Search
  • mobisec8

מגפת האיומים בתחום המובייל ממשיכה לפגוע בעסקים



ניידות ארגונית

בעשור האחרון הפכו מכשירי הטלפון החכמים לאלמנט הכרחי בחיי היום-יום שלנו.

אנחנו משתמשים בהם לתקשר עם חברים ועמיתים, לשלוף מידע נדרש, לבצע פעולות עסקיות ומנהלתיות שונות, לצפות בבידור מקוון, לפעילות ברשתות חברתיות וכן ככלי עבודה המאפשר לנו לגשת למשאבים ומידעים ארגוניים שונים.

למרבה הצער, הנפוצות של מכשירים אלה היא גם החיסרון הגדול שלהם והופכת אותם לאטרקטיביים עבור האקרים, גנבי מידע ופושעי סייבר שונים.

אטרקטיביות זו אמורה לייצר דאגה גדולה בקרב ארגונים שעובדיהם מחוברים למערכות הארגוניות (דואר אלקטרוני, פורטלים ארגונים ומערכות אחרות) באמצעות מכשירי הטלפון החכמים והתקנים ניידים אחרים, אבל המודעות לא תמיד קיימת.

מחקרים רבים שבוצעו בשנים האחרונות מראים כי ארגונים קטנים ובינוניים מהווים כ 43% מהארגונים שנחשפו לגניבת מידע או פריצה ובמקרים רבים למכשירי הטלפון החכמים היה תפקיד מרכזי בפריצות אלה.

חלק מהבעיה היא שארגונים נוטים להעריך יתר על המידה את האמצעים שנקטו כדי להגן על ההתקנים הניידים שברשות העובדים או שאינם מעריכים כראוי את רמת הסיכון והחשיפה הפוטנציאליים כשמדובר בהתקנים אלה.

המאמר הבא יסקור את הסיכונים הפוטנציאליים כשמדובר בהתקנים ניידים המחוברים למערכות ארגוניות.


התקפות מסוג Social Engineering נמצאות במגמת עליה

מתקפות המבוססות על Social Engineering וניצול חולשות האופי האנושי הנן מהנפוצות ביותר ונמצאות במגמת עליה קבועה.

במתקפות אלה התוקפים משתמשים בשיטות המוכרות בשמות Phishing, Pretexting, Baiting וכד'. בשנת 2019, מעל 90% מהארגונים בעולם חוו ניסיונות לתקיפות פישינג.

התקפות מסוג זה נפוצות הרבה יותר מאשר במחשבים שולחניים ומשתמשים בהתקנים ניידים נופלים בפח של תקיפות אלה בערך פי 3 מאשר במחשבים שולחניים.

מתקפות אלה הן למעשה מזימות הונאה בגרסה הדיגיטלית, אם בעבר נוכלים מצאו דרכים יצירתיות כדי להגיע פיזית אל הקורבן שלהם ולהפיל אותו בפח ההונאה, הרי שכיום ניתן להגיע לקורבן בדרך דיגיטלית ולבנות את סיפור ההונאה במטרה אחת בלבד: לגרום לקורבן ללחוץ על קישור מסוים, מכאן והלאה הטכנולוגיה שהלחיצה על הקישור הפעילה, תאפשר לתוקף להשלים את המזימה.

למשתמשים יש מכשיר אחד שמשמש גם לענייני עבודה וגם לעניינים פרטיים, אלמנט זה מגדיל את הסיכון ואת החשיפה ומאפשר לתוקפים להשיג גישה גם למידע אישי וגם למידע ארגוני.

האתגר הגדול בהתמודדות עם תקיפות אלה הוא שבעצם קשה מאוד להתמודד איתן באמצעים טכנולוגיים בלבד, התקיפות מכוונות לחולשות אנושיות, סקרנות, נאיביות וחוסר תשומת לב רגעית לפרטים וכאן הטכנולוגיה לא תמיד יכולה לעזור.

כדי להשלים את הפתרונות הטכנולוגיים הארגון חייב לטפל גם בחינוך המשתמשים והגברת המודעות לסיכונים האפשריים כולל דוגמאות של מקרים שקרו וקורים מדי יום.


פושעי הסייבר ממשיכים להשתמש ברשתות אלחוט לצורך תקיפות

עובדים רבים הנם עובדים ניידים והמשמעות היא שהם מתחברים לרשתות רבות ושונות.

חשוב להבין שמכשיר טלפון חכם יהיה מאובטח במקסימום ברמת האבטחה של הרשת שאליה הוא מחובר.

למרבה הצער, רשתות אלחוטיות ציבוריות רבות הנן הרבה פחות מאובטחות מאשר אנחנו מניחים.

התוקפים ינצלו רשתות אלה כיד לבצע מתקפות שונות כגון Man In The Middle, Evil Twin וכד' ואף יקימו רשתות מזויפות משלהם במקומות ציבוריים על מנט ליירט מידע ובמקרים מסוימים אף להשתלט על מכשירי הטלפון החכמים.

בתחום זה קיימים מספר פתרונות טכנולוגיים להתמודדות עם האיומים, פתרונות מתקדמים בתחום Mobile Threat Protection בשילוב עם פתרונות Per App VPN וטכנולוגיות נוספות יקטינו את הסיכון אם כי חינוך המשתמשים והגברת המודעות הנם מרכיב חשוב לא פחות בהתמודדות עם איומים אלה.


