מבחינה ביטחונית, אתה החוליה החלשה ביותר

הכנס השנתי של אבטחת המידע Black Hat נמצא במרחק של כמה שבועות קצרים משם. אנשי אבטחה, מנהלים, ספקים והאקרים יתכנסו בלאס וגאס כדי ללמוד ולשתף את הפגיעויות, ההגנות, חורי האבטחה והטכניקות העדכניים ביותר. לקראת הוועידה פרסם הכובע השחור את תוצאות הסקר שבחן את מומחי האבטחה המובילים ביחס לדאגותיהם ולשקפותיהם. אתה יכול לקרוא משמעויות שונות לתוצאות, אבל הנסיעות האישיות שלי הן אלה: אתה החוליה החלשה ביותר. (כן, אני מתכוון אליך.)

מאגר המשיבים לסקר נבחר למומחיות וניסיון בעולם האמיתי. מבין 460 אנשי מקצוע ומנהלי אבטחה, כמעט שני שליש הגיעו מחברות עם לפחות 1, 000 עובדים. תארים לעבודה עבור למעלה מ 60 אחוז מהם כוללים את המילה "אבטחה", ורבע מהקבוצה משמשים כמנהל האבטחה של הארגון שלהם. אנשים אלה נמצאים בתעלות ופועלים ללא לאות לשמירה על ביטחון חברותיהם.

דאגות מול מציאות

חלק ניכר מהסקר הציג בפני המשיבים 15 איומים ואתגרים ביטחוניים. הם התבקשו לתייג את שלושת האתגרים המובילים שהכי מדאיגים אותם, את שלושת הראשונים שמעסיקים את זמנם ואת שלושת הראשונים שמקבלים את החלק הגדול ביותר של התקציב. מבחינה הגיונית הייתם חושבים שאלו יעברו מקרוב; בפועל, זה לא המקרה.

הדאגה הגדולה מכולם, 57 אחוז, הייתה הגנה מפני התקפות ממוקדות, ניסיונות מתוחכמים להפר את הביטחון. עם זאת, רק 20 אחוז מהנשאלים דיווחו כי ההכנות והתמודדות עם התקפות כאלה צרכנים חלק ניכר מזמנן.

האתגר הבא המדאיג ביותר כלל דיוג והתקפות הנדסה חברתית אחרות. אצל 46 אחוזים, זה מעל לכל הדאגות האחרות בסקר, למעט מתקפות ממוקדות. מערכת האבטחה הטובה בעולם לא תועיל אם הודעה הונאה תשכנע את אחד העובדים שלך לכבות אותה, וניקיון לאחר בעיות כאלה יכול להיות דוב אמיתי. ואכן, עד כמה מקדישים אנשי ביטחון את זמנם, שתיים משלושת הדאגות הראשונות כרוכות בטעות אנוש. הרשתות החברתיות הן אחת, אך כיור הזמן הכי טוב מתמודד עם בעיות אבטחה שהוכנסו על ידי צוותי פיתוח פנים-פנים.

דאגות אחרות, כמו מעקב מצד ממשלתנו או אחרת, התקפות פנים והתקפות דיגיטליות על מכשירי Internet of Things (IoT), פשוט לא צורכות את אותה מידה של משאבים נפשיים או כספיים. למעשה, ההוצאה העליונה ביותר עבור נבדקי הסקר כרוכה בהדלפות נתונים מקריות של משתמשים מרושלים - אנשים, שוב. בין הדאגות היקרות המובילות ביותר הן התמודדות עם שגיאות אנושיות שמוציאות את החברה מבעיות ציות ותיקון שנגרמו על ידי עובדים שנפלו בגין התקפות הנדסה חברתית.

האם נהיה חכמים יותר?

המשיבים התבקשו גם לקחת את אותה קבוצה של 15 אתגרים ולבחור שלושה שיהיו הדאגות הגדולות ביותר בעוד שנתיים. מעניין, שכל הדאגות מבוססות האנשים הגיעו למטה הרבה יותר ברשימה זו. בעיות האבטחה שהובאו בפיתוח הביתי הן בתחתית, עם 7 אחוזים. הבא הוא שגיאות שמעמידות את החברה מהעמידה עם 8 אחוזים. וגניבת נתונים של מבפנים זדוניים עומדת על 9 אחוזים. הדאגות להנדסה חברתית נותרות משמעותיות, אך אינן נמצאות בשום מקום קרוב לפסגה.

בעוד שנתיים המומחים (36 אחוז מהם) חשים כי התקפות IoT יהיו הדאגה הגדולה ביותר, ואחריהן מתקפות ממוקדות (ירידה של עד 33 אחוז לעומת 57 אחוזיה הנוכחיים). אף אחד מששת הדאגות הראשונות אינו כרוך בטעות אנוש. נראה שנהיה חכמים יותר!

אתה הקישור הכי חלש

חלק ניכר משאר הסקר הנרחב כרוך באנשי ביטחון, גיוס עובדים וצמיחת קריירה, נושאים שפחות מעניינים את אלו שאינם מעורבים ישירות בקהילה הביטחונית. תוכלו לקרוא את הדו"ח המלא כאן.

נקודה אחת בהחלט ראויה לתשומת לב. כשנשאלו מה החוליה החלשה ביותר באבטחת ה- IT הנוכחית, הנשאלים הציבו איומים מבוססי אינטרנט, כלי אבטחה שלא מדברים זה עם זה ופגיעות נקודת קצה בתחתית הרשימה, כאשר כל אחד מהם מקבל רק 3 אחוזים מהקולות. מה בראש? יותר משליש אמרו, "משתמשי קצה שמפרים את מדיניות האבטחה ונכללים בקלות על ידי התקפות הנדסה חברתית."

הדו"ח מסיק כי לרוב הארגונים אין מספיק אנשי אבטחה ואינם ממקדים את זמן הצוות ותקציבו בבעיות החשובות ביותר. שוקלים קריירה בתחום הביטחון? העתיד שלך נראה ורוד! אבל תצטרכו להבין כיצד למנוע מהעובדים לפגוע במאמצים או בעצלתיים.