הנקודה החלשה – הגורם האנושי. דעה
אווה פרוקופייב
| 22/07/2018
אילוסטרציה: Bigstock
דו"ח פרצות אבטחת המידע השנתי של ורייזון (Verizon) לשנת 2018, אשר מבוסס על ניתוח כ-53 אלף אירועי אבטחה ו-2,216 פריצות אבטחה, מעלה שתי נקודות חשובות. הראשונה, היא כי אחת מכל ארבע פרצות אבטחה נגרמת בידי גורמים פנימיים בתוך הארגון והשנייה כי 68% מפרצות האבטחה מתגלות רק לאחר מספר חודשים.
הממצא הבולט ביותר בדו"ח הוא ש-38% מהתקפות הנוזקה (malware) בשנה האחרונה היוו למעשה מתקפת כופרה (ransomware) וכללו דרישה לתשלום כופר. נתון זה הכפיל את עצמו בהשוואה לדו"ח המקביל אשתקד. מדוע התקפות כופר הפכו כה פופולריות? התשובה היא, שבאופן יחסי קל יותר לבנות תקיפה כזו ולבצעה, וההחזר על ההשקעה הוא מהיר. בנוסף, מאחר שרוב התקיפות פוגעות בארגונים דרך מיילים וקישורים נגועים, הן עובדות על הנקודה החלשה ביותר באבטחת הארגון – הגורם האנושי. בשנה האחרונה ראינו ארגונים גדולים מאוד בעולם, כולל בישראל, נופלים בזה אחר זה קורבן להתקפות כופר שהוציאו אותם מכלל שירות.
העובדה שדרישות כופר היו מעורבות במקרים כה רבים של התקפות על ארגונים, רק מדגישה עד כמה האיום הוא גדול וכמה חשוב שארגונים ינקטו באמצעים הדרושים על מנת להבטיח שהם מוגנים כראוי. כל ארגון המבקש להגן על נכסיו הדיגיטליים מפני תוכנות זדוניות ודרישות כופר צריך להיערך לנושא ברמות הגבוהות ביותר. יש לוודא כי חברי הדירקטוריון וההנהלה מבינים את הסיכונים ומפנים משאבים ראויים להגנה פרואקטיבית, במקום לחכות ליום שבו הארגון כבר יהיה נתון תחת מתקפה.
עוד עולה מהניתוח של דו"ח ורייזון, כי ב-87% מאירועי הפריצה לארגונים, התוקפים הצליחו לחדור ולקבל גישה תוך דקות אחדות בלבד, ולפעמים אף פחות. רק שלושה אחוזים מן הפריצות התגלו בתוך דקות על ידי מערך האבטחה הארגוני, בעוד ש-68% מהפריצות לא התגלו במשך חודשים. בנוסף, הדו"ח מגלה כי 58% מהארגונים שנפלו קרבן לפריצה היו עסקים קטנים, ו-50% מהתקיפות בוצעו על ידי קבוצות האקרים מאורגנות.
ממצאים אלה אינם מפתיעים במיוחד. כאשר תוקף מחליט על היעד הבא שלו, הוא יבצע "סיור מקדים" על מנת לאסוף את כל הנתונים הרלוונטיים על מערך האבטחה ביעד והיכן נקודות התורפה שלו. התוקפים ינסו ללמוד כמה שיותר על מוצרי האבטחה של הארגון, על השרתים וה-subdomains שלו, כדי להגדיל את סיכויי ההצלחה של ההתקפה כבר בניסיון הראשון. כפי שראינו לאורך ההיסטוריה של מתקפות הסייבר, ארגונים עם מדיניות אבטחה חלשה, נוטים להשתמש באישורי ברירת מחדל, דבר אשר גורם לפגיעוּת גדולה יותר שחושפת את הארגון לפרצת אבטחה שתפגע בצורה קשה במוניטין של הארגון, בעסקיו ובאמון לקוחותיו.
כ-73% מהמתקפות, עולה מהדו"ח, מגיעות מגורמים עוינים מחוץ לארגון, כלומר שהאחריות לאחת מכל ארבע פרצות אבטחה נגרמת באחריות גורמים פנימיים בארגון. איומים אלה קשים הרבה יותר לזיהוי, במיוחד בקרב ארגונים שאין להם דרך לעקוב אחר המשתמשים שלהם (העובדים) ולאתר ניסיונות ביצוע של פעילות זדונית. בחלק מהמקרים העובדים אפילו לא מבינים שהם פועלים בצורה לא בטוחה שחושפת את הארגון לתקיפה - מה שהופך את בעיית הזיהוי המוקדם לקשה אף יותר. ראוי לציין שמגזר הבריאות הוא היחיד בו נגרמו יותר פריצות בידי גורמים פנים-ארגוניים מאשר בידי גורמים חיצוניים (56% לעומת 43%, בהתאמה).
הדרך הטובה ביותר להתגבר על איומים שמקורם בתוך הארגון, היא לבצע ניטור מקיף של פעולות זדוניות או רשלניות, אשר ניתן לזהות במהירות. כמו כן, הכרחי שלארגון תהיה מדיניות ברורה סביב פעילות מותרת ואסורה ברשת, שתיאכף בקרב כל עובדי הארגון.
ורייזון מעלה בדוח סוגיות אשר דורשות מארגונים וממנהלי אבטחה לחשוב מחדש על אסטרטגיית הסייבר שלהם. על ארגונים לשאול עצמם – האם הם עוקבים אחר גורמים זדוניים או רשלניים בתוך הארגון? האם יש להם כלים למניעת מתקפת כופר? חשוב לבנות תכנית אבטחה טובה וחזקה, שתסייע בהגנה מפני איומים עתידיים.
יתרה מכך, יש לזכור שהגורם האנושי בארגון תמיד יהיה חשוף לתקיפות סייבר מתוחכמות שעלולות לאיים על כל הארגון. על כן, בנוסף להגברת מודעות בקרב העובדים לאיומי אבטחה, יש להצטייד ביכולות ניטור פרואקטיבי בממד המודיעיני והתשתיתי (SOC), שיגדילו משמעותית את סיכויי הארגון לזהות ולהתמודד עם תקיפות ממוקדות.
***
אווה פרוקופייב, אנליסטית מודיעין סייבר, CyberProof
אילוסטרציה: Bigstock
דו"ח פרצות אבטחת המידע השנתי של ורייזון (Verizon) לשנת 2018, אשר מבוסס על ניתוח כ-53 אלף אירועי אבטחה ו-2,216 פריצות אבטחה, מעלה שתי נקודות חשובות. הראשונה, היא כי אחת מכל ארבע פרצות אבטחה נגרמת בידי גורמים פנימיים בתוך הארגון והשנייה כי 68% מפרצות האבטחה מתגלות רק לאחר מספר חודשים.
הממצא הבולט ביותר בדו"ח הוא ש-38% מהתקפות הנוזקה (malware) בשנה האחרונה היוו למעשה מתקפת כופרה (ransomware) וכללו דרישה לתשלום כופר. נתון זה הכפיל את עצמו בהשוואה לדו"ח המקביל אשתקד. מדוע התקפות כופר הפכו כה פופולריות? התשובה היא, שבאופן יחסי קל יותר לבנות תקיפה כזו ולבצעה, וההחזר על ההשקעה הוא מהיר. בנוסף, מאחר שרוב התקיפות פוגעות בארגונים דרך מיילים וקישורים נגועים, הן עובדות על הנקודה החלשה ביותר באבטחת הארגון – הגורם האנושי. בשנה האחרונה ראינו ארגונים גדולים מאוד בעולם, כולל בישראל, נופלים בזה אחר זה קורבן להתקפות כופר שהוציאו אותם מכלל שירות.
העובדה שדרישות כופר היו מעורבות במקרים כה רבים של התקפות על ארגונים, רק מדגישה עד כמה האיום הוא גדול וכמה חשוב שארגונים ינקטו באמצעים הדרושים על מנת להבטיח שהם מוגנים כראוי. כל ארגון המבקש להגן על נכסיו הדיגיטליים מפני תוכנות זדוניות ודרישות כופר צריך להיערך לנושא ברמות הגבוהות ביותר. יש לוודא כי חברי הדירקטוריון וההנהלה מבינים את הסיכונים ומפנים משאבים ראויים להגנה פרואקטיבית, במקום לחכות ליום שבו הארגון כבר יהיה נתון תחת מתקפה.
עוד עולה מהניתוח של דו"ח ורייזון, כי ב-87% מאירועי הפריצה לארגונים, התוקפים הצליחו לחדור ולקבל גישה תוך דקות אחדות בלבד, ולפעמים אף פחות. רק שלושה אחוזים מן הפריצות התגלו בתוך דקות על ידי מערך האבטחה הארגוני, בעוד ש-68% מהפריצות לא התגלו במשך חודשים. בנוסף, הדו"ח מגלה כי 58% מהארגונים שנפלו קרבן לפריצה היו עסקים קטנים, ו-50% מהתקיפות בוצעו על ידי קבוצות האקרים מאורגנות.
ממצאים אלה אינם מפתיעים במיוחד. כאשר תוקף מחליט על היעד הבא שלו, הוא יבצע "סיור מקדים" על מנת לאסוף את כל הנתונים הרלוונטיים על מערך האבטחה ביעד והיכן נקודות התורפה שלו. התוקפים ינסו ללמוד כמה שיותר על מוצרי האבטחה של הארגון, על השרתים וה-subdomains שלו, כדי להגדיל את סיכויי ההצלחה של ההתקפה כבר בניסיון הראשון. כפי שראינו לאורך ההיסטוריה של מתקפות הסייבר, ארגונים עם מדיניות אבטחה חלשה, נוטים להשתמש באישורי ברירת מחדל, דבר אשר גורם לפגיעוּת גדולה יותר שחושפת את הארגון לפרצת אבטחה שתפגע בצורה קשה במוניטין של הארגון, בעסקיו ובאמון לקוחותיו.
כ-73% מהמתקפות, עולה מהדו"ח, מגיעות מגורמים עוינים מחוץ לארגון, כלומר שהאחריות לאחת מכל ארבע פרצות אבטחה נגרמת באחריות גורמים פנימיים בארגון. איומים אלה קשים הרבה יותר לזיהוי, במיוחד בקרב ארגונים שאין להם דרך לעקוב אחר המשתמשים שלהם (העובדים) ולאתר ניסיונות ביצוע של פעילות זדונית. בחלק מהמקרים העובדים אפילו לא מבינים שהם פועלים בצורה לא בטוחה שחושפת את הארגון לתקיפה - מה שהופך את בעיית הזיהוי המוקדם לקשה אף יותר. ראוי לציין שמגזר הבריאות הוא היחיד בו נגרמו יותר פריצות בידי גורמים פנים-ארגוניים מאשר בידי גורמים חיצוניים (56% לעומת 43%, בהתאמה).
הדרך הטובה ביותר להתגבר על איומים שמקורם בתוך הארגון, היא לבצע ניטור מקיף של פעולות זדוניות או רשלניות, אשר ניתן לזהות במהירות. כמו כן, הכרחי שלארגון תהיה מדיניות ברורה סביב פעילות מותרת ואסורה ברשת, שתיאכף בקרב כל עובדי הארגון.
ורייזון מעלה בדוח סוגיות אשר דורשות מארגונים וממנהלי אבטחה לחשוב מחדש על אסטרטגיית הסייבר שלהם. על ארגונים לשאול עצמם – האם הם עוקבים אחר גורמים זדוניים או רשלניים בתוך הארגון? האם יש להם כלים למניעת מתקפת כופר? חשוב לבנות תכנית אבטחה טובה וחזקה, שתסייע בהגנה מפני איומים עתידיים.
יתרה מכך, יש לזכור שהגורם האנושי בארגון תמיד יהיה חשוף לתקיפות סייבר מתוחכמות שעלולות לאיים על כל הארגון. על כן, בנוסף להגברת מודעות בקרב העובדים לאיומי אבטחה, יש להצטייד ביכולות ניטור פרואקטיבי בממד המודיעיני והתשתיתי (SOC), שיגדילו משמעותית את סיכויי הארגון לזהות ולהתמודד עם תקיפות ממוקדות.
***
אווה פרוקופייב, אנליסטית מודיעין סייבר, CyberProof
