תקיפת סייבר הוא מושג שאנו שומעים לעתים קרובות. לעתים אנו נוטים לחשוב שמדובר באירועים שמכוונים נגד מוסדות וארגונים גדולים. כולם זוכרים את הפריצה למאגרי חברת הביטוח שירביט או את מתקפת הסייבר על בית החולים הלל יפה בחדרה, שהחזירה אותו, למשך כמה ימים, לעידן הטרום-דיגיטלי.
אלא שהתוקפים לא מכוונים תמיד למטרות גדולות. במישור הלאומני, למשל התקפות של האקרים איראניים, סביר להניח שהמטרה תהיה ארגון, מוסד או יעד גדול, אבל מי שתוקף למטרות פליליות (בדרך כלל כופר, אבל גם ריגול תעשייתי ועוד), אינו בוחל גם במטרות עסקיות קטנות יותר או פרטיות.
ימי החגים למשל הם תקופה פגיעה בקרב ארגונים קטנים: ממש כמו בימי סגרי הקורונה, מי שמגיעים פיזית למקום העבודה גם בימי החג, הם העובדים החיוניים ביותר. השאר יצאו לחופשה או שעובדים מהבית - וכאן יש כבר פתח שקורץ לתוקפים.
לקראת החג האחרון, זה שבארגונים רבים מתאפיין בחופשה מאורגנת - ולקראת החזרה לשגרה שתבוא עלינו לטובה בעוד כעשרה ימים, פנינו אל רפי ביטון - VP Cyber Resilience בחברת האב סקיוריטי, כדי לקבל ממנו כמה טיפים חשובים שיגנו על הארגון מפריצה או יסייעו למי שכבר נפגעו.
1. אל תהיו שאנננים
אירועי סייבר מתרחשים כל הזמן. סטטיסטיקות מצביעות על כך שבעולם אחת למספר שניות מתרחשת מתקפת סייבר. לתקיפות מעין אלה וחלקן הגדול נועד לעשיית רווח על ידי ביצוע הונאות שונות וגניבת מידע אשר יימכר לאחר מכן לכל המרבה במחיר.
בהתאם לסטטיסטיקה, אם לא הותקפת, אתה הבא בתור. תקיפה כזו יכולה להתרחש בעוד דקה, בעוד שבוע, בעוד חודש או בעוד מספר שנים אבל כאשר תותקף, ביצוע הפעולות הנכונות, בסדר הנכון ובמהירות יכולים לעיתים לצמצם את הנזק למינימום ואף להעלימו.
עליך לעשות כל כל נדרש היום כדי להתכונן לתקיפה של מחר וכמובן, כמו שאומרת הקלישאה, אל תגיד "לי זה לא יקרה".
2. התקשרו לאנשי מקצוע מהתחום
אז יצאת מהשאננות, התכוננתם ליום הזה ועכשיו הוא הגיע - הותקפתם. מה הלאה?
למרבית הארגונים אין יכולת להתמודד על תקיפת סייבר בעצמם. נדרשות לכך כישורים טכניים וידע מסוים כדי להתמודד עם מתקפות שונות. מאחר וכל דקה חשובה יש צורך להתחיל להכיל את האירוע ולבודד את מקור הנזק.
אנשי מקצוע מתאימים יעזרו לארגון בכל סדרת המשימות שיש לבצע מרגע זה והלאה בין אם זה להבין מה היקף הנזק, מה הייתה שרשרת האירועים שהובילה לתוצאה שקרתה ועד לחזרה לשגרת עבודה מלאה ביום שאחרי.
3. ניתוק הארגון מרשת האינטרנט
אפשרות זו אינה תמיד אופציה עבור כל עסק שהוא אבל הביצוע שלה מפחית דרמטית את יכולות התוקף. במידה והדבר אפשרי נתקו את הארגון מרשת האינטרנט. התוקף יאבד את האחיזה שלו ברשת וגם אם הנזק שביצע לא יעלם כליל הוא לא יוכל להרחיב ולהעמיק את התקיפה שלו (כמו למשל להמשיך לגנוב מידע או להתפשט למחשבים ושרתים אחרים שטרם נפגעו).
לא יכולים לנתק את הארגון מהאינטרנט? צמצמו את הגישה ככל שניתן. חברו רק מערכות ושרתים רלוונטיים ובודדו זה מזה כאלה שלא, כדי לתחום את הנזק האפשרי ככל שניתן.
4. החליפו סיסמאות
בסרטים אנו רואים כי תוקפי סייבר מבצעים פריצות שונות על ידי הרצת כלים מורכבים עם מערכות מתוחכמות אך זה לא תמיד המצב. אחוז גדול מהתקיפות נעשה בדרכים פשוטות מאוד כגון שימוש בשם משתמש של וסיסמא של גורם משתמש בארגון.
איך משיגים סיסמא של משתמש קיים? המנעד הוא רחב. מרבית המקרים הוא באמצעות ניחוש סיסמאות המשתמשים במידה והם קלות מידי (שימוש בסיסמאות ברירת מחדל כפי שהגיעו עם יצרן השרת/מערכת) סיסמאות קצרות מידי, סיסמאות פשוטות כגון כאלה שלא מכילים צירוף של אותיות גדולות, קטנות, מספרים וסימנים ועוד) או לחלופין ביצוע מתקפות מסוימות המנחשים את כל הצירופים האופציונליים או מחפשים סיסמאות נפוצות (וכן, Aa123456! זו לא סיסמה קשה לניחוש כלל).
לשם כך יש להחליף את כל הסיסמאות של כלל המשתמשים במערכות בארגון. כן, העבודה היא קשה, סיזיפית ועלולה לקחת הרבה מאוד שעות אך אם היינו מאבדים את סט המפתחות לרכב והיינו יודעים בוודאות שמישהו יעשה בהם שימוש לא היינו חושבים פעמיים לחליף אותם. אז… סיסמא היא כמו מפתח.
5. דאגו לביצוע עדכונים
אם ניחוש או פריצה של סיסמאות משתמשים היא דרך נפוצה לפרוץ לארגונים אז הדרך הבאה אחריה היא ניצול חולשות במוצרי אבטחה, שרתים וציודי תקשורת למיניהם.
חולשות הם לרוב באגים באותם מוצרים המאפשרים לתוקף לבצע מניפולציה כדי לעקוף אותם או לחדור אליהם.
יצרני תוכנה ומערכות מעדכנים מידי יום ביומו את המוצרים שלהם ככל שמתגלות בהם חולשות כאלה ולכן חשוב לבצע עדכונים כדי למנוע מתוקפים יכולת להשתמש באותם חולשות מוכרות. תקיפות רבות ומשמעותיות קרו בכלל היעדר ביצוע עדכונים ברכיבי מפתח.
עדכנו קודם שרתים, מחשבים, מערכות ורכיבים החשופים הפונים לרשת האינטרנט בעדכוני היצרן האחרונים הזמינים ולאחר מכן החילו את העדכונים לשאר מערכות הארגון.
6. הסיקו מסקנות
הותקפת? נגרם לך נזק? ברק כן פוגע באותו מקום פעמיים.
כאשר מנתחים את שרשרת האירועים שהובילה לתקיפה מסוימת רואים כשלים בעשרות נקודות שונות שהיו אמורות להגן על הארגון אך כשלו מסיבות מסוימות בזה אחר זה.
הדבר הכי גרוע לארגון לעשות אחרי תקיפה מוצלחת כנגדו היא לא לעשות כלום. תוקף יכול לחזור על עקבותיו ולתקוף שוב או לתת הזדמנות לתוקף נוסף לנצל את אותה שרשרת אירועים כושלת.
למדו את התהליך שהוביל לפריצה והפיקו לקחים. בצעו שינויים ככל שנדרש כדי להימנע מהישנות המקרה כי הדבר הגרוע מארגון שנפל קורבן למתקפת סייבר הוא ארגון שנפל למתקפת סייבר פעמיים.
7. חזקו את הגנות הארגון
פנה לחברות ייעוץ מתמחות בתחום על מנת לסקור את הארכיטקטורה והקונפיגורציה של מערכות הארגון כדי לגלות חורי אבטחה נוספים ולחסום אותם מבעוד מועד. נשמע מורכב? ייתכן. אך אנשי מקצוע איכותיים בתחום ינתחו את מבנה הרשת שלכם ויסיקו עבורכם את המסקנות הנדרשות ויספקו לכם סט המלצות אותם תוכלו להעביר לאנשי המקצוע לתיקון.
אבטחת מידע היא לא מצב שיש לשאוף אליו אלא תהליך מחזורי ואינסופי שיש לשמר וכפי שאנו משדרגים את הגנות הארגון ואת היכולת שלו למנוע או לשרוד מתקפת סייבר כך התוקפים לומדים שיטות תקיפה חדשות ומשכללים את שיטות התקיפה הקיימות.
זכרו - ארגון לא חייב להיות חסין במאת האחוזים כדי להיות מוגן. הוא פשוט חייב להיות מוגן יותר מבית העסק שלצידו. תוקפים מחפשים את הדרך הקלה ביותר להרוויח כסף או לגרום נזק וככל שנקשה עליהם כך הם יאבדו עניין ויעברו לקורבן הבא.