יריב דולב, סייבר ארק: "צריך לצאת מנקודת הנחה שהתוקף כבר נמצא בארגון"

"ארגונים נדרשים לשנות את תפיסת האבטחה שלהם. עליהם לצאת מנקודת הנחה שהתוקף כבר נמצא בארגון וכעת עליהם לצמצם את הנזק שהוא יוכל לעשות", כך אמר יריב דולב, מנהל שירותים מקצועיים בסייבר ארק.

דולב דיבר בפתח כנס GOVSEC2013, שנערך היום (ה'), בהפקת אנשים ומחשבים, במרכז הכנסים אבניו שבקריית שדה התעופה. השתתפו בו מאות מקצועני אבטחת מידע. מנחה הכנס היה אבי וייסמן, מנכ"ל שיא סקיוריטי.

בדבריו תיאר דולב את המתקפה אותה ביצעו באחרונה האקרים סיניים נגד מערכת העיתון ניו-יורק טיימס (New York Times) לאחר שזה פרסם כתבת תחקיר שתיארה שחיתות של ראש ממשלת סין ושל בני משפחתו. "בצעד יוצא דופן, העיתון פרסם תחקיר גם על התקיפה", ציין. הוא אמר שהתוקפים השתלטו על שרתים באוניברסיטאות בארצות הברית, על מנת להסתיר את מקורם וזהותם, ומשם ביצעו מתקפת פישינג שמטרתה להשיג רשימת כתובות של בעלי תפקידים במערכת העיתון. או אז הם פנו לעובדי העיתון ולאחר שמישהו מהם פתח מייל בו הם טמנו נוזקה, הצליחו התוקפים להשתלט ולגרום נזק לחלק מהעובדים.

הוא הוסיף ש-"עלינו לזכור שהתוקף מחפש הרשאות פריבילגיות, עם משתמשים פריבילגית. פופולרי להשתלט על מסד נתונים, כי למנהל בסיסי הנתונים (DBA) יהיו הרבה הרשאות. לאחר שיבצע זאת, התוקף יקליט את סיסמת המנהל ולאחר מכן יעתיק אותה". דולב ציין, כי "משתמשים תוקפים סיסמאות אפליקטיביות בקובצי תצורה, כי יש להם הרשאות רבות".

"מה שנדרש לעשות הוא להטמיע מערכות לניהול הרשאות פריבילגיות בארגון", אמר. דולב תיאר מערכת שכזו, פרי פיתוח של סייבר ארק. "המערכת שלנו שולטת בגישה הפריבילגית בארגון, מנטרת ומזהה חריגות ובנוסף, מאפשרת תגובה בצורת חסימה", ציין.

הוא סיכם באמרו ש-"אין פתרונות קסם להתגוננות מפני תוקפים קיברנטיים".