מהם 10 איומי אבטחת הסייבר המובילים? אבטחת סייבר הייתה בעדיפות רחבה מאז המחצית השנייה של שנות ה-90, כאשר בום הדוט-קום העלה את העולם לאינטרנט.
יותר מ-20 שנה מאוחר יותר, אירועים חסרי תקדים כמו מגיפת COVID-19 התחרו בבחירות, ותסיסה סוציו-פוליטית מתגברת הובילו לפיצוץ במספר וחומרת פשעי הסייבר במהלך שנים ספורות. אנו צפויים לראות את איומי האבטחה הופכים מתוחכמים יותר ולפיכך יקרים יותר עם הזמן: מומחים צופים כי העלויות העולמיות של פשעי סייבר יגיעו ל-10.5 טריליון דולר עד 2025, עלייה של 15% לעומת 3 טריליון דולר ב-2015.
כדי לבדוק גם את: פורום אבטחת מידע
הגנה פרואקטיבית היא המפתח להימנעות ממתקפת אבטחת סייבר. תסתכל על מה שמומחים אומרים שהם איומי אבטחת הסייבר המובילים העומדים בפני העולם בשנת 2023, ולמד מה אתה יכול לעשות כדי להגן על עצמך ועל העסק שלך מלהפוך למטרות.
10 איומי אבטחת הסייבר המובילים:
הנדסה חברתית נותרה אחת מטכניקות הפריצה המסוכנות ביותר המופעלות על ידי פושעי סייבר, בעיקר בגלל שהיא מסתמכת על טעות אנוש ולא על פגיעויות טכניות. זה הופך את ההתקפות האלה למסוכנות יותר – הרבה יותר קל להערים על אדם מאשר לפרוץ מערכת אבטחה. וברור שהאקרים יודעים זאת: על פי דוח חקירות הפרת הנתונים של Verizon , 85% מכל הפרצות הנתונים כרוכות באינטראקציה אנושית.
חדש בשנת 2023
בשנת 2023, טקטיקות הנדסה חברתית יהיו שיטה מרכזית להשגת נתוני עובדים ותעודות. למעלה מ-75% ממתקפות סייבר ממוקדות מתחילות במייל. פישינג הוא אחד הגורמים העיקריים לפרצות מידע, ואחריו השימוש באישורים גנובים ובתוכנות כופר.
חיפוש והתחזות בדוא"ל ממשיכים להתפתח כדי לשלב טרנדים, טכנולוגיות וטקטיקות חדשות. לדוגמה, התקפות הקשורות למטבעות קריפטוגרפיים עלו בכמעט 200% בין אוקטובר 2020 לאפריל 2021, וככל הנראה יישארו איום בולט כאשר ביטקוין ומטבעות אחרים מבוססי בלוקצ'יין ממשיכים לצמוח בפופולריות ובמחיר.
2. חשיפה של צד שלישי
פושעי סייבר יכולים לעקוף מערכות אבטחה על ידי פריצה לרשתות פחות מוגנות השייכות לצדדים שלישיים שיש להם גישה מועדפת למטרה העיקרית של ההאקר.
דוגמה מרכזית אחת להפרה של צד שלישי התרחשה בתחילת 2021 כאשר האקרים הדליפו נתונים אישיים מיותר מ-214 מיליון חשבונות פייסבוק, אינסטגרם ולינקדין. ההאקרים הצליחו לגשת לנתונים על ידי הפרת קבלן צד שלישי בשם Socialarks שהועסק על ידי כל שלוש החברות והיה לו גישה מועדפת לרשתות שלהם.
חדש בשנת 2023
בשנת 2023, הפרות של צד שלישי יהפכו לאיום דחוף עוד יותר, כאשר חברות יפנו יותר ויותר לקבלנים עצמאיים כדי להשלים את העבודה ברגע שיטופלו על ידי עובדים במשרה מלאה. גישה לרשת תמשיך להוות מוקד עבור ארגוני פשע: האקרים התחברו לצינור הקולוניאלי של ארה"ב באפריל 2021 על ידי רכישת אישורים שנפגעו וגישה ל-VPN חסר אימות רב-גורמי , מה שהביא לתשלום ביטקוין של 5 מיליון דולר כדי לקבל גישה מחדש.
