השילוב של כמות אדירה של פגיעויות התוכנה עם מורכבות סביבות ה-IT המשלבות בין און פרמיס וענן מייצר הזדמנויות לתוקפי הסייבר. ליאור לוי, פרולוג'יק: " לארגונים אין את המשאבים הנדרשים כדי לאתר ולתקן את כול פגיעויות התוכנה שמצויות בהם. הם חייבים פתרונות טכנולוגיים חכמים לסייע להם"
בתחילת חודש אוגוסט, בשיא עונת התיירות וחופשות הקיץ של חצי הכדור הצפוני, מצאו לנכון נציגי רשויות אכיפת חוק וסייבר של ארה"ב, קנדה, בריטניה, אוסטרליה וניו זילנד להיפגש ולפרסם אזהרה עולמית משותפת העוסקת בעשרות פגיעויות תוכנה (vulnerabilities) נפוצות המשמשות תוקפי סייבר. האזהרה לא רק כוללת ציון שמות של פגיעויות אלו, אלא גם המלצות כיצד לפעול כדי לבצע מניעה או סיכול של נקודות תורפה אלו.
למי שלא מכיר את הסטטיסטיקות הנוגעות לעולמות הסייבר המפגש הזה אולי ייראה קצת מוזר, אולם למי שמכיר אזי האירוע הזה לא יבוא לו בהפתעה. גם כיום אחד האיומים הגדולים ביותר בתחום הסייבר הוא אותן מאות אלפי פגיעויות תוכנה, חלקן מוכרות וידועות וחלקן חדשות, שהאקרים מנצלים כדי לתקוף ולפרוץ באמצעותן אל ארגונים מכול גודל, בכול סקטור פעילות, ובכול מקום בעולם. למעשה, הנתונים מצביעים שוקטור התקיפה המועדף על האקרים נותר ניצול של פגיעויות תוכנה, כאשר הנתונים מדברים על בין 40 ל-60 אחוזים מכלל הפריצות לארגונים מקורן בסוג זה של מתקפות.
זו הסיבה שרשויות אכיפה וסייבר בכול העולם משקיעות משאבים ניכרים כדי לחסום ולמנוע את הפרצות הללו. זו גם הסיבה מדוע מערך הסייבר הלאומי בישראל מפיץ הודעות בצורה סדירה על עדכוני תוכנה של החברות הגדולות, דוגמת: מיקרוסופט, אדובי, סיטריקס, אפל, פורטינט, סיסקו, ועוד. בפברואר השנה יצא מערך הסייבר הלאומי אף בהתרעה כי קיימות עדויות כי תוקפים מגבירים לאחרונה את השימוש בפגיעויות מוכרות המשמשות כוקטורי תקיפה ראשונית כנגד ארגונים, וכי מומלץ מאוד לתעדף טפול בפגיעויות מוכרות אשר תוקפים עושים בהן שימוש.
ליאור לוי, מנכ"ל ומייסד חברת פרולוג'יק (Prologic), נציגת SecPod בישראל, יצרנית של סוויטה מתקדמת לניהול פגיעויות והפצה של עדכוני תוכנה, מציין כי "התחום הזה של ניהול פגיעויות (Vulnerability Management) וניהול עדכוני תוכנה (Patch Management) ממשיך להוות נקודת תורפה בארגונים רבים. נתונים עדכניים מראים כי אפילו פגיעויות שהתגלו בשנת 2017 ממשיכות לשמש קרש קפיצה עבור האקרים המנצלים אותן כדי לפרוץ אל תוך ארגונים".
כמות פגיעויות עצומה
אחת הסיבות המרכזיות לקושי לטפל בפגיעויות התוכנה הוא הכמות האדירה שלהן. רשות אכיפת הסייבר האמריקאית NIST דיווחה כי בשנת 2022 לבדה דווחו למעלה מ-23 אלף פגיעויות חדשות, מתוכן קוטלגו כקריטיות יותר מ-17 אלף. זה אולי מסביר את הנתונים של חברת המחקר Ponemon המעלים שאצל למעלה ממחצית הארגונים קיים עיכוב בטיפול של למעלה מ-100 אלף פגיעויות ידועות ומוכרות בארגון.
"לארגונים, גם הגדולים שבהם, אין את המשאבים הנדרשים כדי לאתר ולתקן את כול פגיעויות התוכנה שמצויות בהם", אומר לוי, "זו עבודה סיזיפית, היא צורכת זמן יקר של אנשי מקצוע, והעלויות שלה בכלים המסורתיים היא גבוהה. ארגונים יודעים שיש להם פצצות מתקתקות, הם מקיימים מדיניות של ניהול סיכונים, זאת אומרת – יודעים שהסיכון קיים, אך מנסים להפחיתו".
חוסר משאבים וסביבות היברידיות מורכבות
עוד עולה מהמחקר של Ponemon כי 78 אחוזים מהארגונים מטפלים בפגיעויות קריטיות באמצעות הפצה של עדכון תוכנה תוך יותר מ-3 שבועות, אך 29 אחוזים מהארגונים מדווחים כי אצלם הטיפול מתבצע תוך יותר מ-5 שבועות. פער הזמנים שבין איתור הפגיעות ובין התיקון שלה זהו המקום בו תוקפי הסייבר יכולים לבצע פריצה לתוך הארגון ותקיפה שתוצאותיה יכולות להיות דרמטיות.
אם כך הדבר, מה מעכב את הטיפול באותן פגיעויות? המחקר מגלה כי 47 אחוזים מהארגונים מדווחים על בעייתיות בביצוע התעדוף הנכון של הפגיעויות, 43 אחוזים מהארגונים מדווחים על שימוש בכלים לא יעילים, 38 אחוזים על חוסר במשאבים, ו-28 אחוזים על כך שהטיפול ארוך וגוזל זמן עבודה יקר.
גורם נוסף הוא המורכבות של סביבות ה-IT כיום. סביבות היברידיות, הכוללות און פרמיס (ON-PREM) וענן, לעיתים אף מרובות עננים, ואשר מכילות אלמנטים מרובים, כחול על שפת הים. המשימה של ניהול הפגיעויות והפצת עדכוני התוכנה גדולה על מידותיו של אדם או אפילו צוות, ואפילו שיהיו ייעודיים ומסורים מאוד בביצוע עבודתם.
פתרון מבוסס אוטומציה
בבעיה הזו באה לטפל חברת SecPod באמצעות פיתוח של טכנולוגיות מתקדמות מבוססות אלגוריתמיקה מתקדמת ו-AI. החברה, שהוקמה בשנת 2008, הינה מפתחת של פלטפורמת פתרונות הפעילה בתחום של היגיינת הסייבר (Cyber Hygiene) – בדגש על ניהול תחומי איתור פגיעויות ועדכוני תוכנה בארגונים. הפלטפורמה, במודל ענן SaaS או און-פרמיס, מיועדת לסייע למנהלי אבטחת המידע בארגון להקטין את שטח הפנים החשוף לתקיפות כתוצאה מפגיעויות וחוסרים בהפצה של עדכוני תוכנה.
הפלטפורמה כוללת מאגר מידע של למעלה מ-160 אלף פגיעויות, והוא נחשב אחד המאגרים המסחריים הגדולים והמעודכנים בתחום. הפתרון סורק את כלל פורטפוליו התשתיות בארגון – תשתיות תוכנה וחומרה כאחד, מאתר את הפגיעויות, מדרג אותן לפי רמת הקריטיות שלהן ומייצר מיפוי של רמת הסיכון לארגון. המערכת גם משלימה את התהליך עם הפצה מנוהלת של עדכוני תוכנה ייעודיים לתיקון הפגיעויות אשר התגלו.
הפתרון של SecPod כולל יכולות אלגוריתמיקה ואוטומציה של התהליכים. הפלטפורמה מספקת פתרון לכלל פורטפוליו ה-IT הארגוני: תחנות קצה, מכשירי מובייל, תשתיות נטוורק, תשתיות ענן, אינטרנט של הדברים (IoT), ותשתיות OT.
מסכם ליאור לוי, מנכ"ל ומייסד פרולוג'יק "הפתרון שארגונים שואפים אליו לתחום הטיפול בפגיעויות צריך להיות הוליסטי, מבוסס אלגוריתמיקה, אוטומציה ובינה מלאכותית (AI) – והפתרון של SecPod הוא בדיוק כזה. הניסיון העשיר של SecPod, וההתמחות שלה בתחום, יכולים להחזיר לגופי הגנת הסייבר בארגונים את היכולת לנהל את התחום בצורה פרואקטיבית, ולספק להם יכולות לחסימה של וקטור תקיפה משמעותי".