פרשנות | ניתוח כשלי אבטחת המידע באירוע חברת Voicenter
גם בלי להיות מנהל אבטחת מידע עם ותק של 20 שנים, הסמכות CISSP, CISM ואחרות, אפשר לזהות באירוע ב- Voicenter כמה כשלים בסיסיים, מהותיים - בעיקר מיותרים
עינת מירון
| 24/09/2021
bigstock
שוחחתי בנושא עם כמה מנהלי אבטחת מידע והם קשוחים ממני בעמדה, אבל מודה, לא עצרתי לברר מיהו מנהל אבטחת המידע ואין לי אפילו מושג אם יש כזה, כי זה באמת לא משנה.
אין לי אליו רבע תלונה. מצד שני אני כן סקרנית להבין את הלך הרוח של מנכ״ל החברה, שנראה כי לא שאל את הצוות שלו כמה שאלות אבטחת מידע בסיסיות.
אילו אמצעים יש לי להגנה על המידע של הלקוחות שלי? וכיצד מצמצמים את סיכונים? איזו הפרדה יש בין המידע של הלקוחות השונים?
מי מבין העובדים נגיש למאגרי הלקוחות? האם כל מי שנגיש למאגר הלקוחות באמת זקוק להרשאות האלה? איזה בקרות יש לי על פעילות מול המידע של הלקוחות?
הנתונים שהודלפו
במאמר הזה אני מתמקדת אך ורק בעובדות הידועות, מתוך המידע ששחרר התוקף בערוץ הטלגרם שלו.
מצילומי המסך נראה שהתוקף שהה במערכות החברה לכל הפחות מתאריך 26 ביוני השנה. החשיפה הפומבית של האירוע בוצעה ב-18.9.21. הושגה גישה למערכת המצלמות אבטחה שמתעדת את פנים המשרדים.
הושגה יכולת שימוש במצלמות תחנות העבודה של העובדים גם כשהם לא במשרדים, כלומר באמצעות המחשב הנייד. נחשפו מגוון רחב של צילומי מסך מתוך מערכת ניהול הלקוחות השונים.
נחשפו גם שיחות וואטסאפ, התכתבויות בדוא"ל. מידע ארגוני בנפח 15T (לטענתו) נאסף על ידי התוקף בפרק זמן שלא ידוע לנו עליו. כשאלה העובדות החשופות ניתן להסיק מהאירוע מספר מסקנות.
גישה חופשית לרשת
התוקף שהה במערכות הארגוניות תקופה ממושכת למדיי, כשאף מערכת לא מזהה אותו ולא מייצרת התרעה על כך. התוקף יכול היה להסתובב בין משתמשים שונים ללא הפרעה - תומכים (שיחות וואטסאפ) ואנליסטים או מנהלי משמרת (לפי הדשבורדים). כל דרגות המשתמשים היו חשופים בפניו.
המשמעות היא שסשנים של עבודה לא נתחמו בזמן, עבדו ברצף, ללא נעילה של תחנת העבודה וללא בקשת התחברות מחדש. הושגה גישה לחשבון ניהולי שהיתה לו גישה לכל הסיסמאות. התחברות באמצעות סיסמה ו-2FA היתה מקשה על הגישה הישירה.
הסיסמה שאפשרה את הכניסה, כך נראה, לא הוחלפה במשך כל זמן שהות התוקף ברשת. הדילוג בין חשבונות הלקוחות מעיד על שליטה יחידה ומלאה ממערך הניהול. מערך ניהול הסיסמאות וההרשאות לא תוחזק באמצעות אמצעי הגנה בסיסיים כמו טוקן ייחודי או הזדהות כפולה (2FA).
הדלפת גיגות מידע
הוצאת המידע (15TB) לא הרימה גם היא אף דגל אדום. לא ברמת תעבורה יוצאת, לא ברמת מערכת למניעת דלף מידע ולא ברמת הרשאות. ייתכן ובהרשאה גורפת למנהל המערכת ניתן להסביר את ההישג, אך גם תהליך זה צריך להיות מנוהל בתשומת לב. הגישה למערכת ניהול הלקוחות לא חייבה התחברות מאובטחת.
יתר על כן נראה כי הדילוג בין לקוח ללקוח לא חייב כניסה נפרדת או הזדהות חדשה וחזקה יותר. העובדה שבמקביל לגישת למערכת ניהול הלקוחות ניתן היה לנהל באותה התחנה גם התכתבות בדוא"ל או וואטסאפ מדגישה את העדר ההפרדה שהיתה חיונית כל כך.
מניעת דלף מידע - האם כל עובד בכל תחנת עבודה רשאי לצלם מסך? תהליך שאפשר לעצור בקלות ובכך לחסוך חשיפות מיותרות. הנחת יסוד שצריכה כבר לחלחל להבנה של כל מנהל בכל תחום ובכל מקצוע היא שמתקפת הסייבר היא לא שאלה של אם אלא שאלה של מתי.
בכדי להתמודד עם שאלת ה"מתי" הארגון חייב לקיים אצלו חשיבה אמיתית על התהליכים השוטפים שלו, שאם יופרעו, יושפעו וייצרו תופעת כדור שלג מתגלגל. וכל זה בלי בכלל לדבר על מהו וקטור הגישה שאיפשר את עצם הגישה למערכות הארגוניות.
הכותבת מומחית Cyber Resilience המלווה חברות ומנהלים בהערכות והתמודדות עם סיכוני הסייבר בהיבטים העסקיים.
גם בלי להיות מנהל אבטחת מידע עם ותק של 20 שנים, הסמכות CISSP, CISM ואחרות, אפשר לזהות באירוע ב- Voicenter כמה כשלים בסיסיים, מהותיים - בעיקר מיותרים
bigstock
שוחחתי בנושא עם כמה מנהלי אבטחת מידע והם קשוחים ממני בעמדה, אבל מודה, לא עצרתי לברר מיהו מנהל אבטחת המידע ואין לי אפילו מושג אם יש כזה, כי זה באמת לא משנה.
אין לי אליו רבע תלונה. מצד שני אני כן סקרנית להבין את הלך הרוח של מנכ״ל החברה, שנראה כי לא שאל את הצוות שלו כמה שאלות אבטחת מידע בסיסיות.
אילו אמצעים יש לי להגנה על המידע של הלקוחות שלי? וכיצד מצמצמים את סיכונים? איזו הפרדה יש בין המידע של הלקוחות השונים?
מי מבין העובדים נגיש למאגרי הלקוחות? האם כל מי שנגיש למאגר הלקוחות באמת זקוק להרשאות האלה? איזה בקרות יש לי על פעילות מול המידע של הלקוחות?
הנתונים שהודלפו
במאמר הזה אני מתמקדת אך ורק בעובדות הידועות, מתוך המידע ששחרר התוקף בערוץ הטלגרם שלו.
מצילומי המסך נראה שהתוקף שהה במערכות החברה לכל הפחות מתאריך 26 ביוני השנה. החשיפה הפומבית של האירוע בוצעה ב-18.9.21. הושגה גישה למערכת המצלמות אבטחה שמתעדת את פנים המשרדים.
הושגה יכולת שימוש במצלמות תחנות העבודה של העובדים גם כשהם לא במשרדים, כלומר באמצעות המחשב הנייד. נחשפו מגוון רחב של צילומי מסך מתוך מערכת ניהול הלקוחות השונים.
נחשפו גם שיחות וואטסאפ, התכתבויות בדוא"ל. מידע ארגוני בנפח 15T (לטענתו) נאסף על ידי התוקף בפרק זמן שלא ידוע לנו עליו. כשאלה העובדות החשופות ניתן להסיק מהאירוע מספר מסקנות.
גישה חופשית לרשת
התוקף שהה במערכות הארגוניות תקופה ממושכת למדיי, כשאף מערכת לא מזהה אותו ולא מייצרת התרעה על כך. התוקף יכול היה להסתובב בין משתמשים שונים ללא הפרעה - תומכים (שיחות וואטסאפ) ואנליסטים או מנהלי משמרת (לפי הדשבורדים). כל דרגות המשתמשים היו חשופים בפניו.
המשמעות היא שסשנים של עבודה לא נתחמו בזמן, עבדו ברצף, ללא נעילה של תחנת העבודה וללא בקשת התחברות מחדש. הושגה גישה לחשבון ניהולי שהיתה לו גישה לכל הסיסמאות. התחברות באמצעות סיסמה ו-2FA היתה מקשה על הגישה הישירה.
הסיסמה שאפשרה את הכניסה, כך נראה, לא הוחלפה במשך כל זמן שהות התוקף ברשת. הדילוג בין חשבונות הלקוחות מעיד על שליטה יחידה ומלאה ממערך הניהול. מערך ניהול הסיסמאות וההרשאות לא תוחזק באמצעות אמצעי הגנה בסיסיים כמו טוקן ייחודי או הזדהות כפולה (2FA).
הדלפת גיגות מידע
הוצאת המידע (15TB) לא הרימה גם היא אף דגל אדום. לא ברמת תעבורה יוצאת, לא ברמת מערכת למניעת דלף מידע ולא ברמת הרשאות. ייתכן ובהרשאה גורפת למנהל המערכת ניתן להסביר את ההישג, אך גם תהליך זה צריך להיות מנוהל בתשומת לב. הגישה למערכת ניהול הלקוחות לא חייבה התחברות מאובטחת.
יתר על כן נראה כי הדילוג בין לקוח ללקוח לא חייב כניסה נפרדת או הזדהות חדשה וחזקה יותר. העובדה שבמקביל לגישת למערכת ניהול הלקוחות ניתן היה לנהל באותה התחנה גם התכתבות בדוא"ל או וואטסאפ מדגישה את העדר ההפרדה שהיתה חיונית כל כך.
מניעת דלף מידע - האם כל עובד בכל תחנת עבודה רשאי לצלם מסך? תהליך שאפשר לעצור בקלות ובכך לחסוך חשיפות מיותרות. הנחת יסוד שצריכה כבר לחלחל להבנה של כל מנהל בכל תחום ובכל מקצוע היא שמתקפת הסייבר היא לא שאלה של אם אלא שאלה של מתי.
בכדי להתמודד עם שאלת ה"מתי" הארגון חייב לקיים אצלו חשיבה אמיתית על התהליכים השוטפים שלו, שאם יופרעו, יושפעו וייצרו תופעת כדור שלג מתגלגל. וכל זה בלי בכלל לדבר על מהו וקטור הגישה שאיפשר את עצם הגישה למערכות הארגוניות.
הכותבת מומחית Cyber Resilience המלווה חברות ומנהלים בהערכות והתמודדות עם סיכוני הסייבר בהיבטים העסקיים.
