05
פבר
09

מגמות סיכוני אבטחת מידע לשנת 2008

חברת Sophos פרסמה לאחרונה דוח על סיכוני אבטחת מידע על נתוני 2008. לא מחדש הרבה. ריכזתי כמה נתונים שנראו לי חשובים. 

נאמר בדוחות אחרים, ומודגש גם בזה, האקרים ותוקפים כיום מונעים בעיקר מסיבות כלכליות ומתמקדים בגניבת מידע מלקוחות וארגונים.
כמות הסיכונים כלפי מערכות מבוססות Windows עדיין גדולה באופן משמעותי מסביבות אחרות.
האיום המשמעותי ביותר ב – 2008: SQL Injection ואיומי Scareware. (כיוון שאני לא מתיימר להיות אבשלום קור, נמציא לזה שם: מפחידונים.)מה זה מפחידון: מדובר בתרמית הגורמת לגולש להבין בטעות שהוא נפגע מאיום אבטחת מידע ולכן עליו לרכוש בהקדם את המוצר המזויף שהמפחידון מפרסם. המפחידון יכול להיות אנטי-וירוס או המלצה להכניס מהר סיסמא כדי לקבל פתרון לבעיה. המפחידון יכול להיות מתוכנן לגנוב כרטיסי אשראי. חברת Sophos מגלה בממוצע 5 אתרי מפחידונים ביום.
בכל 4.5 שניות, מתגלה דף אינטרנט חדש נגוע.

אתרי אינטרנט מותקפים לעיתים רחוקות באופן מכוון, לרוב ההתקפה נובעת מניצול פגיעות של האתר.

שלוש המדינות המאכלסות את רוב אתרי הקוד הזדוני: ארה"ב (37%), סין (28%), רוסיה (9%).

אתרים חברתיים מהווים סיכון גבוה מתמיד לשתילת לינקים זדוניים. למשל, פייסבוק הודתה שהתקפה מוצלחת גרמה להתקנה של סוס טרויאני בפרופילים של 1800 משתמשים.

לינקים זדוניים מופעים גם במיילים הנשלחים כספאם. למשל, בספטמבר 2008, נשלח ספאם המכיל לינק לקישור וידאו פורנוגרפי של ברק אובמה. מאחורי האתר אליו הלינק הפנה הסתתר וירוס בשם Hupig-D.

רוב הספאם בעולם מגיע ממחשבי קצה נגועים (נקראים 'בוט' או 'זומבי'). המחשבים הנוגעים מפיצים את הספאם במקום ממחשב הספאמר.

מישהו אמר: אנטי-וירוס מעודכן ו – Personal Firewall?

קוד עויין המועבר דרך התקן USB מסוג DoK גם הפך נפוץ יותר ב – 2008. המקרה המפורסם והמוזר במהלך השנה היה שאסטרונאוטים החדירו בטעות קוד נגוע ופגעו במחשבים של תחנת החלל. ועל זה נאמר: יוסטון, יש לנו בעיה (של אבטחה)…

כמעט 30% שומרים נתונים פיננסיים, מידע על לקוחות, חוזים ומידע אישי על חשבונות על התקני זכרון ניידים. זה הוביל למספר גדול של אירועי זליגת מידע – לרוב מקריים ולא זדוניים.

מי אמר להצפין מחשבים ניידים ו – DoK?


5 Responses to “מגמות סיכוני אבטחת מידע לשנת 2008”


  1. 1 ניב
    06/02/2009 ב- 22:21

    אני לוקח דוחות כאלה בערבון מוגבל מאד, משום שאפרופו מפחידונים, תכליתם של דוחות כאלה הוא להפחיד כדי שתרכוש עוד מוצרי אבטחה. בדיוק כמו ההפחדות של צה"ל בכל שנה חודשיים לפני אישור תקציב הבטחון.
    אבל גם אם נתעלם מההגזמות, הדוחות הללו מעוררים אצלי תחושת אי-נוחות קשה. בשנים האחרונות היו השקעות עצומות באבטחה לאור רגולציות, הבנה יותר טובה של המקצוע, בשלות רבה יותר של הגורמים הרלבנטיים וכן הלאה. ולמרות כל זאת, מה שאנחנו בעצם רואים שנה אחר שנה, שלא רק שאין שיפור, אלא שהמצב הולך ומחמיר. יש יותר וירוסים ופוגענים מאי פעם והם יותר מסוכנים ויותר ממוקדים, פרצות שקיימות שנים אינן מתוקנות, הספאם עדיין איתנו (על אף שיש מנגנוני אנטי ספאם טובים מאד ולדעתי האישית הספאם הוא הרבה פחות בעיה ממה שמנסים לעשות ממנו), הגנה על התקנים ניידים שלא באמת מצליחה לתפוס בארגונים רבים, ביקורות סוקס והסמכות ISO27001 הן בדיחה עצובה, ועוד ועוד. ונשאלת השאלה – לאן הולכת אבטחת המידע? האם זה רק לרדוף אחר הזנב של עצמך? אחת התשובות בעיני לפחות היא שההשקעה במוצרי אבטחת מידע כנראה אינה משתלמת ואינה מחזירה את עצמה (למעט מוצרי יסוד כגון FW וכד') ואיכשהו, איפשהו, עולם פתרונות האבטחה הוא יותר מכונת כסף מאשר מכונת אבטחה. אגב אני לא הראשון ולא היחיד שאומר זאת כמובן.

  2. 08/02/2009 ב- 0:46

    ניב,

    יש יותר השקעה, או אולי יותר השקעה בכיוון הנכון בשל הבשלות של המקצוע (אולי) ולכן אני חושב שפורצים לפחות אתרים של חברות רציניות.
    אמנם היו כמה אירועים "מרעישים" בעולם השנה – הדרך עוד ארוכה ולארגונים רבים יש עדיין פערים משמעותיים מול baseline סביר. אבל עדיין, אני חושב שמצבם של ארגונים טוב יותר מבעבר.

    עניין אחר לגמרי הוא מצב המשתמשים הביתיים, או מצבם של אתרים פתוחים, חינמיים או כאלה של סטארטאפים. במקרה זה הקושי הוא בחוסר הרצון להשקיע באבטחת מידע. כמעט ואין כיום דרך להכריח אתרים פתוחים וחינמיים להשקיע באבטחת מידע, וכמובן שאין דרך להכריח משתמשים ביתיים להשקיע, ולכן ישנם מאות אלפי מחשבים נגועים בעולם.

  3. 3 ניב
    08/02/2009 ב- 10:17

    אני לא לגמרי בטוח שזה נכון, מן הסיבה הפשוטה שאם הבעיה היתה ממוקדת במשתמשים הביתיים בעיקר, לא היו נגרמים כאלה הפסדים כספיים כפי שלכאורה מציינות חברות המחקר (גם מקאפי באה לאחרונה עם איזה חרטוט של סכום הפסד דמיוני). עכשיו השאלה היא גם מה זה פורצים לאתרים של חברות. נכון, פחות פורצים אתרים של חברות רציניות, או לפחות פחות יודעים על כך. למה הכוונה? כפי שגם נרמז, המתקפות היום ממוקדות ואין המטרה הראשית לעשות דיפייסמנט או לעשות רושם כמו פעם, אלא תכל'ס לגנוב מידע, לשבש או להשתיל מידע וכל זאת מבלי להשאיר עקבות. אני מסופק אם מרבית החברות מצויידות בבקרות ובטכנולוגיות הראויות (וגם אם כן – האם הן מקונפגות נכון והאם מישהו בודק את הלוגים) כדי לבוא עם יד על הלב ולומר שאין סיכוי שפרצו אליהן.
    אני כבר לא מדבר על דלף המידע הפנימי שקיים וכן הלאה בעיות פוטנציאליות אחרות. בקיצור – הנושא לא פשוט בכלל.

  4. 08/02/2009 ב- 12:03

    הסוגיה האם עיקר האיומים מגיעים מבחוץ או מבפנים אינה חדשה. בשנים האחרונות, האיום מבפנים גבר.
    כיום, אני מקדיש הרבה משאבים ומאמצים להגנה פנימית, ובקרות בדיעבד. לצערי, כבר נתפסו מספר מקרים של דלף מידע. התפיסות התאפשרו אך ורך בזכות משאבים וטכנולוגיות שיושמו בארגון.

  5. 5 ניב
    08/02/2009 ב- 17:06

    אולי לא הובנתי נכון. אני טוען כבר מזמן, ואולי נגד הזרם, שהאיום מבחוץ גבוה מהאיום הפנימי. זה היה נכון פעם אבל כיום, כשתכל'ס כמעט כל המערכות חשופות החוצה, בין אם דרך האינטרנט ללקוחות שותפים או דרך שערים מאובטחים לעובדים מן הבית או עובדים מרוחקים, האיום הוא כבר מבחוץ. למשל כל בנק שמכבד את עצמו יגיד לך שכמעט 50% (ואולי כבר יותר) מהטרנזקציות כיום מתבצעות בפעולות דרך האינטרנט.
    הבעיה היא שהאיום הפנימי תמיד היה, הוא לא התגבר, הוא לא קטן, הוא פשוט תמיד היה שם, אולי פחות היו מודעים אליו, אבל הוא מבחינתי משתנה די קבוע. יותר מכך, האיום הפנימי לדעתי יותר קל להערכה ולפיכך להתמודדות (השאלה אם וכאשר באמת רוצים להתמודד היא שאלה אחרת). עליו נוסף האיום החיצוני של 10-13 השנים האחרונות, שהוא בעייתי יותר, עמום יותר וכן הלאה. הנקודה היא שלא מעריכים נכון את האיום החיצוני וחברות רבות, למעט אולי בנקים, מקמצים במבדקי חוסן רציניים. את ההאקרים לא מעניינים נהלי אבטחת המידע, המדיניות, מודעות העובדים, מתן ההרשאות ושאר הבלים הכרחיים שמנהלי אבטחת מידע מתעסקים איתם. הם בכלל במימד אחר ולכן הם מצליחים רוב הזמן, ופעמים רבות אפילו מבלי שאף אחד ידע על זה.
    יותר מכך, פעם האקרים ו/או קראקרים היו מאד מתגאים במה שהם עושים והעיתונים היו מלאים כתבות על כך. כיום, גם בגלל אכיפת החוק היותר נוקשה וגם בגלל שזה כבר לא כזה מגניב לעשות דיפייסמנט (אלא מטעמים לאומניים וכאלה, ואגב, זה כל כך נפוץ שכבר אף אחד לא שם לב לזה), קראקרים אמיתיים פורצים בשקט בשקט.
    מעניין אגב לקיים פעם פאנל מקצועי בנושא הזה, לא משהו שמובל מטעם ומנוהל על ידי אופיר זילביגר הבלתי נלאה, אלא ממש פאנל של מומחים ורעיונות התמודדות. אני אדבר עם ירון מ-2bsecure שאחד המפגשים במיקרוסופט יוקדש לכך, אם אתם חושבים שזה רעיון טוב.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


פברואר 2009
א ב ג ד ה ו ש
1234567
891011121314
15161718192021
22232425262728

%d בלוגרים אהבו את זה: