Health-ISAC Hacking Healthcare 11-21-2022

ברוך הבא חזרה ל פריצת שירותי בריאות.

דיווח ENISA Threat Landscape (ETL)

בנובמבר 3^rd, סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) פרסמה את דו"ח 2022 על נוף איומי אבטחת הסייבר.[1] דו"ח שנתי זה מספק תובנות שימושיות לגבי מה שסוכנות אבטחת הסייבר של האיחוד האירופי חשבה כאיומי הסייבר העיקריים, כמו גם מגמות ומניעים בקרב גורמי איומים. בנוסף, נספח מקיף מספק רשימה מפורטת של תקריות, פירוט של נוף ה-CVE והמלצות הקשורות ל-ISO/IEC 27001 ול- NIST Cybersecurity Framework (CSF). למרות אורכו של 150 עמודים, הוא כתוב בצורה נגישה שקהלים לא טכניים יוכלו להבין במידה רבה. הדו"ח הורכב מנתונים שנאספו בין יולי 2021 ליולי 2022.

אז מהן כמה נקודות טייק אווי רלוונטיות שכדאי לשים לב אליהן?

• - שרשרת אספקה: לפי הדו"ח של ETL, גם גורמי איומים הנתמכים על ידי המדינה וגם שחקנים פושעי סייבר מפתחים יותר ויותר עניין בהתקפות שרשרת האספקה ​​וביכולות לנהל אותן. ה-ETL מציין שפשרות שרשרת האספקה ​​היוו 17% מהפריצות בשנת 2021, שהיא עלייה של 16 נקודות אחוז בהשוואה לשנת 2020. ENISA קושרת עלייה זו ללקחים שנלמדו על ידי גורמי איומים בעקבות SolarWinds.

ENISA מעריכה גם כי "ספקי שירותי ענן (CSPs), ספקי שירותים מנוהלים (MSPs) וארגוני שירותי IT הם יעדים עיקריים עבור גורמי איומים כדי לנצל את יחסי האמון שלהם כדי לבצע פעולות מרושעות".[2] בסופו של דבר, ENISA מצפה לראות "פושעי סייבר ימשיכו למקד את שרשרת אספקת התוכנה ו-MSPs בעתיד הנראה לעין", וכי הם "צפויים גם למקד את כלי הניהול המשמשים את MSPs כגון תוכנת אוטומציה של שירותים מקצועיים (PSA) או ניטור מרחוק. וכלי ניהול (RMM)".

•  – גיאו-פוליטיקה: 
• דו"ח ETL מבהיר כי הסכסוך באוקראינה "עיצב מחדש את נוף האיומים", וכי הגיאופוליטיקה ממשיכה לשחק תפקיד חשוב בפעולות סייבר.[3] שלושה נושאים שלדעתם ראויים להדגיש הם הפעילות הגברת האקטיביסטית, הגיוס של גורמים האקטיביסטיים ופושעי סייבר כדי להגביר את יכולות המדינה, והעלייה בשימוש ב-DDoS.

• - מיתוג מחדש של תוכנות כופר:
• ENISA מציינת כי נראה שכיח יותר ויותר שקבוצות תוכנות כופר מנסים למתג מחדש מאז מתקפת הצינור הקולוניאלי "הביאה למאמצים מוגברים [לפגוע] על ידי רשויות אכיפת החוק וממשלות ברחבי העולם".[4] הדו"ח של ETL קובע שלקבוצות תוכנות כופר לוקח בממוצע 17 חודשים לפני מיתוג מחדש, וכי המניעים העיקריים שלהן עשויים להיות:

1. 1. הפעל מחדש את הפעולות שלהם במקרה שהכלים, ה-TTPs או התשתית שלהם נפגעו באופן קריטי;
2. 2. הימנע מאכיפת חוק, תקשורת ותשומת לב פוליטית;
3. 3. לעכב ולעכב מאמצים לייחס פיגוע כדי שהקורבנות יוכלו לשלם את הכופר לגורם שאינו סנקציה; ו
4. 4. לפתור מחלוקות פנימיות.

• דיוג:

• - לא סביר שתהיה הפתעה ש-ENISA מצאה ש"דיוג הוא שוב הווקטור הנפוץ ביותר לגישה ראשונית."[5] הם גם הדגישו כי "ההתקדמות בתחכום של פישינג, עייפות משתמשים ודיוג ממוקד, מבוסס הקשר הובילו לעלייה זו", וכי שחקני איומים ממשיכים להתאים את תוכן מסעות הפרסום של פישינג לאירועים עולמיים מרכזיים בתקווה לעורר סקרנות.

• טכנולוגיה תפעולית:

• ENISA הזהירה בהערכת השנה שעברה כי "האינטרס של גורמי מדינה במיקוד תשתיות קריטיות ורשתות טכנולוגיה תפעולית (OT) בהחלט יגדל בעתיד הקרוב".[6] על פי העדכון של השנה, "ההערכה תקפה כפעולות סייבר המכוונות לתשתית כזו בעיקר לאיסוף מודיעין, פריסה של תוכנות זדוניות מכוונות ICS חדשות שנצפו והפרעות כולן נצפו".[7]

הדו"ח של ETL מתמקד מאוד באיום של שחקנים הנתמכים על ידי מדינה המחפשים יותר ויותר לפתח יכולות ממוקדות OT שיוכלו לשמש במהלך משבר או סכסוך. ENISA מזהירה כי סביר להניח שמי שיש להם עניין במיקוד OT "ימשיכו להקדיש משאבים ולפתח מסגרות תוכנה זדוניות של ICS הניתנות להרחבה בגלל המודולריות והיכולת שלהן למקד למספר קורבנות וציוד המשמש בתעשיות מרובות".

• מגמות סחיטה:

• מגמה אחת שכדאי לשים עליה עין על פי ENISA היא עלייה בגניבת נתונים וסחיטה ללא שימוש בתוכנת כופר. שיטות סחיטה התפתחו במהלך השנים האחרונות כדי לשלב טקטיקות שונות כדי למקסם את התשלום של הקורבן, ונראה שהאיטרציה הספציפית הזו גוברת בשימוש. ENISA מציינת כי פושעי סייבר גילו שהם יכולים פשוט לבקש כופר הקשורים לנתונים גנובים מבלי לעבור את הצרות של פריסת תוכנות כופר.

• איסור תשלום:

• התפתחות מעניינת במיוחד היא הקריאה של ENISA מתוך חקיקה ורגולציה של איסור תשלום כופר. הדו"ח של ETL מציין שבשנת 2022, מדינת צפון קרולינה בארה"ב "הודיעה כי נאסר על גופים ציבוריים לשלם כופר", ומדינת פלורידה האמריקאית הלכה בעקבותיה עם משהו דומה עבור סוכנויות ממשלתיות. ENISA ממשיכה ומציעה כי "נשאר לראות אם ההתחייבויות הללו יהיו אפקטיביות, שכן קבוצות [Ransomware-as-a-A-Service] (RaaS) לא יגבילו את עצמן בגלל חקיקה מקומית".[8] הם מאמינים ש"רק בהקשר גלובלי יותר, אמצעים משפטיים אלה יכולים להפוך ליעילים יותר".

פירוטים מקיפים יותר בנושאים אלה ניתן למצוא בדוח ETL באורך מלא, הזמין בחינם באתר ENISA. אנו מעודדים חברים מעוניינים לעיין בדוח עבור סעיפים אחרים הרלוונטיים להם.

פעולה וניתוח

*כלול עם חברות H-ISAC* 

הקונגרס

יום שלישי, 22 בנובמבר:

- אין דיונים רלוונטיים

יום רביעי, 23 בנובמבר:

- אין דיונים רלוונטיים

יום חמישי, 24 בנובמבר:

- אין דיונים רלוונטיים

ברמה בינלאומיתשימועים/פגישות

- אין פגישות רלוונטיות

צור איתנו קשר: עקוב אחר @HealthISAC