שנת 2020 הייתה שנת המפץ הגדול בתחום תקיפות הסייבר. מספר תקיפות שינו את הגישה והפוקוס של השוק העולמי והדגישו כי סייבר הינו סיכון עסקי המאיים על כל ארגון, בכל מגזר ובכל גודל. פושעי סייבר הבינו כי השינויים במפה הפוליטית הגלובאלית, מגיפת הקורונה ומצב הכלכלה העולמית, מהווים עבורם הזדמנות פז והם החלו לנצל את המצב המורכב שנכפה על ארגונים לביצוע מגוון מתקפות סייבר כגון כופרה, מתקפות מניעת שירות, פריצות, הונאה וגניבת נתונים.
בשנה זו הייתה עליה משמעותית בכמות ההתקפות והנזק שהן גרמו יחסית לממוצע בשנים הקודמות. כך למשל, אירועי פישינג (הונאה דרך דואר אלקטרוני) עלו ב-220% בשיא המגיפה העולמית ביחס לממוצע השנתי[1], כמו גם עלייה של 151% במתקפות מניעת שירות (DDoS) בהשוואה לשנת 2019.
פושעי הסייבר החלו להיות נועזים יותר, מתוחכמים יותר ויצירתיים יותר כדי למקסם נזק לקורבנות התקיפה, ובכך, למקסם תועלת עבור עצמם. זה התבטא בכך שארגונים ספגו נזקים, ישירים ועקיפים, של עשרות מיליוני דולרים בגין מתקפת סייבר. אנו מזהים מספר מגמות שהתחזקו בשנה האחרונה והצפי שלנו הוא כי מגמות אלה ימשיכו ויתעצמו ב-2021.
המגמה הראשונה היא שימוש נרחב בכופרות ממוקדות, אשר נשלטות לאורך כל התקיפה והן ייעודיות לגוף נתקף, מותאמת אליו ולא מיועדת להפצה רחבה.
המגמה השנייה היא תקיפה דרך שרשרת אספקה. קבוצות התקיפה זיהו את הפוטנציאל והבינו שארגונים מוגנים כחוזק החוליה החלשה ביותר שלהם ולכן מימשו טכניקות תקיפה ואיסוף מודיעין, זיהוי השרשרת ותקיפה ממוקדת במטרה לחדור לארגון היעד.
המגמה השלישית היא תקיפות דרך מוצרי תוכנה. שתילת קוד עוין ודלתות אחוריות בתכנות שנחשבות כמאובטחות. התוקפים עושים זאת בצורה מקצועית וכמעט בלתי ניתנת לזיהוי. העלות של מבחני קוד, סריקות ואינטגרציה של רכיבי תוכנה הינה גבוהה מאוד, ארגונים נוטים "לחסוך" ולדלג מעל התהליך הזה וקבוצות התקיפה זיהו את הפוטנציאל ומנצלות אותו.
המגמה הרביעית היא שקבוצות סייבר מסגלות לעצמן דפוסי התנהלות המאפיינים את העולם העסקי. ניתן לראות כי קבוצות סייבר רוכשות יכולות ונוזקות מפושעי סייבר אחרים, אנחנו עדים לקבוצות תקיפה גדולות המחזיקות תחתיהן קבוצות סייבר קטנות יותר, מספקות שירותי תמיכה ו"שירות
לקוחות" ולמעשה - קבוצות סייבר מתנהלות כמעין חברות עסקיות לכל דבר ועניין.
המגמה החמישית היא ריבוי מתקפות סייבר כנגד חברות מענף ההייטק. פושעי סייבר רואים בחברות ההייטק מטרות מאוד רווחיות, שכן רובן עשירות הן מבחינה פיננסית והן מבחינת ערך הקניין הרוחני שלה.
2021 הולכת להיות מאתגרת לפחות כמו זו שקדמה לה. במשך השנה סקרנו מאות ארגונים ומצאנו כי במרביתם קיימים פערים משמעותיים בתחומים הרשומים מטה ויש קשר ישיר בין אופן יישום מתקפה לחולשות המצוינות. טיפול מידי בנושאים הללו יפחית את הסיכון להתקפה ויגביר משמעותית את מוכנות הארגון להתמודד עם אירוע סייבר. חמשת התחומים החשובים ביותר לטיפול, ולדעתנו, יפחיתו בצורה משמעותית את הסיכוי להתקפה הינם:
ניהול סיכוני סייבר בשרשרת האספקה
82% מן הארגונים אינם מנהלים באופן סדור את סיכוני הסייבר הנובעים משרשרת האספקה. ברוב המוחלט של הארגונים לא קיימת פונקציה ייעודית לטיפול סדור בנושא ובמרבית המקרים פונקציית הרכש אחראית גם לנושא החתמות הספקים ומילוי סקרים בתהליך התקשרות חדש אך לא מעבר.
בשנת 2020 חווינו לא מעט התקפות שמקורן בשרשרת האספקה, דבר שהדגיש עוד יותר את העובדה כי לנושא זה משנה חשיבות בהתמודדות עם אירועי סייבר. אחת ההתקפות החמורות ביותר בתקופה האחרונה שנבעה מהתקפה מסיבית של שרשרת האספקה מקורה בתוכנת אוריון מבית SolarWinds. בשל אופיה של התכנה, ניטור ובקרת רשת - היא ניגשת למשאבים הכי קריטיים של הארגונים בהם היא עובדת. האקרים נכנסו לסביבת הפיתוח של SolarWinds והצליחו להכניס תוכנות זדוניות לעידכון שהופץ על-ידי החברה. לאחר ההתקנה, התוכנה יצרה קשר לרשת פיקוד ובקרה המנוהלת על-ידי קבוצת ההאקרים, ואפשרו להם להיכנס לרשת ולנקוט בפעולות נוספות. הפריצה השפיעה על כ 18,000 ארגונים, ביניהם סוכנויות ממשלתיות בארה"ב, גופי תשתיות קריטיים וארגונים פרטיותם.
אז מה עושים?
1.מזהים וממפים את הספקים הקריטיים של הארגון.
2. קובעים קריטריונים וסטנדרט אבטחת מידע לספקים.
3. ביצוע סקרים והערכת סיכונים על-מנת לבחון את הבקרות.
4. ניהול הפערים והממצאים אל מול הספק עד עמידה ומעבר מעל הרף שנקבע.
ניתן וכדאי לטפל בנושא על-ידי העברת הטיפול השוטף לשירות מנוהל מקצה לקצה.
ניטור, זיהוי ותגובה לאירועי סייבר
67% מהארגונים לא מנהלים בצורה שוטפת את תהליכי הניטור, הזיהוי והתגובה לאירועי סייבר. התקפות סייבר מאימות על ארגונים ברחבי העולם. עוצמת ההתקפות גדלה באופן אקספוננציאלי משנה לשנה. האיום גבר במיוחד בשנה האחרונה, בעקבות המעבר המסיבי של העובדים לעבודה מהבית, שימש נרחב יותר בשירותי ענן והתגבשותן של חבורות פושעים הפועלים כמו גוף מסחרי לכל דבר ומפיצות כופרה בעולם.
בחלק גדול מהארגונים לא בוצע תרגול בנושא אירועי סייבר והתמודדות ההנהלה וכמו-כן אין צוותי IR מסודרים.
אז מה עושים?
1. מגדירים תהליך סדור של ניהול משברי סייבר בארגון.
2. רוכשים שירות מנוהל לאיסוף וניתוח אירועי אבטחת מידע במערכות השונות שלכם ( Managed Detection & Response - MDR ).
3. מחברים לשירות זה מקורות מידע שונים החל מזיהוי התנהגות חשודה על מערכות הקצה (XDR), דרך ניטור השרתים, ציוד התקשורת, הדואר האלקטרוני, מערכות הייצור וכל מערכות מידע א.
4. מתרגלים את ההנהלה והצוותים הטכניים בתרגילי סייבר יבשים/רטובים.
ניהול מצאי תכנה, טלאים ושינויים
כ 56% מהארגונים מדווחים כי הם לא מנהלים טלאים אבטחת מידע בצורה סדורה ורציפה. תוקפים סורקים ללא הרף ארגוני יעד והם מחפשים גרסאות פגיעות של תוכנה הניתנות לניצול מרחוק. חלק מהתוקפים המתוחכמים עשויים להשתמש בניצולי יום-אפס, המנצלים את הפגיעויות שלא היו ידועות בעבר, שעדיין לא שוחרר תיקון על-ידי ספק התוכנה. ללא ידע או שליטה נאותים בתוכנות הפרוסות בארגון, לא ניתן לאבטח כראוי את נכסי הארגון.
אז מה עושים?
1. השתמשו בכלים לניהול מצאי התוכנה ברחבי הארגון לתיעוד כל התוכנות שהארגון עושה בהן שימוש.
2. הסירו כל תוכנה שאין בה צורך עסקי (יש לכך גם השלכות עסקיות בנושא רישוי תכנה והעלות שלה).
3. עקבו אחרי עידכוני אבטחה בתכנה שאתם עושים בה שימוש ועדכנו את התוכנות שלכם באופן תדיר בהתאם לרמת החומרה של העידכון.
4. הריצו כלי סריקה לבחינת פגיעויות בתכנות שלכם.
שירותי ענן וגישה מרחוק
אחד מן השינויים המהותיים ביותר שהתחוללו במהלך 2020 הינו המעבר לעבודה מהבית, גישת ספקים ונותני שירותים למערכות הארגון מרחוק ושימוש מתעצם וגובר בשירותי ענן.
38% מן הארגונים אינם ערוכים באופן מלא לצמצם את הסיכונים הנובעים משינויים אלה. השתלטות מרחוק משמשת ארגונים רבים וכן משתמשים פרטיים לשם מתן או קבלה של שירותי תמיכתה במערכות המידע שלהם בכלל, ובפרט בתקופה זו. הללו מממשות יכולת שיתוף באמצעות מתן גישה למחשב אחר לשלוט במחשב של הלקוח. שימוש בפלטפורמות אלו על יתרונותיהן, טומן בחובו גם אתגרים אבטחתיים רבים. על הארגונים לוודא כי הם מוגנים כראוי בטרם הם מאפשרים גישה זו.
אז מה עושים?
1.יש ליישם גישה בטוחה לאנשי החברה באמצעות חיבור מאובטח (VPN) ולא באמצעות ממשקים פחות מאובטחים.
2. יש ליישם מנגנוני הזדהות משולבים (MFA). כלומר, בנוסף לזיהוי פשוט כמו משתמש וססמא יש להשתמש בתהליך אישור נוסף כגון קוד הנוצר בטלפון הנייד.
3. יש לוודא כי תחנות הקצה מהן מתחברים העובדים אל הארגון מוגנות כראוי, יש להתקין אנטי וירוס עדכני, הגנה מפני פוגענים ומערכות EDR.
4. אין לאפשר התקנת תוכנות מגורמים בלתי מזוהים.
5. במידת האפשר יש לוודא כי כל עובדי הארגון משתמשים בציוד ארגוני ולא ציוד אישי.
ממשל תאגידי
תפקידים ואחריות
ב-56% מן הארגונים לא מונה מנהל אבטחת מידע כלל, או שמונה מנהל אבטחת המידע ללא רקע וניסיון מתאים ובנוסף לתפקידים נוספים שהוא מבצע. יש להבין כי סיכוני סייבר הינם משמעותיים ועלולים לגרום נזק משמעותי לכל ארגון מודרני, שכן לא קיים כמעט ארגון שאינו תלוי במערכות מחשוב וברשתות. בשל כך, מינוי של בעל תפקיד הממוקד בניהול סיכון זה הינה קריטית כעוגן המבטיח כי הארגון ער לנושא בכל עת.
הערכת סיכונים
הבסיס לבניית תוכנית הגנת הסייבר הינו הבנת הסיכונים העומדים בפניו, דירוגם ובניית תוכנית מדורגת המצמצמת את הסיכונים מן הגבוה לנמוך.
ק 37% מהארגונים מקיימים סקרים כאלה באורח סדור. ללא סקירת הסיכונים לא ניתן לוודא כי הצעדים שננקטו יצמצמו באופן יעיל את הסיכונים. בנוסף לכך, הצגת הסיכונים העסקיים להנהלת הארגון היא הדרך להקצאת תקציבים מתאימים על-מנת להתמודד כראוי עם הסיכון.
נהלי עבודה ומדיניות
ל 46% מן הארגונים אין סט סדור של נהלי עבודה ומדיניות אבטחת מידע והגנת הסייבר. רבים חושבים כי אם רק יאמצו סט של נהלים על-פי תקן כזה או אחר, הם יהיו מוגנים כראוי. מצד אחד, אימוץ נהלים ללא קישורם לסביבת הארגון אינו תורם להגנת הארגון. אפילו להפך - ארגון המחזיק נהלים תלושים שאינם באמת מיושמים אצלו חי באשליה כי הוא מוגן. ניירות מסוגננים ככל שיהיו אינם מגנים על שום ארגון.
מאידך-גיסא, ללא תהליכים סדורים ומוגדרים מבעוד מועד אשר הותאמו לארגון, לתרבות שלו, לתחום פעילותו ולסיכונים שבו, קשה לקיים שגרת הגנה אפקטיבית ואחידה בארגון. התפקיד של מדיניות אבטחת מידע והנהלים הינה לבנות תשתית למערכת ניהול אבטחת מידע סדורה.
