ממתקפות יום 0 ועד איומים על מכשירים סלולריים: חמשת הטרנדים החמים באבטחת מידע

בין התחברות מהבית המטשטשת את ההבדל בין המידע האישי ומידע העסקי, ליכולת המתגברת של ההאקרים לפרוץ למערכות מורכבות, מהם חמשת הטרנדים הבולטים כיום בתחום אבטחת המידע?

shutterstock_185857703

הפוסט נכתב בשיתוף הטכניון – היחידה ללימודי המשך

תחום אבטחת המידע הוא אחד התחומים החמים ביותר כיום מכיוון שכמעט כל אחד מאיתנו חושף מידע רב על גבי מספר גדול במיוחד של פלטפורמות, תוך כדי שהוא נחשף למידע רב לא פחות, וחלק גדול מן המידע הזה הוא מידע רגיש. הדבר נכון הן למגזר הפרטי והן למגזר העסקי, וגם כיום ההבחנה ביניהם הולכת ומטשטשת. (לדוגמה, עובדים רבים מתחברים אל המחשב בעבודה מן הבית באמצעות שם המשתמש והסיסמה שלהם).

מצד שני, גם ההאקרים, ובעיקר אלו שיש להם כוונת זדון אמיתית ואינם מסתפקים רק בהוכחת יכולת, לא טומנים את ידם בצלחת וממשיכים לשכלל את טקטיקות הפריצה שלהם. לדוגמה, לא מזמן נחשף כי האקרים קנו ממפתחים תוספים לדפדפן הפופולארי כרום על מנת להתקין בהם קטעי קוד זדוניים שיאספו מידע מן המשתמשים (אפילו גוגל עצמה, על כל אלפי העובדים שלה לא יכולה לעקוב אחרי כל התוספים הזמינים ולבדוק כל אחד מהם ברמת הקוד).

לאור מצב זה, מעניין לבדוק מהם חמשת הטרנדים הבולטים כיום בתחום אבטחת המידע ולאן פונה השוק כיום:

מושג חדש : ניהול סיכונים דיגיטאליים

Paul Proctor, אנליסט בחברת Gartner קובע כי בעתיד יהיה צורך למנות גורם אבטחה שיהיה אחראי על כל סוגי החיבורים הדיגיטאליים העוברים בין מגוון רחב של מכשירים, במיוחד כאשר יותר ויותר מוצרים הנמצאים בשימוש יום יומי יהיו מחוברים באופן ישיר לאינטרנט. (“האינטרנט של הדברים”). כמו כן, מנהל הסיכונים יוכל לספק תובנות על האופן בו המלצות של אחראי אבטחת המידע בארגון ייושמו בהיקפים גדולים במיוחד ולבחון הכנסה של טכנולוגיות חדשות שלא היו מוכרות עד כה.

בגרטנר אף מרחיבים את החיזוי שלהם וטוענים כי עד 2017 לשליש מכלל הארגונים יהיה אדם בתפקיד זה. הסיבה העיקרית לכך היא שהמספר הרב של הטכנולוגיות החדשות שיכנסו לשימוש יגרמו לירידה דרסטית ברמת השירות שהם מעניקים ללקוחות, ועל כן לא יהיה מנוס מלספק לכך מענה ממוקד. עם זאת, לעיתים אותו אדם יהיה מנהל האבטחה הקיים שיוסיף לתפקידו תואר חדש, אך לא תמיד יורחבו הסמכויות שלו באופן המתאים להתמודדות עם האתגרים החדשים.

דגש על משתמש הקצה

עוד מגמה ברורה ההולכת ומתהווה היא הניסיון ללמד את משתמשי הקצה כיצד להתגונן כנגד תוכנות זדוניות ולאבטח את החשבונות שלהם. הסיבה לכך היא שבמקרים רבים, גם המערכות המאובטחות ביותר חשופות לפריצה בגלל טעות של משתמש אנושי כמו למשל בחירה בסיסמה קלה מדי. אתגר נפוץ אחר אותו לא ניתן כמעט לפתור ברמת התוכנה היא המספר הגדול של המשתמשים שנרשמים לשירותים שונים עם אותה הסיסמה (במקרה זה גם פתרונות כדוגמת “התחברות דרך פייסבוק” לא עוזרים ואפילו מסכנים עוד יותר את המשתמש השם את כל הביצים שלו בסל אחד).

עם זאת, יש צורך לציין כי הרבה מאוד אתרי אינטרנט ושירותים דיגיטאליים כבר החלו לדרוש מן המשתמשים אמצעי אבטחה טובים יותר. לדוגמה, כל סיסמה חייבת לכלול אותיות ומספרים והמשתמש יכול לראות מהו חוזק הסיסמה שלו. כמו כן, אתרים רגישים כמו אתרי בנקים מבקשים גם קוד הזדהות כשכבת הגנה נוספת.

מנגד, אסור לשכוח שגם ההאקרים מוצאים דרכים חדשות להערים על המשתמשים ולעיתים הם עושים שימוש מתוחכם בהנדסה חברתית על מנת לפתות משתמשים לחשוף בפנים מידע רגיש. ההאקרים אף מנצלים את ההכרה האינטימית שלהם עם רשתות חברתיות פופולאריות על מנת לפנות לאוכלוסיות מסוימות כמו למשל גברים המחפשים הצעות עבודה בלינקדין (המשתמש התמים חושב שההאקר הוא חבר מוכר בקבוצה למרות שלמעשה הגישה אל הקבוצה הושגה במרמה או שההאקר התחזה למשתמש אחר).

הכירו את הענן ההיברידי

כבר הזכרנו בפתיחה את העובדה שהמידע האישי שלנו נוטה להתערבב עם מידע עסקי, וראוי לציין זאת גם בהקשר של שירותי הענן : עסקים וארגונים רבים כיום בוחרים להשתמש בענן ציבורי המשולב בענן פרטי. כלומר, ענן אחד הוא ענן היושב במרכז מידע פנים ארגוני או שרת פרטי המושכר ישירות מחברה אחרת, ואילו הענן השני הוא ענן שכל משתמש ברשת האינטרנט יכול לגשת אליו או להירשם אליו בחינם, כך שעליו לתמוך במספר גדול במיוחד של משתמשים.

מכיוון שארגונים לא יכולים להגביל את המשתמשים שלהם רק למרכזי המידע שלהם עצמם, לעיתים הם צריכים להתממשק מול הענן הציבורי וכך בעצם נוצר הענן ההיברידי. הענן ההיברידי מחייב את הארגון להדק את אמצעי האבטחה הקיימים שלו וגם את שיתוף הפעולה עם חברות צד שלישי. אם ניקח דומה פשוטה ביותר של פריצה לענן הציבורי, אחראי האבטחה בארגון לא יוכל לעשות הרבה אם לא יקבל מהחברה המפעילה את הענן את קבצי הלוג של השרת.

מתקפות יום 0

מתקפות יום 0 הן מתקפות שניתן לבצע על תוכנה או חומרה מסוימת החל מהרגע בו היא יוצאת לשוק. למרבה האירוניה, דווקא המהירות שבה חברות משחררות טלאי ועדכוני אבטחה (לעיתים אכן ביום הראשון לשחרור הגרסה המקורית), מעידה על כמות הבאגים שהיו קיימים בתוכנה ממש ברגע יציאתה לשוק, כשלחלק מהם יש פוטנציאל הרסני במיוחד.

חמור מכך, מכיוון שכאשר החברה משחררת את הטלאי היא למעשה חושפת את כשלי האבטחה בגרסה הקודמת, גורמים עוינים מסוגלים לנצל זאת לטובתם ולתקוף משתמשים שלא עדכנו את מערכת ההפעלה שלהם או שאינם מסוגלים לעשות זאת בשל החומרה הישנה שברשותם (לדוגמה, מכשירי גלקסי מסוימים לא ניתנים לעדכון לגרסאות החדשות ביותר של אנדרואיד).

החדשות הטובות בהקשר הזה הן שעדכונים אוטומטים נעשים ידידותיים וקלים יותר להתקנה כחלק מהניסיון שכבר הזכרנו והוא לתקוף את הבעיה מן השורש שלה אצל משתמש הקצה.

איום מתגבר על מערכות הפעלה ומכשירים סלולאריים

למרות שכיום מרבית הוירוסים והתוכנות המזיקות תוקפות בעיקר מחשבי PC, כבר עכשיו רואים ניצנים של וירוסים ותוכנות מזיקות מתוחכמות יותר התוקפות גם משתמשים סלולאריים או אפילו מחשבי טאבלט. למרות שחברות כמו אפל וגוגל מנסות להגן על המכשירים מפני תקיפות כאלו באמצעות הגבלת הגישה למשאבים עבור תוכנות המורצות על המכשיר, דווקא המשתמשים עצמם הם אלו שלעיתים קרובות פורצים את המכשירים (לדוגמה, באמצעות ביצוע ROOT או Jailbreak) על מנת שיוכלו להפיק מהם יותר וכך חושפים את עצמם לסיכון מוגבר.
כאשר מוסיפים לזאת את העובדה שהמשתמשים מחברים את כל אותם מכשירים למחשב בארגון או ניגשים מהם לאתר הפנים ארגוני, אין ספק שיהיה צורך לפתח פתרונות אבטחה ייעודים למערכות הפעלה סלולאריות, ולא מן הנמנע כי גם יצרני המכשירים ייאלצו בשלב מסוים לסייע בכך.

להקדים תרופה למכה

אין ספק שהדגש בתחום אבטחת המידע כיום הוא על הכנה מקדימה לקראת איומים עתידיים והתמודדות עם אתגרים בזירות שעד כה הוזנחו (באופן יחסי כמובן) כגון המובייל ושירותי ענן שונים. אם עד כה שירותים אלו נתפסו כשירותים המיועדים בעיקר לשימוש פרטי ולא היוו מידע אל ארגונים וחברות, הרי שהיום כבר לא ניתן לסמוך על המשתמשים שייבצעו תמיד את ההפרדה כפי שאולי מצופה מהם.

קרדיט תמונה: Shutterstock / Hakcer




הכתבה בחסות הטכניון

עולם אבטחת המידע הינו אחד העולמות המאתגרים של המאה ה -21. כדי לספק מענה מהיר לאיומים המתגברים, איש אבטחת המידע צריך ראייה היקפית. קורסי אבטחת המידע בטכניון מכוונים אל קהל טכני וניהולי.
קורסי אבטחת המידע הטכניים מספקים הכשרה מקיפה לבניית פתרונות אבטחת מידע. הקורס מהווה הכנה לבחינות הבינלאומיות, ביניהם מיקרוסופט, סיסקו ,צ'ק פוינט וובסנס. בוגרי הקורסים משתלבים בתעשייה כאנשי סיסטם, תקשורת ואבטחת מידע.
קורס מנהלי אבטחת המידע CISO מספק כלים מעשיים ותעודה יוקרתית לאיוש משרת מנהל אבטחת מידע בארגון ומיועד לאנשי אבטחת מידע טכנולוגיים. הקורס מחבר בין עולמות אבטחת המידע הנלמדים לצורך העסקי - המיקוד הוא בסקרי סיכונים, מבדקי חדירה, רגולציה, ניהול צוות, תקציב אבטחת מידע ועוד.


כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

wpDiscuz

תגיות לכתבה: