10 התפיסות השגויות באבטחת מידע שיש להפריכן

"אחד המכשולים המהותיים במימוש מדיניות אבטחת המידע בארגונים אינו טכנולוגי, כי אם תפיסתי. צוות התגובה המהירה שלנו ערך רשימה של התפיסות השגויות הנפוצות ביותר באבטחת מידע שבהן נתקל במהלך 12 החודשים האחרונים, כאשר חבריו סייעו לנטרל ולחקור מתקפות סייבר במגוון רחב של ארגונים. ההפרכה של התפיסות המובילות תביא לחיזוק המאבק במתקפות סייבר", כך אמר פיטר מקנזי, מנהל צוות התגובה לאיומי סייבר, סופוס (Sophos).

התפיסה השגויה הראשונה, אמר מקנזי, "היא ש'אנו לא מטרה, אנו קטנים מדי, אין לנו נכסים בעלי ערך לתוקפים'. האמת היא, שזה לא משנה: אם יש לך כוח עיבוד ונוכחות דיגיטלית – אתה משמש מטרה. רוב ההתקפות אינן מבוצעות על ידי תוקפים שלוחי מדינה, אלא על ידי גורמים המשחרים לטרף קל – ארגונים בעלי חורים באבטחת המידע, שגיאות ובעיות בהגדרות שהעבריינים יכולים לנצל בקלות".

תפיסה שגויה שנייה, אמר, "היא, ש'אנחנו לא זקוקים לטכנולוגיות הגנה מתקדמות שיותקנו בכל מקום'. תוקפים מנצלים במלואן תפיסות שגויות כגון זו. כל טעות בהגדרה, בעדכונים או באבטחה הופכים שרתים למטרה מרכזית ולא למטרה משנית כפי שאולי היה בעבר. בכל יום גדלה רשימת טכניקות ההתקפה, המנסות לעקוף הגנות בנקודות קצה ולמנוע זיהוי מצד  צוותי אבטחת מידע. אם הארגון שלך מסתמך על אבטחה בסיסית, בלא כלים מתקדמים ומשולבים יותר, אז סביר להניח שהתוקפים ימצאו את דרכם מעבר להגנות. בעוד מניעת פריצה היא אידיאלית, זיהוי שלה הוא חובה".

תפיסה שגויה שלישית, אמר מקנזי, "היא ש'יש לנו מדיניות אבטחה חזקה'. הפעלת מדיניות אבטחה עבור אפליקציות ומשתמשים היא חיונית. יש לבדוק ולעדכן אותה עם הופעתם של מאפיינים ויכולות חדשים במכשירים המחוברים לרשת. יש לאמת ולבחון את המדיניות באמצעות כלים כגון בדיקות חדירה, תרגול וביצוע ניסוי של תוכניות התאוששות מאסון".

עוד תפיסה שגויה, הסביר, "היא שניתן להגן על שרתי פרוטוקול גישה מרחוק (RDP) מפני תוקפים באמצעות שינוי הפורטים (מבואות) שהם פועלים דרכם והפעלת אימות מרובה גורמים, MFA. הפעלת אימות רב שלבי היא חשובה, אבל היא לא תשפר את האבטחה, אלא אם המדיניות נשמאת על ידי כל העובדים והמכשירים. יש להגביל או לנטרל את השימוש ב-RDP – באופן פנימי וחיצוני".

"התפיסה שלפיה חסימת כתובות IP מאזורים בסיכון גבוה, כגון רוסיה, סין וצפון קוריאה, מגינה עלינו מפני התקפות מאזורים אלה – שגויה אף היא", אמר. "חסימת IP מאזורים מסוימים כנראה לא תזיק, אבל עלולה לטעת תחושה מטעה של אבטחה, אם מסתמכים על כך. תוקפים מארחים את התשתית הזדונית שלהם במדינות רבות".

לדבריו, "תפיסה שגויה נוספת גורסת ש'הגיבויים שלנו מספקים חיסון מפני תקיפת כופרות'. הנוסחה הסטנדרטית לגיבוי מאובטח היא 3:2:1 – שלושה עותקים של כל דבר, באמצעות שתי מערכות שונות, שאחת מהן מנותקת מהרשת".

"גם התפיסה שלפיה 'העובדים שלנו מבינים אבטחה' – אינה נכונה", ציין מקנזי, "העובדים צריכים לדעת כיצד לזהות הודעות חשודות, ומה לעשות כשהם מקבלים אותן".

לדבריו, "המחשבה ש'צוותי תגובה לאירועים יכולים לאחזר את הנתונים שלי לאחר מתקפת כופר' היא מאוד לא סבירה. תוקפים כיום מבצעים הרבה פחות טעויות, ותהליך ההצפנה השתפר, כך שלא יהיה סביר להסתמך על כך".

"האמונה שתשלום דמי הכופר יחזיר את הנתונים לאחר המתקפה שגויה אף היא", ציין, "ארגונים שמשלמים את הכופר אחזרו בממוצע כשני שלישים (65%) מהנתונים. רק 8% קיבלו חזרה את כל הנתונים, ו- 29% החזירו פחות מחצי. תשלום הכופר הוא לעולם אינו דרך פשוטה להתאוששות".

"התפיסה השגויה העשירית", סיכם מקנזי, "היא ש'אם שרדנו מתקפת כופרה – אנחנו בסדר'. לרוע המזל, זה נכון רק לעיתים רחוקות. הכופרות הן רק הנקודה שבה תוקפים רוצים שתדע שהם נמצאים שם ומה הם עשו. סביר להניח שהתוקפים שהו ברשת ימים או שבועות לפני שהפעילו את הכופרה".