משקיעים מיליארדים בהגנה מפני התקפות סייבר? יש פתרון הרבה יותר זול ופשוט - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

משקיעים מיליארדים בהגנה מפני התקפות סייבר? יש פתרון הרבה יותר זול ופשוט

מודעות עובדים לאיומים והדרכה יכולים לעצור מתקפות לפני התרחשותן - אך דווקא הבכירים הם הראשונים ליפול בפח

7תגובות
דף לבן ועליו רשום שם משתמש וססמא. אילוסטרציה
iStockphoto

קריסטין לאבג'וי, מנהלת האבטחה הראשית (CSO) של IBM, המכונה גם "גברת סייבר", עלתה לפני שנה על במת כנס Cybertech 2015 שהתקיים בתל אביב. הקהל היה מורכב ממנהלי אבטחת מידע, מנכ"לי חברות סייבר והאקרים, שרצו לשמוע מהדוברת הראשית על מפת האיומים החדשה: רוגלות, וירוסים ומתקפות. אבל ללאבג'וי היתה אג'נדה אחרת לגמרי.

"ארגון גדול שיש בו 15 אלף עובדים, יחווה 1.7 מיליון אירועי אבטחה בשבוע, אבל רוב אירועי האבטחה בארגון נופלים תחת קטגוריית ה'אופס'", אמרה לאבג'וי והפתיעה את הקהל. מתוך אלפי מקרים שהחברה בחנה רק 16% הם מתקפות מכוונות, ואילו 84% הם אחד משלושת האופסים: "אימייל שנשלח בטעות לכתובת לא נכונה; מחשב נייד שאבד; מחשב 
נייד שנגנב".

עוד אמרה: "התוקפים פועלים מתוך כוונה זדונית, אך גורמים פנימיים בחברה תורמים שלא במודע ל–95% מאירועי האבטחה, באמצעות טעות אנוש כזו או אחרת". בשקף ה"מה עושים?" שלה, דיברה לאבג'וי על חמש נקודות, שהראשונה שבהן היא: "הגדל את ה–Security IQ של עובדי הארגון", ותחת הסעיף הזה נכתב: Train, Test, Trick - חנך, אמן, הערם. זאת אומרת, הצעד הראשון במעלה במסגרת היערכות אבטחת המידע הוא הגדלת אוריינות הסייבר של העובדים, עוד לפני רכישה של מוצרי הגנה.

היה די מפתיע לשמוע נציגה של חברה כמו IBM, שמתפרנסת ממכירת קופסאות ותוכנות, אומרת לכל אנשי ה–IT ומנהלי האבטחה שמולה שמה שיותר חשוב, מה שבאמת חשוב, זה לא להוציא כסף על תוכנות אלא לחנך את העובדים. מנהלי אבטחי מידע מפנימים יותר ויותר את המסר הזה: הגורם האנושי הוא הקריטי ביותר בהגנת הארגון, ולא שכבות האבטחה שהארגון מתעטף בהן.

נועה קרול
בעז נובלמן

"כשמדברים על סייבר, הסיכון השיורי, שהוא הסיכון האמיתי, הוא מכפלה של הטכנולוגיה עם הגורם האנושי. אם לא טיפלתי בגורם האנושי - הסיכון גדל", אומר אסף ויסברג, מנכ"ל ISACA, ארגון בינלאומי ללא מטרות רווח (ומלכ"ר בישראל) שבין היתר עוסק בהעלאת המודעות לסכנות סייבר ומעניק הסמכות בנושא, או כפי שויסברג מגדיר את מטרת העמותה: "לקדם את המוכנות לאיומי סייבר של מדינת ישראל". הארגון יקיים מחר כנס בנושא מוכנות הסייבר בארגונים בישראל.

הוא מסביר: "בכל תהליך של ניהול סיכונים, הגורם האנושי הוא פקטור משמעותי מאוד - זה תמיד אנשים, תהליכים, טכנולוגיה. הסייבר הוא לא איום חדש אבל יש גידול בהיקפים, ביכולת הניטור, במספר המחשבים ונקודות הקצה - בגלל הסמארטפונים. יש שינוי באינטנסיביות של מתקפות סייבר וביכולת של תוקף עם הרבה משאבים להפעיל מאמץ מרוכז יותר זול. אנחנו ממליצים להשקיע בחינוך עובדים כי לעולם אין מספיק תקציב לטפל בכל הסיכונים, ומנהל אבטחת המידע תמיד 
פועל בחסר.

"עובדים הם איום לארגון לאו דווקא כי הם עובדים גרועים", מוסיף ויסברג. "להפך. לעיתים הם רוצים להמשיך לעבוד מהבית, ובדרך הם ימצאו תמיד דרכים להתגבר על המגבלות והחסימות שמטיל עליהם מנהל המחשוב בארגון". שמענו על זה גם מעובדי בנקים שיש להם מערכות הגנה חזקות. בתחום ההגנה על שרתים שנמצאים במרתף למטה, יש לארגונים כבר 30 שנה של ניסיון וידע, ולכן המצב טוב. זו גם נקודת כשל אחת שרק למעט אנשים יש גישה אליה ולכן קל להגן. הגנה על סמארטפונים ואפליקציות ענן - היא ארץ חדשה, שמחייבת פתרון הרבה יותר רחב ומעורבות של כל העובדים. "מה שהיה טוב לפני עשר שנים, כבר לא טוב כיום", מסביר דורון סיוון, מנכ"ל Cronus Cyber Technologies, חברה בת של Madsec, "מערכות המחשוב של הארגון מבוזרות מאוד. העובד מתחבר לעבודה מכל מיני מקומות ובכל מיני דרכים. כשארגון מטורגט, אז פיירוול נותן פתרון ל–5% מהמתקפות, והאנטי וירוס תמיד מעודכן באיחור של 48 שעות".

דגים שמנים

מתקפה קלאסית בתחום הסייבר בנויה משני רכיבים: הראשון הוא "כלי הרכב" דרכו נכנס התוקף לארגון. ב–95% מהמקרים זה באמצעות דיוג (Phishing): מייל שנשלח לעובד ומפתה אותו ללחוץ על לינק או להוריד קובץ נגוע. החלק השני הוא הנוזקה עצמה, שיכולה להיות סוגים שונים של תוכנת ריגול, סוס טרויאני, תוכנה שנועדה לפגוע ברשת, לגנוב מידע וכדומה. אבל קודם התוקף צריך שהעובד יפול בפח - צריך למצוא דלת כניסה.

במסגרת דיוג קלאסי, התוקפים שולחים כמה שיותר מיילים כדי להגדיל את סיכוי ההצלחה - זו מתקפה סטטיסטית. אבל יש למתקפה הזו גם אח חורג בשם Spear Phishing, שבו התוקפים מכוונים לאנשים ספציפיים בארגון, לדגים השמנים, למשל מנהל הכספים. הם פונים אליהם עם מייל מותאם אישית. לעתים התוקפים מבלים זמן רב בלימוד היעד, דרך פרופילים בלינקדאין ופייסבוק, כדי לתפור פתיון מותאם אישית. לימוד החולשות האנושיות ושימוש בהם מכונה בעולם הסייבר 
Social Engineering.

איל בנישתי

כדי להבין בדיוק את המונח, נפגשנו עם יוסי דהאן. דהאן מתכנת מגיל צעיר, האקר, ובאחרונה פרש מתפקידו כמנהל אבטחת המידע של סניף חברת התיירות Carlson Waglit Travel בישראל, סניף פיתוח שהוקם עקב הרכישה של חברת WorldMate. דהאן היה אחראי לאבטחת המידע של כ–70 עובדים. אגב, הוא בן 22.

