מחקר סופוס – תוקפים שוהים בממוצע יותר מ-260 שעות ללא זיהוי ברשתות שנפרצו

"המדריך למתקפות פעילות 2021" מגלה כי 69% מההתקפות שסופוס הגיבה אליהן ב-2020 השתמשו בפרוטוקול גישה מרחוק (RDP) לצורך ביצוע תנועה רוחבית ברשת שנפרצה

, AVmaster מגזין המולטימדיה
Playbook-Allmedia PR

סופוס, מובילה גלובלית באבטחת הדור הבא, פרסמה את מדריך "Active Adversary Playbook 2021 ", המציג התנהגויות, כלים, טכניקות ותהליכים (TTP) שציידי האיומים וצוותי התגובה לאירועים של החברה תצפתו בשטח במהלך שנת 2020. נתוני זיהוי ה-TTP כוללים גם את תחילת 2021. הממצאים מראים כי הזמן בו תוקף שוהה ברשת לפני שזוהה עמד על 11 ימים בממוצע, או 264 שעות. הזמן הארוך ביותר בו פריצה התרחשה ללא זיהוי עמד על 15 חודשים. תוכנות כופר, המופיעות ב- 81% מהאירועים ו- 69% מההתקפות האחרות כללו שימוש בפרוטוקול גישה מרחוק (RDP) לצורך ביצוע תנועה רוחבית בתוך הרשת. 

המדריך מבוסס על נתוני הטלמטריה של סופוס וכן על 81 חקירות של אירועים ותובנות מצוות התגובה המנוהלת לאיומים (MTR), המורכב מציידי איומים ואנליסטים, ומצוות התגובה המהירה ( Sophos Rapid Response) של סופוס. מטרת המדריך היא לסייע לצוותי אבטחה להבין מה תוקפים עושים במהלך התקפה וכיצד לזהות ולהגן מפני פעילות זדונית ברשתות שלהם.

, AVmaster מגזין המולטימדיה

ממצאים מרכזיים במדריך כוללים:

ממוצע הזמן בו תוקף שוהה ברשת לפני גילוי עמד על 11 ימים – המשמעות היא שהתוקפים מקבלים 264 שעות פנויות לביצוע פעילות זדונית, כגון ביצוע תנועה רוחבית, איסוף מודיעין, credential dumping, חילוץ נתונים ועוד. חלק מהפעולות האלה יכולות לארוך החל ממספר דקות ועד מספר שעות עד להטמעה – ולעיתים קרובות הן מתבצעות במהלך הלילה או מחוץ לשעות העבודה הרגילות – כך ש- 11 ימים מספקים לתוקפים זמן מספיק כדי לגרום נזק לרשת הארגונית. יש לציין כי מתקפות כופר דורשות זמן קצר להתבססות ברשת מאשר התקפות "חמקניות", מכיוון שהן יותר ממוקדות בהרס.

90% מההתקפות שנצפו כללו שימוש בפרוטוקול גישה מרחוק (RDP) – וב- 69% מכל המקרים, התוקפים השתמשו ב- RDP לצורך ביצוע תנועה רוחבית. לרוב, אמצעי אבטחה עבור RDP, כגון VPN ואימות רב שלבי, נוטים להתמקד בהגנה על גישה מבחוץ, אך אלה לא יעבדו אם התוקף כבר מצא את דרכו אל תוך הרשת. השימוש ב- RDP לצורך תנועה רוחבית הוא נפוץ יותר בהתקפות פעילות אשר מערבות עבודה ידנית, כגון אלה הכוללות תוכנות כופר.

, AVmaster מגזין המולטימדיה

קיימת קוארלציה מעניינת בין חמשת הכלים המובילים שנמצאו ברשתות של קורבנות. לדוגמא, כאשר PowerShell נמצא בשימוש במסגרת התקפה, Cobal Strike נצפה ב- 58% מהמקרים, PsExec נמצא ב- 49% , Mimikatz ב- 33% ו- GMER ב- 19%. Cobalt Strke ו- PsExec נמצאו יחדיו ב- 27% מההתקפות, בעוד Mimikatz ו- PsExec הופעלו יחדיו ב- 31% מההתקפות. לבסוף, השילוב של Cobalt Striks, PowerShell ו- PsExec התרחשו ב- 12% מכלל ההתקפות. זיוהי קוארלציה שכזו הוא חשוב מכיוון שהזיהוי שלהם על השרת יכול לספק התראה מוקדת להתקפה שבדרך, או כדי לאמת נוכחות של התקפה פעילה.

תוכנות כופר מעורבות ב- 81% מההתקפות שסופוס חקרה. הפעלת תוכנת הכופר היא בדרך כלל הנקודה בה מתקפה נחשפת בפני צוות אבטחת ה- IT. לכן, אין זו הפתעה כי רוב האירועים שסופוס הגיבה אליהם כוללים תוכנת כופר. סוגי התקפות נוספים שסופוס חקרה כוללים גניבת נתונים בלבד, כריית מטבעות וירטואליים, סוסים טרויאנים לבנקאות, מוחקים (Wipers), droppers, כלי בדיקת חדירה (pen test/attack) ועוד. 

, AVmaster מגזין המולטימדיה

"אופק האיומים הופך לצפוץ ומורכב יותר, עם התקפות מצד תוקפים בעלי טווח רחב של יכולות ומשאבים, החל מילדוני מקלדת (script kiddies) ועד לקבוצות איום הפועלות בגיבוי מדינות. אופק שכזה הופך את החיים מאתגרים ביותר לצד המגן", אמר ג'ון שיאר, יועץ אבטחה בכיר בסופוס. "במהלך השנה האחרונה, צוות המגיבים שלנו סייע לנטרל התקפות שהופעלו על ידי יותר מ- 37 קבוצות תקיפה, עם יותר מ- 400 כלים שונים. רבים מהכלים האלה נמצאים בשימוש גם על ידי מנהלי IT ומומחי אבטחה במהלך העבודה היומיומית שלהם, כך שלזהות את ההבדל בין פעילות זדונית לפעילות רגילה זה לא תמיד פשוט". 

"כשהתוקפים מבלים ממוצע של 11 ימים ברשת, ומטמיעים את ההתקפות שלהם בפעילות ה- IT השגרתית, חיוני שמגינים יבינו את סימני האזהרה אותם צריך לחקור. אחד מהדגלים האדומים האלה, לדוגמא, מופיע כאשר כלי או פעילות לגיטימיים מופיעים במקום בלתי צפוי. יותר מהכל, המגינים צריכים לזכור כי טכנולוגיה יכולה לעשות הרבה, אבל עם אופק האיומים של היום, ייתכן וזה לא מספיק. ניסיון אנושי והיכולת להגיב צריכים להיות חלק חיוני מכל פתרון אבטחה". 

 
שתפו
שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב telegram
שיתוף ב pinterest
מערכת AvMaster

מערכת AvMaster

הצטרפו אלינו ותקבלו מאמרים כתבות וראיונות איכותיים, שיעזרו לכם להשאר בחזית טכנולוגיית הAV. מבט מעמיק לפתרונות, למוצרים ולשחקניות בתחומים אשר הפכו לחלק בלתי נפרד מכלי העבודה ההכרחיים בכל עסק/ארגון.

כל המאמרים
אולי יעניין אותך גם
AVIXA

מחשבות על מאי

כילדים שיחקנו במשחק שנקרא 'ים-יבשה', זה היה הרבה לפני שהמסכים הפכו כל כך דומיננטיים בחיים של כולנו. בשנתיים האחרונות זה הפך עבורי משחק שבו המילה

לכתבה »
וידאו קונפרנס

בלוג'ינס מציגה את "בלוג'ינס סטודיו"

BlueJeans, מתאגיד התקשורת הענק Verizon, נחשבת לאחת מהמתחרות החזקות ביותר בשוק שיחות הוועידה בעולם והמוצר החדש שלה יכול לעניין גם אותנו. תמונה – Blue jeans

לכתבה »

עוד כתבות

רוצים שההצטיידות הבאה תהיה מוצלחת באמת?

קבלו את הידע החשוב ישירות למייל