שבעה מיתוסים על אבטחת מידע שפוגעים בעסק
מאת: דן וודס, ראש המודיעין הגלובלי ב-F5, מומחה לטרור סייבר, סוכןFBI לחקירות מיוחדות לשעבר
בשנתיים האחרונות העולם עבר טלטלה כלכלית, פוליטית וטכנולוגית. קצב ההתקדמות הטכנולוגית התגבר, אך במקביל לכך מדינות העוסקות בלוחמת סייבר פגעו באופן ישיר בארנק של האזרח. על הרקע הזה עלתה לסדר היום שורה של מיתוסים, שגרמה לצוותי אבטחת מידע בעלי כוונות טובות להתמקד בדברים הלא נכונים.
הנה שבעה מהמיתוסים הללו שכדאי להכיר.
מיתוס 1: מספר החשבונות המזויפים ברשתות החברתיות קטן למדי
הרשתות החברתיות אינן יודעות ואינן רוצות לדעת כמה בוטים קיימים בהן באמת. רכישת טוויטר על ידי אילון מאסק העלתה באופן פומבי את חשיבות הנתון הזה, שכן שווי החברה מבוסס במידה רבה על מספר המשתמשים שלה.
בבדיקה שערכנו לפני מספר שנים באתר של רשת חברתית מסוימת, גילינו כי 98% מהכניסות היו של בוטים אוטומטיים. החברה הייתה גאה בצמיחה המהירה שלה, אך רק עשירית מהמנויים שלה היו אנושיים. להערכתי, שיעור הבוטים בטוויטר קרוב יותר ל-50% ואף יותר.
יש לדרוש מחברות לאמת שהמשתמשים שלהם אנושיים ולפעול לצמצום תעבורת הבוטים. העובדה שיש בוטים זדוניים רבים מעידה על כשל באבטחה. מניעת תעבורת בוטים היא קריטית לצורך שלמות המידע, וחשובה לאיסוף נתונים מדויקים, שיאפשרו לקבל החלטות עסקיות.
מיתוס 2: חברות צריכות למנוע תעבורת בוטים בעצמן
מניתוח פעילות הבוטים בחברות, ניתן לצפות לראות בוטים מתוחכמים, שהתפתחו לאורך הזמן כדי להתגבר על מעגלי הגנה, אבל זה לא המקרה. חברות נלחמות בבוטים באמצעות חסימת כתובות IP, אזורים ומערכות אוטונומיות. אלא שהתקפות הבוטים מגיעות כעת ממאות אלפי, אפילו מיליוני, כתובות IP. כלומר, מעגלי ההגנה, שמתמקדים בשכבת הרשת, יעילים רק באופן חלקי.
חברות נדרשות לאמץ כלים ביומטריים של ניתוח התנהגות ולחקור את הדפדפן ואת המכשירים עצמם. כלים אלו מאפשרים לזהות לא רק בוטים, אלא גם בני אדם שפועלים באופן זדוני. העסקה של מספר רב יותר של אנשי מערכות מידע לא תפתור את הבעיה, יש להילחם באוטומציה באמצעות אוטומציה.
מיתוס 3: יש להתמקד תמיד באיום חדש ומסתורי שעלול להגיע
מדובר רבות על החשש מאיומים חדשים שיקדימו את ההגנות הקיימות. אבל במובנים רבים, התקפות הסייבר נותרו זהות, עם שינויים קלים בלבד. רוב הבוטים פועלים באותה רמת תחכום שהייתה קיימת לפני חמש שנים, הם רק מגיעים ממקומות שונים.
תקיפות סייבר באמצעות Credential stuffing (דחיסת הרשאות) עדיין מצליחות, למרות ניסיונות למנוע אותן באמצעות אימות של שני גורמים או מבחני CAPTCHA. תוקפים לא ימציאו מנגנוני התקפה חדשים, כל עוד המנגנון המקורי מצליח. הם רק מוצאים דרך להתחמק מאמצעי הגנה חדשים. יש להיערך לאיומים עתידיים, אבל חשוב לא פחות לצמצם את האיומים הוותיקים.
מיתוס 4: ניהול מספר עננים במקביל הוא אתגר קשה שדורש כישורים נדירים
חברות שפועלות עם עננים מרובים עושות זאת לפעמים בחוסר רצון ולא רואות בכך הזדמנות. ניהול מערכות המידע ואבטחת המידע בסביבה מרובת עננים לא חייבים להיות משימות קשות לביצוע. ספקי הענן בנו יכולת פעולה הדדית כחלק מהאסטרטגיה שלהם. ספקים אחרים מציעים פתרונות המסירים את נטל האינטגרציה. יתרה מכך, הם מפשטים את הפונקציונליות בסביבות עננים שונות ומספקים אותה בממשק אחוד ופשוט.
מיתוס 5: מספיק לאבטח את המחשבים והשרתים בחברה
צוותי אבטחת מידע מתמקדים בתשתיות של הארגו – השרתים, המחשבים, שולחנות העבודה של העובדים – אבל הם לא דואגים לאבטח את הרשתות הביתיות של עובדי הארגון. לתוקף קל יותר להתמקד במחשב של עובד זוטר, אם ברצונו לחדור למחשב של המנכ"ל כדי לקבל מידע על מיזוגים ורכישות או כל מידע אסטרטגי אחר. בתקופה שבה עבודה מהבית נפוצה יותר מאי פעם, רשתות ביתיות הן פרצת אבטחה בעייתית.
מיתוס 6: אתה יכול לבטוח בעובדים שלך
עובדים ממורמרים לא תמיד מסתפקים בכתיבת ביקורות רעות על החברה ברשת. הם יכולים לגנוב מידע רגיש או להחדיר נוזקה למערכת. איש מערכות מידע יכול בקלות ליצור לעצמו פרסונה ברשת האפלה (Darknet), לספק לה גישה למערכת של החברה כדי להתקין נוזקה, ולאחר מכן להגיש דרישת כופר, ואף להמליץ לחברה לשלם אותו. חשוב לציין שעדיין לא מצאתי עדויות לכך, אבל התמריץ לעשות זאת קיים.
מיתוס 7: איומי הסייבר המשמעותיים הם התקפות על תשתיות המדינה מצד מדינות אחרות
לפני כשנה חלה התקפת סייבר על צינור הנפט של קולוניאל פייפליין בארה"ב, שגרמה לתורים ארוכים בתחנות הדלק בחוף המזרחי, והפכה לידיעה חדשותית בינלאומית חשובה. עם זאת, אין כמעט שיח ציבורי על מיליוני אזרחים שנופלים קורבן להונאות באינטרנט מדי שנה, רבים מהם קשישים שחיים על כספי הפנסיה. זהו איום אדיר על רשת הביטחון החברתית, בעל השפעה הרסנית על אנשים ומשפחות. לא פחות חשוב להפנות תשומת לב להונאות הסייבר שחווים האזרחים הפשוטים.