שיחת ועידת חוזי (Video Conference) היא אמצעי נפוץ בקרב עסקים לקיום פגישות בינלאומיות או מקומיות מנוחות חדר הישיבות הארגוני או מהמשרד.

בשלב איסוף המידע אצל אחד מלקוחותינו כחלק ממבדק חדירה חיצוני, מומחי אבטחת המידע של איי פי וי סקיוריטי, איתרו פרצה המאפשרת גישה בלתי מורשית, לממשק הניהול של מערכת ועידת החוזי מהאינטרנט הציבורי.

עם העמקת חקירת הפרצה וכדי להוכיח את פוטנציאל הנזק, הצטרפו מומחי איי פי וי סיוקריטי לאחת משיחות הועידה הפעילות באופן סמוי.

באותה שיחה נחשף מידע עסקי רגיש, לא רק באופן ויזואלי בשידור הוידיאו עצמו אלא אף בשיתוף מסך של גליונות נתונים מסווגים.

תוצרי המבדק חשפו בפני נציגי מערכות המידע של הלקוח פרצת אבטחת מידע, שעשויה בסבירות גבוהה, לשמש גורמים בלתי רצויים ואף סיפקו המלצות וכלים יישומיים להקטנת חשיפה זו.

מבדקי ה-Audit-as-a-Service המוצעים על ידי איי פי וי סקיוריטי, מאפשרים ללקוחותינו לזהות פרצות בסביבה הטכנולוגית, הן ברמת התשתית (שרתים, ציוד תקשורת, מוצרי אבטחת מידע וכיוב'), והן ברמת היישומים המרכזיים בארגון (Web Applications, Data Bases, מערכות הרשאת משתמשים, SAP ועוד). קשת המבדקים הרחבה מבוצעת תוך חיבור הממצאים לרמה העסקית ונסי המידע הקריטיים של הארגון.

תקיפות "המימד האנושי" (Social Engineering) התפתחו בשנים האחרונות משליחת מכתבי דואר אלקטרוני ספאם בניסוח קלוקל וגרפיקה חד-גונית, לתקיפות פישינג (Phishing) מתקדמות, המהוות פעמים רבות חלק מרכזי מתקיפה ממוקדת (APT).

עם זאת, עקרון הפעולה נותר זהה – ניצול פערים במודעות המשתמש, נקודות "כשל אנושי" אשר ניתנות לשימוש על ידי תוקף בכדי לעקוף את מערכות ההגנה על רשת המחשוב.

במבדק שבוצע באחד מלקוחותינו, חברת היי-טק גדולה בעלת פריסה גלובלית, עוצב מייל פישינג בעל תוכן אטרקטיבי ועכשווי, שכלל קישורים (לינקים) לקטלוג בפורמט PDF ובו מבצעים מיוחדים לחופשות ולסמארטפונים מוזלים. לאחר שליחתו, נרשמה היענות גבוהה כבר מהדקות הראשונות.

בתום ארבע שעות בלבד מתחילתו, הודעת הפישינג נפתחה על ידי למעלה מארבעים אחוז מהנמענים, כ-3 פעמים בממוצע על ידי כל אחד מהם, והקישורים שבה נלחצו 2.5 פעמים בממוצע על ידי כל משתמש שהקליק. בנוסף, מספר עובדים שלחו מייל תלונה לתיבת הדואר המפוברקת ממנה נשלחה ההודעה בבקשה לקבל קטלוג תקין.

תוצאת מבדק זה סיפקה לאותו ארגון תובנה באשר לחשיפה הפוטנציאלית של נכסי המידע הקריטיים שלו מכיוון הדואר האלקטרוני, המהווה מרכיב חיוני בכל זרימת מידע בארגון. תוצר המבדק המחיש פערים הן בהיבט התשתיתי (יעילות מערכת סינון הדואר וה-End Point Security) והן בהיבט המשתמשים (מודעות, נהלי עבודה ב-Helpdesk וכו'). בסיום המבדק, נשלח מייל הבהרה, המכיל מסרים להעלאת מודעות העובדים לנושאי אבטחה בכלל ולשימוש מאובטח בדואר האלקטרוני הארגוני בפרט. יש לציין שלאחר המבדק, מייל המבדק הופך לשיחת היום בקרב העובדים, והוא יעיל בהעלאת המודעות לנושא אבטחת המידע לטווח זמן רב יותר מחלופות אחרות.

מבדק המימד האנושי נבנה על ידי מומחי איי פי וי סקיוריטי בשיתוף מלא עם נציג הלקוח ובאופן מותאם לארגון הנבדק ואוכלוסיות היעד. החל מבחירת תוכן מזמין ואטרקטיבי (לרבות נוסח אנגלי), החלטה אם לשלב פורטל הזדהות מפוברק או לשלב פוגען, דרך איסוף הסטטיסטיקות ופילוח הנמענים ועד סיוע בניסוח המסרים להעלאת המודעות.

איומי הסייבר, כפי שהוטבעו בעשור האחרון, הינם איומי מחשוב בקנה מידה רחב שמקורם, בדרך כלל, מחוץ לארגון (שותפים, ספקים, אינטרנט), הם מתוכננים מראש, ממוקדי מטרה ועל פי רוב מתבצעים בעוצמה או תחכום רב לצורך השגת חזקה על נכסי הארגון ו/או על-מנת השפיע על הארגון עד כדי איום קיומי.

יש הטוענים, ובצדק לדעתינו, כי ארגון המקיים שגרת אבטחת מידע פרו-אקטיבית מקטין משמעותית ומונע את מרבית איומי הסייבר וכי אבני היסוד הם זהים. עם זאת, לאור ההשפעה הקריטית שיכולה להיות לאיומי סייבר, יישמנו באיי פי וי סקיוריטי מתודולוגיה ייחודית בת ארבע שלבים, המקשרת בין עולמות אבטחת המידע והסייבר, באחד מלקוחותינו הגדולים. עיקרי מתודולוגיה זו מתוארים באיור הבא:

איור תיאור שלבי סקר מוכנות סייבר

בשלב הראשון, מיפינו את פוטנציאל האיומים ווקטור התקיפה באוריינטצית סייבר על נכסי המידע של הארגון. כל מקור מידע קיים, בעל-פה או בכתב, נבחן בהקשר מתקפת סייבר לצורך קביעת סבירותו. למשל, מה הסבירות שאורח לא רצוי שהסתנן לעמדת מחשב דרך פרצה באפליקציה מקוונת באינטרנט, יוכל לגשת לנכס מידע כמו בסיס נתונים (Data Base), המכיל מספרי כרטיסי אשראי של לקוחות ולהוריד לעצמו עותק.

בשלב השני ועל בסיס מיתאר האיומים, הפעלנו סדרת מבדקי חדירה תשתיתיים, אפליקטיביים ואנושיים. מכלול המבדקים, בחן מחד את קלות מימוש המתקפה ומאידך את מנגנוני הזיהוי והבקרה הקיימים בארגון תוך סימולציה של תהליכי מענה לאירועים באוריינטצית מתקפת סייבר. אחד מהפערים שזוהה במהלך ביצוע הסקרים, הוא יעילותה הנמוכה של מערכת ה-SIEM) Security Information Event Management) הארגונית בזיהוי מתקפות ויתרה מכך, העדר תהליך המגדיר פעולות, אחריות ואמצעים בעת זיהוי אירוע.

בשלב השלישי הועברה ללקוח תוכנית עבודה, הכוללת פעולות ישימות ומתועדפות להעלאת רמת מוכנות הארגון למתקפות סייבר בהתבסס על מה שהודגם בשלבים הקודמים ובנוסף כלים ליצירת שיפור מתמיד ברמת המוכנות בכל הנושאים שנסקרו.

אנו, באיי פי וי מציעים את שירות ה-CISO-as-a-Service ללקוחות סקר מוכנות הסייבר, שמאפשר לארגונים לנהל את תהליך השיפור ברמת המוכנות על ידי מקצועני אבטחת מידע, במתווה ניהול פרויקט. שירות זה מכסה נושאים כגון: ניהול מערכת אבטחת המידע, טכנולוגיה, העלאת מודעות עובדים, התאוששות עסקית, הצטיידות בטכנולוגית הגנה משלימות ועוד.