סופוס – 90% מהמתקפות שטופלו על ידי צוותי התגובה לאירועים של סופוס בשנת 2023 נעשו תוך ניצול שירותי גישה מרחוק
המחקר, The Sophos Active Adversary Report for 1H 2024, המנתח יותר מ-150 מקרי תגובה לאירועים (IR) שטופלו על ידי צוות Sophos X-Ops IR במהלך 2023, מצא כי ב-90% מההתקפות, פושעי סייבר ניצלו לרעה remote desktop protocol (RDP) – שיטה נפוצה ליצירת גישה מרחוק במערכות Windows . זהו הנתון הגבוה ביותר של ניצול לרעה של RDP מאז שהחלה סופוס לפרסם את דוחותActive Adversary ב-2020.
בנוסף, שירותי גישה מרחוק חיצוניים כגון RDP היו הווקטור הנפוץ ביותר שבאמצעותו השיגו התוקפים גישה ראשונית לרשת; שירותים אלו היו שיטת הגישה הראשונית ב-65% ממקרי התגובה לאירועים (IR) בשנת 2023. שירותי גישה מרחוק היו באופן עקבי המקור השכיח ביותר לגישה ראשונית של פושעי סייבר מאז שהושקו דוחותActive Adversary , מה שאומר שקובעי המדיניות בארגונים נדרשים מעתה להעניק עדיפות לניהול שירותים אלו בעת הערכת הסיכונים בארגון.
"שירותי גישה מרחוק חיצוניים הם מציאות הכרחית, אך מסוכנת, עבור עסקים רבים. התוקפים מבינים את הסיכונים שמהווים שירותי הגישה מרחוק ועושים מאמץ פעיל כדי לנצל אותם בשל עושר המידע העובר דרכם. הותרת שירותים כאלו פתוחים וחשופים מבלי לקחת בחשבון את האיומים עליהם תעמיד ארגונים בסכנה. אלו שירותים שיש להגן עליהם מכל משמר, שכן לא לוקח לתוקף זמן רב כדי למצוא שרתRDP חשוף ולנצל אותו, וללא בקרות נוספות, גם למצוא את שרת ה-Active Directory בצד השני", אמר ג'ון שייר, מנהל טכנולוגיות שטח בסופוס.
במקרה אחד שטופל על ידי Sophos X-Ops, התוקפים הצליחו לסכן את הקורבן ארבע פעמים בתוך שישה חודשים, כשבכל פעם הצליחו להשיג גישה ראשונית דרך יציאות ה-RDP החשופות. לאחר שנכנסו, המשיכו התוקפים לנוע ברשת הארגונית בתנועה רוחבית, השביתו את ההגנה על נקודות הקצה והצליחו לייצר גישה מרחוק לרשת הארגונית.
ניצול הרשאות שנפגעו וניצול חולשות הם עדיין שני הגורמים הנפוצים ביותר להתקפות. עם זאת, 2023 Active Adversary Report for Tech Leaders, מצא כי במחצית הראשונה של 2023, ניצול הרשאות שנפגעו היה לראשונה הגורם הראשי להתקפות, יותר מניצול חולשות. מגמה זו נמשכה בכל שנת 2023, וניצול הרשאות שנפגעו היה הגורם העיקרי בלמעלה מ-50% ממקרי הIR- במשך השנה כולה. כאשר מסתכלים על נתוני Active Adversary במצטבר מ-2020 עד 2023, ניצול הרשאות שנפגעו היה הגורם מספר אחד למתקפות, עם כמעט שליש מכל מקרי ה-IR. עם זאת, למרות השכיחות ההיסטורית של הרשאות שנפגעו במתקפות סייבר, ב-43% ממקרי ה-IR בשנת 2023, לא היה בארגונים אימות רב-שלבי.
ניצול חולשות היה הגורם השני בשכיחותו להתקפות, הן בשנת 2023 והן על פי ניתוח הנתונים המצטברים מ-2020 עד 2023, והיווה את הגורם השורש ב-16% ו-30% ממקרי ה-IR, בהתאמה.
"ניהול סיכונים הוא תהליך אקטיבי. ארגונים שעושים זאת היטב חווים מצבי אבטחה טובים יותר מאלה שלא ניצבים מול איומים מתמשכים מצד תוקפים נחושים. היבט חשוב בניהול סיכוני אבטחה, מעבר לזיהוי ולתיעדוף שלהם, הוא הפעולה שמתבצעת בעיקבות מידע. עם זאת, במשך זמן רב מדי, סיכונים מסוימים כמו RDP פתוח ממשיכים לפגוע בארגונים, לשמחתם של תוקפים שיכולים לעבור ישירות דרך דלת הכניסה של הארגון. אבטחת הרשת על ידי צמצום השירותים החשופים והפגיעים והקשחת האימות יהפכו ארגונים למאובטחים יותר וכאלו המסוגלים יותר להביס מתקפות סייבר", אמר שייר.
דו"חActive Adversary של סופוס מבוסס על יותר מ-150 חקירות של תגובה לאירועים (IR) ב-26 מגזרים ברחבי העולם. התקיפות בוצעו על ארגונים הפועלים ב-23 מדינות שונות, כולל ארצות הברית, קנדה, מקסיקו, קולומביה, בריטניה, שוודיה, שוויץ, ספרד, גרמניה, פולין, איטליה, אוסטריה, בלגיה, הפיליפינים, סינגפור, מלזיה, הודו, אוסטרליה, כווית, איחוד האמירויות הערביות, ערב הסעודית, דרום אפריקה ובוצוואנה.
