HandsOn-10

7 דברים שלמדנו מפריצות המידע הגדולות ביותר שאירעו בשנת 2020  

איזו שנה הייתה 2020! מלבד נגיף הקורונה שהגיע לכל פינה בעולם, 2020 הייתה שנת שיא במספר אירועי אבטחת מידע וברמת התחכום (ראו בהמשך SolarWinds < Sunburst).

ובכן, תחילת שנה היא הזדמנות מצוינת להביט לאחור על השנה שחלפה ולשאול מה למדנו מפריצות אבטחת מידע המשמעותיות ביותר שהתרחשו בשנת 2020

 (לינק לרשימת האירועים הגדולים לשנת 2020). להלן סקירה מהירה אודות חלק מהאירועים הבולטים בשנת 2020: 300,000 משתמשים נפגעו מקמפיין חטיפת חשבונות בחברת המשחקים Nintendo. יותר מ-500,000 חשבונות Zoom נפרצו והוצעו למכירה ב- Darknet. פירצה בחברת התעופה EasyJet חשפה נתונים אישיים של 9 מיליון לקוחות, כולל מידע פיננסי. מהנדס אבטחה בחברת Cisco פרץ למעסיק שלו וגרם נזקים בהיקף 2.4 מיליון דולר. הרשת החברתית Wattpad נפגעה מפרצת מידע שחשפה כ-271 מיליון רשומות. חשבונות ה-Twitter של כמה מהדמויות הידועות ביותר בעולם נחשפו על ידי האקרים שלאחר מכן שימשו להתקפות פישינג ממוקדות (Spear Phishing) להונאות ביטקוין. קבוצת האקרים ShinyHunters הדליפה את מסד הנתונים Mashable.com, וחשפה נתונים רבים. האקרים הכניסו קוד זדוני לתוך מנגנון עדכוני התוכנה של אפליקציית Orion מביתSolarWinds . התקפה מתוחכמת על שרשרת האספקה שהדביקה 18,000 לקוחות שהתקינו את העדכון הנגוע. התקפת Sunburst הציגה רמת תחכום גבוהה במיוחד עם השפעה עצומה, שעדיין הולכת ומתבררת.



אז מה למדנו?  

  • השאלה היא לא האם, אלא מתי וכמה פעמים ארגון SMB יותקף.
  • מחקרים מצאו כי 66% מארגוני SMB חוו לפחות מתקפת סייבר אחת ב-12 החודשים האחרונים.
  • יתר על כן ארגוני SMB רבים הותקפו אפילו מבלי להיות מודעים לכך. המשמעות, ארגון SMB נדרש להיערך ולהתכונן להתקפה.
    ארגוני SMB וארגונים בכלל, צריכים להיערך בצורה מקיפה לתגובה להתקפות סייבר והתאוששות מאסון (DR).
    ללא תוכניות כנ"ל ההשפעה של מתקפת סייבר עשויה להיות קטסטרופלית.
    בשנת 2020, העלות הממוצעת של פריצה וחשיפת נתונים בארגונים קטנים הייתה $2.35 מיליון דולר.

  • סיווג, ניטור ובקרה על חשבונות עם הרשאות גבוהות - הנו בגדר חובה.
  • 80% מאירועי הפריצה ממנפים הרשאות גישה גבוהות. ארגוני SMB רבים פגיעים באופן מדאיג בתחום זה. סקר שנערך על ידי חברת אבטחת הסייבר Varonis מצא כי:

 רק 5% מהתיקיות בשרתי הארגונים היו מוגנות כראוי. ל-51% מהחברות היו יותר מ-100,000 ספריות חשופות בפני כל עובד. 17% מכל הקבצים הרגישים בארגון היו נגישים לכל העובדים. ב-60% מהחברות התגלו יותר מ-500 חשבונות עם סיסמאות שלא פג תוקפן (Password never expire). 

  • ניהול פגיעות חייב להיות אקטיבי - לא פסיבי.
  • ביצוע עדכוני תוכנה שוטפים הנה ללא ספק פעולה קריטית, אולם ארגוני SMB אינם יכולים להסתפק בכך. הם חייבים להיות פרואקטיביים, להעריך, לאתר ולטפל בכל הסיכונים והאיומים הפוטנציאליים, כולל אלו שיכולים לצוץ במהירות.
  • כחלק מתוכנית ניהול הפגיעות, על ארגוני SMB לנתח את החולשות והסיכונים הקיימים בעבודה עם קבלנים וספקים חיצוניים. מספר פריצות בפרופיל גבוה בשנת 2020 כללו צדדים שלישיים.
  • כל העובדים חייבים לעבור הדרכת מודעות והתנהגות באבטחת סייבר.
  • אחד הנושאים המטרידים ביותר של פריצות המידע הגדולות ביותר ב-2020 הוא שרבים מהם היו יכולים להימנע ע"י הדרכה נכונה לנושאי אבטחת מידע.
  • מחקרים מהשנים האחרונות מצאו כי 47% מכל הפריצות לנתונים נגרמו כתוצאה מרשלנות של עובדים.
  • זכרו – משתמשי הקצה יהיו תמיד החולייה החלשה (ובהדרכה נכונה – החולייה החזקה) בשרשרת הגנת הסייבר.
  •  
  • איומים פנימיים הם בעיה גדלה והולכת 
  • אחת המגמות המדאיגות מפריצות המידע הגדולות בשנת 2020 היא מספר ההתקפות שבהן מעורבים משתמשים עוינים מתוך הארגון (ראו Cisco). למרות זאת סקר שנערך ב- 2020 מצא כי רק 17% מארגוני ה- SMB חושבים כי התגברות האיומים הפנימיים תהווה סיכון משמעותי עבורם בשלוש השנים הקרובות.
  • טיפול אפקטיבי במגמה זו כרוכה בשילוב אמצעים ובקרות טכניים ולא טכניים כמו ניהול ובקרת הרשאות קפדנית, שימוש באמצעי אימות חזק MFA, ביצוע בדיקות רקע למועמדים לעבודה בארגון, יישום עקרונות אבטחת מידע כמו: Segregation of Duties, Least Privilege, Zero Trust.

  • היעזרו במומחים / שירותים מנוהלים 
  • ככלל בארגוני SMB לא מועסקים מומחי אבטחת מידע וסייבר, יחד עם זאת הם נדרשים לתכנן, להקים ולנטר את מכלול האמצעים והבקרות הטכניות והארגוניות הנדרשות לסיכול התקפות ופריצות מידע.
  • המחסור העצום באנשי אבטחת מידע וסייבר ככל הנראה לא ישתפר בשנה הקרובה, לכן, ארגוני SMB צריכים לשתף פעולה עם חברות ייעוץ, אינטגרציה וספקי שירותים מנוהלים באבטחת מידע וסייבר לטובת גישה למומחים וקבלת שירותי ייעוץ ובקרה בעלות סבירה.

  • עובדים מרוחקים הם מטרה עיקרית
  • מחקר של חברת Malwarebytes מצא כי 20% מהעסקים סבלו מפרצה עקב עובדים מרוחקים במהלך המגפה. האקרים לעולם ינסו לתקוף נקודת קצה כמקפצה לתקיפת הרשת כולה. הגידול המסיבי במספר העובדים המרוחקים יוצר אתגר של ממש לארגוני SMB.
  • עניין נוסף הוא השימוש ברשתות וירטואליות פרטיות (VPN), המייצר צווארי בקבוק ברוחבי פס המאטים את העבודה ומתסכלים את משתמשי הקצה אשר פעמים רבות עושים שימוש במחשבים בייתים ללא עדכונים וללא אמצעי הגנה הולמים לטובת חיבור למקום העבודה.
  • על ארגוני SMB לשקול ליישם את תפיסת ה- Zero Trust תוך אימות של כל פעולה ומכשיר. (הגיליון הקודם של חברת פריימסק עסק בהרחבה בנושא).
  • לסיכום:
  • "אלה שאינם לומדים מההיסטוריה נידונים לחיות אותה שוב" - ארגונים בכלל וארגוני SMB בפרט הם יעד מועדף על האקרים.
  • יישום הלקחים עשוי לסייע לארגון להימנע מהעלויות וההשלכות של מתקפת סייבר בשנת 2021.