כדי להגן על תקשורת אישית מפני בדיקה מקומית וזרה.
ככל ששירותים מוצפנים הופכים נפוצים יותר, הם גם ימשכו את תשומת הלב של פושעי סייבר ומדינות לאום. דינמיקה כפולה זו – הסתמכות האזרחים על הצפנה למען הפרטיות, ובמקביל היותה מטרה על ידי יריבים – תהפוך את שירותי התקשורת המוצפנת הן לאמצעי הגנה קריטי והן למטרה בעלת ערך.
8. תוכנות כופר לא הולכות להיעלם. וגם הנתונים לא נעלמים מהרשת
כיום פעילויות כופר הן מאורגנות יותר מאי פעם. הכלים משתפרים וחסמי הכניסה, המינימליים ממילא, ממשיכים להישחק. יתר על כן, פלטפורמות כופר חזקות, כגון LockBit ובוני ALPHV, שותפו ונחשפו באופן נרחב. שחקני איום פחות מיומנים מאמצים כלים אלה כחלק מפעילותם הסטנדרטית, גם כשרווח כספי אינו המטרה הסופית, וכלי כופר ידועים קיבלו חיים ארוכים יותר הודות לשימוש חוזר גובר בקהילות האקטיביסטיות. תוכנות כופר הן כעת כלי בסיסי הזמין לשחקני איום בכל קשת המיומנויות וההתנהגויות, ומגמה זו תימשך גם בשנת 2025.
יתר על כן, מחברים כמו Dispossessor ו-RansomHub הפיקו רווחים מהנתונים גם לאחר שהקורבן נענה לדרישות. הנתונים שנפרצו ממשיכים לחיות דרך שלוחות וקהילות סוררות המוקדשות להגברת הנתונים שנפרצו לקהילות זדוניות. מניעת התקפות בשלבים המוקדמים תהיה קריטית בשנת 2025.
צריך ליזום – אבל איך?
אבטחת סייבר והפרופיל הנוכחי של האקרים אומרים לנו שתידרש פעולה יזומה כדי לעמוד באתגרים של 2025. מה זה אומר בפועל?
שפרו את הנראות ואת זיהוי האיומים: תנו עדיפות לניטור טכנולוגיות שאינן מוגנות כראוי, כגון מכשירי קצה ושירותי בינה מלאכותית המתארחים בענן. יש צורך בכלים המספקים ניראות עמוקה של פעילות הרשת ופרופיל נקודות הקצה.
טפחו שיתוף פעולה: צמצו את מאגרי המידע המבודדים על ידי שיתוף מודיעין איומים עם עמיתים ושותפים בתעשייה.
חיזוק מסגרות רגולטוריות ומשפטיות: תמכו ברפורמות המפחיתות חסמים לשיתוף מידע, תוך הטלת אחריות על ספקים וספקים על תפקידם במערכת האקולוגית של אבטחת הסייבר.
השקיעו בחוסן: חזקו את ההגנות מפני תוכנות כופר וגניבת נתונים על ידי הגנה על אישורים, יישום תוכניות התאוששות וחינוך העובדים על וקטורי תקיפה מתפתחים.
טפלו בפגיעויות שהתעלמתם מהן: העריכו מחדש את הנחות האבטחה, בין שמדובר באבטחת סייבר של מחשבי Mac או באמון שניתן בכלי הצפנה מובנים, ונקטו צעדים להפחתת הסיכונים בתחומים אלה.
