אלי שלמה

עוד יום של סייבר בענן

הערכת סיכוני סייבר Office 365

by · 19/03/2019

הערכת סיכוני סייבר בענן שונה באופן מהותי מהערכת סיכוני סייבר בסביבה המקומית, ישנם המון סיבות לכך כאשר המרכזית שבהם היא העובדה שהענן הוא שירות דינמי ומתחדש בכל פרק זמן קצר.

כלומר, גם אחרי שמקשיחים את כלל הרכיבים בשירות הענן, לאחר פרק זמן מסוים עלול לצאת כלי או רכיב מסוים שמוגדר באופן דיפולטי לכלל המשתמשים ולמעשה מאפשר להם לבצע פעולות שונות של שיתוף, הורדה או בעצם עלול לגרום לזליגת מידע.

ולכן הערכת סיכוני סייבר בענן היא תהליך שמומלץ לבצע אחת לרבעון בכדי לבצע הגנת סייבר מלאה ומתמשכת לאורך זמן, והשאלה שעולה כאן האם יש כלי שיכול לבצע זאת? לא! הסיבה מאוד פשוטה כלים שעובדים באופן אוטומטי יודעים לדגום רכיב או הגדרה קיימת, ומה קורה כאשר יוצא כלי חדש שאופן בצורה שונה מאותם כלים קיימים? אז אפשר להבין שכלי כזה עדיין לא קיים ולכן צריך לבצע הערכת סיכוני סייבר ידנית בכל תקופה.

הקדמה

בין אינספור הדיונים שישנם בנושאי אבטחת מידע וסייבר אצל לקוחות שבהם אני נמצא או בפורומים השונים עלה משפט דיי מעניין שאנו נמצאים בזמנים מעניינים ומאתגרים, אין ספק שמדובר על תקופה שאכן מעניינת במיוחד בכל הקשור לתחום אבטחת מידע וסייבר וככזה אנו מחויבים להתאים את עצמנו לזמנים אלה במישור המקצועי.

לצד האתגר המעניין והתקופה בה אנו נמצאים ישנה שאלה נוספת שעולה והיא מהו ההבדל בין אבטחת מידע לבין הגנת סייבר.

ישנם כאלה שיענו על השאלה באופן שונה, אל כמו שהזכרתי במאמר הקודם (ביקורת סייבר) אין חולק כי סיכוני סייבר מתממשים מחדש בכל יום, ולכן ארגונים נדרשים להיערך לסיכונים אלו בכל פרק זמן קצר.

תחום ההגנה בסייבר הוא שינוי אבולוציוני של תחום אבטחת המידע, כאשר בעידן הסייבר ניכרת עלייה קיצונית של תקיפות ואיכותן:

  • דינמיות התקיפות
  • איכות התקיפה
  • מספר התוקפים
  • רמת התחכום של המתקפה
  • כמות המטרות לתקיפה ואיכותן

כפועל יוצא, החלו ארגונים בארץ ובעולם להגדיל את היקף ההשקעה בתחום ההגנה בסייבר, אולם השקעה זו כשלעצמה אינה מספיקה. על הארגון להבטיח כי המשאבים המושקעים בתחום הסייבר מוקצים באופן נכון, בהתאם למפת האיומים העדכנית, תוך דגש גם על תחומים שבעבר נזנחו, כגון ניטור וניהול אירועי סייבר ואבטחת מידע.

סייבר והשלכות

התלות הגוברת של ארגונים בטכנולוגיות המידע וכן בשירותי הענן השונים, לצד טשטוש גבולות והזמינות של מידע ארגונִי על אמצעי מחשוב פרטיים של עובדים, משפרים ומייעלים תהליכים ארגוניים.

אולם לצד זה גרמו למצב חדש,  מצב שבו מידע ארגוני רגיש נמצא ביותר ויותר אמצעי מחשוב, חלקם בעלי רמת הגנה נמוכה.. במילים אחרות, מספר המטרות עבור התוקפים עולה באופן אקספוננציאלי, כאשר מיליארדים של מכשירים מסוגים שונים מחוברים כיום לרשת האינטרנט, והצפי הוא כי עד שנת 2021 המספר הזה יגיע לעשרות מיליארדים, כאשר רמת ההגנה עליהם אינה משתפרת ולעתים אף פוחתת.

