דרושה חשיבה אחרת ביחס לאיומי הסייבר

ארגונים כבר למדו כי אין פתרון קסם להגנה מפני מתקפות סייבר. אך האם ארגונים בישראל יודעים לענות על השאלה – מה רמת ההגנה שלי? עבור רבים מידי המאמר הזה רלוונטי.

מאת בועז שונמי,  Komodo Consulting

בועז שונמי, מנכ"ל קומודו

לפני מספר חודשים, קיבלתי טלפון מלקוח, מנהל אבטחת מידע בארגון עסקי גדול באירופה. הוא נשמע מתוח, מסתבר שהם בעיצומו של אירוע אבטחה משמעותי אשר גרם לארגון נזקים פיננסיים כבדים ואף איתרו מספר נוזקות ברשת. במסגרת האירוע ובמהלכו, הצוות של הנרי הבין מספר דברים: א. הם לא היו מוגנים. ב  הם לא היו מוכנים להתקפה. ג. היה להם קשה לאתר את האירוע ולתחקר. ולבסוף, הם לא בטוחים שיוכלו לגרום לכך שמצב זה לא יישנה.

נכון להיום, ארגונים רבים נמצאים בדיוק במצב הזה.

במהלך השנה, עבדנו  עם  לקוחות מכל קשת הבשלות (Maturity): מחד, בנקים, חברות ביטוח וגופים פיננסיים המשקיעים רבות באבטחת המידע ומאידך חברות שאינן מוכוונות רגולציה, אך עושות צעדים רבים על מנת להתמודד עם האיומים הללו. החברות האלו מנסות להתמודד עם ארבע התובנות האלו וההבנה היא שלא משנה איזה סל מוצרי אבטחה יש להם, התקינו עבורם, הטמיעו אצלם, הבטיחו להם או יישמו ברשת הארגונית – עדיין קיים פער רב בין הציפיה וההבטחה לבין רמת האבטחה בארגון.

ארגונים רבים מתחילים להבין שאבטחת מידע (או בשם החדש, "הגנת סייבר") זה תהליך, ולתהליך אין פתרון קסם בדמות "הדור הבא", אין מוצר פלא שמתקינים אותו ומיד כל ההאקרים  – החל בקבוצות אנונימוס וכלה בגופי ביון ממשלתיים – נעמדים דום ונעצרים בחומות האש.

לחברות הגדולות היום יש עשרות רבות של מוצרי אבטחה, וכל מוצר שכזה עוזר להם להבין משהו אחר על מצבם ולהתמודד בצורה שונה עם האיומים הללו. אבל הבעיה בדרך כלל תהיה דווקא ביישום והטמעת המוצרים, ויותר ספציפית, בדרך שבה המוצר מממש את החזון ואת המטרה שלשמה נועד ואיך הוגדר (או לא הוגדר) על מנת לבצע זאת.

והשאלה האמיתית איתה אני רואה גופים מתמודדים היום היא "איך אני מעריך עד כמה אני מוגן או ערוך לקראת מתקפת סייבר שכזו?"

נכון. לארגונים רבים בארץ ישנם צוותי אבטחת מידע מוכשרים ומיומנים, אבל האם הם תורגלו אי פעם תרחיש פריצת סייבר? מתן תגובה לאירוע אמת? האם הם בכלל יידעו כשיקרה כזה אירוע? ואז כשיקרה, כמה זמן ייקח להם לאתר שאכן מתרחש אירוע ולא בעיית IT? כמה זמן ייקח עד שיידעו כי האירוע אכן הסתיים והצליחו לאתר  את כל נקודות הכשל והתורפה? ומתי תהיה להם אינדיקציה כי אמנם הצליחו להכיל (contain) את המתקפה?

שורה של אירועי סייבר בשנה החולפת גרמו לארגונים להבין כי כל סוג ארגון – החל בעמותות ספורט וכלה בחברות אנרגיה ופוליטיקאים – עשויים להוות מטרה. דוגמאות מהשנה החולפת כוללות את הפריצה לוועידה הדמוקרטית והדלפות בלתי פוסקות של תכתובות רגישות של מנהל הקמפיין של הילארי קלינטון בתיאום מושלם למערכת הבחירות, דליפה של יכולות סייבר מתקדמות של ה- NSA  כולל שיטות פעולה, שיטות ניצול, רשימות של שרתים פרוצים, תרחישי הונאת CEO שהינם תרחישים מתקדמים של התקפות ממוקדות מסוג פישינג שהנזקים שלהם נאמד במליארדים רבים בכל שנה, ודליפות של מאגרי מידע עם מיליונים רבים של רשומות הפכו להיות כבר דבר שבשגרה.

אירועים אלו מעוררים ארגונים רבים ומביאים אותם לשאלה "איך באמת ניתן לבחון את הערך של ההשקעה הרבה באנשים ובמוצרי אבטחה?"

בשנה האחרונה, מתחולל שינוי בגישה ומעבר להסתכלות פרו-אקטיבית על זירת הסייבר ולהתכוננות ככל שניתן לאירועי אמת בסביבה מתוחכמת ומורכבת. מגמה זו אנו מזהים בעיקר אצל לקוחותינו בעולם  אבל השינוי מחלחל גם בארץ. אנו פוגשים ארגונים שכבר מיישמים תרגילי צוות אדום (RED TEAM) מול צוות כחול (BLUE TEAM) ושימוש גובר במערכות מודיעין פנימי וחיצוני כדי לסייע לארגון להתמודד עם חשיפות ואיומים בזמן אמת ולשפר משמעותית את עמדת אבטחת המידע שלהם (Security Posture), לא רק מול תכתיבי הרגולציה אלא אף ובעיקר מול איומי האמת והמצב בשטח. מאחל לכולנו שנת 2017 שקטה יותר.

הכותב משמש כמנכ"ל משותף בחברת Komodo Consulting, המספקת שירותי ייעוץ לארגונים בתחום אבטחת מידע