כיצד ארגונים צריכים להקשות על תוקף הסייבר ולגרום לו להזיע?
מאת:
נועם הנדרוקר, 29.3.21, 12:59
5 מגמות בתקיפות סייבר, שהתחזקו בשנה האחרונה ותתעצמנה ב-2021. 5 התחומים החשובים ביותר לטיפול, שיפחיתו בצורה משמעותית את הסיכוי להתקפה בארגונים, ומה ראוי לעשות בכל תחום.
שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. מספר תקיפות שינו את הגישה והפוקוס של השוק העולמי והדגישו, שסייבר הוא סיכון עסקי המאיים על כל ארגון, בכל מגזר ובכל גודל.
פושעי סייבר הבינו, שהשינויים במפה הפוליטית הגלובלית, מגפת הקורונה ומצב הכלכלה העולמית, מהווים עבורם הזדמנות פז והם החלו לנצל את המצב המורכב, שנכפה על ארגונים, לביצוע מגוון מתקפות סייבר כגון כופרה, מתקפות מניעת שירות, פריצות, הונאה וגניבת נתונים.
ב-2020 הייתה עליה משמעותית בכמות ההתקפות והנזק, שהן גורמו יחסית לממוצע בשנים הקודמות. כך למשל, אירועי פישינג (הונאה דרך דואר אלקטרוני)
עלו ב-220% בשיא המגיפה העולמית ביחס לממוצע השנתי, כמו גם עלייה של 151% במתקפות מניעת שירות (
DDoS) בהשוואה ל-2019.
פושעי הסייבר החלו להיות נועזים יותר, מתוחכמים יותר ויצירתיים יותר כדי למקסם נזק לקורבנות התקיפה, ובכך, למקסם תועלת עבור עצמם. זה התבטא בכך, שארגונים ספגו נזקים, ישירים ועקיפים, של עשרות מיליוני דולרים בגין מתקפות סייבר.
יש 5 מגמות, שהתחזקו בשנה האחרונה והצפי הוא, שמגמות אלו תמשכנה ותתעצמנה ב-2021.
המגמה הראשונה היא שימוש נרחב בכופרות ממוקדות, שנשלטות לאורך כל התקיפה, והן ייעודיות לגוף נתקף, מותאמות אליו ולא מיועדות להפצה רחבה.
המגמה השנייה היא תקיפה דרך שרשרת אספקה. קבוצות התקיפה זיהו את הפוטנציאל והבינו, שארגונים מוגנים כחוזק החולייה החלשה ביותר שלהם, ולכן מימשו טכניקות תקיפה ואיסוף מודיעין, זיהוי השרשרת ותקיפה ממוקדת כדי לחדור לארגון היעד.
המגמה השלישית היא תקיפות דרך מוצרי תוכנה. שתילת קוד עוין ודלתות אחוריות בתכנות הנחשבות כמאובטחות. התוקפים עושים זאת בצורה מקצועית וכמעט בלתי ניתנת לזיהוי. העלות של מבחני קוד, סריקות ואינטגרציה של רכיבי תוכנה היא גבוהה מאוד. ארגונים נוטים "לחסוך" ולדלג מעל התהליך הזה וקבוצות התקיפה זיהו את הפוטנציאל ומנצלות אותו.
המגמה הרביעית היא, שקבוצות סייבר מסגלות לעצמן דפוסי התנהלות המאפיינים את העולם העסקי. ניתן לראות, שקבוצות סייבר רוכשות יכולות ונוזקות מפושעי סייבר אחרים. אנו עדים לקבוצות תקיפה גדולות המחזיקות תחתיהן קבוצות סייבר קטנות יותר, מספקות שירותי תמיכה ו"שירות לקוחות" ולמעשה, קבוצות סייבר מתנהלות כמעין חברות עסקיות לכל דבר ועניין.
המגמה החמישית היא ריבוי מתקפות סייבר כנגד חברות מענף ההייטק. פושעי סייבר רואים בחברות ההייטק מטרות מאוד רווחיות, שכן רובן עשירות הן מבחינה פיננסית והן מבחינת ערך הקניין הרוחני שלה.
2021 הולכת להיות מאתגרת לפחות כמו זו שקדמה לה.
לאחר סקירת מאות ארגונים ע"י החברה, מסתבר, שבמרביתם קיימים פערים משמעותיים בתחומים הרשומים מטה ויש קשר ישיר בין אופן יישום מתקפה לחולשות המצוינות. טיפול בנושאים הללו יפחית את הסיכון להתקפה ויגביר משמעותית את מוכנות הארגון להתמודד עם אירוע סייבר.
5 התחומים החשובים ביותר לטיפול, שיפחיתו בצורה משמעותית את הסיכוי להתקפה הם:
ניהול סיכוני סייבר בשרשרת האספקה
82% מן הארגונים אינם מנהלים באופן סדור את סיכוני הסייבר הנובעים משרשרת האספקה. ברוב המוחלט של הארגונים לא קיימת פונקציה ייעודית לטיפול סדור בנושא ובמרבית המקרים פונקציית הרכש אחראית גם לנושא החתמות הספקים ומילוי סקרים בתהליך התקשרות חדש אך לא מעבר.
ב-2020 חווינו לא מעט התקפות, שמקורן בשרשרת האספקה. דבר, שהדגיש עוד יותר את העובדה, שלנושא זה משנה חשיבות בהתמודדות עם אירועי סייבר.
אחת ההתקפות החמורות ביותר בתקופה האחרונה, שנבעה מהתקפה מסיבית של שרשרת האספקה, מקורה בתוכנת אוריון מבית
SolarWinds. בשל אופייה של התכנה, ניטור ובקרת רשת, היא ניגשת למשאבים הכי קריטיים של הארגונים בהם היא עובדת.
האקרים נכנסו לסביבת הפיתוח של
SolarWinds והצליחו להכניס תוכנות זדוניות לעדכון, שהופץ ע"י החברה. לאחר ההתקנה, התוכנה יצרה קשר לרשת פיקוד ובקרה המנוהלת ע"י קבוצת ההאקרים, ואפשרה להם להיכנס לרשת ולנקוט בפעולות נוספות. הפריצה השפיעה על כ-18,000 ארגונים, ביניהם סוכנויות ממשלתיות בארה"ב, גופי תשתיות קריטיים וארגונים פרטיותם.
אז מה עושים?
1. מזהים וממפים את הספקים הקריטיים של הארגון.
2. קובעים קריטריונים וסטנדרט אבטחת מידע לספקים.
3. מבצעים סקרים והערכת סיכונים כדי לבחון את הבקרות.
4. מנהלים את הפערים והממצאים מול הספק עד עמידה ומעבר מעל הרף שנקבע.
ניתן וכדאי לטפל בנושא ע"י העברת הטיפול השוטף לשירות מנוהל מקצה לקצה.
ניטור, זיהוי ותגובה לאירועי סייבר
67% מהארגונים לא מנהלים בצורה שוטפת את תהליכי הניטור, הזיהוי והתגובה לאירועי סייבר.
התקפות סייבר מאימות על ארגונים ברחבי העולם. עוצמת ההתקפות גדלה באופן אקספוננציאלי משנה לשנה. האיום גבר במיוחד בשנה האחרונה, בעקבות המעבר המסיבי של העובדים לעבודה מהבית, שימש נרחב יותר בשירותי ענן והתגבשותן של חבורות פושעים הפועלים כמו גוף מסחרי לכל דבר ומפיצות כופרה בעולם.
בחלק גדול מהארגונים לא בוצע תרגול בנושא אירועי סייבר והתמודדות ההנהלה וכמו כן אין צוותי
IR מסודרים.
אז מה עושים?
1. מגדירים תהליך סדור של ניהול משברי סייבר בארגון.
2. רוכשים שירות מנוהל לאיסוף וניתוח אירועי אבטחת מידע במערכות השונות (
Managed Detection & Response-
MDR).
3. מחברים לשירות זה מקורות מידע שונים החל מזיהוי התנהגות חשודה על מערכות הקצה (
XDR), דרך ניטור השרתים, ציוד התקשורת, הדואר האלקטרוני, מערכות הייצור וכל מערכות המידע.
4. מתרגלים את ההנהלה והצוותים הטכניים בתרגילי סייבר יבשים/רטובים.
ניהול מצאי תכנה, טלאים ושינויים
כ-56% מהארגונים מדווחים, שהם לא מנהלים טלאי אבטחת מידע בצורה סדורה ורציפה. תוקפים סורקים ללא הרף ארגוני יעד והם מחפשים גרסאות פגיעות של תוכנה הניתנות לניצול מרחוק. חלק מהתוקפים המתוחכמים עלולים להשתמש בניצולי יום-אפס, שמנצלים את הפגיעויות, שלא היו ידועות בעבר ושעדיין לא שוחרר לגביהן תיקון ע"י ספק התוכנה. ללא ידע או שליטה נאותים בתוכנות הפרוסות בארגון, לא ניתן לאבטח כראוי את נכסי הארגון.
אז מה עושים?
1. משתמשים בכלים לניהול מצאי התוכנה ברחבי הארגון לתיעוד כל התוכנות, שהארגון עושה בהן שימוש.
2. מסירים כל תוכנה, שאין בה צורך עסקי (יש לכך גם השלכות עסקיות בנושא רישוי תכנה והעלות שלה).
3. עוקבים אחרי עדכוני אבטחה בתכנה שעושים בה שימוש ומעדכנים את התוכנות באופן תדיר בהתאם לרמת החומרה של העדכון.
4. מריצים כלי סריקה לבחינת פגיעויות בתכנות.
שירותי ענן וגישה מרחוק
אחד מהשינויים המהותיים ביותר, שהתחוללו במהלך 2020, הוא המעבר לעבודה מהבית, גישת ספקים ונותני שירותים למערכות הארגון מרחוק ושימוש מתעצם וגובר בשירותי ענן.
%
38 מהארגונים אינם ערוכים באופן מלא לצמצם את הסיכונים הנובעים משינויים אלה. השתלטות מרחוק משמשת ארגונים רבים וכן משתמשים פרטיים לשם מתן או קבלה של שירותי תמיכה במערכות המידע בפרט בתקופה זו. הללו מממשות יכולת שיתוף באמצעות מתן גישה למחשב אחר לשלוט במחשב של הלקוח. שימוש בפלטפורמות אלו על יתרונותיהן, טומן בחובו גם אתגרים אבטחתיים רבים. על הארגונים לוודא, שהם מוגנים כראוי בטרם הם מאפשרים גישה זו.
אז מה עושים?
1. מיישמים גישה בטוחה לאנשי החברה באמצעות חיבור מאובטח (
VPN) ולא באמצעות ממשקים פחות מאובטחים.
2. מיישמים מנגנוני הזדהות משולבים (
MFA). כלומר, בנוסף לזיהוי פשוט כמו שם משתמש וסיסמא יש להשתמש בתהליך אישור נוסף כגון קוד הנוצר בטלפון הנייד.
3. מוודאים, שתחנות הקצה, מהן מתחברים העובדים לארגון, מוגנות כראוי. יש להתקין אנטי וירוס עדכני, הגנה מפני פוגענים ומערכות
EDR.
4. לא מאפשרים התקנת תוכנות מגורמים בלתי מזוהים.
5. במידת האפשר מוודאים, שכל עובדי הארגון משתמשים בציוד ארגוני ולא בציוד אישי.
תפקידים ואחריות, הערכת סיכונים ונהלי עבודה ומדיניות
ב
-56% מן הארגונים לא מונה מנהל אבטחת מידע כלל, או שמונה מנהל אבטחת המידע ללא רקע וניסיון מתאים ובנוסף לתפקידים נוספים, שהוא מבצע.
יש להבין, שסיכוני סייבר הם משמעותיים ועלולים לגרום נזק משמעותי לכל ארגון מודרני. שכן, לא קיים כמעט ארגון, שאינו תלוי במערכות מחשוב וברשתות. בשל כך, מינוי של בעל תפקיד, שממוקד בניהול סיכון זה, הוא קריטי כעוגן המבטיח, שהארגון ער לנושא בכל עת.
הבסיס לבניית תוכנית הגנת הסייבר הוא הבנת הסיכונים העומדים בפניו, דירוגם ובניית תכנית מדורגת המצמצמת את הסיכונים מן הגבוה לנמוך.
רק 37% מהארגונים מקיימים סקרים כאלה באורח סדור. ללא סקירת הסיכונים לא ניתן לוודא, שהצעדים שננקטו יצמצמו באופן יעיל את הסיכונים. בנוסף לכך, הצגת הסיכונים העסקיים להנהלת הארגון היא הדרך להקצאת תקציבים מתאימים כדי להתמודד כראוי עם הסיכון.
ל 46% מן הארגונים אין סט סדור של נהלי עבודה ומדיניות אבטחת מידע והגנת הסייבר. רבים חושבים, שאם רק יאמצו סט של נהלים על פי תקן כזה או אחר, הם יהיו מוגנים כראוי.
מצד אחד, אימוץ נהלים ללא קישורם לסביבת הארגון אינו תורם להגנת הארגון. אפילו להיפך - ארגון המחזיק נהלים תלושים, שאינם באמת מיושמים אצלו, חי באשליה, שהוא מוגן. ניירות מסוגננים, ככל שיהיו, אינם מגנים על שום ארגון.
מאידך, ללא תהליכים סדורים ומוגדרים מבעוד מועד, שהותאמו לארגון, לתרבות שלו, לתחום פעילותו ולסיכונים שבו, קשה לקיים שגרת הגנה אפקטיבית ואחידה בארגון.
התפקיד של מדיניות אבטחת מידע והנהלים הוא לבנות תשתית למערכת ניהול אבטחת מידע סדורה.
קרדיט צילום תמונה עליונה: נתי חדד
מאת:
נועם הנדרוקר, מרץ 2021.
שותף במרכז הגנת הסייבר,
BDO ישראל