לא רק קורונה: תקיפות סייבר הן הסיפור הגדול של 2020, והאחריות למנוע אותן היא של כולנו

בשנת 2020 איומי הסייבר הפכו לזולים יותר ומסוכנים יותר, וההגנה מפניהם הפכה למורכבת ויקרה יותר. החדשות הטובות הן שיש מה לעשות, וכאן נכנסים לתמונה גם המפתחים

מקור: Pixabay

מאת ד”ר תומר סיימון, סמנכ”ל טכנולוגיות לאומיות, מיקרוסופט ישראל​

החיסון לקורונה הוא כנראה הפיתוח הטכנולוגי הכי נחשק של השנה האחרונה – כן, אפילו יותר מה-Xbox Series X החדש. ככזה, לא רק מדינות רבות רוצות לרכוש אותו מחברות התרופות עבור אזרחיהן, אלא גם האקרים – ומדינות שמפעילות האקרים – רוצים לגנוב את הנוסחה לצורך ייצור עצמי, מכירה לגורמים אחרים והבנת תהליכי פיתוח ושאר קניין רוחני. שלוש קבוצות לאומיות, אחת מרוסיה, שאנו מכנים סטרונציום, ושתיים צפון-קוריאניות שאנחנו קוראים להן סריום וזינק (אבץ), ניסו לפרוץ לשבע חברות בולטות בחמש מדינות שעוסקות בפיתוח חיסון ל-COVID19.

לצד הקורונה, מתקפות הסייבר הגדולות הן הסיפור הגדול של 2020. עולם איומי הסייבר הולך וגדל ויש בו א-סימטריה מובהקת בין התוקפים למתגוננים, שפועלת לרעתנו. לתקוף נהיה מאוד מאוד זול; להתגונן – הולך ומתייקר. מדי שנה הולכים לאיבוד 600 מיליארד דולר בגלל פשעי סייבר, בזמן שפריצות נמכרות כמוצרים וכשירותים במחירים שווים לכל נפש: זירו דיי טוב יכול לעלות עד 3.5 מיליון דולר, אבל יש גם כאלו שנמכרים ב-50 אלף דולר בלבד; ערכות Exploit (“נוצלה”) עולות 1,400 דולר לחודש; מכשירים נגועים שאפשר להפעיל מרחוק במתקפות בוטנט עולים 3 סנט עד 1.80 דולר ל-PC ו-68 סנט בממוצע לסמארטפון; חשבונות פרוצים נמכרים כמו אורז – 1.14 דולר ל-1,000 חתיכות; הזמנת פריצה ממוקדת עולה בממוצע 10,500 דולר, ויכולה לצנוח גם ל-250 דולר; פושעי סייבר מתוחכמים מוכרים כופרות כ-SaaS לפושעי סייבר זוטרים, לעתים במודל של חלוקת רווחים, והתוקף בפועל מעביר למוח שמאחוריו 30% מהרווח.

כדי להתגונן מפני העולם הנרחב והאפל הזה, יש ארגונים שנאלצים להחזיק עשרות רבות, אם לא מאות, מוצרי סקיורטי. רק התחזוקה וייצוב הארכיטקטורה הופכים לעבודה יקרה מאוד, ולפעמים בלתי אפשרית במשאבים של הארגון.

כשהאקרים מטרגטים לקוחות שלנו האיום הוא כפול: הם תוקפים את הלקוחות, אבל גם אותנו. לא סמלית, אלא מעשית, שכן מתקפה על לקוחות שלנו היא מתקפה על התשתיות שאנחנו מספקים להם. המשמעות של האיום הכפול הזה היא שאנחנו נחשפים לכמות עצומה, ממש ביג דאטה, של מתקפות סייבר ברחבי הגלובוס – זיהוי אנומליות בטריליוני סיגנלים שנאספים מדי חודש ממיליארד אפליקציות ומשתמשי שירותים; 1.2 מיליארד מחשבי PC, שרתים ומכשירי IoT (האינטרנט של הדברים); 470 מיליארד הודעות אימייל; 600 מיליארד מסמכים; 18 מיליון כתובות אתרים; 4.1 מיליארד דקות צ’ט; 1.8 פטהבייט של שירותי ענן ולוגים של רשתות; ו-630 מיליארד אירועי אותנטיקציה. המספרים הללו לא ניתנים לניתוח על ידי בני אדם בלבד, ולכן הבינה המלאכותית (AI) תופסת תאוצה בעולם הסייבר ההגנתי.

האחריות גם שלכם, מפתחים ומפתחות

חשוב מאוד להפנים ולזכור שהאחריות לאבטחת המרחב הווירטואלי היא משותפת לכל מי שנמצא באקוסיסטם הטכנולוגי. אנחנו, למשל, פועלים להגן לא רק על הלקוחות שלנו, אלא על המרחב כולו, למשל כאשר ביצענו פעולת Sinkhole (סינקהול, “בולען”) כדי לשתק דומיינים של שליטה ובקרה של תוקפים וביטלנו מרחוק את ההרשאה של הסרטיפיקט של הפורצים; וכן בעבודה שוטפת מול ה-FBI, האינטרפול וגופי אכיפה בכל העולם.

הבשורה הטובה היא שגם מפתחי תוכנה יכולים לעזור לשמור על אקוסיסטם בטוח יותר לכולם. כשאת מפתחת תוכנה, את אחראית על הקוד. אם פורצים את המערכת שלך, אצלך או שהיא מותקנת אצל לקוח – זה באחריותך. אבל זה לא אומר שמפתחת תוכנה צריכה להיות מומחית סייבר. מעשית, היא גם לא יכולה, כי אם תנסה לעקוב אחרי כל מה שקורה בתחום, הכמות והמגוון של האיומים יכריעו אותה ולא ישאירו לה זמן לעסוק ולהתמקצע בעבודה שלה. אבל היא כן יכולה לתרום לאבטחה של הקוד שלה ושל החברה או הסטארטאפ שהיא עובדת בו, על ידי הטמעת שיטות עבודה מומלצות לפיתוח קוד מאובטח. איך בדיוק? הנה מספר כללי אצבע של שיטות עבודה מומלצות למפתחת המאובטחת:

– אל תשימי הרשאות, סיסמאות ונתוני גישה בתוך הקוד. זה נשמע אלמנטרי, ווטסון, אבל זה קורה גם לטובות ביותר.

– ודאי שלכל קוד יש בעלים אמיתיים ברמת ה-Source Control, שאף אחד לא יכול להזריק קוד שאת לא יודעת מי הבעלים שלו.

– אמצי פרקטיקה של Static Code Analysis.

– הפרידי סביבות Production ו-Development, ברמת הגישות, הסביבות, ההרשאות והגישות לתהליכים.

– הבטיחי ניהול נכון של תעודות (סרטיפיקטים).

– אמצי כלי ניטור שמספק לך תמונת מצב וסטטוס מקיף על מצב האבטחה שלך

– השתמשי בכלי סייבר והצפנה קיימים, ואל תמציאי יש מאין. מדובר בסט מומחיות שלוקח שנים לגבש, השאירי את הטיפול לידי המומחים.

הכתבה בחסות מיקרוסופט

מיקרוסופט מובילה עולמית בתחום אבטחת המידע, ולה מגוון פתרונות ומוצרים מתקדמים, המאפשרים לעובדים, לחברות ולארגונים להתמקד במטרות העסקיות שלהם בכל מקום ובכל זמן. מעטפת האבטחה של מיקרוסופט מציעה תחת פלטפורמה אחת, הגנה מקסימאלית מקיפה בזמן אמת, על מגוון האיומים הפנימיים והחיצוניים. המערכת כוללת מגוון כלים למניעה, לזיהוי ולתגובה על איומים על זהויות, נקודות קצה, יישומים, דוא"ל, IoT, תשתיות ופלטפורמת ענן, כולל תמיכה בריבוי עננים.
פלטפורמת אבטחת המידע של מיקרוסופט מספקת לארגונים תמונת מצב עדכנית, מקיפה ורחבה, תוך שימוש במערכות אוטומציה מתקדמות ובינה מלאכותית. אבטחת מידע היא נושא ליבה מרכזי למיקרוסופט, והיא משקיעה בו רבות, כולל פיתוח נרחב של שותפויות טכנולוגיות, עסקיות, תעשיות וממשלתיות.

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 תגובות על "לא רק קורונה: תקיפות סייבר הן הסיפור הגדול של 2020, והאחריות למנוע אותן היא של כולנו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
es es
Guest

כתבה מעניינית וחשובה.

מצחיק שתמיד כשמדברים על טעויות בפיתוח משתמשים בלשון נקבה…

המגיב החד פעמי
Guest
המגיב החד פעמי

מה הקטע של הלשון נקבה?..

mike
Guest

חברה=בלשון נקבה

Zvika Ronen
Member

מאמר נהדר, תמיד כייף לקרוא את דברי הטעם של ד”ר תומר סימון. אני רוצה להוסיף שהיום כאשר 70-80 אחוזים מהתוכנה הינו קוד פתוח, חובה לנהל אותו. יש אלפי חולשות אבטחה ידועות בקוד פתוח שמן הסתם ידועות גם להאקרים. המפתחים ברובם לא מודעים לסיכונים האלה והטיפול צריך להתחיל בבחירת ספריית קוד פתוח נקיה מחולשות ידועות

לולי
Guest

הסקיוריטי חייב להיות מוטמע בכל שלב ושלב בתהליך הפיתוח.
אחרת משאירים פירורים…

צחי פדידה
Guest
הנסיון שלי אומר שזה חסר תועלת. הדמוקרטיזציה של הקוד והשימוש הנרחב בפרוייקטים וספריות הופך לנסיון לאבטח את הקוד לבלתי אפשרי. במידה ולא מדובר בתוכנה תשתיתית, צריך להשתמש בכלים שעוטפים ולהשלים אותם במוצרים כמו keycloakk,nginx ועוד ועוד תלוי בסביבה ונסיבות. במידה ותשתיתי כמו דריוור וכו׳, הכי טוב להעסיק מפתח עם נסיון כי אין פתרון אחר. הבעיה עוברת ללקוח, איך הוא יודע אם המוצר מוגן ואיכותי? בדר״כ בתשתיות מדובר בבעיה כמעט בלתי אפשרית לבדוק בדר״כ בגלל זמן ועלויות ואינטרסים מסחריים. לקוחות גדולים יכולים לדרוש PT. בתוכנות שרת אפשר לשכור חברות מתמחות לPT. קיצר, הנחת היסוד צריכה להיות שיש בעיה ולעשות mitigation כמה… Read more »
wpDiscuz

תגיות לכתבה: