שנת 2023 הייתה שנת הפריצה של הבינה המלאכותית הגנרטיבית (GenAI) שהייתה מרגשת אך גם מטרידה עבור אנשי מקצוע בתחום אבטחת הסייבר, שמבינים כעת כי שינויים טכנולוגיים וסיכוני סייבר הם אלמנטים בלתי-נפרדים זה מזה.
בינתיים, שינויים דרמטיים בעולם הפיזי עיצבו מחדש את נוף האיומים, ניתבו מחדש את אסטרטגיות האבטחה, והביאו לרפורמות רגולטוריות. עם זאת, יש דברים שלא משתנים, כמו המרדף הבלתי-פוסק של תוקפים אחר זהויות ודרכים לגנוב אותן ולהשתמש בהן.
בישראל, היינו עדים למספר תקיפות על ארגונים מסחריים וממשלתיים, כאשר לרוב מטרת התקיפה היא פגיעה בזמינות, הטרדה וגניבת פרטים אישיים הכוללים כתובות מייל, מספרי טלפון וכו׳ – נתונים שהופכים לקריטיים בעיתות מלחמה.
התחזיות השנתיות המובאות בהמשך, המבוססות על מחקר של סייברארק, אינטראקציות עם לקוחות ושותפים, ושיתופי פעולה בתוך התעשייה. אז איך 2024 הולכת להיראות?
מנהלי אבטחת מידע יידרשו לשקיפות בנושא פריצות
אחריות על אבטחת סייבר הופכת לאחריות אישית. לאחר המקרה בו מנהל האבטחה של Uber הואשם שלא חשף פריצה שהתרחשה בשנת 2016 לרשויות הפדרליות ואחר בו הוגש כתב אישום נגד חברת SolarWinds ומנהל אבטחת המידע שלה על הונאה וכשל בקרות פנימיות, הרשות לני"ע החליטה על החמרת דרישות הגילוי בתחום אבטחת הסייבר.
בנוסף, חברות המדווחות לבורסה בארה"ב יידרשו החל מחודש דצמבר הנוכחי לדווח באופן מקיף ומהיר יותר אודות אירועי סייבר - בתוך ארבעה ימים בלבד מרגע הגילוי. הדבר צפוי להשפיע על המבנה והפעילות של החברות בתחום.
חטיפת שיחות (Session Hijacking) תקבל תפקיד בולט במתקפות
יימשך המעבר של ארגונים לניהול גישה ללא סיסמה. האקרים יפתחו טקטיקות כדי להערים על משתמשים ארגוניים ומשתמשי צד שלישי, לגנוב עוגיות הפעלה ((session cookies ולעקוף מנגנוני אימות חזקים.
בשנה הקרובה, חטיפת שיחה (session hijacking) תהווה 40 אחוזים מכלל מתקפות הסייבר. על מנת להתגבר על הבעיה, חיוני לממש אבטחה מתמשכת, לנטר ולהגיב לפריצות ושימוש לרעה בסשנים של משתמשים וקבצי עוגיות – במיוחד לאור ההבטחה המעודדת של גוגל להיפטר מהם לתמיד.
30 אחוזים מהארגונים ישלמו מחיר על שימוש בסיסמאות חלשות
גניבת פרטי התחברות מסורתיים (שם משתמש וסיסמה) תרד ככל שהשימוש באימות ללא סיסמה יגבר. עם זאת, התופעה עצמה לא תיעלם. עקב העובדה שארגונים המטמיעים אימות ללא סיסמה יידרשו להטמיע פקטור גיבוי נוסף, חברות רבות יישענו על אפשרויות לא מאובטחות, בהן סיסמאות.
במקביל, התוקפים ינצלו את אמצעי ההגנה הרופפים על הסיסמאות, ו-30 אחוזים מהארגונים יחוו עלייה בפריצות למידע הקשורות לגניבת הרשאות העוקפות את האימות ללא סיסמה.
55 אחוזים מהארגונים יזרזו איחוד מערכות טכנולוגיות כדי לפשט את מנגנוני האבטחה
כיום, סביבות IT ואבטחה של רוב הארגונים הן נרחבות, מסובכות וקשות מדי לניהול. רק לעתים רחוקות צוותי האבטחה מיומנים בכל הכלים שעליהם להפעיל, מה שמאלץ אותם לשכור או להביא מומחים חיצוניים במקרים כאלה ואחרים.
מכיוון שכל פלטפורמה מתמקדת בהיבטים ספציפיים וחופפת לפלטפורמות אחרות, הצוותים מתקשים לראות ולהבין את כל החולשות והאיומים בסביבות שלהם, שהן מבוססות ענן בעיקרן.
הפרות של הסכמי תנאי השירות (SLA), עליות חדות בהוצאות תקורה וסחף אבטחה מסוכן ידחפו מעל מחצית מהארגונים להאיץ את האיחוד של המערכות הטכנולוגיות שלהם לטובת התייעלות ותפעול פשוט יותר.
מנגנוני אבטחה לא מוגנים המבוססים על בינה מלאכותית, יזינו מעגל מתגבר של סיכוני סייבר
למרות שארגונים מאמצים את GenAI בין היתר כדי לחזק את יכולות הגנת הסייבר שלהם, 80 אחוזים מהם לא יצליחו להגן על שיטות האבטחה הללו – וכך יזינו מעגל גובר של סיכוני סייבר.
השגת יתרון על התוקפים תדרוש חשיבה מוכוונת - החל מאימון מודלים של GenAI עם מדגמים התקפיים והגנתיים ועד לאימוץ מנגנון לביצור המודל (Model Assurance) ובדיקות מאמץ קבועות (כולל שימוש ב-Red Teams ובדיקות חדירה לארגון).
כמעט מחצית מהדירקטוריונים של חברות Fortune 500 ימנו מנהל אבטחת בינה מלאכותית
אבטחת סייבר אינה בעיית IT, אלא חלק מיסודות החוסן העסקי והאמון של בעלי העניין. רוב ארגוני Fortune 500 מכירים בסיכונים ומשפרים את ההבנה של חברי הדירקטוריון התאגידי בנושאי אבטחת סייבר. סיכוני הבינה המלאכותית מגבירים עוד יותר את דחיפות העניין.
עד שנת 2026, 45 אחוזים מחברות אלה יגייסו וימנו מנהל אבטחת בינה מלאכותית ראשי כחלק מהדירקטוריון. מנהל זה יהיה בעל מומחיות טכנית ורקע עסקי, ותהיה לו השפעה רבה בקידום החדשנות בתחום, בניהול סיכונים ובשמירה על מודלי האבטחה מבוססי בינה מלאכותית.
ארגונים רב-לאומיים יצטרכו לתת דין וחשבון לרגולטורים
60 אחוזים מכל הישויות הגלובליות הנתונות לפיקוח רגולטורי, יתקשו לעמוד בדרישות ההולכות וגדלות בתחום הגנת המידע וגילוי פריצות, במיוחד עם התרחבות מקרי השימוש ב-GenAI במתקפות. ארגונים נוספים ייענשו על אי-ציות, מכיוון שרגולטורים אינם מסתפקים בהצהרות ודיבורים.
יש לציין כי כיום, אי-עמידה בתקנות ה-GDPR של האיחוד האירופי יכולה לבדה לעלות לארגונים עד 20 מיליון אירו או 4 אחוזים מהמחזור הגלובלי השנתי (הגבוה מביניהם).
המעצמות הגלובליות הגדולות ידרשו 'אמנת ז'נבה' ללוחמת סייבר
התקפות מתוחכמות מצד מדינות, במיוחד אלה המכוונות לתשתיות קריטיות, עלולות לגרום לשיבושים נרחבים, הפסקות חשמל מסכנות חיים ונזק מתרחב בשרשראות אספקת התוכנה.
החששות הגוברים מפני הסלמה לכדי לוחמה קונבנציונלית, יניעו את המעצמות הגלובליות הגדולות לנקוט בצעדים דרמטיים כדי לשפר את אבטחת הסייבר שלהן, את המסגרות המשפטיות ואת שיתוף הפעולה הבינלאומי בנושא.
במסגרת זו, מדינות אלו יקראו להתייחסות של אמנת ז'נבה ללוחמת סייבר כדי להרתיע מדינות לאום ולהביא לדין את האחראים לפעולות תקיפה.
________
לביא לזרוביץ' הוא מנהל המחקר בחברת סייברארק.
