יבמ מפרסמת את המגמות באיומי הסייבר לשנת 2015 בדוח רבעוני של מומחי צוות X-Force ביבמ ומצביעה על שורת אתגרים הניצבים בפני ארגונים - הן כאלה המגיעים מבפנים, בשוגג או במזיד, והן כאלה הנשענים על קוד זדוני. הדוח החוקר ומנתח איומי אבטחה, מיועד להדריך ארגונים בכל הנוגע לנקודות התורפה הקיימות במערכות טכנולוגיות המידע שלהם ומצביע על שורת סמנים המתריעים על פעילות זדונית.
למרות שכ-80% ממתקפות הסייבר מבוצעות על-ידי רשתות פושעים מאורגנות, במקרים רבים, הפורצים הבלתי מנוסים הם אלה שמובילים להתראה הראשונית על מתקפות בהיקף רחב יותר המסתתרות מתחת לפני השטח. פורצים "חובבנים" אלה מותירים רמזים דוגמת תיקיות או קבצים בתיקיות זמניות - ובמהלך התחקיר שלהם מתגלה חדירה חמורה ומורכבת הרבה יותר.
מומחי יבמ מצביעים על ארבעה מגמות עיקריות באיומי סייבר בפניהן ניצבים ארגונים:
אירועי אבטחה בשכבות - Onion Layered - הם מקרים בהם מגיעה התקפה שניה, הנושאת עימה לעתים קרובות סיכונים גדולים משמעותית, במהלך החקירה וההתמודדות עם אירוע קודם. במתקפות כאלו, מחפשים פושעי הסייבר אחר שרתים שאליהם קל לחדור ומשתמשים בהם לפעילות היוצרת מהומה בארגון, דוגמת מתקפות דואר זבל מאסיביות. מתחת לפני השטח, מנצלים הפורצים את העיסוק במתקפה הראשונה על-מנת להסוות את הפעילות היותר מסוכנת.
פריצות לצורך דרישת כופר (Ransomware), עליהן התריעו מומחי האבטחה של יבמ כבר בדוחות קודמים, נשענות על היעדר גיבוי הולם לנתונים אותם מצליחים הפורצים להצפין ולנעול, כמו גם היעדר הקפדה על תהליכי הטלאה ועידכון מערכות, ובעיקר על היעדר מודעות מצד המשתמשים. תוקפים למטרות רווח עושים שימוש בשילוב כלים עתירי עוצמה הזמינים על בסיס מסחרי במרחבי הרשת האפלה. הם מנצלים נקודות תורפה, משתילים קוד זדוני המשדרג את הרשאות הגישה שלהם למערכות הארגוניות באופן החושף בפניהם משאבים ומערכות נוספות. במהלך 2015 הייתה התקיפה לצורך דרישת כופר לאיום הסייבר השכיח ביותר. ה-FBI מדווח כי מתקפות Cryptowall, בהן מוצפנים קבצים מרחוק וננעלים עד לתשלום כופר, הניבו לפושעים הכנסות של 18 מיליון דולר בשנים 2014-2015. חוקרי האבטחה של יבמ מאמינים כי איום זה ימשיך ויתרחב גם אל תוך 2016, וצופים כי הוא יגיע גם לעולם מכשירי המובייל.
מומחי יבמ חוזים המשך העלייה בשכיחות ובסיכונים של איומים המגיעים מתוך הארגון. כבר ב-2014 מצא דוח האבטחה של יבמ כי 55% מניסיונות הפריצה מבוצעים על-ידי גורמים "פנימיים", או כאלה שהייתה להם גישה מבפנים אל מערכות הארגון, אליה הגיעו במכוון או במקרה. מתקפות מבפנים ניתנות גם הן לבלימה, באמצעות שיפור רמות עידכון המערכות, והעלאת המודעות בקרב ההנהלה לסיכונים. כאן, ממליצים מומחי יבמ לקיים מסגרות קבועות של תרגילי התגוננות, לגבש תוכניות תגובה לאירועי אבטחה, ולבצע תהליך כולל של הערכת סיכונים ומזעורם.
ביבמ טוענים גם כי בשנת 2015 גברה תשומת הלב של הנהלות הארגונים לאופן הטיפול באיומי סייבר. סקר שנערך בקרב מנהלי אבטחה בארגונים גילה כי 85% ממנהלי האבטחה בארגונים מקבלים תמיכה גוברת מההנהלה הבכירה לטיפול באיומי האבטחה ואצל 88% גדלו התקציבים לטיפול בנושא.
סמני סיכון וצעדי מגננה מומחי האבטחה של יבמ ממליצים להתייחס בכובד ראש ל"סמני סיכון", הוכחות דיגיטליות אותן מותירים מאחוריהם פורצי מערכות, במהלך המתקפות. כאן, נדרשת תשומת לב מיוחדת לדפוסי תעבורה חריגה הזורמת ברשת, להתנהלות בלתי רגילה בכל הנוגע להרשאות שימוש בחשבונות שונים, לשינויים בפיזור הגאוגרפי של הפעילויות השונות, לסימנים מחשידים במערכות ההתקשרות ליישומים שונים (login), כמו גם לעליה בלתי מוסברת בנפח הקריאה של בסיסי נתונים, לשינויים באופי התגובה לקריאות HTML, למספר גדול של קריאות לאותו קובץ, שינויים חשודים בקבצי הרישום של המערכת (registry), קריאות DNS חריגות, דיווחים בלתי צפויים על-אודות עידכונים והתקנת טלאים במערכות, והתנהלות חשודה של תעבודת Web.
ביבמ ממליצים על חמישה צעדים במלחמה נגד פורצי מערכות, תוך מינוף "סמני הסיכון". ראשית - יש לבנות פרופיל של שימוש "נורמאלי" ברשת, לאסוף ולבחון לוגים ולתעד את כלי המתקפה המוכרים העלולים לפגוע בהם. בהמשך, יש להשתמש במודיעין האבטחה הזמין על-מנת לחפש ולזהות פעילות המגיעה מכיוונם של תוקפי המערכות, באמצעות חסימה או התרעה על פעילות זדונית. יש לחקור לעומק את אירועי האבטחה, ולהעריך את רמת הסיכון אותה הם מציבים, באמצעות חיפוש עדויות ברחבי הרשת הארגונית, ועמידה על לוח הזמנים של האירועים השונים. נקודות תורפה דורשות טיפול בדמות התקנת טלאי אבטחה ואיפוס ססמאות, יחד עם הגדרת סימנים ברורים שזיהויים מעיד על מתקפה נוספת. התוכנית הרב-שלבית הזאת צריכה להתבצע שוב ושוב, על-מנת להתאים את מערכות הארגון לשינויים בסביבה ובאיומים.
