ניהול לקוי של עדכוני תוכנה הוא אחד הגורמים המרכזיים לפרצות אבטחה. כך תעשו זאת נכון

מתקפות סייבר עלולות להיות הרסניות במיוחד, אבל אפשר להימנע מחלקן על ידי ניהול נכון של התקנת עדכוני אבטחה בארגון. איך עושים את זה בלי לשבור את הראש?

מאת ליאור לוי, מנכ”ל ומייסד פרולוג’יק (Prologic)

זו הייתה אחת ממתקפות הסייבר ההרסניות והקטלניות שידענו בעשור האחרון. המהירות בה התפשטה המתקפה, ההרס שהיא זרעה, האימפקט העולמי שלה – כולם היו חסרי תקדים. אנחנו מדברים על מתקפת תוכנת הכופר WannaCry. היא החלה ב-12 במאי 2017, פגעה ביותר מ-230 אלף מחשבים ב-150 מדינות וגרמה להצפנה של מידע על גבי מחשבים או שרתים איתם היא באה במגע.

הערכות הנזק הכלכלי של המתקפה נעות על היקפים שבין מאות מיליוני דולרים ועד 4 מיליארד דולר. בבריטניה המתקפה פגעה בצורה קשה במערכת הבריאות, שם נרשמו מקרים בהם נפגע ציוד רפואי קריטי, דוגמת מכשירי MRI או מקררים של בנק הדם, ואפילו דווח על כך שחולים לא קריטיים הושבו לבתיהם עקב העומס שיצרה הפגיעה במחשבים.

המתקפה נרשמה כאחת המתוחכמות מסוגה, אך הסיבה להצלחתה הייתה כמעט בנאלית. החולשה אותה ניצלו התוקפים הייתה מוכרת לא רק לתוקפים, אלא לתעשייה כולה: חולשה במערכת ההפעלה למחשבים אישיים ושרתים מסוג Windows, שדווחה על ידי מיקרוסופט כמעט חודשיים קודם לכן, במרץ 2017, וכללה את טלאי התוכנה (Security Patches) הדרוש לחסימתה. אלא שמרבית הארגונים לא טרחו להטמיע את עדכון התוכנה, ומכאן ועד למתקפה גלובלית הדרך כבר הייתה קצרה.

הסיוט של מנהלי אבטחת מידע

למעשה, הנושא של ניהול עדכוני התוכנה – או בלעז Patch Management – הוא אחד הגורמים העיקריים לנדודי השינה של מנמ”רים ומנהלי אבטחת מידע. הם יודעים שהמערכות שלהם סובלות מנקודות תורפה (Vulnerabilities), והם גם יודעים שספקיות התוכנה מפיצות עדכוני תוכנה לחסימה של חולשות מוכרות ולא מוכרות, ועדיין ארגונים מתקשים להתמודד עם האתגרים הללו בצורה מסודרת ומנוהלת.

מי שחושב שהבעיות שהתגלו במתקפת WannaCry בשנת 2017 טופלו וכול הלקחים נלמדו מוזמן לעיין בהודעה משותפת מיוחדת שפרסמו באוקטובר השנה ה-FBI והסוכנות להגנת סייבר והגנת תשתיות (CISA), בה הן מדווחות שזיהו תוקפי סייבר העושים שימוש בחולשות קיימות בתשתיות המחשוב הארגוניות על מנת לבצע גישה לא מורשית למידע ולמערכות. שתי סוכנויות הביטחון אף קראו למומחי המחשוב בארגונים לבצע תהליך עדכון תוכנה (Patching) מסודר של אותן תוכנות וחומרות פגומות, שמשמשות את אותם תוקפים בפעילותם. הסוכנויות נקבו בשמות של ספקיות תוכנה נפוצות, שנדרש לבצע Patching למערכות שלהן, דוגמת: פורטינט, סיטריקס, F5, פאלו אלטו, מיקרוסופט, ועוד.

עד כמה התופעה נפוצה? מתברר שמאוד. דו”ח של חברת המחקר Ponemon מעלה כי 4 מכול 10 ארגונים בשנתיים האחרונות סבלו מפריצת סייבר כתוצאה מחולשות שלא עודכנו בטלאי תוכנה, שכבר היה זמין. מחקר נוסף של Ponemon מראה כי גם לאחר הלקחים שהופקו ממתקפת WannaCry, עדיין ארגונים מדווחים על פער של לפחות 16 ימים בין הפצה של טלאי תוכנה לחולשות קריטיות על ידי ספקיות התוכנה ועד הטמעתו בפועל.

אלו מספרים גבוהים מאוד. הם מדגישים את הצורך של ארגונים לנהל את התחום בצורה הדוקה ולהשקיע בתחום את המשאבים הניהוליים, משאבי כוח אדם ומשאבים כספיים הדרושים כדי לחסום את הפרצה הגדולה הזו, שקיימת בארגונים כה רבים.

איך עושים ניהול עדכוני תוכנה בצורה נכונה?

  1. “לתת גב” – אחד הגורמים הראשונים להבנה של התחום הוא שמדובר במאמץ מתמשך, בלתי פוסק, סיזיפי, שאין בו ניצחונות גדולים. בעולם של ניהול עדכוני תוכנה אף אחד לא קיבל פרס על מתקפה שהוא מנע בגלל שהתקין עדכון תוכנה. אם כבר, אז מומחי הסייבר העובדים בתחום הטלאת התוכנה מדווחים על קשיים תפעוליים שהם נתקלים בהם בתוך הארגון – גורמים עסקיים שמעדיפים להימנע מהורדה של מערכות לטובת עדכוני תוכנה; תיאומים מסובכים בתוך הארגון לביצוע של פעילות הטלאת התוכנה ועוד. מנהלים נדרשים להבין, שעליהם לתעדף את הפעילות הזו גבוה באג’נדה התפעולית-ארגונית שלהם.
  2. השקעת משאבים – ארגונים רבים עדיין אינם מתקצבים בצורה נאותה את תחום הפעילות הזה. בין שבגלל האופי הרוטיני שלה ובין שהיא נחשבת חסרת ברק. למרות מתקפות העבר והמחקרים המעידים על כך שמדובר בווקטור תקיפה משמעותי, ארגונים עדיין אינם מבצעים את ההשקעות הנדרשות כדי להטמיע בצורה יעילה ומהירה את עדכוני התוכנה הנדרשים לחסימה של המתקפה הבאה. בהקשר זה כדאי להזכיר – הנזק הכלכלי לארגון שתגרום מתקפה אחת מוצלחת, שתנצל חולשה מוכרת שטרם עודכנה, יהיה גבוה לאין שיעור מאשר כלל ההשקעות שהארגון נדרש לבצע כדי לחסום את המתקפה מלכתחילה.
  3. קביעת מדיניות מעשית – הארגון נדרש לקבוע מתודולוגיה סדורה לניהול תחום עדכוני התוכנה. המדיניות הזו צריכה להביא בחשבון את הדרישות של אנשי אבטחת המידע מצד אחד, את דרישות הרגולציה מצד שני ואת הצרכים של הארגון מצד שלישי. המדיניות הזו צריכה להיות ברורה לכלל המשתמשים בארגון, לשמש עבורם מצפן ולהכפיף את כלל המשתמשים בארגון לסט של כללים החוזר על עצמו. המדיניות מיועדת לאפשר יישום של טלאי תוכנה במהירות האפשרית מבלי לפגוע בפעילותו השוטפת של הארגון.
  4. איסוף מודיעין – העולם של ניהול עדכוני תוכנה מוצף במידע המגיע מספקיות התוכנה ומרשויות סייבר לאומיות. על אנשי הסייבר האמונים על פעילות הטלאת התוכנה לבצע איסוף מסודר של מקורות המידע השונים, להבין את המשמעויות של כל אחד מהם ולהכניס אותם לעבודה בצורה מסודרת. אם הארגונים אינם מסוגלים לבצע את הפעילות הזו בעצמם, מומלץ להיעזר ביועצים חיצוניים שיעזרו להם בכך.
  5. שימוש בכלים מתקדמים – בעולמות המתמחים בניהול עדכוני תוכנה פותחו פלטפורמות ייעודיות הכוללות אלמנטים של AI, לימוד מכונה ואוטומציה, שמיועדים לאפשר ביצוע הפעילות בצורה מהירה ויעילה. כלים מסוג זה גם יכולים לספק תמונת מצב טובה יותר של מצב החולשות בארגון ותובנות לגבי כיצד ניתן לסגור את הפערים. אם קיים לחץ גדול על המשאבים הכספיים של הארגון, פלטפורמות מבוססות AI יכולות לספק יתרון באמצעות הטכנולוגיה שלהן.

הכתבה בחסות Prologic ו-Ivanti

פרולוג'יק, המעסיקה כיום כ-300 עובדים, פעילה בשלושה תחומים מרכזיים. האחד, מתן שירותי מיקור חוץ, שירותים מקצועיים, יועצים והטמעת מערכות במגוון רחב של תחומי תוכנה ו-IT. השני, מתן חליפה מותאמת לסטארט אפים בתחום של אאוטסורסינג לתחום הגיוס. השלישי, נוגע בייצוג בישראל של חברות טכנולוגיה גלובאליות.

החברה מייצגת בישראל את Ivanti, ספקית בינלאומית המתמחה בפיתוח ושיווק של פלטפורמה אחודה לניהול משאבי ה-IT הארגוניים ואבטחת מידע. Ivanti מציעה פלטפורמה מתקדמת מבוססת AI לניהול תחום Patch Management, יעילה בצורה יוצאת מגדר הרגיל, מותאמת לארגונים מגדלים שונים, וידידותית למשתמש.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: