מתקפה כפולה שמעלה שאלות קשות על אבטחת מידע ארגונית
קבוצת הכופרה והסחיטה ShinyHunters פרסמה לאחרונה שתי תקיפות בו-זמנית, כשהיא מציגה את Ralph Lauren ואת Oracle כקורבנות. אין מדובר בתקיפה אחת שהסתעפה, אלא בשתי זירות נפרדות עם שיטות שונות, דבר שמדגים את הרוחב המבצעי שרכשו קבוצות מסוג זה.
מה טוענת הקבוצה בכל תקיפה
Ralph Lauren: גניבת מידע לקוחות ותכניות עסקיות
בתקיפה על ענקית האופנה, טוענת ShinyHunters כי השיגה מידע רגיש הכולל נתוני לקוחות וכן תכניות עסקיות עתידיות של החברה. שילוב כזה הוא חמור במיוחד: מידע לקוחות חושף את הארגון לאחריות רגולטורית, בעוד דליפת תכניות אסטרטגיות פוגעת ביתרון התחרותי לטווח ארוך.
Oracle: ניצול חולשת Zero-Day
במקביל, הקבוצה טוענת כי ניצלה חולשת Zero-Day במערכות Oracle, כלומר פגיעות שלא הייתה ידועה לספק בעת הניצול. מדובר בסוג האיום המורכב ביותר להתמודדות, שכן אין כלי הגנה מוכנים מראש מולו, וחשיפת הפגיעות מגיעה לרוב רק בדיעבד.
שני מדגמים שחושפים דפוס אחד
מנקודת המבט של R.A.S Systems, הניסיון עם ארגונים בישראל מראה שמתקפות מסוג זה אינן אנומליה, אלא ביטוי לכשל מבני. קבוצות כמו ShinyHunters פועלות בסביבה שבה:
- גישה לא מנוהלת לנכסי ליבה היא עדיין הנורמה בארגונים רבים
- פערי ניטור בין מערכות ספקיות (כמו Oracle) לתשתית הפנימית נותרים ללא כיסוי
- מידע לקוחות מרוכז ללא הפרדה מספקת לפי רגישות ורמת גישה
ניצול Zero-Day הוא כמובן מורכב מבחינה טכנית, אך ברוב המקרים הנזק מוגבר בשל העדר בקרות פיצוי: ניטור התנהגותי, הגבלת הרשאות לפי עיקרון הצורך, ובידוד של מערכות קריטיות.
הגנה על מערכות ליבה בעידן של איומים מתקדמים
כאשר ארגון מסתמך על פלטפורמות ספק גדולות כמו Oracle, הנחת ברירת המחדל היא שהספק מטפל באבטחה. זוהי הנחה מסוכנת. אחריות הארגון מתחילה בשאלה כיצד הוא מנהל גישה, ניטור ובידוד ביחס לאותן מערכות, גם אם הגרעין הטכנולוגי הוא של ספק חיצוני.
אנו רואים בארגונים שמשקיעים במיפוי נכסים, הגדרת שכבות הגנה מפצות ותהליכי תגובה לאירועים תוצאות שונות לחלוטין בעת אירוע. לא בגלל שהם חסינים לחלוטין, אלא מפני שיכולת הבלימה שלהם גבוהה בהרבה. מתקפות כפולות כמו זו של ShinyHunters הן תזכורת חדה שמוכנות ארגונית אינה מותרות, היא הבסיס.