"האקר מנסה לחשוב על מה שלא חשבו", הוא מתאר, "מנהל מוצר שרוצה להוציא אפליקציה סלולרית לחברה, רוצה שהפרויקט ייצא מהר, שיהיה הרבה פיצ'רים ושהכל יעבוד. אבל הוא לא איש אבטחה. אני יוצא מנקודת הנחה שמפתח המובייל לא מבין באבטחת מידע ולכן אוכל למצוא באג. למשל, באחרונה גיליתי פירצה באפליקציה של יונייטד אירליינס, שבחמש שורות קוד אני מקבל את כל המידע של נוסעים בטיסות במועד קרוב של 24 שעות. אני יודע את מספר הטיסה, יעדה, איפה הוא יושב, ליד מי, באיזה גייט הוא עולה, פרטי אימייל ומספר טלפון".

מה לגבי מספר כרטיס אשראי?

יוסי דהאן

"פה בדיוק נכנס ה–Social Engineering. הפירצה לא חושפת פרטי כרטיס אשראי, אבל תאר לך שאני מרים לאותו אדם טלפון, ואומר לו שאני מחברת התעופה ואני רואה שבטיסה שלו מחר יש אפשרות לשדרג לביזנס בעלות של 10 דולרים אם הוא רק ייתן לי את פרטי כרטיס האשראי. יש לי את כל הפרטים עליו, אז אין אחד שלא יפול בפח".

בהתאם לכללי המשחק הלא כתובים של "האקרים לבנים" (WhiteHat), דהאן לא עשה שימוש לרעה בחולשה ועידכן את חברת התעופה באימייל מסודר כולל תמונות מסך וכל הראיות. החברה שלפה את הטענה המוכרת: "זה לא באג, זה פיצ'ר". במלים אחרות, ככה זה צריך להיות. גם שיחה עם מנכ"לית החברה בישראל לא עזרה. בעבר גילה דהאן חור אבטחה באתר תיירות ישראלי גדול, שטופל מיד, וגם בעיית אבטחה ענקית באתר Alipay, הפייפאל של חברת אליבאבא. בתמורה לחשיפת הבאג, קיבל דהאן סכום מגוחך של 20 דולר מאליבאבא "וגם זה בקופון, 
לא בכסף".

"Social Engineering זה כשאתה רוצה לחדור לרשת ארגונית, ואז לתפוס את המנקה בסוף היום ולתת לה 300 שקל כדי שתכניס דיסק און קי למחשב. הרוב יסכימו", מדגים דהאן. "או למשל, לחפש באתר החברה אילו משרות פנויות ולהגיש קורות חיים ל–HR, עדיף למשהו מבוקש. די מהר יקבעו איתך ראיון. כשאתה מגיע אתה אומר למזכירה: 'הגעתי לראיון אבל שכחתי להדפיס את קורות החיים, את יכולה לעזור לי? יש לי פה דיסק און קי'. רוב הסיכויים שהיא תיפול בזה, ואילו מערכות אבטחה כבר יהיו על המחשב של המזכירה?". ככה חושבים האקרים, על חולשות אנוש שיוצרות חולשות אבטחה. לכן, הוא אומר, "ארגונים צריכים להעביר הסברות והדרכות לכל הדרגים, מהמנכ"ל ועד המנקה". יש הרבה ארגונים שכבר עושים הדרכות סייבר סדירות לעובדים, יש גם הרבה שלא.

כמו הרעים

אז שם המשחק בעולם כזה הוא הגברת מודעות של העובדים לאיומים. שלא יפלו בפח. אבל איך עושים את זה? אפשר לארגן יום עיון ולעייף את העובדים עם מצגת משמימה, אבל זה לא יעיל. חברת IronScales היא חברת סטארט־אפ קטנה מאוד, ארבעה עובדים, שעוסקת בדיוק בזה: אימון עובדים מול תרחישי סייבר. ובאימון כמו באימון, הוא חייב להיות הכי קרוב למציאות - לאיך 
שהאקרים תוקפים.

