התקפות ICS/OT מתגברות עם התגברות פעילות האיומים
בשנתיים האחרונות, ההתקפות נגד מערכות בקרה תעשייתיות וטכנולוגיה תפעולית (OT) עברו מלהיות סיכון תיאורטי למציאות תפעולית. מדינות לא מסתפקות עוד רק בהצבת כוחות בתוך תשתיות קריטיות. הן פועלות בפועל. תוכנות מחיקה (wipers) עקפו את תוכנות הכופר (ransomware) כנשק המועדף על גורמים הנתמכים על ידי מדינות, המכוונים לסביבות OT. דפוס אחד מקשר בין כמעט כל האירועים החמורים: קובץ זדוני חצה גבול אמון שאף אחד לא בדק.
מאמר זה סוקר את תמונת האיומים על מערכות ICS ו-OT משנת 2024 ועד תחילת 2026, לא כקטלוג של שמות APT ומספרי CVE, אלא כסיפור. נתחיל בתמונה הכוללת: מה קרה ומתי. לאחר מכן נבחן מי עומד מאחורי האירועים, כיצד הם ביצעו אותם, ולבסוף ננתח אירוע אחד בפירוט כדי להמחיש כיצד נראית מתקפת מחיקה (wiper) מודרנית על מערכת ICS מבפנים.
נתונים עיקריים
- בשנת 2025, 119 קבוצות תוכנות כופר פעלו באופן אקטיבי נגד סביבות OT, עלייה של 49% לעומת 80 קבוצות בשנת 2024
- יותר משני שלישים מכלל הקורבנות של תוכנות כופר מסוג OT היו יצרנים – המגזר שהפך ליעד העיקרי ביותר
- תוכנת ה-Volt Typhoon פעלה מבלי להתגלות בתוך רשת ה-OT של חברת חשמל אמריקאית במשך יותר מ-300 ימים
- שש מתקפות "וויפר" פגעו ביעדי ICS/OT בשנים 2024–2025 בלבד, יותר מאשר בכל תקופה מקבילה אחרת
סקירה כללית של ציר הזמן של אירועי ICS/OT
לפני שננתח מי עומד מאחורי ההתקפות הללו או כיצד הן פועלות, כדאי לבחון אותן על ציר זמן. הטבלה שלהלן מפרטת את כל האירועים המשמעותיים בתחום ICS/OT מהתקופה הזו — מסווגים לפי מגזר, גורם איום ומיקום גיאוגרפי — כדי שתוכלו להתמצא בנושא לפני שתעמיקו בו.
תַאֲרִיך | אירוע | מגזר | שחקן | גיאוגרפיה |
אפריל 2026 | קבוצת תקיפה מתמשכת (APT) איראנית המנצלת בקרי PLC של Rockwell — משבשת פעילות בתשתיות קריטיות ברחבי ארה"ב | אנרגיה מים ממשל | אשכול IRGC-CEC / CyberAv3ngers | אַרצוֹת הַבְּרִית |
מרץ 2026 | תוכנת ה-Handala מחקה את Stryker מהרשת — על פי הדיווחים, נמחקו למעלה מ-200 אלף מכשירים ב-79 מדינות | שירותי בריאות | הנדלה / מנטיקור החלל (MOIS) | עולמי (79 מדינות) |
2025 | DynoWiper מכוונת לרשת החשמל הפולנית ולמקורות אנרגיה מתחדשת מבוזרים (DER) | אֵנֶרְגִיָה | תולעת החול / ELECTRUM (GRU) | פולין (נאט"ו) |
2025 | PathWiper הופעל נגד תשתיות חיוניות באוקראינה | תשתית קריטית | הקשר לרוסיה | אוקראינה |
2025 | קמפיין המגבונים BAUXITE / BlueWipe-SewerGoo | אגירת אנרגיה | בוקסיט (IRGC-CEC) | יִשְׂרָאֵל |
2025 | תוכנת ה-PYROXENE מכוונת לממשלות ולתשתיות קריטיות | תשתיות קריטיות ממשלתיות | PYROXENE (IRGC-CEC / APT35) | ישראל, אלבניה |
2025 | פריצות לרשת האספקה של SYLVANITE → VOLTZITE | אנרגיה ומים | קשורה לממשלת סין | אַרצוֹת הַבְּרִית |
2025 | KAMACITE סורקת מטרות תעשייתיות בארה"ב | ייצור | רוסיה (הקשורה ל-GRU) | אַרצוֹת הַבְּרִית |
2025 | Z-PENTEST פרץ למערכת ממשק המשתמש (HMI) של סכר בנורווגיה | מים/סכר | Z-PENTEST (פרו-רוסית) | נורבגיה |
ינואר 2024 | FrostyGoop משבש את מערכת החימום העירונית של לבוב באמצעות Modbus TCP | אנרגיה/חימום | הקשור לרוסיה | אוקראינה |
2024 | Volt Typhoon / VOLTZITE — למעלה מ-300 ימים בתוך רשת החשמל האמריקאית | אנרגיה ומים | PRC (וולט טייפון) | אַרצוֹת הַבְּרִית |
2024 | תוכנת ה-AcidPour מכוונת לתשתית התקשורת האוקראינית | תקשורת | תולעת החול (GRU) | אוקראינה |
2024 | "מעיין תולעת החול" — מתקפה על שרשרת האספקה של אנרגיה ומים | אנרגיה ומים | תולעת החול (GRU) | אוקראינה |
אוגוסט 2024 | חברת Halliburton נפגעה מ-RansomHub — הנזק מוערך ב-35 מיליון דולר | נפט וגז | RansomHub | אַרצוֹת הַבְּרִית |
2024 | Fuxnet משמיד את תשתית חיישני השירותים הציבוריים במוסקבה | שירותים | BlackJack (קשור לאוקראינה) | רוסיה |
ספטמבר 2024 | תוכנת כופר לטיפול במים בארקנסו סיטי, קנזס | מַיִם | תוכנת הכופר Hazard | אַרצוֹת הַבְּרִית |
2023–2024 | CyberAv3ngers / IOCONTROL — יותר מ-75 מכשירים שנפרצו במתקני מים ברחבי ארצות הברית | מַיִם | משמרות המהפכה האסלאמית (איראן) | ארצות הברית, ישראל |
ינואר 2024 | הצפת מיכל מים במוולשו, טקסס, דרך ממשק HMI חשוף | מַיִם | צבא הסייבר של רוסיה: התחייה | אַרצוֹת הַבְּרִית |
עלייה במספר קמפייני ה-Wiper והתרחבות היעדים של מתקפות זמן-אמת
הקצב הולך ומתגבר. בשנת 2025 לבדה נרשמו יותר מתקפות "וויפר" מובהקות נגד מערכות ICS/OT מאשר בכל שנה קודמת. התפוצה הגיאוגרפית התרחבה, וחצתה את גבולות זירת הלחימה בין אוקראינה לרוסיה אל מדינות חברות בנאט"ו כגון פולין, אל מערב אירופה – כולל נורווגיה – ואל המזרח התיכון, כולל ישראל. גם מגוון המגזרים התרחב מעבר לתחומי האנרגיה והמים, אל תחומי הבריאות, התקשורת והתעשייה.
התקפות אלה פוגעות במדינות, במגזרים ובקורבנות שונים — אך כולן מתחילות באותה צורה: בקובץ שהצליח לחמוק מעיני כולם. מספיק להפעיל קובץ אחד כזה כדי להבין מיד שהוא נועד להרוס.
מדינות וקבוצות האקטיביסטים Drive מתקפות על Drive
ציר הזמן שלעיל הוא צפוף, אך הוא אינו אקראי. האירועים מתרכזים סביב מספר מצומצם של קבוצות שחקנים, שלכל אחת מהן מניעים, יכולות ויעדים מועדפים משלה.
רוסיה — עדיין האיום המשמעותי ביותר על מערכות בקרה תעשייתיות (ICS)
גורמים הקשורים לרוסיה מהווים את החלק הגדול ביותר בפעילות המכוונת למערכות ICS בתקופה זו, ופועלים באמצעות מספר קבוצות בעלות תפקידים שונים.
ארגון "Sandworm" (ELECTRUM) נותר היריב המוכשר ביותר בעולם המתמקד במערכות בקרה תעשייתיות (ICS). הקמפיין שניהל הארגון בדצמבר 2025 נגד רשת החשמל של פולין כוון לכ-30 אתרי אנרגיה מבוזרת, בהם מתקני קוגנרציה ומערכות ניהול אנרגיה מתחדשת כגון אנרגיית רוח ואנרגיה סולארית. זו הייתה מתקפת הסייבר המתואמת הגדולה הראשונה שכוונה נגד משאבי אנרגיה מבוזרת בהיקף נרחב.
תוכנת הזדון DynoWiper שהופעלה במתקפה זו הייתה תוכנת מחיקה מסוג Windows PE ששימשה נגד תשתיות אנרגיה. היא מחקה מחשבים מבוססי Windows באתרי DER והשביתה חלק מציוד ה-OT וה-ICS באופן בלתי הפיך. אף שלא אירעו הפסקות חשמל, התוקפים הצליחו להשיג גישה למערכות טכנולוגיה תפעולית החיוניות להפעלת רשת החשמל.
מוקדם יותר, קמפיין "PathWiper" שלהם כוון לתשתיות קריטיות באוקראינה באמצעות תוכנת הפצה מסוג VBScript, בשילוב עם תוכנת מחיקה מסוג PE, המשמידה את ה-MBR MFT קבצים בכל הכוננים. בשנת 2024, הם הפעילו את "AcidPour", תוכנת מחיקה מסוג ELF עבור לינוקס, נגד תשתיות התקשורת באוקראינה, ותיאמו מתקפה על שרשרת האספקה שכוונה למערכות האנרגיה והמים.
KAMACITE משמשת כשכבת התשתית התומכת. בשנת 2025 נצפתה קבוצה זו, המזוהה עם ה-GRU, מבצעת סריקות סיור אחר מטרות תעשייתיות בארה"ב, פעילות המהווה הכנה מקדימה, אשר בעבר קדמה למבצעים ההרסניים של ELECTRUM.
סין — סבלנית, מעמיקה ומתרחבת
גישתה של סין שונה בתכלית מזו של רוסיה. בעוד שהגורמים הרוסים הורסים, הגורמים הסינים מתמידים.
נמצא כי התוכנה הזדונית VOLTZITE (Volt Typhoon) פעלה ברשת ה-OT של חברת חשמל אמריקאית במשך למעלה מ-300 יום, תוך שהיא גונבת נתוני GIS ותצורות של מערכות OT. לא היה זה ריגול לשמו. דפוס ההתקנה המוקדמת עולה בקנה אחד עם הכנות לקראת שיבוש עתידי של תשתית החשמל בארה"ב.
בשנת 2025, מתווך הגישה הראשונית SYLVANITE ניצל במהירות פרצות אבטחה במכשירי VPN של Ivanti, במכשירים של F5 ובתשתיות קצה אחרות. נקודות אחיזה אלה הועברו לאחר מכן לצינור VOLTZITE לצורך חדירות מעמיקות יותר לתשתיות OT. היעדים הורחבו וכללו גם חברות חשמל וגם חברות מים.
AZURITE, קבוצה שזוהתה לאחרונה ודווח עליה בשנת 2025, מייצגת הסלמה בהתקפות המכוונות לתשתיות תפעוליות (OT) הקשורות לסין. AZURITE פועלת באופן אקטיבי נגד תחנות עבודה הנדסיות של תשתיות תפעוליות (OT) בענפי הייצור, הביטחון והרכב ברחבי ארצות הברית, אוסטרליה ואירופה. הקבוצה מתמקדת בגניבת תרשימי רשת, נתוני התראות ותצורות תהליכים.
איראן — חציית הקו אל עבר אלימות פיזית
גורמים איראניים הנתמכים על ידי המדינה ביצעו שינוי מכריע בתקופה זו, ועברו מגישה אופורטוניסטית למיקוד מכוון בתהליכים פיזיים.
קבוצת CyberAv3ngers (BAUXITE / IRGC) פרצה ליותר מ-75 מכשירים במתקני מים שונים בארה"ב בשנים 2023–2024, כולל השתלטות ישירה על בקר לוגיקה מתוכנת (PLC) בתחנת הגברה בפנסילבניה. תוכנת הזדון IOCONTROL שפיתחו, קובץ בינארי של לינוקס הכולל פקודות ובקרה מבוססות MQTT המוטמעות בחבילות עדכון הקושחה של המכשירים, פותחה במיוחד לצורך פריצה למכשירי OT. בשנת 2025, קבוצת BAUXITE הפעילה גרסאות של תוכנת המחיקה BlueWipe-SewerGoo נגד תשתיות אנרגיה ואחסון ישראליות.
