ההתקפות האחרונות לכאורה שבוצעו על ידי קבוצת הסינית Salt Typhoon לחברות תקשורת ומדינות – ביניהם הייתה תהיה הברזיל – השאיר את העולם כולו בכוננות. חדשותיות מדברות על רמת המתוחכמות של הפלישות ו, מה שמאוד מדאיג – הפושעים, באופן תיאורטי, עדיין היו נמצאים בתוך הרשתות של חברות אלה
המידע הראשון על קבוצה זו הופיע ב-2021, כאשר צוות Threat Intelligence של מיקרוסופט פרסם מידע על איך סין הייתה לחדור בהצלחה במספר ספקי שירותי אינטרנט, כדי לפקוח את העסקים – וללכוד נתונים. אחד מהתקפות הראשונות שבוצע על ידי הקבוצה היה מפיגוע ברוטרים Cisco, ששימשו כשער כדי לעקוב אחר פעילויות אינטרנט המתרחשות באמצעות המכשירים האלה. מאחר שהגישה הייתה מתקבלת, ההאקרים הצליחו להרחיב את טווחם לרשתות נוספות. באוקטובר 2021, הקספרסקי אישר שהפושעים הסייבר כבר הרחיבו את ההתקפות למדינות אחרות כמו וייטנאם, אינדונזיה, תאילנד, מלזיה מצרים, אתיופיה ואפגניסטן.
אם הפגיעות הראשונות כבר היו ידועות מאז 2021 – למה שעדיין היינו מותקפים? התשובה עומדת, בדיוק, באופן שבו אנו מתמודדים עם הפגיעות האלה ביום-ל-יום
שיטה של הפרה
עכשיו, בימים האחרונים, מידע מהממשלה האמריקאית אישר סדרה של התקפות ל ⁇ חברות ומדינות ⁇ – שהיו קרו מבעד לפגיעות ידועות באפליקציית VPN, של היצרן Ivanti, בFortinet Forticlient EMS, משמש כדי לעשות את המעקב בשרתים, בfirewalls Sophos וגם בשרים Microsoft Exchange.
הפגיעה של מיקרוסופט פורסמה בשנת 2021 כאשר, מיד ברצף, החברה פרסמה את התיקונים. השגיאה בחומות האש Sophos פורסמה בשנת 2022 – ותוקנת בספטמבר של 2023. הבעיות שנמצאו בForticlient הפכו לציבור בשנת 2023, ותוקנו במרץ של 2024 – כמו גם אלה של איוונטי, שגם היו CVEs שלהם (Common Vulnerabilities and Exposures) רשומים בשנת 2023. החברה, בינתיים, רק תיקן את הפגיעות באוקטובר שעבר.
כל פגיעות אלה איפשרו לפושעים בקלות להסתנן לרשתות הותקפו, באמצעות אישורים ותוכנות לגיטימיות, מה שהופך את זיהוי הפלישות האלה כמעט בלתי אפשרי. מנקודה זו, הפושעים עברו באופן צדדי בתוך הרשתות הללו, מציב malwares, שעזרו בעבודה של ריגול לטווח ארוך.
מה שמדאיג בהתקפות האחרונות הוא שהשיטות המשמשות על ידי האקרים של קבוצת Salt Typhoon הן עקביות עם הטקטיקות ארוכות הטווח שנצפו בקמפיינים קודמים מיוחסים לסוכני מדינה סיניים. שיטות אלה כוללות את השימוש באישורים לגיטימיים כדי להסוות פעילויות זדוניות כמו פעולות שגרתיות, מקשה על הזיהוי על ידי מערכות אבטחה קונבנציונליות. ההתמקדות בתוכנות בשימוש נרחב, כמו VPNs ו firewalls, מראה ידע מעמיק של פגיעות בסביבות תאגידיות וממשלתיות
הבעיה של הפגיעות
הפגיעות המנוצלות גם חושפות דפוס מדאיג: עיכובים ביישום תיקונים ועדכונים. למרות התיקונים שהופקו על ידי היצרנים, המציאות המבצעית של חברות רבות מקשה על יישום מיידי של פתרונות אלה. בדיקות תאימות, הצורך להימנע מהפרעות במערכות קריטיות משימה; ו, בכמה מקרים, חוסר המודעות על חומרת ההפרעות תורמים להגדלת חלון החשיפה
השאלה הזאת לא היא רק טכנית, אבל גם ארגוני ואסטרטגי, המעורבים תהליכים, עדיפויות ו, הרבה פעמים, תרבות תאגידית
היבט קריטי הוא שחברות רבות מתייחסות ליישום של פאצ'ים כמשימה ⁇ משנית ⁇ בהשוואה להמשך הפעילות. זה יוצר את מה שנקרא דילמה של downtime, שם המנהיגים צריכים להחליט בין ההפסקה הרגעית של שירותים כדי לשדרג מערכות והסיכון הפוטנציאלי של ניצול עתידי. עם זאת, ההתקפות האחרונות מראות כי לדחות עדכונים אלה יכול לצאת הרבה יותר יקר, הן במונחים פיננסיים והן מוניטין
בנוסף לכך, בדיקות התאימות הן צומת צרה נפוצה. הרבה סביבות תאגידי, במיוחד במגזרים כמו טלקום, פועלים עם שילוב מורכב של טכנולוגיות מורשת ומודרניות. זה גורם לכך שכל עדכון דורש מאמץ ניכר כדי להבטיח שהפתק לא גורם בעיות במערכות תלויות. סוג זה של דאגה הוא מובן, אבל ניתן להיות מופחת על ידי אימוץ שיטות כמו סביבות בדיקה חזקות יותר ותהליכי אוטומציה של אימות
נקודה נוספת שתורמת לעיכוב ביישום של פאצ'ים היא חוסר המודעות על חומרת ההפרעות. לעיתים קרובות, צוותי IT ממעיטים בחשיבות של CVE ספציפי, במיוחד כשהוא לא נחקר באופן נרחב עד הרגע. הבעיה היא שהחלון של הזדמנות לתוקפים יכול להיפתח לפני שהארגונים מבינים את חומרת הבעיה. זה הוא תחום שבו אינטליגנציה של איומים ותקשורת ברורה בין ספקי הטכנולוגיה והחברות יכולות לעשות כל ההבדל
לבסוף, החברות צריכות לאמץ גישה יותר פרוקטיבית ומעודדת לניהול פגיעות, מה שכולל את אוטומציה של תהליכי patching, הפיצול של הרשתות, מגביל את ההשפעה של פלישות אפשריות, השגרה של לדמות באופן קבוע התקפות אפשריות, מה שעוזר למצוא את הפוטנציאלים ⁇ נקודות חלשות ⁇.
הסוגיה של עיכובים בשטיפים ועדכונים היא לא רק אתגר טכני, אבל גם הזדמנות לארגונים לשנות את הגישה שלהם לבטיחות, הופך אותה יותר זריזה, אופטימי ועמיד. מעל לכל, מצב הפעולה הזה לא הוא חדש, ומאות של התקפות אחרות מתבצעות עם אותושיטת פעולה, מבעד לפגיעות שהן משמשות כדלת כניסה. לנצל את הלקח הזה יכול להיות ההבדל בין להיות קורבן או להיות מוכן להתקפה הבאה
