שלושה רבעים שלמים מפרצות נתונים בשנה האחרונה (74%) כללו את האלמנט האנושי, שנגרם בעיקר כתוצאה מעובדים שנפלו להתקפות של הנדסה חברתית או שגיאות, וחלקם השתמשו לרעה בגישה שלהם בזדון.
אירועי הנדסה חברתית יש כמעט הוכפל מאז שנה שעברה להוות 17% מכלל ההפרות, על פי דו"ח חקירות הפרת מידע (DBIR) של Verizon לשנת 2023 שפורסם ב-6 ביוני (אשר ניתח יותר מ-16,312 אירועי אבטחה, מתוכם 5,199 פריצות מידע מאושרות). הדו"ח ציין כי השכיחות הזו של כשל אנושי בתקריות מגיעה יחד עם ממצאים לפיהם העלות החציונית של התקפת תוכנת כופר הוכפל מאז שנה שעברה, להגיע לטווח של מיליון דולר. הראיות שנאספו יחד מצביעות על צורך פעור של ארגונים לקבל שליטה על יסודות האבטחה - או להתמודד עם מחזור ספירלי של אינפלציה בכל הנוגע לעלויות פריצת מידע.
כריס נובאק, מנהל ייעוץ אבטחת סייבר ב-Verizon Business, ציין שכדי לרסן את המגמה, ארגונים צריכים להתמקד בשלושה דברים: היגיינת אבטחת עובדים, הטמעת אימות רב-גורמי אמיתי ושיתוף פעולה בין ארגונים בנושא מודיעין איומים. הראשון הוא אולי הנושא המשפיע ביותר, הוא אמר.
"היסודות צריכים להשתפר, וארגונים צריכים להתמקד בהיגיינת סייבר", אמר במהלך אירוע עיתונאי בוושינגטון הבירה. "זו כנראה ההמלצה הכי פחות סקסית שאני יכול לתת לך, אבל זה אחד הדברים החשובים ביותר שאנחנו רואים שארגונים עדיין חסרים, ומכל הצורות והגדלים. וזה בדרך כלל בגלל שהם רוצים להתמקד בטכנולוגיה הראוותנית החדשה בתעשייה, והם שוכחים את היסודות”.
תוקפים חיצוניים בעלי מוטיבציה כלכלית מכפילים את עצמם בהנדסה חברתית
בנוסף להנדסה חברתית שגדלה בנפח, הסכום החציוני שנגנב מהתקפות אלו הגיע ל-$50,000 בשנה האחרונה, לפי DBIR. בסך הכל, היו 1,700 תקריות שנפלו לתוך דלי המדיה החברתית, 928 עם חשיפת נתונים מאושרת.
פישינג ו"תירוץ", כלומר התחזות מהסוג הנפוץ ב התקפות דואר אלקטרוני עסקיות (BEC)., שלט בסצנת ההנדסה החברתית, מצא הדו"ח. למעשה, הימורי תירוצים כמעט הוכפלו מאז השנה שעברה וכעת הם מייצגים 50% מכל התקפות ההנדסה החברתית.
אנליסטים של Verizon מצאו כי הרוב המכריע של אירועי ההנדסה החברתית נבעו על ידי גורמי איומים חיצוניים בעלי מוטיבציה פיננסית, שהיו מעורבים ב-83% מהפרות. לעומת זאת, איומי פנים היוו כחמישית מהאירועים (19%, הן בזדון אקטיבי והן בשוגג) ופעולות בחסות המדינה (בדרך כלל מעורבות בריגול במקום רווח כספי) היו מעורבים בפחות מ-10% מהמקרים.
יתרה מכך, שחקנים חיצוניים דבקו בקלאסיקה בכל הנוגע להשגת גישה ראשונית לארגונים, כאשר שלושת הדרכים המובילות הן באמצעות אישורים גנובים (49% מהפרות); פישינג (12%); וניצול נקודות תורפה (5%).
לא פלא שהדו"ח מצא ששלושה רבעים מהנתונים שנפגעו במתקפות הנדסה חברתית בשנה שעברה היו אישורים לדלק התקפות נוספות (76%) ואחריהן מידע פנים ארגוני (28%) ונתונים אישיים.
תוכנת הכופר טרם פגעה בקיר בצמיחה
מה משחק הסיום של המהנדסים החברתיים האלה? לעתים קרובות מדי זו תשובה שקל לנחש: תוכנות כופר וסחיטה. זה אותו סיפור כפי שהיה בשנים האחרונות, ולמעשה, אירועי תוכנת כופר החזיקו מעמד בדוח של השנה במונחים של נתח הפרות, חשבונאות, כמו בשנה שעברה, עבור כרבע מהאירועים בסך הכל (24% ). זה אולי נראה כמו חדשות טובות כלפי חוץ, אבל הדו"ח ציין שהנתון למעשה עף מול החוכמה המקובלת שתוכנת כופר תפגע בקיר במוקדם או במאוחר הודות לארגונים שחושבים על הגנות, גופים שמסרבים לשלם, אוֹ בדיקת אכיפת החוק.
נראה שכל זה לא הזיז את המחט - ולמעשה, עדיין יש הרבה יתרונות עבור תוכנת כופר קדימה, ציין הדו"ח, מכיוון שהיא לא הגיעה לרמת רוויה.
"שכמעט רבע מהפרות כרוכות בשלב של תוכנת כופר ממשיכה להיות תוצאה מדהימה", נכתב בדו"ח. "עם זאת, ציפינו שתוכנת הכופר תגיע בקרוב לתקרה התיאורטית שלה, ובכך אנחנו מתכוונים שכל התקריות שיכולות להיות תוכנות כופר, יהיו. למרבה הצער, עדיין יש מקום לצמיחה".
בסך הכל, מניעים פיננסיים סיפקו את הדחף ל-94.6% מהפרות בשנה, כאשר תוכנות כופר נוכחות ב-59% מהן. 80% מלאים מאירועי החדירה למערכת היו מעורבים בתוכנת כופר, לפי DBIR, ול-91% מהתעשיות יש תוכנות כופר כאחד מהזנים המובילים של אירועים.
אל האני גם כלכלת תוכנות הכופר ממשיכה להתמקצע, לפי הכתבה. כשמדובר בגורמים החיצוניים האחראים לרוב ההפרות, רובן היו קשורות לפשע מאורגן; תוכנות כופר, למעשה, ייצגו 62% מכלל התקריות הקשורות לפשע מאורגן.
נאבקים בגאות הגואה של תוכנות כופר והפרות
כדי למנוע צמיחה נוספת של תוכנות כופר ולבלום את גל הפרצות באופן כללי, נובאק של Verizon אומר שארגונים יכולים להתמקד בצעדים ניתנים להשגה, בהתחשב בכך שהנדסה חברתית היא בסיס לשניהם. למעשה, בנוסף לעידוד היגיינת אבטחה בסיסית ומודעות מצד העובדים, ארגונים צריכים גם להתקדם עם MFA ולהתמקד בחידוד מגוון שותפויות אבטחת סייבר.
בכל הנוגע ל-MFA, הוא אמר שהתרחקות מאימות דו-גורמי פשוט באמצעות סיסמאות חד פעמיות, לטובת אימות חזק כמו FIDO2, ישתנה משחק. FIDO2 מציג למשתמש אתגרי אימות באמצעות דפדפן, המוסיף הקשר לגבי האתגר ולאחר מכן מעביר אותו למאמת FIDO2 מצורף, המאפשר זיהוי של חטטנות אדם באמצע ועוד.
"אם נוכל לעשות צעדים משמעותיים בזה, אני חושב שנוכל להפיל באופן משמעותי הרבה מהפרצות הטבור [הבסיסיות] מבחינת מעורבות הגורם האנושי", אמר נובאק. "אנחנו צריכים לבחון מנגנונים אחרים לביצוע אימות הדדי חזק או רב-גורמי."
למרות זאת, הוא אמר, "אני חושב שאנחנו לא קרובים למקום שהיינו אוהבים להיות ב-FIDO2. אבל אני חושב שהאתגר הגדול ביותר שעומד בפנינו באמת באימוץ בקנה מידה גדול הוא שינוי ההתנהגות האנושית. אנחנו אומרים 'תראה, תעשה את זה ותגן על הנתונים שלך, אתה תגן על המערכות שלך, ותגן על העסק שלך, על הפרנסה שלך'. ואפילו עדיין, הרבה אנשים ייאבקו כדי להתקדם בכיוון הזה".
עם זאת, החדשות הטובות הן שנובאק ציין שארגונים נמצאים קצת יותר רחוק בחזית שותפות הסייבר.
"המנטליות הקודמת הייתה שארגונים באמת ניסו לעשות הכל בבית, ואני חושב שכעת אנחנו רואים את הצורך בדרגה גבוהה יותר של שיתוף פעולה והתקדמות", הסביר. "שחקני האיום עושים את זה כי זו דרך יעילה לתקשר ולשתף מידע, וגם אנחנו יכולים לעשות את זה. הגיע הזמן להצטרף למשהו כמו מאמץ רחב של מודיעין איומים רב-צדדי, לעזור לארגונים בתגובה לאירועים אך גם לטפח מערכת אקולוגית חזקה של שותפים. אני חושב שזה יהיה מועיל בצורה יוצאת דופן".
המאמץ האחרון הזה יכול גם לעזור לארגונים לחלוק טיפים וגישות לחיזוק הגנות, אומר Bhaven Panchal, מנהל בכיר לאספקת שירות ב-Cyware.
"זה הכרחי לארגונים להאיץ את תהליכי האבטחה שלהם ולסתום פערי נראות בסביבתם", הוא מציין. "המבצעיות של מודיעין איומים, אוטומציה של תגובה לאיומים ושיתוף פעולה אבטחה יסייעו להניע את השינוי הזה לעבר מרחב סייבר גמיש יותר לכולם."
סרגל צד: פלחי תעשייה בסיכון הגבוה ביותר להפרות נתונים
במונחים של הכוונה לתעשיות שונות, ה- Verizon DBIR מצא כי מגזר הפיננסים והביטוח היה ממוקד לרוב, ואחריו מקרוב ייצור. הנתונים הסטטיסטיים האנכיים הם כדלקמן:
- שירותי לינה ואוכל • 254 אירועים, 68 עם חשיפת נתונים מאושרת
- חינוך • 497 אירועים, 238 עם חשיפת נתונים מאושרת
- פיננסיים וביטוחיים • 1,832 תקריות, 480 עם חשיפת נתונים מאושרת
- שירותי בריאות • 525 אירועים, 436 עם חשיפת נתונים מאושרת
- מידע • 2,110 אירועים, 384 עם חשיפת נתונים מאושרת
- ייצור • 1,817 תקריות, 262 עם חשיפת נתונים מאושרת
- כרייה, חציבה והפקת נפט וגז + שירותים • 143 תקריות, 47 עם חשיפת נתונים מאושרת
- שירותים מקצועיים, מדעיים וטכניים • 1,398 תקריות, 423 עם חשיפת נתונים מאושרת
- קמעונאות • 406 אירועים, 193 עם חשיפת נתונים מאושרת
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/verizon-dbir-social-engineering-breaches-spiraling-ransomware-costs