על פי דוח מגמות כוח אדם לשנת 2021 , למעלה מ-50% מהעסקים מוכנים יותר להעסיק פרילנסרים כתוצאה מהמעבר לעבודה מרחוק שנגרמה על ידי COVID-19. כוח עבודה מרוחק או מפוזר ימשיך להציג אתגרי אבטחה עבור ארגונים גדולים וקטנים.
מאז COVID-19, ה-FBI דיווח על עלייה של 300% במתקפות סייבר. המחקר מצא כי 53% מהמבוגרים מסכימים שעבודה מרחוק הקלה בהרבה על האקרים ופושעי רשת לנצל אנשים. חברת אבטחת סייבר CyberArk מדווחת כי 96% מהארגונים מעניקים לצדדים חיצוניים אלה גישה למערכות קריטיות, ומספקות נתיב גישה לא מוגן לנתונים שלהם לניצול של האקרים.
3. טעויות תצורה
סביר להניח שגם מערכות אבטחה מקצועיות מכילות לפחות שגיאה אחת באופן ההתקנה וההגדרה של התוכנה. בסדרה של 268 ניסויים שנערכה על ידי חברת תוכנת אבטחת הסייבר Rapid7 , 80% מבדיקות החדירה החיצוניות נתקלו בתצורה שגויה שניתנת לניצול. בבדיקות שבהן לתוקף הייתה גישה פנימית למערכת (כלומר, ניסויים המחקים גישה דרך צד שלישי או חדירה למשרד פיזי), כמות שגיאות התצורה הניתנות לניצול עלתה ל-96%.
חדש בשנת 2023
בשנת 2023, ההשפעה המשולבת המתמשכת של מגיפת COVID-19, תהפוכות פוליטיות-חברתיות והלחץ הפיננסי המתמשך עשויה להגדיל את מספר הטעויות הרשלניות שעובדים עושים בעבודה, וליצור הזדמנויות ניתנות לניצול יותר עבור פושעי סייבר.
לפי דו"ח Lyra Health , 81% מהעובדים חוו בעיות בריאות נפשיות כתוצאה מהמגיפה, ו-65% מהעובדים אומרים שהבריאות הנפשית שלהם השפיעה ישירות על ביצועי העבודה שלהם.
המתח הזה רק יחמיר בעיה קיימת: מכון פונמון מדווח שמחצית ממומחי ה-IT מודים שהם לא יודעים עד כמה כלי אבטחת הסייבר שהם התקינו עובדים בפועל, מה שאומר שלפחות מחצית ממומחי ה-IT כבר לא מבצעים פעולות פנימיות רגילות. בדיקות ותחזוקה.
4. היגיינת סייבר לקויה
"היגיינת סייבר" מתייחסת להרגלים ולפרקטיקות קבועות בנוגע לשימוש בטכנולוגיה, כמו הימנעות מרשתות WiFi לא מוגנות ויישום אמצעי הגנה כמו VPN או אימות רב-גורמי. למרבה הצער, מחקרים מראים שהרגלי היגיינת הסייבר של האמריקאים משאירים הרבה מה לרצוי.
כמעט 60% מהארגונים מסתמכים על זיכרון אנושי לניהול סיסמאות, ו-42% מהארגונים מנהלים סיסמאות באמצעות פתקיות. יותר ממחצית (54%) ממומחי ה-IT אינם דורשים שימוש באימות דו-גורמי לגישה לחשבונות חברה, ורק 37% מהאנשים משתמשים באימות דו-גורמי עבור חשבונות אישיים.
פחות ממחצית (45%) מהאמריקאים אומרים שהם ישנו את הסיסמה שלהם לאחר פרצת מידע, ורק 34% אומרים שהם משנים את הסיסמאות שלהם באופן קבוע.
חדש בשנת 2023
הודות לעלייה בעבודה מרחוק, נגישות כעת למערכות המוגנות בסיסמאות חלשות מרשתות ביתיות לא מוגנות , סיסמאות פתק דביק עושות את דרכן לבתי קפה ציבוריים, ועובדים נכנסים למכשירים אישיים שיש להם סיכוי גבוה בהרבה. אבוד או גנוב.
חברות ויחידים שאינם משפרים את שיטות הסייבר שלהם נמצאים בסיכון גדול בהרבה כעת מבעבר.
באופן מפתיע, למומחי IT יש לעתים קרובות הרגלי היגיינת סייבר גרועים אפילו יותר מהאוכלוסייה הכללית: 50% מעובדי ה-IT אומרים שהם עושים שימוש חוזר בסיסמאות בכל חשבונות במקום העבודה, בהשוואה ל-39% בלבד מהאנשים בכלל.
5. פגיעויות בענן
אפשר לחשוב שהענן יהפוך מאובטח יותר עם הזמן, אבל למעשה, ההפך הוא הנכון: IBM מדווחת שפגיעויות בענן עלו ב-150% בחמש השנים האחרונות. DBIR של Verizon מצא כי למעלה מ-90% מ-29,000 הפרות שנותחו בדו"ח נגרמו מהפרות של אפליקציות אינטרנט.
לפי גרטנר , אבטחת ענן היא כיום פלח שוק אבטחת הסייבר הצומח ביותר, עם עלייה של 41% מ-595 מיליון דולר ב-2020 ל-841 מיליון דולר ב-2021.
בעוד מומחים חזו במקור חזרה בהמוניהם למשרד, העליות בגרסאות חדשות של COVID ושיעורי מקרי פריצת דרך הפכו את התרחיש הזה לבלתי סביר יותר ויותר – מה שאומר שהאיום המוגבר של פרצות אבטחה בענן לא צפוי לרדת בשום נקודה ב-2023.
חדש בשנת 2023
פיתוחים חדשים באבטחת ענן כוללים אימוץ של ארכיטקטורת אבטחת ענן "אפס אמון" . מערכות Zero Trust מתוכננות לפעול כאילו הרשת כבר נפגעה, תוך הטמעת אימותים נדרשים בכל שלב ובכל כניסה במקום להעניק גישה מתמשכת להתקנים או התקנים מוכרים בתוך היקף הרשת.
סגנון אבטחה זה זכה לפופולריות בשנת 2021 וסביר להניח שיזכה לאימוץ נרחב בשנה הקרובה.
6. פגיעויות במכשיר נייד
דפוס נוסף שנגרם על ידי מגיפת COVID-19 היה עלייה בשימוש במכשירים ניידים. לא רק שמשתמשים מרוחקים מסתמכים יותר על מכשירים ניידים, אלא שמומחי מגיפה גם עודדו אימוץ רחב של ארנקים ניידים וטכנולוגיית תשלום ללא מגע על מנת להגביל את העברת הנבטים.
אוכלוסייה גדולה יותר של משתמשים מציגה יעד גדול יותר עבור פושעי סייבר.
חדש בשנת 2023
נקודות התורפה של מכשירים ניידים החריפו על ידי הגידול בעבודה מרחוק, מה שהוביל לעלייה בחברות המיישמות מדיניות "הבא בעצמך". על פי דוח האבטחה הנייד של צ'ק פוינט תוכנה , במהלך שנת 2021, 46% מהחברות חוו אירוע אבטחה הכולל אפליקציה זדונית לנייד שהורדה על ידי עובד.
פושעי סייבר החלו לכוון גם למערכות ניהול מכשירים ניידים אשר, למרבה האירוניה, נועדו לאפשר לחברות לנהל את מכשירי החברה באופן ששומר על אבטחת המידע הארגוני. מכיוון שמכשירי MDM מחוברים לכל רשת המכשירים הניידים, האקרים יכולים להשתמש בהם כדי לתקוף כל עובד בחברה בו זמנית.
7. האינטרנט של הדברים
המעבר כתוצאה מהמגפה מהמשרד הוביל למעלה מרבע מכוח העבודה האמריקאי להכניס את עבודתם לבית, שבו ל -70% ממשקי הבית יש לפחות מכשיר חכם אחד. באופן לא מפתיע, התקפות על מכשירים חכמים או " האינטרנט של הדברים (IoT) " עלו כתוצאה מכך, עם למעלה מ -1.5 מיליארד הפרות שהתרחשו בין ינואר ליוני 2021.
בשילוב עם הרגלי היגיינת הסייבר הפחות מכוכבים של האמריקאי הממוצע, קישוריות IoT פותחת עולם של פגיעויות עבור האקרים. מכשיר חכם ממוצע מותקף תוך חמש דקות מרגע החיבור לאינטרנט, ומומחים מעריכים כי בית חכם עם מגוון רחב של מכשירי IoT עשוי להיות ממוקד על ידי לא פחות מ -12,000 ניסיונות פריצה בשבוע בודד.
חדש בשנת 2023
חוקרים צופים כי מספר המכשירים החכמים שהוזמנו יוכפל בין 2021 ל-2025, וייצור רשת רחבה עוד יותר של נקודות גישה שניתן להשתמש בהן כדי לפרוץ מערכות אישיות וארגוניות. מספר חיבורי ה-IoT הסלולרי צפוי להגיע ל -3.5 מיליארד בשנת 2023 , ומומחים צופים כי למעלה מרבע מכל מתקפות הסייבר נגד עסקים יהיו מבוססות IoT עד 2025 .
8. תוכנת כופר
בעוד שהתקפות כופר אינן בשום פנים ואופן איום חדש, הן התייקרו משמעותית בשנים האחרונות: בין 2018 ל-2020, דמי הכופר הממוצעים זינקו מ-5,000 דולר ל-200,000 דולר. התקפות כופר גם עולות לחברות בצורה של אובדן הכנסה בזמן שהאקרים מחזיקים בגישה למערכת תמורת כופר. (משך זמן ההשבתה הממוצע של המערכת לאחר התקפת תוכנת כופר הוא 21 יום.)
בסקר שנערך בשנת 2021 בקרב 1,263 אנשי אבטחת סייבר, 66% אמרו שהחברות שלהם סבלו מאובדן הכנסות משמעותי כתוצאה ממתקפת תוכנת כופר. אחד מכל שלושה אמר שהחברה שלהם איבדה את המנהיגות הבכירה או על ידי פיטורין או התפטרות, ו-29% ציינו שהחברות שלהם נאלצו להסיר משרות בעקבות מתקפת תוכנת כופר.
חדש בשנת 2023
התקפות של תוכנות כופר יימשכו ויתפתחו כאשר ארגוני פשיעה מחפשים להתחמק מרשימת החסימות של OFAC וליישם טקטיקות לחץ לתשלום. למעשה, פושעי סייבר יכולים כעת להירשם לספקי " תוכנת כופר כשירות ", המאפשרים למשתמשים לפרוס כלים מפותחים מראש של תוכנות כופר לביצוע התקפות בתמורה לאחוז מכל תשלומי הכופר המוצלחים.
בדומה לחברות תוכנה לגיטימיות, קבוצות פושעי סייבר מפתחות ללא הרף את ערכת הכלים שלהן עבור עצמן ועבור לקוחותיהן – למשל, כדי להפוך את תהליך חילוץ הנתונים למהיר וקל יותר. טריק נוסף ששחקני איומים מושכים לפעמים הוא מיתוג מחדש של תוכנת הכופר שלהם, שינוי חלקים וחלקים בתהליך.
לפי מיקרוסופט, ל-96.88 אחוזים מכל זיהומי תוכנות הכופר לוקח פחות מארבע שעות לחדור בהצלחה ליעד שלהם. התוכנה הזדונית המהירה ביותר יכולה להשתלט על מערכת החברה תוך פחות מ-45 דקות.
5 סטטיסטיקות מפתח של תוכנות כופר:
- תוכנות כופר עלו לעולם 20 מיליארד דולר בשנת 2021. מספר זה צפוי לעלות ל-265 מיליארד דולר עד 2031.
- בשנת 2021, 37 אחוז מכלל העסקים והארגונים נפגעו מתוכנת כופר.
- התאוששות ממתקפת כופר עלתה לעסקים 1.85 מיליון דולר בממוצע בשנת 2021.
- מתוך כל נפגעי תוכנת הכופר, 32 אחוז משלמים את הכופר, אבל הם מקבלים רק 65 אחוז מהנתונים שלהם בחזרה.
- רק 57 אחוז מהעסקים מצליחים לשחזר את הנתונים שלהם באמצעות גיבוי.
9. ניהול נתונים לקוי
ניהול נתונים הוא יותר מסתם שמירה על מערכות האחסון והארגון שלך מסודרות. כדי לשים את הדברים בפרספקטיבה, כמות הנתונים שנוצרו על ידי צרכנים מכפילה את עצמה כל ארבע שנים , אבל יותר ממחצית מהנתונים החדשים האלה לעולם אינם בשימוש או מנותח . ערימות של עודפי נתונים מובילות לבלבול, מה שמותיר נתונים פגיעים להתקפות סייבר.
הפרות הנגרמות על ידי טעויות בטיפול בנתונים יכולות להיות יקרות לא פחות כמו התקפות אבטחת סייבר בטכנולוגיה גבוהה יותר. במקרה של 2018, אאטנה חויבה לשלם 17 מיליון דולר לאחר ששלחה מידע בריאותי רגיש בסוג מעטפה לא נכון .
חדש בשנת 2023
בין השאר בשל ההתפוצצות האקספוננציאלית של הנתונים שהתרחשה בעשור האחרון, מומחים צופים כי 2023 תביא מעבר מוגבר הרחק מ"ביג דאטה" לכיוון "נתונים נכונים", או דגש על אחסון רק נתונים הדרושים.
כדי למיין נתונים נכונים מנתונים מיותרים, צוותים יסתמכו יותר ויותר על אוטומציה, שמגיעה עם מערך סיכונים משלה.
תוכניות אוטומטיות הן כמו קורי עכביש – ניתן להרגיש אירוע קטן בצד אחד של הרשת בכל המבנה. ובעוד שעיבוד הנתונים עצמו מסתמך על בינה מלאכותית, הכללים וההגדרות שה-AI הורה לפעול לפיהם עדיין נוצרו על ידי בני אדם והם רגישים לטעויות אנוש.
10. נהלים לא נאותים לאחר התקיפה
יש לתקן חורים באבטחה מיד לאחר מתקפת אבטחת סייבר . בסקר שנערך בשנת 2021 בקרב 1,263 חברות שהוכו להפרת אבטחת סייבר, 80% מהקורבנות שהגישו תשלום כופר אמרו שהם חוו מתקפה נוספת זמן קצר לאחר מכן. למעשה, ניתן היה למנוע 60% ממתקפות הסייבר אם היה מוחל תיקון זמין, ו-39% מהארגונים אומרים שהם היו מודעים לכך שהם פגיעים לפני שהתרחשה מתקפת הסייבר.
חדש בשנת 2023
אחד הפתרונות הפופולריים יותר ויותר הוא אימוץ מודל המנויים לתוכנת ניהול תיקונים. מוצרי " תיקון כשירות " מספקים עדכונים ותיקונים מתמשכים, ומגבירים את מהירות התיקון והיעילות. תיקון אוטומטי גם מפחית את הסבירות של פגיעויות תיקון שנוצרו עקב טעות אנוש.
להישאר בטופ של הכל
שמירה על מודעות והגנה מפני איומי אבטחת סייבר חדשים כפי שהם מופיעים יכולה להיות מכריעה. כשמיליוני האקרים עובדים מסביב לשעון כדי לפתח אסטרטגיות תקיפה חדשות מהר יותר ממה שחברות יכולות לעדכן את ההגנות שלהן, אפילו מערכת אבטחת הסייבר המבוצרת ביותר לא יכולה לספק הגנה מובטחת מפני התקפות.
לכן חשוב להשלים את אסטרטגיית אבטחת הסייבר שלכם בביטוח הולם כדי להבטיח שגם אם אתם קורבן למתקפה מוצלחת, הנזקים לא ישתקו את הארגון שלכם.
עם הגנות מקיפות על אבטחת סייבר ורשת הביטחון שהביטוח מספק, אתה יכול להיות רגוע בידיעה שאתה מוגן ככל שאתה יכול להיות.
