סקר: פושעי סייבר מתגלים בשרתים וברשתות אך זמן ונקודת הכניסה לארגון נותרים בגדר תעלומה
מאת: מערכת Telecom News, 18.3.19, 12:35

במהלך הסקר התראיינו 3,100 מקבלי החלטות בתחום מערכות המידע ב-12 מדינות ב-6 יבשות. כל המשיבים היו מארגונים הכוללים 100 עד 5,000 עובדים.  טכנולוגיית EDR - Endpoint Detection and Response מסייעת לזהות את הסיכון ולהגדיר תהליך טיפול ומניעה עבור הארגון, והיא רכיב חיוני, שיכול במהירות רבה יותר למצוא, לחסום ולהתמודד עם איומים.
 
Sophos, שעוסקת באבטחת נקודות קצה ורשת, שפתרונותיה מופצים בישראל על ידי Power Communication וחברת אבנט תקשורת בע"מ, חשפה את הממצאים של סקר גלובלי, "שבע אמיתות לא נוחות בנוגע לאבטחת נקודות קצה" (7 Uncomfortable Truths of Endpoint Security).

הסקר בוצע ע"י Vanson Bourne, שעוסקת במחקרי שוק, בין דצמבר 2018 לינואר 2019. במהלך הסקר התראיינו 3,100 מקבלי החלטות בתחום מערכות המידע ב-12 מדינות ב-6 יבשות, בהן ארה"ב, קנדה, מקסיקו, קולומביה, ברזיל, בריטניה, צרפת, גרמניה, אוסטרליה, יפן, הודו ודרום אפריקה. כל המשיבים היו מארגונים הכוללים 100 עד 5,000 עובדים.

הסקר גילה, שמנהלי מערכות מידע צפויים יותר לגלות פושעי סייבר בשרתים וברשתות של הארגון מאשר בכל מקום אחר.
היכן מזוהים רוב פושעי הסייבר? למעשה, מנהלי מערכות מידע גילו 36.7% מרוב התקפות הסייבר המשמעותיות בשרתי הארגון ו-36.6% ברשתות שלו. רק 16.9% התגלו בנקודות הקצה ו-9.6% במכשירים ניידים.
 
על פי הסקר, כחמישית - 20% ממנהלי מערכות המידע, שנפלו קורבן להתקפות סייבר, אחת או יותר בשנה האחרונה, אינם יכולים להצביע במדויק כיצד התוקף השיג כניסה לארגון ו-17% לא יודעים כמה זמן האיום היה בסביבה לפני שזוהה. כדי לשפר את חוסר הנראות הזאת, מנהלי מערכות המידע זקוקים לטכנולוגיית זיהוי ותגובה בנקודות הקצה - Endpoint Detection and Response  (EDR), שחושפת את נקודות ההתחלה של האיומים ואת העקבות הדיגיטליים של התוקפים ודרך התנועה שלהם בתוך הרשת.

על פי הסקר, ארגונים, שחוקרים אירועי אבטחה, אחד או יותר בכל חודש, מבזבזים בממוצע 48 ימים בשנה (4 ימים בחודש) על המחקר שלהם. זה לא מפתיע, שמנהלי מערכות המידע דירגו זיהוי של אירועים חשודים (27%), ניהול התראות (18%) וביצוע סדרי עדיפות לאירועים חשודים (13%) כ-3 היכולות העיקריות, שהם זקוקים להן מפתרונות ה- EDR כדי לצמצם את הזמן הדרוש לזיהוי של התראות אבטחה ותגובה להן.
 
כ-57% מהמשיבים אמרו, שהם מתכננים ליישם פתרון EDR במהלך 12 החודשים הקרובים. יישום EDR מסייע גם לגשר על פערי ידע. על פי הסקר, 80% ממנהלי מערכות המידע היו שמחים אם היה להם צוות אבטחת מידע מקצועי יותר.
 
צ'סטר וויסנייבסקי, חוקר ראשי ב-Sophos: "שרתים מאחסנים מידע רגיש וזה הגיוני, שמנהלי מערכות מידע מתמקדים בהגנת שרתים קריטיים לעסק ועוצרים תוקפים מכניסה לרשת מראש. יחד עם זאת, מנהלי מערכות מידע לא יכולים להתעלם מנקודות הקצה מפני שרוב התקפות הסייבר מתחילות בהן. אולם, מספר רב מהמצופה של מנהלי מערכות מידע עדיין אינם מסוגלים לזהות כיצד איומים נכנסים לתוך המערכת ומתי.
 
אם מנהלי מערכות המידע לא יודעים מה מקור ההתקפה ומה מסלול התנועה שלה בארגון, הם לא יכולים לצמצם את הסיכון ולעצור את התקדמות ההתקפה כדי למנוע חדירה נוספת שלה לנקודות קצה אחרות. EDR מסייע לזהות את הסיכון, ולהגדיר תהליך טיפול ומניעה עבור הארגון והוא רכיב חיוני, שיכול במהירות רבה יותר למצוא, לחסום ולהתמודד עם איומים.

רוב התקפות spray and pray ניתנות לעצירה בתוך שניות בנקודות הקצה מבלי לגרום למשבר. תוקפים עקשניים משקיעים זמן רב כדי לפרוץ למערכת ע"י מציאת סיסמאות חלשות הניתנות לניחוש או שהם מנצלים מערכות שניתנות לגישה מרחוק (RDP, VNC, VPN וכד'). הצלחה באחת משיטות ההתקפה האלו נותנת להם גישה לארגון ואפשרות להשיג את מטרותיהם.

אם למנהלי מערכות המידע יש הגנה עמוקה עם EDR, הם גם יכולים לחקור אירוע במהירות רבה יותר ולהשתמש במודיעין האיומים, שהוא מפיק, כדי לסייע להם למצוא את אותה הדבקה בכל נכסי הארגון. גילוי וחסימת תבניות התקפה יסייעו לצמצם את מספר הימים הנדרשים ממנהלי מערכות מידע כדי לחקור איומים פוטנציאליים".