שיטות אבטחת IT רגילות עשויות שלא להגן עליך מפני התקפות זדוניות שנכנסות למערכת שלך באמצעות מכשירים יומיומיים, כגון מפתחות USB. Shutterstock
אם אתה מנהל עסק, אתה בטח מודאג מאבטחת IT. אולי אתה משקיע בתוכנות אנטי-וירוס, חומות אש ועדכוני מערכת שוטפים.
למרבה הצער, אמצעים אלה עשויים שלא להגן עליך מפני התקפות זדוניות הנכנסות למערכות שלך באמצעות מכשירים יומיומיים.
בערב יום שישי, ה -24 באוקטובר 2008, ריצ'רד סי. שייפר ג'וניור, קצין הגנת מערכות המחשוב הבכיר ב- NSA, היה בתדרוך עם נשיא ארה"ב ג'ורג 'וו. בוש כאשר עוזר העביר לו פתק. הפתק היה קצר ולעניין. הם נפרצו.
איך זה קרה? האשם היה USB פשוט.
התקפות שרשרת אספקה USB
הפיגוע לא היה צפוי מכיוון שמערכות צבאיות מסווגות אינן מחוברות לרשתות חיצוניות. המקור היה מבודד לתולעת שהועלתה על מפתח USB שהוגדר בקפידה והותיר בכמויות גדולות נרכש בקיוסק אינטרנט מקומי.
זוהי דוגמה להתקפת שרשרת אספקה, המתמקדת באלמנטים הפחות מאובטחים בשרשרת האספקה של הארגון.
הצבא האמריקאי עבר מיד לאסור כונני USB בשטח. כמה שנים מאוחר יותר, ארה"ב תשתמש באותה טקטיקה כדי להפר ולשבש את תוכנית הנשק הגרעיני של איראן במתקפה שכונתה כעת Stuxnet.
הלקח ברור: אם אתה מחבר כונני USB למערכות שלך, עליך להיות מאוד בטוח מהיכן הם הגיעו ומה יש בהם.
אם ספק יכול להטיל מטען סודי על מקל USB, אז אין תקופת ביטחון שבה USB הוא בחירה טובה. לדוגמה, כרגע אתה יכול לקנות מקל USB המהווה בחשאי מחשב קטן, והוא, עם הכנסתו, יפתח חלון במחשב שלך ויפעיל את צעדת כוכב המוות.
זוהי רק התקפה אחת של שרשרת האספקה. מהם הסוגים האחרים?
התקפות שרשרת אספקה ברשת
למשתמשי מחשב יש נטייה הולכת וגוברת לאחסן את כל המידע שלהם ברשת, ולרכז את נכסיהם במקום אחד. בתרחיש זה, אם מחשב אחד נפגע אז המערכת כולה פתוחה לתוקף.
שקול טלפון ועידה המשמש בארגון שלך. נניח שלטלפון הזה המאפשר רשת יש תקלה מובנית שתאפשר לתוקפים הקשיב לכל שיחות בסביבה. זו הייתה המציאות ב 2012 כאשר יותר מ -16 גרסאות של טלפון ה- IP הפופולרי של סיסקו הושפעו. סיסקו פרסמה תיקון לטלפונים שלהם, אותו ניתן להתקין על ידי רוב מחלקות אבטחת ה- IT.
המודל הבסיסי של התקפת שרשרת אספקה ברשת מראה עד כמה מערכות פגיעות מחוברות בתוך ארגון. המחבר סופק
בשנת 2017 התעוררה סוגיה דומה כאשר מותג מדיח כלים בית חולים הושפע מ שרת אינטרנט מובנה וחסר אבטחה. במקרה של בית חולים, ישנם נתונים פרטיים רבים וציוד מומחה שעלול להיפגע מפגיעות שכזו. למרות שבסופו של דבר שוחרר תיקון, הוא נדרש לטכנאי שירותים מיוחד להעלות אותו.
התקפות שרשרת האספקה היו מעורבות לאחרונה בשיעור הכישלון ההרסני של תוכנית הטילים הצפון קוריאנית. דיוויד קנדי, בסרטון עבור Insider, דן כיצד ארה"ב שיבשה בעבר תוכניות גרעין באמצעות סייבר. אם הם עדיין מחזיקים ביכולת הזו, ייתכן שהם היו רוצים לשמור אותה סמויה. אם זה יהיה המצב, אפשר להעלות על הדעת שאחד הכשלים הרבים בצפון קוריאה יכול היה להיות מבחן של נשק סייבר כזה.
חמש דרכים בהן חברות יכולות להגן על עצמן
כדי להגן על עצמך מפני כל אלה עליך להגדיר תהליכים בסיסיים של היגיינת סייבר שיכולים לעזור לשמור על העסק שלך נקי מזיהומים.
-
רכשו והתקינו תוכנת אנטי-וירוס טובה והפעילו אותה במצב הגנה, שם היא סורקת הכל במחשב שלכם. כן, אפילו מחשבי מקינטוש מקבלים וירוסים
-
עקוב אחר מי שנמצא ברשת שלך, הימנע משימוש בהתקנים לא מהימנים כגון USB ודרש למנהלי מערכת לחסום הפעלה אוטומטית כמדיניות חובקת מערכת.
-
הפרד את הרשתות שלך. האם יש להם תשתית מפעלים קריטית? אין לך את זה באותה רשת כמו היום יום שלך, רשתות הפונות לציבור או גישה לאורחים
-
לעדכן באופן קבוע. אל תדאג לגבי הנושאים האחרונים והגדולים ביותר, תיקון את הפגיעות הידועות במערכות שלך - במיוחד זו משנת 1980
-
שלם על התוכנה והעבודה שלך. אם אתה לא משלם עבור המוצר, מישהו משלם בשבילך as את המוצר.
על ידי הפרדת התשתית הקריטית שלך מהאינטרנט והרשתות הזמינות של ספקים ניתן לספק רמת הגנה. עם זאת, התקפות מסוימות מסוגלות לגשר על 'פער האוויר' הזה. מחבר מסופק
מודעות סייבר היא קריטית
סוף סוף אתה יכול למקסם את עמידות הסייבר על ידי הכשרת כולם בארגון שלך ללמוד כישורים חדשים. אבל חיוני לבדוק אם ההכשרה שלך עובדת. השתמש בתרגילים בפועל - בשיתוף עם אנשי אבטחה - כדי לבחון את הארגון שלך, לתרגל את המיומנויות האלה ולברר היכן עליך לבצע שיפורים.
המחיר של כל חיבור לאינטרנט הוא שהוא חשוף לתקיפה. אך כפי שהראינו, אפילו מערכות עצמאיות אינן בטוחות. תרגול מכוון וגישות מתחשבות באבטחה יכולות להגביר את ההגנה על העסק או מקום העבודה שלך.
אודות הסופרים
ריצ'רד מתיוס, מועמד לתואר שלישי, אוניברסיטת אדלייד וניק פלקנר, פרופסור חבר ומנהל קונסורציום הערים החכמות האוסטרליות, אוניברסיטת אדלייד
מאמר זה פורסם מחדש מתוך שיחה תחת רישיון Creative Commons. קרא את ה מאמר מקורי.
