"כמו לפני 20 שנים: האבטחה – לא בראש סדר העדיפויות בארגונים"

"למרות המודעות לאבטחת מידע, יש נסיגה בשימוש בה, בשל המירוץ לאספקת תוצרים מהירה", אמר לביא לזרוביץ', מנהל קבוצת חוקרים במעבדות סייברארק ● לדבריו, המודעות לסיכונים אלה בישראל רבה יותר מאשר במקומות אחרים בעולם

לביא לזרוביץ', מנהל קבוצת חוקרים במעבדת סייברארק. צילום: ניב קנטור

"מכל המחקרים שאותם אנחנו עורכים עולה תמונת מצב מדאיגה בעקביות שלה: כמו לפני 20 שנים, כך גם כיום – אבטחת המידע והגנת הסייבר לא נמצאות בראש סדר העדיפויות של ארגונים, הנהלות ועובדים. למרות המודעות לאבטחת מידע, יש נסיגה בשימוש בה, בשל המירוץ לאספקת תוצרים מהירה", אמר לביא לזרוביץ', מנהל קבוצת חוקרים במעבדות סייברארק.

בראיון לאנשים ומחשבים אמר לזרוביץ' כי "יש לנו במעבדות שתי קבוצות מחקר: הקבוצה הראשונה מתמקדת במחקר של טכנולוגיות חדשות בצמיחה, דוגמת ענן, מיכון של DevOps ובלוקצ'יין, והשנייה עוסקת באבטחת מערכות הפעלה ומחקר של נוזקות ופגיעויות – למשל, אפליקציות שמגיעות עם חולשות מובנות".

כך, ציין, "באחרונה ביקרנו באחת החברות הגדולות במשק. רצינו לדעת איך נראית אבטחת המידע סביב הענן שלה וכן בהיבט המיכון של הייצור. גילינו, תוך כדי שיחה, שאף שיש לה צוותי אבטחה, מי שמגדירים את מדיניות האבטחה בארגון, כמו גם מי שמממשים אותה, הם אנשי התפעול, המהנדסים. אלא שהם, באופן טבעי, מוטי תפעול ולא מוכווני אבטחה. מקרים כמו זה מראים שכך, לצער כולם, נוצר מצב שבו אף שהגנת הסייבר היא מחויבת המציאות, היא לא נמצאת בעדיפות ראשונה בקרב ארגונים".

הוא אמר כי "עוד אנחנו רואים מהמחקרים שלנו שארגונים רבים משתמשים בכלים להאצת תהליכי פיתוח, למשל ג'נקינס – כלי שמאפשר מיכון ותזמור של תהליכי פיתוח ובין השאר, ענקיות דוגמת נטפליקס וגוגל משתמשות בו. הוא כולל 'כפתור' להפעיל כן-לא את האבטחה. באופן כמעט אוטומטי, אנשי התפעול מנטרלים את הרכיב. זה מתחיל בצדדים הניהוליים, שרוצים לראות תוצרת, וממשיך באנשי התפעול, שהפעולות שלהם באות על חשבון אבטחת המידע".

לדברי לזרוביץ', "נקודה נוספת של ליקוי באבטחה היא מחסור בנראות. סביבות דינמיות של קונטיינרים שמקימים בתוך שניות לא מאפשרות ל-SOC את הנראות הנדרשת. הארגון מביט לבחון היכן הוא חשוף, אולם הוא לא רואה סנאפשוט שנעלם. לתוקפים זה מעולה: מספיק שאישורי הגישה חשופים לשבריר שנייה כדי להשתמש בהם ולחדור".

"אחד מאזורי התקיפה החדשים הוא על שרשרת האספקה", ציין. "ארגונים רבים, בהם בנקים וממשלה, עונים להרבה דרישות אבטחה ורגולציות ומצמצמים את משטח התקיפה שלהם, אבל הם נותרים פגיעים בשרשרת האספקה. יש להם אפליקציות עם עדכון אוטומטי, חומרה שמגיעה מבחוץ או יועצים וספקי צד ג' – וכך הם יותר פגיעים. בשנה האחרונה ראינו הרבה דוגמאות לארגונים שהשקיעו באבטחה ו-'חטפו' דרך שרשרת האספקה".

אבטחה בישראל – מול בשאר העולם

לזרוביץ' ציין גם את סקר האיומים המתקדמים הגלובלי ל-2019 שסייברארק הוציאה באחרונה. עולה ממנו שרק מחצית מיותר מ-1,000 מנהלי האבטחה בארגונים בעולם שהשתתפו בסקר מאמינים שהם מסוגלים לבלום מתקפת סייבר, ומחציתם סבורים שהתוקפים יוכלו להיכנס לרשת של הארגון שלהם בכל פעם שרק ינסו. 60% מהמשיבים הגלובליים ציינו שסיכוני האבטחה הגדולים ביותר לארגון הם מתקפות חיצוניות בעקבות טעויות של גורם אנושי, כגון פישינג, אחריהן מתקפות כופר עם 59% וסיכונים כתוצאה ממחשוב צללים עם 45%. בישראל, המשיבים דירגו את מתקפות הכופרה בתור סיכון האבטחה מס' 1 לארגון (68%), כשאת המקום השני חולקים מתקפות חיצוניות כמו פישינג וסיכונים מצד גורמי פנים בתוך הארגון – כל אחד מהם עם 52%".

לדבריו, "המחקר נערך בדגש על טכנולוגיות דיגיטל חדשות, שמציבות סיכונים. הממצאים מצביעים על חוסר מודעות בקרב מקצועני האבטחה לעובדה שהרשאות וחשבונות פריבילגיים או סודות נמצאים גם בטכנולוגיות דיגיטל כמו RPA, אינטרכנט של הדברים, קונטיינרים, מיקרו-שירותים, תשתית כשירות (IaaS) ופלטפורמה כשירות (PaaS). בשל חוסר המודעות, ברור שלארגונים אין תכנית מגובשת כיצד לאבטח אותם".

לסיכום אמר לזרוביץ' כי "צריך להחזיר את השליטה לידי אנשי האבטחה, שהם יעשו אותה. זו בעיה ניהולית ולא טכנולוגית. בנוסף, ארגונים נדרשים לנראות ובקרת גישה, כמו גם לצמצום מתקפות יום אפס, עם כלי אבטחה ולא עם כלים לטיפול בענן שיש בהם רכיב אבטחה. בהשוואה של רמת אבטחת המידע בבנקים הגדולים בישראל מול בעולם, ערכנו מחקר שעולה ממנו שתרבות ה-'סמוך' וה-'יהיה בסדר' לא חלחלה לשם. אני לא יכול לומר שארגונים בישראל מאובטחים יותר מאשר במקומות אחרים בעולם, אבל יש בהם מודעות גבוהה יותר לאבטחה, יש שיח, יש מיומנות. ארגונים בישראל עושים אבטחה לא בגלל הרגולציות – אלא בגלל המודעות".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. מעניין 6מסקרן

    כל אחד וניהול הסיכון שלו בחיים. אבטחת מידע חלק בלתי נפרד מניהול הסיכון.

אירועים קרובים