Date : 7/15/2015 10:07:43 AM
From : "idf-cyb"
To : "friedmanbatel@gmail.com"
Cc : "lev191@walla.com" , "ostreet94@gmail.com"
Attachment : 45448_LEV governments_threat_trends_q2_2015.pdf;45448_ORI energy_utilities_threat_trends_q2_2015.pdf;45448_ORI threat_actors_continue_to_leverage_third_party_organizations_to_facilitate_intrusion_operations.pdf;

הערכת סיכון לממשלות
(Governments Threat Trends Q2 2015)
תרגום: לב
גופי סייבר בחסות הממשלה ימשיכו לחפש מודיעין רלוונטי שיכול לעזור לממשלה שלהם בנושאים כמו: פוליטיקה, כלכלה וצבא. על פי עובדות אלו יש החושבים כי גופי הסייבר ישמתמשו בזה ברבעון הקרוב ב:
1. בסין עקב כך שהיא בונה על אי בים הסיני הדרומי יש חשד לתקיפות סייבר על ידי גופי סייבר בחסות הממשלה עקב זה שיש גופים אחר שמעורבים בבניה ולא מרוצים ממנה.
2. השקט בין רוסיה לארה"ב הוא סימן לכך ששניהם יתחילו בהתקפות סייבר אחד על השני, מתקפות אלו יכולות לבוא ליידי ביטוי באיסוף מ ודיעין על סנקציות, מיקומי כוחות צבא, אנרגיה וכל מידע רלוונטי אחר אשר יכול להקנות יתרון.
3. שיחות הגרעין בין ארה"ב לאיראן יכולות לגרום למפלגות אשר מתנגדות להסכמים לנסות ולהאזין לשיחות על מנת להעבירו למקבלי ההחלטות.
כמו כן ממשלות יכולות לתקוף את התקשורת ובכך להפיץ פרסומות המנוגדות להסכם.
4. עקב המרידות במדינות כמו עיראק, אוקראינה, סוריה, ערב הסעודית ועוד, ישנה האפשרות כי ממשלות זרות יגנבו מידע מודיעיני רלוונטי על מנת למנוע מהמדינה בה מתרחש המרד לקבל יתרון על המורדים.
5. האקטיביסטים עלולים להשחית או להתחיל הכחשה מופצת של התקפות שירות נגד אתרי ממשמל על מנת לקדם סיבה כלשהי או להגיב למחלוקת כלשהי.
6. בעקבות זה שמדינות מחזיקות במאגרי מידע גדולים הכוללים מידע על חשבונות בנק, מידע רב על אזרחים ועוד מידע רגיש, האקרים יהיו מעוניין בגניבת מידע זה על מנת למכור אותו, להשתמש בו לגניבת כספים

תעשיית הממשלות:
קבוצות תקיפה מתקדמות יהוו איום מתמיד לממשלות זרות במרדף אחר מידע שיוכל לספקם חסות ממשלתית עם יתרונות פוליטיים, כלכליים וצבאיים.
מידע כזה יכול להכיל דיווחים מסווגים, תקשורת ודרכי פעולה צבאיות, כמו כן יכול לכלול מידע כלכלי, פיתוחים צבאיים ותוכנות.
מדינות לאום יכולות אף להתשמש בגופי סייבר אשר תחת חסותם על מנת לתקוף מדינת אויב בשעת מלחמה. גופים אלו עלולים להתמש בתקיפות רשת על מנת להכשיל פעילויות ממשלתיות ולפגוע במערכות התראה ושרותי אספקה לאזרחים.


אנרגיה/שרותי ציבור: רבעון 2, 2015
(Energy Utilities Threat Trends Q2 2015)
תרגום: אורי
FireEye הבחינה כי תעשיות האנרגיה ושירותי ציבור נמצאים על הכוונת בזמן האחרון בגלל ההתקדמות השוטפת בטכנולוגיה ופיתוחים חדשים ליצור אנרגיה. FireEye צופים כי תקיפות בתעשיות האנרגיה ושירותי ציבור יושפעו ברבעון הקרוב ממספר גורמים:
  1. הדאגה לשינוי האקלים יביא לפיתוחים חדשים של אנרגיה חלופית ואחסון בקיבולת גבוהה. הערך הפרסומי של הדבר יעודד ארגוני פשע וממשלות לנסות לגנוב את הטכנולוגיה.
  2. סין הכריזה על "מלחמה בזיהום" אשר ככל הנראה, יחריף תקיפות על חברות השותפים לזיהום.
  3. מחירי הנפט הנמוכים יגרמו ללחץ כבד על תקציבי המדינות המספקות את הנפט (כגון: רוסיה ואיראן) ועלול להחריף מתחים במפרץ הפרסי - בפרט בין איראן לערב הסעודית. הדבר עלול להוביל לפעילויות סייבר הרסניות.
  4. ייתכן כי הורדת הרווחים בחברות אנרגיה יגביר את התחרות ויוביל לסימון תמחור קניינית ומידע על ייצור כמטרות.
  5. האחרון, הנדיר ביותר, הינו תקיפת שרותי ציבור למען בדיקת פגיעויות במערכות ICS.
תעשיות אנרגיה/שירותי ציבור: תקיפה מתקדמת
ייתכן כי ארגונים בתעשיה יעמדו בפני תוקפים המשויכים למדינה ומכוונים לפגיעה/הפרעה בפעילויות למען מטרות פוליטיים/צבאיים. FireEye מניחים כי ישתמשו בקבוצות Hackvtivists כמעין Proxy.
  1. תוקפים מדיניים המעוניינים בריגול כלכלי יתקפו תעשיות האנרגיה/שירותי ציבור במטרה להשיג קניין רוחני שיסייע להם בפרוייקטים פנימיים לשיפור מבצעים.
  2. חברות האנרגיה/שירותי ציבור אשר יפעלו מחוץ לארץ בו הוקמו יפגשו ככה"נ בתוקפים מטעם הממשל הזר. FireEye הבחינו בעבר במצבים בהם תוקפים ממשלתיים פרצו לארגונים כאלה ואספו מודיעין אשר יסייע למקבלי החלטות ממשלתיים במשא ומתן.
ייתכן וקבוצות תוקפים אשר עובדים יחד עם גורמים ממשלתיים יתקפו גם הם תעשיות האנרגיה/שירותי ציבור במטרה לשבש/להרוס פעילויות כתגובה למתחים פוליטיים/צבאיים. FireEye מבחינים כי יש סיכוי טוב שמדינות ישתמשו בקבוצות Hacktivist כ-Proxy ע"מ להסוות את מעורבותם בתקיפות.


תוקפים ממשיכים לנצל חברות צד-שלישי להקל על מבצעי תקיפה
(Threat Actors Continue To Leverage Third Party Organizations To Facilitate Intrusion Operations)
תרגום: אורי
כיום - ארגונים מתמודדים עם המון סיכון. קבלת שירותים מחברות צד-שלישי רק מוסיפה עוד משתנים למשוואה.
כדי לטפל במשתנים הנ"ל, ארגון יכול לדרוש מהחברות האלו לעמוד בסטנדרטים מסוימים של הגנה, אולם ההדבקות לדרישות אלו ואיכותם בסופו של יום אינו משתווה להגנה המיושמת בארגון עצמו. מעבר לזה, הרבה ארגונים יוצרים פערי אבטחה בהקמת תווך מהארגון לחברות צד-שלישי. דברים שלרוב נותנים לתוקף גישה יותר קלה פנימה.
תוקפים רבים, בעיקר קבוצות APT, מבינים כי שטח התקיפה של "היעד" נמתח הרבה מעבר לרשתות, מערכות ועובדים בארגון. הרבה מהקבוצות האלו רואות את היעד בעצם כמעין "מערכת אקולוגית" המורכבת מהמון יעדים קטנים, ובעצם כל יישות היכולה לספק קבלת כניסה ליעד המרכזי. כגון:
  1. היעד עצמו וכל חלקיו.
  2. חברות אם/בת
  3. מספקי סיוע כלכלי/חוקי (בנקים, עו"ד).
  4. חברות צד שלישי המספקות שירותים (עובדי קבלן, שירותי IT)
  5. שרשרת הספקה (ספקים, יצרנים, מיבאים..)
  6. קשרים חיצוניים (שותפים עסקיים, ממשלות ופקחים)
שימוש במספקי שירות IT לקבלת גישה
מתחילת השנה, נראו קבוצות APT מתכווננות לחברה המספקת שירותי IT ליעד. במקרים כאלה, הושג גישה לחברת ה-IT ומשם נאסף המודיעין הדרוש לקבלת כניסה ליעד. לאחר קבלת גישה לחברה - החלו התוקפים לבצע איסוף מודיעין פנימי להרחבת הגישה ולהתקדמות בתוך החברה.

מסקנה
אומנם יש הרבה יתרונות בהסכמים עם חברות צד-שלישי, אך הם מציגים פער אבטחה עצום ודלת נסתרת אל תוך הארגון. מהסיבות האלה בדיוק - השימוש בחברות צד-שלישי כדלת כניסה לארגון רק יעלה בשנים הקרובות.