"האתגר של מנהל האבטחה: לאתר את ידיעת הזהב שמתריעה על התקפה"

"האתגר של מנהלי אבטחת מידע וסייבר בארגונים הוא לדעת לאתר בזמן את ידיעת הזהב מתוך ים ההתרעות שמתקבלות כל הזמן מכל מערכות השו"ב, ולפעול בזמן ובהתאם. היכולת לקבל החלטה נכונה, שיש לה משמעויות רבות על פעילות הארגון, היא לא אנושית וכמעט בלתי אפשרית", כך אמר בועז דולב, מנכ"ל קלירסקיי.

דולב דיבר במפגש שנערך באחרונה של פורום מנהלי אבטחת המידע והסייבר של אנשים ומחשבים CSC. נושא המפגש היה "מישהו הזיז את המידע שלי", והוא עסק אתגרי אבטחת המידע במציאות של חוסר ודאות, כמו התקופה הנוכחית של משבר הקורונה.

לדברי דולב, "חוסר היכולת לאתר את המידע הנקודתי הוא תופעה כלל עולמית. בכדי לעשות זאת, הוא צריך לבצע שורה של פעולות, כולל לפעמים "להוריד את השאלטר" על מערכות המחשוב. מדובר במהלך דרמטי, שלמנהל האבטחה יש מעט מאוד זמן לקבל החלטה האם לעשות אותו. זה תלוי לא מעט בניסיון שיש לו ובהבנה של משמעות המעשה, ומה הנזק שייגרם אם הוא לא יעשה זאת".

מה לעשות? לעשות!

"אנחנו מטפלים בהרבה מתקפות על ארגונים, והשאלה האם הייתה ידיעת הזהב ומה היא הייתה תמיד עולה בתחקירים שנעשים לאחר ביצוען, אבל זוהי חוכמת הבדיעבד", אמר. "כאשר אנחנו נשאלים מה בכל זאת ניתן לעשות, יש מספר תובנות שחשוב להבין אותן, ואולי הן יעזרו למנוע את ההתקפה הבאה".

"הדבר הראשון", אמר דולב, "הואר שצריך להבין שהתוקף יחפש חולשות במערכות, שחשופות לאינטרנט. הוא תמיד ימצא שרת עם חולשת אבטחה, כזה שלא נחשב קריטי, ודרכו הוא יחדור למערכות הארגון".

הוא הסביר ששאלת זהות התוקף היא שאלה חשובה. "אם הוא איראני, הוא ינסה לחבל במערכות, אבל אם מטרת התקיפה היא כופר, כאן הארגון עלול למצוא את עצמו בבעיה עוד יותר רצינית", אמר.

לדברי דולב, אחד המקומות החלשים בארגונים הוא ה-Active Directory – מערכת שכוללת סט של כלים לניהול רשתות, משתמשים ועוד. "כאשר התוקף מצליח להגיע למערכת זו, הוא יכול לגרום לביטול מעקב אחר לוגים של משתמש מסוים על ידי מחיקת סימון פשוט בה. מרגע שהוא מחק את האפשרות הזו, יהיה קשה מאוד לעקוב אחר תנועותיו", אמר. "מנהל האבטחה צריך לבדוק מדי פעם אם אף אחד לא ביטל סימון לוגים של משתמשים".

היה ונתגלתה התקיפה, יש, לדברי דולב, חשיבות לביצוע שורה של פעולות מיידיות, שנועדו לזהות את מוקדי התקיפה. מעבר לחדרי מצב שפועלים עד לפתרון הבעיה, יש לדולב עצה נוספת: "מומלץ לארגונים להתקין מערכת EDR (ר"ת Endpoint Detection & Response) – פלטפורמת אבטחה, זיהוי ותגובה של נקודות קצה".

האם יש מודעות רבה יותר כיום בארגונים לאבטחת מידע? תשובתו של דולב לשאלה זו היא: "יש שינוי, אבל עדיין, הרבה ארגונים מגבירים את המודעות אחרי אירוע שהם חווים, ואז העלויות רבות מאוד".

משטח התקיפה עולה בעקבות העבודה מהבית

דובר נוסף בכנס היה גיא מזרחי, סמנכ"ל סייבר בקבוצת רייזון ויו"ר ועדת התכנים של פורום CSC. הוא אמר כי "העולם החדש שנוצר בגלל הקורונה שונה ומייצר אתגרים חדשים למנהלי אבטחת המידע. המעבר לעבודה מהבית יוצר משטח התקפה הרבה יותר גדול ורחב לכל התוקפים למיניהם. סביבת העבודה במחשבים שנשענים על הרשת הביתית אינה מאובטחת באותה רמה כמו שמאובטחים המחשבים בארגון, וזה מהווה אתגר לא פשוט למנהלי אבטחת המידע".

גיא מזרחי, סמנכ"ל סייבר בקבוצת רייזון. צילום: יניב פאר

מזרחי הוסיף ש-"ההאקרים תמיד יחפשו את הנקודה החלשה במערכות המחשוב כדי לחדור לארגון, וזאת לא חייבת להיות התקפה ישירה על המחשב של העובד. ברגע שהתוקף מצליח להיכנס, הוא מייצר תסריטים שונים, שלא ניתן בכלל לדעת שהוא חדר לארגון".
לדבריו, "כלי ההגנה הארגוניים הקיימים לא מספקים הגנה לחשבונות פרטיים ואסור לארגונים לחדור לחשבונות אלה. סטארט-אפים יכולים להיכנס לתחום הזה ולפתח פתרונות כאלה".

בהרצאתו שיתף מזרחי בתקלת חומרה שהייתה לו באחד מהטלפונים הניידים של הארגון, שלא ניתן היה לברר מה סיבתה, והיא גרמה לאובדן מידע יקר שהיה על המכשיר. "זאת, על אף שאני מקפיד מאוד על כל תהליכי הגיבוי ושמירת מידע במערכות מקבילות. לכן, המסקנה שלי היא שכל אחד צריך להיות מוכן לתקלות בלתי צפויות, שיגרמו לאובדן מידע, מבלי שניתן יהיה להתגבר עליהן".