תובנה בענף: כיצד מקלדת המשחקים המועדפת עליך יכולה להפיל עסק שלם

מוקדם יותר החודש, מתקפת הכופר WannaCry הדביקה ביותר מ- 300, 000 מחשבי Windows ברחבי העולם. מאמץ הכופר דורש כי עסקים ואנשים נגועים ישלמו 300 דולר כדי לפתוח את כל המכונה - כמו גם את הנתונים המאוחסנים במכשירים שלהם. למרות ש- WannaCry סוכל במהירות, ישנם איומים גדולים יותר, מפחידים ובלתי ידועים האורבים שיכולים לגרום נזק אדיר לעסק שלך.

בטח קראת עשרות מאמרים כיצד תוכל להגן על העסק שלך ועל עצמך, וכנראה שגייסת את עזרת תוכנת ההגנה על נקודות הקצה כדי לשמור על בטיחות החברה שלך. אך האם ידעת שאפילו המכשירים הבלתי בולטים המחוברים לרשת שלך יכולים לאפשר להאקרים לגרום נזק אדיר לעסק שלך?

דיברתי עם יוסי אפלבו, מנכ"ל משותף של חברת ספיו מערכות, על מה שאתה צריך לדעת על התקפות רחבות היקף בענף השירותים הפיננסיים, מה חברות שירותים פיננסיים קטנות צריכות לעשות כדי להישאר ערוכים, ומדוע ציוד היקפי כמו עכברים ומקלדות יכולות להיות איום גדול על העסק שלך.

PCMag: מה התרחיש הגרוע ביותר של סיוט מבחינת מישהו או קבוצה כלשהי שמתפרצים למוסד פיננסי?

יוסי אפלבו (YA): כל נתוני פגיעה בנתונים הם תרחיש סיוט, במיוחד כשמדובר במוסדות פיננסיים. איבוד השליטה במידע הכספי הקנייני של בעל העניין מאיים על שלמות הנתונים ועלולה להיות פרנסתם של בעלי העניין שיש להם עור כספי במשחק, מושרשת בהנחה כי הנתונים שלהם יהיו תמיד מאובטחים. חשוב מכך, מבחינה פיננסית, דליפת מידע זה מאיימת על מערכות היחסים הנאמנות הכלליות של הארגון - עבר, הווה ועתיד.

דליפת נתונים מפחידה במיוחד מכיוון שלעתים קרובות אין שום אינדיקטור ברור מייד להיקף ההפרה והסיכון הנלווה לכך. זה יכול להיות קטן כמו גניבה של רשומות בחשבון בודד לגניבה רחבה יותר של מאגרי מידע שלמים המכילים כמויות אדירות של נתונים אישיים, כמו הפרת הנתונים במשרד עורכי דין פנמני בו הודלפו למעלה מ- 11 מיליון מסמכים קנייניים.

קציני אבטחת המידע הראשיים (CISO) של מוסדות פיננסיים מודעים לסכנות של דליפת נתונים ותמיד יתעדפו זאת ברשימת איומי הסייבר האינסופית שלהם. מוסדות פיננסיים גלובליים מוציאים מאות מיליוני דולרים בשנה בבניית מערכות מניעת אובדן נתונים רב שכבתיים (DLP). מעטים מ- CISO שמסוגלים לבנות מערכות בלתי ניתנות לשבירה המגנות מפני אפילו התקפות הסייבר הנפוצות ביותר. בצד השני של המשוואה, שחקנים רעים מרימים את הרף במורכבות ההתקפות, ומנפים נשק סייבר ממשלתי שהודלף כנגד יעדים אזרחיים כמו בנקים.

עבריינים משתמשים בכלי נשק אסטרטגיים - כולל חומרה מניפולטיבית ויומיומית כמו מקלדות והתקני ממשק אנושיים אחרים (HID) - כנגד יעדים מסחריים. הבעיה היא שכלי התקפת הסייבר הללו יכולים להתקיים במערכות שלא התגלו לחלוטין על ידי כלים קיימים להגנת הסייבר. זו אולי הצורה המפחידה והמסוכנת ביותר של ריגול נתונים: המכשירים הבלתי ניתן לגילוי שמוציאים מידע מתחת לרדאר.

אין דרך "לשפוך את השעועית" ברגע שנשפכו. לאחר דליפת נתונים, לא ניתן לאבטח אותם למפרע. לכן, מנהלי נתונים ומנהלי CISO חייבים להישאר ערניים ולעשות כל שביכולתם על מנת להבטיח שכל הווקטורים יהיו אטומים היטב בכל עת, הכוללת כל נקודת גישה פוטנציאלית במערכת.

PCMag: מבחינת מה שכבר קרה, מהן הפרות השירותים הפיננסיים הקשים ביותר שראתה המדינה ואיך זה קרה?

YA: "הגרוע ביותר" יהיה תלוי במי שאתה שואל. מנקודת המבט של המוסד הפיננסי, נוכחות הפרות משמעותיות כמו הפרת JPMorgan Chase לשנת 2014, כאשר מתקפת סייבר השפיעה על 76 מיליון משקי בית ו -7 מיליון עסקים קטנים בקרב רשת בעלי העניין הגדולה שלה.

עם זאת, מנקודת מבטו של לקוח אינדיבידואלי, ההפרה החמורה ביותר היא זו ששינתה את חייו ותחושת הביטחון הכלכלי שלו לצמיתות. זה אחד הדברים החשובים ביותר שיש לזכור: הגנה לא מספקת נגד תוקפי סייבר יכולה להרוס באופן בלתי הפיך את חייהם של האנשים התלויים בכם תוך שמירה על הנתונים שלהם, כמו גם את האמון והמוניטין של המוסד כולו.

כמו כן, ראוי לציין שרבים מההפרות הכספיות שהיינו עדים להן הן המשברים של אתמול. אין ספק, רבים מהתקפות הסייבר המתפשרות השתמשו בסוג כלשהו של תוכנות זדוניות כדי לגשת ולהוציא מידע מרשת. אולם מכנה משותף לכל ההפרות המתוקשרות הוא שמישהו גילה אותן. ההדלפות הבלתי נחשפות שעשויות לחלץ נתונים כרגע הן האיום הגדול ביותר על אבטחת המידע.

אחד מלקוחותינו, בנק בינלאומי, מצא מכשיר חומרה קטן המחובר לרשת שלו מוסתר מתחת לשולחן העבודה. מכשיר זה היה מחובר לרשת; עם זאת, צוות אבטחת הסייבר לא יכול היה לראות זאת. אף אחד מהכלים הקיימים לא חש בכך ולא זיהה את קיומו, אך בכל זאת הוא היה שם, ושלח נתונים למיקום מרוחק דרך חיבור סלולרי. כמות וסוג נתונים לא ידועים נפגעה לפרק זמן לא ידוע ואף אחד לא ידע על כך. כיום, שנה לאחר הגילוי המזעזע הזה, אנשי הביטחון עדיין לא יודעים כמעט דבר על מי שתל את המכשיר וכמה נתונים נלקחו.

וקטור ההתקפה הגדול הבא יגיע ממכשירי חומרה רפאים. זו הסיבה שאנו פועלים במרץ לאיתור והתקפות אלה.

PCMag: עבור חברות שירותים פיננסיים קטנים יותר, מה הן צריכות להיות בתצפית מבחינת איומים, נקודות כניסה וטעויות נפוצות?

YA: מוסדות פיננסיים קטנים יותר הם, במקרים רבים, בסכנה גדולה יותר מהגדולים. ברוב המקרים אין להם צוות אבטחה גדול ומערכות אבטחת הסייבר שלהם פחות מתוחכמות. היינו עדים, במקרים מסוימים, לחברות שירות פיננסי קטנות בגודלה שמשתמשות בחומת אש בת חמש ותוכנת אנטי-וירוס בת שלוש שנים לאבטחת נכסיה הדיגיטליים. חברה זו ניהלה את השקעותיהם של כמה מהחשבונות האישיים הגדולים בארצות הברית.

ההנחה שמוסד פיננסי בגודל קטן שווה לסיכון קטן יותר היא הפוכה לחלוטין. קרן גידור המנהלת כמה מיליארדי דולרים היא בדרך כלל חברה קטנה מאוד. משרד משפחתי המנהל חשבונות כספיים אישיים גדולים הוא קטן באותה מידה, וכך גם משרד עורכי הדין בפנמה שהחזיק בסודות פיננסיים של מנהיגים עולמיים בעלי פרופיל גבוה. כל האמור לעיל הופר, ורובם לא היו מודעים להפרה במשך זמן רב מאוד; חלקם עדיין לא מודעים לכך.

מנהלי חברות קטנות יותר במקרים רבים אינם מבינים את הסיכון שהם לוקחים, את הנזק הפוטנציאלי לחברות שלהם, והכי חשוב, את הנזק הפוטנציאלי ללקוחותיהם. חברות רבות מאמינות כי פתרונות ההגנה התוכנה המובילים שלהם יכולים לספק חותם אטום למים של המערכת באמצעות ניטור בזמן אמת וניתוח חזוי. זה אולי נכון בצד התוכנה, אבל מה ש- CISO הטיפוסי עלול שלא להכיר הוא ששחקן רע בנה ניקוז ישירות לתשתית החומרה שבה נתונים זורמים כבר שנים. כל מנהל נתונים או איש מקצוע בתחום אבטחת סייבר יגיד לך המקום החשוב ביותר להתחיל להגן על עצמך מפני פגיעויות הוא הבנת התשתית הקיימת שלך. משמעות הדבר היא להשיג שליטה איתנה במה שקשור לרשת שלך.

הדבר החשוב ביותר שיש לזכור הוא שכל דרך לנתונים היא חבות פוטנציאלית. לא משנה מה גודל חברת השירותים הפיננסיים, נקיטת אמצעי הזהירות הנדרשים וביצוע מלאי של המכשירים במערכת יכולה לסייע בהגבלת החשיפה שלך כדי לשמור על אבטחת הנתונים שלך.

PCMag: בדרך כלל אינך משייך מקלדות, עכברים וציוד היקפי אחר כנקודות כניסה להתקפות מסוג זה. מדוע עלינו לדאוג למכשירים מסוג זה?

YA: חשוב על זה: האם אתה יכול להתקין תוכנה שהורדת מהאינטרנט במחשב הארגוני שלך? כנראה שלא. אבל האם אתה יכול להביא מקלדת מבחוץ למשרד ולחבר אותה? כנראה שכן.

אנשים צודקים בהנחה שתוכנה לא ידועה מהווה סיכון. זו הסיבה שישנם כלי אבטחה רבים לפיקוח ומניעה של התקנה של תוכנה במחשב ארגוני על ידי מישהו אחר מאשר אנשי ה- IT. אך מסיבה כלשהי מכשירי החומרה אינם מוחזרים באותה תקן.

התקפות סייבר שמקורן בתוכנה מוגבלות, ברוב המקרים, על ידי כלי ההגנה הסייבר הקיימים, כלומר כל הכלים מחבילת האבטחה של נקודת הקצה ועד אבטחה היקפית וכלים פורנמיים מכוונים לאיתור נקודת הכניסה וחסימה. עם זאת, מקלדת יחידה יכולה לגרום נזק רב יותר מרוב התוכנות הזדוניות בעולם, ולסנן נתונים לפרקי זמן ארוכים.

דמיין שאנשי ה- IT של הארגון שלך שולחים דוא"ל לכל החברה ואומר שהארגון יקבל מחר מקלדות חדשות לגמרי. איזה אחוז מהעובדים שלך היו רואים מקלדת חדשה על שולחנם למחרת ומחברים אותה לחיבור? 20? 50 אחוזים? 100 אחוז? התשובה היא שזה קרוב למאה אחוז ממה שמישהו רוצה להודות. דרוש רק אדם אחד להתקין אחד מהמכשירים האלה, שעבר מניפולציה כדי לחלץ מידע, כדי לפגוע במערכת כולה.

אנו יודעים כעת שרבים מהכלים המשמשים לחדירה ופריצה של מרכזים פיננסיים גלובליים למעשה נגנבו מאבות טיפוס ממשלתיים במדינות ברחבי העולם. לדוגמה, מקלדות שפותחו במקור על ידי סוכנות הביטחון הלאומית האמריקאית (NSA) כדי לעקוב אחר הקשות ולאיסוף נתונים מרשתות דרך יציאת USB של מחשב מחובר, משמשות כעת האקרים זדוניים לרכישת נתונים עבור התקפות סחיטה וכלי רנסום.

בנוסף, עם גידולם של כלי פריצה מגוחכים הנמכרים ברשת האפלה, הטכנולוגיות החדישות ביותר לאיסוף נתונים זדוניים יכולות כעת להסתיים בידי האקר תוך ימים ספורים, ללא דרך ברורה לרשויות לעקוב אחר הרשויות הקונה, המוכר או מיקום המכשירים. המשמעות היא שמכשירי איסוף הנתונים המתוחכמים ביותר והבלתי ניתנים לגילוי עשויים להתקיים כעת באינספור מערכות נתונים, מבלי שמדינות CISO אפילו לא יידעו עליהם.

מכשירים אלה דומים לבאגים טפיליים כמו קרציות או כינים. הם לכאורה לא שגרתיים ולא מזיקים כשמרחפים בסביבתך הכללית. עם זאת, קשה לחוש כאשר הם מתקינים את עצמם במערכת שלך ויכולים להתקיים שם מבלי לשים לב במשך תקופה ארוכה. יתר על כן, הם מהווים אחריות גדולה ויכולים לגרום נזק בלתי הפיך לנתונים ולמחזיקי העניין שלך.

PCMag: מבלי להזמין את השירותים שלך באופן ספציפי, כיצד חברות יכולות להבטיח שהן בטוחות, במיוחד אם הן מסתמכות מאוד על מכשירים מחוברים שיעשו את עבודתן?

YA: ישנם המון אלמנטים שלא ניתן לשלוט עליהם. כפי שדיברתי, כמעט לא ניתן לעצור את השוק הדיגיטלי חסר הגבלה של הרשת האפלה. בשל האנונימיות של קונים ומוכרים, המסחר בחינם של מכשירי חומרה מהווה את האתגר חסר התקדים של להישאר בקשר עם איומי הפריצה המשפיעים על מערכות מבחוץ.

עם זאת, על מנהלי נתונים לשלוט באיומי הפריצה שמקורם בחומרה. זה מתחיל עם מודעות מקיפה לכל התקני החומרה המקיימים אינטראקציה עם המערכת שלך. באופן מסורתי, קציני הטכנולוגיה של הארגונים קובעים כי יש להם מספר X של נקודות קצה המתחברות למספר Y של שרתים ומכשירים חיצוניים. באזור מלחמה מודרנית להגנת הסייבר, זה קריטי שהם יעמיקו, עד לרמה ההיקפית.

יש לבדוק בחוטי רשת השולחים מידע בין שני מכשירים באופן מוחלט, בין כל שני קצוות, דרך כל נקודות החיבור. ישנם מכשירים שיכולים ליירט נתונים בנקודות אלה ולהסנן אותם למיקום מרוחק מבלי שיזהו אותם.

כדי לחסוך מערכות מסוגים אלה של סחיטות, יש לבצע מיון של רשתות כבדות מכשירים בעזרת מסרק בעל שן דק. CISOs צריכים לעשות כל שביכולתם בכדי להבטיח את שלמות התקני המערכת שלהם. הבטחה שהמכשירים שלך באמת שלך - וחומרה לא מוסווית בזדון - היא הדרך הטובה ביותר להתגונן מפני איומי חומרת סייבר.

התחל עם מודעות. אל תתעלם מהסיכון הפוטנציאלי של התקני חומרה חפים מפשע אלה. האיום אמיתי ורלוונטי לכולנו.