מחקר: 90% מהארגונים מאפשרים לגורמי צד ג' גישה למערכות קריטיות

90% מהארגונים מאפשרים לגורמים חיצוניים, צד ג', גישה למערכות הקריטיות שלהם. מתוכם, ל-64% יש עד 100 משתמשים שהם ספקי צד שלישי ול-26% יש יותר מ-100 משתמשים שהם ספקי צד שלישי, כך עולה ממחקר חדש שערכה סייברארק.

על פי ענקית האבטחה הישראלית, "התחברות של ספקים וגורמי צד שלישי מרחוק לרשת הארגונית היא סוגיה המטרידה מאוד כיום מנהלי אבטחה בכל העולם. אותם ספקים ממלאים תפקיד מרכזי בתחזוקת תשתית המחשוב המורכבת והמבוזרת של ארגונים מודרניים. כמעט לכל ארגון כיום יש מגוון של ספקי צד שלישי שיש להם גישה לרשת הארגונית – לצורכי תחזוקה, תמיכה במערכות פנימיות ובמשאבים קריטיים ועוד".

VPN – טכנולוגיה לא מספקת. צילום: BigStock

לפי המחקר, 72% מהארגונים רואים בגישת צד שלישי אחד מעשרת סיכוני האבטחה המובילים שלהם. המשיבים לסקר הביעו חשש לפיו גישת צד שלישי, שאינה מאובטחת כראוי – חושפת אותם למתקפות נוזקה, גניבה ואובדן של מידע, ופריצה למערכות. עוד עולה מהמחקר, כי 86% מהארגונים משתמשים בטכנולוגיית VPN, כדי לספק גישה לגורמים מבחוץ, אך 89% מהם אמרו כי הם אינם מרוצים מהיכולת של הרשת לאבטח את החיבור. הם הצביעו על שני סוגי בעיות: טכנית – פתיחה והסרה של הרשאות גישה מרחוק; והיעדר נראות של הפעילות ברשת, משמע – חברות לא תמיד מודעות למה שספקי צד שלישי עושים ברגע שהם מתחברים לרשת.

"VPN", ציינו בסייברארק, "היא טכנולוגיה ישנה, משנת 1996, שאינה מספקת הגנה לגישה פריבילגית (לחשבונות חזקים בארגון), כיוון שאינה משתמשת בשיטות כמו אימות רב-גורמים, MFA – להזדהות חזקה, בדיקת זהות מעבר לשם משתמש וסיסמה. כך, שליש מהמשיבים אמרו כי הם לא מיישמים MFA עבור ספקי צד שלישי שמתחברים לרשת.

סייברארק פיתחה את CyberArk Alero – מוצר המאפשר גישה מאובטחת לספקי צד שלישי למערכות בארגון, בטכנולוגיית zero-trust ("אפס אמון"). המוצר אינו משתמש בסוכנים, VPN, או סיסמאות. הוא מאפשר גישה מאובטחת מרחוק למערכות ולאפליקציות בארגון, וזאת באמצעות שילוב של יכולות זיהוי ביומטריות המובנות בטלפון החכם, ובמקביל יצירה אוטומטית של קוד QR ייחודי וחד פעמי – אשר משלים את זיהוי הפנים או טביעת האצבע.