IBM: חוזרת מגמת ההתקפות על סיסמאות ברשתות חברתיות

IBM פרסמה את תוצאות דוח ה- X-Force החצי שנתי בנושאי סיכון, אשר מציג עליה חדה בפרצות הקשורות בדפדפנים, עליה מחודשת בסיכון סביב סיסמאות ברשתות חברתיות, ואתגרים מתמשכים בהגנה על מכשירים ניידים ומכשירים אישיים בשימוש עסקי.

כדי להגביר את ההגנה על לקוחותיה מפני האיומים המדווחים, IBM הכריזה על פתיחת מרכז אבטחת מידע חדש ווקלוב, פולין. המרכז החדש הוא ה- 10 במספר בעולם, ונועד לנהל איומים בצורה פרואקטיבית, כולל ניתוח בזמן אמת ושליחת התראות. מרכזי אבטחת המידע של IBM אוספים נתונים על 15 מיליארד אירועי אבטחת מידע ביום.

"חברות עומדות בפני איומים מתפתחים, עם טכנולוגיות ההופכות לקשים יותר את הניהול וההגנה על מידע חסוי", אמר קריס לאבג'וי, מנכ"ל שירות אבטחת המידע של IBM. "פרצת אבטחת מידע – בין היא מגיע מתוקף חיצוני או פנימי 0 יכולה לפגוע במוניטין, בשווי החברה, ולחשוף מידע חסוי. הצוות שלנו מנטר ומנתח איומיםכדי לסייע ללקוחות שלנו להיות צעד לפני האיומים החדשים".

התקפות חדשות צצות מול כמות זהה של פרצות
מאז שהחל דוח ה- X-Force נרשמה עליה בפעילות הקוד הזדוני באינטרנט. טרנד מתמשך עבור עבריינים הוא לתקוף מטרות אישיות על ידי הפנייתם ל- .URL או אתר אמינים אליהם הוחדר קוד זדוני. באמצעות פרצות בדפדפנים, התוקפים יכולים להתקין קוד זדוני על המחשב הנגוע. האתרים של ארגונים מכובדים רבים עדיין פגיעים בפני איומים כאלה.
הגידול בהתקפות SQL Injection, טכניקה הנמצאת בשימוש כדי לחדור לבסיס נתונים דרך האתר, היא לעמוד בקצב השימוש הגובר בהתקפות Cross Site Scripting ו- directory traversal commands.

בעוד בסיס המשתמשים של מערכת ההפעלה של מחשבי מק ממשיך לצמוח, הוא הופך למטרה מבוקשת יותר לאיומי Advanced Persistent (APT) ולניצול פרצות.
"ראינו גידול במספר ההתקפות המתוחכמות והממוקדות, בעיקר במחשבי אפל ועל סיסמאות של רשתות חברתיות", אמר קלינטון מקפאדן, מנהל תפעול בכיר במחקר ופיתוח של IBM X-Force. "כל עוד התקפות אלה נותרות יוקרתיות, ההתקפות ימשיכו להגיע. בתגובה, ארגונים צריכים לנקוט בצעדי מנע, כדי להגן טוב יותר על התשתית ועל הנתונים".

מגמות באבטחת מידע של ניידים
בעוד ישנים דיווחים על קוד זדוני חדשני לסלולר, רוב משתמשי הטלפונים החכמים עדיין נמצאים בסיכון של הונאות שליחת SMS בתשלום. במסגרת הונאות אלה נשלחות הודעות SMS בתשלום מיוחד למספרים במדינות שונות באמצעות אפליקציה. האפליקציה יכולה להתחזות לאפליקציה לגיטימית בחנות האפליקציות, היא יכולה להיראות תקינה אך לפעול כקוד זדוני, או שהיא יכולה להיות אפליקציה אמיתית שנעטפה בקוד זדוני, ולרוב ניתנת להורדה מחנות אלטרנטיבית.

מהי סיסמא מאובטחת
החיבור בין אתרים, שירותי מחשוב ענן, ודואר אלקטרוני ברשת, מספק חוויית משתמש רציפה בין מכשיר למכשיר, אבל משתמשים צריכים להיזהר לגבי הדרך בה יישומים אלה מחוברים, אבטחת הסיסמאות שלהם, ואיזה מידע נמסר לצורך אחזור סיסמא. X-Force ממליצה לעשות שימוש בסיסמא ארוכה המורכבת ממספר מילים, במקום שילוב מוזר של אותיות, מספרים וסמלים.

בצד השרת, X-Force ממליצה להצפין סיסמאות בבסיס הנתונים, באמצעות פונקציית הסתרה המתאימה לאחסון סיסמאות. הפונצקיה צריכה להיות קשה לחישוב, כדי להגביל את סיכויי ההתקפות.

ההגנה על האינטרנט משתפרת
כפי שנכתב בדוח של שנת 2011, אבחת המידע באינטרנט ממשיכה להשתפר בתחומים מסויימים. ישנה ירידה במספר הפרצות המדווחות, שיפור פיחות בפרצות ב- PDF. לפי מומחי X-Force חלק גדול מכך משוייך לטכנולוגיית ארגז החול של Adobe Reader.
טכנולוגיית ארגז החול "Sandboxing" פועלת באמצעות בידוד אפליקציה מיתר המערכת, כך שאם היא נמצאת תחת איום, הקוד התוקף הפועל ביישום מוגבל אליה בלבד. ארגז החול הוכיח את עצמו כהשקעה טובה מנקודת מבט של אבטחת מידע.