"We do what the bad guys do”, אומר מנכ”ל IronScales, איל בנישתי. "אנחנו מתמקדים במתקפות דיוג שהן 95% מהמתקפות בארגון. אנחנו יודעים למשל, שארגון כמו JP מורגן מוציא בשנה כ–200 מיליון דולר על מוצרי אבטחת מידע, אבל בסוף גם הם נפלו קורבן למתקפת דיוג. אבטחה עושים בשכבות רבות, אבל יש שכבה שאף אחד לא טיפל בה מעולם - האדם. ארגון יכול להשקיע כמה עשרות אלפי דולרים בחינוך עובדים ולצמצם את החור משמעותית. מהניסיון שצברנו, כיום 40%–60% מהעובדים נופלים בפח של התקפות דיוג, ואגב, המנכ"ל והסמנכ"לים הם הראשונים ליפול, תמיד".

בנישתי טוען שהכל טמון בחינוך: "יש שתי בעיות. ראשית, העובדים. לא לימדו אותם מעולם, לא ביסודי, לא בתיכון, לא בצבא ובטח שלא במקום העבודה, איך להתנהל. הבעיה השנייה היא שמנהל האבטחה בארגון עיוור לחלוטין לרמת המודעות של העובדים שלו והוא גם לא יודע לזהות את העובדים הבעיתיים, ואם הוא רק ידע הוא יכול היה לגדר את הסיכון". הנקודה הזאת של העובדים הבעייתיים תחזור שוב ושוב עם מומחי סייבר.

אז איך מאמנים עובדים נגד מתקפות סייבר?

"אנחנו באים לארגון ומשגרים מתקפה מדומה. זה קמפיין גדול של דיוג, עם כל מיני תרחישים. כאילו המנכ"ל שיתף לך מצגת בדרופבוקס או כאילו אתה מתבקש להוריד עדכון תוכנה לפלאש. המיילים שמגיעים ודפי הנחיתה נראים אחד לאחד כמו המקוריים. אנחנו בודקים איזה עובד נפל בפח. במקרה שעובד לחץ על הלינק, הוא מקבל הודעה ידידותית, מצגת הסבר והזמנה למשחק בנושא דיוג. נלמד אותו איך לקרוא URL מקורי או מזויף, איך לקרוא כתובת אימייל, איך לזהות אתר אותנטי וכדומה. כל החוויה משחקית. אם אנחנו נדרשים, אנחנו תופרים מתקפה גם לדרגים הבכירים באמצעות Social Engineering".

IronScales (מילולית: קשקשי ברזל, "כי כל עובד בארגון הוא קשקש בשיריון") מציגה גישה חדשה לאימון עובדים. עד כה ארגונים רציניים שרצו לבדוק את חוסן הסייבר שלהם היו שוכרים חברות האקרים (כמו מגלן או Hacktics Labs) שמבצעות מה שמכונה penetration test, או בלינגו של ההאקרים pentest - חדירת דמה לארגון. אבל בדיקות מסוג זה בוחנות רק את חוזק ההגנות, ניהול ההרשאות וחושפות את חורי האבטחה, הן לא נוגעות לעובד בקצה.

ל–IronScales יש תוכנית מה לעשות גם אחרי הקמפיין. "באמצעות הקמפיין והמבחן אנחנו יודעים לזהות לא רק מי רע, אלא גם מי טוב מאוד. עובד כזה הופך שגריר, זרועו הארוכה של מנהל אבטחת המידע בארגון. בנוסף, ועל זה יש לנו בקשת פטנט, אנחנו מוסיפים כפתור אדום באאוטלוק שמאפשר לעובדים לדווח על מייל שנראה כמו דיוג, ואז אם מספר עובדים מדווחים נוצר אפקט של חוכמת ההמונים - צבא אנטי פישינג בארגון, וכך ניתן לזהות מתקפה חדשה. את המידע הזה אנחנו מעבירים ישירות למערכת הפיירוול של הארגון, אוטומטית, וגם חולקים עם כל הלקוחות שלנו. המוח האנושי חכם יותר מכל אלגוריתמיקה". IronScales נוסדה ב–2013, יש לה 20 לקוחות גדולים, ומעסיקה ארבעה עובדים בלבד (בדרך להכפיל את כוח האדם). החברה רווחית ובאחרונה סיימה גיוס סיד (Seed).

