[בתמונה: גבי ריש, סמנכ"ל המוצרים של סייברסיקסגיל]

חברת מודיעין הסייבר הישראלית Cybersixgill הכריזה על מודול חדש המספק לחברות מיפוי של איומי הסייבר לכל אורך שרשרת האספקה שלהן. המודול מספק מודיעין ממוקד על חולשות ואיומים הקשורים למערכות צד שלישי ויצרנים חיצוניים שנכללים בשרשרת האספקה של החברה, ובכך מסייע לצוות אבטחת המידע בארגון לנטר את הסיכונים הנשקפים לארגון מתוך חוליות בשרשרת האספקה, ולנקוט בצעדי המניעה הנדרשים.

המודול החדש  משלב מודיעין ביחס ליצרן, עם מידע על הסביבה הטכנולוגית של הספקים. לדברי החברה, בכך הוא מתגבר על נקודת עיוורון קריטית של צוותי אבטחת מידע. הודות למודיעין הזה, אנליסטים ואנשי אבטחת מידע יכולים לזהות איומים הנשקפים לארגון משרשרת האספקה ולהרחיב את מאמצי ניהול האיומים. 

מחקרים מראים כי בשנת 2023 נרשמו 245 אלף תקיפות על שרשראות אספקה, עם נזק מצטבר של 46 מיליארד דולר. אותם מחקרים צופים כי הנזק עשוי להגיע ל-60 מיליארד ב-2024. עוד עולה כי בתריסר החודשים עד אפריל 23', 61% מהעסקים בארה"ב נפגעו במישרין מתקיפות דרך שרשראות אספקה. 66% מהחברות ציינו שהן אינן סומכות על ספקי צד שלישי שיתריעו בפניהן על פריצה משמעותית. 98% מהארגונים ציינו שלפחות אחד מיצרני התוכנות שהם עובדים עמן חווה תקיפה במהלך השנתיים האחרונות.   

אחת הדוגמאות הבולטות מהשנים האחרונות שממחישות את נקודת התורפה הנשקפת לארגונים ממערכות חיצוניות היא החולשה שהתגלתה בתוכנת ניהול המידע Orion של חברת Solarwind, שהיתה בשימוש משרדים ממשלתיים רבים בארה"ב. החולשה סיפקה לתוקפים גישה אל כל השרתים הארגוניים שהותקנה בהם פלטפורמת Orion. המתקפה, שזכתה לכינוי Sunburst, הוגדרה על ידי הפנטגון כמתקפת הסייבר החמורה ביותר בתולדות ארצות הברית.  מקרה נוסף אירע בחודש יולי 2021 יותר מ-1,000 חברות חוו שיבושים במערכותיהן בעקבות מתקפת סייבר נרחבת שניצלה חולשה בתוכנה לניטור מרחוק של חברת Kaseya.    

גבי ריש, סמנכ"ל מוצרים בסייברסיקסגיל התייחס לקושי שעימו מתמודדים ארגונים: "צוותי אבטחת מידע יכולים לנקוט את כל הצעדים הדרושים להגנה על הסביבה הארגונית. אבל אם חסר להם מודיעין על הסיכונים הנשקפים לשרשרת האספקה ועל השפעתם על אבטחת המידע בארגון, עלולות להיות לכך השלכות הרות אסון למותג ולשורת הרווח".

בתמונה: מנכ"ל סייברסיקסגיל, שרון וגנר. קרדיט: סייברסיקסגיל

בחברת מודיעין הסייבר הישראלית סייברסיקסגיל (Cybersixgill) פרסמה את דו"ח איומי הסייבר ל-2024, ובו חמש מגמות עיקריות שלהערכת החברה יעצבו את זירת הסייבר. כמצופה, הבינה המלאכותית הגנרטיבית (Gen AI) תעמוד בראש סדר האיום, גם ככלי עוצמתי בידי תוקפים, אך גם ככלי בידי מערכי ההגנה. עוד מגמות בולטות קשורות למשקל של גורמים רגולטוריים וגיאו-פוליטיים, וכן בצורך הגובר בקרב ארגונים לנקוט גישות הגנה פרו-אקטיביות.

סיכם מנכ"ל סייברסיקסגיל, שרון וגנר: "בשנה החולפת התוודענו למניעים חדשים בקרב עברייני הסייבר: גרימת נזק כלכלי וכאוס חברתי באמצעות אימוץ טכנולוגיות AI. ואולם, הודות לשימוש ב-AI ובטכנולוגיות מתקדמות נוספות, גם ההגנה נעשתה יעילה יותר. כעת אנו נדרשים להתמודד עם טקטיקות מתוחכמות יותר, עם מגוון רחב יותר של מטרות ועם סיכונים משמעותיים יותר. כדי להקדים את התוקפים, חייבים לעבור מהגנה תגובתית לאמצעים פרואקטיביים הנשענים על מודיעין אפקטיבי".

ה-AI ייעשה נגיש יותר

התחזית הראשונה של החברה נוגעת לשימוש במודלי שפה גדולים (LLM) לחיזוק הגנת הסייבר ומתן מענה למחסור בכוח אדם. המודלים הללו ישתפרו משמעותית ב-2024, ייאומנו על סוגי נתונים נוספים וישפרו את רמת הדיוק של התוצאות. מודלי AI המשופרים יוכלו להתמודד עם יחידות נתונים קשות לפיצוח, כמו אלו המצויות ברשת האפלה ובפורומים מוסווים. במקביל, AI ייעשה נגיש גם לגורמים פחות מנוסים, ללא תלות במיומנות או במידת הבשלות הארגונית, ולכן תגבר הנטייה לאמץ פתרונות בינה מלאכותית בהגנת סייבר. עוד מוקדם לפסוק אם ה-AI יסגור את הפער העצום בתחום, שכיום מסתכם במחסור של 3.5 מיליון אנשי מקצוע. אך אין ספק כי תוספת היעילות מאפשרת לצוותים לספק ערך רב יותר לארגון.

התוקפים יבצעו "הרעלת נתונים"

מיד לאחר ההשקה של פתרונות AI גנרטיבי, היה ברור כי מדובר גם בכן שיגור לשימוש עוין בטכנולוגיה. בסייברסיקסגיל מעריכים כי במהלך 2024 אנו צפויים לראות שחקנים זדוניים המשתמשים ב-AI להרחבת היקף פעילותם דרך הגברת התדירות והדיוק. האקרים ישמשו ב-AI גנרטיבי לצורך אוטומציה של תקיפות סייבר רחבות היקף, בניית קמפיינים של פישינג בדוא"ל המכפילים עצמם בקצב מהיר, ופיתוח תוכן זדוני הפוגע בחברות, עובדים ולקוחות במגוון תעשיות.

על-פי המחקר של סייברסיקסגיל, תוקפים צפויים לראות ב-AI גם יעד לתקיפה, אשר באמצעותו ניתן לשים יד על הרשאות משתמשים ולמכור אותן בשווקים ברשת האפלה. לצד זאת, תקיפות זדוניות דוגמת "הרעלת נתונים" וניצול פגיעויות בתוך מודלי ה-AI יצברו תאוצה. בהרעלת נתונים (Data poisoning) מוזרק למערכת מידע "מטופל", במטרה לשלוט בהתנהגות ובתוצאות שמספק אלגוריתם ה-AI או ה-ML המאומן, ועל-ידי כך לייצר תוצאות כוזבות.

דאגה נוספת היא עלייה בתופעה של "בינה מלאכותית בצלללים" (Shadow generative AI). זוהי תופעה שבמהלכה עובדים בארגון עושים שימוש בכלי AI או מפתחים כלים בעצמם, ללא אישור או השגחה של הארגון. מצב כזה עלול להוביל לפגיעה באבטחה, דליפות מידע, פריצה לחשבונות והתרחבות פערי הפגיעויות במשטח התקיפה של החברה.

החמרה ברמת הרגולציה

הרגולציה מצד ממשלות ותעשיות, סביב אבטחת המידע ופרופיל הסיכון בחברות, מתפתחת ומתהדקת זה מספר שנים. ב-2023, למשל, הוציאה ה-SEC, רשות ניירות ערך בארה"ב, הנחיות חדשות, שבין היתר הופכות את המנהלים הבכירים וחברי הדירקטוריון בתאגידים לאחראים באופן ישיר יותר על ההגנה והאבטחה של הדאטה והנכסים של הארגון ושל לקוחותיו.

להערכת החברה, ב-2024 ולאחריה, חובות רגולטוריות יאלצו את המנהלים ליישם אמצעי בקרה נוקשים כמענה לשטחי התקיפה המתרחבים ולגידול בתדירות התקיפות ובעוצמתן. ההנהלה תידרש להבנה טובה יותר של המדיניות, התהליכים והכלים הנוגעים לאבטחת המידע, ולכן מומחי אבטחת מידע יעבדו לצד הדירקטוריון במטרה להבטיח עמידה בדרישות והגדרת מדיניות של הארגון.

כיום ה-SEC דורשת מהחברות לספק דיווח מגובה ראיות לכך שכלי אבטחת המידע שלהם פועלים, הפערים והפגיעויות מטופלים כראוי, ואירועי סייבר מזוהים בזמן וזוכים למענה מיידי. הן גם נדרשות לדווח על אירוע סייבר בתוך ארבעה ימים מרגע התרחשותו. שינויים בתקן אבטחת המידע של כרטיסי האשראי (תקן PCI-DSS, גרסה 4.0) יוסיפו לחץ על חברות בענפי הקמעונאות, הבריאות והפיננסים, עם דרישות דיווח חדשות שייכנסו לתוקף במרץ 2024.

התפתחות וקטורי תקיפה חדשים והגידול המתמשך בתדירות התקיפות ובעוצמתן  מובילים לאימוץ תוכנית אבטחת מידע הידועה בכינוי TEM (ניהול חשיפה לאיום). בכל תוכנית כזאת, מודיעין איומים מהווה מרכיב בסיסי. חברת Cybersixgill צופה שב-2024 תצבור תאוצה גם הקונסולידציה של מודיעין האיומים, והשתלבותו עם ניהול משטחי תקיפה והגנה דיגיטלית מפני סיכונים. חברות יגבירו את השימוש בפתרונות מודיעין המפחיתים "רעשי רקע".

לא רק כסף – בנק המטרות מתרחב

סוגיות גיאופוליטיות ועימותים חברתיים מזינים את מניעיהם של עברייני הסייבר בדרכים חדשות. את המוניטין הם מבקשים כעת לצבור דרך זריעת כאוס בקרב מוסדות, ממשלות ושגרת חיינו. ב-2024 צפויות להתקיים ברחבי העולם 40 מערכות בחירות ארציות, עם מנהיגים פוליטיים המתחרים על השלטון. בהתחשב בעובדה שהבוחרים באותן מדינות מהווים 41% מאוכלוסיית העולם ואחראים לכ-42% מהתוצר הגלובלי – ההזדמנות לשיבוש תהליכים ברורה ומפתה.

השחקנים הזדוניים ישאפו תמיד לרווח כספי. יחד עם זאת, בשנת 2024 נראה עלייה בתקיפות של ישויות אשר נחשבו בעבר למטרות משניות: בתי ספר, בתי חולים, שירותים לציבור ושירותים חיוניים נוספים. החברה צופה שב-2024 תהיה עלייה בהשכרת שירותים מצד עברייני סייבר. בפרט צפויה עלייה בפופולריות של הצעות לכופרה כשירות (as-a-service), נוזקה כשירות ומתקפת DDos כשירות. המגמה המסתמנת: יותר מיקור חוץ של תקיפות סייבר. במקביל, יתגבר שיתוף הפעולה בין התוקפים: קבוצות תקיפה חזקות יעניקו "זיכיונות שימוש" בטכנולוגיות שלהן, ועסקי הסחיטה יהיו נגישים ורווחיים יותר.

[בתרשים למעלה: מספר הפוסטים הקשורים למלחמה מדי שבוע בטלגרם ובפורומים מחתרתיים באוקראינה וברוסיה. מקור: סייברסיקסגיל]

כאשר רוסיה פלשה לאוקראינה ב-24 בפברואר 2022, רבים הזהירו כי הסכסוך עלול להסלים למלחמת סייבר עולמית. החששות הללו התגברו כאשר כנופיות כופר וקבוצות פריצה התומכות בממשלת רוסיה הראו כי הן מוכנות לתקוף. צבא IT עצמאי בעל ברית עם אוקראינה הכריז על מתקפת נגד. על רקע זה, ממשלות וחברות ברחבי העולם נערכו לפריצות דיגיטליות נרחבות. 

עם זאת, דו"ח חדש של חברת מודיעין הסייבר הישראלית סייברסיקסגיל (Cybersixgill) מגלה כי למרות כל הרעש, הקבוצות הללו לא הצליחו להשפיע באופן משמעותי על הלוחמה בשטח. במקום זאת, הנוכחות הדיגיטלית של המלחמה באה לידי ביטוי בדרכים אחרות. 

טלגרם כמקור עוקף צנזורה לקבלת מידע

סייברסיקסגיל עושה שימוש בכלים מבוססי AI ולמידת-מכונה כדי לאסוף ולנתח כמויות עצומות של מידעים על תוקפי סייבר, שיטות הפעולה שלהם ואף על מתקפות מתוכננות. החברה אוספת מידע מהרשת הגלויה, הרשת העמוקה והרשת האפלה, וגם משירותי הודעות מיידיות כמו טלגרם.

