עובדי חברה- איום הסייבר מספר #1

עובדים וספקים הם הגורם מספר אחת לפרצות אבטחת מידע, על פי סקר של Haystax, רוב אנשי מקצוע הסייבר (56%) טוענים כי איומי הפנים נמצאים במגמת עלייה.

משתמשים עם גישה למידע רגיש נחשבים לאיום הגדול ביותר (60%), יועצים וקבלנים במקום השני (57%) ואחריהם עובדים בעלי רמת גישה רגילה (51%).

מדוע גדל האיום של גורמים פנימיים? המחקר של Haystax זיהה מספר סיבות:

• אסטרטגיות ופתרונות שאינם מספקים הגנה כוללת 
• גידול במספר המכשירים עם גישה לנתונים רגישים
• ריבוי נתונים רגישים הנעים מחוץ לחומת האש במכשירים ניידים
• יותר עובדים, ספקים ושותפים ניגשים לרשת
• מערכות טכנולוגיות מורכבות יותר
• הגברת השימוש באפליקציות ותשתיות ענן

פריצות אבטחת מידע שנגרמו מפישינג

הפישינג, או דיוג לחובבי האקדמיה ללשון העברית, הוא ניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש.

סוגי מתקפות פישינג

• אימייל פישינג– אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות.
• Spear phishing- כמו אימייל פישינג, רק שבמקרה זה הוא מנוסח ייעודית לקבוצה קטנה של אנשים, לעיתים מטרה בודדת. התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".
• Whaling- תת קטגוריה בתוך הדייג הממוקד, סוג פישינג זה מתמקד במנהלים בכירים
• Vishing- שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי.
• MITM- מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות

הפריצה בנובמבר 2016 לחשבון המייל של יו"ר מערכת הבחירות הדמוקרטית של המועמדת לנשיאות הילרי קלינטון, ג'ון פודסטה, הייתה הבה יותר מעוד אירוע פישינג. החשבון שלו נפרץ על ידי קבוצת האקרים רוסית הידועה בשם Fancy Bear, שהתחזו לגוגל ושלחו אימייל בו אמרו שהוא צריך לשנות את הסיסמא לאחר שהתרחש ניסיון פריצה. הכניסה ללינק שהובילה אותו לאתר מזויף הוביל לפרסום של אלפי מיילים של פודסטה באמצעות ויקיליקס בשבועות שקדמו לבחירות בנובמבר.

עוד אירוע פישינג מפורסם התרחש בינואר 2022, כש- Cleardin פרסמו על האקרים רוסים בחסות המדינה שקיבלו גישה לתשתית רשת החשמל של ארצות הברית על ידי פריצה לחברות קטנות שעובדות בשיתוף עם רשת החשמל- אתר הכשרה חינוכית, חברות חפירות וחברת בנייה. ההאקרים השתמשו בחברות אלה כדי לשלוח פישינג דרך האימייל לעבודים ברשת החשמל.

הגנה מפישינג

בדיקת פישינג מתבצעת ע"י צוות בודקים המתמחה בזיהוי המתקפות ויישומן במרחב העבודה. מטרת צוות החוקרים היא ליצור הדמיה למתקפת פישינג אמיתית, וכך עובדי הארגון נתונים תחת מבחן פישינג- האם ימסרו את פרטיהם או לא.

הצוות בדרך כלל ירכוש דומיין, ולעיתים גם תעודת SSL על מנת לא לעורר חשד. לאחר מכן נשלחת הודעה לעובדי החברה (באמצעות אחת משיטות הדיוג המופיעות), מכתובת שכביכול מוכרת. להודעה לרוב מצורף קישור עם בקשה להזין פרטים אישיים (סיסמא, שם משתמש, פרטי חשבון וכדומה).

ברגע שמודעות העובדים לנושא זה תגדל באמצעות מבחני הפישינג, זהירות העובדים תעלה וכך תמנעו את המתקפה הבאה.