קבוצת PYROXENE (IRGC-CEC, עם חפיפה ל-APT35) תקפה תשתיות קריטיות ורשתות ממשלתיות בישראל ובאלבניה בשנת 2025. הקבוצה השתמשה בשילוב של הנדסה חברתית ופריצה לשרשרת האספקה כדי להפיץ מטעני תוכנה מסוג PE Wiper.
"הנדלה" מייצגת את הקו המטושטש שבין האקטיביזם לבין הרס בהנחיית המדינה. הקבוצה, שזוהתה על ידי מספר חברות מודיעין איומים כחזית של גורם מאיים המכונה "Void Manticore" – הנתמך על ידי משרד המודיעין והביטחון האיראני – צצה בסוף שנת 2023 ומאז מבצעת פעולות מחיקה מתמשכות נגד יעדים ישראליים.
ארגז הכלים שלהם מתוחכם מבחינה טכנית. הודעות דוא"ל פישינג, שנכתבות לרוב בעברית רהוטה, מעבירות מתקין NSIS שמפעיל סקריפט AutoIT כדי להחדיר את תוכנת המחיקה לתוך תהליך לגיטימי של Windows. המטען הסופי מחליף קבצים בנתונים אקראיים, מעלה את רמת ההרשאות באמצעות מנהל התקן פגיע, ומוציא מידע מהמערכת באמצעות API של Telegram API שהוא משמיד את הנתונים.
מתקין זה כולל מרכיבים רבים — קבצים מפוצלים, שמות מזויפים ופקודות המורכבות זו לזו במהלך פעולתו. אך כל שלב הוא למעשה רק הוספה והפעלה של קובץ נוסף. ניתוח הדוגמה חושף את הרצף המלא עוד לפני שה-wiper מוחק דבר כלשהו.
במרץ 2026, האקר בשם "הנדלה" תקף את "סטרייקר", יצרנית מכשירים רפואיים המדורגת ברשימת Fortune 500, ומחק נתונים ממכשירים ב-79 מדינות באמצעות ניצול לרעה של Microsoft Intune, פלטפורמת ניהול נקודות הקצה של החברה. לשלב ההרס לא נדרשה תוכנה זדונית מותאמת אישית. הגישה ל-Intune ברמת מנהל סיפקה "מתג כיבוי" מרכזי למכשירים הרשומים במערכת.
באפריל 2026, התראה משותפת של שש סוכנויות אמריקאיות הזהירה כי אותה קבוצת תוקפים איראנית שיבשה באופן פעיל בקרי PLC של חברת Rockwell המחוברים לאינטרנט, במטרות ממשלתיות, בתחום המים ובתחום האנרגיה, לפחות מאז מרץ 2026. התוקפים השתמשו בתוכנת הנדסה לגיטימית של Rockwell כדי לחבל בקבצי פרויקטים של בקרי PLC ולתפעל את מסכי המפעילים, תוך ניצול פרצת אבטחה ידועה המאפשרת עקיפת אימות (CVE-2021-22681). זוהי פגיעה פעילה בתהליכים תעשייתיים על אדמת ארה"ב.
האקטיביסטים — מגיעים לשכבת החומרה
קבוצות האקטיביסטים הפרו-רוסיות חצו רף חדש בתקופה זו. בשנת 2025, קבוצת Z-PENTEST פרצה לממשק HMI החשוף לאינטרנט בסכר בנורווגיה באמצעות סיסמה חלשה, ובכך השיגה את היכולת לשלוט במערכות הפיזיות לניהול המים. קבוצת CyberArmyofRussia_Reborn פרצה לממשק HMI במוולשו, טקסס, וגרמה למכל מים לעלות על גדותיו, עד שהצוות עבר למצב פעולה ידני.
אלה אינן מתקפות מתוחכמות. הן פשוטות, מנצלות הזדמנויות, והשלכותיהן הולכות ומחמירות. הרף הנדרש כדי לגרום לשיבושים פיזיים בסביבות OT נמוך מכפי שמניחים מפעילים רבים.
התקפות מבוססות קבצים, תוכנות מחיקה ושימוש ב-IT/OT כנקודת תורפה מגדירות את הפריצות למערכות ICS/OT
בכל האירועים הללו, שבהם מעורבים גורמים, מגזרים ואזורים גיאוגרפיים שונים, מתגלה מערך דפוסים עקבי.
המגבים הפכו לכלי ההרס העיקרי
זוהי המגמה המשמעותית ביותר בפעילות האיומים על מערכות ICS ו-OT. ב-2024–2025 בלבד, לפחות שש מתקפות מחיקה נפרדות כוונו לסביבות תשתית תעשייתית ותשתית קריטית: DynoWiper שכוונה למגזר האנרגיה בפולין, PathWiper שכוונה לתשתית קריטית באוקראינה, AcidPour שכוונה לתקשורת באוקראינה, BAUXITE או BlueWipe-SewerGoo שכוונו לאנרגיה בישראל, PYROXENE שכוונה לממשל ולתשתית קריטית בישראל ובאלבניה, ו-Handala שכוונה למערכת הבריאות העולמית.
תוכנות המחיקה הופכות ליותר ממוקדות. תוכנת DynoWiper הופעלה באופן ספציפי נגד תשתיות אנרגיה בפולין, ומחקה מחשבים מבוססי Windows באתרי אנרגיה מבוזרים, וכן השבית ציוד OT מסוים באופן בלתי הפיך. תוכנת PathWiper הורסת את ה-MBR MFT מחליפה קבצים, מה שהופך את השחזור לקשה ככל האפשר. תוכנת AcidPour מכוונת למכשירי לינוקס משובצים, ומחקה כונני UBI ומחיצות Device Mapper המשמשים בציוד OT.
מתקפת "סטרייקר" של Handala הדגימה סוג שונה של התפתחות. במקום לפרוס תוכנות זדוניות מותאמות אישית בהיקף נרחב, התוקפים ניצלו לרעה כלי ניהול ארגוני לגיטימי בשם Microsoft Intune כדי להוציא פקודה למחיקה המונית של כל המכשירים הרשומים בו-זמנית. צעד זה הפך למעשה את התשתית של הארגון עצמו לנשק. לא מדובר בכלים לשימוש כללי שהוסבו לצורכי OT, אלא בכלים שתוכננו או הותאמו במיוחד לסביבות עליהן הם משפיעים.
תוכנות זדוניות המיועדות למערכות ICS הולכות ומתוחכמות
יש להקדיש תשומת לב מיוחדת ל-FrostyGoop כציון דרך. התוכנה הזדונית, שהופעלה נגד מערכת החימום העירונית של לבוב בינואר 2024, הייתה התוכנה הזדונית הראשונה שניצלה באופן ישיר את פרוטוקול Modbus TCP בסביבת ייצור. התוכנה, שנכתבה בשפת Go והורכבה כקובץ בינארי מסוג Windows PE, הועברה דרך רשת ההנדסה, ועברה ממערכת ה-IT למערכת ה-OT באמצעות העברת קבצים. התקיפה הותירה יותר מ-600 בנייני דירות ללא חימום במשך יומיים, בטמפרטורות מתחת לאפס.
ל-FrostyGoop יש חשיבות רבה משום ש-Modbus TCP נמצא בשימוש נרחב בסביבות תעשייתיות ברחבי העולם. התוכנה הזדונית הוכיחה שתוקפים כבר לא מסתפקים בתקיפת תחנות עבודה של Windows הסמוכות למערכות OT. כעת הם כותבים קוד המתקשר ישירות עם פרוטוקולים תעשייתיים.
מטרתו של FrostyGoop טמונה בקוד שהוא טוען — הספריות שהוא מייבא נועדו למטרה אחת בלבד: לתקשר עם בקרים תעשייתיים
לכל פרצת אבטחת מידע יש תיעוד בשרשרת התקיפה שלה
זהו המכנה המשותף. בכל אירוע בציר הזמן, ללא תלות בגורם, במגזר או במיקום הגיאוגרפי, קובץ זדוני חצה גבול אמון בשלב כלשהו בשרשרת ההתקפה:
- התוכנות הזדוניות נשלחו כקובצי PE הניתנים להפעלה, כקובצי VBScript המשמשים להפצת תוכנות זדוניות וכקובצי בינאריים מסוג ELF של לינוקס.
- הפרצות בשרשרת האספקה נעשו באמצעות חבילות התקנה ועדכוני תוכנה שהוכנסו אליהם סוסים טרויאניים.
- במסגרת מתקפת פישינג ממוקד נשלחו מסמכים זדוניים, בהם קבצי Excel עם פקודות מאקרו של VBA וקבצי OneNote עם תוכן זדוני מוטמע.
- תוכנות זדוניות המיועדות למערכות ICS הגיעו כקובצי בינארי Go קומפילטים כגון FrostyGoop, מטענים ב-Python כגון Triton ו-COSMICENERGY, וקובצי בינארי PE מותאמים אישית כגון Industroyer2 ו-DynoWiper.
- אפילו קמפיינים מסוג "לחיות מהאדמה" כמו "Volt Typhoon" הותירו אחריהם עקבות דיגיטליים, כולל "web shells", סקריפטים לתנועה רוחבית וכלי איסוף פרטי הזדהות שהושארו במערכות שנפרצו.
- תוכנות כופר שפגעו בסביבות הקשורות לתשתיות תפעוליות (OT), כגון Halliburton ו-Arkansas City, הופצו באמצעות קבצים מצורפים בהודעות פישינג ופריצות לשרתים.
סוגי הקבצים משתנים. מנגנוני ההפצה משתנים. הגורמים המעורבים משתנים. אך הדפוס נותר קבוע: קובץ נכנס לסביבה, חודר לאזור אמון, ואז הוא מופעל ישירות או מאפשר את השלב הבא של הפריצה.
מכשירים בקצה הרשת וממשקי HMI חשופים הם קו ההגנה החדש
הן מתקפת Z-PENTEST על הסכר בנורווגיה והן הצפת המים במולשו בטקסס ניצלו את אותה נקודת תורפה: ממשקי HMI החשופים לאינטרנט עם פרטי הזדהות חלשים או ברירת מחדל. קמפיין CyberAv3ngers נגד מתקני המים בארה"ב כוון אל בקרי PLC של Unitronics תוך שימוש בפרטי הזדהות ברירת מחדל. לא מדובר בפריצות "יום אפס". מדובר בכשלים בתצורה בגבול שבין מערכות OT לאינטרנט.
הגבול בין מערכות ה-IT ל-OT הוא המקום שבו מתמקדות ההתקפות
במקרה אחר מקרה, נקודת המפנה של ההתקפה מתרחשת בגבול שבין ה-IT ל-OT. תחנות העבודה ההנדסיות, הממוקמות בשתי הסביבות ומחברות בין רשתות הארגון לבקרי ה-PLC ברצפת הייצור, מהוות את נקודת המפנה הנפוצה ביותר. AZURITE מכוון אליהן ישירות. Volt Typhoon עבר דרכן. Triton הצריך גישה פיזית לאחת מהן. FrostyGoop הועבר דרך הרשת ההנדסית. הגנה על תחנת העבודה פירושה הגנה על הקובץ שמגיע אליה.
חיזוי מראש וניתוח התנהגותי עוצרים מתקפות OT לפני שהן גורמות לנזק
זיהוי התנהגותי של תקיפות "יום אפס" באמצעות MetaDefender
הדפוסים המשותפים להתקפות על מערכות בקרה תעשייתיות (ICS) וטכנולוגיות תפעוליות (OT) מצביעים על מציאות עקבית: איומים לא ידועים ומתחמקים חודרים לסביבות כקובצים, חוצים גבולות אבטחה ומופעלים בטרם מערכות ההגנה המסורתיות מספיקות להגיב. כדי לעצור התקפות אלה נדרשים הן ניתוח התנהגות מעמיק והן היכולת לחזות כוונות זדוניות עוד בטרם ההפעלה.
MetaDefender הוא הפתרון המאוחד OPSWATלזיהוי איומים מסוג "יום אפס", שנועד לחשוף איומים לא ידועים ומתחמקים המסתתרים בקבצים. הפתרון משלב סביבת בדיקה אדפטיבית (sandboxing), מודיעין איומים, דירוג איומים וחיפוש דמיון באמצעות למידת מכונה לתוך צינור זיהוי יחיד, המספק תוצאה מהימנה עבור כל קובץ.
באמצעות הפעלת קבצים בסביבה מדומה, Aether חושפת התנהגויות נסתרות כגון לוגיקת תוכנות כופר, הזרקת קוד, טכניקות נגד ניתוח ומטענים רב-שלביים, אשר כלים סטטיים אינם מסוגלים לזהות. היא מקשרת ממצאים אלה למיליארדי אינדיקטורים לאיומים כדי לזהות סיכונים, לחשוף וריאנטים ולשייך פעילות לטכניקות ידועות של תוקפים.
גישה זו מאפשרת לארגונים לאתר איומים מסוג "יום אפס" בקבצי הפעלה, סקריפטים, ארכיונים וקבצי תיקון, שלא ניתן לנקות או לשנות. היא תומכת גם בדרישות תאימות בענפים המפוקחים, שבהם נדרש ביצוע ניתוח דינמי ויש לשמור על שלמות הקבצים.
חיזוי איומים לפני ביצוע באמצעות בינה מלאכותית חיזויית של Alin
בנוסף לכך, Predictive Alin AI מציגה שכבת זיהוי טרום-ביצוע הפועלת בהיקף הרשת. במקום להמתין עד שקבצים יפעלו, היא מנתחת אינדיקטורים מבניים והתנהגותיים כדי לחזות כוונות זדוניות בתוך אלפיות שנייה. הדבר מאפשר לארגונים לחסום קבצים מסוכנים לפני שהם נכנסים לסביבה או מגיעים למערכות קריטיות.
מערכת ה-AI החיזויית Alin עוברת אימון מחדש באופן רציף באמצעות איומים מסוג "יום אפס" שזוהו על ידי MetaDefender . כל איום שאושר מחזק את יכולתו של המודל לזהות התקפות דומות בשלב מוקדם יותר בשרשרת. כך נוצר מעגל משוב בין ניתוח מעמיק לזיהוי חיזויי, שבו Aether חושף איומים לא ידועים ו-Alin משתמשת במידע המודיעיני הזה כדי לעצור את הדור הבא של ההתקפות עוד לפני ביצוען.
כאשר הם מופעלים יחד, MetaDefender ו-Predictive Alin AI מספקים הן עומק והן מהירות. Predictive Alin AI מספק החלטות מיידיות לפני ביצוע בגבול הרשת, בעוד MetaDefender מבצע ניתוח התנהגותי מקיף עבור קבצים הדורשים בדיקה מעמיקה יותר. גישה רב-שכבתית זו מצמצמת את מספר התראות השווא, מאיצה את תגובת מרכז הבקרה (SOC) ומבטיחה שזיהוי איומים, הן ידועים והן לא ידועים, יתבצע בטרם יוכלו להשפיע על סביבות OT.
כדי למנוע מתקפות OT מבוססות קבצים נדרשת זיהוי רב-שכבתי של פרצות "יום אפס"
נוף האיומים על מערכות בקרה תעשייתיות (ICS) וטכנולוגיות תפעוליות (OT) כבר אינו מתאפיין באירועים בודדים. הוא מעוצב על ידי דפוסים חוזרים. תוכנות המחיקה הופכות לממוקדות יותר, התוקפים פועלים במהירות רבה יותר, וההתקפות מתמקדות באופן עקבי בגבולות האמון. בכל המקרים, ישנו גורם קבוע אחד: קובץ שנכנס לסביבה ומאפשר את ההתקפה.
כלי בדיקה סטטיים וכלים מבוססי חתימות אינם מסוגלים לזהות את המכנה המשותף של התקפות אלה, והוא קובץ שחוצה גבול אמון מתוך כוונה שטרם תועדה. כדי לעצור אותן יש לבדוק את הקובץ לפני שהוא מופעל ולחזות את פעולותיו לאחר הפעלתו.
זהו התפקיד שלשמו נוצרו MetaDefender ו-Predictive Alin AI. Predictive Alin AI מגישה החלטה בגבול הרשת תוך אלפיות שנייה; MetaDefender מפעיל את מה שמצדיק בדיקה מעמיקה יותר ומזין כל תקיפת "יום אפס" שאושרה חזרה למודל החיזוי. התוצאה היא הגנה רב-שכבתית שהולכת ומתחזקת עם כל קובץ שהיא מזהה, בדיוק בגבול שבו מתחילות התקפות על מערכות ICS ו-OT.
גלו כיצד MetaDefender ו -Predictive Alin AI חוסמים את נתיב התקיפה מבוסס הקבצים לסביבת ה-OT שלכם.
