החולשות העיקריות והקריטיות באבטחת המידע של חברות

ב-2003, פורסמה רשימה של עשרת החולשות הנפוצות ביותר ב-WebApps, או בשמם השני OWASP Top 10. מאז ועד היום, הרשימה הזאת מתעדכנת באופן סדיר ומכילה את החולשות הנפוצות והמאיימות שקיימות בעולמות הסייבר ואבטחת מידע. למרבה ההפתעה ולמרות ההתקדמות הטכנולוגיות והמודעות הגוברת לאיומי הסייבר ומודיעין סייבר, חלק מהחולשות שכיכבו ברשימה שפורסמה עוד ב-2003, עדיין נחשבות למובילות גם בימינו אנו. למה זה קורה, מהן אותן חולשות ואיך אפשר סוף סוף למחוק אותן מהרשימה?

בדיקת חדירות בארגונים

חברת סייבר אמריקאית Cobalt פרסמה דו"ח שמסכם את הנתונים שנאספו מ-1,602 מבדקי חדירות שבוצעו בשנת 2020, והמגמות שעולות ממנו זהות לנתונים שנצפו בחברת Experis Cyber. 75% מהלקוחות שפונים לקבלת שירותי Penetration Testing מבקשים מבדקי חוסן בתחום ה-WEB (WebApps או APIs) וחלוקת הממצאים לפי רמות סיכון היא: ממצאים ברמת סיכון נמוכה: 53.6%, ממצאים ברמת סיכון בינונית: 31% וממצאים ברמת סיכון גבוהה: 15.4%.

חמשת החולשות הנפוצות ביותר שעלו מהדו"ח הן:

1. הגדרות אבטחה לא מיטביות בשרת
2. Cross-Site Scripting
3. בקרות גישה לא מאובטחות
4. חשיפה של מידע רגיש
5. חולשות בתחום ההזדהות וניהול התקשורת

באופן לא מפתיע כל החולשות שנמצאות ברשימה הן אותן החולשות הכי נפוצות בשנתיים האחרונות, ועל פי המידע שיש בידינו, הן ככל הנראה ימשיכו להישאר בטופ גם השנה.

כשמנתחים את המידע לעומק, ניתן לראות שתחום ה-E-learning אמנם דומה לשאר התחומים בסוגי החולשות הנפוצות ביותר ביחס לכל תחום (Cross-Site Scripting וInsecure Direct Object References-), ולמרות זאת, הוא התחום עם המספר הרב ביותר של חולשות לכל נכס, ועם האחוז הגבוה ביותר של חולשות ברמת סיכון גבוהה. על פי ההנחה שלנו, מצב זה נוצר בעקבות מגפת ה-Covid-19 ותעדוף של חברות פיתוח שהעדיפו מהירות פיתוח על פני איכות מוצר.

 

פגיעות יתר בתחום החינוך

מהניסיון שלנו ב-Experis Cyber, ניתן להגיד שהרבה מהפיתוחים שנעשים עבור תחום החינוך מבוצעים תחת הגבלות של תקציב דל, וזה בא לידי ביטוי כתוצר ברמת איכות לא מספקת ורמת אבטחה ירודה.
לא רק שהמוצרים בתחום ה-E-learning הם הפגיעים ביותר, ה-FBI גם מדווח שבעקבות התפשטות המגיפה חלה עליה של 30% בהתקפות נגד מוצרים אלו. בנוסף, בתי חולים ויצרני חיסונים הפכו למטרות עבור מתקפות Phishing רבות במטרה לגנוב מהם מידע. באופן ברור, מטרת התוקפים תהיה המידע ששווה הכי הרבה כרגע (סודות מסחריים של יצרני חיסונים במקרה זה) או מידע אישי של משתמשים (PII) שקל להשיג אותו (למשל, תחום הE-learning בתקופת המגיפה).

 

למה ארגונים עדיין חשופים?

אז אנחנו יודעים שהחולשות הקריטיות ידועות כבר מספר שנים, וכבר הסכמנו שחלקן אף הופיעו ברשימת ה-OWASP Top 10 כבר ב-2003, אז למה אנחנו עדיין רואים אותן בימינו המתקדמים טכנולוגית?

ישנן מספר אפשרויות לכך, הראשונה היא שזיהוי מקדים של החולשה בקוד לפני עלייתו לאוויר דורש מספר רב של מנגנוני בדיקות פנימיות ולא כל החברות מבצעות את כל הבדיקות הנדרשות.

השנייה היא שחברות לא יכולות, או מצליחות, לבצע בדיקות חדירות לכלל המוצרים.

השלישית מתייחסת לכך שגם לאחר ביצוע בדיקות, לצוותי הפיתוח לוקח זמן רב לטפל בממצאים ברמה בינונית או נמוכה כשהעדיפות מכוונת לרמת הסיכון הגבוהה בלבד.

והאפשרות האחרונה נובעת משיתוף פעולה לוקה בחסר בין צוותי אבטחת מידע לצוותי הפיתוח.

 

מה חשבו מומחי אבטחת המידע?

הדו"ח בדק גם את דעתם של מנהלי אבטחת מידע, שיודעים מה זה SOC, על הממצאים ו- 78% מהנבדקים טענו שביצוע בדיקות חדירות נמצא אצלהם בעדיפות גבוהה, ובכל זאת בדיקות חדירות בוצעו רק ל68% מהמוצרים שלהם.

התפלגות הסיבות מדוע לא ביצעו בדיקות חדירות:

• 86% מהנבדקים הסכימו שקשה למצוא ולהעסיק מומחה אבטחת מידע מתאים לביצוע הבדיקות
• 58% מהנבדקים מאמינים שמבדקי חדירות יקרים מדי ו-42% אמרו שלחברה שלהם אין תקציב לזה
• 61% מהנבדקים אמרו שכשמדובר בבדיקות חדירות קשה לתחום את מסגרת הבדיקות
• יותר מחצי טענו שקשה לתאם בדיקות חדירות בטווח של כמה ימים, 55% אמרו שנדרש לתאם שבועות מראש ו22% טענו שלוקח אפילו חודשים

לבסוף לשאלה, כיצד ניתן לשפר את תהליכי העבודה הקיימים כדי להשיג תוצאות מיטביות, הפתרון המוביל לפי מומחי אבטחת המידע עם 57% היה דיווח בזמן אמת, כלומר תקשורת תוך כדי הבדיקה עדיפה על פני דו"ח בסוף תהליך הבדיקה. הפתרון הבא עם 56% הוא להשתמש בתוכנה שתשמש גם את צוות הבדיקות וגם את צוות הפיתוח ובה יהיו עדכונים על פגיעויות שהתגלו וסטטוס הטיפול בהן.

 

לסיכום, המידע שעולה מן הדו"ח חשוב ביותר לתחום אבטחת המידע ועולמות הPT- בפרט, על מנת ללכת קדימה ולשפר את אבטחת המידע שלנו נזדקק לבצע שינויים בדרכי הפעולה המקובלים בימינו, למשל לבצע סטנדרטיזציה לאופן שבו מאפיינים PT החל מתיחום הבדיקות ועד לתמחורן.

בנוסף לכך נדרש לייצר תהליכי עבודה אפקטיביים ולקרב משמעותית בין צוותי אבטחת המידע לצוותי הפיתוח, ולעבור לערוצי תקשורת ישירים יותר מהשיטה המקובלת היום של כתיבת דו"ח חולשות בסיום הבדיקות.