בהתאם לאופי הארגון ופעילותו, אותם סיכונים עלולים להיות:

  • גופי תקיפה של מדינות
  • האקטיביסטים
  • גורמים של ריגול תעשייתי
  • גורמי פשיעה כלכלית
  • גורמים פנים ארגוניים

אחד ממאפייני התקופה הבולטים הוא פרסום של התממשות סיכוני סייבר במגוון רחב של ארגונים. גם בעבר התממשו סיכוני סייבר ואבטחת מידע שונים, אולם אי חשיפת הנזק על ידי התוקפים סייעה לארגונים לספוג את הנזק ולהצניע את עצם האירוע.

כיום, כאשר מחקרים עדכניים (לשנת 2018) מראים כי מעל 90% מהארגונים חוו לפחות אירוע סייבר אחד, ולאחר אין-ספור מקרים של חשיפת פרטים שנגנבו במהלך תקיפות סייבר, לא ניתן עוד להסתיר את היקף התופעה.

מאפייני התקפות סייבר

בדומה לסיכוני אבטחת מידע, התממשות סיכוני סייבר עלולה לפגוע במידע ונתונים בהיבטי סודיות, זמינות ושלמות, להזיק למוניטין ולפעילות עסקית, ואף להוביל לנזק פיזי. עם זאת, מקובל לייחס לתקיפות סייבר מאפיינים המבדלים אותן מהתקיפות הקלאסיות שהיו נפוצות בעבר.

מאפיין תקיפות קלאסיות
 תקיפת סייבר
פרופיל התוקף עברייני מחשב יחידים, חובבנים, Script Kid מדינות, טרוריסטים, האקטיביסטים, גופי פשיעה בינ"ל
כלי התקיפה לרוב, שימוש בכלי תקיפה גנריים הזמינים באינטרנט והרצה על סמך ידע כללי שימוש בכלי תקיפה שפותחו במיוחד, או כלים גנריים שעברו התאמות לארגון המותקף
וקטור תקיפה בדרך כלל, שימוש בכלים טכנולוגיים לסריקת רכיבי הרשת הארגונית וחשיפת נקודות תורפה באופן אקראי שימוש בכלים טכנולוגיים מתקדמים, וכן ביצוע מתקפות הנדסה חברתית על עובדים וספקים, בין אם במסגרת הארגון או במסגרת פרטית
יעדי התקיפה לרוב אקראיים, בהתאם לחולשות האבטחה שזוהו מידע רגיש המהווה פלטפורמה לתהליכים עסקיים משמעותיים. היעדים נבחרים מראש ומהווים את המוטיבציה לעצם ביצוע התקיפה.
משך ביצוע התקיפה קצר יחסית, תוך ניסיון להפיק ערך כלשהו מהמטרות שבהן זוהו באופן אקראי חולשות. ארוך, ךעיתים חודשים ואף שנים, תוך התמקדות ביעדים שהוגדרו מראש (APT).

הערכת סיכוני סייבר

השינוי במאפייני מתקפות הסייבר השונות מחייב אותנו להרחיב את מודל הערכת הסיכונים הארגוני כך שיספק מענה גם לסיכונים הנובעים מסיכוני סייבר.

מאחר שאסיכוני הסייבר עלולים להוביל בין היתר להתממשות סיכונים כדוגמת פיננסיים או מוניטין, או לחלופין לסיכונים אחרים המשפיעים על התוצאות העסקיות של הארגון, מומלץ ואף חשוב מאוד לשלב את תהליך הערכת סיכוני הסייבר כחלק מהתהליך הארגוני.

בין היתר, יש לוודא כי גורמי הסיכון במודל הערכת הסיכונים הארגוני מסייעים בהערכת הסבירות להתממשות הסיכון מתייחסים גם לסיכוני סייבר, אך לאחר הכל העניין הוא יצירת הקשר בין הסיכון, הנזק העסקי, הנזק הפוטנציאלי וכן הבקרות הטכנולוגיות והאחרות שיסייעו בהפחתת הסיכון.

