Search magnifier

חיפוש

עכשיו קל ונוח יותר למצוא כל כתבה ברוכים הבאים לאתר אקסטרה המחודש - עדכני ומגוון בשפע כתבות ומאמרים מקצועיים

מתקפת סייבר מתחילה מסיסמה גנובה

בעולם הסייבר מבינים שסיסמאות הן 'הבטן הרכה' של הרשת הארגונית וצועדים לקראת פתרונות זיהוי נטולי סיסמה. אחד המובילים שבהם מפותח בחברת Secret Double Octopus הישראלית. המנכ"ל, רז רפאלי, מספר על פתרון המשפר את חוויית המשתמש ואת אבטחת המידע בעת ובעונה אחת

אילוסטרציה: secret Double Octopus

עד 2022, 60% מהארגונים הגדולים ו-90% מהארגונים הבינוניים בעולם, יאמצו פתרונות נטולי סיסמה על מנת לזהות משתמשים. זאת התחזית שפרסמה בתחילת השנה ענקית המחקר גרטנר, המובילה את ניתוחי השוק והתחזיות בתחום הסייבר. אחד הפתרונות המובילים בעולם להחלפת סיסמה מפותח ומשווק על-ידי חברה ישראלית בשם 'Secret Double Octopus'. שוחחנו עם היזם-שותף והמנכ"ל, רז רפאלי, כדי להבין ממנו מדוע סיסמאות הן נקודת הכשל הארגונית במקרים רבים ומהו הפתרון שמציעה החברה שהוא הקים.

רז, מה כל כך רע בסיסמה?

"זו מוסכמה נפוצה בעולם הסייבר שסיסמאות הן 'הבטן הרכה' של הרשת הארגונית. על-פי המחקרים בתחום, הרוב המוחץ של ההתקפות על ארגונים מתחילות מגניבת שם משתמש וסיסמה מאחד מעובדי הארגון. זה אפילו לא צריך להיות עובד בכיר, כי מרגע שההאקר נמצא בתוך הרשת הארגונית, קל לו יותר לפרוץ לאזורים רגישים ברשת, גם אם למשתמש שאת הסיסמה שלו הוא גנב, אין הרשאות להיכנס לאזורים אלה. אבל על-פי תפיסת עולמנו הסיסמאות הן לא באמת הבעיה, המשתמשים הם הבעיה".

הסבר.

"המשתמש הוא זה שנאלץ לבחור בסיסמה שהוא יוכל לזכור, ופעמים רבות היא תהיה כזו שמכילה שם או תאריך מוכר. משתמשים ממחזרים סיסמאות ומשתמשים באותן סיסמאות לסביבות הפרטיות והעסקיות שלהם, ולכן הם אלה שנופלים קורבן למתקפת Phishing או Password-cracking. הפתרון של Secret Double Octopus מאפשר לארגונים לשחרר את העובדים מהעול והאחריות של בחירה והחלפת סיסמאות. כך, עובדי החברה לא צריכים לשאת בנטל ואנשי המחשוב והאבטחה יכולים לישון בשקט בידיעה שהמפתחות לרשת הארגונית נמצאים רק בידיים של אנשים שאחראים ומבינים אבטחת מידע".

חוויית משתמש ידידותית וחלקה

מה בעצם מציע הפתרון שלכם?

"אנחנו מציעים פתרון, שמבוסס על אפליקציה סלולארית שמחליפה את הצורך בסיסמה. כשעובד רוצה לפתוח אפליקציה, להתחבר לשירות ארגוני, לגלוש מרחוק או אפילו להיכנס למחשב שלו בבוקר, במקום סיסמה הוא פשוט מקבל הודעת אימות לאפליקציה בטלפון. העובד מאשר באימות הביומטרי המוכר של המכשיר הנייד (טביעת אצבע או מערכת זיהוי פנים) וזהו, הוא בפנים. זה תהליך שלוקח שניות. ברגע שהמערכת זיהתה את המשתמש היא תאפשר לו כניסה לכל האפליקציות הארגוניות באמצעות מערכת (Single Sign On (SSO.

"על פני השטח יש כאן חוויית משתמש מאוד ידידותית וחלקה, אבל מתחת למכסה המנוע קורה כאן תהליך מאוד חדשני, שבשורה התחתונה מגן מפני רוב המתקפות הקשורות לגניבת סיסמאות, או מפתחות הזדהות. בעבר אפילו חברות מובילות בתחום כמו RSA הותקפו וחשפו את לקוחותיהם לגניבת מפתחות.

"המערכת של Secret Double Octopus משתמשת באלגוריתם לפיצול והרכבה מחדש של מפתח זיהוי זמני, אשר מונע אפשרות של גניבת מפתח או התחזות למשתמש באמצעות Man-in-the-Middle. בנוסף, האלגוריתם שלנו אינו תלוי בכוח המחשוב שעומד לרשות התוקף, מה שאומר שהוא חסין מפני מתקפות 'מחשוב קוונטי', שבעתיד יהיה סוג המתקפות הקשה והבעייתי ביותר, אבל זה רק בונוס".

ומה אם אין לכל העובדים טלפונים חכמים?

"אנחנו יודעים להציע גם מגוון פתרונות אימות שאינם מבוססי מובייל. אבל ההמלצה שלנו לארגונים היום היא לאמץ את הפתרון המבוסס על טלפון חכם ולפתור נקודתית בעיות שעולות עם משתמשים מסוימים, או מחלקות מיוחדות. ברוב המקרים, כאשר ארגון יציע לעובדיו את החלופה לעבוד עם הטלפון החכם שלהם לעומת פתרון אחר, כרטיס זיכרון או USB נניח, הם יעדיפו לעבוד עם הנייד ולא להתנהל עם פריט נוסף.

"השימוש בטלפון הוא יתרון מהרבה בחינות. יש מחקר ענף היום שמראה כי אנשים מתייחסים לנייד כשלוחה שלהם ממש. אחד המחקרים החביבים עלי מראה כי בזמן שוד, אנשים יעדיפו למסור את הארנק מאשר את המכשיר הנייד שלהם שמכיל את כל עולמם. ביחס לאמצעי אימות אחרים, המובייל הוא בעל הסבירות הנמוכה ביותר שנאבד/נשכח אותו, ואם זה אכן קורה, נשים לב לכך מאוד מהר. המשמעות לארגונים היא שזהו פתרון זול מאוד, קל מאוד ליישום והטכנולוגיה עליה הוא מבוסס משתפרת כל הזמן".

חלוצים בהעלמת סיסמאות

כיצד מגיב השוק לפתרון שלכם?

"התחושה היא של שוק שנרקם ומתהווה ממש בשנה האחרונה. חברות ענק כמו אפל, גוגל ומייקרוסופט נכנסו לתחום אף הן ומציעות היום לצרכנים פרטיים פתרונות שונים שמאמתים אותם במקום סיסמה, בעיקר כאלה מבוססי טכנולוגיה ביומטרית – זיהוי פנים או טביעת אצבע. אנחנו החברה הראשונה שמביאה את היכולות האלו לסביבה הארגונית, על כל משמעויות האבטחה והתמיכה הנדרשות מכך.

"כיוון שיש דרישה משמעותית מהשוק, חברות ענק שעוסקות באבטחה ארגונית משתפות איתנו פעולה. ממש לאחרונה חתמנו על הסכמי שיתוף פעולה עם חברת Okta, שמובילה את השוק העולמי באבטחת זהויות בענן ויחד אנחנו מציעים ללקוחות שלה מוצר שמעלים את הסיסמה לכל העובדים. הסכם נוסף חתמנו עם חברת Asigra, שמגנה על ארגונים מהתקפות כופר".

יש גם חששות וקשיים אצל הלקוחות?

"חשש מרכזי שעולה בשיחות מוצר הוא הקושי ליישם מערכת כזאת בסביבה ארגונית של אלפי עובדים. לבנק גדול שצריך עכשיו להחליף סיסמאות לעשרות-אלפי משתמשים במאות סביבות שונות, זה נראה בהתחלה כמו משימה מורכבת. לכן, בשנה האחרונה עבדנו מאוד קשה והתמחינו בהשקה חלקה של המוצר ואינטגרציות עם כל הסביבות הארגוניות, על מנת שנוכל לתמוך באמת בכל ארגון ובכל שירות או תוכנה.

"אחד הדברים שרק אנחנו עושים בתחום העלמת-הסיסמה הוא לנהל גם את סיסמאות ה-Active Directory של המשתמשים. גם כשתוכנת ניהול הזהויות הזו מותקנת באופן מקומי בחברה, אנחנו יודעים לתת פתרון שמשחרר את המשתמשים מסיסמאות. זה חשוב כי זו בעצם הסיסמה הכי רגישה שיש לעובד בחברה.

"מנהלי IT חוששים בכל פעם שדרוש שינוי הנוגע בחוויית משתמש הקצה. למרבה המזל, מדובר בפתרון המשפר את חוויית המשתמש ואת אבטחת המידע בעת ובעונה אחת, שילוב נדיר בתעשיית הסייבר. בפועל, המסר הראשון שלקוחות מדווחים עליו לאחר אימוץ הפתרון הוא 'המשתמשים אוהבים את זה!'".

מיהם הלקוחות שלכם?

"התמזל מזלנו להיות חלוצים בתחום העלמת-הסיסמאות וארגונים רבים שמחפשים פתרון כזה מגיעים באופן טבעי אלינו ואף מכריזים עלינו כספק יחיד במקרים רבים. המוצר שלנו הוא היחיד בשוק עם בשלות מספיקה לטפל בארגוני ענק והודות לכך יש לנו כבר לקוחות בארה"ב, אירופה ואסיה, ביניהם ארגונים מהמובילים בעולם. כך גם חברות ישראליות שנחשפו למוצר והיו מספיק חדשניות כדי לאמץ אותו בתחילת הדרך".

טוב לדעת