סיכוני סייבר אינם כבר נחלת סרטי מדע בדיוני בלבד, כל יום מתפרסמות ידיעות על מתקפות סייבר מתוחכמות שמבוצעות כנגד מדינות, ארגונים פרטיים וציבוריים, רשתות ציבוריות ופרטיות, תשתיות לאומיות ועוד. תוצאות מתקפות אלה עלולות להיות הרסניות עד כדי הפסקת פעילות של המותקף, אובדן הכנסות, פגיעה במוניטין, הוצאות משפטיות ואף פגיעה בחיי אדם.
מתקפת סייבר הינה מתקפה זדונית המבוצעת דרך מרחב קיברנטי שמכוונת לצורך שיבוש, השבתה, הרס, שליטה לא מורשית על סביבות מחשוב, משאבי מחשוב, תשתיות מחשוב או לצורך פגיעה בשלמות המידע או חיסיון המידע. מתקפה יכולה להיות פאסיבית למשל ציטוט לתעבורה רגישה או אקטיבית ומקורה יכול להיות איום פנימי או איום חיצוני. במתקפת סייבר גורמים זדוניים מנצלים פגיעות של נכס מידע מסוים לאיום מסוים לצורך ביצוע מתקפה.
דוגמאות לגורמים זדוניים: מדינות – מדינות מפתחות יכולות התקפיות והגנתיות כחלק (גדל והולך) מיכולות הפעלת הכוח שלהן; גורמי טרור – בשל "מחיר הכניסה" הנמוך ויחסי עלות נזק נמוכים יכולים גורמי טרור לנצל את המרחב הקיברנטי לביצוע התקפות טרור סייבר; גורמים פליליים – כאן בדומה לתקיפות הטרור הכלים דומים אולם המוטיבציה הנה בעיקר פלילית – עסקית. בחלק מהמקרים תתכן פעילות פלילית גם על ידי גורמים בתוך הארגון למשל עובדים ממורמרים; גורמים אנרכיסטיים – תקיפות המבוצעות על ידי יחידים או קבוצות מתוך כוונה להביך, להעביר מסר פוליטי ולשבש את מרקם החיים המדינתי שלא למטרה עסקית- פלילית;
מדינת ישראל עקב סיבות ידועות הינה יעד פופולארי למתקפות סייבר. יחד עם זאת, עד כה הנושא לא קבל טיפול רוחבי מספק ברמת המדינה, לרבות חקיקת חוקים והנחיות ספציפיים. כיום פועלים מספר גופים מנחים כאשר בסקטור הפרטי מדובר ברגולאטורים כמו הפיקוח על הבנקים והפיקוח על שוק ההון, הרשות למשפט וטכנולוגיה בהיבטי חוק הגנת הפרטיות (קיימת טיוטת תקנות מפורטת) וחוק המחשבים ובסקטור הציבורי השב"כ ואגף התקשוב בצה"ל. לאחרונה הוחלט על הקמת מטה סייבר לאומי שאמור להיות גוף מנחה ברמת המדינה, אך הנושא עדיין נמצא בהתהוות וטרם הוגדר תקציב, סמכויות ותפקידים של המטה באופן פורמאלי.
ברצוננו במאמר זה להציג מספר בקרות נבחרות כנגד סוגי מתקפות סייבר נפוצות שאפשר ליישם בכל ארגון על מנת לצמצם סיכונים אלה. יש לציין כי הטמעת כל הבקרות או חלקן צריכה להתבצע בהתאם לתוצאות תהליך הערכת סיכוני סייבר בארגון, קביעת תיאבון הסיכון העסקי, דרישות רגולציה וההחלטה הסופית צריכה להתקבל על ידי הנהלת הארגון הבכירה.
אבטחת מידע באפליקציות אינטרנט ואחרות
גורמים זדוניים מנצלים פרצות אבטחה שמקורן בעיצוב ופיתוח לא מאובטח של תוכנות בפיתוח עצמי והן של תוכנות מדף לצורך ביצוע מתקפה. דוגמאות לסוגי התקפות נפוצות שאירעו לאחרונה הינן: Buffer overflows, SQL injection, Cross-site scripting ,Directory traversal, Cross-site request forgery File Inclusion, Remote/Local ועוד. הארגון נדרש להטמיע כלים ממוכנים ותהליך מובנה לעיצוב ופיתוח קוד תוכנה באופן מאובטח, ביצוע בדיקות איכות תוכנה בהיבטי אבטחת מידע, ושימוש באמצעי הגנה אקטיביים כנגד מתקפות אפליקטיביות כמו WEB Application Firewalls.
תוכנית תגובה לאירועי אבטחת מידע
נזק רב נגרם לארגונים בהם לא הייתה תוכנית תגובה אפקטיבית לאירועי אבטחת מידע. ללא תוכנית תגובה אפקטיבית הארגון אף לא יכול לזהות אירוע של מתקפה וחדירה וגם אם מתקפה מתגלית הארגון לא יבצע נהלים מתאימים כדי להכיל/לצמצם את הנזק ולהתאושש באופן מאובטח. הארגון נדרש להכין ולהטמיע תוכנית תגובה לאירועי אבטחה, להטמיע כלים ממוכנים לניטור ואיתור אירועי אבטחה ( IDS/IPS), להקים צוות תגובה רב תחומי, להקים ערוצי דיווח על פעילות חריגה, לבצע הדרכות מודעות לעובדים ולבצע תרגולים.
כמו כן נדרש לפעול באופן פרו אקטיבי על ידי ביצוע מעקב אחרי מתקפות חדשות שמתגלות ולהיערך להן מראש. לשם כך ניתן להיעזר בשרותי מידע על איומי סייבר מגוונים הזמינים ברשת האינטרנט שחלקם אף מופעלים על ידי מדינות. לדוגמה www.us-cert.gov, nvd.nist.gov, http://seclists.org, www.securityfocus.com.
הערכת כישורים ומודעות בהיבטי אבטחת מידע
ידוע כי החוליה החלשה באבטחת מידע הינה הגורם האנושי. תרגילי הנדסה חברתית משמשים גורמים זדוניים להוציא ממשתמשים מידע רגיש או לגרום להם לבצע פעולות שמקדמות מטרות זדוניות שלהם. גם פעילות בתום לב של משתמשים שלא מודעים לסיכונים עלולה לבטל מערכי אבטחה משוכללים הקיימים בארגון. הארגון נדרש לפתח תוכנית הדרכות לשיפור מודעות לסיכוני אבטחת מידע וקיום נהלי אבטחת מידע בארגון. הארגון גם נדרש לבחון באופן שוטף מודעות העובדים/ספקים וקיום נהלי אבטחת מידע באמצעות ביקורות פתע, מבדקי ידע, ניסיונות לביצוע סימולציות של הנדסה חברתית כמו שליחת דוא"ל ובחינת תגובת העובדים.
ביצוע מבדקי חדירה מבוקרים
ארגונים רבים אכן מיישמים בקרות אבטחה שונות אך ידוע כי ללא ביצוע תרגולות לא ניתן לדעת אם אכן בקרות אלה אפקטיביות ואם לא פספסנו נקודות מסוימות. מבדק חדירה מבוקר הינו תהליך במסגרתו מבוצעת סימולציה של מתקפה אמיתית (תוך תיחום ומגבלות) על ידי גורם מקצועי וחיצוני שהוכשר לכך ובמסגרת מבדק חדירה ניתן לבחון עמידות מערכי אבטחה המיושמים בארגון, לאתר פרצות אבטחה סמויות ולבחון אפקטיביות מנגנונים לאיתור מתקפות אלה. הארגון נדרש לבצע מבדקי חדירה תקופתיים הן מרשת האינטרנט והן ברשת הפנימית. המבדקים צריכים להתבצע ברמת תשתיות, מערכות הפעלה, בסיסי נתונים, חומרה, ברמה אפליקטיבית וכן לבחון היבטי אבטחת מידע פיזית ומודעות עובדים כנגד ניסיונות הנדסה חברתית.
ניהול מלאי של התקנים מורשים ולא מורשים ברשתות הארגון
גורמים זדוניים מפעילים סריקות אקטיביות ברשת האינטרנט לאיתור התקנים לא מאובטחים כדי לנצל אותם לביצוע חדירה. הארגון נדרש להטמיע כלים ממוכנים ותהליך עבודה מובנה למיפוי, ניטור אקטיבי של התקנים ברשת ואיתור התקנים שיכולים להוות סיכון פוטנציאלי ונקיטת צעדים לטיפול בחשיפה.
ניהול מלאי תוכנות מורשות ולא מורשות במערכות הארגון
גורמים זדוניים מפעילים סריקות אקטיביות ברשת האינטרנט לאיתור תוכנות לא מאובטחות כדי לנצל אותן לביצוע חדירה. הארגון נדרש להטמיע כלים ממוכנים ותהליך עבודה מובנה למיפוי, ניטור אקטיבי אחרי כלל התוכנות ואיתור תוכנות מותקנות שיכולות להוות סיכון פוטנציאלי ונקיטת צעדים לטיפול בחשיפה.
ניהול קונפיגורציה מאובטחת/מוקשחת של תוכנה וחומרה בארגון
גורמים זדוניים מפעילים סריקות אקטיביות ברשת האינטרנט לאיתור קונפיגורציות לא מאובטחות של תוכנה וחומרה כדי לנצל אותן לביצוע חדירה. הארגון נדרש להטמיע כלים ממוכנים ותהליך עבודה מובנה בשלבים השונים של חיי מערכות מידע לרבות פיתוח, הטמעה, התקנה ותחזוקה כדי לוודא כי תוכנה וחומרה בארגון כוללים קונפיגורציה מאובטחת ועמידה בפני מתקפות וגם לבצע ניטור אקטיבי לזיהוי קונפיגורציות לא מאובטחות שיכולות להוות סיכון פוטנציאלי ונקיטת צעדים לטיפול בחשיפה.
תהליך רציף להערכת פגיעות של מערכות וביצוע פעולות תיקון
גורמים זדוניים מנצלים פרצות אבטחה חדשות שמתגלות כל הזמן לצורך ביצוע ניסיונות חדירה תוך ניצול חלון הזמן בו מערכות הארגון טרם עודכנו וחשופות למתקפות. הארגון נדרש להטמיע כלים ממוכנים ותהליך לניטור אקטיבי של פגיעות המערכות וביצוע פעולות תיקון (רצוי אוטומטיות) כדי לצמצם את חלון החשיפה למינימום האפשרי. בין היתר ניתן להריץ כלים מקצועיים לסריקה אוטומטית מרשת אינטרנט וברשת הפנימית לאיתור פרצות אבטחה חדשות ולהטמיע כלים להפצה והתקנה אוטומטית של עדכוני אבטחה ברמת מערכת הפעלה וגם ברמת אפליקציות שונות.
מניעת אובדן/זליגת מידע
אחת מהתוצאות האפשריות של ניסיון פריצה מוצלח הינו זליגת מידע רגיש, דבר שיכול להוות פגיעה אנושה בארגון שפעילותו מבוססת על קניין רוחני/סודות מסחריים, פגיעה במוניטין,לגרום להשלכות משפטיות למשל אם מדובר במידע אישי שזלג. בשנים אחרונות בוצעה סדרה של מתקפות כנגד ארגונים ממשלתיים וספקיהם ובין היתר DOD אמריקאית. במקרים רבים הקורבנות לא היו מודעים לכך שכמויות מידע עצומות הועברו בערוצים נסתרים מתוך הרשתות הפנימיות למיקומים שונים ברשת האינטרנט. הארגון נדרש בשלב ראשון למפות ולסווג מידע מבחינת רגישות הנמצא בבעלותו (כולל מידע המנוהל במיקור חוץ עבורו). הארגון נדרש להטמיע בקרות ממוכנות וידניות למניעה וגילוי של אובדן/זליגת מידע במצבים השונים (אחסון, תעבורה, עיבוד) בזדון או בתום לב בהתבסס על מדיניות, סיווג מידע, גילוי אקטיבי של מידע, ניטור ונתיב ביקורת.
לסיכום אנחנו נמצאים במלחמת סייבר מתמדת כאשר לגורמים זדוניים קיימת מוטיבציה, האמצעים והזדמנויות להמשיך לפגוע מסיבות שונות ומשונות. סיכוני סייבר אמורים להיכלל בתוכנית ניהול סיכונים כוללת של ארגון ולקבל משקל ראוי והתייחסות ראויה בכל הדרגים.
הירשם לניוזלטר
Please fill out the following form to access the download.