כלב נובח לפעמים גם נושך
כתב: אסף קוטסל, ממייסדי Dcoya, המובילה את תחום ההתגוננות בפני פישינג (Phishing) בישראל
בואו נעשה קצת סדר – תחום הסייבר כבר כאן כמעט שני עשורים, לא תמיד קראו לו בשם הסקסי הזה, אבל הוא היה כאן. קראנו לילד "אבטחת מידע". כשגדל הילד ודרש קצת תשומת לב וצבע לחיים, הענקנו לו ברוב גאון והדר את השם המחייב – סייבר.
אז הילד סייבר כבר כאן בשמו החדש אשר עדיין מייצר את האפקט הרצוי, ואם פתאום אנחנו שוכחים לתת לילד שהפך כבר לנער את תשומת הלב הרצויה, מיד הוא זורק למערכה כמה צירופי מילים חדשים כמו DDoS ,Zero day או מילים מפחידות אחרות. בדרך כלל זה מספיק בכדי לעורר אותנו .
בכל זאת, דומה שמשהו בתחום קצת השתנה. פתאום אנחנו שומעים על עוד ועוד גופים שנפגעים, נסחטים ומשלמים, תדירות המקרים גוברת – כך גם קשת "הנפגעים" ההופכת הטרוגנית, החל ממוסדות פיננסיים ורפואיים וכלה בארגונים קטנים.
אז מה בכל זאת השתנה?
ובכן, אותו הגורם שהצמיח תעשיה שלמה של טכנולוגיות אבטחת מידע והצליח לפרנס מליוני משפחות בעולם, מהווה היום קטליזטור משמעותי לפעילותם של ההאקרים מכל העולם . ניחשתם נכון – כסף. כסף גדול.
עד לא מזמן האתגר הגדול של התוקפים היה המרת הנזקים לרווחתם האישית והכלכלית. הם פגעו והכאיבו לנו גם לפני, אבל מרביתם עשו זאת ממניעים מגוונים ולא בהכרך כלכליים. לרוב, הפעילות לא ממש השתלמה כלכלית.
ואז הגיעה התובנה – למה לנסות למצוא פרצות א.מ. אם אפשר להיכנס מהדלת הראשית?
בוקר טוב עולם, קוראים לי פישינג
מאחורי כל תשתית ארגונית מורכבת ככל שלא תהיה – יושב אדם, עובד בארגון, אשר בסבירות גבוהה בעל זיקה נמוכה אם בכלל לאבטחת מידע, וללא הכישורים והידע לזהות התחזות במייל.
וכך בהיסח הדעת, טעות של שניה הנובעת מחוסר ידע, עשוי אותו אדם לתת את "מפתחות הכספת" לגורם העוין וזאת מבלי שהשני יתעמת עם אף לא אחד מטכנולוגיות אבטחת המידע הארגוניות, מספיק עובד אחד שימסור את המפתח הנכון לדלת הקסמים.
כופרה (Ransomware)
בהנחה שההאקר הגיע אל המידע המבוקש, כל מה שנשאר לו הוא להצפינו, לפנות לארגון ולקוות שהדג שתפס ברשת מספיק יקר לארגון, מכאן הדרך אל הכסף קצרה, לפחות בחלק מהמקרים.
בהנחה שההאקר יצליח להצפין מידע מספיק חשוב לארגון, או מידע חיוני לפעילותו השוטפת, הרי שהתמורה תהיה גבוהה ומיידית.
תשלום בביטקוין (Bitcoin) יטשטש לחלוטין את עקבותיו של התוקף אשר מבחינתו יוכל לעבור "ללקוח המרוצה" הבא, או לחלופין – יבחר להמשיך ולהעמיק את הקשר אם הארגון המשלם.
גישת Dcoya לפתרון הבעיה
ההאקרים סימנו את ה"חוליה החלשה" בשרשרת, וממקדים את המאמצים בערוץ זה. הפתרון נעוץ בשורש הבעיה – המשאב האנושי.
מכיוון שהבעיה מתנקזת בסופו של יום אל פתחו של העובד, אנחנו כאנשי אבטחת מידע צריכים לספק לו את הכלים המתאימים להתמודד עם הבעיה. העובד הפך להיות פקטור מרכזי בסיטואציה שנוצרה בעל כורחו. מתפקידנו לספק לו את הכלים, הידע והבטחון על מנת להתמודד עם האיום.
תחילה עלינו לאמן את העובד על מנת להתמודד עם האיום, משמע יצירת "זירת פישינג" מדומה, קרי סימולציות פישינג זהות למתקפות האמיתיות המשלבות פן לימודי קצר וממוקד לסימולציה. מתודולוגיית העבודה בנויה מרמת קושי מתגברת אשר מטרתה אינה לכידת העובד, אלא ההיפך הגמור- בניית בטחון ויצירת יכולת לזהות ולהתמודד עם האיום, הכל בגישה חיובית בונה ולא שיפוטית.
בשלב בשני יש לאפשר לעובד "להמיר" את הידע והמודעות לכדי מניעה אקטיבית על ידי מתן אפשרות דיווח וחסימה של מיילים שזוהו כעוינים, על ידי פריסת כפתור דיווח אינטגרלי ונגיש בתיבת ה-inbox של העובד.
מערכת Dcoya מאפשרת לבדוק את רמת מהימנות הדיווח של כל עובד, ובהתאם להכיל מדיניות שונה כלפי כל דיווח – החל מאפשור המייל וכלה בחסימה מיידית של המייל באופן רוחבי ומיידי.
התוקף משתמש בעובדה שמספיק חוסר עירנות של עובד אחד על מנת להעמיד את הארגון בסיכון. שימוש באותה אנלוגיה על מנת להגן על הארגון, עשוי להוות פתרון הולם, כך שמספיקה עירנותו של עובד אחד על מנת לחסום את המפגע מהארגון באופן גורף.