![[object Object]](/wp-content/uploads/2024/05/15/06/whatsapp-israelhayom-m-150-.gif)
"פריצה מוצלחת לחברת סייבר אינה פוגעת רק בחברה אחת - היא עלולה לחשוף את מנגנוני ההגנה שמגינים על אלפי ארגונים ומיליוני נקודות קצה ברחבי העולם", כך אומר סטיב סטון, סגן נשיא בכיר לאיתור ותגובה לאיומים בחברת הסייבר SentinelOne.
SentinelOne, פלטפורמת סייבר אוטונומית מבוססת AI, נמצאת בחודשים האחרונים תחת מתקפה של שלל איומי סייבר - מפשעים כלכליים ועד קמפיינים מתוחכמים, בהובלת שחקנים ברמת מדינה. והיא לא לבד. דו"ח חדש שפרסמה החברה מצביע על מגמה מדאיגה: גורמים עוינים מפנים את תשומת ליבם יותר ויותר דווקא כלפי חברות אבטחת סייבר עצמן. כך, בזמן שהן חוקרות ומגנות על לקוחותיהן ממתקפות, הן נאלצות להגן גם על עצמן מאיומים דומים.
"הספקים בתחום האבטחה נמצאים בנקודת מפגש מעניינת בין גישה, אחריות וזעם של תוקפים, מה שהופך אותנו למטרה אטרקטיבית עבור מגוון רחב של שחקני איום", מוסיף סטון.
סוכנים צפון קוריאנים במסווה
SentinelLABS, זרוע המודיעין של החברה, עוקבת אחר קמפיין עיקש שבו עובדים בתחום ה-IT מצפון קוריאה מנסים להשיג עבודה מרחוק בחברות טכנולוגיה מערביות תוך התחזות. "שחקנים אלה משכללים את תהליכיהם, משתמשים בזהויות גנובות או מזויפות, ומתאימים את האסטרטגיות שלהם כך שיראו כמו מחפשי עבודה לגיטימיים, ובצורה משכנעת יותר ויותר", אומר טום הגל, חוקר איומים בכיר ב-SentinelLABS.
חוקרי SentinelLABS זיהו כ-360 זהויות מזויפות וכ-1,000 בקשות עבודה הקשורות לקמפיין זה, כולל ניסיונות להתקבל למשרות בתוך צוות SentinelLABS עצמה. בתגובה, הם פיתחו תהליכי עבודה שמאפשרים לזהות ולתקשר עם מועמדים חשודים מצפון קוריאה כבר בשלבים המוקדמים של תהליך הגיוס.
"על ידי שילוב אותות סינון קלים ומעקב ישיר בתהליכי הגיוס, הצלחנו לחשוף דפוסים אנומליים שמתקשרים לזהויות הקשורות לצפון קוריאה ולהעביר אותם ישירות לפלטפורמת המודיעין שלנו לצורך בדיקה וחקירה", מסביר הגל.
הסינים תוקפים שרשראות אספקה
מערך איומים נוסף שזוהה על ידי החברה כולל ניסיונות איסוף מודיעין נגד תשתיות החברה וארגונים בעלי ערך גבוה שהחברה מגנה עליהם. SentinelLABS עוקבת אחר פעילויות אלו תחת הכינוי PurpleHaze, אותו היא מעריכה ברמת ביטחון גבוהה כשחקן איום שמקורו בסין.
"נחשפנו לראשונה לאשכול איומים זה במהלך חדירה לארגון שסיפק בעבר שירותי לוגיסטיקה לחומרה עבור עובדי החברה באוקטובר 2024", אמר אלכסנדר מילנקוסקי, חוקר איומים בכיר ב-SentinelLABS. "יריב זה ידוע במיקודו במגזרים קריטיים כמו טלקומוניקציה, טכנולוגיות מידע וארגוני ממשל – מיקוד שמתאים למספר מפגשים קודמים שלנו עם PurpleHaze".
לפי SentinelLABS, מקרה זה מדגיש את השבריריות של שרשראות האספקה הרחבות שעליהן מסתמכים ארגונים, ואת האיום המתמשך מצד יריבים סיניים שחותרים לבסס אחיזות אסטרטגיות כדי לפגוע בגופים נוספים במורד השרשרת.
במקום טאבו - מאמץ משותף
SentinelOne רואה באבטחת סייבר מאמץ משותף - וממליצה לארגונים על כמה צעדים כדי לחזק את מערכי האבטחה:
1. הפצת מודיעין איומים בקרב בעלי גורמים רלוונטיים
ארגונים צריכים לשתף באופן פרואקטיבי מודיעין איומים ברמת הקמפיין עם יחידות עסקיות מעבר לארגון האבטחה המסורתי, במיוחד עם אלו המנהלות קשרי ספקים, לוגיסטיקה ותפעול פיזי. פעולה זו מאפשרת זיהוי מהיר יותר של חפיפות עם צדדים שלישיים שנחשפו לאיומים ותומכת בהערכת סיכון מחודשת מול שותפים חיצוניים.
2. שילוב הקשר איומים בתהליכי ניהול נכסים
צוותי IT ותשתיות צריכים לשתף פעולה עם צוותי מודיעין איומים כדי להוסיף מטא-דאטה המותאם לאיומים במאגרי הנכסים של הארגון. גישה זו מאפשרת טיפול מהיר וממוקד יותר במהלך תגובה לאירועים, ומשפרת את היכולת לאתר נקודות מגע בשרשרת האספקה שעלולות להיות בסיכון.
3. הרחבת מודלי האיומים על שרשרת האספקה
ארגונים צריכים לחדד את תהליכי מודלי האיומים שלהם כך שיכללו במפורש איומים על שרשרת האספקה, במיוחד כאלו המגיעים משחקנים מדינתיים המנצלים קבלנים, ספקים או שותפי לוגיסטיקה כווקטורים עקיפים לחדירה. התאמת המודלים כך שישקפו את הטקטיקות הספציפיות של היריבים מאפשרת זיהוי מוקדם של נתיבי חדירה לא שגרתיים.
סטון מסכם: "לדבר על כך שמותקפים זה דבר לא נוח לכל ארגון. עבור ספקי סייבר, זה כמעט טאבו. התקווה שלנו היא שחשיפת חלק ממה שראינו תעודד שיתוף פעולה ותסייע בחיזוק ההגנות של כל חברה שבונה וסומכת על טכנולוגיות אבטחה מודרניות".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו