"היקף הפריצות דרך קוד פתוח יעלה השנה"

"האקרים מנצלים את קוד הפתוח כדרך קלה להסתנן לארגונים. מגמה זאת תגבר השנה. לא עובר שבוע מבלי שנגלה חבילות קוד פתוח המכילות נוזקה. אמנם, ארגונים מבינים שעליהם לאבטח את מרכיבי הקוד הפתוח בהם הם משתמשים, ויש פתרונות המסייעים בהסרת חבילות שנשארו בהן חולשות אבטחה בשוגג. עם זאת, אותם ארגונים עדיין אינם מודעים למקרים בהם יריבים מחדירים לחבילה קוד מזוהם בכוונת זדון. זה צריך להשתנות השנה", אמר מתי סימן, המייסד וסמנכ"ל הטכנולוגיות של צ'קמרקס.

לדבריו, "השנה, כלים המשמשים לאבטחת יישומים, המשתלבים בשרשרת כלי הפיתוח – יידרשו לפעול הרבה יותר מהר, להתרחב לסביבות ענן ולספק ממצאים המאפשרים לארגונים לנקוט פעולה. זה ייעשה פורמט שמפתחים יכולים להבין ולהשתמש בו לתיקונים מהירים".

זהירות, קוד פתוח. אילוסטרציה: BigStock

סימן ציין כי "הביקוש לאבטחה מבוססת בענן מגדיל את השימוש בתשתית כקוד (IaC). ההסלמה הדיגיטלית שהתרחשה בן לילה בשנה האחרונה אילצה ארגונים רבים לעבור לענן כדי לשמור על רציפות עסקית. בשנה הקרובה, תוקפים זדוניים ינצלו לרעה שגיאות של מפתחים בסביבות גמישות אלה. כדי להילחם בתופעה נהיה עדים להתמקדות משמעותית בהכשרות לאבטחה בענן, פרקטיקות מומלצות לשימוש בתשתית כקוד ותקציבים נוספים שיוקצו לאבטחת תוכנה ויישומים, כדי לתמוך בביקוש מצד עובדים מרחוק ובסביבות תוכנה מורכבות יותר".

"צוותי האבטחה ידווחו לפיתוח – לא ההיפך"

הוא הוסיף כי "צוותי האבטחה ידווחו לפיתוח – לא ההיפך. זאת, כדי לקדם את שיתוף הפעולה בין שני הצוותים, כשהאבטחה תצטרך להשתלב בשרשרת הפיתוח באופן נוח יותר למפתחים. האבטחה תידרש לפגוש את המפתחים במגרש שלהם ולהשתמש בממשקים ובכלים המועדפים עליהם".

סימן סיכם באומרו כי "ההקשר הוא המלך. ראייה הוליסטית של היישום משפרת את מעמד האבטחה. השנה נהיה עדים לנטישת הפתרונות המסוגלים ל-'טריק אחד בלבד'. תתרחש התלכדות בשוק אבטחת האפליקציות, כי ארגונים ידרשו לקבל פרספקטיבה כוללת על מצב אבטחת היישומים, שמקיפה כמה נקודות מבט – למשל, הבנת ההקשר של היישום ושילובו בתשתית כקוד. התוצאה תהיה אימוץ פתרונות שמספקים הכול תחת קורת גג אחת, לרבות תמונה מלאה של האקו-סיסטם".

מתקפות הפישינג בעלייה

תחזית מעניינת נוספת, שפורסמה באחרונה, היא של חוקרי מעבדות F5. הם ציינו כי "כתוצאה משיפור בקרות ופתרונות האבטחה של תנועת הבוטים (בוטנטים), התוקפים מאמצים חוות קליקים. הדבר כרוך בהעסקת עשרות 'עובדים' מרוחקים, שמנסים באופן שיטתי להיכנס לאתר יעד באמצעות אישורים שאספו באחרונה. החיבור מגיע מאדם המשתמש בדפדפן אינטרנט רגיל – דבר שמקשה על גילוי פעילות מרמה. גם לנפח מתקפות נמוך יחסית יש השפעה".

"מגמה שנייה הקשורה לפישינג", כתבו, "היא עלייה בהיקף ה-RTPP (ר"תReal time phishing proxy), שיכולים ללכוד ולהשתמש בקודים לאימות רב שלבי (MFA). ה-RTPP פועל כ-'אדם באמצע' (Man in the middle) ומיירט עסקאות של הקורבן עם אתר לגיטימי".

ארן אראל, מנהל הפעילות של F5 בישראל, יוון וקפריסין. צילום: גבריאל בהרליה

לדברי ארן אראל, מנהל פעילות F5 בישראל, יוון וקפריסין, "בנקאות פתוחה מאפשרת לבנקים לשתף באופן מאובטח את נתוני הלקוחות עם ספקי צד שלישי במגוון ורטיקלים, כמו גם עם בנקים אחרים, באמצעות ממשקי API. מחקר שנערך בחסות F5 העלה ששישה מ-10 צרכנים יהיו מוכנים לחלוק מידע פרטי ומשמעותי עם הבנק וחברת הביטוח, בתמורה למחירים נמוכים יותר. אלא שהשימוש המוגבר בממשקי API בכל הענפים לא נעלם מעיני פושעי הרשת. עד 2022, ניצול ממשקי ה-API יהיה וקטור ההתקפה הנפוץ ביותר נגד יישומי ווב ארגוניים – דבר שיוביל ללא מעט אתגרי אבטחת מידע. ההתקדמות של הבנקאות הפתוחה תתעכב אם לא יטופל החשש של הצרכן מהונאה או פריצה למידע".

אראל ציין ש-"עבור מקצוענים בתחום אבטחת הסייבר, למידה מתמדת היא חלק מהתפקיד. אין מוסד לימודי שיכול לכסות את כל הנושאים האפשריים. מעבר לכך, הדרישות של הארגון נקבעות על פי האסטרטגיה שלו, ארכיטקטורת האבטחה והגישה של מנהל הגיוס. המשמעות היא שגם מומחים מנוסים חייבים לצבור כל הזמן מיומנויות חדשות. לכן, המאפיינים החשובים ביותר שצריכים להיות בכל מועמד לתפקידי אבטחת מידע הם עניין וסקרנות".

לחצו על הלינקים לכתבות הראשונה, השנייה והשלישית בסדרה.