הדוח של פורטינט חושף: חלה ירידה במספר הארגונים המזהים מתקפות כופר

אך הנפח וההשפעה של המתקפות הממוקדות ממשיכים לעלות
לפי ממצאי הדוח, קיים סיכוי הגדול פי 327 לתקוף את נקודות התורפה הקריטיות ביותר תוך שבוע מאז פרסומן בהשוואה לכל שאר נקודות התורפה השכיחות האחרות

פורטינט® (נאסד"ק: FTNT), מובילה עולמית באבטחת סייבר המניעה את האיחוד בין ביצועי תקשורת ואבטחה, פרסמה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של FortiGuard Labs, גוף מודיעין האיומים והמחקר של החברה. במחצית הראשונה של 2023, חוקרי FortiGuard Labs תיעדו ירידה במספר הארגונים שאיתרו מתקפות כופר, לצד פעילות משמעותית בקרב קבוצות APT (איומים מתמשכים ומתקדמים), שינוי בטכניקות MITRE ATT&CK המשמשות את ההאקרים ועוד.

כאשר ארגונים ממשיכים למצוא את עצמם בעמדה מתגוננת עקב התחכום הגובר של הגורמים העוינים וההסלמה של המתקפות הממוקדות, הניתוח של מפת האיומים על ידי חוקרי FortiGuard Labs מסייע לספק מודיעין בעל ערך אשר יכול לשמש כהתרעה מוקדמת לגבי פעילות איומים פוטנציאלית ולעזור למומחי האבטחה לתעדף את אסטרטגיות האבטחה ומאמצי התיקון שלהם.

דוח מפת האיומים מתבסס על המודיעין השיתופי של FortiGuard Labs, אשר נלקח ממערך החיישנים הרחב של פורטינט, האוסף מיליארדים של אירועי אבטחה אשר נצפו ברחבי העולם במהלך המחצית הראשונה של 2023. הדוח משתמש במודל העבודה של MITRE ATT&CK לסיווג השיטות והטכניקות של פושעי הסייבר כדי לתאר כיצד גורמי האיום מתמקדים בנקודות תורפה, בונים תשתית זדונית ומנצלים את המטרות שלהם.

להלן ממצאי הדוח העיקריים:

ירידה במספר הארגונים המאתרים מתקפות כופר: חוקרי FortiGuard Labs תיעדו זינוק משמעותי בגידול של גרסאות מתקפות הכופר בשנים האחרונות, אשר הונע ברובו על ידי האימוץ של מתקפות כופר כשירות (Ransomware-as-a-Service – RaaS). יחד עם זאת, החוקרים מצאו כי פחות ארגונים איתרו מתקפות כופר במחצית הראשונה של 2023 (13%) בהשוואה לתקופה זו לפני חמש שנים (22%). למרות הירידה הכוללת, ארגונים מוכרחים להמשיך לעמוד על המשמר. דבר זה תומך במגמה שאותה ראו חוקרי FortiGuard במשך מספר השנים האחרונות, לפיה מתקפות כופר ומתקפות נוספות הופכות באופן גובר לממוקדות יותר הודות לתחכום הגובר של התוקפים והרצון להגביר את החזר ההשקעה (ROI) עבור כל מתקפה. עוד עלה מהמחקר כי הנפח של איתור מתקפות הכופר ממשיך להיות תנודתי והיה גבוה פי 13 בסוף המחצית הראשונה של 2023 מאשר בסוף 2022, אך עדיין במגמת ירידה כוללת בהשוואה משנה לשנה.

ישנה סבירות תקיפה של פי 327 עבור נקודות התורפה המובילות של EPSS בשבוע הראשון של פרסום נקודות התורפה בהשוואה לנקודות תורפה שכיחות (CVE) אחרות: מאז הקמתה, פורטינט תרמה באופן פעיל את נתוני פעילות ניצול נקודות התורפה לטובת תמיכה ב-Exploit Prediction Scoring System (EPSS). מטרת הפרויקט היא למנף מספר עצום של משאבי נתונים כדי לחזות את הסבירות וזמן הניצול של נקודת תורפה. חוקרי FortiGuard Labs ניתחו 6 שנים של נתונים מתוך למעלה מ-11,000 נקודות תורפה שפורסמו, אשר איתרו ניצול וגילו כי נקודות תורפה שכיחות (CVEs) אשר סווגו עם ציון EPSS גבוה (ברמת חומרה של ה-1% העליון), היו בסבירות של פי 327 לניצול בתוך 7 ימים מאשר כל נקודת תורפה אחרת. מדובר בניתוח ראשון מסוגו, אשר יכול לשמש כנורת אזהרה ראשונה ולספק למנהלי אבטחת המידע ולצוותי האבטחה אינדיקציה מוקדמת לגבי מתקפות ממוקדות נגד הארגון שלהם. בדומה לאזור הסיכון (Red Zone) שהוצג בדוח מפת האיומים הקודם של פורטינט, מודיעין זה יכול לסייע לצוותי האבטחה לתעדף באופן שיטתי את מאמצי התיקון כדי למזער את הסיכון של הארגון.

אזור הסיכון ממשיך לסייע למנהלי אבטחת המידע לתעדף את מאמצי התיקון: הניתוח של חוקרי FortiGuard Labs סביב ניתוח ה-EPSS מרחיב את המאמצים להגדיר את אזור הסיכון, המסייע לכמת את היחס של נקודות התורפה הזמינות על נקודות הקצה המותקפות באופן פעיל. במחצית השנייה של 2022, אזור הסיכון עמד על 8.9%, כאשר המשמעות היא כ-1,500 מתוך 16,500 נקודות התורפה השכיחות היו תחת מתקפה. במחצית הראשונה של 2023, המספר ירד מעט ל-8.3%. ההפרש בין המחצית השנייה של 2022 והמחצית הראשונה של 2023 הוא מינימלי ונראה שזוהי הנקודה האופטימלית עבור גורמים זדוניים המתמקדים בנקודות תורפה על נקודות קצה. חשוב לציין כי מספר נקודות התורפה שהתגלו, הקיימות והמנוצלות, משתנה בקביעות. משתנים אלו והיעילות של ניהול התיקונים של הארגון יכולים להפחית משמעותית את שטח אזור הסיכון שלו. חוקרי FortiGuard Labs ממשיכים להשקיע בדרכים יעילות כדי לסייע לארגונים לתעדף ולסגור במהירות רבה יותר נקודות התורפה.

קרוב לשליש מקבוצות התקיפה APT היו פעילות במחצית הראשונה של 2023: לראשונה, חוקרי FortiGuard Labs איתרו את מספר גורמי האיום העומדים מאחורי המגמות. המחקר מגלה כי 41 (30%) מתוך 138 קבוצות איומי הסייבר של MITRE שאותרו היו פעילות במחצית הראשונה של 2023. מתוך אלו, Turla, StrongPity, Winnti, OceanLotus ו-WildNeutron היו הפעילות ביותר בהתבסס על איתור התוכנות הזדוניות. בהינתן המיקוד והקמפיינים הקצרים-יחסית של APT וקבוצות סייבר בחסות מדינות בהשוואה לקמפיינים ארוכים של פושעי הסייבר, אנו צפויים לראות את ההתפתחות ונפח הפעילות בתחום בהמשך.

השוואה של חמש שנים חושפת גדילה דרמתית בפרצות ייחודיות, גרסאות של תוכנות זדוניות ובוטנטים עקשניים:

· פרצות ייחודיות נמצאות במגמת עלייה: חוקרי FortiGuard Labs איתרו למעלה מ-10,000 פרצות ייחודיות במחצית הראשונה של 2023 – 68% יותר מאשר לפני חמש שנים. הזינוק באיתור של פרצות ייחודיות מדגיש את הנפח העצום של מתקפות זדוניות שצוותי האבטחה צריכים להיות מודעים אליהן, לצד ההתרבות והגיוון של המתקפות בפרק זמן קצר יחסית. הדוח מראה גם צניחה של יותר מ-75% בניסיונות ניצול פר-ארגון בחלון זמן של חמש שנים וצניחה של 10% בפרצות חמורות, מה שמצביע על כך כי בעוד שערכות הניצול של הגורמים הזדוניים גדלו, המתקפות הפכו להרבה יותר ממוקדות מאשר לפני חמש שנים.

