גם לאחר מתקפות – מחצית מהארגונים לא משנים את ההגנה

קרוב למחצית, 46%, מאנשי המקצוע בתחום אבטחת המידע אומרים שרק לעתים נדירות הם עושים שינוי מהותי באסטרטגיית האבטחה של הארגון – אפילו אם הארגון עבר מתקפת סייבר, כך על פי דו"ח האיומים המתקדמים הגלובלי של סייברארק (CyberArk) לשנת 2018.

המחקר השנתי של סייברארק על איומים מתקדמים לשנת 2018 מתפרסם זו השנה ה-11. הוא נערך על-ידי מכון Vanson Bourne  בקרב יותר מ-1,300 מקבלי החלטות בתחום אבטחת המידע, מפתחי אפליקציות ו-DevOps ומנהלי תחומים עסקיים בארגונים, בשבע מדינות בעולם: ישראל, אנגליה, ארצות הברית, אוסטרליה, גרמניה, צרפת, וסינגפור.

על פי ענקית אבטחת המידע הישראלית, "רמת שאננות שכזו ביחס לאבטחת מידע ולהגנת הסייבר, ואי-הפקת לקחים מתקריות קודמות – מסכנים את הנתונים, התשתיות והנכסים הרגישים של הארגון".

מספר גבוה של מנהלי אבטחת מידע סבור שאבטחת סביבה מתחילה בהגנה על החשבונות הפריבילגיים: 89% מהנשאלים ציינו שתשתית המחשוב והמידע הקריטי אינם מוגנים לחלוטין, כל עוד החשבונות הפריבילגיים, ההרשאות וה-secrets (סודות) מוגנים אף הם.

הם פירטו את איומי אבטחת הסייבר הגדולים ביותר שעמם הם מתמודדים, בהם: התקפות פישינג ממוקדות (56%);  איומים של גורמים מתוך הארגון (51%); כופרות, או נוזקות(48%); חשבונות פריבילגיים לא מאובטחים (42%); מידע לא מאובטח המאוחסן בענן (41%).

המשיבים לסקר ציינו עוד, ששיעור המשתמשים המחזיקים בהשראות פריבילגיות אדמיניסטרטיביות במכשירי הקצה שלהם, גדל מ-62% (על פי סקר סייברארק מ-2016) ל-87% כיום. "זינוק זה, של 25%", ציינו עורכי המחקר, "מעיד אולי שהצורך של עובדים בגמישות – גובר על נהלי האבטחה המומלצים".

האדישות שעלולה להוביל לפגיעה בנתונים

"ממצאי הסקר רומזים שהשאננות לאבטחה התפשטה בארגונים רבים", כתבו החוקרים, "עד כדי חוסר יכולת להרתיע, או לבלום איומי סייבר ואת הסיכונים הנובעים מהם".

ממצאים אלה נתמכים בממצאים אחרים: 46% אמרו שהארגון שלהם אינו מסוגל למנוע מתוקפים לפרוץ לרשתות הפנימיות בכל ניסיון פריצה כזה. כך, 36% מהם דווחו שההרשאות האדמיניסטרטיביות שמורות במסמכי Word או גיליונות Excel במחשבי החברה.

מחצית מהם הודו שפרטיות הלקוחות, או המידע האישי המזהה (PII) שהם מוסרים, עלולים להיות בסכנה, כי הנתונים אינם מאובטחים מעבר לרמת האבטחה הבסיסית הנדרשת בחוק.

גישה של "ראש קטן" יוצרת סיכוני סייבר

תהליכי האוטומציה המאפיינים את הענן וה-DevOps, נכתב, "משמעותם שחשבונות פריבילגיים, הרשאות וסודות – נוצרים בקצב גובר והולך. במקרה של פריצה, הם עלולים להעניק לתוקפים נקודת זינוק קריטית להשגת גישה רוחבית למידע רגיש ברשתות, בנתונים וביישומים – או לשימוש בתשתית הענן, לפעילויות לא חוקיות של כריית קריפטו".

כך, "יותר ויותר ארגונים מכירים בסיכון האבטחה הזה – אבל עדיין נותרים שאננים בכל הקשור לאבטחת הענן". כך, עולה מהסקר כי: למחצית הארגונים אין אסטרטגיה לאבטחת חשבונות פריבילגיים בענן; יותר משני שליש (68%) מעבירים את האחריות לאבטחת הענן לספק – ומסתמכים על יכולות אבטחה מובנות; 38% הצהירו שספק הענן שלהם אינו מספק אבטחה נאותה.

"שינוי של תרבות אבטחת הסייבר ויציאה מהלך הרוח האדיש חיוניים לאסטרטגיה וההתנהגות הארגוניות", נכתב. "לא מדובר באילוצים תחרותיים חיצוניים".

כך, עולה מהסקר כי 86% ממקצועני אבטחת המידע סבורים שאבטחה צריכה להוות נושא קבוע בדיוני ההנהלה; 44% דיווחו שהם מביעים הערכה, או מתגמלים עובדים שמסייעים למנוע פריצה. בארצות הברית הנתון גבוה אף יותר, ועומד על 74%. רק 8% מהחברות מבצעים תרגולי Red Team (תקיפות עצמיות) באופן קבוע, כדי לגלות נקודות פגיעות קריטיות ולזהות תגובות אפקטיביות.

"התוקפים ממשיכים לפתח את הטקטיקות שלהם, אך ארגונים מתמודדים עם אדישות וחוסר מעש המטים את כף המאזניים לטובת התוקפים", אמר אדם בוסניאן, סגן נשיא בכיר לפיתוח עסקי גלובלי בסייברארק.

"חייבת להיות תחושת דחיפות רבה יותר בבניית העמידות בפני המתקפות של היום. זה מתחיל בהבנה של התרחבות המתקפות על חשבונות פריבילגיים וכיצד הן מסכנות את הארגון. מאבק אפקטיבי בחוסר מעש מצריך מנהיגות חזקה, לקיחת אחריות, והגדרה ותקשור ברורים של אסטרטגיות אבטחה, כמו גם יכולת לאמץ דפוס חשיבה "כמו של התוקפים".