מחקר: עודף כלי הגנת סייבר מפריע להתגונן מפני תקיפות

לרוב הארגונים אין תוכניות תגובה ספציפיות (CSIRP – Cyber Security Incident Response Plan) לתקיפות השכיחות ביותר; למרות הזינוק במתקפות כופר, רק לפחות ממחצית מהארגונים שהכינו תגובה יש תוכנית פעולה לרגע האמת

קרדיט: באדיבות IBM Security

IBM Security פרסמה את תוצאותיו של מחקר גלובלי שבחן את מידת החוסן של עסקים למתקפות סייבר. למרות שהארגונים שנכללו במחקר שיפרו את יכולת התכנון, הזיהוי והתגובה למתקפות סייבר בחמש השנים האחרונות, יכולתם להתמודד כראוי עם תקיפות סייבר ירדה ב-13% במהלך אותה תקופה.

המחקר, שהוזמן על ידי IBM Security ממכון המחקר Ponemon Institute מצא שהגורם שסיכל את מאמצי תגובת האבטחה של החברות והארגונים היה דווקא ריבוי מופרז שלך כלי אבטחה והיעדר תוכניות פעולה ספציפיות לתקיפות הסייבר השכיחות ביותר.

רוב הארגונים שנסקרו (74%) ממשיכים לדווח שתכניות התגובה שלהם הן נקודתיות, מיושמות באופן בלתי עקבי, או שאין להם תכניות כלל. היעדר התכנון עלול להשפיע על עלותן של תקריות האבטחה מאחר וחברות שיש להן צוותי תגובה לתקריות (IR – Incident Response) ונוהגות לבדוק בקביעות את תכניות התגובה שלהן, מוציאות בממוצע 1.2 מיליון דולר פחות על פריצות לנתונים מאשר חברות שאינן פועלות באופן מתוכנן.

עוד ממצאים מדו"ח חוסן הסייבר הארגוני (Cyber Resilient Organization Report) השנתי, המתפרסם זה חמש שנים. שיפור איטי: רוב הארגונים שנסקרו אימצו בחמש השנים האחרונות תכנית תגובה רשמית המקיפה את כל הארגון. מדובר בגידול מ-18% ב-2015 ל-26% מהארגונים בדו"ח של השנה (שיפור של 44%).

יש צורך בהכנה לתרחישים נקודתיים: גם בארגונים שגיבשו תכנית תגובה רשמית לאירועי אבטחה, שליש בלבד (17% מכלל המשיבים) פיתחו תוכניות פעולה ספציפיות לתקיפות סייבר שכיחות. תוכניות תגובה לתקיפות סייבר מסוגים חדשים יותר, כמו תוכנות כופר, מפגרות מאחור.

מורכבות כלי אבטחה מעכבת את זמן התגובה: למספר כלי האבטחה שבהם משתמש הארגון יש השפעה שלילית על קטגוריות רבות במחזור החיים של איומי סייבר בארגונים שנסקרו. ארגונים המשתמשים ב-50 או יותר כלי אבטחה העידו על עצמם כי הם נמצאים במקום נמוך יותר ב-8% ביכולתם לזהות איום, ונמוך ב-7% מבחינת יכולתם להגיב לתקיפה – זאת בהשוואה לארגונים עם פחות כלי אבטחה.

תכנון מונע שיבושים: חברות עם תכניות תגובה רשמיות (CSIRP – Cyber Security Incident Response Plan) לכל חלקי העסק סבלו מפחות שיבושים כתוצאה ממתקפת סייבר. בשנתיים האחרונות, רק 39% מחברות אלו סבלו משיבושים והפרעות משמעותיות להתנהלות הארגון עקב תקרית אבטחה, לעומת 62% מבין הארגונים עם פחות תכניות רשמיות ועקביות. 

"רוב הארגונים מתייחסים ברצינות לתכנון התגובה לתקריות אבטחה, אבל צריך לזכור שלא מדובר בפעילות חד-פעמית," אומרת וונדי ווייטמור, סמנכ"לית IBM X-Force, מודיעין האיומים של IBM. "ארגונים צריכים גם לבדוק, לתרגל ולבחון באופן סדיר את תכניות התגובה. שימוש בטכנולוגיות התואמות זו את זו מבחינה תפעולית וכלי אוטומציה עוזרים להתגבר על מורכבות ומאיצים את משך הזמן הנדרש להכלת מתקפה." 

עדכון התרחישים בהתאם לאיומים חדשים

הסקר מצא שגם בקרב ארגונים עם תכנית תגובה רשמית לתקריות סייבר (CSIRP), רק 33% מחזיקים תרחישים לסוגי מתקפות שונים. מאחר ותקיפות סייבר שונות מחייבות טכניקות תגובה ייחודיות, הכנת תרחישים מראש מציידת את הארגון בתכנית פעולה עקבית הניתנת לשחזור עבור סוגי המתקפות הנפוצים ביותר.

מבין מעט הארגונים שהכינו תוכניות תגובה, התוכניות השכיחות ביותר היו עבור מתקפות מניעת שירות (DDoS) (64%) ותכנות זדוניות (57%). סוגי מתקפות אלה היו בעבר בעיות מרכזיות עבור ארגונים, אבל כיום מתפתחות שיטות וטכניקות תקיפה חדשות, כדוגמת מתקפות כופר (Ransomware). למרות שמספר מתקפות הכופר זינק בקרוב ל-70% בשנים האחרונות, רק ל-45% מהארגונים שטרחו והכינו תוכניות תגובה יש תכנית פעולה ספציפית למתקפות כופר.

יותר ממחצית (52%) מהארגונים שהכינו תכניות אומרים שמעולם לא בחנו או הקצו מועדים לבחינת התכניות. יש לזכור שהפעולות העסקיות משתנות במהירות עקב הצורך לעבוד מהבית, ושיטות מתקפה חדשות מושקות בתדירות גבוהה. המסקנה היא שהארגונים שנסקרו מסתמכים על תכניות תגובה מיושנות שאינן משקפות את נוף האיומים הנוכחי. 

יותר כלים פוגמים ביכולת התגובה

הסקר מצא גם שהמורכבות משפיעה לרעה על יכולת התגובה לתקריות אבטחת מידע. הארגונים שנסקרו העריכו שבארגונם יש יותר מ-45 כלי אבטחה שונים בממוצע, וכי כל תקרית שלה הגיבו הצריכה תיאום בין 19 כלים בממוצע. ואולם, הסקר מצא שעודף כלים עלול לחבל ביכולתו של הארגון להתמודד עם מתקפות.

ארגונים המשתמשים ביותר מ-50 כלים נמצאים במקום נמוך ב-8% ביכולתם לזהות תקיפת סייבר (5.83 מתוך 10 לעומת 6.66 מתוך 10) ונמוך ב-7% ביכולת התגובה לתקיפה (5.95 מתוך עשר לעומת 6.72 מתוך 10). ממצאים אלה מובילים למסקנה שאימוץ יותר כלים אינו משפר בהכרח את התגובה לתקרית האבטחה, ואף ייתכן כי עודף כלים משיג את המטרה ההפוכה. 

התכנון משתלם

דו"ח ה-Cyber Resiliency לשנת 2020 מלמד שהארגונים שנסקרו שהשקיעו בתכנון מסודר נחלו יותר הצלחה בתגובה לתקריות. מבין הארגונים עם תוכניות CSIRP שמיושמת בעקביות בכל חלקי הארגון, רק 39% התנסו בהתקפה שהובילה לשיבושים משמעותיים בפעילות הארגון בשנתיים האחרונות, לעומת 62% מבין הארגונים ללא תכנית תגובה מסודרת.

כאשר בוחנים את הסיבות שארגונים מציינים לגבי יכולתם להגיב, הגורם החשוב ביותר הוא כישוריהם של אנשי האבטחה. 61% מהחברות שנסקרו ייחסו את עמידותם במתקפות לכישורים של עובדי אבטחת הסייבר שלהם. מבין אלה שדיווחו שהעמידות במתקפות לא השתפרה, 41% הצהירו שהסיבה לכך היא היעדר עובדים מיומנים המצוידים בכישורים הדרושים.

טכנולוגיה היא גורם מבדל נוסף המסייע לארגונים הנסקרים להיות עמידים יותר בתקיפות סייבר. בחינת הארגונים המתאפיינים בעמידות גבוהה יותר למתקפות סייבר מראה ששני הגורמים העיקריים לשיפור היבט זה הם נראות היישומים והנתונים (57%) וכלי אוטומציה (55%). ככלל, הנתונים מעידים על כך שהארגונים הנסקרים שהעידו על בשלות ומוכנות גבוהות יותר לתקיפות, הסתמכו ביתר שאת על חידושים טכנולוגיים בחיזוק עמידותם.

אולי יעניין אותך גם