זהירות מהפריווליגים

אבל אמרנו שיש עובדים ויש עובדים. חברות אבטחת מידע מזהירות מפני מה שמכונה "חשבונות פריווילגיים". עובדים בארגון שחשופים למידע רגיש, שיש להם הרשאות גבוהות וכדומה. עליהם צריך לשמור במיוחד. סייבר ארק הישראלית, ערכה באחרונה סקר בקרב כ–700 מנכ"לים וסמנכ"לים לגבי אבטחת מידע והחששות שלהם. זו תמצית הממצאים שעלו מהסקר: 48% מהמנהלים מסרו שהרגלים רעים של עובדים הם הגורם המרכזי המאפשר פריצות למאגרי נתונים.

61% ציינו שהשתלטות על חשבון פרווילגי (בעל הרשאה גבוהה) היא השלב הקשה ביותר לטיפול במתקפת סייבר. בדו"ח שהוציא סייבר ארק סוכם: "תוקפי סייבר ממשיכים לפתח טקטיקות כדי לכוון, לגנוב ולנצל לרעה חשבונות פריווילגיים - שהם המפתח לנכסי המידע הרגישים ובעלי הערך הרב ביותר. בעוד ארגונים רבים מתמקדים באופן מיוחד על הגנה כנגד מתקפות היקפיות כמו דיוג, הרי שמתקפות שמתחילות מתוך הארגון הן בעלות פוטנציאל לנזק הגדול ביותר".

חברת Cloudlock האמריקאית־ישראלית בדקה נתונים אמתיים של לקוחותיה והגיעה לממצאים דומים, אם כי מצומצמים עוד יותר. נועה קרול כתר, מנהלת פעילות השיווק והמכירות של החברה בישראל פירטה: "אנחנו מתעסקים בהגנת על מחשוב ענן, כמו גוגל Apps, אופיס 365, סלייספורס, אבל גם תשתיות ענן כמו Azure ואמאזון. מכיוון שאנחנו מתממשקים לענן, אנחנו מנטרים הכל, לא משנה אם המשתמש ניגש מהמחשב או מהמובייל. החשיבה שלנו היא לתת כלים להגן על הפעילות אבל בלי להדוף את המשתמש ובלי לחסום אותו - לאמץ את הענן. אנחנו עושים את זה באמצעות חינוך העובדים. אם למשל עובד מעלה לענן מסמך שיש בו מספר כרטיס אשראי - אנחנו מקפיצים התרעה: האם באמת התכוונת לעשות את זה? האם אתה רוצה להצפין את המסמך קודם לכן? או אם עובד מנסה לשתף קובץ למספר גדול של עובדים אנחנו מתריעים ושואלים: האם אתה מודע לרשימת התפוצה?"

לגבי המחקר, קרול כתר הסבירה: "בסך הכל ניתחנו מיליארד קבצים והגענו למסקנה כי 1% בלבד מבין העובדים בארגון הוא שחושף אותו ל–75% מפגיעות הסייבר. מתברר כי אותו 1% מהמשתמשים הוא בעלים (file owner) של 57% מהקבצים בארגון; הם יוצרים 81% משיתופי הקבצים (file shares), וכן אחראים ל–73% מהקבצים שחשופים יתר על המידה (excessive share). בנוסף, אותו 1% מהמשתמשים אחראי על 62% מההתקנות של אפליקציות חיצוניות. אלה אפליקציות שלעתים מבקשות הרשאות נגישות למידע רגיש. בעובדים האלה הארגון צריך להתמקד". Cloudlock מעסיקה 150 עובדים, וגייסה עד היום 40 מיליון דולר.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#