איך לצמצם את מרחב הטעויות של הגורם האנושי באירועי סייבר?
האמצעים לזיהוי, תגובה והגנה על ארגונים מפני אירועי סייבר כוללים שלושה אלמנטים משותפים: אנשים, תהליכים וטכנולוגיה - ואולם רוב הארגונים משקעים וישקיעו בשני האלמנטים האחרונים, בעוד דווקא האלמנט הראשון, האנושי, הוא המשרת תוקפים רבים
ארגונים ברחבי העולם משקיעים רבות ביכולות אבטחת מידע וסייבר, כדי להגן על הנכסים הקריטיים שלהם. בין אם ארגון או עסק צריך להגן על מותג, הון אינטלקטואלי, מידע השייך ללקוחות, או לספק בקרות עבור תשתיות קריטיות, האמצעים לזיהוי, תגובה והגנה על אינטרסים ארגוניים כוללים שלושה אלמנטים משותפים: אנשים, תהליכים וטכנולוגיה.
למרבה הצער, רוב הארגונים משקעים וישקיעו בשני האלמנטים האחרונים בעוד דווקא האלמנט הראשון מבין השלושה – האלמנט האנושי, מהווה עבור תוקפים את הדרך הנוחה, ואף ניתן לומר הקלה, לחדור לארגון (האלמנט האנושי של אבטחת סייבר מייצג את הפעולות או האירועים, כאשר טעות אנוש מביאה לפריצה מוצלחת ו/או הפרת נתונים).
ווקטורים נפוצים בעת חדירה לארגון יהיו באמצעות שימוש במייל – למטרת דיוג, או דיוג ממוקד (Spear-Phishing) – ואף הפעלת קוד זדוני באמצעות קישור מובנה בתוך המייל. הפורצים מתבססים על חולשות וטעויות אנוש לביצוע תכניתם.
קשה להבין עד בלתי מובן לגמרי מדוע ארגונים רבים מתעלמים מהאלמנט וההתנהגות האנושית בבואם להגן על נכסיהם או מדוע רוב ההשקעה בתחומי הסייבר יופנה לאלמנטים ותהליכים טכנולוגיים יקרים, בזמן שווקטור החדירה המרכזי לארגון מתבצע באמצעות ניצול האלמנט האנושי. מדי שנה, חברות וארגונים פורסים ומיישמים טכנולוגיות אבטחה עדכניות, במקביל תוקפים מפתחים כלים, טקטיקות וטכניקות חדשות, כדי לעקוף את הטכנולוגיות הללו.
אומנם השקעה בטכנולוגיות הגנה, נראות, איתור ותגובה בעולמות הסייבר היא מרכיב חיוני לבניית אסטרטגיה יעילה של הגנה, אך המציאות היא שאת רוב הפריצות, בעיות הפרת נתונים וכשלי אבטחת המידע ניתן לייחס להתנהגות או טעות אנוש.
מדוע כדאי לארגון להפנות משאבים ולהשקיע באלמנט האנושי?
כאשר בוחנים מקרוב מה הם הגורמים שאפשרו התרחשות אירועי דיוג/פריצה/תוכנות זדוניות, לעתים קרובות ניתן לייחס את האירועים לטעות אנושית בדרך כלשהי. תוקפים מסתמכים יותר ויותר על הודעות דוא"ל והתחזות בכדי לעקוף את שכבות ההגנה הרשתיות של הארגון, שכן אלה מקשות על חדירה ישירה של פורצים.
התחזות היא וקטור תקיפה בעלות נמוכה יחסית (ניתן לרכוש קוד עבור מטרה זו בהחל מעשרות דולרים בודדים), אך יעילה ביותר בכדי לקבל גישה לרשת מאובטחת.
השימוש הגובר ברשתות ובמדיה חברתית, כמו לינקדאין ופייסבוק, מאפשר לתוקפים לקבל מידע, לזהות ולמקד מתקפה על מטרות אנושיות באמצעות דוא"ל דיוג ודיוג מתחזה.
מה צריך וניתן לעשות?
אמנם אין גישה אחת המתאימה לכל, אך הטיפול במרכיב האנושי של הגנת נתונים מחייב יישום של כמה אמצעי הגנה טכניים, אדמיניסטרטיביים ופרוצדורליים, כולל:
- חינוך, הכשרה והדרכת עובדים – הנדסה חברתית היא שימוש בתקשורת כדי לתמרן אנשים לוותר על מידע חסוי. אך ניתן לנצל את ההנדסה החברתית לחינוך העובדים לסכנות, כמו למשל פיתוח ושיפור מיומנויות תקשורת ומערכות יחסים שנועדו להגברת ההבנה של העובדים לגבי מי שאיתם הם מתקשרים. לחינוך, והכשרה יש חשיבות מבחינת האופן שבו ניתן להשפיע על תרבות הארגון.
- חייבו ספקים ונותני שירות חיצוניים ביישום אבטחת מידע וסייבר חזקים – כשעובדים עם ספקים חיצוניים, חשוב לדעת שהם מאובטחים באותה מידה (אם לא בטוחים יותר) מאשר הארגון שלנו. לכן, חשוב לשקף כל חשש ולדרוש תהליך מעקב וניטור של כל פעולה שהספק/נותן השירות מבצעים. בנוסף יש לדרוש מהספק/נותן השירות עמידה בתקני איכות הרלוונטיים לאבטחת מידע וסייבר, ולדרוש קיומם של אמצעים מתאימים (תוכנות זיהוי שינויים) שיאפשרו זיהוי שינויים בכל אחת מהמערכות שלהם – לטוב ולרע.
- שימוש פנימי בפתרונות לזיהוי ואיתור שינויים – יישום פתרון אבטחה מקיפים לשלמות מידע ותאימות, פתרונות מסוג זה עוזרים לגלות תהליכים, מאפשרים ביקורת ותגובה גמישה, ולעיתים אף החזרה של שינויים בלתי רצויים. כלים מסוג זה מהווים "נשק" עוצמתי באבטחת המידע והסייבר באמצעותם ניתן לזהות: מי עשה את השינוי, אילו שינויים נעשו, איפה שוכנים השינויים, וכיצד מיושם השינוי.
הכותב הוא מהנדס פרה-סייל בחברת בינת תקשורת מחשבים
תגובות
(0)