מחקר: עודף בכלי אבטחת סייבר דווקא מחבל ביכולת ארגונים להתגונן מפני תקיפות
מאת:
מערכת Telecom News, 5.6.20, 13:12
כל הממצאים מדו"ח חוסן הסייבר הארגוני (Cyber Resilient Organization Report). מרבית הארגונים מסתמכים על תכניות תגובה מיושנות, שאינן משקפות את נוף האיומים הנוכחי.
IBM Security פרסמה היום תוצאות של מחקר גלובלי, שבחן את מידת החוסן של עסקים למתקפות סייבר. למרות שהארגונים, שנכללו במחקר, שיפרו את יכולת התכנון, הזיהוי והתגובה למתקפות סייבר ב-5 השנים האחרונות, יכולתם להתמודד כראוי עם תקיפות סייבר ירדה ב-13% במהלך אותה תקופה.
המחקר, שהוזמן ע"י
IBM Security ממכון המחקר
Ponemon Institute, מצא שהגורם, שסיכל את מאמצי תגובת האבטחה של החברות והארגונים, היה דווקא ריבוי מופרז של כלי אבטחה והיעדר תוכניות פעולה ספציפיות לתקיפות הסייבר השכיחות ביותר.
רוב הארגונים שנסקרו (74%) ממשיכים לדווח, שתכניות התגובה שלהם הן נקודתיות, מיושמות באופן בלתי עקבי, או שאין להם תכניות כלל. היעדר התכנון עלול להשפיע על עלותן של תקריות האבטחה, מאחר שחברות, שיש להן צוותי תגובה לתקריות (
IR-
Incident Response) ונוהגות לבדוק בקביעות את תכניות התגובה שלהן, מוציאות בממוצע 1.2 מיליון דולריםפחות על פריצות לנתונים מאשר חברות, שאינן פועלות באופן מתוכנן.
עוד ממצאים מדו"ח חוסן הסייבר הארגוני (Cyber Resilient Organization Report) השנתי הם:
שיפור איטי: רוב הארגונים שנסקרו אימצו ב-5 השנים האחרונות תכנית תגובה רשמית המקיפה את כל הארגון. מדובר בגידול מ-18% ב-2015 ל-26% מהארגונים בדו"ח של השנה (שיפור של 44%).
יש צורך בהכנה לתרחישים נקודתיים: גם בארגונים, שגיבשו תכנית תגובה רשמית לאירועי אבטחה, שליש בלבד (17% מכלל המשיבים) פיתחו תוכניות פעולה ספציפיות לתקיפות סייבר שכיחות. תוכניות תגובה לתקיפות סייבר מסוגים חדשים יותר, כמו
Ransomware, מפגרות מאחור.
מורכבות כלי אבטחה מעכבת את זמן התגובה: למספר כלי האבטחה, שבהם משתמש הארגון, יש השפעה שלילית על קטגוריות רבות במחזור החיים של איומי סייבר בארגונים שנסקרו. ארגונים, שמשתמשים ב-50 או יותר כלי אבטחה, העידו על עצמם, שהם נמצאים במקום נמוך יותר ב-8% ביכולתם לזהות איום, ונמוך ב-7% מבחינת יכולתם להגיב לתקיפה. זאת, בהשוואה לארגונים עם פחות כלי אבטחה.
תכנון מונע שיבושים: חברות עם תכניות תגובה רשמיות (
CSIRP-
Cyber Security Incident Response Plan) לכל חלקי העסק סבלו מפחות שיבושים כתוצאה ממתקפת סייבר. בשנתיים האחרונות, רק 39% מחברות אלו סבלו משיבושים והפרעות משמעותיות להתנהלות הארגון עקב תקרית אבטחה, לעומת 62% מבין הארגונים עם פחות תכניות רשמיות ועקביות.
עדכון התרחישים בהתאם לאיומים חדשים
הסקר מצא, שגם בקרב ארגונים עם תכנית תגובה רשמית לתקריות סייבר (
CSIRP), רק 33% מחזיקים תרחישים לסוגי מתקפות שונים. מאחר שתקיפות סייבר שונות מחייבות טכניקות תגובה ייחודיות, הכנת תרחישים מראש מציידת את הארגון בתכנית פעולה עקבית הניתנת לשחזור עבור סוגי המתקפות הנפוצים ביותר.
מבין מעט הארגונים, שהכינו תוכניות תגובה, התוכניות השכיחות ביותר היו עבור מתקפות מניעת שירות (
DDoS) (64%) ותכנות זדוניות (57%). סוגי מתקפות אלו היו בעבר בעיות מרכזיות עבור ארגונים, אבל כיום מתפתחות שיטות וטכניקות תקיפה חדשות, כדוגמת מתקפות כופר (
Ransomware). למרות שמספר מתקפות הכופר זינק בקרוב ל-70% בשנים האחרונות, רק ל-45% מהארגונים, שטרחו והכינו תוכניות תגובה, יש תכנית פעולה ספציפית למתקפות כופר.
יותר ממחצית (52%) מהארגונים, שהכינו תכניות, אומרים, שמעולם לא בחנו או הקצו מועדים לבחינת התכניות. יש לזכור, שהפעולות העסקיות משתנות במהירות עקב הצורך לעבוד מהבית, ושיטות מתקפה חדשות מושקות בתדירות גבוהה. המסקנה היא, שהארגונים שנסקרו מסתמכים על תכניות תגובה מיושנות, שאינן משקפות את נוף האיומים הנוכחי.
יותר כלים פוגמים ביכולת התגובה
הסקר מצא גם, שהמורכבות משפיעה לרעה על יכולת התגובה לתקריות אבטחת מידע. הארגונים שנסקרו העריכו, שבארגונם יש יותר מ-45 כלי אבטחה שונים בממוצע, ושכל תקרית, שלה הגיבו, הצריכה תיאום בין 19 כלים בממוצע. ואולם, הסקר מצא, שעודף כלים עלול לחבל ביכולתו של הארגון להתמודד עם מתקפות.
ארגונים המשתמשים ביותר מ-50 כלים נמצאים במקום נמוך ב-8% ביכולתם לזהות תקיפת סייבר (5.83 מתוך 10 לעומת 6.66 מתוך 10) ונמוך ב-7% ביכולת התגובה לתקיפה (5.95 מתוך עשר לעומת 6.72 מתוך 10). ממצאים אלה מובילים למסקנה, שאימוץ יותר כלים אינו משפר בהכרח את התגובה לתקרית האבטחה, ואף ייתכן, שעודף כלים משיג את המטרה ההפוכה.
התכנון משתלם
דו"ח ה-
Cyber Resiliency ל 2020 מלמד, שהארגונים שנסקרו, שהשקיעו בתכנון מסודר נחלו יותר הצלחה בתגובה לתקריות. מבין הארגונים עם תוכניות
CSIRP, שמיושמת בעקביות בכל חלקי הארגון, רק 39% התנסו בהתקפה, שהובילה לשיבושים משמעותיים בפעילות הארגון בשנתיים האחרונות, לעומת 62% מבין הארגונים ללא תכנית תגובה מסודרת.
כאשר בוחנים את הסיבות, שארגונים מציינים לגבי יכולתם להגיב, הגורם החשוב ביותר הוא כישוריהם של אנשי האבטחה. 61% מהחברות שנסקרו ייחסו את עמידותם במתקפות לכישורים של עובדי אבטחת הסייבר שלהם. מבין אלה שדיווחו, שהעמידות במתקפות לא השתפרה, 41% הצהירו, שהסיבה לכך היא היעדר עובדים מיומנים המצוידים בכישורים הדרושים.
טכנולוגיה היא גורם מבדל נוסף המסייע לארגונים הנסקרים להיות עמידים יותר בתקיפות סייבר. בחינת הארגונים המתאפיינים בעמידות גבוהה יותר למתקפות סייבר מראה, ש-2 הגורמים העיקריים לשיפור היבט זה, הם נראות היישומים והנתונים (57%) וכלי אוטומציה (55%). ככלל, הנתונים מעידים על כך, שהארגונים הנסקרים, שהעידו על בשלות ומוכנות גבוהות יותר לתקיפות, הסתמכו ביתר שאת על חידושים טכנולוגיים בחיזוק עמידותם.
וונדי ווייטמור, סמנכ"לית
IBM X-Force, מודיעין האיומים של
IBM: "רוב הארגונים מתייחסים ברצינות לתכנון התגובה לתקריות אבטחה, אבל צריך לזכור, שלא מדובר בפעילות חד-פעמית. ארגונים צריכים גם לבדוק, לתרגל ולבחון באופן סדיר את תכניות התגובה. שימוש בטכנולוגיות התואמות זו את זו מבחינה תפעולית וכלי אוטומציה עוזרים להתגבר על מורכבות ומאיצים את משך הזמן הנדרש להכלת מתקפה".