דוח חדש של חברת ThreatTrack חושף כי חלק ניכר מתקריות האבטחה הכוללת פעילות של תוכנה זדונית (Malware) מוסתרות במכוון על ידי הארגון, כאשר ברבים מהמקרים. . .
במסגרת הדוח, נערך שאלון אנונימי בקרב 200 מומחי אבטחה העוסקים בחקר תוכנות זדוניות. התוצאות חושפות כי 66% מהם התמודדו עם אירוע אבטחה אשר לא דווח לאחר מכן לחברה. יתרה מכך, המקור לאותם אירועים היה, פעמים רבות, מנהלים בארגון, כאשר חלק ניכר מהאירועים ניתן היה למנוע. פילוח אופן המניעה מגלה כי רוב התקריות נבעו מהפרות של מדיניות אבטחת המידע הארגונית והתנהגות רשלנית, דוגמת התקנת של אפליקציה זדונית למובייל (33%), שימוש במכשיר על ידי בן משפחה (45%), פישינג (56%) ועוד.
האקרים שמים כיעד בראש ובראשונה אנשים, ורק לאחר מכן פלטפורמות, כאשר בכירים רבים פטורים מיישום המידיניות ומהגבלות אבטחה. כתוצאה מכך, אין להתפלא שתקיפות פישינג מהוות מקור ראשי של הדבקרה, ולאחר מכן, שימוש בלתי מורשה בציוד IT של הארגון. מדובר על קרקע פוריה המנוצלת על ידי ההאקרים עד תום. כך, למשל, ברבעון ה-3 של 2013 בוצעו תקיפות האקינג כנגד כמה מאתרי החדשות הפופולריים בעולם, וזאת במטרה לשטות בקורבנות ולהוביל אותם לרשתות זדוניות
מתקפות מסוג זה פועלות על הגורם האנושי ומפתות אותו לפתוח תוכן מזיק. אחד האמצעים היעילים להעלאת מודעות העובדים לנושא זה היא באמצעות ביצוע מבדק המימד האנושי אחת לתקופה, אשר מדמה שליחה של הודעה זדונית במסגרת תקיפת פישינג בידי האקרים המבקשים לפרוץ לארגון. מלבד העלאת המודעות, פילוח תוצאות ההיענות להודעה המזוייפת, מאפשר לזהות את רמת החשיפה ולבנות תוכנית מתאימה של הדרכות אבטחת מידע מקצועיות. כנדבך משלים, יש לכתוב נהלי אבטחה מקצועיים המתייחסים לסוגיית הטיפול באירועי אבטחת מידע לסוגיהם. נשמח לשתף אותך בניסיוננו בתחום.
לידיעה המלאה- כאן