וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

הזנתם פרטים אישיים בפייסבוק? החברה שאתם עובדים בה בסכנה

לביא לזרוביץ'

15.9.2020 / 0:33

בעולם הסייבר מצביעים על מגמה שבה זהויות הופכות להיות חומת ההגנה ההיקפית (perimeter) החדש של ארגונים. אז איך הפכו הפרטים האישיים שלנו ברשתות חברתיות לאיום על הארגון בו אנחנו עובדים?

פירצת האבטחה שהתגלתה באפליקציית טיקטוק/צילום ועריכה: צ'ק פוינט

כולנו משאירים פרטים אישיים ופרטי זיהוי ברשתות חברתיות. זה לא רק טלפון ואימייל, אלא גם רשימת החברים בפייסבוק, מיקומים אחרונים בהם שהינו וכו'. רובנו יודעים היטב שהזהות הדיגיטלית הזו היא מסוכנת, כי הפרטים עלולים להיגנב במסגרת מתקפת סייבר. אבל עד כה, העמדנו בסיכון רק את המידע האישי שלנו.

בעידן של עבודה מרחוק ושל אימות זהות מרחוק בכניסה לרשת הארגונית, מסתבר שגם הארגון בו אנו עובדים, והמידע ששמור ברשת המחשוב שלו, נמצא בסיכון דרך הזהות הפרטית של כל אחד מאיתנו, העובדים. זאת, כיוון שהזהות האישית עצמה הופכת להיות הפרימטר החדש (הגנה היקפית) של ארגונים.

אבטחה בפייסבוק. ShutterStock
עד עכשיו העמדנו בסיכון רק את האבטחה שלנו. עכשיו כל החברה חשופה/ShutterStock

כשהגבולות בין עבודה ובית נפרצים, הזהות האישית היא חומת המגן

מאז פרוץ מגפת הקורונה, יותר ויותר עובדים התחילו לעבוד מרחוק, מהבית ולא מהמשרד. על מנת לאפשר עבודה רציפה והמשכיות עסקית, ארגונים נאלצו לפתוח את הרשת החוצה, את הגדרות הגישה ואת כל הנכסים והמשאבים ברשת המחשוב הארגונית. לפיכך פתאום כבר לא כל כך ברור מה זה "בפנים" ומה זה "מחוץ" לרשת.

התהליך הזה של מעבר לעבודה מרחוק בא על רקע טרנספורמציה דיגיטלית של השנים האחרונות, במסגרתה הגישה ליישומים ולמידע הארגוני אפשרית גם מחוץ לארגון. זה כולל אפילו אנשי פיתוח שמפתחים מרחוק וצריכים גישה לקוד ואנשי מכירות שזקוקים לגישה לניהול הלקוחות כשהם לא במשרד, אנשי ניהול כספים, ועוד ועוד. המשמעות היא, שעכשיו הגישה לנתונים הרגישים האלה תלויה בעיקר בזהות ובתהליך ההזדהות של מי שניגש לנתונים. כאשר חומת האש המסורתית ((Firewall פחות רלוונטית, מה שיעצור תוקף שאינו מורשה לגשת למערכת - זו בעיקר היכולת לזהות מי מבקש את הגישה. כלומר, הזהות היא כיום המפתח לכניסה ולגישה למידע, גם כאשר מדובר במידע רגיש במיוחד.

sheen-shitof

עוד בוואלה

זה כל כך טעים ופשוט: מתכון לבננות מקורמלות

בשיתוף חברת גליל

מהן שיטות האימות החדשות של עובדים מרחוק?

בדרך כלל קיימות שלוש שיטות לאימות זהות: הראשונה היא שימוש בשם משתמש וסיסמה, השיטה השנייה מתבססת על זיהוי ביומטרי - טביעת אצבע, זיהוי פנים, זיהוי קולי וכדומה. והשיטה השלישית היא זיהוי באמצעות המכשיר עצמו, למשל על ידי קבלת קוד זמני לנייד. ישנה האפשרות גם לשלב בין שיטות ההזדהות השונות על ידי זיהוי דו-שלבי, כלומר זיהוי באמצעות שתי שיטות שונות.

ג'ק דורסי מנכ"ל טוויטר. ShutterStock
כביכול שלח מייל - והנזק היה עצום. מנכ"ל טוויטר ג'ק דורסי/ShutterStock

איך המידע האישי שלנו הופך גם לדרך אימות בכניסה לרשת הארגונית?

כאמור, ברגע שהזהות הפכה להיות קו ההגנה הארגוני, המידע האישי שלנו הוא זה שבמוקד. באמצעות המידע הזה תוקפים יכולים להתחזות ולפעול בשם המשתמש. מספר טלפון, אימייל, רשימת החברים שלי בפייסבוק, מיקומים אחרונים וכו', כל המידע הזה יכול לשמש את התוקף לתקוף בשיטת ספיר פישינג (SPEAR PHISHING) - מתקפה ממוקדת דרך אימייל למשל על משתמשים ספציפיים כדי לקבל מהם מידע על הארגון.

כך, למשל, אם יש לתוקף את כתובת המייל של המנכ"ל, הוא יכול לשלוח הודעת אימייל למנהל משאבי האנוש ולבקש את רשימת העובדים של הארגון. המייל, כביכול בשם המנכ"ל, עם שינוי פשוט של ה-header של המייל, ולייצר התחזות מושלמת. שיטה זו, ספיר פישינג, שימשה ככלי תקיפה במתקפות האחרונות על טוויטר ויוטיוב, בהן השימוש בזהות של אחד העובדים שנחשפה, חשפה אז גם את הארגון. וכך, המידע האישי שלנו פתאום הרבה יותר רגיש כי הוא משמש גם כלי תקיפה נגד הארגון. כאשר לא עובדים פיזית במשרד, מיילים והודעות ווטסאפ הופכים להיות הקשר המרכזי.

איך להתמודד עם המצב החדש?

  • לשמור בקנאות על המידע האישי שלנו ולא לאפשר גישה בקלות לאימיילים ולנייד שלנו. חשיפת האלמנטים האלה עלולה לאפשר לתוקפים לטרגט אותנו. לדוגמא, אם הבנק שולח למשתמש קוד זמני ב-SMS, ותוקף יודע מה מספר הטלפון ומס' ת.ז שלו, הוא יוכל לקבל את הקוד הזה אליו בטכניקת SIM jacking, שבה התוקף פונה אל חברת הסלולר בבקשה להעביר את הטלפון ל-SIM אחר, וכך הופך לבעלים של המספר ויכול לקבל סיסמאות חד פעמיות.
  • להיות מאוד זהירים עם מי מתקשרים ועל מי סומכים. בכל הקשור לקבלת הודעות ואימיילים מגורמים שאינם מוכרים שמבקשים דברים - עובדי הארגון צריכים לפקוח את העיניים ולא לסמוך על שום דבר. אם כבר קיבלנו מייל ויש בו לינקים -יש לראות שהמייל אכן הגיוני, שאין שינוי קל באיות הכתובת שעלולה להוביל לעמוד תמים למראה אך נועד להפעיל מתקפה או למשוך את הקורבן לחשוף סיסמאות.
  • בצד הארגוני, אימוץ גישת "אפס אמון" (zero-trust) - גישה מתקדמת בהגנה על נכסי המידע הארגוני. המשמעות היא שהארגון וכל התקשורת אתו כל הזמן נבחנים ומאותגרים, לא סומכים על אף אחד בעיניים עצומות. גם אחרי שתהליך ההזדהות תם מערכות הארגון צריכות לוודא שהשימוש וחיבור למערכת אכן לגיטימי.

טיפים: עשה ואל תעשה

  • לא לחשוף את המייל הארגוני ומספר הטלפון - לא להשתמש בהם עבור שירותים מחוץ לעבודה. מומלץ להשתמש במייל הפרטי או במייל זמני.
  • בכל מה שקשור ללינקים בהודעות, בין אם בנייד או במייל, להיות מאוד זהירים לפני שלוחצים ולוודא שהדומיין המופיע בלינק הגינוי.
  • לא למחזר סיסמאות בין כל השירותים, כדי להימנע מתקיפה שנקראת credentials stuffing - שבה התוקף לוקח סיסמאות ממקום אחד ומנסה להשתמש בהן בכניסה למערכות הארגוניות או למערכות אחרות.
  • כסיסמה, מומלץ לעשות שימוש בכמה "משפטי סיסמה" (סיסמה שמורכבת משורה בשיר או מפתגם) במקום בסיסמה מסובכת אחת שתשמש בכמה אפליקציות.

לביא לזרוביץ' הוא ראש צוות המחקר בסייברארק (CyberArk)

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    4
    walla_ssr_page_has_been_loaded_successfully