ניהול חשיפה לסיכונים של מערכות סייבר פיזיות – הגישה הדינאמית
ללא ניהול חשיפה, ארגונים ימצאו שכמעט בלתי אפשרי לשמור על עמדת אבטחת סייבר חזקה, להגן על המערכות הקריטיות שלהם, לציית לתקנות ולמתן את ההשפעה הפוטנציאלית של איומי סייבר
הטרנספורמציה הדיגיטלית מואצת בכל מגזרי התשתיות הקריטיות ויוצרת יותר מאי פעם קישוריות סייבר פיזית. קישוריות זו הרחיבה באופן דרסטי את משטח התקיפה עבור פושעי סייבר המעוניינים לנצל חולשות פוטנציאליות. ככל שזירת אבטחת הסייבר ממשיכה להתפתח ומשטח התקיפה מתרחב, חייבים ארגוני תשתיות קריטיות להתקדם, ומעבר ליישום תהליכי עבודה מסורתיים של ניהול פגיעויות, עליהם לנקוט גישה דינאמית וממוקדת יותר לניהול החשיפה הכוללת שלהם לסיכונים.
במאמר זה מדריך מקיף, המפרט כיצד מגזרים תעשייתיים ובריאותיים ומגזרים קריטיים אחרים יכולים להשיג ולתחזק ניהול חשיפה חזק של מערכות סייבר פיזיות (CPS – Cyber Physical Systems), תוך התמודדות עם תנאי אבטחה וסיכון מאתגרים.
באבטחת סייבר, המונח חשיפה מתייחס למצב של רגישות להתקפות סייבר פוטנציאליות עקב פגיעויות או חולשות בסביבת הסייבר הפיזית של הארגון. בשל משטח תקיפה הולך וגדל, ארגוני תשתיות קריטיות נותרו עם נקודות חשיפה הניתנות לניצול על ידי גורמי איום. נקודות אלה עלולות לאפשר לתוקף להשיג גישה לא מורשית, לשבש שירותים חיוניים או לגרום לפגיעות בצורות אחרות. על כן, ארגונים צריכים להטמיע אסטרטגיית ניהול חשיפה, שהיא גישת אבטחת סייבר פרואקטיבית, המטפלת בזיהוי, הערכה וטיפול בנקודות תורפה וסיכונים פוטנציאליים בסביבת התשתית הקריטית שלהם, עוד לפני שניתן לנצלם. היא מפחיתה את החשיפה או משטח התקיפה של הארגון על ידי איתור נקודות התורפה ובכך ממזערת סיכונים.
ככל שזירת אבטחת הסייבר ממשיכה להתפתח ומשטח התקיפה מתרחב, חייבים ארגוני תשתיות קריטיות להתקדם, ומעבר ליישום תהליכי עבודה מסורתיים של ניהול פגיעויות, עליהם לנקוט גישה דינאמית וממוקדת יותר לניהול החשיפה הכוללת שלהם לסיכונים
זירת אבטחת הסייבר הינה דינאמית מאוד, עם פגיעויות ואיומים חדשים שצצים מדי יום. ללא ניהול חשיפה, ארגונים ימצאו שכמעט בלתי אפשרי לשמור על עמדת אבטחת סייבר חזקה, להגן על המערכות הקריטיות שלהם, לציית לתקנות ולמתן את ההשפעה הפוטנציאלית של איומי סייבר.
אתגרים בבניית תוכנית ניהול חשיפה
כאשר ארגונים מבקשים להגן על הנכסים הקריטיים שלהם מפני איומי סייבר, הם יגלו מספר אתגרים בבניית תוכנית ניהול חשיפה ישימה, בהם:
שטחים מתים של נראות נכסים: מערכות סייבר-פיזיות משתמשות בדרך כלל בפרוטוקולים קנייניים שהופכים אותן לכמעט בלתי נראות עבור כלי אבטחה מסורתיים. כאשר אין מידע מלא על המערכות, ארגונים יסבלו מפערים שיעכבו החלטות תעדוף ותיקון.
אתגרי תעדוף: באופן מסורתי, פתרונות סטנדרטיים מנחים תעדוף המבוסס על מערכת ניקוד פגיעויות משותפת (CVSS), ולא על בסיס סבירות ניצול. השימוש בשיטה זו לבדה גרם לכוח אדם העמוס ממילא האחראי על ניהול פגיעויות OT (Operational Technology), לבזבז משאבים תוך מתן עדיפות לנקודות תורפה שאינן ניתנות לניצול או שלא ינוצלו לעולם.
מורכבות ניהול תיקונים: סביבות CPS אינן סובלות זמני השבתה עקב תהליכי הייצור הקריטיים שבהם הן תומכות. לכן, חלונות התחזוקה של המערכות הם נדירים וזה משאיר אותן פגיעות וחשופות במיוחד לסיכונים.
שימוש בפתרונות סטנדרטיים: דירוגי סיכונים ל-CPS הנוצרים על ידי פתרונות סטנדרטיים נוטים להיות מטעים מאוד. זאת, כי פתרונות סטנדרטיים נוטים לנקוט בגישה נוקשה לחישוב הסיכון, לפיה "מידה אחת מתאימה לכולם". למרות שכל סביבת CPS היא ייחודית, פתרונות סטנדרטיים מציעים מעט, אם בכלל, אפשרויות לארגונים להתאים אישית את האופן שבו גורמי סיכון שונים משוקללים, בהתבסס על מה שלהם חשוב ביותר. מה שהופך את העניין למאתגר יותר הוא שאם כל ה-CPS יטופלו באופן שווה, ארגונים לא יוכלו לתעדף אילו תהליכים הם החשובים ביותר לעסק שלהם ואילו השפעות צפויות להיות חמורות מספיק כדי להצדיק מאמץ תיקון משותף.
עמידה בתקני תעשייה: עמידה בתקני תעשייה שונים מוסיפה נדבך נוסף של מורכבות לניהול החשיפה. עמידה בדרישות ספציפיות שהן לעתים קרובות מורכבות וכפופות לעדכונים תכופים יכולה להיות משימה מרתיעה. בנוסף, כשלי ציות לתקנות עלולים לגרום להשלכות משפטיות ורגולטוריות, כמו גם סיכון מוגבר לאיומי סייבר.
כאשר גורמי איום מסלימים הן בהיקף והן בתחכום ההתקפות שלהם, חשוב כעת יותר מתמיד לארגונים בכל הגדלים להוסיף ניהול חשיפה לארגז הכלים של גישות אבטחה. גישה פרואקטיבית זו מאפשרת לארגונים לטפל בסיכונים ובחולשות פוטנציאליים לפני שיהפכו לבעיה רצינית. על ידי הבנת האתגרים העומדים על הפרק ויישום הפתרונות הפרואקטיביים שדיברנו עליהם, ארגונים יכולים לקבל החלטות עסקיות מושכלות יותר ולשפר את עמידותם מפני איומי סייבר.
הכותב הוא מנהל צוות מחקר, Team82, קלארוטי.
תגובות
(0)