פריצות אבטחת מידע שנגרמו מטעות אנוש

על פי הדו"ח של Verizon לשנת 2022 בחן 23,896 אירועים בשנה שעברה, טעויות אנוש ממשיכה להיות גורם מוביל בפרצות נתונים. 82% מפריצות אבטחת המידע לשנת 2021 כללו טעות אנוש.

קחו לדוגמה את המקרה של Snapchat, שבשנת 2016, עובד בחברת המדיה החברתית חשף מידע על שכר של כ-700 עובדים בהווה ובעבר לאחר שהתוקף התחזה למנכ"ל החברה, אוון שפיגל, והונה עובד לשלוח אימייל המכיל את המידע.

מקרה נוסף שהתרחש בתחילת דצמבר 2018, כשבחברת הרשת והטלקומוניקציה השוודית אריקסון פג תוקפו של אישור דיגיטלי ששימשה את החברה עבור תוכנת ה- SGSN–MME . תקרית זו גרמה לשיבושים ונפילה של שירותי סלולר בבריטניה, וכתוצאה מכך 32 מיליון איש בבריטניה לבדה איבדו את הגישה ל-4G ו-SMS ב-6 בדצמבר. מעבר לבריטניה, השיבושים הגיעו ל-11 מדינות כולל יפן.

פריצות אבטחת מידע שנגרמו מרשלנות

עיריית קלגרי בקנדה נתבעת על 92.9 מיליון דולר בגין הפרת פרטיות ב-2017 שהשפיעה על יותר מ-3,700 מעובדיה. העירייה מואשמת ב"בהזנחה ברורה" לאחר שעובד בעיריית קלגרי שלח דוא"ל לעובד בעיריית אלברטה ושיתף פרטי פיצויים לעובדים, רשומות רפואיות, מספרי ביטוח לאומי, כתובות, תאריכי לידה, פרטי הכנסה.

חברת כרטיסי האשראי האמריקאית Equifax חוותה ב-2017 פריצה, במהלכו הודלפו נתונים אישיים של כמעט 146 מיליון אמריקאים ו-15 מיליון אזרחים בריטים. הדליפה נגמרה מטעות של עובד בוד במחלקת הטכנולוגיה של Equifax שלא "הקשיב לאזהרות האבטחה לביצוע עדכוני תוכנה" על פי עדותו של מנכ"ל החברה.

מפתחי תוכנה מוצאים באופן קבוע עדכונים שמטרתם מניעת ניצול של חולשה שהתגלתה בתוכנה. חשוב מאוד לשים לב לעדכונים אלה גם אם תדירותן גבוהה, כדגומת פייסבוק אפל ומיקרוסופט מהוציאים עדכונים על בסיס יומי לאור חשיבות המערכות שלהם. גם מערכות שנראות לכם שוליות, כמו מערכת ה-CMS שלכם או אפילו מערכות ה-IoT החל ממדפסות ועד למערכות אחזקת הבניין, זקוקים לעדכונים, אולם בתדירות נמוכה יותר. בנוסף, יש מה שנקרא Legacy Products, שהן בעצם מערכות שהיצרנים החליטו שתם זמנם והפסיקו להוציא עדכונים ולתמוך במערכת. לדגומא, מערכת ההפעלה מיקרוסופט 7 כבר אינה נתמכת על ידי מיקרוסופט, ומערכות הפועלות על מיקרוסופט 7 לאחר תאריך ה-EOL מהוות סכנת סייבר לרשת הארגונית.

מתקפת שרשרת האספקה הידועה לשמצה של SolarWinds, החברה שמספקת מערכות ניטור ו-IT לגופים רבים, בהם מוסדות רשמיים של ממשלת ארצות הברית, התרחשה תאמינו או לא בגלל סיסמא חלשה. האקרים ניצלו פגיעות בתוכנת הניטור Orion, מה שאפשר להם להתקין קוד זדוני ולהישאר רדומים במערכת יותר משנה ללא גילוי.

למרות שזה לא אושר, עובדי SolarWinds בהווה ובעבר מדווחים שהגורם העיקרי להתקפת שרשרת האספקה ​​היה סיסמה חלשה: מתמחה השתמש בסיסמה "solarwinds123", והסיסמה הזו הייתה נגישה לציבור דרך מאגר GitHub שהוגדר בצורה שגויה .

אולי חטא אבטחת המידע הגדול מכולם, מחזור הסיסמאות ושימוש בתאריך יום הנישואין שלנו הוא פריצת אבטחת המידע הגדולה ביותר, וגם הפשוטה ביותר לתיקון. וודאו כי עובדיכם יוצרים סיסמא בעלת רצף אותיות וספרות רנדומליות, ושהסיסמאות לאמצעי התשלום וחשבונות הבנק הן חזקות. השתמשו בתוכנות מוגנות לשמירת סיסמאות ולא בפתקים של הפלאפון. בנוסף, חשוב לבצע אימות דו שלבי הכולל מכשיר נוסף, ועדיף להוסיף נתונים כמו מיקום גיאוגרפי, התנהגות משתמש ומידע נוסף שיכול לעזור למערכת להבין האם מדובר במשתמש הנכון או במתחזה.

פריצות אבטחת מידע שנגרמו מזדון

עובדים ממורמרים יכולים לגרום נזק, בין אם בגלל ההרגשה שפיטרו אותם שלא בצדק, או בין אן הם מונעים מחמדנות ורצון להשיג יתרון תחרותי עם מעסיק חדש.

לעובדים יש גישה ישירה לרשת הפנימית, ויכולים לגרום לנזק רב. ניקח לדוגמא את מנהל הרשת לשעבר של העיר סן פרנסיסקו,שהחזיק את מערכות העיר כבני ערובה בכך שסירב לוותר על הסיסמאות. למה? הוא הרגיש שהממונים עליו אינם מוכשרים.

לא משוכנעים? בואו נסתכל על חברת הנפט והגז EnerVest, שמנהל הרשת חיבל במערכות החברה על ידי החזרתן להגדרות המפעל המקוריות, משום שהוא גילה שעומדים לפטר אותו.

הגנה על ארגונים מאיומי סייבר פנימיים

מבדקי חדירות פנימיים–

ביצוע מבדקי חדירות מנקודת מבט של תקוף עם גישה פנימית, לרוב עובדים, חושף חולשות אבטחה ומצביע על חלוקת הרשאות לא נכונה.

בבדיקות חוסן אפליקטיביות מסוג White box, הבודק מקבל את מלוא המידע אודות הארגון, לרבות פרטי מערכות המידע וההגנה, וזאת כדי לאפשר ביצוע בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.

בדיקה זו מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר של תחום הארגון. בתחום התוכנה משמעות ה-Penetration testing היא שהבודק מקבל את כל קוד המקור של התוכנה, כולל איפיון ומידע מפורט, וזאת על מנת למצוא פגיעויות בקוד ובמנגנוני התוכנה הנראים מצד הפיתוח.

מבדק חדירות פנימי לרשתות הינו ניסיון לחדור ולקבל גישה למערכות המידע הארגוניות, וזה נעשה מנקודת מבט של תוקף בעל גישה לרשת הפנימית או עובד עם גישה מוגבלת לרשת.

במחשבים שבהם יש הקשחה נאותה הפעולות שתוקף יכול לעשות הן מאוד מוגבלות. במהלך בדיקת חדירות פנימית, צוות הבודקים מנסה להעלות את ההרשאות שלנו (אסקלציה) ככל האפשר, ועל ידי כך לקבל גישה לכל ההתקנים אשר נכללים בבדיקה.

כהוכחה לבדיקה לרוב נשלחים ראיות המאששות את הממצאים, ראיות כגון:

• סיסמאות גישה ניהולית ולמסדי נתונים
• הודעות מייל ומסמכים סודיים
• תצלומי מסך