לאזור
המשווקים

בדקו עכשיו: האם זהויות העובדים שלכם כבר למכירה

אם אתם עדיין מחפשים את הרגע שבו הקבצים מוצפנים כדי להבין שהותקפתם, אתם מסתכלים על הסוף. רוב האירועים הרציניים מתחילים הרבה קודם: דליפת זהויות. סיסמה, טוקן התחברות, או עוגיית דפדפן שיצאו החוצה דרך נוזקה גונבת מידע, ואז נמכרו למתווכי גישה. מכאן הדרך להונאת תשלומים, דלף מידע או כופרה היא לא תיאוריה, זו שגרה.

 

למה דליפת זהויות היא האיום הכי לא מוערך בארגון

בדוח DBIR של Verizon לשנת 2025 רואים שוב ושוב דפוס אחד: התוקפים משקיעים בגישה ראשונית, כי משם הכל נפתח. במחקר משלים של Verizon על מתקפות Credential stuffing מצוין ששימוש בפרטי התחברות שנחשפו היה וקטור גישה ראשוני בכ 22% מהפריצות שנבחנו. קראו את הסיכום ב מחקר Credential stuffing של Verizon. במקביל, דוח ההגנה הדיגיטלית של Microsoft לשנת 2025 מדגיש את הסקייל של זיהויי סיכון לזהויות ואת השילוב בין אוטומציה לבינה מלאכותית בהתקפות. המסקנה שלנו ב 010 חד משמעית: אם אין לכם שליטה בזהויות, אין לכם שליטה בסייבר.

 

שלושת השקרים שמנהלים אוהבים לספר לעצמם

שקר ראשון: החלפנו סיסמה אז זה נגמר

החלפת סיסמה סוגרת דלת אחת. היא לא מבטלת בהכרח התחברויות קיימות, לא מנקה הרשאות OAuth, ולא מחזירה אחורה כללים חשודים בתיבת דוא״ל. תוקף שנמצא בפנים כבר עובד על זמן, והוא בדרך כלל יעשה שקט: יגדיר העברת מיילים, יעקוב אחרי שרשור חשבוניות, ויחכה לרגע הנכון.

שקר שני: יש לנו אימות רב שלבי אז אנחנו מוגנים

אימות רב שלבי הוא חובה, אבל הוא לא קסם. היום יש מתקפות שמנסות לגרום לעובד לאשר בקשה שוב ושוב, יש גניבת טוקנים שמדלגת מעל הסיסמה, ויש שירותים ישנים שנשארו בלי אכיפה. תוסיפו לזה פישינג מתוחכם יותר, כפי שמציגים ב ההנחיות של מרכז הסייבר הלאומי הבריטי, ותקבלו מציאות שבה מי שלא בונה שכבות, פשוט נשבר.

שקר שלישי: נגלה בזמן

בלי לוגים, בלי קורלציה, ובלי מי שמסתכל על החריגות כל יום, אתם לא מגלים בזמן. אתם מגלים בדיעבד. לפעמים דרך ספק ששואל למה אתם שולחים תשלומים לחשבון חדש.

מה עושים בפועל: תוכנית פעולה שמורידה סיכון כבר החודש

זה מה שמוריד סיכון החודש.

  • בונים רדאר לדליפות זהויות. ברגע שמופיע אימייל ארגוני במאגרי פרטי התחברות דלופים, אתם צריכים לדעת על זה, לא לגלות אחרי חודש. כאן נכנס שירות מודיעין סייבר של 010 שמתריע מוקדם ומסמן מי נחשף ומה לסגור.
  • מקשים זהויות לפי חשיבות עסקית. חשבונות מנהלים, כספים, מערכות מידע וספקים חיצוניים צריכים מדיניות חזקה יותר. התחילו בהפרדת חשבון יומיומי מחשבון ניהולי, צמצום הרשאות, וביטול גישות שלא חייבות להיות קיימות.
  • סוגרים את החורים הישנים. כניסות ישנות, פרוטוקולים שלא דורשים אימות מתקדם, ותיבות שירות שנשכחו הם כרטיס כניסה. אם אתם לא יודעים מה פתוח, התחילו ב סקר סיכונים והוסיפו ניהול עדכוני אבטחה שוטפים שמצמצם פתחים מהר.
  • עוצרים מתקפות אוטומטיות על סיסמאות. Credential stuffing הוא תעשייה של הזרקה אוטומטית של זוגות משתמש וסיסמה שנגנבו. OWASP מסבירים את זה בצורה ברורה ב העמוד הרשמי על Credential stuffing. ההגנה היא שילוב של חסימות קצב, זיהוי בוטים, התראות, ונעילה חכמה.
  • מעלים נראות ברמת אבטחה ולא ברמת ניחוש. איסוף לוגים ממערכות ענן, חומת אש, עמדות קצה ודואר הוא הבסיס לגילוי. שירות SIEM ו SOC של 010 מאפשר לזהות אנומליות, לחקור, ולהגיב מהר לפני שהאירוע מתפשט.
  • מקשיחים את הדוא״ל כי שם נולדות ההונאות. גם כשהכניסה מתחילה בזהות, הכסף נגנב הרבה פעמים דרך דוא״ל. לכן אנחנו מחברים בין הקשחת זהויות לבין סינון דוא״ל ו הדרכות מודעות לעובדים.
  • בונים חבל הצלה אמיתי. כופרה בודקת רק דבר אחד: האם אתם יודעים לשחזר. זה בדיוק הרעיון של גיבוי והמשכיות עסקית עם בדיקות שחזור יזומות.
  • מונעים יציאה של מידע רגיש. גם אם תוקף נכנס, לא חייבים לתת לו לצאת עם מידע. כאן נכנסות מערכות מניעת דלף מידע שממסווגות וחוסמות תנועות חריגות.

המדד שמבדיל בין ארגון שנפגע לארגון שמתחזק

שאלו את עצמכם שאלה אחת, והיא לא טכנולוגית אלא תפעולית: כמה זמן לוקח לכם לבטל התחברויות פעילות, לאפס חשבון מועדף, ולפתוח חקירה על אירוע חשוד, מרגע שהתרעה מגיעה. אם התשובה היא שעות או ימים, אתם משחקים לפי הקצב של התוקפים. אם התשובה היא דקות, אתם מנהלים את הסיכון. ב 010 אנחנו הופכים את המדד הזה לשגרה, עם תרגול ובדיקות שחזור.

לקריאה נוספת באתר שלנו

המסקנה פשוטה: דליפת זהויות היא לא אירוע טכני קטן. היא סימן שמישהו כבר נגע במפתחות. מי שמתייחס לזה כאל אירוע סייבר מלא, ומחבר מודיעין, נראות, תגובה ושחזור, יגלה שדווקא פה אפשר לנצח.

דילוג לתוכן