הסיכון שבחולשות הפיסיות וחולשות המכשיר

חשיפות רבות מתרחשות פשוט בגלל הזנחה.

מכשירים שאינם מפוקחים מהווים סיכון גדול לארגון ובוודאי אם על מכשירים אלה לא נאכפת מדיניות אבטחה ארגונית שתמנע גישה קלה אליהם.

לא מעט פריצות למידע ארגוני התחילו עם מכשיר לא מפוקח שבאמצעותו התוקפים השיגו גישה למערכות ארגוניות.

בנוסף, המשתמשים הנם מנהלי המכשיר וביכולתם לשנות הגדרות אבטחה קריטיות ולדלג על עדכוני אבטחה ועדכונים חשובים אחרים ולכן חשוב שיהיו בארגון מערכות שיספקו בכל רגע תמונת מצב לגבי חולשות והגדרות שגויות בכל מכשיר של כל משתמש ויאפשרו להגיב בהתאם.

ארגונים רבים משתמשים במערכות UEM/EMM/MDM כדי להחיל מדיניות הגנה על המכשירים שכוללות אכיפת בקרת גישה באמצעות טביעת אצבע, בדיקת תקינות המכשיר, בדיקת קיומן של אפליקציות הגנה הכרחיות, יכולת למחוק מידע ארגוני מרחוק ועוד.

גם במקרה זה חינוך והגברת המודעות הנן מרכיב חשוב ביותר.


תופעת ה – Shadow IT

מכשירי הטלפון החכמים שברשות העובדים מחוברים למערכות המידע הארגוניות אבל מאפשרים לעובדים להתקין אפליקציות שונות ולהתחבר לשירותים שונים באופן עצמאי ופרטי וכך נוצר סוג של יצור כלאיים שלא קיים בתוך הרשתות הארגוניות, למעשה מקבלים התקן שמחובר למערכות הארגוניות מצד אחד אך מהצד השני אין פיקוח של מערכות המידע הארגוניות על אפליקציות ומערכות נוספות שהמשתמש התקין.

אפליקציות ושירותים נוספים אלה עלולים לסכן את הארגון בין אם בגלל שמדובר בשירות שאינו אמין או שירות שהוא מזימה ובין אם בגלל שגיאת משתמש באופן הטיפול שלו במידע ארגוני ומעביר אותו מטעמי נוחות לאפליקציות או שירותים מצד שלישי שהארגון לא מכיר בהם כלל.

בדיוק כמו בדוגמאות הקודמות, קיימים פתרונות טכנולוגים כגון שימוש בקונטיינרים שיכולים להקטין את הסיכון בדליפת מידע ממערכות ארגוניות למערכות פרטיות, אבל גם במקרה זה אין פתרון הרמטי, כך שלמודעות וחינוך המשתמשים יש משקל רב.


סיסמאות חלשות עדיין בעוכרינו

למרות שחולשה זו קיימת, ידועה ומוכרת לכל אדם מזה שנים רבות, עדיין היא נפוצה הרבה יותר מאשר אפשר לדמיין.

בעיקר בגלל שמשתמשים רבים מניחים "לי זה לא יקרה" ובנוסף משתמשים רבים נוהגים להשתמש באותה סיסמה לשירותים ואפליקציות שונות, במצב זה במקרה שהסיסמה נחשפה הרי שלתוקף יש גישה לכל השירותים והאפליקציות.

כשמדובר בהתקנים ניידים בבעלות העובד, כאלה שמשמשים גם לעבודה וגם לעניינים פרטיים הרי שהסיכון גדול יותר גם בגלל חשיפה גדולה יותר לרשת וגם בגלל שפריצה למכשיר כזה יכולה לספק לתוקף גישה גם לארגון וגם למידע אישי של הקורבן.

ארגונים חייבים להחיל מדיניות סיסמאות שכוללת החלפת סיסמאות תקופתית, ארגונים רבים נעזרים בהזדהות מבוססת תעודות ולמערכות רגישות או כשמדובר בהתחברות לא שגרתית מפעילים הזדהות מרובת פקטורים.

לסיכום

מתקפות סייבר הן חלק מהמציאות.

השימוש בהתקנים ניידים בארגונים ובעיקר טלפונים חכמים הולך ומתעצם, יותר ויותר שירותים נחשפים ומאפשרים גישה להתקנים אלה.

התקנים ניידים ובעיקר מכשירי טלפון חכמים הנם מטרות קלות לתוקפים ושמים את המידע הארגוני והמשך תפקוד הארגון בסיכון.

בדיוק כמו התמודדות על כל סיכון עסקי אחר על הארגונים להיערך להתמודדות ולייצר מערך הגנה ראוי מול הסיכון.

מערך זה יכלול שילוב של מערכות טכנולוגיות מתקדמות ביחד עם פעולות לחינוך והגברת המודעות אצל המשתמשים.


איך מתחילים?

צוות מוביסק טכנולוגיות שלנו מוביל את תחום הניהול וההגנה על התקנים ניידים משנת 2011 ועד כה תכנון ומימש מאות אסטרטגיות לניהול והגנה על סביבת הניידות בארגונים הגדולים והמובילים בישראל.


צרו קשר ונשמח לקיים אתכם דיון בנושא:

Daniel.Ashkenazi@kmt.co.il

19 views
  • Grey Facebook Icon
  • Grey LinkedIn Icon

10 Halapid St. Petah Tikva, Israel

2017 Mobisec Technologies . All rights Reserved