תחכום סיכוני הסייבר, עוצמתו והשלכותיו במידה והתממש, מחייבים התייחסות בשני רובדים מרכזים (בפועל ישנם חמישה רובדים), במסגרת ניהול סיכוני הסייבר:

  • רובד האסטרטגי – מעורבות דירקטוריון והנהלה, לרבות קביעת מדיניות ניהול סיכוני סייבר, הקצאת משאבים וקבלת דיווחים בנושא, בין היתר בוועדת הביקורת של הדירקטוריון
  • רובד התפעולי – גיבוש מפת איומי סייבר רלוונטית לארגון, והמלצה על בקרות שיסייעו בצמצום סיכונים עסקיים הנובעים מאיומי סייבר

התייחסות כזאת תאפשר ליצור מערך ארגוני של הגנה בסייבר בעל רמת בשלות (Maturity), וכן יכולת לשיפור תמידי הנדרשת לצורך התמודדות אפקטיבית עם הדינמיות של סיכוני הסייבר.

מתודולוגית סייבר

מתודולוגיית הסייבר של NIST אשר גובשה יחדיו עם ISACA וכן ארגוני סייבר מתייחסת לחמש דיסציפלינות שבהן יש להתמקד כדי לשפר את היערכות הארגון להתמודדות עם סיכוני הסייבר, ולשם יכולת המענה במקרה של התממשותם:

זיהוי (Identify) פיתוח ההבנה הארגונית במטרה לנהל את סיכוני הסייבר למערכות ונכסי מידע. הפעולות הננקטות בשלב זה הן ברמת הבסיס וכן הבנת ההקשר העסקי, המשאבים התומכים בפונקציות הקריטיות וזיהוי סיכוני הסייבר שאליהם הם חשופים. נקיטת הפעולות הללו מאפשרת לארגון למקד ולתעדף את מאמציו בהלימה לאסטרטגיית ניהול הסיכונים הארגוני ולצרכים העסקיים. בין היתר נוגע בהיבטים הבאים: ניהול נכסי מידע, הבנת הסביבה עסקית, ממשל אבטחת מידע וניהול סיכונים.

הגנה (Protect) גיבוש ויישום של אמצעי אבטחה נאותים, שיבטיחו את פעילותם הרציפה של שירותים עסקיים, מערכות מחשב ותשתית קריטיים. מטרתה של דיסציפלינת ההגנה היא להגביל או להכיל את ההשפעה של אירוע סייבר פוטנציאלי. פונקציה זו נוגעת, בין היתר, להיבטים הבאים: ניהול בקרת גישה, שיפור מודעות העובדים, ותהליכים ונהלים להגנה על מידע.

גילוי (Detect) פיתוח ויישום של הפעולות הנדרשות כדי לזהות את התרחשותו של אירוע סייבר. דיסציפלינת הזיהוי מאפשרת לקצר את טווח הזמן הנדרש לזיהוי אירועי סייבר, במטרה לצמצם את הנזק הנגרם ממנו, והיא נוגעת, בין היתר, להיבטים הבאים: אירועי אבטחת מידע, ניטור מתמיד בהיבטי אבטחת מידע ותהליכי זיהוי.

תגובה (Respond) פיתוח ויישום של הפעולות שיש לנקוט בעת זיהוי אירוע סייבר. יכולת התגובה מאפשרת להכיל את ההשפעה של אירוע הסייבר לאחר התרחשותו. דיסציפלינה זו נוגעת, בין היתר, להיבטים הבאים: תכנון מענה לאירוע סייבר, זיהוי פורנזי, תקשור מול גורמים שונים, ניתוח ושיפור מתמיד.

התאוששות (Recover) גיבוש סדר פעולות שנועדו לתחזק את תכניות ההתאוששות והשיקום, כתוצאה מאירוע סייבר. ההתאוששות מאפשרת חזרה מהירה לתפעול רגיל תוך צמצום ההשלכות השליליות מאירוע סייבר. דיסציפלינה זו נוגעת, בין היתר, להיבטים הבאים: תכנון התאוששות, שיפורים ותקשור.

