דו"ח אירועי מגזר האנרגיה של CERT Polska לשנת 2025 הוא תזכורת לכך שאירועי סייבר רבים אינם מתחילים בטכניקות מתקדמות או בניצול לא ידוע של פרצות. במקום זאת, הם מתחילים בחולשות בסיסיות שמעולם לא תוקנו. אישורי ברירת מחדל. גישה לא מפוקחת. יומני רישום שתוקפים יכולים למחוק. גיבויים שאינם כוללים את המערכות החשובות באמת.
בכמה מהאירועים שתוארו, התוקפים לא היו צריכים לעבוד קשה. הסביבה כבר עזרה להם.
כיצד התגבשו ההתקפות
הדו"ח מתאר מספר אירועים שבהם תוקפים חדרו דרך נתיבים מוכרים. הודעות דוא"ל פישינג, קבצים מצורפים זדוניים, אתרים שנחשפו ושירותים שנחשפו היו כולם נקודות התחלה נפוצות. ברגע שנקודת קצה אחת נפגעה, התוקפים התמקדו בתנועה שקטה, תוך שימוש בכלים לגיטימיים ופרוטוקולים סטנדרטיים.
לעיתים קרובות הניחו שמכשירים בתוך רשתות פנימיות בטוחים. הנחה זו התבררה כשגויה. ציוד רשת, ממשקי ניהול ומערכות הפעלה נפרסו לעיתים עם אישורי ברירת מחדל או משותפים. במקרים ספורים, התוקפים לא נזקקו כלל לפריצות דרך ופשוט התחברו.
גם גישה מרחוק שיחקה תפקיד. חיבורי VPN לא תמיד נבדקו בקפידה, ובקרות האימות השתנו בין סביבות. לאחר החיבור, התוקפים השתמשו בהפעלות RDP ובשיתוף קבצים SMB כדי לנוע לרוחב, להשתלב בתעבורה רגילה ולהימנע מגילוי מיידי.
מדוע ברירת מחדל של אישורי גישה היא עדיין אחד הסיכונים הגדולים ביותר
אישורי ברירת מחדל נותרו אחד הסיכונים הניתנים להימנעות ביותר, אך הם ממשיכים להופיע באירועים אמיתיים. הדו"ח מבהיר כי לא מדובר רק במכשירים הפונים לאינטרנט. מערכות פנימיות, כולל רכיבי OT ושרתי ניהול, נותרו עם אישורי גישה ללא שינוי או גישת ניהול רחבה.
תוקפים מחפשים את הפערים הללו תחילה. כשהם מוצאים אותם, הם משתלטים עליהם במהירות ובשקט.
שינוי פרטי גישה ברירת מחדל, הגבלת חשבונות משותפים ואכיפת אחריות על גישה מועדפת אינם צעדים מתקדמים, אלא יסודות. כאשר הם חסרים, כל השאר הופך להיות קשה יותר.
גילוי לאחר ביצוע מאוחר מדי
ראוי לציין שבמקרים מסוימים, כלי אבטחת נקודות קצה אכן זיהו פעילות זדונית. זה עזר להגביל את הנזק. עם זאת, הזיהוי התרחש לעתים קרובות לאחר שתוכנה זדונית כבר הייתה פועלת.
ברגע שתוכנה זדונית מופעלת, תוקפים יכולים לגנוב אישורים, לשנות תצורות וליצור גישה עקבית. בנקודה זו, התגובה הופכת מורכבת יותר ומשבשת יותר.
הדו"ח מדגיש את החשיבות של בדיקת קבצים לפני שהם פועלים. יש לסרוק ולנקות קבצים מצורפים לדוא"ל, הורדות וקבצים המוכנסים דרך מדיה נשלפת לפני שהם מגיעים למערכות הפעלה. עצירת איומים בנקודת הכניסה מפחיתה את הצורך בניקוי מאוחר יותר.
ניטור מה משתמשים בפועל בתוקפים
מספר אירועים שתוארו בדוח כללו תנועה רוחבית ולא פרצות ראוותניות: דברים כמו הפעלות RDP בין מערכות, שיתופי SMB המשמשים להעברת כלים ושינויי תצורה קטנים שפתחו דלתות לאורך זמן.
ניטור תקשורת פנימית הוא קריטי. תעבורה ממזרח למערב מקבלת לעתים קרובות פחות תשומת לב מאשר פעילות הפונה לאינטרנט, אך זה המקום שבו תוקפים מבלים את רוב זמנם ברגע שהם נכנסים.
שינויי תצורה ראויים לאותו מוקד. Firewall כללים, הגדרות VPN והרשאות Active Directory לא צריכים להשתנות באופן שקט. ארגונים זקוקים לנראות ברורה לגבי מה השתנה, מי ביצע את השינוי ומדוע. שינויים בלתי צפויים הם לעתים קרובות הסימן המוקדם ביותר לפגיעה.
יומני רישום וגיבויים: החלקים שתוקפים מנסים לפרוץ
הדו"ח מראה גם כיצד תוקפים מכוונים לתהליכי רישום ושחזור נתונים. בכמה מקרים, יומני רישום נמחקו או שונו, מה שהאט את החקירות והגביל את ההבנה של מה שקרה.
יש להעביר יומני ביקורת למיקום מאובטח שבו תוקפים לא יוכלו לשנות או למחוק אותם. באופן אידיאלי, יומני תנועה נעים בכיוון אחד בלבד. אם תוקפים יכולים למחוק יומני ביקורת, הם יכולים להסתיר את עקבותיהם.
גיבויים דורשים את אותה רמת טיפול. ארגונים רבים יגבו תצורות אך מתעלמים מקושחה, תמונות מערכת מלאות ומצבי נקודות קצה. כאשר קבצי קושחה או בינאריים של המערכת נפגעים, גיבויי תצורה בלבד אינם מספיקים. קושחה נקייה, גיבויי שרת ותמונות נקודות קצה מהימנות חיוניים לשחזור.
המסקנה האמיתית
הדו"ח של CERT Polska אינו מתאר כשלים שנגרמו עקב מחסור בכלים. הוא מתאר כשלים שנגרמו עקב הנחות יסוד כגון:
- אישורי ברירת המחדל נותרו במקומם.
- גישה מרחוק אינה מנוטרת באופן מלא.
- יומני רישום המאוחסנים במקום בו תוקפים יוכלו להגיע אליהם.
- תוכנה זדונית זוהתה רק לאחר שהייתה פעילה.
מזל שכמה התקפות זוהו לפני שגרמו לשיבושים משמעותיים. אבל מזל אינו אמצעי בקרה.
ארגוני אנרגיה חייבים להפחית את הסיכון מוקדם יותר בשרשרת ההתקפה - לפני שתוכנות זדוניות פועלות, לפני שאיימות גישה לרעה, ולפני שתוקפים יוכלו לטשטש את עקבותיהם. הדו"ח מבהיר דבר אחד: תוקפים משתמשים בנתיבים צפויים. וזה אומר שגורמים מגנים יכולים לסגור אותם.
התיקונים האלה אינם אקזוטיים, אבל הם דחופים.
אל תחכו שתוכנות זדוניות יפעלו לפני שתגיבו. למדו כיצד OPSWAT MetaDefender מונע איומים בנקודת הכניסה על ידי סריקה וחיטוי קבצים לפני שהם מגיעים למערכות הקריטיות שלכם.
