דרך ההתנגדות המינימלית: מדוע הגנה לעומק היא התגובה הטובה ביותר לאיומי ענן

גורמי איום הם בעלי תושייה רבה. כשהם מגלים שמסלול מסוים חסום, הם לא מוותרים. במקום זאת, הם פשוט מחפשים אחר. רק תסתכלו על העדכון האחרון של גוגל. דוח אופקי איומי ענן עבור חציון 1 של 2026. גוגל קלאוד בנתה סט איתן של שיטות עבודה מומלצות בפלטפורמה שלה כדי למזער את ההזדמנויות לפגיעה בזהות ולניצול לרעה. אז מה עשו הרעים במחצית השנייה של 2025? הם פשוט העבירו את מאמצי הגישה הראשוניים שלהם מפגיעה באישורים לניצול פגיעויות.

זוהי אחת מכמה תובנות מעניינות מהדו"ח שיכולות לסייע למנהלי מערכות מידע (CISO) בעבודה מתמדת על שיפור רמת האבטחה שלהם.

מבאגים ועד פרצות

שני תרשימים ממחישים בצורה מושלמת את האופי הדינמי של נוף האיומים של ימינו: אחד מפרט וקטורי גישה ראשוניים המנוצלים ב-Google Cloud, והשני גרסה אגנוסטית לפלטפורמה. ב-Google Cloud, "אישורים חלשים או חסרים" היו אחראים רק ל-27% מהפריצות במחצית השנייה של 2025, ירידה מ-47.1% בששת החודשים הקודמים. לעומת זאת, ניצול פגיעויות תוכנה של צד שלישי היווה 45% מהפריצות, עלייה מ-3% בלבד במחצית הראשונה של 2025.

למרות שההתקפות האחרונות "מתוחכמות ויקרות יותר" עבור גורמי איום, הן גם משתפרות בהן. חלון הזמן בין גילוי פגיעויות לניצול המוני ירד משבועות לימים או שעות בלבד, אומרת גוגל. React2Shell היה אחד המטרות הפופולריות ביותר לניצול בשנה שעברה - וכתוצאה מכך נגרם פריצה משמעותית ב LexisNexis, בין מספר חברות נוספות.

עם זאת, כאשר בוחנים את התמונה בכל הפלטפורמות, זהות חוזרת להיות וקטור התקיפה העיקרי עבור אירועים הקשורים לסביבות ענן ו-SaaS גדולות - והיא מהווה 83% מהגישה הראשונית. ניצול פגיעויות היווה רק 2% בשנה שעברה. בהתבוננות ספציפית בתחום הזהויות, וישינג (17%) היה פופולרי יותר מפישינג בדוא"ל (12%). אך נפוץ יותר משניהם היו השימוש בפרטי גישה גנובים (21%) ופגיעה ביחסי אמינות עם צדדים שלישיים (21%), כמו קמפיין Salesforce Drift OAuth הידוע לשמצה.

היה יותר גוגל

הדו"ח לא רק מספק תמונת מצב שימושית של מגמות האיום הנוכחיות, הוא גם מראה מה עובד מבחינה הגנתית. בעולם אידיאלי, מנהלי מערכות מידע יוכלו לחקות ההגנה המעמיקה של גוגל קלאוד וגישה מאובטחת כברירת מחדל לחסימת כמה שיותר נתיבי גישה ראשוניים. מנקודת מבט של זהות, פירוש הדבר:

• אכיפת עקרון ההרשאות הנמוכות ביותר וביקורת/הסרה קבועה של הרשאות עודפות
• החלפת כללי חומת אש מתירים בפרוקסי ממוקדי זהות, על מנת להגן על ממשקי ניהול מפני ביצוע קוד מרחוק (RCE) וסיסמאות גנובות.
• אכיפת MFA מודע להקשר ועמיד בפני פישינג (למשל, מפתחות חומרה או סיסמות)
• הגבלת הנתונים שאפליקציות צד שלישי יכולות לגשת אליהם (למשל, באמצעות שילוב OAuth)
• קביעת פרוטוקולי אימות מחמירים עבור צוות מרכז התמיכה של ה-IT (למשל, דרישת אימות חזותי בשיחת וידאו או אישור מנהל משני) על מנת לצמצם ניסיונות ויזום.

עקרון ה"אבטחה כברירת מחדל" הוא אחת הדרכים היעילות ביותר להפחית סיכונים בסביבות ענן מודרניות, טוען פיטר קלפטון, מנהל הטכנולוגיה הראשי של Vysiion.

"פלטפורמות צריכות להגיע עם הגנות בסיסיות חזקות עבור זהות, אימות וניהול הרשאות, כך שארגונים לא יהיו תלויים במנהלים שיגדירו נכון בקרות רבות לפני השגת הגנה", הוא אומר ל-IO (לשעבר ISMS.online). "בסביבות ענן, בהן ניתן לפרוס תשתית במהירות ובקנה מידה גדול, מעקות הבטיחות המוגדרים כברירת מחדל מפחיתים משמעותית את הסבירות שתצורה שגויה תהפוך לנקודת כניסה לתוקפים."

עם זאת, יש להתייחס לאבטחה כברירת מחדל כקו בסיס. "זהות הפכה למעשה להיקף האבטחה המודרני, ולכן ארגונים עדיין זקוקים לממשל חזק, ניטור ומדיניות גישה בעלת הרשאות מוגבלות בקרב משתמשים, חשבונות שירות ואינטגרציות עם צד שלישי כדי לנהל סיכונים ביעילות", אומר קלפטון.

מנהלי מערכות מידע (CISO) יכולים גם לפעול לפי עצת גוגל בנוגע לצמצום ניצול פגיעויות, כפי שמתואר בדו"ח. זה כולל עדכון מדיניות התיקונים כדי להבטיח ש-CVEs מוגנים באופן וירטואלי תוך 24 שעות ויתוקנו במלואם תוך 72 שעות. סריקת פגיעויות אוטומטית תסייע לתמוך במאמצים אלה על ידי מציאת תוכנה שלא תוקנה.

"צוותי אבטחה צריכים לתעדף פגיעויות על סמך יכולת ניצול, חשיפה וקריטיות הנכס במקום להסתמך אך ורק על ציוני CVSS", מייעץ קלפטון. "שילוב סריקת פגיעויות בצינורות הפיתוח ושמירה על נראות של נכסי ענן המשתנים במהירות הם קריטיים."

ההבדל ב-ISO

עם זאת, שיין בארני, מנהל מערכות מידע ב-Keeper Security, טוען כי בעוד שמצב האבטחה כברירת מחדל של Google Cloud מצוין עבור לקוחותיה, רוב הארגונים פועלים בסביבות היברידיות ורב-עננים שבהן בקרות אלו אינן מתרחבות באופן עקבי.

"העדיפות של מנהלי מערכות מידע (CISO) לא צריכה להיות שכפול מודל של ספק יחיד, אלא הבטחת תוצאות אבטחה עקביות בכל הסביבות. משמעות הדבר היא אכיפת בקרות אבטחה המתמקדות בזהות תחילה, אשר עוברות עם המשתמש, ולא עם הפלטפורמה עצמה", הוא אומר ל-IO.

"תנוחת 'מאובטח כברירת מחדל' יעילה רק כאשר היא מחוזקת על ידי מודל אפס אמון המניח שלא ניתן לסמוך באופן מרומז על שום זהות או מערכת, אוכף גישה עם הרשאות נמוכות ביותר כדי לבטל הרשאות קבועות, ומיישם אימות מתמשך וניטור סשנים כדי לזהות ולבלום שימוש לרעה בזמן אמת - במיוחד בין חשבונות בעלי זכויות יוצרים."

למרבה המזל, למנהלי מערכות מידע (CISO) יש בעל ברית בדמות סטנדרטים ומסגרות של שיטות עבודה מומלצות כמו ISO 27001.

"מסגרות כמו ISO/IEC 27001 מספקות בסיס קריטי על ידי פורמליזציה של בקרות בניהול פגיעויות, ניהול זהויות וגישה ומודעות לאבטחה", ממשיך בארני. "הן מתרגמות כוונות רגולטוריות לפרקטיקות מובנות וניתנות לביקורת לניהול סיכוני מידע, הטמעת בקרות בניהול גישה, תיקון פגיעויות ותגובה לאירועים, שניתן להרחיב אותן על פני סביבות מורכבות ומונחות ענן."

ג'וואד מאליק, יועץ CISO ראשי ב-KnowBe4, הוא גם תומך בגישות פורמליות של שיטות עבודה מומלצות כמו זו, כל עוד הכוונה אינה עמידה בדרישות של "תיבת סימון".

"תקנים כמו ISO27001 שימושיים משום שהם יכולים לכוון ארגונים להשגת יסודות כמו ניהול נכסים, תיקון תקלות, בקרת גישה, תגובה לאירועים, סיכונים אנושיים וכן הלאה", הוא אומר ל-IO.

"בנפרד, לתקנים עצמם עשוי להיות ערך מוגבל, במיוחד אם ארגונים פועלים לפיה רק ​​למען תאימות. יש להשתמש בהם לבניית ממשל חזק, להטמיע אותם בפעילות היומיומית ולבסס את תרבות האבטחה הכוללת כך שבחירות מאובטחות יהיו הבחירות הרגילות והמועדפות."

הרחב את הידע שלך

פודקאסט: פישינג לצרות פרק #05: למי יש את המפתחות לעסק שלך?

סמינר מקוון: אבטחת סביבת הענן שלך

בלוג: מאבטחה היקפית לזהות כאבטחה