לתשומת-לב הארגונים: מגמות אבטחת הסייבר שישלטו השנה

לתשומת-לב הארגונים: מגמות אבטחת הסייבר שישלטו השנה

cyber security

This post is also available in: enEnglish (אנגלית)

מאת: אור יעקב, ארכיטקט פתרונות אבטחת מידע EMEA ב-F5

התקפת ה-DDoS על חברת ההוסטינג OVH בספטמבר 2016, אשר נעשה בה שימוש בהתקני IoT שנפרצו, מספקת דוגמה נוספת לאיומים המחריפים עימם ארגונים מתמודדים. ההאקרים יצרו בוטנט (BotNet) שעשה שימוש בעשרות אלפי התקנים המחוברים לרשת על מנת להוציא לפועל התקפת DDoS בהיקף תעבורה של  למעלה מטרה-ביט. זוהי אחת ההתקפות הגדולות מסוגן שנצפו עד כה.

טווח איומי האבטחה גדל, הן בהיקף והן ברמת התחכום, והסיכוי של עסקים להיות מותקפים גדול מבעבר. במהלך השנה ישלטו מספר מגמות בתחום הסייבר, שיש להיות מודעים אליהן לצורך פיתוח הגנות העתיד:

  • הטיפול בתעבורה מוצפנת

נפח המידע המוצפן נמצא בעליה דרמטית. תוך מספר שנים יוצפן רובה המוחלט של התעבורה ברשת. פרוטוקולים של הצפנה משתנים ומתחזקים וכך גם ההמלצות לארגונים. בין היתר, אנו רואים מגמת התקדמות באימוץ הצפנות מתקדמות המבוססות על ECC – Elliptic Curve Cryptography ומעבר ל -TLS 1.2 ולאחר מכן ל-TLS 1.3, כדי למנוע חשיפת נתונים ע"י ניצול של חולשות בהצפנות ישנות ומצב שיש "מאזין" לא מורשה בתווך (Man in the Middle).

ציודי אבטחה רבים בארגון הופכים ללא שמישים בעצמם, והארגונים נדרשים לאמץ טכנולוגיות שיאפשרו לוודא שהמידע לא מכיל סיכון ונוזקות לארגון, תוך עמידה בתקנים החדשים.

  • רגולציית GDPR של האיחוד האירופי

החוק האירופאי החדש להגנה על מידע פרטי GDPR לא ייכנס לתוקפו עד מאי 2018, אבל לרוב הארגונים יידרשו חודשים רבים להתכונן אליו. זוהי סוגיה שצריכה להיות על סדר היום של ארגונים ישראליים, שמציעים שירותים לאזרחים תושבי האיחוד האירופי.

החוק החדש מחייב ארגונים אלו לעמוד ברגולציה חוצת ארגון לטובת שמירת המידע הפרטי של לקוחות והסדרת הטיפול בו. ארגונים שלא יעמדו ברגולציה ויוכח כי לקו ברשלנות בהגנת המידע של לקוחותיהם, יהיו חשופים לקנסות כבדים, שעלולים להגיע עד ל-4% מהמחזור השנתי שלהם. רשלנות כוללת בין היתר חשיפת מידע, ניצולו לרעה על ידי גורם שלישי או לדוגמה התעלמות מ"היכולת להישכח" – הכוללת אי מחיקת המידע הקיים וההיסטורי לבקשת הלקוח.

הרגולציה תהיה תקפה לכל ארגון אשר מחזיק, מנהל או מעבד מידע של לקוחות אירופיים. קיימים רבים מאלו בישראל, בהם חברות מענף ההייטק ובענף הפיננסי.

  • אבטחת אפליקציות ותשתית בענן

שירותי אבטחת המידע המובנים בענן מאפשרים לארגונים לצרוך את אותן הגנות ופתרונות אבטחת מידע הנצרכים באופן מקומי, אך במודל עסקי נוח יותר, על פי שימוש ונפח צריכה.

הנגשת הפתרונות הטובים במשק לצד מודל עסקי וטכני נוח ישפרו את אבטחת המידע של הארגון.

  • התקפות DDoS-IoT

התקני IoT נמצאים בעליה, אבל לא כך אמצעי האבטחה שאמורים להגן עליהם. נקודות חולשה בהתקנים המציפים את השוק, הופכים אותם למטרות קלות לפריצה. כל התקן שהוא המחובר לרשת הוא בעל סיכויי פריצה גבוהים. גם ספקיות הסלולר והאינטרנט צריכות להתייחס לסיכון שמביאים עמם התקני IoT בבתי הלקוח, המספקים נתיב נוסף למתקפות סייבר. על עסקים וספקי תקשורת לוודא שיש להם אסטרטגיה להתמודדות עם התקפות DDoS ותכנית ברורה במידה שיותקפו.

  • אבטחת יישומים בדגש על API

עליית טכנולוגיות כגון אפליקציות מובייל, IoT ועוד הזניקו את השימוש ב-API כדרך נוחה להתחבר, לצרוך ולשתף מידע ברשת בכל התחומים. גם תהליכים פנים-ארגוניים עוברים לשימוש ב-API וצוותים רבים עושים בו שימוש לאוטומציה של תשתית, רשת ואבטחת מידע.

השינוי טומן בחובו אתגרי אבטחה רבים, החל מהטיפול בנגישות אל ה-API כגון הזדהות, חיבוריות מאובטחת וכלה בפריצה וחשיפת מידע רגיש דרכו.

על ארגונים להכיר במגמות המשתנות, ולהשתדל לשלבן בתוכניות העסקיות שלהם. אימוץ המגמות הרלוונטיות ישפר את יעילות הארגונים בתפעול והשקת שירותים חדשים ולמעשה יתרום לעמידה ביעדי הצמיחה של הארגון ויסייע לטפל בסיכונים העתידיים. אפשר לשפר את הסיכויים של 2017 להיות שנה מוצלחת מבחינת אבטחת מידע.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

counter terror tech

images provided by pixabay

image provided by pixabay

image provided by pixabay

image provided by pixabay

image provided by pixabay