הדור הבא של האיומים והאסטרטגיות

"בשנה החולפת התוודענו למניעים חדשים בקרב עברייני הסייבר, אשר הציעו להשכרה את מרכולתם כדי לגרום נזק כלכלי וכאוס חברתי. תוך אימוץ מואץ של טכנולוגיות AI, הם הפכו יעילים ומדויקים מאי פעם. סוגים חדשים של תקיפות סייבר הולידו אתגר דינמי ומורכב, המחייב אסטרטגיות פרואקטיביות וגמישוֹת באבטחת המידע. 

כיום, הגנה בסייבר היא מרכיב חיוני בכל עסק. לוחמת הסייבר חוצה גיאוגרפיות ומשתרעת לאורכו ולרוחבו של העולם, וצונמי של פעילות זדונית הוביל לשיתופי פעולה בינלאומיים בין ממשלות ויצרני אמצעי הגנה בהתמודדות עם האיומים. הודות לשימוש ב-AI ובטכנולוגיות מתקדמות נוספות, גם ההגנה נעשתה יעילה יותר.        

כעת אנו נדרשים להתמודד עם טקטיקות מתוחכמות יותר, עם מגוון רחב יותר של מטרות ועם סיכונים משמעותיים יותר. כדי להקדים את התוקפים, חברות חייבות לעבור מהגנה תגובתית לאמצעים פרואקטיביים. במוקד המאמצים הללו עומד הצורך במודיעין אפקטיבי ביחס לאיומים. כזה שיהיה רלוונטי ומקושר לקונטקסט הספציפי של כל ארגון, בהתחשב במשתנים כמו משטח התקיפה ויעילות מערך ההגנה. גישה כזאת תשרת את הארגון גם בעמידה בדרישות הרגולציה המשתנות – תחום שגם בו למודיעין בעל הקשר יש ערך רב.   

בממלכת אבטחת המידע, אין לדעת מה יילד יום. אבל בזכות מודיעין איומים מקיף ובר הקשר, ניתן בהחלט לזהות אילו טרנדים צפויים להשפיע על הארגונים השונים בשנים הקרובות. עברייני סייבר יצליחו – וזה בלתי נמנע – לעבוד טוב יותר, מהר יותר, חכם יותר. אך זה נכון גם לגבי הצד המגן. ובעוד משחקי החתול ועכבר של לוחמת הסייבר נמשכים, אנו תקווה כי התובנות והתחזיות של Cybersixgill לשנת 2024 יסייעו בידיכם במאמץ לשמור את הנכסים ואת בעלי העניין בטוחים." 

מאז הושק ChatGPT בנובמבר 2022, נושא השיחה המרכזי בהגנת סייבר הוא AI. ב-2024 אנו צפויים לראות גידול משמעותי בשימוש בפתרונות השונים, ובפרט בגרסאות המוצעות לחברות.    

הערך הגדול של הבינה המלאכותית נסוב סביב היקף הדאטה ואמינותו. אלו, על פי התחזית של Cybersixgill, ישתפרו משמעותית ב-2024. היצרנים ישקיעו מאמץ רב בהגדלת העושר והדיוק של התוצאות, וזאת דרך פיתוח של טכנולוגיית הבסיס של המודלים והרחבת סוגי הדאטה שעל גבם הם מאומנים. מודלי AI ייעשו מתוחכמים במיוחד ויוכלו להתמודד עם יחידות דאטה מגוונות וקשות לפיצוח, כמו אלו המצויות ברשת האפלה ובפורומים מוסווים. 

בעוד היצרנים ממשיכים לפרוץ דרכים חדשות בעזרת AI, צוותי אבטחת מידע יחושו בטוחים יותר באשר ליכולתה של הטכנולוגיה לסייע בפרקטיקות העבודה וביישומים הנוגעים למודיעין איומי סייבר. במקביל, AI ייעשה נגיש גם לגורמים פחות מנוסים, ללא תלות במיומנות או במידת הבשלות הארגונית. בזכות השיפור בערך שמספקת הטכנולוגיה ובפשטות השימוש בה, גם צוות ג'וניורים ייטה לאמץ AI בעבודת ההגנה בסייבר. עוד מוקדם לפסוק אם ה-AI יסגור את הפער העצום בתחום, שכיום מסתכם במחסור של 3.5 מיליון אנשי מקצוע. אך אין ספק כי תוספת היעילות, הצומחת בקצב מוגבר, מאפשרת לצוותים לספק ערך רב יותר לארגון.        

ככל שהשימוש ב-AI צובר פופולריות, כך גוברת הדאגה באשר לפרטיות המידע בקרב ארגונים, יצרני תוכנות וגורמי ממשל. הרגולציה בנושא, כמו במרבית הטכנולוגיות החדשניות, עודנה מתפתחת. אנו מאמינים כי ב-2024, בהמתנה להסדרת החקיקה, חברות רבות יגבשו מדיניות ומגבלות משל עצמן. תחת הלחץ הגובר, ארה"ב ומדינות נוספות עשויות להנהיג רגולציה מסוימת כבר ב-2024, אם כי מדיניות ברורה ומגובשת לא צפויה עד 2025 או אף מאוחר יותר. 

Cybersixgill היא חלוצה בנושא פרטיות המידע סביב הבינה המלאכותית היוצרת (Generative AI). בהתחשב בעושר הדאטה הנגיש לנו, מודיעין על איומים בסייבר ו-AI גנרטיבי הולכים יד ביד: מודיעין בר הקשר מספק תובנות חשובות המסייעות בייעול ההשקעות ובדיוק הגישות ביחס לאבטחת המידע. כאשר הוא משולב עם AI גנרטיבי, צוותי אבטחת המידע מקבלים גישה מהירה לתובנות הללו, ללא תלות במיומנות שלהם או ברמת הבשלות הארגונית בתחום. ואולם, הדאגות סביב פרטיות המידע מצטברות. מאז הושק Cybersixgill IQ, כלי ה-AI הגנרטיבי במודיעין האיומים שלנו, ביוני 2023, Cybersixgill מובילה בנושא זה. הגישה שלנו, המוצגת להלן, יכולה לשמש כמסגרת עבודה לחברות נוספות: 

צמצום בהעברת דאטה – רק אינפורמציה חיונית ולא רגישה משותפת. 

הסוואת דאטה רגיש, כדי לשמר את מבנה הנתונים לצורך אנליזה תוך אבטחת האינפורמציה הרגישה. 

שליחת מטא-דאטה בלבד, ללא התוכן עצמו, בעת שיתוף פרטים רלוונטיים.

שימוש בפרטיות דיפרנציאלית בעת שיתוף אינפורמציה באמצעות דפוסי השימוש של קבוצה, תוך הסתרה והגנה על האינפורמציה הנוגעת למשתמש הספציפי. 

הקפדה על עיבוד לוקלי, במטרה להגביל את הדאטה המועבר על גבי הרשת הפתוחה.    

פיתוח מודלים מקוריים, עם קניין רוחני, של למידת מכונה, אשר אומנו על הדאטה הרגיש שלנו ובשרתים הבטוחים שלנו, כדי להבטיח שהשליטה על הדאטה והתובנות נותרת בידיים שלנו.  

  

מיד לאחר ההשקה של פתרונות AI גנרטיבי, היה ברור כי מדובר גם בכן שיגור לשימוש עוין בטכנולוגיה. במהלך 2024 אנו צפויים לראות שחקנים זדוניים המשתמשים ב-AI להרחבת ההיקף של פעילותם דרך הגברת התדירות והדיוק. האקרים ישמשו ב-AI גנרטיבי לצורך אוטומציה של תקיפות סייבר רחבות היקף, בניית קמפיינים של פישינג בדוא"ל המכפילים עצמם בקצב מהיר עוד יותר, ופיתוח תוכן זדוני המטרגט חברות, עובדים ולקוחות במגוון תעשיות.

על פי המחקר שלנו, תוקפים צפויים לראות ב-AI גם יעד לתקיפה, אשר באמצעותו ניתן לשים יד על הרשאות משתמשים ולמכור אותן בשווקים ברשת האפלה. לצד זאת, תקיפות זדוניות דוגמת "הרעלת נתונים" וניצול פגיעויות בתוך מודלי ה-AI יצברו תאוצה. בהרעלת נתונים (Data poisoning) מוזרק למערכת מידע "מטופל", במטרה לשלוט בהתנהגות ובתוצאות שמספק אלגוריתם ה-AI או ה-ML המאומן וכך לייצר תוצאות כוזבות. מצב כזה עלול לגרום לארגון לספק בהיסח דעת מידע רגיש לצדדים לא מורשים, או לאפשר לגורם זדוני להסתנן לרשת הארגונית מבלי שיזוהה. בדומה, ניתן לאמן מודלי AI לזהות ולנצל חולשות ברשתות מתחת לרדאר. 

דאגה נוספת היא עליית "ה-AI של הצללים" – Shadow generative AI – כאשר עובדים עושים שימוש בכלי AI או מפתחים כלים בעצמם ללא אישור או השגחה של הארגון. מצב כזה עלול להוביל לדליפות מידע, פריצה לחשבונות והתרחבות של פערי הפגיעויות במשטח התקיפה של החברה.       

שימוש זדוני ב-AI ליצירת סרטוני דיפ-פייק או צ'טבוטים שיכולים להתחזות לאנשים איננו תופעה חדשה. אך ככל שגורמים זדוניים הופכים למיומנים יותר בטכנולוגיה, הם מוצאים דרכים מתוחכמות יותר למנף אותה, למשל: חיקוי קול באמצעות שיבוט קולי ויצירת פרופילים ברשתות חברתיות אשר נראים אותנטיים לחלוטין. ביצירת שכפול דיגיטלי של קול, תוך שימוש בדגימות מנאומים פומביים, סרטונים ברשתות חברתיות ואפילו הודעות קוליות, עברייני סייבר יכולים להשתמש בשיבוט קולי לביצוע הונאה. בעוד קורבנותיהם מאמינים שהם משוחחים טלפונית עם גורם אותנטי, הם חושפים בפניו מידע אישי רגיש או פרטים פיננסיים שעלולים להיגנב או לשמש לפריצה. 

כדי ליצור פרופיל דיפ-פייק ברשת החברתית, עברייני סייבר אוספים מאדם אמיתי תמונות, סרטונים, פוסטים ומידע אישי נוסף שעשוי לשמש אותם ולחזק את תחושת האותנטיות של הפרופיל. פרופילים מהסוג הזה עשויים לשמש למטרות שונות – מהפצת אינפורמציה כוזבת, דרך הונאות ועד פגיעה במוניטין של הקורבן.                  

הרגולציה מצד ממשלות ותעשיות, סביב אבטחת המידע ופרופיל הסיכון בחברות, מתפתחת ומתהדקת זה מספר שנים. ב-2023, למשל, הוציאה ה-SEC, רשות ניירות ערך בארה"ב, הנחיות חדשות, שבין היתר הופכות את המנהלים הבכירים וחברי הדירקטוריון בתאגידים לאחראים באופן ישיר יותר על ההגנה והאבטחה של הדאטה והנכסים של הארגון ושל לקוחותיו. 

ב-2024 ולאחריה, חובות רגולטוריות יוסיפו ללחוץ על המנהלים ליישם אמצעי בקרה נוקשים כמענה לשטחי התקיפה המתרחבים ולגידול בתדירות התקיפות ובעוצמתן. זה נכון במיוחד לנוכח השימוש הגובר ב-AI וסוגיות פרטיות המידע הנגזרות מכך. המנהלים הבכירים ובעלי התפקידים המובילים בארגונים יידרשו להבנה טובה יותר של המדיניות, התהליכים והכלים הנוגעים לאבטחת המידע. יותר ויותר חברות ישלבו מומחי אבטחת מידע לצד הדירקטוריון, כדי למלא באדיקות אחר דרישות הדיווח המתרבות ולספק דירקטיבה נכונה בנושא. 

על פי דרישות הדיווח העדכניות של ה-SEC, חברות נדרשות לספק דיווח מגובה ראיות לכך שכלי אבטחת המידע שלהם פועלים, הפערים והפגיעויות מטופלים כראוי, ואירועי סייבר מזוהים בזמן וזוכים למענה מיידי. חברות אף נדרשות כעת לדווח על אירוע סייבר תוך ארבעה ימים מרגע התרחשותו, כהמשך לטרנד הרווח בתעשייה של קיצור חלון הזמנים שיש לעסק לזיהוי ולדיווח. נוסף על כך, שינויים בתקן אבטחת המידע של כרטיסי האשראי (תקן PCI-DSS, גרסה 4.0) יוסיפו עוד לחץ על חברות בענפי הקמעונאות, הבריאות והפיננסים, עם דרישות דיווח חדשות שייכנסו לתוקף בחודש מרץ 2024. כל השינויים הללו יוצרים צורך ממשי במודיעין איומים פרואקטיבי, אשר יסייע בהפחתת הסיכון תוך זיהוי מתמיד של הפערים וחיזוק היגיינת הסייבר.             

במהלך 2024 צפוי עדכון משמעותי לתקן NIST CSF, אשר נועד לסייע לארגונים ולתעשיות לנהל טוב יותר את סיכוני אבטחת המידע. אחד השינויים החשובים הוא הדגשת נושא הדירקטיבה בניהול הסיכונים. בין העדכונים של CSF 2.0: 

הקפדה יתרה על ניהול הסיכונים בשרשרת האספקה.

הנחיה רבה יותר ביישום.

התאמה לאסטרטגיית אבטחת המידע הלאומית של ממשל ביידן בארה"ב.

תקן NIST CSF 2.0 מסייע בדחיפת התעשייה לעבר תעדוף פרואקטיבי וניתוח פערים מבוסס דירוג של סיכונים, במטרה לאפשר הערכה מדויקת של הסיכון למערכת. תעדוף סיכונים פרואקטיבי המתבסס על מודיעין איומים מקיף, בר הקשר ארגוני והיסטורי, בצד בקרה אקטיבית על נכסי הארגון – גם עשוי להקל על חלק ניכר מכאבי הראש של אחראי אבטחת המידע סביב הציות לרגולציה. כדי להצליח בכך, צוותי אבטחת מידע יכולים לנקוט את הצעדים הבאים: 

1. הגדירו היטב את תהליך השליטה והבקרה בחברה, במטרה לפצח את יחסי הגומלין שבין מדיניות אבטחת המידע, הפעילויות בשגרה ובעלי העניין השונים. ככל שחברות מפתחות יותר תהליכי אבטחת מידע ומחדדות את המדיניות בנושא, כן עולה הצורך שלהן במודיעין איומים בר הקשר המותאם לנכסי הארגון – כזה שמגלה ומעצב את האופן שבו הדאטה והמערכות הארגוניות ימוגנו. 

2. בצעו הערכת סיכונים יסודית האומדת את הסיכונים הקיימים, הן בתוך הארגון והן לאורך שרשרת האספקה, ביחס ליעילות אמצעי האבטחה הבסיסיים המגנים על הדאטה.         

3. כמתו את סיכוני הסייבר בעזרת פתרון מודיעין איומים מקיף המזהה את הפגיעויות הידועות, מעשיר את המדידה שלהן ומסייע לתעדף בבטחה באילו מהפערים יש לטפל.    

4. הגדירו מדיניות ברורה ביחס למודעוּת לאבטחת המידע בארגון והקפידו למדוד אותה, כך שתוכלו להעריך נכונה אם עובדים, שותפים עסקיים, ספקי צד שלישי ואחרים מבינים די הצורך את המדיניות ופועלים בהתאם.     

בשנים האחרונות היינו עדים ליותר דיבורים ופחות מעשים בנוגע לשימוש במודיעין ובתובנות על איומי הסייבר בעת קבלת החלטות עסקיות קריטיות. ובכן, המצב הזה משתנה. התפתחותם של וקטורי תקיפה חדשים והגידול המתמשך בתדירות התקיפות, בעוצמתן ובמחיר הכבד של פריצה – כל אלה מובילים לאימוץ תוכנית מקיפה בגישה פרואקטיבית לאבטחת מידע, הידועה כ-TEM (ניהול חשיפה לאיום). בכל תוכנית כזאת, מודיעין איומים מהווה מרכיב בסיסי. חברות יזדקקו לפתרונות מודיעין יציבים, שיספקו להם תובנות ממוקדות באשר לפעולות שיש לנקוט על מנת לצמצם במידה ניכרת את הסיכונים.         

כחלק מטרנד הקונסולידציה הנרחב יותר באבטחת המידע בשנים האחרונות, Cybersixgill צופה שב-2024 תצבור תאוצה גם הקונסולידציה של מודיעין האיומים, כשהיא משתלבת עם יכולות אחרות ובהן ניהול משטח תקיפה והגנה דיגיטלית מפני סיכונים. במסגרת זו, יותר ויותר חברות ימנפו פתרונות מודיעין המפחיתים "רעשי רקע" ומספקים מודיעין בהקשר העסקי הספציפי. 

סוג כזה של מודיעין איומים, בפרט כשהוא מועשר בטכנולוגיית AI, מאפשר לארגונים לעשות שימוש במודיעין  בכל הרמות – אסטרטגית, אופרטיבית וטקטית – ובכל שדרות הארגון. זאת על מנת להפחית עד למינימום את זמן הזיהוי והתגובה הממוצע, לספק הגנה לנכסים ולנהל באופן חכם יותר את ההוצאות על אבטחת המידע. מודיעין האיומים שוב יוכיח את עצמו כאמצעי אסטרטגי ראשון במעלה, וארגונים יחלו להעריך את היתרונות האמיתיים שמציעים היצרנים, תוך עדכון הספקים בהתאם.  

 

הדרך ל-TEM מבליטה את הערך האסטרטגי של מודיעין האיומים, שכן עסקים זקוקים למידע ולתובנות שהוא מספק כדי להזין את מרכיבי התוכנית. חברת הייעוץ והמחקר גרטנר מגדירה חמישה סעיפים מרכזיים ב-TEM: 

1. סריקת משטח התקיפה של הארגון, בחיפוש אחר נקודות תורפה אפשריות בנקודות הכניסה ובנכסים השונים. 

2. איתור נכסים, כולל נכסים מוסווים, ופרופיל הסיכון שלהם, כמו גם פגיעויות, הגדרות לקויות וסיכונים נוספים. 

3. תעדוף של נכסי הארגון בעלי הערך הרב ביותר, עם תוכנית לטיפול בהם בהיבטי אבטחת המידע. 

4. תיקוף של וקטורי התקיפה האפשריים ושל האופן שבו המערכת תתמודד איתם, בהתאם לתוכנית מסעיף 3. 

5. רתימת אנשים ותהליכים – וידוא כי תוכנית ה-TEM מתוקשרת ומובנת היטב על ידי צוות אבטחת המידע ובעלי העניין.        

בשנה החולפת, סוגיות גיאופוליטיות ועימותים חברתיים הזינו את מניעיהם של עברייני הסייבר בדרכים חדשות. את המוניטין הם מבקשים כעת לצבור דרך זריעת כאוס בקרב מוסדות, ממשלות ושגרת חיינו. ב-2024 צפויות להתקיים ברחבי העולם 40 מערכות בחירות ארציות, עם מנהיגים פוליטיים המתחרים על השלטון. בהתחשב בעובדה שהבוחרים באותן מדינות מהווים 41% מאוכלוסיית העולם ואחראים ל-42% מהתוצר הגלובלי – ההזדמנות הפוטנציאלית לשיבוש תהליכים ברורה ומפתה.       

השחקנים הזדוניים ישאפו תמיד לרווח כספי (תוך הסבת חורבן פיננסי לפרטים ולתאגידים). יחד עם זאת, אנו צופים כי בשנת 2024 נראה עלייה בתקיפות של ישויות אשר נחשבו למטרות משניות לעומת היעדים המשתלמים היותר. בתי ספר, בתי חולים, שירותים לציבור ושירותים חיוניים נוספים יהיו חלק מהמשחק, כאשר גורמים עוינים חותרים להשיג כוח והשפעה ולזרוע כאוס כללי בעולם. 

כדי לעמוד בקצב של שדה המוקשים הצומח ועתיר ההזדמנויות הזה ולהזין את המניעים ההולכים ומתרבים, אנו מאמינים כי ב-2024 עברייני הסייבר יציעו את הידע והמומחיות שלהם להשכרה באופן מוגבר. בפרט צפויה עלייה בפופולריות של הצעות לכופרה כשירות (as-a-service), נוזקה כשירות ומתקפת DDos כשירות, המכוונות כלפי גורמים פרטיים, עסקים ותשתיות חיוניות. דרך רכישת שירותים, תשתיות או כלים מתוקפים מתוחכמים, גורמים זדוניים יכולים לבצע מיקור חוץ של העבודה הנדרשת בדרך לתקיפת סייבר מוצלחת במינימום מאמץ. 

בתוך כך, מסגרות של שיתופי פעולה ימשיכו לצמוח, כאשר קבוצות חזקות של תוקפי סייבר מעניקות "זיכיון" לטכנולוגיית הכופרה שלהן לרשתות מיומנות פחות – מה שיהפוך את עסקי הסחיטה לנגישים ורווחיים עבור גורמים רבים יותר.    

***

בתקופה שבה חברות מרחיבות את תהליכי הדיגיטציה, נשענות יותר על IoT ומכשירים המחוברים לרשת ואוספות ומאחסנות יותר דאטה בענן, עברייני סייבר ימשיכו ליהנות מהמרחב הדיגיטלי הגדל ומווקטורי תקיפה חדשים.  

בעולם אבטחת המידע, דבר אחד בטוח: עוד פריצות יתרחשו, והמחירים יוסיפו להאמיר. אחרי הכול, אנחנו עדים לחידושים חברתיים, כלכליים וטכנולוגיים אשר משנים את החיים כפי שהכרנו אותם ומטשטשים עוד את הגבול שבין הפיזי לדיגיטלי.

זיהוי של צרכים טכנולוגיים עתידיים, תוך הגנה על תשתיות ונכסים קיימים למזעור סיכונים וניצול הזדמנויות חדשות – זוהי מלאכה מורכבת וקשה. כל גישה שתינקט ביחס לאבטחת המידע חייבת להיות תואמת ליעדים העסקיים של הארגון, אבל הרמוניה שכזו סוטה לא פעם ממסלולה בשל כוחות חיצוניים. שיבושי השוק, המתודלקים על ידי שינויים טכנולוגיים, רגולציות גלובליות מורכבות, מתחים גיאופוליטיים ואי ודאות כלכלית, יעמידו במבחן את גישותיהם של הארגונים ביחס לסיכוני הסייבר וההתמודדות עימם.    

אנו מאמינים כי התחזיות שלנו ל-2024 יתרמו לגל הבא של הטרנספורמציה העסקית, המשלבת AI, למידת מכונה וחידושים דיגיטליים נוספים לטובת יעילות רבה יותר וחוויית לקוח מעולה. לאור מה שמוטל על הכף, גם גישתם של העסקים לאבטחת המידע חייבת לעלות מדרגה – מגמה שבהחלט באה לידי ביטוי בשטח וצפויה להימשך גם בשנה הבאה.