Main » אבטחת מידע » אבטחת מידע בעסקים קטנים- המדריך המלא לשנת 2022
יוני 14, 2022
Tal Yahel
אבטחת מידע
זמן קריאה: 8 דקות
אבטחת מידע בעסקים קטנים
לקום מאוחר, לשתות קפה בנחת, לא לעמוד בפקקים של הבוקר. מי ידע שמגפה עולמית יכולה להיות כל כך כיפית?
אבל עובדי חברות ההיטק הם לא היחידים שנהנים מהעבודה מרחוק. מאז תחילת המגיפה, ה-FBI הודיע על שיעורי מתקפות סייבר הגבוהות פי 4 מהרגיל- כ-4000 תלונות ביום.
אם זה לא מספיק, דו"ח Verizon לשנת 2019 הצהיר כי 43% מכלל מתקפות הסייבר הופנו כלפי עסקים קטנים. נתון זה מרתיע עוד יותר כאשר לוקחים בחשבון שפריצות אלה עלולות להיות הרסניות, שכן ה-NSA מעריך כי 60% מהעסקים הקטנים פושטים רגל תוך שישה חודשים ממתקפת הסייבר.
מתקפות הסייבר רק הולכות ומשתכללות ככל שהעבודה מרחוק הופכת להיות נפוצה יותר, ולכן עכשיו יותר מתמיד חשוב להיות מודעים לסיכונים ולדרכי ההגנה.
חשיבות אבטחת מידע בארגונים קטנים
אז למה, בניגוד לכל הגיון, האקרים שמו לעצמם את הארגונים הקטנים כמטרה למתקפות סייבר?
בניגוד לתאגידי ענק, לרוב העסקים הקטנים אין את המשאבים להשקיע באבטחת סייבר מתקדמת, מה שהופך אותם למטרה יחסית קלה, בטח בהשוואה לארגונים גלובליים המעסיקים מנהלי אבטחת מידע אישיים ומשקיעים משאבים רבים במערכות הגנה מתקדמות.
בנוסף, האקרים רבים משתמשים בארגונים קטנים כדלת כניסה לארגונים גלובליים וגדולים יותר- באמצעות פריצה אל ארגון קטן העובד כספק צד שלישי, האקרים מסוגלים לקבל גישה בלתי מורשית לחברות גדולות יותר. זו הסיבה שרבים מתאגידים אלה דורשים מהשותפים הקטנים והבינוניים עימם הם עובדים לעמוד בתקני אבטחת סייבר רבים, כגון HIPAA ו-SOC2.
5 איומי סייבר שכל עסק קטן חייב להכיר
הנדסה חברתית- פישינג
עסקים קטנים פגיעים משמעותית להנדסה חברתית- הנתונים מראים שכשליש מכלל מתקפות הסייבר כללו הנדסה חברתית בצורה כזאת או אחרת. ישנם כמה דרכים לבצע את ההנדסה החברתית, והדרך הכי פופלרית מביניהן היא הפישינג. מתקפות אלה אחראיות ל-90% מכלל ההנדסה החברית, כאשר הודעות פישינג משתמשת באימיילים וס.מ.סים שנראו שנשלחו ממקור לגיטימי כדי לגרום למשתמשים לפתוח לינקים ולהוריד קבצים.
סוגי מתקפות פישינג
אימייל פישינג- אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות.
Spear phishing- כמו אימייל פישינג, רק שבמקרה זה הוא מנוסח ייעודית לקבוצה קטנה של אנשים, לעיתים מטרה בודדת. התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".
Whaling- תת קטגוריה בתוך הדייג הממוקד, סוג פישינג זה מתמקד במנהלים בכירים
Vishing- שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי.
MITM- מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות
לקריאה מעמיקה על סוגי הפישינג, כיצד ניתן לזהות ולהתגונן מפניהם, המשיכו למאמר הפישינג המלא.
פישינג VS שיטות הנדסה חברתית נוספות
סוג נוסף של מתקפת סייבר היא ה-QUID PRO QUO, כאשר ההאקר מציע את שירותיו תמורת מידע. לרוב ההתחזות היא לצוות IT והמשתמש מאפשר להאקר גישה למכשיר מתוך מחשבה שהוא הולך לעזור.
ולבסוף ה-TAILGAITING, האיום הפיזי היחיד ברשימה, מתרחש כאשר האקר מחכה למישהו עם גישה לאזור מוגבל ועוקב אחריו לתוך המבנה.
ה-Ransomware- מתקפת כופר
תוכנה שמוחדרת למחשב והופכת את המידע שלנו למוצפן ולא שמיש בשבילנו. ההאקרים דורשים כופר שלרוב משולם בביטקוין או NFT, בתמורה לשחרור הקבצים מההצפנה שלהם. תוכנת כופר היא פופולרית מאוד ומעורבת ב-22% מכלל מתקפות הסייבר. האקרים בגרמניה ביצעו מתקפת כופר על בית חולים והצפינו את מערכת טיפול החירום, מה שהביא למותה של חולה שנאלצה להיות מפנוה לבית חולים אחר במצב קריטי. זוהי הפעם הראשונה שמוות של אדם מקושר באופן ישיר למתקפת סייבר.
דרכי פעולה של וירוס כופר
הצפנה– תוכנה המאתרת קבצים הנראים חשובים למשתמש- טקסטים, מסמכים, תמונות, PDF ועוד. את המידע היא מצפינה, ובכך מונעת גישה אליו, אולם עדיין תוכלו להשתמש במכשיר שלכם. כאשר הקורבן הוא אדם פרטי, לרוב הכופר מסתכם בכמה מאות דולרים, והדרישה כוללת העברה של התשלום עד 72 שעות, אחרת המידע נמחק לצמיתות.
נעילה– במקרה זה המתקפה היא יחסית פשוטה, והתוכנה נועלת את כל המכשיר, והודעת הכופר מופיעה על המסך.
Scareware– אולי הצינית מכולן, מתקפה זו מתחזה לתוכנה הסורקת אחר בעיות במחשב, ומודיעה לנו על תקלות חמורות שיש לטפל בהן מיד. התוכנה אינה מאפשרת לך להשתמש במחשב עד שניתן אישור לפתירת הבעיות, בתשלום כמובן. ההודעות המופיעות אשר מתריעות על איתור התקלות מחקות תוכנות אנטי וירוס חוקיות, ונותנת תחושה של מקור אמין בכך שהן מספקות מידע על כתובות IP ומיקום גיאוגרפי, או משתמשות בשמות של חברות מוכרות ואמינות.
DoxWare– תוכנת הדלפה, כשמה כן היא, מאיימת על הדלפת המידע הגנוז לאתרים ב-Dark Web, או לאתרי הדלפות המיועדים להדלפת מידע אישי.
במאמר וירוס הכופר המלא שלנו, אנו מרחיבים על כל סוגי תוכנות הכופר ועל דרכי ההתגוננות מפניהם.
עלייה באחוז הארגונים שנפלו קורבן למתקפת כופר
קורבנות תוכנות הכופר יכולים להיות אנשים פרטיים או חברות ותאגידים בעלי פגיעות במערכות ההגנה, כמו בתי חולים או משרדי ממשלה. תוכנות אלה מגיעות למכשירים שלנו לרוב באחת משלושת הדרכים הבאות:
פישינג–השימוש באימיילים וס.מ.סים שנראו שנשלחו ממקור לגיטימי, ומטרתם לגרום למשתמשים לפתוח לינקים ולהוריד קבצים נגועים.
קונפיגורציה לא נכונה של ה-RDP- פרוטוקל השליטה מרחוק יכול להוות פתח להאקרים להחדרת תוכנת כופר, במידה וההגדרות אינן מוכננות כראוי, מצב הקורה לרוב כאשר:
חברה מקימה את הרשת שלה בפעם הראשונה
צוות ה-IT חסר ניסיון ולא סוגר כראוי את הפורט הארגון עושה מיקור חוץ לשירותי ה-IT, ואלה משאירים את הפורטים פתוחים על מנת לבצע ניטור מרחוקאין זיהוי דו שלבי
שימוש בסיסמאות חלשות/ ישנות
Exploit Kits– ערכות אלה כוללות אוסף של תוכנות וקודים זדוניים, הסורקים אחר חולשות ידועות במערכות ההגנה של מכשיר הקורבן. ערכות אלה יוצרות מגע ראשוני עם מכשיר הקורבן על ידי מה שנקרא Malvertising, שהם אתרים או פרסומות עם קוד זדוני שאוספים מידע על המשתמש הנכנס לאתר. לאחר מכן, ה-Kit סורק אחר פגיעויות ידועות בפרוטוקול ההגנה של האתר, הרשת והדפדפן. לאחר החדרת תוכנת הכופר למכשיר, היא יכולה להתפשט גם לרשת הארגונית ולנעול גישה למסמכים של סביבת העבודה.
וירוס הכופר bad-rabbit
חולשות בתשתית הענן
זה נשמע מופרך לחלקנו שעדיין מאמינים שהענן הוא מתנת האל למין האנושי, אולם התקפות האקרים על תשתיות ענן התגברו ב-230% מאשר בשנת 2019. הדרכים הכי נפוצות לפריצה לענן הם:
"חטיפת החשבון", כלומר גניבה של פרטי המשתמש לחשבון הענן על ידי פישינג, מתקפת XSS, ניחוש סיסמאות שיטתי ועוד.
פריצות והדלפות מידע מהענן, שהסבולות העיקריות ממנה הן עסקים קטנים שפשוט לא מוגנים במערכות אבטחה משוכללות כמו החברות הגדולות.
API לא מאובטח, שמהווה פתח כניסה להאקרים המנצלים פגיעות זו כדי להוציא לפועל מתקפות כמו DDoS.
DDoS- מתקפת מניעת שירות
ניסיון להפוך שירות אינטרנטי- כמו אתר- ללא זמין למשתמשים שלו, לרוב על ידי שיבוש זמני של השרת עליו מונח האתר- ומכאן מגיע שמו "מתקפת מניעת שירות".
מה זה מתקפת DDoS?
ישנם המון סוגים של DDoS, אבל העיקרון הוא להציף את האתר והשרת שלו בתנועה זדונית שתגרום להשבתה בשל עומס יתר, וזאת לעיתים על ידי שימוש במכשירים רבים שנפרצו פעם ומנוצלים ללא ידיעת משתמש המכשיר. כעת כבר ניתן לראות את ההאקרים משתכללים ומשתמשים ב-AI (אינטליגנציה מלאכותית) כדי לבצע מתקפות אלה. אך לא הכל שחור בעתידנו, ובמקרה הזה הרעל הוא גם התרופה- ניתן להשתמש באינטיליגנציה מלאכותית כדי לחפש את נקודות התורפה של המערכות, במיוחד אם יש כמות גדולה של מידע.
צד ג' כבר לא רלוונטי רק לביטוחי רכב, תוכנות צד שלישי הן מערכות מחשב שפותחו או נוצרו בחברה אחרת מזאת שפיתחה את מערכת ההפעלה.
במתקפות אלה, המערכות של הספק מנוצלות על מנת לגנוב מידע רגיש מהלקוח. למה זה מסוכן? רק תשאלו את SolarWinds, חברה המספקת תוכנת ניהול מערכות לעסקים הנקרא אוריון. האקרים פרצו לשלב הבנייה של אוריון והתקינו קוד זדוני, שמטרתו לפתוח דלת אחורית נוספת להאקרים שמאפשרת להם לרגל אחרי חברות וארגונים. כל ספק תוכנה שולח עדכונים, וממרץ 2020 כל עדכון ש-SolarWinds שלחה ללקוחות שלהם כלל את הקוד הזדוני הזה.
לאור העובדה שהקוד היה רדום במשך חודשים, כנראה שלעולם לא נדע במדויק כמה חברות נפגעו, אך SolarWinds אמרה שכ-18,000 לקוחות שלהם היו חשופים לניצול של האקרים בעקבות העדכונים שנשלחו, ביניהם מערכת הביטחון האמריקאית וחברות כמו מיקרוסופט.
במקרה זה, SolarWinds היא ספק תוכנה צד שלישי, ולא רק לקוחותיה נפגעו. רק תקלידו בגוגל את שם החברה, ואחת מתוצאות החיפוש הראשונות קשורה לפריצה הזו. כמו יין אדום על חולצה לבנה, יש כתמים שקשה להוריד.
אבטחת מידע בעסקים קטנים
צרו תרבות ארגונית מכוונת סייבר
Employees can be your biggest security risk or your strongest defense.
מודעות זה שם המשחק. בצעו הדרכות עובדים על איומי הסייבר המשמעותיים ביותר העומדים בפניכם, ושימו דגש על סוגי הפישינג למינהם. מומלץ גם לשים לב למתקפות פישינג עדכניות, וליידע את העובדים על כך.
בצעו הדרכות אלה באינטרוולים קבועים ומסודרים, ובדקו את המודעות והעירנות של העובדים בעזרת מבדקי פישינג, המדמות מתקפת פישינג על עובדים החברה בתצורה של אימייל פישינג, Spear phishing ולעיתים גם פישינג דרך הטלפון על ידי התחזות לעובד IT של החברה.
צוות אבטחת המידע בדרך כלל ירכוש דומיין, ולעיתים גם תעודת SSL על מנת לא לעורר חשד. לאחר מכן נשלחת הודעה לעובדי החברה (באמצעות אחת משיטות הדיוג המופיעות), מכתובת שכביכול מוכרת. להודעה לרוב מצורף קישור עם בקשה להזין פרטים אישיים (סיסמא, שם משתמש, פרטי חשבון וכדומה)
ברגע שמודעות העובדים לנושא זה תגדל באמצעות מבדקי הפישינג, זהירות העובדים תעלה וכך תמנעו את המתקפה הבאה.
גיבוי מידע רגיש
בחנו מהם המסמכים הרגישים והחיוניים של ארגונכם- מסמכים פיננסים, משאבי אנוש, פרוטוקלים, מידע על לקוחות- וצרו פרוטוקולים לגיבוי אוטומטי בהיווצרות מסמכים אלה. השקיעו באחסון הגיבויים בשרתים מאובטחים, המוגנים במערכות אבטחת מידע מתקדמות.
סיסמאות חזקות ואימות רב שלבי
אולי חטא אבטחת המידע הגדול מכולם, מחזור הסיסמאות ושימוש בתאריך יום הנישואין שלנו הוא פריצת אבטחת המידע הגדולה ביותר, וגם הפשוטה ביותר לתיקון. צרו סיסמא בעלת רצף אותיות וספרות רנדומליות, וודאו שהסיסמאות לאמצעי התשלום וחשבונות הבנק הן חזקות, והשתמשו בתוכנות מוגנות לשמירת סיסמאות ולא בפתקים של הפלאפון.
בנוסף, חשוב לבצע אימות דו שלבי הכולל מכשיר נוסף, ועדיף להוסיף נתונים כמו מיקום גיאוגרפי, התנהגות משתמש ומידע נוסף שיכול לעזור למערכת להבין האם מדובר במשתמש הנכון או במתחזה.
עדכונים
מפתחי תוכנה מוצאים באופן קבוע עדכונים שמטרתם מניעת ניצול של חולשה שהתגלתה בתוכנה. חשוב מאוד לשים לב לעדכונים אלה גם אם תדירותן גבוהה, כדגומת פייסבוק אפל ומיקרוסופט מהוציאים עדכונים על בסיס יומי לאור חשיבות המערכות שלהם. גם מערכות שנראות לכם שוליות, כמו מערכת ה-CMS שלכם או אפילו מערכות ה-IoT החל ממדפסות ועד למערכות אחזקת הבניין, זקוקים לעדכונים, אולם בתדירות נמוכה יותר. בנוסף, יש מה שנקרא Legacy Products, שהן בעצם מערכות שהיצרנים החליטו שתם זמנם והפסיקו להוציא עדכונים ולתמוך במערכת. לדגומא, מערכת ההפעלה מיקרוסופט 7 כבר אינה נתמכת על ידי מיקרוסופט, ומערכות הפועלות על מיקרוסופט 7 לאחר תאריך ה-EOL מהוות סכנת סייבר לרשת הארגונית.
הגבלת גישה פיזית
נדמה לפעמים שמתקפות סייבר קורות רק בעולם הוירטואלי, אולם אין לזלז בחשיבות של הגבלת גישה פיזית למתקנים של הארגון. תוקפים חיצוניים מנסים פעמים רבות להסתנן למתקנים בדיוק בגלל השאננות של ארגונים באספקט זה, מתחזים לעיתים לאנשי מקצוע טכניים כמו נציגי חברות טלקום המניחים תשתיות רשת, חברת החשמל ועוד.
גם הגבלת גישה פנימית היא הכרחית, עם העלייה המתמדת בפריצות סייבר שהיו מעורבים בהם עובדים של הארגון, בין אם במודע או לא.
חברות אבטחת מידע מציעות שירותי Red Teaming, סימולציה של התקפה מלאה, רב שכבתית, השמתשמשת במבדקי חדירות והסתננות פיזית כדי למדוד עד כמה האנשים שלכם, הרשתות, היישומים ובקרות האבטחה הפיזית שלכם יכולים לעמוד בהתקפה מצד יריב בחיים האמיתיים.
למרות כל העדויות, ארגונים רבים עדיין לא משקיעים את כמות המשאבים הרצויה לאבטחת המידע שלהם, ומשאירים את מערכות הארגון חשופות ופגיעות. שירותי אבטחת המידע של רדאנטרי מצמצמים את שטח ההתקפה הדיגטלי שלכם, ומומחי אבטחת המידע שלנו מביאים מקצועיות וניסיון של מעל עשור עם מגוון תעשיות וארגונים- בין לקוחותינו חברות פיננסיות, גופים ממשלתיים, חברות סטארט אפ וגופי ביטחון.
לקריאה מעמיקה על סוגי הפישינג, כיצד ניתן לזהות ולהתגונן מפניהם, המשיכו למאמר הפישינג המלא.
