פרויקטים

דואר אדום ועידות

פרויקטים זירת הנדל"ן זמן ניהול Duns Medical הפניקס השקעות המצטיינים של הצרכנים תכנון פיננסי Superbrands נשים ופיננסים שורת הרווח כדאי להכיר סודות שוק ההון HealthIL מועדון המשקיעים מדור המגייסים עסקים קטנים ובינוניים טכנולוגיה חקלאית C TRAVEL מתחם ה-1000 אקלים ואנרגיה ירוקה הרשויות המקומיות Best Workplaces השקעות נדל"ן בחו"ל The Recruiters CORPORATE מהפכת שבבי העתיד חדשות הבורסה רכבת ההשקעות Startup Confidential C LEVEL הודעות בורסה מכרזים

איך תגנו על הארגון והעובדים מפני התקפות סייבר

נועם פרוימוביץ', מנהל קספרסקי ישראל, מתאר את הפירצה בקוד של לינקדין, מסביר כיצד נחשפה וגם מפרט כיצד יכול כל CEO ו-CIO ללמוד מהמקרה

נועם פרוימוביץ,קספרסקי 10:34 24.09.15

תגיות:

קספרסקי

לקראת סוף 2014 התרחש מאחורי הקלעים תהליך שאולי לא השפיע על אף אחד, אבל הדליק נורה אדומה בוהקת אצל עסקים וארגונים ברחבי העולם. בלינקדין, רשת המדיה החברתית העסקית הגדולה בעולם החולשת על 350 מיליון משתמשים, נחשפה בעיית אבטחה אשר הייתה יכולה, אם הייתה נחשפת ומנוצלת על ידי האקרים, להוות איום רציני עבור המשתמשים. היא הייתה יכולה לאפשר דרך קלה ונגישה ליצירת קמפיינים של דיוג ממוקד, גניבת הרשאות או אפילו הפצת קוד זדוני ושליטה מרחוק במכשירי המשתמשים.

מי שמצא את הפרצה היה אחד מחוקרי האבטחה שלנו, עידו נאור. עידו חשף את הפגם, חקר אותו, ודיווח אודותיו ללינקדין אשר תיקנה אותו במהירות. סוף סיפור? לא ממש.

האירוע הציף מספר בעיות שונות אך קשורות, שעסקים צריכים להיות מודעים להן ולפעול נגדן בנחישות. כולן קשורות לנושא האמון. החל מהאמון של IT בעמידות של מערכות האבטחה של הארגון, ועד לאמון של עובדים באנשים שהם מכירים ועובדים איתם, והאמון של כולנו במותג בעל מוניטין מקצועי כמו לינקדין. אמון הוא מסך עשן מצוין עבור מי שמעוניין לבצע פעולות לא ראויות או פשיעה, ומאפשר להתגנב מאחור ללא שאף אחד יבחין.

הלקח הראשון מאירוע לינקדין הוא החשיבות שיש לבחינת כל צד של פלטפורמת התוכנה הארגונית, בכל שלב של מחזור חיי הפיתוח, תוך חיפוש אחר הפרצות הקטנות ביותר - מאחר ואם זה שם, במוקדם או במאוחר מישהו ימצא את זה, והתגובה הראשונה שלו עלולה להיות שונה בתכלית מאשר להתריע אודותיה.

הבעיה בתוכנה של לינקדין הייתה קטנה. עידו גילה שכאשר הוא מפרסם תגובה בשרשור של לינקדין ממכשיר נייד ולא דרך האתר, חסר קוד התוכנה אשר חוסם הזרקת תוכן. הוא הבין שכאשר קיימות שתי פלטפורמות דואר אלקטרוני שונות, המחסור בקוד חסימה ראוי במערכת המקבלת תגובות הנוצרות במכשיר נייד, גורם לכך שניתן לשלב קוד זדוני ללא זיהוי. מאחר והתראות לגבי כל תגובה חדשה מופצות באופן אוטומטי לאורך כל שרשור התגובות, ניתן לשלוח את הקוד הזדוני להיקף גדול של מטרות בתוך שניות.

באופן זה משתמשים היו מקבלים התראה מרשת חברתית, שנראה כאילו היא מגיעה כתגובה מחבר מוכר ברשת. את ההתראה ניתן לערוך כדי שתישא הצעה שיווקית בסגנון: "הכנס את פרטיך האישיים " או פניה המבקשת: "לחץ על הקישור הזה" – ולפני שמישהו היה מבין מה קורה, קוד זדוני היה מתקין את עצמו ומופץ לרוחב הרשת הארגונית כולה.

החמצת פגם התוכנה הזה על ידי לינקדין הוא משהו שמתרחש בקלות גדולה מידי. במקרה זה, התגובה המידית של לינקדין להתרעה של עידו הבטיחה כי התרחישים שהוצגו לעיל לעולם לא קרו, אבל היא מביאה אותנו ללקח השני בחשיבותו שניתן ללמוד מהאירוע: כיצד להגן על הארגון מהעובדים שלך וכיצד לסייע לעובדים להגן על עצמם מעצמם או מחבריהם.

ישנן שתי דרכים אפשריות, וארגונים צריכים לבחור בשתיהן. הראשונה היא להתקין פתרון אבטחת תוכנה משולב ועוצמתי. כזה המגן על כל נקודות הקצה, נתוני הארגון והרשתות. כל דבר פחות מכך לא יספיק. אופק סיכוני ה- IT מציב אתגרים הולכים וגדלים עבור ארגונים, כשגבולות ההגנה על הארגון הולכים ומיטשטשים לטובת זרימה וירטואלית של נתונים ותהליכים. פתרונות הדור הבא המגיבים לאיומים העדכניים ביותר –המוכרים ושאינם מוכרים – הם קריטיים לעסקים, חד וחלק.

הדרך השניה היא התנהלות נכונה מול העובדים. רבים מהם הם ילידי הדור הדיגיטלי אשר נושאים את המידע הארגוני הרגיש על גבי הסמארטפונים האישיים שלהם, ומתקשרים עם חברים לעבודה דרך רשתות מדיה חברתית. הם מקושרים ויעילים, ומטשטשים לעד את הגבולות בין הארגוני והאישי. אז כיצד ניתן להגן עליהם ועל הארגון?

הפתרון הוא מדהים בפשטותו: אכפו מדיניות אבטחה לגבי מכשירים אישיים המשמשים לצרכי עבודה, ולגבי הרשמה לרשתות חברתיות באמצעות חשבון דואר אלקטרוני ארגוני ואף המליצו לעובדיכם להחזיק מספר חשבונות דואר אלקטרוני שונים לרישום לאתרים שונים. תקשרו לעובדים את הצורך בנקיטת משנה זהירות כאשר הם לוחצים על קישורים או מוסרים פרטים, גם כאשר ההודעה מגיעה מאנשים מוכרים. הרי לוקח בדיוק דקה לשאול "אתה שלחת את זה?". עדכנו את עובדיכם על האיומים האחרונים. ובעיקר, קחו בחשבון שעל אף הכל, ההיגיון לפעמים יוצא לחופשה ואז אתם זקוקים לתוכנית ב'.

ועוד דבר, לא פחות חשוב: הקשיבו לעובדים שלכם. חלק מהפרצות הגדולות ביותר באבטחת מידע נגרמות מפני שאמצעי האבטחה הם קשיחים מאוד, מעייפים או אינם מתאימים, עד כדי כך מעייפים שהעובדים לעיתים עוקפים אותם כדי להישאר יעילים. הם משתמשים בדואר אלקטרוני פרטי, שירותי ענן שיתופיים, רשתות Wi-Fi ציבוריות שאינן מאובטחות, ומכשירים אישיים שאינם מוגנים – או רשתות מדיה חברתית בהן הם יכולים לפרסם תגובה ולהתחיל שרשור כדי לקבל את התשובה שהם זקוקים לה.

בדרך זו או אחרת, איפשהו בתוך העסק שלכם קיים או יתגלה פגם אבטחה זעיר. בין אם מדובר בפגם אנושי או בינארי, הוא שם ואתם צריכים למצוא אותו לפני שמישהו אחר יעשה זאת.