מרכיבים נוספים

בנוסף לאותם דיסציפלינות שהוזכרו ישנם מספר מרכיבים נוספים הנדרשים כחלק מגיבוש תהליך לשיפור והיערכות הארגון.

הגנה (Protection) הביקורת הפנימית מספקת גישה הוליסטית לזיהוי (Identifying) נקודות שבהן הארגון עלול להיות פגיע. ממשל אבטחת מידע אפקטיבי הוא קריטי, והביקורת הפנימית יכולה לספק שירותי הבטחה (assurance) בהיבט זה.

גילוי (Detection) לעתים ניתוח נתונים טוב מספק לארגונים את הרמז הראשון כי משהו חריג מתרחש. הביקורת הפנימית משלבת עוד ועוד ניתוח נתונים וכלים טכנולוגיים נוספים בעבודתה. על גורמי הביקורת הבכירים לעבוד יחד עם מחלקת ה-IT במטרה להבטיח ניטור של אינדיקטורים מרכזיים, וכן ליצור יחסים מקצועיים הדוקים עם המנמ"ר ומנהל אבטחת המידע במטרה להבטיח את קיומן של בקרות הולמות ואפקטיביות.

המשכיות עסקית (Business Continuity) תכנון הולם חשוב לצורך התמודדות והתגברות על מספר תרחישי סיכון העלולים להשפיע על פעילות הארגון השוטפת, בהם תקיפת סייבר. הביקורת הפנימית יכולה לספק בטוחה בראייה כלל ארגונית כי תכנית ההמשכיות העסקית אפקטיבית ויעילה, ונותנת מענה לכך שהלקוחות ובעלי העניין יקבלו שירותים מהארגון בכל מצב.

ניהול משבר (Crisis Management) בדומה לתכנון ההמשכיות העסקית, מוכנות לניהול משבר ותקשור בעת משבר יכולים להשפיע באופן משמעותי וחיובי על הלקוחות ועל בעלי העניין והמוניטין של הארגון.

שיפור מתמיד (Continuous Improvement) בהיבט זה, הביקורת הפנימית יכולה לספק את הערך הרב ביותר, באמצעות מתן תובנות הנגזרות מעבודתה. מוכנות לסייבר משמעה התמודדות מוצלחת עם אירועי סייבר, אולם ללא הפקת לקחים ושיפור מתמיד, לא ניתן להבטיח את ההצלחה בהתמודדות עם האירוע הבא.

פגישה להפקת לקחים עם כלל הגורמים המעורבים לאחר התרחשות אירוע סייבר משמעותי, ובמידת האפשר גם לאחר אירועים בדרגות חומרה נמוכות, מסייע בכל הקשור לשיפור רמת האבטחה ותהליך הטיפול באירועים. בין היתר, מבצעים דיון במסגרת הפקת הלקחים בשאלות הבאות

  • מה היה טיב המענה מצד צוות התגובה וההנהלה בבואם להתמודד עם האירוע? האם המענה היה בהתאם לנהלים הקיימים או שאלה נזנחו?
  • מהו סדר הקדימות שבו נדרש היה לקבל את סוגי המידע השונים לשם טיפול יעיל באירוע?
  • האם פעולות מסוימות שננקטו עיכבו את תהליך ההתאוששות?
  • מה צוות התגובה וההנהלה צריכים לעשות באופן שונה בעתיד, אם אירוע דומה יתרחש?
  • אילו פעילויות מתקנות יכולות למנוע אירועים דומים בעתיד?
  • אילו אינדיקטורים יש לנטר בעתיד במטרה לזהות אירועים דומים?
  • אילו משאבים או כלים נוספים נדרשים לצורך זיהוי, ניתוח וטיפול באירועים עתידיים?

מענה סייבר

כמו בכל תחום אחר, על מנת לבצע ביקורת המקנה ערך לארגון, נדרש ידע בתחום המבוקר ותכנית ביקורת אפקטיבית.

אם נקח לדוגמא את ISACA אשר גיבשה מענה נרחב לגורמים השונים העוסקים בתחום ההגנה בסייבר, בין היתר את המשאבים הבאים:

מערך למידה של הגנת הסייבר אשר מיועד לחסרי ידע מקדים המעוניינים לרכוש את מושגי היסוד בתחום באופן שיטתי ומובנה, שיאפשר להם להוביל פעילויות ביקורת באופן מושכל ובהתאם למפת האיומים העדכנית.

תכנית ביקורת אינטגרטיבית שנועדה לספק לארגון הערכה באשר לאפקטיביות המערך הארגוני להגנה בסייבר, הפעילויות הנדרשות, הנהלים, התהליכים בהיבטי מניעה, הזיהוי וההתמודדות עם סיכוני ואירועי סייבר. תכנית זאת כוללת, בין היתר, התייחסות למרכיבים הבאים:

הבנה עם תשתיות תומכות לנושא הסייבר – ניהול סיכוני סייבר צריך להתבסס על תהליכי עבודה ונהלים. במסגרת זאת יש לראיין גורמי מפתח שונים בארגון, לרבות מנהל מערכות מידע, מנהל אבטחת המידע וקצין הציות, וכן לסקור מגוון מסמכים ובהם: מדיניות אבטחת מידע, תכנית תגובה לאירועי אבטחת מידע, רשימת נכסי מידע ועוד.

Governance – מעורבות ההנהלה הבכירה במניעת אירועי סייבר בארגון. במסגרת זאת, ההנהלה הבכירה סוקרת באופן תקופתי את המדיניות וההערכות בנושא אירועי סייבר, ולצד זאת קיימת מעורבות של הדרגים הניהוליים של יחידת טכנולוגיות המידע והיחידות העסקיות בהחלטות העקרוניות המתקבלות בנוגע למניעת מתקפה סייבר ובאופן המענה למתקפה.

מענה של הגורמים השונים במניעת אירועי סייבר – לגורמים העסקיים יש תפקיד חשוב בהקטנת הסבירות להתממשות אירועי סייבר, זאת באמצעות ביצוע התהליכים הבאים:

  • ניהול סיכונים – על היחידות העסקיות לזהות את הסיכונים והפגיעויות הקיימים בתחום פעילותן, על ידי ביצוע סקר השלכות עסקיות.
  • סיווג מידע – מתבצע בכל רחבי הארגון על בסיסי תבנית לסיווג מידע ובהתאם לקריטיות וחשיבות המידע, בדגש על מידע שיכול להוות מטרה לפשיעת סייבר.
  • תקשור בנוגע לפשיעת סייבר – גורמי ניהול של יחידת טכנולוגיות המידע והיחידות העסקיות מקבלים עדכונים עתיים מיחידת אבטחת המידע.
  • ניתוח המידע – מבוצעים במטרה לזהות תקיפות סייבר, ומשתכללים באופן רציף על ידי היחידות העסקיות.
  • ניהול טכנולוגיות המידע – בהיבטי איום הסייבר, קטגוריה זו מצריכה התייחסות לשני נדבכים:
  • אבטחת התשתיות – בחינת אופן ניהול תשתיות המחשוב, לרבות ניהול תצורה, ניטור פעיל ודיווח על אירועי אבטחה.
  • מדיניות ונהלים לניהול אירועי סייבר – מדיניות ניהול משבר צריכה לכלול ולהתבסס על סקר סיכונים ומיפוי של כל נכסי המידע הקשורים לרשת הארגונית. בנוסף, יש להקפיד על פעילות אפקטיבית של צוות תגובה לאירועי אבטחת מידע וסייבר, ערוצי דיווח יעילים ותחקור (forensic) מעמיק של אירועי סייבר.
  • צוות התמודדות עם אירועי סייבר צוות זה הוא אחד הנדבכים המרכזיים בטיפול באירועי אבטחת מידע וסייבר במשך כל שלביהם – ניתוח הנתונים הרלוונטיים, קביעת אופי האירוע והשלכותיו, הכלתו ותחקורו. צוות זה אמור לקיים תרגולים על בסיס סדיר, לנקוט צעדי מניעה שונים להפחתת הסיכונים, ולהיות מצויד בכלים הטכנולוגיים המתאימים.
  • מודעות עובדים – יש להגביר את מודעות העובדים לצורך בזיהוי אירועים חריגים העלולים להוות אינדיקציה לאירוע אבטחת מידע וסייבר, ולהגדיר עבורם ערוצי דיווח, לרבות ציון הגורמים הרלוונטיים ודרכי ההתקשרות עמם.

כל אחד מהמרכיבים המופיעים לעיל, כמו גם מרכיבים נוספים המפורטים בתכנית הביקורת, נמדדים ומוערכים על בסיס מתודולוגיות מקצועיות בהיבטי סייבר וניהול סיכונים

הערכת סיכוני סייבר Office 365

כאשר אנו לוקחים את כלל הדגשים והנקודות המכרזיות של הערכת סיכוני סייבר אנו יכולים לבצע הערכת סיכוני סייבר בשירות Office 365, אך קודם לכן חשוב לדעת איך בנוי Office 365 בכדי לדעת איך להערית את הסיכונים הקיימים, כלומר שירות הענן Office 365 כולל אינספור רכיבים, כלים ותשתיות שונות, כגון:

  • תשתית דואר Exchange Online
  • תשתית SharePoint Online
  • כלים כדוגמת Teams או Flow
  • אפשרויות לחיבור אפליקציות SaaS
  • שיתוף והזמנת Guest

אם נקח לדוגמא את האפשרויות של חיבור אפליקציות SaaS בלחיצת כפתור ע"י הזדהות המשתמש נוכל להבין כי ישנה חשיפה משמעותית אשר נוצרת מצד המשתמש ולכאורה מדובר על פעולה פשוטה, במצב של חיבור אפליקצית זדונית המשתמש חושף פרטי הזדהות, מאפשר גישה למשאבים וכן הלאה. (בשירות הענן של Office 365 ישנם למעלה מ70 סיכונים מיידים)

זאת דוגמה אחת מיני רבות אשר קיימות בשירות Office 365, אך הבשורות הטובות הן שמסביב לתשתיות Office 365 מיקרוסופט מציעה ומספקת פתרונות הגנה מתקדמים בענן, ברוב הפתרונות והמקרים מציעה הגנה מתקדמת וטובה יותר מאשר המתחרים הקיימים.

הערכת סיכוני סייבר בשירות Office 365 נחלקת למספר שלבים:

  • סקירת שירות הענן Office 365 וביצוע בדיקות סיכונים
  • איסוף וניתוח המידע והפקת דוחות הערכת סיכוני סייבר (לפי שלושה דוחות)
  • העלאת ממצאים על גבי מסמך סיכונים
  • סיווג הממצאים לפי קטגוריות ודירוג הסיכונים
  • העלאת הממצאים מול גורמי הנהלה וגורמים טכניים
  • יישום ממצאים ע"י צוות IT ומיישמי אבטחת מידע

לאחר מכן מחלקים את הממצאים לפי חומרת הממצא ולפי דירוג של כל ממצא:

קריטי

מסכן את הארגון ועלול לגרום לאירוע אבטחה ולכן מצריך מענה מיידי (מרגע זיהוי הממצא)

גבוה

מסכן את הארגון באופן חלקי ומצריך מענה וטיפול בהקדם האפשרי (עד 4 בשעות מרגע זיהוי הממצא)

בינוני

אינו מסכן את הארגון באופן המיידי ומצריך מענה שאינו דחוף מרגע זיהוי הממצא

בהערכת סיכוני סייבר בשירות Office 365 הסיווגים מחלקים לפי מספר קטגוריות, בין היתר:

  • הזדהות
  • הרשאות
  • דלף מידע
  • תוכן זדוני
  • הגדרות מערכת
  • גישה חיצונית
  • סיכונים
  • הגנת הפרטיות

לסיכום

כל ארגון אשר נמצא בשירות Office 365 בין אם בתצורה היברידית או בתצורת ענן בלבד חייב לבצע הערכת סיכוני סייבר, כזאת שתעלה את כלל הסיכונים הקיימים ותציג את הממצאים להנהלה ולגורמי סייבר (CISO) בארגון, וכל זאת במטרה להקשיח וליישם את הממצאים ולוודא שהארגון מוקשח ואינו נמצא עם סיכון קריטי או גבוה.

במאמר הבא, איך מבצעים הערכת סיכונים בשירות Office 365.

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *