אביב כהן סמנכ"ל שיווק ב Pentera | צילום: ערן בארי
דעה
צונאמי חולשות התוכנה - אסטרטגיית התמודדות חדשה
העלייה הדרמטית במספר חולשות התוכנה הפכה את עבודת אנשי אבטחת המידע לקרב בלימה שסופו ידוע מראש. רק שינוי תפיסת הגנת הסייבר יכול לשנות את התוצאה הסופית
הרדיפה הבלתי פוסקת אחר תיקון חולשות סייבר ועדכוני תוכנה הפכה מנת חלקם היומית של מגיני הנתונים והרשתות בארגונים. סוג של עבודה סיזיפית ללא סוף, לאור גילויין של עוד ועוד חולשות קריטיות. מנגד, המחסור התמידי בכוח אדם מיומן והתקציבים המוגבלים מציבים מגבלה של משאבים. והתוצאה - כרוניקה של פריצה ידועה מראש.
קראו עוד בכלכליסט:
בשנת 2021 בלבד התגלו בעולם למעלה מ- 20,000 חולשות תוכנה חדשות, בממוצע 50 חולשות חדשות ביום. חולשת סייבר יכולה להוות פתח בר-ניצול להאקר זדוני, לאפשר לו אחיזה ללא הרשאה ברשת הארגונית וביצוע פעולות כגון הפעלת כופרה או גניבת נתונים.
אולם לא כל החולשות נבראו שוות. מיעוטן של החולשות, אם הן נמצאות בצמתי מפתח בארגון, יכולות להיות הרסניות. אולם רובן אינן קריטיות, אינן ניתנות לניצול, או שניצולן אינו מקדם את התוקף בניסיונו לחדור לעומק הרשת הארגונית. למעשה רק 3% מהחולשות המדווחות מהוות סיכון ממשי, כזה שיגרור נזק מהותי כמו בבית החולים הלל יפה או בחברת הביטוח שירביט. נכנה חולשות אלו "חולשות פריצה".
עד היום היה נהוג לקבוע את חומרת חולשות הסייבר לפי אינדקס כללי המכונה CVSS. השיטה הנושנה הזו יצרה מצב של התמודדות עם אלפי חולשות "חמורות" על הנייר, בלי אפשרות לדעת איזו חולשה תהיה באמת קריטית במקרה של פריצה אמיתית. חוסר היכולת להבדיל בין עיקר וטפל יצר פער גדול בין המשאבים לטיפול בעדכוני תוכנה ואבטחת מידע, לבין הצרכים.
המרכיב החסר עד לאחרונה בסייבר הוא המרכיב שיאפשר דירוג החולשות על פי מידת הנזק הפוטנציאלי לארגון במקרה של ניצול של אותה חולשה על ידי פצחן (האקר) בהקשר הספציפי של הארגון. כדי לאמוד את הסיכון הזה יש לבצע תקיפת דמה, הידועה גם כבדיקת חדירות, ולייחס חשיבות לכל פגיעה על פי ההשפעה שלה על התוצאה הסופית של התקיפה.
עד לא מזמן ניתן היה לבצע בדיקות חדירות רק בצורה ידנית על ידי מומחים, אולם בשנים האחרונות התפתחה יכולת טכנולוגית לביצוע בדיקות אלו באופן אוטומטי, ללא מגע יד אדם וללא צורך בכוח אדם נוסף. מכאן נפתחות אפשרויות חדשות לריכוז מאמץ לתיקון של אותן "חולשות פריצה" ומניעה של תקיפת הסייבר עוד בטרם החלה.
מנהלי אבטחת מידע שנטו להסתכל על טכנולוגיה זו בספקנות לפני כחמש שנים, מאמצים אותה כיום במספרים הולכים וגדלים. היכולת לבדוק כל מערכת מידע, בלחיצת כפתור, על פי דרישה, כנגד טקטיקות התקיפה העדכניות ביותר נחשבת אחת הטכנולוגיות המשפיעות ביותר על תפיסות הגנת הסייבר בעשור האחרון. במבט קדימה, ארגון ללא יכולת בדיקות חדירות אוטומטיות יתקשה להתמודד עם כלל איומי הסייבר בצורה אפקטיבית.
אביב כהן הוא סמנכ"ל שיווק בכיר ב-Pentera