המחקר של סייברסיקסגיל, שנכתב על ידי עדי בליה ודב לרנר, חקר כיצד המלחמה הידהדה ברשת העמוקה והאפלה, את ההקשר של הסכסוך מעל ומתחת לפני השטח, וכיצד פושעי הסייבר המשיכו בעסקיהם כרגיל. כך נכתב בדו"ח:

"שיחות רבות על המלחמה התרחשו בערוצי פשעי סייבר גדולים וקיימים, והפלישה הולידה ערוצים חדשים רבים וחיזקה את מעמדו של הטלגרם כערוץ השיח המרכזי.

"טלגרם, מסתבר, מהווה חבל הצלה תקשורתי חיוני להתנגדות האוקראינית, מנגד מהווה כלי מרכזי להמשך פשיעת סייבר בקרב האקרים הפועלים ממניעים מדיניים אידיאולוגיים או סתם פושעי סייבר, שהמשיכו עסקים כרגיל, למרות המלחמה ברקע. 

"בחקירתנו עלה כי שיחות בטלגרם שעקבו אחר אירועי המלחמה, פוסטים הקשורים למלחמה בשפה הרוסית או באוקראינית הגיעו לשיא של למעלה מ-122,000 בשבוע באמצע אוקטובר, במקביל לתקיפה על גשר קרים ולתקיפות הטילים הרוסים שבאו לאחר מכן.

"ערוצי טלגרם רבים קיבלו טון לאומני עז. חלקם קראו ותיאמו התקפות סייבר נגד היריב. עם זאת, התחזיות למלחמת סייבר עולמית נכשלו למרבה המזל. בעוד שקבוצות תוקפי סייבר נגד אוקראינה ו/או רוסיה ביצעו התקפות מוצלחות רבות נגד יעדים ממשלתיים ואזרחיים רבים, שיטות התקיפה שלהן נשארו אותן שיטות אקטיביסטיות מסורתיות, כגון מסחר על נתוני דאטה, השחתת מידע ומניעת שירות. לא נראה שמתקפות אלו סיפקו אפילו יתרון טקטי מינורי, למרות שעצם קיומן נותן ערך בהמרצת בסיס התומכים למטרה.

"במקביל טלגרם סיפקה שירות רב ערך לאזרחים אוקראינים ורוסים כאחד. רבים פנו לערוצי הטלגרם כדי לצרוך מידע קריטי, לעקוב אחר אירועים בשדה הקרב, למצוא סיוע הומניטרי ולהבין כיצד להימלט מהלחימה או מההתגייסות.

"הפעילות בטלגרם הלכה והתגברה במהלך המלחמה וזאת במגמה הפוכה מפורומים עמוקים ואפלים אחרים  באינטרנט, שבהם השיחות על המלחמה הגיעו לשיאן בתחילה, ואז ירדו בהתמדה ככל שהמלחמה נמשכה וכאשר המנהלים ביקשו לצמצם את השיח הפוליטי למינימום.

"יש לציין כי חלה עלייה משמעותית במספר כרטיסי האשראי הרוסיים שהוצעו למכירה, כמו גם עלייה בהונאות של ניצול כספי תרומות סיוע שהועברו ברשת, אבל מעבר לזה , אנחנו יכולים להעיד שהעסקים המשיכו כרגיל בקרב פושעי הסייבר.

בסייברסיגסקיל מסכמים:

"לרוע המזל, רוסיה ממשיכה לנהל מלחמה באוקראינה והסוף לא נראה לעין. בעוד שרבים חזו שהמלחמה תבשר על עידן חדש של לוחמת סייבר, זה עדיין לא התממש; היו התקפות רבות על רקע לאומני, אך הן היו סמליות ולא בקנה מידה רחב  . במקום זאת, ההשפעה האמיתית של הרשת העמוקה והאפלה על המלחמה הייתה היכולת לשתף חדשות והתפתחויות הומניטריות. בתוך חוסר הוודאות של המלחמה, רבים ללא ספק הסתמכו על זרם עקבי של עדכונים כדי לפלס את דרכם להישרדות."

האזינו לשיחה עם גבי ריש, סמנכ"ל המוצרים והפיתוח העסקי של סייברסיקסגיל, מתוך תוכנית מס' 54 בפודקאסט שלנו, שעלתה בפברואר 2023: