אם ההיסטוריה לימדה אותנו משהו, נוף איומי הסייבר של 2024 יהיה דומה למדי לנוף האיומים של 2023, רק מדויק ויעיל יותר. את פושעי סייבר, כמו חבריהם למקצוע, מעניין רק דבר אחד, כסף, וכדי להשיגו הם ימשיכו לנקוט במגוון רחב של אמצעים. ההבדל העיקרי שאנחנו רואים עם פרוס 2024 הוא בגזרת מאמצים מדויקים יותר וקיצורי דרך שהם יעשו כדי לקדם את מטרותיהם.
לאורך השנים, התמקדו קבוצות הפשיעה בניצול חולשות zero-day או שימוש באישורים גנובים כדי לקבל גישה לרשתות של קורבנות, אבל מדי פעם הם מזהים חולשה חדשה שקל לנצלה, ומיד תוקפים (כפי שראינו לאחרונה עם Citrix Bleed – חולשה CVE-2023-4966 שנוצלה על ידי קבוצות כופר ב-Citrix NetScaler). ושוב, אחרי שינוצל על ידם היתרון החדש ואחרי שהתגלה וטופל, הם יחזרו לשיטה היעילה מעט פחות של גניבת אישורים, כמו שקרה בעיקבות האימוץ המתרחב של אימות רב שלבי על ידי ארגונים, אשר שוב אילץ את ארגוני הפשיעה להיות יצירתיים ולפתח מעקפים מתוחכמים יותר.
לדברי צ'סטר וישנייבסקי, מנהל טכנולוגיות ראשי בסופוס, 2023 הציגה התקדמות רבה בניצול לרעה של שרשרות אספקה לצורך תקיפה של קורבנות. בין אם באמצעות ניצול חולשות של ספקי שירות מנוהלים (MSPs) , אמצעי שיתוף קבצים או באמצעות ספקי אימות, לעיתים הדרך הקלה ביותר לפרוץ היא דרך הדלת האחורית. ככל שאנו ממשיכים למגן את הרשתות שלנו ולאמץ מודלים של פתרונות כשירות, ניתן לצפות שהתקפות כאלו יתרחבו במהלך 2024.
עם התרחבות השימוש באימות רב-שלבי, נמשיך לראות גם התרחבות מקבילה בשימוש בגורמי צד שלישי זדוניים כמו evilginx ושיטות הנדסה חברתית במאמץ לשכנע את משתמשי הקצה ואת צוותי התמיכה ב-IT להעניק לתוקפים גישה למערכות. קבוצות כמו LAPSU$ ו-Scattered Spider משכו את תשומת הלב הגלובלית במהלך 2022 ו-2023 על רקע הצלחתם להשיג גישה לשמות ידועים כמו MGM Resorts International ו-Caesars Entertainment. הצלחתם תעורר בוודאי השראה לקבוצות אחרות שינסו לחקות את הישגיהם.
"אנו צופים השנה כניסה של ממשלות גדולות ברחבי העולם למגרש ונקיטת צעדים משמעותיים יותר מצידן לסיכול ומיגור קבוצות הכופר", אומר וישנייבסקי. הסיבה לכך פשוטה – חיי היום יום של ציבורים שלמים מושפעים יותר ויותר מהשבתות ופגיעה בפעילות של בתי חולים, בתי ספר, משרדי עורכי דין ובנקים הנגרמים בשל מתקפות סייבר. קשה להעריך עדיין האם הכניסה של ממשלות למגרש תייצר תגובה יעילה, אבל אנחנו מגיעים לנקודה שבה ציבורים נרחבים יתחילו לדרוש "שמישהו יעשה משהו".
"טכנולוגיות כמו AI יסייעו לנו יותר ויותר באמצעות ביצוע יעיל יותר ועבודה משופרת של צוותי אבטחה. בינה מלאכותית מצטיינת בטיפול בהיקפים גדולים מאוד של נתונים ושימוש בשאילתות לסיווג והבנת התוצאות. היכולת האנושית מסוגלת לעשות את כל זה, אבל בינה מלאכותית תייעל את העבודה מבחינת זמני הביצוע ודיוק. שימוש ב-AI גם יאפשר זיהוי ואיתור משופרים של חריגות במערכות נתונים גדולות, משום שהמכונה יכולה "לראות" את כל המידע בבת אחת ויכולה לסייע בהפניית תשומת לב אנושית לדברים חריגים או שונים מהרגיל.
ולסיכום, אומר וישנייבסקי, מערכות צריכות להגן על המשתמש הממוצע מבלי שהוא ידרש לעבור הכשרה או "לעבוד בזה" בעצמו. אם לא, נכשלנו. הדבר המשמעותי ביותר שאנחנו יכולים לעשות כדי להפוך את זה למציאות הוא להוציא לגימלאות את הסיסמאות ולהתקדם לעבר אימות עמיד בפני פישינג, באמצעות passkeys. passkeys מאפשרים למשתמש לעשות שימוש באימות ביומטרי במכשיר הנייד שלו כדי לאמת את הדואר שלו, את חשבונות המדיה החברתית או את אתרי הקניות המועדפים עליו. ככל שנבטל את המורכבות ונמשיך להפוך נושאים כמו עדכוני תוכנה לאוטומטיים יותר, הציבור הרחב יוכל סוף סוף לשבת בחיבוק ידיים, להירגע וליהנות מהזמן המקוון שלו מבלי לחשוש מפריצה או תקיפה. תפקידנו כאנשי אבטחה הוא להאיץ את האימוץ של הכלים הללו כדי להפוך את העולם לבטוח יותר עבור כולם.