העולם אמנם חזר לשגרה, אך המעבר לעבודה מהבית והאצת הטרנספורמציה הדיגיטלית יצרו איומי סייבר חדשים. השימוש בממשקי API עלה וכך גם החשיפה והפגיעות למתקפות סייבר עלו בצורה דרמטית. איך זה עלול לסכן מידע? ומה חברות ועסקים צריכות לעשות כדי להתגונן טוב יותר
העולם עובר תהליך מואץ של טרנספורמציה דיגיטלית. יותר חברות מאפשרות לעובדים לעבוד מהבית, וגם חברות שאינן טכנולוגיות מטמיעות כלים טכנולוגיים מתקדמים. בשנים האחרונות ישנה עלייה בשימוש ב-API (Application Programming Interface) או במילים פשוטות זו הדרך של חברות לחשוף ולשתף מידע עם גורמי צד ג. עם העלייה בשימוש גם עלה הסיכון במתקפות סייבר, כשהפורצים מזהים את החוליה החלשה ביותר בשרשרת – ולרוב זו החוליה.
לפני כשנה חוקר סייבר בחברת Pen Test גילה שהוא יכול לבצע בקשות ללא הזדהות דרך ה-API של חברת Peleton ולקבל מידע על כל מנוי של החברה, מבלי שהחברה מוודאת שיש לו הרשאה לכך. אופני הספינינג הפכו לטרנד לוהט בארה"ב, בזכות האפשרות לחבר אותם לאימוני ספינינג בווידאו מרחוק.
החוקר הצליח להגיע למידע אישי של 3 מיליון מנויים – ואחד מהם הוא האזרח מספר אחת, נשיא ארה"ב ג'ו ביידן. דרך ממשק ה-API הצליח החוקר לקבל מידע של גיל, מגדר, משקל, סטטיסטיקות אימונים ואפילו עיר מגורים. מידע אישי שהיה אמור להיות מוסתר כאשר המשתמש מגדיר אותו כפרטי. פלטון מעולם לא חזרה אל החוקר ולא תיקנה את הבאג, אלא רק שינתה את הגדרות ה-API כך שיהיה נגיש רק למנויים. אלא שגם אחרי צעד זה כל מה שתוקף זדוני צריך לעשות זה לקנות מנוי חודשי וכך לקבל גישה מלאה למידע האישי של 3 מיליון אמריקנים.
בחודש פברואר האחרון פורסמה חולשת אבטחה בממשק API של coinbase, אחת מזירות המסחר הגדולות בעולם למטבעות קריפטו, שאפשרה למשתמשים למכור מטבעות של משתמשים אחרים ובכך להשפיע על מחיר של מטבעות אחרים. וחודש קודם לכן, בינואר חוקר אבטחה בן 19 הצליח להשתלט על רכבי טסלה מרחוק בשל אותה בעיית אבטחה בממשק API של אפליקציה צד ג' שרוב בעלי הטסלות משתמשים בה.
"המעבר לעבודה מרחוק והשנתיים האחרונות הגדילו משמעותית את השימוש של מפתחים בממשקי API", מסביר דור דנקנר, ראש קבוצת המחקר של חברת Noname Security, המתמחה באבטחת ממשקי API. דנקנר מסביר שאפילו שגיאה קטנה בהטמעת הממשק חשפה מידע אדיר על המשתמשים. "באחד המחקרים שלנו מצאנו במערכת מוכרת מאוד דרך שאפשרה למשוך את כל המידע של הלקוחות של אותו עסק. כרטיסי אשראי אימיילים וכתובות – בעצם כל מאגר הלקוחות והמידע עליהם. אני מדבר על מערכת של חברה ענקית שמשמשת רבבות בתי עסק ברחבי העולם".
"חולשה בממשק API היא בעייתית מאוד. צריך להבין שזה ממשק שנעשה בו שימוש כמעט בכל אפליקציה שאנחנו משתמשים", הוסיף דנקנר. לדבריו הבעיה שגורמת לחשיפת מידע שכזו מחלוקת לשניים: "קודם כל התשתית חשופה. לפעמים אתר פנימי של ארגון יכול להיות פתוח לאינטרנט כאשר הוא לא אמור להיות פתוח. האפשרות השנייה היא אפליקטיבית – כלומר המערכת עצמה כתובה עם שגיאות וטעויות לוגיות שגורמות לכך שמידע רגיש חשוף בזמן שלא אמור".
אך הסכנות בעולם הדיגיטלי הן רבות - מודל האבטחה: "אפס אמון"
כיום, למעלה משנתיים לאחר פרוץ מגפת הקורונה - חברות עדיין מתקשות לעמוד בקצב: מחקר של חברת הייעוץ Forrester שראה אור בפברואר האחרון גילה כי 63 אחוז מהחברות מדווחות שלא היו מוכנות לקצב המואץ של המעבר לענן שראינו לאורך כל 2021, אך לא פחות מדהים מכך: 70 אחוז מהארגונים הודו כי הם מתקשים למקסם את הפרודוקטיביות של הצוותים שלהם, מבלי לחשוף אותם לסיכוני אבטחה. ככל שצוותים עברו לעבוד מרחוק ונתונים נדדו לענן, כך גם התרבו ההתקפות - וכל עובד הפך מטרה פוטנציאלית. נתונים שפרסמה לאחרונה חברת צ'ק פוינט מלמדים שבין אמצע 2020 לסוף 2021 נרשמה עלייה דרמטית במספר מתקפות הסייבר - שהגיעה לשיא של כל הזמנים ברבעון האחרון של 2021: כל ארגון, בכל מקום בעולם, חווה בממוצע 925 מתקפות סייבר מדי שבוע.
"האינטרנט הוא הרשת התאגידית החדשה", מסביר עמית ברקת, עמית ברקת, מנכ"ל ומייסד שותף של חברת הסייבר Perimeter 81. "כיום, כמעט כל החברות מאפשרות עבודה מהבית, במודל היברידי, על גבי האינטרנט - וכבר אין משמעות לרשת המקומית שנבנתה במשרדים. פתרונות האבטחה הקיימים והמסורתיים מבוססים על כך שהם יגנו על התאגיד עצמו ועל התשתית הפיזית, אך ברגע שהמודל השתנה, וכולם עובדים מכל מקום - יש עוד ועוד איומים והתקפות. השוק והמדינה כאחד חייבים להיערך לשינוי הזה טוב יותר".
לפי Perimeter 81, שניים מכל שלושה ארגונים חוו לפחות מתקפת סייבר אחת בשנה שעברה, כששליש מהן היו מתקפות כופרה ו-43 אחוז – אירועי פישינג. 87 אחוז מהארגונים דיווחו כי עדכנו את רשויות אכיפת החוק על כך שעברו מתקפות כופרה ויותר מ-59 אחוז הודו שאכן שילמו כופר לתוקפים. מעל עשירית מהארגונים שילמו כופר בסך של יותר ממיליון דולר. 71 אחוז ממנהלי ה-IT סיפרו כי הם מתקשים להילחם במתקפות סייבר בשל המורכבות שבניהול מספר רב של פתרונות הגנה.
החודש לפני שנה אירעה גם מתקפת הסייבר הגדולה אי פעם על תשתית נפט, שבעקבותיה נגנבו נתונים משרתי החברה בנפח של כ-100 ג'יגה בייט, מה שהוביל למחסור בדלק מטוסים בנמלי התעופה באטלנטה ובשארלוט, ומחסור חמור בדלק מכוניות באלבמה, פלורידה, ג'ורג'יה, קרוליינה הצפונית וקרוליינה הדרומית.
בזמן שההאקרים החלו להצפין את נתוני הארגון, קולוניאל פייפליין הגיבה בהורדת המערכות שלה מהאוויר כדי לעצור את התפשטות האיום, הפסיקה זמנית את פעילות הצינור ובסופו של דבר שילמה כופר בסך 4.4 מיליון דולר.
מתקפות הכופר הן כיום בבחינת איום קיומי על חברות וארגונים מודרניים. החדשות הטובות הן שיש מספר גדל והולך של בקרות אבטחה שארגונים יכולים ליישם כדי להגן על עצמם מפני האיומים הללו שאורבים בכל פינה. המעבר המואץ למודלים היברידיים, התגברות השימוש בענן, והעלייה הברורה במתקפות הסייבר במהלך השנתיים האחרונות - כל אלה גורמים לחברות לזנוח את התפיסות המסורתיות שהנחו אותן ולאמץ פתרונות חדשים; בין היתר פתרונות אבטחה של ארכיטקטורת "אפס אמון".
מודל אבטחה של "אפס אמון" פועל על בסיס ההנחה שאסור לסמוך על אף בקשה ולהעניק הרשאות לאף אחד, עד אשר יתבצע אימות מפורש. אפילו בקשות רשת פנימיות מתוך הארגון, שבאופן מסורתי נחשבו לסיכון אבטחתי נמוך יותר, אינן זוכות ליחס מועדף על פני בקשות חיצוניות. זאת, מאחר שהמשתמשים ברשת הפנימית מהווים איום לא פחות מאשר אלה שמחוצה לה: בין אם מדובר בעובד של החברה עם כוונות זדון פוטנציאליות, ובמיוחד במקרה של שחקן חיצוני המתחזה למשתמש לגיטימי. בבסיסה, התפיסה של "אפס אמון", כשמה כן היא: הארגון כבר אינו "מאמין", וגם לא מסתפק באימות ראשוני, אלא נדרש לאמת את זהות המשתמש באופן מתמשך.
כשכולם עובדים במודל היברידי - כל רגע עלולה להתרחש מתקפת סייבר על הארגון
"הגישות המסורתיות לאבטחת הסייבר התבססו במשך שנים על ההנחה שזה מספיק להגן על הארגון באופן פנימי", מסכם ברקת. "אך התפיסה הזו הופכת לפחות ופחות רלוונטית כיום, כאשר עובדים מהבית, מבית הקפה או מחוף הים, והסכנה שגורם זדוני יתחזה לעובד של החברה מתגברת - כאשר ארגונים רבים עוד אינם ערוכים לשינוי שעבר שוק העבודה בשל מגפת הקורונה. חברות רבות כבר מבינות שהשאלה היא לא האם תתרחש התקפת סייבר על הארגון, אלא מתי, ולכן ההיערכות לכך צריכה להיעשות באופן מידי ותמידי".