מחקר שהוזמן על 100 מובילי סייבר ו-IT בבריטניה, שנערך בשנת 2023 על ידי Forrester Consulting מטעם Tenable, מצא כי הארגון הממוצע הצליח למנוע 52% מהתקפות הסייבר שבהן נתקלו בשנתיים האחרונות. עם זאת, הכיסוי הרב הזה הותיר אותם פגיעים ל-48% מההתקפות שעומדות בפניהם, כאשר צוותי אבטחה נאלצו למקד את הזמן והמאמצים באופן תגובתי במקום למנוע התקפות מראש. כשמסתכלים על מה שמעכב את הצוותים מלהתמקד במניעה, היה ברור שהזמן לא בצד שלהן. שישה מתוך 10 נשאלים (60%) אומרים שצוות אבטחת הסייבר עסוק מדי במלחמה בתקריות קריטיות מכדי לנקוט בגישה מונעת להפחתת חשיפת הארגון שלהם.
שימו לב לאחוז הגדול של מתקפות כופר מוצלחות בבריטניה בשנה שעברה לבדה. ל-Capita, חברת מיקור חוץ שמפעילה שירותים חיוניים עבור מועצות מקומיות, הצבא וה-NHS, המערכות שלה נפרצו על ידי כנופיית תוכנות כופר עם חילוץ של נתוני לקוחות. חברת רויאל מייל הרימה את ידיה, ומצאה את עצמה לא מסוגלת לעבד משלוחים בינלאומיים בנוסף לנתונים המוחזקים בכופר. קרן Barts Health NHS, משטרת מנצ'סטר רבתי ועוד חשפו כולם כי הם הושפעו מתוכנת כופר. הימים של פעם, שבהם שחקני איומים הצפינו ללא הבחנה מערכות עבור חלקיק של ביטקוין הסתיימו, שכן פושעי הסייבר של ימינו ישתקו את הפעולות וינהלו משא ומתן על תשלום נכבד עבור החזרה לשגרה. עם זאת, גם אם שולמה עמלה, ברגע שנגנבו נתונים רגישים בהתקפה, אמון הסודיות אובד לנצח – אי אפשר להחזיר את שד הנתונים לבקבוק – זו הסיבה שגישה פרואקטיבית היא כל כך חשובה.
נתיבי תקיפה
כשמדובר במתקפות סייבר, מה שאנחנו יודעים הוא שמתודולוגיית ההתקפה של גורמי האיום אינה מתקדמת או אפילו ייחודית אלא אופורטוניסטית. תוקפים רואים דרכים רבות ומרובות לעשות נזק ולהרוויח רווחים מהמאמצים המרושעים שלהם. כאשר מעריכים את משטח ההתקפה של ארגון, הם מחפשים את השילוב הנכון של פגיעויות, הגדרות שגויות והרשאות זהות. הם מחפשים חלון פתוח לזחול דרכו. ברוב המקרים מדובר בפגיעות ידועה המאפשרת לשחקני איום נקודת כניסה לתשתית הארגון. לאחר השגת כניסה, תוקפים יחפשו לנצל הגדרות שגויות ב-Active Directory כדי להשיג הרשאות ולחדור עוד יותר לארגון כדי לגנוב נתונים, להצפין מערכות או לגרום לנזקים עסקיים אחרים.
בכל הנוגע לשיטות סייבר פרואקטיביות, הדברים הבסיסיים עדיין מכשילים את צוותי האבטחה. עבור ארגונים רבים מדי, טיפול בפרצות תוכנה הוא מאבק אין סופי. צוותי אבטחה מאותגרים לקבל תמונה מדויקת של משטח ההתקפה שלהם, כולל נראות לנכסים לא ידועים, משאבי ענן, חולשות קוד ומערכות נוספות המשמשות את כלל משתמשי הארגון. בינתיים, הם מתמקדים בשמירה על זמן פעולה במקום תיקון חולשות שעלולות להפיל הכל.
הגנה על הכל היא משימה כמעט בלתי אפשרית או בלתי אפשרית לחלוטין. ארגונים נמצאים בסיטואציה שקשה לבצע ניהול פגיעות רוחבי ללא מערכת שתיתן מענה לכך. אך על ידי מיקוד משאבים בפגיעויות שצפויות להיות מנוצלות והבנה כיצד תוקפים משרשרים יחד חולשות רבות, צוותי אבטחה יכולים לעצב אסטרטגיות שלמות יותר להפחתת הסיכון והחשיפה הכוללת שלהם.
המניעה עדיפה על תרופה
אבטחת סייבר מונעת דורשת את היכולת להעריך ולתעדף פגיעויות ותצורות שגויות, בכל מקום שבו הם נמצאים, לצד נתוני משתמש, ערך נכס ומודעות לנתיבי התקפה סבירים. אינטליגנציה הוליסטית זו מאפשרת לעובדי IT ואבטחת סייבר לקבל החלטות מושכלות לגבי אילו מערכות או סוגים של משתמשים ונכסים נמצאים בסיכון הגבוה ביותר ודורשים תיקון תחילה.
בנוי על היסודות של ניהול פגיעות מבוסס סיכונים, ניהול חשיפה לוקח מבט רחב יותר על פני משטח ההתקפה המודרני, מיישם הן את ההקשר הטכני והן את ההקשר העסקי כדי לזהות במדויק ולתקשר בצורה מדויקת יותר סיכוני סייבר, מה שמאפשר החלטות עסקיות טובות יותר.
תוכנית לניהול חשיפה מספקת הקשר נוסף – כגון מי משתמש במערכת, למה יש גישה, איך זה מוגדר וכו'. הבנת התנהגות התוקף עוזרת לבנות תוכניות אבטחה ולתעדף את מאמצי האבטחה כדי להתמקד באזורי הסיכון הגדולים ביותר ולשבש נתיבי תקיפה, ולבסוף לצמצם את החשיפה לאירועי סייבר. ארגונים שיכולים לצפות התקפות סייבר ולתקשר את הסיכונים הללו לתמיכה בהחלטות, יהיו אלה שיעמדו בצורה הטובה ביותר ולהתגונן מפני איומים שונים.
אימוץ תוכנית לניהול חשיפה כרוך בשינויים באנשים ובתהליכים. זה מחייב צוותי אבטחה לתת חשיבות רבה למאמצים יזומים כפי שהם נותנים כיום למאמצי תגובה לאירועים. וזה דורש מאנשי מקצוע בתחום האבטחה לנתח את הנתונים המגיעים מכלים שונים כדי להעצים אותם להפיק תובנות משמעותיות שהם יכולים ליישם על יעדי הפחתת הסיכונים שלהם.
ארגונים חייבים לנקוט בפעולה כדי להבין את הסיכונים העומדים בפניהם, להתמודד עם האתגרים העומדים בדרכם ובסופו של דבר לצמצם את כמות התקפות הסייבר המוצלחות שצוות האבטחה צריך להגיב עליהן. הטמעת תוכנית לניהול חשיפה מאפשרת לאנשי אבטחה להקצות טוב יותר זמן ומשאבים כדי שיוכלו להתמקד בנקיטת פעולות המניעה המפחיתות באופן משמעותי את סיכוני הסייבר של ארגון.