כיצד להקשות על תוקף הסייבר ולגרום לו להזיע?
שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. נועם הנדרוקר מ-BDO ישראל מסביר איך אפשר להתמודד עם הסכנות הגוברות
ישראל דיפנס
| 31/03/2021
נועם הנדרוקר, שותף במרכז הגנת הסייבר, BDO ישראל
שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. מספר תקיפות שינו את הגישה והפוקוס של השוק העולמי והדגישו כי סייבר הינו סיכון עסקי המאיים על כל ארגון, בכל מגזר ובכל גודל.
פושעי סייבר הבינו כי השינויים במפה הפוליטית הגלובאלית, מגפת הקורונה ומצב הכלכלה העולמית, מהווים עבורם הזדמנות פז והם החלו לנצל את המצב המורכב שנכפה על ארגונים לביצוע מגוון מתקפות סייבר כגון כופרה, מתקפות מניעת שירות, פריצות, הונאה וגניבת נתונים.
בשנה זו הייתה עליה משמעותית בכמות ההתקפות והנזק שהן גורמו יחסית לממוצע בשנים הקודמות. כך למשל, אירועי פישינג (הונאה דרך דואר אלקטרוני) עלו ב-220% בשיא המגיפה העולמית ביחס לממוצע השנתי, וכן הייתה עלייה של 151% במתקפות מניעת שירות (DDoS) בהשוואה לשנת 2019.
פושעי הסייבר החלו להיות נועזים יותר, מתוחכמים יותר ויצירתיים יותר כדי למקסם נזק לקורבנות התקיפה, ובכך, למקסם תועלת עבור עצמם. זה התבטא בכך שארגונים ספגו נזקים, ישירים ועקיפים, של עשרות מיליוני דולרים בגין מתקפת סייבר.
מספר מגמות התחזקו בשנה האחרונה, והצפי הוא כי הן רק ימשיכו ויתעצמו:
- שימוש נרחב בכופרות ממוקדות, אשר נשלטות לאורך כל התקיפה והן ייעודיות לגוף נתקף, מותאמת אליו ולא מיועדת להפצה רחבה.
- תקיפה דרך שרשרת אספקה. קבוצות התקיפה זיהו את הפוטנציאל והבינו שארגונים מוגנים כחוזק החוליה החלשה ביותר שלהם ולכן מימשו טכניקות תקיפה ואיסוף מודיעין, זיהוי השרשרת ותקיפה ממוקדת במטרה לחדור לארגון היעד.
- אחת ההתקפות החמורות ביותר בתקופה האחרונה מקורה בתוכנת אוריון מבית SolarWinds. בשל אופייה של התכנה, ניטור ובקרת רשת, היא ניגשת למשאבים הכי קריטיים של הארגונים בהם היא עובדת. האקרים נכנסו לסביבת הפיתוח של SolarWinds והצליחו להכניס תוכנות זדוניות לעדכון שהופץ על ידי החברה. לאחר ההתקנה, התוכנה יצרה קשר לרשת פיקוד ובקרה המנוהלת על ידי קבוצת ההאקרים, ואפשרו להם להיכנס לרשת ולנקוט בפעולות נוספות. הפריצה השפיעה על כ-18,000 ארגונים, ביניהם סוכנויות ממשלתיות בארה"ב, גופי תשתיות קריטיים וארגונים פרטיותם.
- תקיפות דרך מוצרי תוכנה. שתילת קוד עוין ודלתות אחוריות בתכנות שנחשבות כמאובטחות. התוקפים עושים זאת בצורה מקצועית וכמעט בלתי ניתנת לזיהוי. העלות של מבחני קוד, סריקות ואינטגרציה של רכיבי תוכנה הינה גבוהה מאוד, ארגונים נוטים "לחסוך" ולדלג מעל התהליך הזה וקבוצות התקיפה זיהו את הפוטנציאל ומנצלות אותו.
- קבוצות סייבר שמסגלות לעצמן התנהלות עסקית, ורוכשות יכולות ונוזקות מפושעי סייבר אחרים, אנחנו עדים לקבוצות תקיפה גדולות המחזיקות תחתיהן קבוצות סייבר קטנות יותר, מספקות שירותי תמיכה ו"שירות לקוחות" ולמעשה – קבוצות סייבר מתנהלות כמעין חברות עסקיות לכל דבר ועניין.
- ריבוי מתקפות סייבר כנגד חברות מענף ההייטק. פושעי סייבר רואים בחברות ההייטק מטרות מאוד רווחיות, שכן רובן עשירות הן מבחינה פיננסית והן מבחינת ערך הקניין הרוחני שלה.
התחומים הקריטיים להתמקדות בשנה הקרובה:
ניהול סיכוני סייבר בשרשרת האספקה: רוב הארגונים אינם מנהלים באופן סדור את סיכוני הסייבר הנובעים משרשרת האספקה, ולא קיימת בהם פונקציה ייעודית לטיפול סדור בנושא. יש לזהות ולמפות את הספקים הקריטיים של הארגון, לקבוע עבורם קריטריונים וסטנדרטים של אבטחת מידע, לבצע סקרים והערכת סיכונים, ולנהל את הפערים והממצאים אל מול הספק עד עמידה ומעבר מעל הרף שנקבע
ניטור, זיהוי ותגובה לאירועי סייבר: עוצמת מתקפות הסייבר גדלה באופן אקספוננציאלי משנה לשנה. האיום גבר במיוחד בשנה האחרונה, בעקבות המעבר המסיבי של העובדים לעבודה מהבית, שימש נרחב יותר בשירותי ענן והתגבשותן של חבורות פושעים הפועלים כמו גוף מסחרי לכל דבר ומפיצות כופרה בעולם. מה עושים? מגדירים תהליך סדור של ניהול משברי סייבר בארגון, רוכשים שירות מנוהל לאיסוף וניתוח אירועי אבטחת מידע במערכות השונות, ומתרגלים את ההנהלה והצוותים הטכניים בתרגילי סייבר יבשים/רטובים
ניהול מצאי תכנה, טלאים ושינויים: תוקפים סורקים ללא הרף ארגוני יעד והם מחפשים גרסאות פגיעות של תוכנה הניתנות לניצול מרחוק. חלק מהתוקפים המתוחכמים עשויים להשתמש בניצולי יום-אפס, המנצלים את הפגיעויות שלא היו ידועות בעבר, שעדיין לא שוחרר תיקון על ידי ספק התוכנה. ללא ידע או שליטה נאותים בתוכנות הפרוסות בארגון, לא ניתן לאבטח כראוי את נכסי הארגון. מה עושים? יש להשתמש בכלים לניהול מצאי התוכנה ברחבי הארגון לתיעוד כל התוכנות שהארגון עושה בהן שימוש, להסיר כל תכנה שאין בה צורך, לעקוב אחר עדכוני אבטחה, ולהריץ כלי סריקה לבחינת פגיעויות בתכנות.
שירותי ענן וגישה מרחוק: אחד השינויים המהותיים ביותר שהתחוללו במהלך 2020 היה המעבר לעבודה מהבית, גישת ספקים ונותני שירותים למערכות הארגון מרחוק ושימוש מתעצם וגובר בשירותי ענן. שימוש בפלטפורמות אלו על יתרונותיהן, טומן בחובו גם אתגרים אבטחתיים רבים. על הארגונים לוודא כי הם מוגנים כראוי בטרם הם מאפשרים גישה זו. יש ליישם גישה בטוחה לאנשי החברה באמצעות חיבור מאובטח (VPN) ולא באמצעות ממשקים פחות מאובטחים וכן מנגנוני הזדהות משולבים, לוודא כי תחנות הקצה מהן מתחברים העובדים אל הארגון מוגנות כראוי, להתקין אנטי וירוס עדכני, לא לאפשר התקנת תכנית מגורמים בלתי מזוהים, ובמידת האפשר לוודא כי כל עובדי הארגון משתמשים בציוד ארגוני ולא ציוד אישי.
ממשל תאגידי: סיכוני סייבר הינם משמעותיים ועלולים לגרום נזק משמעותי לכל ארגון מודרני, שכן לא קיים כמעט ארגון שאינו תלוי במערכות מחשוב וברשתות. בשל כך, מינוי של בעל תפקיד הממוקד בניהול סיכון זה הינה קריטית כעוגן המבטיח כי הארגון ער לנושא בכל עת. הבסיס לבניית תוכנית הגנת הסייבר הינו הבנת הסיכונים, דירוגם ובניית תכנית מדורגת המצמצמת אותם מן הגבוה לנמוך. ללא סקירת הסיכונים, לא ניתן לוודא כי הצעדים שננקטו יצמצמו אותם באופן יעיל.
נהלי עבודה ומדיניות: רבים חושבים כי אם רק יאמצו סט של נהלים על פי תקן כזה או אחר, הם יהיו מוגנים כראוי. מחד, אימוץ נהלים ללא קישורם לסביבת הארגון אינו תורם להגנת הארגון, אפילו להיפך – ארגון המחזיק נהלים תלושים שאינם באמת מיושמים אצלו חי באשליה כי הוא מוגן. ניירות מסוגננים ככל שיהיו אינם מגנים על שום ארגון. מאידך, ללא תהליכים סדורים ומוגדרים מבעוד מועד אשר הותאמו לארגון, לתרבות שלו, לתחום פעילותו ולסיכונים שבו, קשה לקיים שגרת הגנה אפקטיבית ואחידה בארגון. התפקיד של מדיניות אבטחת מידע והנהלים הינה לבנות תשתית למערכת ניהול אבטחת מידע סדורה.
מאת נועם הנדרוקר, שותף במרכז הגנת הסייבר, BDO ישראל
שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. נועם הנדרוקר מ-BDO ישראל מסביר איך אפשר להתמודד עם הסכנות הגוברות
נועם הנדרוקר, שותף במרכז הגנת הסייבר, BDO ישראל
שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. מספר תקיפות שינו את הגישה והפוקוס של השוק העולמי והדגישו כי סייבר הינו סיכון עסקי המאיים על כל ארגון, בכל מגזר ובכל גודל.
פושעי סייבר הבינו כי השינויים במפה הפוליטית הגלובאלית, מגפת הקורונה ומצב הכלכלה העולמית, מהווים עבורם הזדמנות פז והם החלו לנצל את המצב המורכב שנכפה על ארגונים לביצוע מגוון מתקפות סייבר כגון כופרה, מתקפות מניעת שירות, פריצות, הונאה וגניבת נתונים.
בשנה זו הייתה עליה משמעותית בכמות ההתקפות והנזק שהן גורמו יחסית לממוצע בשנים הקודמות. כך למשל, אירועי פישינג (הונאה דרך דואר אלקטרוני) עלו ב-220% בשיא המגיפה העולמית ביחס לממוצע השנתי, וכן הייתה עלייה של 151% במתקפות מניעת שירות (DDoS) בהשוואה לשנת 2019.
פושעי הסייבר החלו להיות נועזים יותר, מתוחכמים יותר ויצירתיים יותר כדי למקסם נזק לקורבנות התקיפה, ובכך, למקסם תועלת עבור עצמם. זה התבטא בכך שארגונים ספגו נזקים, ישירים ועקיפים, של עשרות מיליוני דולרים בגין מתקפת סייבר.
מספר מגמות התחזקו בשנה האחרונה, והצפי הוא כי הן רק ימשיכו ויתעצמו:
- שימוש נרחב בכופרות ממוקדות, אשר נשלטות לאורך כל התקיפה והן ייעודיות לגוף נתקף, מותאמת אליו ולא מיועדת להפצה רחבה.
- תקיפה דרך שרשרת אספקה. קבוצות התקיפה זיהו את הפוטנציאל והבינו שארגונים מוגנים כחוזק החוליה החלשה ביותר שלהם ולכן מימשו טכניקות תקיפה ואיסוף מודיעין, זיהוי השרשרת ותקיפה ממוקדת במטרה לחדור לארגון היעד.
- אחת ההתקפות החמורות ביותר בתקופה האחרונה מקורה בתוכנת אוריון מבית SolarWinds. בשל אופייה של התכנה, ניטור ובקרת רשת, היא ניגשת למשאבים הכי קריטיים של הארגונים בהם היא עובדת. האקרים נכנסו לסביבת הפיתוח של SolarWinds והצליחו להכניס תוכנות זדוניות לעדכון שהופץ על ידי החברה. לאחר ההתקנה, התוכנה יצרה קשר לרשת פיקוד ובקרה המנוהלת על ידי קבוצת ההאקרים, ואפשרו להם להיכנס לרשת ולנקוט בפעולות נוספות. הפריצה השפיעה על כ-18,000 ארגונים, ביניהם סוכנויות ממשלתיות בארה"ב, גופי תשתיות קריטיים וארגונים פרטיותם.
- תקיפות דרך מוצרי תוכנה. שתילת קוד עוין ודלתות אחוריות בתכנות שנחשבות כמאובטחות. התוקפים עושים זאת בצורה מקצועית וכמעט בלתי ניתנת לזיהוי. העלות של מבחני קוד, סריקות ואינטגרציה של רכיבי תוכנה הינה גבוהה מאוד, ארגונים נוטים "לחסוך" ולדלג מעל התהליך הזה וקבוצות התקיפה זיהו את הפוטנציאל ומנצלות אותו.
- קבוצות סייבר שמסגלות לעצמן התנהלות עסקית, ורוכשות יכולות ונוזקות מפושעי סייבר אחרים, אנחנו עדים לקבוצות תקיפה גדולות המחזיקות תחתיהן קבוצות סייבר קטנות יותר, מספקות שירותי תמיכה ו"שירות לקוחות" ולמעשה – קבוצות סייבר מתנהלות כמעין חברות עסקיות לכל דבר ועניין.
- ריבוי מתקפות סייבר כנגד חברות מענף ההייטק. פושעי סייבר רואים בחברות ההייטק מטרות מאוד רווחיות, שכן רובן עשירות הן מבחינה פיננסית והן מבחינת ערך הקניין הרוחני שלה.
התחומים הקריטיים להתמקדות בשנה הקרובה:
ניהול סיכוני סייבר בשרשרת האספקה: רוב הארגונים אינם מנהלים באופן סדור את סיכוני הסייבר הנובעים משרשרת האספקה, ולא קיימת בהם פונקציה ייעודית לטיפול סדור בנושא. יש לזהות ולמפות את הספקים הקריטיים של הארגון, לקבוע עבורם קריטריונים וסטנדרטים של אבטחת מידע, לבצע סקרים והערכת סיכונים, ולנהל את הפערים והממצאים אל מול הספק עד עמידה ומעבר מעל הרף שנקבע
ניטור, זיהוי ותגובה לאירועי סייבר: עוצמת מתקפות הסייבר גדלה באופן אקספוננציאלי משנה לשנה. האיום גבר במיוחד בשנה האחרונה, בעקבות המעבר המסיבי של העובדים לעבודה מהבית, שימש נרחב יותר בשירותי ענן והתגבשותן של חבורות פושעים הפועלים כמו גוף מסחרי לכל דבר ומפיצות כופרה בעולם. מה עושים? מגדירים תהליך סדור של ניהול משברי סייבר בארגון, רוכשים שירות מנוהל לאיסוף וניתוח אירועי אבטחת מידע במערכות השונות, ומתרגלים את ההנהלה והצוותים הטכניים בתרגילי סייבר יבשים/רטובים
ניהול מצאי תכנה, טלאים ושינויים: תוקפים סורקים ללא הרף ארגוני יעד והם מחפשים גרסאות פגיעות של תוכנה הניתנות לניצול מרחוק. חלק מהתוקפים המתוחכמים עשויים להשתמש בניצולי יום-אפס, המנצלים את הפגיעויות שלא היו ידועות בעבר, שעדיין לא שוחרר תיקון על ידי ספק התוכנה. ללא ידע או שליטה נאותים בתוכנות הפרוסות בארגון, לא ניתן לאבטח כראוי את נכסי הארגון. מה עושים? יש להשתמש בכלים לניהול מצאי התוכנה ברחבי הארגון לתיעוד כל התוכנות שהארגון עושה בהן שימוש, להסיר כל תכנה שאין בה צורך, לעקוב אחר עדכוני אבטחה, ולהריץ כלי סריקה לבחינת פגיעויות בתכנות.
שירותי ענן וגישה מרחוק: אחד השינויים המהותיים ביותר שהתחוללו במהלך 2020 היה המעבר לעבודה מהבית, גישת ספקים ונותני שירותים למערכות הארגון מרחוק ושימוש מתעצם וגובר בשירותי ענן. שימוש בפלטפורמות אלו על יתרונותיהן, טומן בחובו גם אתגרים אבטחתיים רבים. על הארגונים לוודא כי הם מוגנים כראוי בטרם הם מאפשרים גישה זו. יש ליישם גישה בטוחה לאנשי החברה באמצעות חיבור מאובטח (VPN) ולא באמצעות ממשקים פחות מאובטחים וכן מנגנוני הזדהות משולבים, לוודא כי תחנות הקצה מהן מתחברים העובדים אל הארגון מוגנות כראוי, להתקין אנטי וירוס עדכני, לא לאפשר התקנת תכנית מגורמים בלתי מזוהים, ובמידת האפשר לוודא כי כל עובדי הארגון משתמשים בציוד ארגוני ולא ציוד אישי.
ממשל תאגידי: סיכוני סייבר הינם משמעותיים ועלולים לגרום נזק משמעותי לכל ארגון מודרני, שכן לא קיים כמעט ארגון שאינו תלוי במערכות מחשוב וברשתות. בשל כך, מינוי של בעל תפקיד הממוקד בניהול סיכון זה הינה קריטית כעוגן המבטיח כי הארגון ער לנושא בכל עת. הבסיס לבניית תוכנית הגנת הסייבר הינו הבנת הסיכונים, דירוגם ובניית תכנית מדורגת המצמצמת אותם מן הגבוה לנמוך. ללא סקירת הסיכונים, לא ניתן לוודא כי הצעדים שננקטו יצמצמו אותם באופן יעיל.
נהלי עבודה ומדיניות: רבים חושבים כי אם רק יאמצו סט של נהלים על פי תקן כזה או אחר, הם יהיו מוגנים כראוי. מחד, אימוץ נהלים ללא קישורם לסביבת הארגון אינו תורם להגנת הארגון, אפילו להיפך – ארגון המחזיק נהלים תלושים שאינם באמת מיושמים אצלו חי באשליה כי הוא מוגן. ניירות מסוגננים ככל שיהיו אינם מגנים על שום ארגון. מאידך, ללא תהליכים סדורים ומוגדרים מבעוד מועד אשר הותאמו לארגון, לתרבות שלו, לתחום פעילותו ולסיכונים שבו, קשה לקיים שגרת הגנה אפקטיבית ואחידה בארגון. התפקיד של מדיניות אבטחת מידע והנהלים הינה לבנות תשתית למערכת ניהול אבטחת מידע סדורה.
מאת נועם הנדרוקר, שותף במרכז הגנת הסייבר, BDO ישראל