· פיצוץ במשפחות וגרסאות של תוכנות זדוניות, עלייה של 135% ו-175% בהתאמה: בנוסף לעלייה המשמעותית במשפחות וגרסאות של תוכנות זדוניות, עוד נמצא בדוח כי מספר משפחות התוכנות הזדוניות שמתפשטות לפחות ל-10% מהארגונים הגלובליים (סף שכיחות הראוי לציון) הוכפל במהלך חמש השנים האחרונות. ניתן לייחס הסלמה זו בנפח ובשכיחות התוכנות הזדוניות לקבוצות APT ופושעי סייבר רבים יותר המרחיבים את הפעילות ומגוונים את המתקפות שלהם בשנים האחרונות. דוח מפת האיומים האחרון התמקד בעלייה בתוכנות מחיקה (Wiper) הקשורות במידה רבה למלחמה בין רוסיה ואוקראינה. מדובר באיום שנמשך לאורך שנת 2022, אך האט במהלך המחצית הראשונה של 2023. חוקרי FortiGuard Labs עדיין רואים שימוש בתוכנות מחיקה על ידי גורמים מדיניים, אם כי האימוץ של תוכנה זדונית מסוג זה על ידי פושעי הסייבר ממשיכה לגדול בעודם מתמקדים בארגונים במגזרי הטכנולוגיה, ייצור, ממשל, טלקום ובריאות.

· הבוטנטים נשארים ברשתות יותר זמן מתמיד: בעוד כי הדוח מצא יותר בוטנטים פעילים (27%+) ושיעור שכיחות גבוה יותר בקרב ארגונים במהלך חמש השנים האחרונות (126%+), אחד הממצאים המפתיעים ביותר זוהי העלייה האקספוננציאלית במספר הכולל של "הימים הפעילים", אותם חוקרי FortiGuard Labs מגדירים כמשך הזמן שעובר בין הפגיעה הראשונה והאחרונה של ניסיון מתקפות הבוטנט. במהלך המחצית הראשונה של 2023, הזמן הממוצע שבו הבוטנטים שהו לפני שתקשורת הפיקוד והבקרה (C2) הפסיקה לפעול היה 83 ימים, מה שמייצג עלייה של פי 1,000 מלפני חמש שנים. מדובר בדוגמה נוספת שבה הפחתה של זמן התגובה היא קריטית – שככל שארגונים מאפשרים לבוטנטים לשהות זמן רב יותר, כך גדל הנזק והסיכון לעסקים שלהם.



גישה כוללת לצורך שיבוש פשיעת הסייבר

התרומות של חוקרי FortiGuard Labs לקהילת מודיעין האיומים במהלך העשור האחרון הביאו להשפעות משמעותית ברחבי העולם וסייעו לשפר את ההגנה עבור לקוחות, שותפים וממשלות במאבקם נגד פשיעת סייבר. פירוק ההגבלות והגברת איכות מודיעין האיומים שניתן לפעול לפיו מסייעים לארגונים להפחית את הסיכונים ולשפר את היעילות הכוללת של תעשיית אבטחת הסייבר. למגיני הסייבר כיום יש גישה לכלים, ידע ותמיכה כדי להתחיל לשנות את הכלכלה של הגורמים הזדוניים. יחד עם זאת, המחויבות של התעשייה לשיתוף פעולה ומודיעין היא זו שתיצור מרחב פעילות גדול יותר של שיבוש ותאפשר לתעשייה להשיג את העליונות נגד פושעי הסייבר.

כמובילה באבטחת סייבר ברמה ארגונית וחדשנות באבטחת רשתות התקשורת, פורטינט מסייעת לאבטח למעלה מחצי מיליון ארגונים ברחבי העולם, כולל ארגונים גלובליים, ספקי שירות ומוסדות ממשלה. הפיתוח המתמשך של פורטינט בתחום הבינה המלאכותית המיושמת במקרי שימוש של אבטחת סייבר בגוף המחקר של FortiGuard Labs ובסל המוצרים של החברה, מאיץ את האיתור, המניעה והתגובה לאיומים ידועים ולא ידועים.

דרק מאנקי, אסטרטג אבטחה בכיר וסמנכ"ל מודיעין איומים גלובלי ב-FortiGuard Labs, פורטינט, אמר כי, "שיבוש פשיעת הסייבר הוא מאמץ גלובלי הכולל שיתופי פעולה חזקים ומהימנים, בין היתר, בין המגזר הציבורי והפרטי, יחד עם השקעה בשירותי אבטחה המונעים על ידי AI, אשר יכולים לסייע לצוותי האבטחה לתאם מודיעין איומים שניתן לפעול לפיו בזמן אמת ברחבי כל הארגון שלהם. צוותי אבטחה לא יכולים להרשות לעצמם לשבת בחוסר מעש כאשר האיומים הממוקדים נמצאים בשיא של כל הזמנים. חוקרי FortiGuard Labs ממשיכים לספק חדשנות ומודיעין שניתן לפעול לפיו, כמו ה-Red Zone וניתוח ה-Exploit Prediction Scoring System כדי לסייע לצוותי האבטחה לתעדף באופן יזום את מאמצי התיקון ולהגיב לאיומים מהר יותר מאי פעם".