זה קרה בסתיו 2023. Okta Security, בעצמה חברת אבטחת מידע, חשפה אירוע אבטחה חמור שהתרחש אצלה בבית והשפיע על רבים מלקוחותיה ברחבי העולם. הפריצה אליה נעשתה באופן עקיף, דרך ספק שהעניק לה שירותי תמיכה טכנית - ולשם כך הייתה ברשותו רשימה מפורטת של לקוחות והרשאות. המחיר הכבד ששולם הוא לקח חשוב לארגונים באשר הם - אם המובילה הגלובלית מסן פרנסיסקו בניהול זהויות וגישה למידע נפגעה, ולא בפעם הראשונה, דרך שרשרת האספקה, אזי כולם חשופים.
תקיפות של שרשת האספקה (Supply chain), על בסיס יצרני וספקי צד שלישי, אחראיות כיום לכ-20% מדליפות המידע. בשנה שעברה תועדו 245 אלף תקיפות מהסוג ובהן אירועי Log4J, SolarWinds ו-Kaseya. הנזק המצטבר נאמד ב-46 מיליארד דולר, ובשנה הנוכחית הוא צפוי לטפס ל-60 מיליארד. בתוך 12 חודשים, עד אפריל 23', נפגעו בתקיפות דרך צד שלישי 61% מהעסקים בארה"ב, כאשר 98% מהארגונים ציינו שלפחות אחד מיצרני התוכנות המשמשות אותם חווה תקיפה בשנתיים האחרונות. והנה נתון מדהים לא פחות: שני שלישים מהחברות, על פי מחקר של מכון פונימון (Ponemon), אינן סומכות על ספקי צד שלישי שיתריעו בפניהן על פריצה משמעותית.
מבחינת הארגונים, שרשרת האספקה נותרת ברוב המקרים נקודת עיוורון. יש לכך שתי סיבות הקשורות זו לזו: ראשית, הגורם האחראי ברוב הארגונים על מערכות, תוכנות וכלים מבית Third party vendor הוא זה שמאשר אותם מלכתחילה - ה-GRC (אחראי ממשל, ניהול סיכונים וציות). אלא שלאותו צוות Compliance אין יכולת לעקוב אחר מודול חיצוני כלשהו בזמן אמת, לא כל שכן להניף דגל אדום כאשר הוא מתחיל לסכן את הארגון. על המשימה האחרונה אמון כמובן ה-SOC. אלא שאנשיו - וזו הסיבה השנייה לטיפול הלקוי - נעדרים אמצעים לניטור המערכות הללו ולזיהוי החולשות בהן. בהיעדר האמצעים הנדרשים, הם פונים - ובכן - ל-GRC.
אז מה עושים?
הפתרון מצריך שילוב של מערכות פיזיות עם מחקר מודיעיני. מחקר שיתבסס על איסוף מודיעין ממגוון רחב של מקורות, גלויים ושאינם גלויים (מהרשת האפלה והעמוקה - טלגרם, פורומים ועוד), ויגבש תמונה מהימנה ביחס לאיומים הנשקפים לארגון הספציפי.
הנקודה האחרונה היא קריטית: תמונת המודיעין חייבת להיות מגובה בקונטקסט ארגוני, ולנסות להשיב לשאלות הבאות: מיהו התוקף? איך ומתי צפויה התקיפה להתבצע? מהיכן תגיע? ומה במשטח התקיפה ייפגע? ללא התייחסות לשאלות הללו, ללא יכולות פילטור וסינון, כל החולשות שבעולם אינן אלא רעשי רקע. לא משהו שניתן לפעול על פיו או לבנות סביבו הגנה ראויה.
מודיעין מקיף על איומים בסייבר חייב להגיע מפריזמה רחבה מאוד, הן של משטח התקיפה הארגוני והן ביחס למערכות צד שלישי. בשני המקרים התמונה היא דינמית ומורכבת ומחייבת ניטור בר-הֶקְשֶר ועם המלצות לפעולה בזמן אמת. מודיעין כזה נועד לאפשר את הפעילות הארגונית השוטפת, להגביר את רמת האבטחה, לאפשר היערכות לתרחישים ריאליים (עם תיעדוף על פי הסתברות ההתממשות ופוטנציאל הנזק) ולמקד את ה-SOC בחולשות הרלוונטיות באשר הן. מודול כזה, אשר עונה על המאפיינים והדרישות שצוינו כאן, הוכנס לאחרונה בפלטפורמת המודיעין של סייברסיקסגיל (Cybersixgill), כמשלים לפתרון שלנו לניהול משטח התקיפה (ASM).
בלי מודיעין על הסיכונים הנשקפים לשרשרת האספקה ועל האימפקט האפשרי שלהם על הארגון, צוותי הגנת הסייבר חסרים כלי חיוני וההשלכות עלולות להיות הרות אסון.
הכותב הוא סמנכ"ל המוצרים בסייברסיקסגיל, פלטפורמת מודיעין איומי הסייבר בדארקנט
