כיצד להקשות על תוקף הסייבר ולגרום לו להזיע?

שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. פושעי סייבר הבינו, כי השינויים במפה הפוליטית הגלובאלית, מגיפת הקורונה ומצב הכלכלה העולמית מהווים עבורם הזדמנות פז, והם החלו לנצל את המצב המורכב שנכפה על ארגונים לביצוע מגוון מתקפות סייבר, כגון כופרה, מתקפות מניעת שירות, פריצות, הונאה וגניבת נתונים.

בשנה זו הייתה עלייה ניכרת בכמות ההתקפות והנזק שהן גורמו יחסית לממוצע בשנים הקודמות. כך, למשל, אירועי פישינג עלו ב-220% בשיא המגיפה העולמית ביחס לממוצע השנתי, כמו גם עלייה של 151% במתקפות מניעת שירות (DDoS) בהשוואה לשנת 2019.

אנו מזהים כמה מגמות שהתחזקו בשנה האחרונה, והצפי שלנו הוא, כי מגמות אלה ימשיכו ויתעצמו ב-2021.

המגמה הראשונה היא שימוש נרחב בכופרות ממוקדות, אשר נשלטות לאורך כל התקיפה והן ייעודיות לגוף נתקף, מותאמת אליו ולא מיועדת להפצה רחבה.

המגמה השנייה היא תקיפה דרך שרשרת אספקה. קבוצות התקיפה זיהו את הפוטנציאל והבינו, שארגונים מוגנים כחוזק החולייה החלשה ביותר שלהם, ולכן מימשו טכניקות תקיפה ואיסוף מודיעין, זיהוי השרשרת ותקיפה ממוקדת במטרה לחדור לארגון היעד.

המגמה השלישית היא תקיפות דרך מוצרי תוכנה, כמו שתילת קוד עוין ודלתות אחוריות בתוכנות שנחשבות כמאובטחות. התוקפים עושים זאת בצורה מקצועית וכמעט בלתי ניתנת לזיהוי. העלות של מבחני קוד, סריקות ואינטגרציה של רכיבי תוכנה הינה גבוהה מאוד, ארגונים נוטים "לחסוך" ולדלג מעל התהליך הזה, וקבוצות התקיפה זיהו את הפוטנציאל ומנצלות אותו.

המגמה הרביעית היא, שקבוצות סייבר מסגלות לעצמן דפוסי התנהלות המאפיינים את העולם העסקי. ניתן לראות כי קבוצות סייבר רוכשות יכולות ונוזקות מפושעי סייבר אחרים, אנחנו עדים לקבוצות תקיפה גדולות המחזיקות תחתיהן קבוצות סייבר קטנות יותר, מספקות שירותי תמיכה ו"שירות לקוחות" ולמעשה – קבוצות סייבר מתנהלות כמעין חברות עסקיות לכל דבר ועניין.

המגמה החמישית היא ריבוי מתקפות סייבר כנגד חברות מענף ההיי-טק. פושעי סייבר רואים בחברות ההיי-טק מטרות מאוד רווחיות, שכן רובן עשירות הן מבחינה פיננסית והן מבחינת ערך הקניין הרוחני שלה.

חמשת התחומים החשובים ביותר לטיפול, שלדעתנו יפחיתו בצורה משמעותית את הסיכוי להתקפה הם:

ניהול סיכוני סייבר בשרשרת האספקה – 82% מן הארגונים אינם מנהלים באופן סדור את סיכוני הסייבר הנובעים משרשרת האספקה.

אז מה עושים?

1. מזהים וממפים את הספקים הקריטיים של הארגון.
2. קביעת קריטריונים וסטנדרט אבטחת מידע לספקים.
3. ביצוע סקרים והערכת סיכונים על מנת לבחון את הבקרות.
4. ניהול הפערים והממצאים אל מול הספק עד עמידה ומעבר מעל הרף שנקבע.

ניטור, זיהוי ותגובה לאירועי סייבר – 67% מהארגונים לא מנהלים בצורה שוטפת את תהליכי הניטור, הזיהוי והתגובה לאירועי סייבר.

אז מה עושים?

1. מגדירים תהליך סדור של ניהול משברי סייבר בארגון.
2. רוכשים שירות מנוהל לאיסוף וניתוח אירועי אבטחת מידע במערכות השונות שלכם.
3. מחברים לשירות זה מקורות מידע שונים, החל מזיהוי התנהגות חשודה על מערכות הקצה (XDR), דרך ניטור השרתים, ציוד התקשורת, הדואר האלקטרוני, מערכות הייצור וכל מערכות מידע אחרת.
4. מתרגלים את ההנהלה והצוותים הטכניים בתרגילי סייבר.

ניהול מצאי תוכנה, טלאים ושינויים – כ 56% מהארגונים מדווחים כי הם לא מנהלים טלאי אבטחת מידע בצורה סדורה ורציפה.

אז מה עושים?

1. השתמשו בכלים לניהול מצאי התוכנה ברחבי הארגון לתיעוד כל התוכנות שהארגון עושה בהן שימוש.
2. הסירו כל תוכנה שאין בה צורך עסקי.
3. עקבו אחרי עדכוני אבטחה בתוכנה שאתם עושים בה שימוש ועדכנו את התוכנות שלכם באופן תדיר בהתאם לרמת החומרה של העדכון.
4. הריצו כלי סריקה לבחינת פגיעויות בתוכנות שלכם.

שירותי ענן וגישה מרחוק – %38 מן הארגונים אינם ערוכים באופן מלא לצמצם את הסיכונים הנובעים מהמעבר לעבודה מרחוק.

אז מה עושים?

1. יש ליישם גישה בטוחה לאנשי החברה באמצעות חיבור מאובטח (VPN) ולא באמצעות ממשקים פחות מאובטחים.
2. יש ליישם מנגנוני הזדהות משולבים (MFA), כלומר בנוסף לזיהוי פשוט כמו משתמש וסיסמה יש להשתמש בתהליך אישור נוסף, כגון קוד הנוצר בטלפון הנייד.
3. יש לוודא כי תחנות הקצה שמהן מתחברים העובדים אל הארגון מוגנות כראוי, יש להתקין אנטי וירוס עדכני, הגנה מפני פוגענים ומערכות EDR.
4. אין לאפשר התקנת תוכנות מגורמים בלתי מזוהים.
5. במידת האפשר יש לוודא כי כל עובדי הארגון משתמשים בציוד ארגוני ולא בציוד אישי.

ממשל תאגידי

תפקידים ואחריות – ב-56% מן הארגונים לא מונה מנהל אבטחת מידע כלל, או שמונה מנהל אבטחת מידע ללא רקע וניסיון מתאים ובנוסף לתפקידים נוספים שהוא מבצע.

הערכת סיכונים – הבסיס לבניית תוכנית הגנת הסייבר הינו הבנת הסיכונים, דירוגם ובניית תוכנית מדורגת המצמצמת את הסיכונים מן הגבוה לנמוך. רק 37% מהארגונים מקיימים סקרים כאלה באורח סדור.

נוהלי עבודה ומדיניות – ל-46% מן הארגונים אין סט סדור של נוהלי עבודה ומדיניות אבטחת מידע והגנת הסייבר.

רבים חושבים כי אם רק יאמצו סט של נהלים על פי תקן כזה או אחר, הם יהיו מוגנים כראוי, אולם ללא תהליכים סדורים ומוגדרים מבעוד מועד אשר הותאמו לארגון, לתרבות שלו, לתחום פעילותו ולסיכונים שבו, קשה לקיים שגרת הגנה אפקטיבית ואחידה בארגון.

הכותב הוא שותף במרכז הגנת הסייבר, BDO ישראל.