"יותר ויותר ארגונים נאבקים באיומי הסייבר – בצורה לא טובה"

"מנהלי ומנהלות אבטחת המידע מתמודדים בכמה חזיתות, למול כמה אתגרי אבטחה מתמשכים: המחסור הנמשך בכוח אדם מקצועי, 'צל ה-IT', הגידול במשטחי התקיפה הפוטנציאליים, בין השאר בגלל עבודה היברידי, ועוד. לצד אלה, ישנם איומים חדשים יותר שעומדים בפני צוותי האבטחה בארגונים השנה. אין ל-IT כדור בדולח, והאמת היא שמנהלי ומנהלות הגנת הסייבר לא תמיד יודעים מה קורה", כך לפי דו"ח חדש של גרטנר (Gartner).

גרטנר

על פי גרטנר, "אנחנו רואים יותר ויותר ארגונים שנאבקים למול איומי הסייבר, אלא שהם עושים זאת בצורה לא טובה. נדרש להתחיל ביסודות – וזה כולל להתאים את המודלים שלהם לאבטחה לעידן האיומים החדש, כדי להגן טוב יותר על פני כל הסביבה שלהם".

"יש להתמקד בזיהוי האיום, ובהתאם, לבנות את התגובה", ציינו חוקרי גרטנר. "זהות היא ה'הגנה ההיקפית' החדשה. זהות גורם האיום בסייבר היא מרכיב מהותי בהגנה על הרשת הארגונית. היא הליבה. יכולת חלשה לערוך זיהוי מדויק ואמין של שחקן האיום מובילה ישירות לגניבת זהויות של משתמשים בארגון, ומשם – קצרה הדרך לפריצות של חברות".

"אנחנו רואים יותר ויותר ארגונים שנאבקים פשוט משום העובדה שהם לא עושים עבודה טובה עם יסודות. הם לא בהכרח עושים עבודה טובה בהתאמת המודלים הנוכחיים שלהם למינוף על פני כל הסביבה שלהם", ציינו החוקרים. "אחד היסודות הוא עבודה לפי תקני אבטחה, מקומיים ובינלאומיים. ארגונים רבים לא עושים זאת ומפסידים: תקנות האבטחה לא מבדילות בין מחשוב ענן, תוכנה כשירות או עבודה באופן מסורתי. לתקנים 'אכפת' רק מההגנה על הנתונים, בדיוק כמו להאקרים".

"לצד ההתקפות המתפתחות, הן בהיקפן והן במורכבות הטכנולוגית שלהן", נכתב, "אחד האיומים הגדולים ביותר כיום הוא משטח התקיפה המתרחב. יש לערוך ניתוח הבוחן את פער משטח התקיפה – כי הרגולטור לא מתכוון לתת לך 'כרטיס חופשי' אם תאמר 'לא ידעתי שאנחנו משתמשים באפליקציה הזו'. יש לבחון במדויק את משטחי התקיפה, כדי להעריך את 'טביעת הרגל הדיגיטלית' של גורמי האיום החיצוניים. יש לבצע הערכות קבועות ולבדוק את התגובה שלך".

"צורך בצמצום כמות מוצרי אבטחת הסייבר"

איום נוסף, שקיבל חשיבות עם המתקפה על סולארווינדס (SolarWinds) והואץ במהלך הקורונה, הוא בעולם שרשרת האספקה: "עסקים הפכו יותר ויותר תלויים בשרשרת האספקה ​​הדיגיטלית שלהם", ציינו בגרטנר, "ולכן חובה עליהם להתמקד בשאלה 'האם הארגון שלך באמת מבין את הסיכונים הקשורים לספקים שלך?'.

על כל ארגון לוודא שהצוותים שלו מבינים את הסיכונים שהם 'מפילים' על העסק על ידי הכנסת כלים חדשים לארגון. יש לבנות מודל שליטה משותף עם בעלי עניין עסקיים, שיבינו את הסיכון הכרוך בקבלת החלטות מסוימות. יש לערוך סיווג ותעדוף של שותפי שרשרת אספקה ​​דיגיטלית מרכזיים, לפי חשיבותם לעסק, וביחד – לבנות יכולות זיהוי וחוסן בסייבר עבורם, תוך היצמדות לתקנים, ומיפוי כל סיכון בסביבה שלהם".

המלצה שאינה חדשה, אולם עדיין חשובה, לפי חברת המחקר, "היא הצורך בצמצום כמות מוצרי אבטחת הסייבר: ספקיות ההגנה מתרחבות לתחומים חדשים, וישנן טכנולוגיות ויכולות הגנה חופפות, מה שמוביל לעתים קרובות לבלבול. יש לוודא שאינכם קשובים לספין השיווקי שלהן ולדעת שאתם יודעים מה עושה כל כלי אבטחה. זה איננו תחום בו מנהלי.ות האבטחה יכולים להרשות לעצמם לטעות – שגיאה קטנה בתצורה עלולה להשאיר פער אבטחה גדול".

לפי חברת המחקר, "צמצום היקף ספקיות האבטחה יעזור במעט, בעיקר עבור חברות קטנות ובינוניות שאין להן צוות אבטחה ייעודי. לכן, כדאי לערוך איחוד של כלי אבטחה, כדי לשפר את היעילות התפעולית בהגנת הסייבר".

"מנהיגי אבטחת הסייבר מתבזרים"

ההבט האחרון אליו מתייחסים האנליסטים בחברת המחקר, הוא האישי, "מנהיגי אבטחת הסייבר מתבזרים": "לא כל החלטות האבטחה תלויות יותר במנהלי האבטחה, או אפילו בצוות ה-IT. אבל האם האנשים האחרים שמקבלים את ההחלטות האלה מבינים בתחום? הם מבינים מה זה אומר? האם הם יודעים אילו שאלות לשאול, כשהם בוחנים טכנולוגיה ומחליטים להטמיע אותה? חלקם אפילו לא יכולים לאיית IT. לכן, יש להעצים את מנהיגי האבטחה, כדי שיוכלו לקבל החלטות מושכלות על מפת הסיכונים שלהם".

נייר העמדה של גרטנר נחתם בהמלצה לפיה "בעוד שרבים ממליצים להפגיש בין עסקים ו-IT, אנו מציעים ​​להפריד בין השיחות וזהות המשוחחים: ברגע שאתה מתחיל לדבר 'טכנולוגית' – איבדת את הקשב של ההנהלה, ברגע שאתה מתחיל לדבר על ביטוח סייבר – איבדת את הצוות הטכנולוגי שלך. יש לדבר פעמיים, בשתי 'שפות' שונות – אף שזה אותו תרחיש איום. יש להתייחס לאבטחת סייבר כאל סיכון עסקי הדורש השקעה עסקית".