הצמיחה המסיבית בזהויות הדיגיטליות יוצרת גידול ב"חוב האבטחה"
הצמיחה המסיבית בזהויות הדיגיטליות יוצרת גידול ב"חוב האבטחה"
לפי דוח חדש של סייברארק: לעובד ממוצע בארגון יש כיום יותר מ-30 זהויות דיגיטליות
•79 אחוזים אומרים שארגוניהם נותנים עדיפות לפעולות עסקיות על-פני וידוא של אבטחת סייבר איתנה ב-12 החודשים האחרונים
•השיעור של זהויות מכונה עולה כעת על מספר הזהויות האנושיות בפקטור של פי 45
•64 אחוזים ממנהלי האבטחה מודים שארגוניהם אינם מסוגלים לבלום מתקפה על שרשרת האספקה
•88 אחוזים מחברות האנרגיה והתשתיות נפגעו מהתקפות שכוונו לתוכנה של שרשרת האספקה.
דו"ח גלובלי חדש שמפרסמת היום חברת סייברארק (נסד"ק: CYBR) מעיד ש-79% ממנהלי אבטחת המידע בארגונים מצהירים שאבטחת הסייבר נדחקה אחורה בסדר העדיפויות בשנה האחרונה לטובת האצה של יוזמות עסקיות דיגיטליות. דו"ח מפת איומי הסייבר על זהויות של סייברארק לשנת 2022 מפרט כיצד הגידול במספר הזהויות האנושיות וזהויות המכונה – שמגיע לעיתים קרובות למאות או אלפי זהויות לארגון – גרם להצטברות של "חוב" סייבר בהקשר של אבטחת זהויות, וכך חושף ארגונים לסיכונים מוגברים, כגון: דליפת ססמאות, שימוש זדוני בזהות ארגונית לבצע גישה לא מורשית למידע ועוד.
בעיית הזהויות מחמירה
כל יוזמת מחשוב או דיגיטציה ארגונית מרכזית מובילה לגידול במספר האינטראקציות בין בני אדם, יישומים ותהליכים, מה שמוביל להיווצרותן של זהויות דיגיטליות רבות. כאשר זהויות דיגיטליות אלו אינן מנוהלות ואינן מאובטחות, הן עלולות להוות סיכון סייבר משמעותי:
•ל-68 אחוזים מהזהויות הלא-אנושיות או מהבוטים יש גישה לנתונים ונכסי מידע רגישים.
•לעובד.ת ממוצע.ת יש כיום יותר מ-30 זהויות דיגיטליות.
•מספר זהויות המכונה עולה כיום על מספר הזהויות האנושיות פי 45 בממוצע.
•87 אחוזים מהארגונים מאחסנים סודות (secrets) במספר רב של מיקומים בסביבות DevOps, ואילו 80% אומרים שלמפתחים יש בדרך כלל יותר הרשאות פריבילגיות ממה שדרוש להם לביצוע תפקידם.
מרחב ההתקפה של 2022
המגמות השכיחות של טרנספורמציה דיגיטלית, מעבר לענן וחדשנות של התוקפים ממשיכות להרחיב את משטח ההתקפה. הדו"ח בוחן את השכיחות וסוג איומי הסייבר המאתגרים את הצוותים, ואת התחומים בהם הסיכון גבוה במיוחד:
•גישה להרשאות היא תחום הסיכון הראשון במעלה בקרב המשיבים (40%), ואחריו התחמקות מהגנה (31%), הרצת תוכניות זדוניות (31%), גישה ראשונית (29%), ועלייה בדרגות הגישה הפריבילגית (27%).2
•יותר מ-70% מהארגונים שנסקרו לא עשו דבר כדי לאבטח את שרשרת האספקה של התוכנה בעקבות מתקפת SolarWinds ורובם (64%) מודים שהמשמעות של פריצה לספק תוכנה שלהם היא שלא יוכלו לבלום מתקפה על ארגונם.
איך נוצר חוב האבטחה?
מנהלי האבטחה מסכימים שיוזמות דיגיטליות חוצות ארגון כרוכות במחיר גבוה: המחיר הזה הוא חוב אבטחה. תוכניות וכלי אבטחה צמחו והתרחבו אבל לא עמדו בקצב החידושים שארגונים אימצו כדי לשפר את הביצועים לתמוך בצמיחה. חוב זה נוצר עקב ניהול ואבטחה בלתי הולמים של הסיכון והגישה לנתונים ונכסי מידע רגישים, ועקב היעדר אמצעי בקרה של אבטחת הזהויות אשר מגביר את הסיכון ויוצר השלכות. החוב ממשיך לגדול בעקבות העלייה האחרונה במתחים גאו-פוליטיים אשר כבר השפיעו ישירות על תשתיות קריטיות, עובדה המדגישה את הצורך בערנות מוגברת להשלכות הפיזיות של מתקפות סייבר:
•79% מסכימים שב-12 החודשים האחרונים, ארגונם נתן עדיפות לתחזוקת התפעול העסקי על פני אבטחת מידע איתנה.
•פחות ממחצית (48%) התקינו בקרת אבטחת זהויות ביישומים קריטיים לעסק.
אודי מוקדי, יו"ר ומנכ"ל סייברארק, אמר, "בשנים האחרונות הוצאות על פרוייקטי טרנספורמציה דיגיטלית הרקיעו שחקים, במטרה לענות לדרישות המשתנות של לקוחות ועובדים. השילוב של משטח אבטחה גדול יותר, מספר זהויות גדול מאי פעם והשקעה פחותה באבטחת המידע – מה שאנו מכנים "חוב אבטחת מידע" Cybersecurity Debt – חושף ארגונים לסיכון גדול מתמיד, אשר כבר עכשיו מביא לגידול באיומי הכופר וחולשות אבטחה בשרשרת האספקה של התוכנה. סביבת האיומים הזאת מחייבת לנקוט בגישה של 'אבטחה לפני הכול' Security First)) כדי להגן על זהויות ולהדביק את קצב החדשנות של התוקפים."
מה אפשר לעשות
•לפעול ליצירת שקיפות: 85% מהמשיבים לסקר אומרים ש"רשימת חומרים" לפיתוח תוכנה היה מצמצם את הסיכון לפגיעה הטמון בשרשרת האספקה של התוכנה.
•אימוץ אסטרטגיות לניהול גישה רגישה: שלושת האמצעים המובילים שאימצו או מתכוונים להשיק המנמ"רים ומנהלי האבטחה בסקר הם: ניטור וניתוח בזמן אמת כדי לערוך ביקורת על פעילות של גישות פריבילגי, ות; עקרונות של אבטחה פריבילגית מינימלית / עקרונות אפס אמון בתשתית שמריצה יישומים עסקיים קריטיים; ותהליכים המבודדים יישומים עסקיים קריטיים מהתקנים מחוברים לאינטרנט על מנם להגביל את התנועה הרוחבית.
•לתעדף בקרה של אבטחת זהויות כדי לאכוף עקרונות אפס אמון: שלוש היוזמות האסטרטגיות המובילות לאכיפת עקרונות אפס אמון הן אבטחת עומסי עבודה; כלי אבטחת זהויות ואבטחה של הדאטה.
דו"ח נוף איומי הסייבר של סייברארק ל-2022 משקף את הממצאים מסקר בינלאומי שנערך על-ידי חברת Vanson Bourne בקרב 1,750 מקבלי החלטות בתחום אבטחת המידע. הוא מדגיש את הניסיון שרכשו מקבלי החלטות אלה בשנה האחרונה בניסיון לתמוך ביוזמות הדיגיטליות המתרחבות של ארגוניהם. המשיבים הינם מארה"ב, ישראל, בריטניה, צרפת, גרמניה, יפן איטליה, ספרד, ברזיל, מקסיקו, סינגפור ואוסטרליה. להורדת הדו"ח, היכנסו>>