סרטוני תדמית כנקודת תורפה בסייבר
סרטוני ווידאו של חברות הפכו בשנים האחרונות לכלי שיווקי חשוב, אך הם עלולים לשמש האקרים המעוניינים לפגוע בארגון באמצעות מתקפת סייבר
בועז שונמי
| 31/10/2016
bigstockphoto.com
בשנים 2007-2010 פרויקט הגרעין האיראני סבל מפגיעות מסתוריות במערכות המפעילות את הצנטריפוגות שאמורות להעשיר את האורניום. כיום אנו כבר יודעים שהמקור לפגיעות ששיבשו את קצב ההתקדמות של הפרויקט היה נוזקת ה – Stuxnet שעשתה שמות במערכות אלה. בסרט הדוקומנטרי Zero Days, שעסק במלחמת הריגול שניהלו ארה"ב וישראל נגד איראן, נטען כי מחלקות המודיעין של שתי המדינות נשען במידה רבה על סרטוני תעמולה שהופצו על ידי המשטר האיראני.
לא מדובר במצב יוצא דופן שמידע מתוך סרטוני וידאו מנוצל למטרות תקיפת סייבר. כידוע, מקובל מאוד כיום שארגונים מפיקים סרטוני וודיאו במטרה להציג את הפעילות שלהם ולקדם את המטרות השיווקיות והתדמיתיות שלהם. הסרטים עולים לרוב באתר החברה, יו טיוב וברשתות החברתיות וכך נחשפים לקהלי היעד שלהם אם זה לקוחות, עובדים פוטנציאליים או הציבור באופן כללי. מדובר במהלך תמים לכאורה אולם רבים לא מודעים לכך שסרטונים אלה עלולים להגיע לעיניים עוינות שיכולות להפיק מידע רב ערך ולהעמיד את הארגון חשוף בפני מתקפת סייבר שתוצאותיה עלולות להיות הרסניות.
חשיבה מתוך נקודת המבט של התוקף יכולה לסייע לארגון להבין טוב יותר מהם האיומים הפוטנציאליים שנשקפים מסרטוני התדמית האלה. בצורה כזו ניתן להוריד את האיומים ולצמצם את מידת הסיכון מפגיעה כזו. כחברה אשר מבצעת בדיקות חדירה במטרה לאתר נקודות תורפה של הארגון, אנו נתקלים לא מעט בארגונים אשר חושפים מידע יקר ערך עבור גורמים עוינים המעוניינים לפגוע בארגון באמצעות מתקפת סייבר.
שתי דוגמאות לחשיפות מעין אלו:
1. כיום לרוב הארגונים ישנם חדרי פיקוד ושליטה (SOC) על כלל מערך האבטחה, חדרים אלו מצטלמים מצוין ויש נטייה לשלבם בסרטוני תדמית. לצורך הדוגמה, סרטון כזה עלול לחשוף מידע כגון: סוגי ה- FIREWALL, מערכות SIEM, שימוש במערכות הגנה מתקדמות וכו'.
2. חברות יצרניות משתמשות במערכות מחשוב לצורך פיקוח( SCADA) ובבקרים לוגים מתוכנתים (PLC). לרוב צילומים של מערכות כאלה יופיעו בסרטונים, חשיפה לא מבוקרת של המידע הזה עלולה לספק מידע לתוקפים ולאפשר להם לבנות תרחישי תקיפה.
לכן חשוב ליישם כמה המלצות:
1. ניהול כל המידע היוצא מהארגון – לרוב סרטונים כאלה נעשים על ידי גורם חיצוני. לכן חשוב ביותר להשגיח ולוודא כי החומר המצולם אינו מכיל מידע רגיש החושף את הארגון - יש לדאוג שמחלקת אבטחת מהידע בארגון תבצע בקרה על חומרים אלו ותהווה כמעין צנזור.
2. חדרי שליטה \ מרכזי פיקוד – מדובר בדרך כלל באתרים מבוקשים מאוד לצילום בגלל הפוטוגניות שלהם אך מדובר באוצר עבור האקרים מבחינת המידע שעלול להיחשף, יש לצנזר את המידע ואת המערכות בתמונות ובסרטונים.
3. פנים, שמות ומספרים – תגיות עובד ומספרי זהות עלולים להיות נקודת פתיחה מצוינת לביצוע מתקפות ממוקדות ומתוחכמות (APT). קיימות שיטות שונות לביצוע מתקפה זדונית באמצעות שימוש במספרי עובד ונתונים שיכולים להופיע בסרטוני וידאו (למשל ראיון עם עובד בו מופיעים נתוניו האישיים על גבי תג העובד) וכך לחדור למשאבי ה – IT של הארגון.
קיימת נטייה לעתים לקדם מטרות שיווקיות גם במחיר של פגיעה במדיניות אבטחת המידע. חשוב לקבוע כללים מסודרים מה ואיפה ניתן לחשוף מתוך הארגון ולוודא כי כל העובדים וקבלני המשנה, גם אלו שאינם נמנים על מחלקות ה – IT, עומדים בהם. גם חשיפה של פרטי מידע שנראים לכאורה "קטנים" כמו מספר עובד, שורת קוד על גבי מסך המחשב יכולים לשמש בידי גוף המתכנן פגיעת סייבר ולהוות את נקודת התורפה אשר באמצעותה יצליח לחדור אל הארגון ולפגוע בו.
סרטוני ווידאו של חברות הפכו בשנים האחרונות לכלי שיווקי חשוב, אך הם עלולים לשמש האקרים המעוניינים לפגוע בארגון באמצעות מתקפת סייבר
בשנים 2007-2010 פרויקט הגרעין האיראני סבל מפגיעות מסתוריות במערכות המפעילות את הצנטריפוגות שאמורות להעשיר את האורניום. כיום אנו כבר יודעים שהמקור לפגיעות ששיבשו את קצב ההתקדמות של הפרויקט היה נוזקת ה – Stuxnet שעשתה שמות במערכות אלה. בסרט הדוקומנטרי Zero Days, שעסק במלחמת הריגול שניהלו ארה"ב וישראל נגד איראן, נטען כי מחלקות המודיעין של שתי המדינות נשען במידה רבה על סרטוני תעמולה שהופצו על ידי המשטר האיראני.
לא מדובר במצב יוצא דופן שמידע מתוך סרטוני וידאו מנוצל למטרות תקיפת סייבר. כידוע, מקובל מאוד כיום שארגונים מפיקים סרטוני וודיאו במטרה להציג את הפעילות שלהם ולקדם את המטרות השיווקיות והתדמיתיות שלהם. הסרטים עולים לרוב באתר החברה, יו טיוב וברשתות החברתיות וכך נחשפים לקהלי היעד שלהם אם זה לקוחות, עובדים פוטנציאליים או הציבור באופן כללי. מדובר במהלך תמים לכאורה אולם רבים לא מודעים לכך שסרטונים אלה עלולים להגיע לעיניים עוינות שיכולות להפיק מידע רב ערך ולהעמיד את הארגון חשוף בפני מתקפת סייבר שתוצאותיה עלולות להיות הרסניות.
חשיבה מתוך נקודת המבט של התוקף יכולה לסייע לארגון להבין טוב יותר מהם האיומים הפוטנציאליים שנשקפים מסרטוני התדמית האלה. בצורה כזו ניתן להוריד את האיומים ולצמצם את מידת הסיכון מפגיעה כזו. כחברה אשר מבצעת בדיקות חדירה במטרה לאתר נקודות תורפה של הארגון, אנו נתקלים לא מעט בארגונים אשר חושפים מידע יקר ערך עבור גורמים עוינים המעוניינים לפגוע בארגון באמצעות מתקפת סייבר.
שתי דוגמאות לחשיפות מעין אלו:
1. כיום לרוב הארגונים ישנם חדרי פיקוד ושליטה (SOC) על כלל מערך האבטחה, חדרים אלו מצטלמים מצוין ויש נטייה לשלבם בסרטוני תדמית. לצורך הדוגמה, סרטון כזה עלול לחשוף מידע כגון: סוגי ה- FIREWALL, מערכות SIEM, שימוש במערכות הגנה מתקדמות וכו'.
2. חברות יצרניות משתמשות במערכות מחשוב לצורך פיקוח( SCADA) ובבקרים לוגים מתוכנתים (PLC). לרוב צילומים של מערכות כאלה יופיעו בסרטונים, חשיפה לא מבוקרת של המידע הזה עלולה לספק מידע לתוקפים ולאפשר להם לבנות תרחישי תקיפה.
לכן חשוב ליישם כמה המלצות:
1. ניהול כל המידע היוצא מהארגון – לרוב סרטונים כאלה נעשים על ידי גורם חיצוני. לכן חשוב ביותר להשגיח ולוודא כי החומר המצולם אינו מכיל מידע רגיש החושף את הארגון - יש לדאוג שמחלקת אבטחת מהידע בארגון תבצע בקרה על חומרים אלו ותהווה כמעין צנזור.
2. חדרי שליטה \ מרכזי פיקוד – מדובר בדרך כלל באתרים מבוקשים מאוד לצילום בגלל הפוטוגניות שלהם אך מדובר באוצר עבור האקרים מבחינת המידע שעלול להיחשף, יש לצנזר את המידע ואת המערכות בתמונות ובסרטונים.
3. פנים, שמות ומספרים – תגיות עובד ומספרי זהות עלולים להיות נקודת פתיחה מצוינת לביצוע מתקפות ממוקדות ומתוחכמות (APT). קיימות שיטות שונות לביצוע מתקפה זדונית באמצעות שימוש במספרי עובד ונתונים שיכולים להופיע בסרטוני וידאו (למשל ראיון עם עובד בו מופיעים נתוניו האישיים על גבי תג העובד) וכך לחדור למשאבי ה – IT של הארגון.
קיימת נטייה לעתים לקדם מטרות שיווקיות גם במחיר של פגיעה במדיניות אבטחת המידע. חשוב לקבוע כללים מסודרים מה ואיפה ניתן לחשוף מתוך הארגון ולוודא כי כל העובדים וקבלני המשנה, גם אלו שאינם נמנים על מחלקות ה – IT, עומדים בהם. גם חשיפה של פרטי מידע שנראים לכאורה "קטנים" כמו מספר עובד, שורת קוד על גבי מסך המחשב יכולים לשמש בידי גוף המתכנן פגיעת סייבר ולהוות את נקודת התורפה אשר באמצעותה יצליח לחדור אל הארגון ולפגוע בו.
