סיסמאות בימי קורונה

סביבת העבודה בארגונים השונים שומרת על עדכון תדיר של מערכות וסיסמאות, אבל זה לא נכון בעבודה מהבית, שאליה עברו ארגונים רבים בתקופת הקורונה ● לפניכם כמה המלצות כיצד לגשת לאתגר האבטחתי בתקופה הזאת

10/05/2020 16:25
ניר צ'קו, חוקר אבטחת מידע במעבדות סייברארק. צילום: יח"צ

יום הסיסמאות הבינלאומי, שחל ביום ה' האחרון, מצוין מדי שנה מאז 2013, והוא הזדמנות לרענן את חשיבות השמירה על המידע שלנו באמצעות אותם מפתחות מורכבים ופרטיים – הסיסמאות. השנה, מביא אתו היום הזה מחשבות ותובנות נוספות, על רקע השינויים הדרמטיים שמשפיעים על כולנו נוכח משבר הקורונה. וכשאני כותב "כולנו", אני מתכוון גם להאקרים.

מגפת הקורונה יצרה שינויים מהותיים באופן שבו אנחנו מתנהלים, ולא רק ברמה שלנו כאנשים פרטיים: ארגונים רבים משנים את אופן ההתנהלות שלהם, בדגש על אפשור עבודה מרחוק.

הקרקע הכי פורייה שהתוקף יכול לבקש

בהקשר של סיסמאות, עבודה מרחוק פותחת וקטור תקיפה עיקרי חדש: גישה נוחה יותר לסיסמאות בארגון. בתקופה זו, נוצר איחוד טכנולוגי בין הסביבה האישית לסביבת העבודה. המחשב האישי והטלפון החכם משמשים כתחליף לתשתית המשרדית המאובטחת.

סביבת העבודה בארגונים השונים הינה כזו שלרוב שומרת על עדכון תדיר של מערכות וסיסמאות, אך הדבר לא נכון לגבי סביבת העבודה בבית. בנוסף, הסיסמאות הפרטיות שאנחנו מגדירים במחשבים האישיים שלנו לא נדרשות לעמוד בתקן אבטחתי כלשהו ולרוב אינן קיימות בכלל, מה שמאפשר לתוקף גישה מהירה ופשוטה לכל המידע השמור במחשב וכחלק ממנו, לסיסמאות השמורות בזיכרון ובדפדפן. כמו כן, מערכות ההפעלה, הדפדפנים ושלל התוכנות השונות על המכשירים האישיים לא בהכרח מעודכנות בשלל ההגנות הקיימות מול פרצות חדשות.

מדובר בקרקע הכי פורייה שהתוקף יכול לבקש. אם הוא מחפש את החולייה החלשה בשרשרת, כאן היא מוגשת לו על מגש של זהב, לא של כסף.

עצור, סיסמה! אילוסטרציה: Yellowj, BigStock

עצור, סיסמה! אילוסטרציה: Yellowj, BigStock

אז איך מתמודדים?

יש שתי גישות מובילות להתמודדות עם סכנות מסוג זה: הראשונה היא שימוש באימות רב גורמי (MFA – ר"ת Multi-factor authentication), שמגדיר שניתן להשתמש בסיסמה אך ורק לאחר הוכחת השייכות שלה למשתמש. לדוגמה, באמצעות אישור במייל או באפליקציה בסמארטפון. מדובר בפתרון טוב מול תוקף שאין לו אינטרסים בולטים במיוחד או שהמשאבים שעומדים לרשותו מוגבלים.

הגישה השנייה היא שימוש באימות חסר סיסמה (Passwordless Authentication) – גישה שיוצאת מהנחת עבודה שלפיה אין למשתמש צורך לדעת מה הסיסמה שאיתה הוא ניגש לשירותים השונים. במקרים שכאלה, עליו להוכיח שהוא אכן מי שהוא אומר שהוא, למשל באמצעות טביעת אצבע. עצם ההוכחה מאפשר למערכת נפרדת להעניק למשתמש גישה להרשאות להן הוא זכאי. השימוש בסיסמה כאן מתבצע מאחורי הקלעים, וזו הגנה משמעותית, שכן אחורי הקלעים נמצאים בשליטה של הארגון ולא של המשתמש.

מה עם פרצות מכוונות וקונפיגורציות שגויות? השינוי שהביאה אתה הקורונה היה משמעותי מאוד ברמה הארגונית, בדמות המעבר של מסה קריטית מהארגון לעבוד מהבית. במקרים רבים, מדובר בפעם הראשונה שבה הארגון פתח את האפשרות הזאת לעובדים.

הסיטואציה הזאת פוגשת את העימות התמידי שיש בין נוחות המשתמש לאבטחת המידע. אפשר לצרף למשוואה גם את המשתנה של המשך התפקוד של הארגון בהיבט הכלכלי, והנה יש לנו מצע מושלם להכין עליו פרצת אבטחה. למה? כיוון שיש סוגיות טכניות, תפעוליות או כלכליות שיקבלו עדיפות על אבטחת המידע, ובכך יאפשרו גישה שאינה מאובטחת למידע רגיש. בטח לא תתפלאו לדעת שהאקרים מבצעים סריקות רבות בכל רגע ורגע. אם תאפשרו פרצה למשך זמן סביר מספיק כדי שיהיה בה צורך, תדעו שאתם לא מאפשרים אותה רק למטרה שלשמה היא נועדה.

סיבה נוספת היא שתהליך המעבר לעבודה מהבית נדרש להיות מהיר. צוותי ה-IT מתמודדים עם אתגרים חדשים בזמן מאוד קצר – דבר שעלול להביא להגדרה שגויה של מערכות, הן בהיבט הטכני והן בהיבט האבטחתי. פעמים רבות, דווקא הפספוסים הם אלה שפותחים את הדלת לתוקף. מדובר באתגר שאינו רק טכנולוגי ולכן, חשוב להבהיר שגם הפתרון מולו הוא היברידי – ארגוני וטכנולוגי כאחד.

חשוב שיהיו נהלים שמגדירים בדיקת מערכות מוטמעות, עם דגש על היבט אבטחת המידע. במידה שמתאפשר, פעילות PT כנראה תיתן פידבק משמעותי בנושא. בנוסף, נדרש שבמידה שמנמיכים את רף האבטחה אל מול צרכים אחרים של הארגון, תהיה מעטפת שיודעת להכיל אירועים, לדוגמה – הוספת חוקים למערכות הניטור וצוותי SOC שיהיו ערניים לפעילויות חריגות.

לסיכום, מגפת הקורונה הביאה איתה אתגרים רבים, הרבה מהם חוצים עולמות ומעמידים ארגונים מול החלטות עסקיות מורכבות. החולייה החלשה באבטחת מידע היא ללא ספק הגורם האנושי, וההרחקה שלו מבקרת הארגון היא היבט משמעותי, שנדרש לתת לו מענה הן באמצעות פתרונות טכנולוגיים והן באמצעות נהלים וצעדים תפעוליים. ההמלצה שלי היא לגשת לכל אתגר אבטחתי בתקופה הזו כמו שניגשים ללבוש בתקופות מעבר – באמצעות שיטת הבצל: הרבה מעטפות הגנה, שיודעות לחפות האחת על השנייה.

הכותב הינו חוקר אבטחת מידע במעבדות סייברארק.

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים