מחקר: ארגונים חווים ביטחון שאינו קשור למציאות באסטרטגיות אבטחת המידע

ארגונים בכל העולם חווים ביטחון שאינו קשור למציאות באסטרטגיות אבטחת המידע שלהם: בעוד שמנהלים מביעים אמון באסטרטגיות של המנכ"ל והדירקטוריון בחברה, הטקטיקות בהן משתמשים הארגונים סותרות לעיתים את הגישות המיטביות לאבטחה. למרות שמשך הזמן הממוצע לגלות מתקפות ברשת הארגונית עומד על 200 ימים – הרי מרבית הארגונים מאמינים שהם יכולים לזהות תוקפים בתוך ימים או שעות; כך עולה ממחקר חדש של סייבר ארק (CyberArk).

חברת אבטחת המידע הישראלית הוציאה היום (ב') את המחקר השנתי שלה על איומי הסייבר המתקדמים. המחקר הונפק על סמך ראיונות עם 673 מנהלי אבטחת מידע ומנהלים בכירים בדרגת מנכ"ל וסמנכ"ל (C-Level).

עוד נתון לא מפתיע העולה מהמחקר הוא שהמנהלים גם ממשיכים להאמין שהם יכולים להרחיק את התוקפים מהרשת בכלל – למרות ראיות חוזרות ונשנות להיפך הגמור. כך, 55% מהם משוכנעים שהם יכולים לזהות פריצה בתוך ימים; 25% סבורים שהם יכולים לזהות פריצה בתוך שעות. 44% מהם עדיין סבורים שהם יכולים להרחיק את התוקפים לחלוטין מרשת שהם רוצים לתקוף. 48% סבורים שהרגלי עבודה רעים של עובדים, הם הסיבה לפריצות למאגרי נתונים. 29% מהם מאמינים שהתוקפים פשוט מתוחכמים מדי. 57% מהמשיבים הרגישו ביטחון באסטרטגיות האבטחה שנקבעו על ידי המנכ"ל, או מועצת המנהלים שלהם.

נתון נוסף מצביע כי תוקפי סייבר שמנצלים לרעה חשבונות פריבילגיים ואדמיניסטרטיביים – חשבונות בעלי הרשאות גבוהות, המורשים לנהל ולתפעל את תשתית ה-IT של ארגונים – משקפים את הסיכון הגדול ביותר לאבטחת הארגון.

סייבר ארק ניתחה הבדלים פוטנציאליים בין איומי סייבר מזיקים ואת רמת הביטחון העצמי של ארגונים ביכולתם להגן על עצמם. מהסקר עולה כי יש מודעות גוברת לגבי הקשר בין השתלטות על חשבונות פריבילגיים כווקטור מרכזי במתקפה, למתקפות המשמעותיות האחרונות שבוצעו. עם זאת, ארגונים רבים עדיין מתמקדים בהגנה היקפית.

המחקר הציף כמה מגמות, ביניהן, מעבר לפריצה לרשת. "תוקפים פועלים להשתלטות טוטאלית על הרשת", נכתב, "כפי שהודגם במתקפות על סוני (Sony Pictures), על הסוכנות הפדרלית האמריקנית לניהול כוח אדם (OPM) ועוד: כאשר תוקפים גונבים חשבונות פריבילגיים, הם יכולים להשתלט על תשתית הרשת ולגנוב כמויות משמעותיות של מידע רגיש. החשבונות החזקים האלה מאפשרים לתוקפים את אותה רמת שליטה כמו שיש למשתמשי ה-IT החזקים ביותר בכל רשת ארגונית. ברגע שתוקף יכול להתחזות למשתמש פנימי לגיטימי – הוא מסוגל להמשיך להעלות את הרשאותיו, ואז להתפשט ממרכיב אחד לאחר ברשת, כדי לגנוב מידע רגיש ובעל ערך".

המנהלים דירגו איזה שלב בהתקפה הוא הקשה ביותר לטיפול: 61% מהם ציינו השתלטות על חשבונות פריבילגיים כשלב הקשה ביותר (לעומת 44% בשנה שעברה); 21% מהם ציינו את השלב של התקנת הנוזקה; 12% מהמנהלים ציינו את שלב איסוף המודיעין על ידי התוקפים.

המנהלים נשאלו אילו וקטורי תקיפה מייצגים את סיכוני האבטחה הגדולים ביותר: 38% ענו כי הרשאות גנובות או חשבונות אדמיניסטרטיביים, הם הסיכון הגדול ביותר לאבטחת המידע; 27% מהם ציינו מתקפות פישינג ואילו 23% ציינו נוזקה ברשת.

ארגונים נכשלים בזיהוי סכנות מתקפה מבפנים

"תוקפי סייבר ממשיכים לפתח טקטיקות כדי לכוון, לגנוב ולנצל לרעה חשבונות פריבילגיים המהווים את המפתח לנכסי המידע הרגישים ובעלי הערך הרב ביותר", נכתב במחקר. "בעוד שארגונים רבים מתמקדים באופן מיוחד על הגנה כנגד מתקפות היקפיות, כמו פישינג, הרי שמתקפות שמתחילות מתוך הארגון – הן בעלות פוטנציאל לנזק הגדול ביותר".

המנהלים דירגו את סוג המתקפות שמדאיגות אותם במיוחד: גניבת סיסמא (72%), מתקפות פישינג (70%), גניבת מפתחות SSH (כ-41%), מתקפות Pass-the-Hash (כ-36%), מתקפות Golden Ticket (כ-23%), מתקפות Overpass-the-Hash (כ-18%), ומתקפות Silver Ticket (כ-12%).

Golden Ticket, Overpass–the-Hash ו-Silver Ticket הם סוגי מתקפות Kerberos, שיכולים לאפשר שליטה מלאה על רשת מסוימת – על ידי השתלטות על שרת ה-domain controller. אחת המסוכנות ביותר ביניהן היא מתקפת Golden ticket, שמשמעותה היא "סוף משחק" עבור הארגון – ואובדן אמון מוחלט בתשתית ה-IT.

"ההנחה שהארגון יצליח להרחיק תוקפים מהרשת כבר אינה מתקבלת על הדעת", אמר אנדרי דולקין, מנהל חדשנות סייבר בסייבר ארק. "התוקפים מצליחים לחדור, והמתקפות המזיקות ביותר מתרחשות כאשר התוקפים גונבים הרשאות פריבילגיות ואדמיניסטרטיביות, וכך משיגים את אותה רמת הרשאה לפעילות ברשת, כפי שיש למנהלי הרשתות עצמם".

"הארגון הופך נתון לחסדי התוקף ומניעיו, בין אם כלכליים, מניעי ריגול, או גרימת נזק לארגון. ארגונים מכירים בכך שהם צריכים להרחיב את אסטרטגיות האבטחה שלהם, מעבר לניסיונות לעצור מתקפות פריצה של הגנה היקפית, כמו פישינג. ארגונים צריכים להיות מסוגלים להגן על עצמם כנגד יותר מתקפות הרסניות המתרחשות עמוק יותר בתוך הרשת, כגון מתקפות על פרוטוקולי אימות (NTLM, Kerberos)".