תוכן עניינים:
עסקים ממוקדים על ידי מתקפות סייבר בקצב מדאיג. פרצות משמעותיות בטרגט בדצמבר 2013 ו ניימן מרכוס בינואר 2014 האירו זרקור גדול גדול על חסרונות שיש לרבים מהשיווק הקמעונאי בתשתית האבטחה שלהם. כתוצאה מכך, יותר ויותר חברות, גדולות וקטנות כאחד, חשות צורך להגדיל את מאמציהן ולהקים צוות אבטחה ייעודי.
על פי דיווח שפרסמה רויטרס במאי 2014, מספר תאגידים גדולים, כמו פפסי ו- JPMorgan Chase & Co., מחפשים אחר קציני אבטחת מידע ראשיים חדשים (CISO) במטרה לחזק את נוהלי הביטחון. מה שמשקף זה מודעות גדולה יותר לביטחון וחשיבותו ברמת הביצוע של העסק.
אנשי CISO וקציני אבטחת סייבר ראשיים שקועים בביטחון הטכנולוגיה שלהם, הן עבור המעסיק והן עבור הלקוח, אך תפקידיהם ותחומי האחריות שלהם הופכים לבולטים וחיוניים יותר בעיני הקהל הרחב, ולא רק בקרב קהילת הביטחון.
דייוויד בוהמר, שותף מנהל אזורי במשרד הגיוס היידריק & "לפני חמש שנים, אבטחת מידע בקושי פיצחה את עשר הדאגות המובילות של מועצות המנהלים. לפני שנה זה היה מספר 2. מעניין שזה עכשיו אבטחת מידע ולא רק אבטחת מידע". נאבקים, בסרטון יוטיוב שהופק על ידי החברה.)
מה עושה CISO
תפקידו של CISO יכול להיות רחב למדי, ולעתים קרובות הם מוצאים עצמם חבושים כובעים רבים ושונים. התפקיד כרוך בכל דבר, החל מאבטחה פנימית, כמו ניהול אבטחת קניין רוחני, וכלה באחריות לביטחון הלקוחות.
"אני גם עובד עם צוות המוצרים וצוות ההנדסה שלנו כדי ליישם תכונות במוצר שעשויות להיות מעניינות עבור קוני האבטחה", אומרת ג'ואן פפין, CISO ב- Sumo Logic.
למרות שפרצת היעד בשנה שעברה בהחלט דיברה הרבה אנשים, פפין מסבירה שהיא לא כל כך הפתיעה - ואף אחד מהם לא היה רוב קהילת הביטחון. זה לא אומר שלקהילת הביטחון לא היו "רגעי פרשת המים" שלה, שם כולם היו צריכים לחזק את עבודתם להתקדם.
הפרת RSA בשנת 2011, בה האקרים הפרו את שרתי חברת אבטחת המידע וגנבו אסימוני אימות שהעניקו גישה לנתונים ממשלתיים וארגוניים רגישים, היו רבים מאנשי האבטחה. כיצד יכולה חברת אבטחה ליפול טרף להאקרים כאלה? רק שנתיים לאחר מכן, החשש הזה יעבור ליעד שכבר הטיס מתחת לרדאר: לקוחות קמעונאיים. התקפות כמו אלה שנראו בטרגט וניימן מרקוס העבירו את תשומת הלב לביטחון עבור הלקוח היומיומי.
"ברור שיש לך פעילות קמעונאית מאסיבית עם אלפים ואלפי עובדים, כל האתרים השונים האלה, מכונות נקודת מכירה, זו המערכת המסכנה ביותר והעובדה שסוגי ההתקפות הללו לא התרחשו בזה סוג של קנה מידה מוקדם יותר הוא למעשה הפתעה עבורי, "אמר פפין.
הנושא נובע מכך שנראה כי אבטחה היא פשוט תיבת סימון של חברות שמתקתקות ועוזבות להיות יותר מאשר היבט ממורכב של העסק שלהן. זה לא אומר שפושעי רשת הם רפויים ויכולים פשוט להיכנס פנימה. למעשה, פושעי סייבר הופכים למיומנים יותר ויותר.
"הייתה הפרה די מתוחכמת, שהצליחה להתחזות לסוכן ה- BMC, ואת אותם סוגים של דברים התגנבות. לעסוק בתנועות רוחביות ברחבי רשת היעד הייתה די חכמה, " אמרה פפין.
"אני לא רוצה להרחיק את זה אבל מבחינת קושי ביעד, שום משחק מילים לא נועד. לעולם לא הייתי מציב אף רשת קמעונאית ברשימה של יעדים קשים. חברות אבטחה הן יעדים קשים, הממשלה היא יעד קשה. איזו רשת קמעונאית שעסקיה מוכר גרביים, לא הייתי מצפה שהם יהיו חנות סופר מאובטחת. "
הנוף למקצוענים בתחום האבטחה
ביוני 2014, Target שכרה את ה- CISO הראשון שלה, בראד מאיורינו, מנהל לשעבר של ג'נרל מוטורס, שיפקח על שיפוץ נוהלי האבטחה של החברה.
עסקים, ללא קשר לתחום או לגודל שלהם, יצטרכו לשים לב ולהעצים את משחק האבטחה שלהם בתגובה לאיומים הולכים וגדלים עם מודעות גבוהה יותר וסמכות רבה יותר לפעול על רקע הפרות אפשריות.
"היה ברור … במקרה של Target נוצרו התראות שאיש לא הגיב להן, ושהניסיון שלי באבטחה מנוהלת הוא מאוד אופייני, " אמר פפין.
"מערכת איתור הפריצות הטובה ביותר בעולם עדיין קיימת בשיעור חיובי כוזב גבוה מאוד ולכן מגיבים לאבטחה למעשה מאומנים על ידי המערכות שלהם להתעלם מהמערכות שלהם. יש שם פער אינטראקטיבי אנושי טכנולוגי, שם המגיבים הראשונים הופכים קהים לאלפי התראות שהם משיגים זבל. במקרה של טארגט, היו כמה סימנים שלא נעקבו אחריהם שיכולים לעזור למזער את ההשפעה הרבה יותר מוקדם. "
כפי שקורה לעיתים קרובות, איש אבטחה לא יכול לפעול באופן מיידי בנושא כיוון שהוא זקוק לאישור או אישור ממישהו אחר שנמצא למעלה בהיררכיה. זה צריך להשתנות, אומר פפין, ומסביר שצוות האבטחה של החברה צריך להיות בעל יותר אוטונומיה וסמכות לקחת יוזמה.
"אני מרגיש שזה עדיין נושא ממשל בכך שפקידי אבטחת מידע ראשיים לא צריכים לדווח למנכ"לים, " אומר טום קלרמן, קצין אבטחת הרשת הראשי ב- Trend Micro. "עליהם לדווח ישירות לקצין הסיכון הראשי או למנכ"ל." זה חוסך רבים מהמתווכים ומבטיח זמן תגובה מהיר יותר למקרי חירום פוטנציאליים.
פפין מסכים כי על אנשי מקצוע בתחום האבטחה "לדווח על הזכות לראש" בחברתם. "אני בר מזל שאדווח למנכ"ל שלנו. זה עובד טוב מאוד וזה ממש הייתי ממליץ לכל ארגון שלוקח את ביטחונו ברצינות."
תקציבים ואבטחה אחרים עבור חברות קטנות ובינוניות
לשכור CISO ולהרחיב את צוות האבטחה שלך זה טוב ויפה אם יש לך את התקציב, אבל מה עם חברות קטנות יותר? בעוד שתקיפה על שרשרת קטנה או על חנות החומרה המקומית שלך לא תקצור את אותם יתרונות עבור האקרים כמו להכות ב Target או Neiman Marcus, זה עדיין לא חכם להשאיר את עצמך פגיעים בשום דרך. אז מה אתה יכול לעשות כדי להפחית את הסיכון להתקפה? פפין ממליצה בחום לשכור את שירותיו של קבלן או יועץ לתגובה לאירועים.
"במקרה שתקפו אותך, יש לך מישהו שתוכל להתקשר אליו, כך שאתה לא צריך לפתוח את גוגל ולהתחיל להסתכל, " אמרה.
זה יהיה הגיוני יותר מבחינה כלכלית עבור חברה קטנה יותר, היא מסבירה, מכיוון שהעסק ישתמש רק בשירותים כשצריך אותם. שירותים אלה מתמחים מאוד גם באיסוף המקום בו הצוות שלך הפסיק.
"אתה יכול לקבל צוות פנטסטי לביצוע ניסויים, להבין שאתה מותקף אבל זה לא בדיוק אותה מערך המיומנויות הדרוש כדי להגיב לאותה מתקפה, לנתב אותם מהרשת שלך ולאסוף את הראיות בצורה שיכולה להיות לשמש בבית משפט. "
לחברות עומדים לרשותם משאבים רבים כדי להילחם בפשעי רשת. ההיסטוריה האחרונה מעלה התקפה גדולה נוספת היא ממש מעבר לפינה.
