משבר הקורונה דוחף (אפילו מחייב) את הציבור לצרוך שירותים מרחוק ואת נותני השירות לענות על הדרישות הגואות תוך פיתוח מואץ של טכנולוגיות ואפליקציות דיגיטליות מותאמות. הדור הבא של “הכל מרחוק” אינו תחום רק להזמנות מרשתות השיווק ומהרשתות הקמעונאיות, אלא גולש גם לתחומי שירות נוספים דוגמת שירותי בנקאות, ביטוח, ייעוץ משפטי ואפילו שירותי בריאות. אולם, עם ההתקדמות המטאורית במתן השירות מרחוק, עולים אתגרי אבטחת מידע לא פשוטים, שמחייבים את ספקי השירות לחשב מסלול מחדש על מנת להמשיך להגן על מידע אישי של לקוחותיהם ועל פרטיותם.
שינויים בהרגלי ההגנה
עוד לפני בוא משבר הקורונה ניתנו שירותים רבים מרחוק, אך רובם היו עדיין “פשוטים” יחסית, החל מפתיחת חשבון לקוח, דרך תמיכה בהזמנת טיסה ומלון ועד הסבר על הפעלת מכשיר אלקטרוני. לשירותים הללו יש פתרונות טובים מאוד לתמיכה מרחוק, דוגמת צ’טבוטים חזקים, שיודעים להשיב על שאלות טכניות. הפתרונות הללו כה בסיסיים עד שלא חייבו זיהוי ודאי של המשתמש, בוודאי לא ברמה גבוהה, שכן לספק וללקוח לא נגרמו נזקים כבדים אם הסבר על הפעלת מכונת הכביסה ניתן לאבי כהן במקום לג’ורג’ וושינגטון.
יחד עם זאת, עם ההתקדמות במורכבות השירותים הניתנים מרחוק, ומיוחד כאשר השירות המסופק הוא בנושא רפואי, משפטי, או מסחרי, שיכול להיות תחת רגולציה מחמירה, הנושא הופך מאתגר יותר בהיבטי אבטחת המידע. כאשר ספק נותן שירות מורכב, שיכול לחשוף מידע ופרטים אישיים או עסקיים של המשתמש, אבטחת המידע חייבת להיות הדוקה. בתוך כך גם תהליך הזדהות הלקוח חייבת להיות חזקה וודאית.
נדבך חשוב באבטחת המידע הוא היכולת לזהות תעבורה לגיטימית לעומת תעבורה זדונית. ניתן לבצע זאת בין היתר על ידי זיהוי המיקום הגיאוגרפי ממנו נכנס אדם למערכת. לדוגמה, אם נראה שאדם נכנס למערכת ואחרי 10 דקות מנסה להיכנס שוב ממקום רחוק במידה ניכרת מהנקודה הראשונה, נוכל להקיש שככל הנראה גורם זדוני מנסה לבצע הונאה.
הפרידו את החבר’ה הרעים מהחבר’ה הטובים
נפח הולך וגדל של תנועת אינטרנט מוסווה דרך שרתי Proxy. לדוגמה, גולשים שמעדיפים להישאר אנונימיים, משתמשים לעתים קרובות ב-Proxy, שמאפשר להסתיר את כתובת ה- IP שלהם משאר העולם. על ידי חיבור לאינטרנט דרך Proxy, כתובת ה- IP של המכשיר לא מוצגת אלא ה- IP של שרת ה- Proxy. בין אם השימוש ב- proxy נעשה בכוונה ובין אם לא בכוונה, הוא עלול לפגוע באופן משמעותי ביוזמות של החברה און-ליין.
הזמינות הנרחבת להפניית IP (IP-redirect) בעלות נמוכה, העוברת דרך מתקני אירוח מבוזרים גיאוגרפית, גרמה להתפשטות של שרתי Proxy אלה כוללים anonymizers, VPNs שירותי Tor ועוד.
פושעי הסייבר מצאו שהשימוש ב- Proxy יעיל. עם זאת, חשוב לזכור שלא לכל שרתי ה- Proxy יש כוונה זדונית. רשתות VPN נמצאות בשימוש נרחב על ידי משתמשים לגיטימיים למטרות מגוונות ומהוות בחירה פופולרית לשיפור האבטחה והפרטיות. נתונים עדכניים מצביעים שכ- 26% מהמשתמשים און-ליין בעולם נעזרים ב- VPN או בשרת Proxy למטרת גישה לאינטרנט.
כתוצאה מכך, עצירת כל משתמשי ה- VPN אינה מעשית, שכן ניתן לטעות ולחשוב שלקוחות או עובדים אמיתיים מתויגים בטעות כנוכלים. אם זה לא מספיק, שיטה זו לא מצליחה לגלות את המקור של פשעי האינטרנט. על מנת להפחית סיכונים ולהגן על משתמשים אמיתיים, חברות צריכות למצוא את האמצעים להפרדת החבר’ה הרעים מהחבר’ה הטובים – ואחד הכלים להשגת מטרה זו הוא שילוב נתוני VPN ו- Proxy מבוססי IP בפלטפורמות והטכנולוגיות של הארגון.
דיוק נתונים הפך חיוני למאבק בפשעי סייבר
כאמור, על ידי חיבור לאינטרנט באמצעות שרת Proxy, כתובת ה- IP של מכשיר הפושע לא תוצג במדויק, אלא ה- IP של שרת ה- Proxy. היכולת לזהות אם משתמש מחובר באמצעות Proxy ובאיזה סוג של Proxy הוא משתמש, מאפשרת לארגונים לזהות פעילויות החשודות כפליליות ולקבוע פרוטוקולים שונים לטיפול ב- “non-human traffic” (תעבורה לא אנושית).
הבנת סוג ה- Proxy שאורח מתחבר אליו באינטרנט, בין אם מסוג אנונימי, שקוף, ארגוני, ציבורי, חינוכי או AOL, יכולה להעלות התרעות לגבי הונאות. לדוגמה, Proxy אנונימי יכול לקבל ציון גבוה המעיד על הונאה – יותר מ- Proxy של תאגיד. על ידי זיהוי קשרים שמטשטשים את מיקום משתמש הקצה או כאלה שמבקשים להציג חיבור מעיר או מדינה “מקובלות” ניתן לזהות ולקטלג בקלות סיכונים גדולים יותר.
כמובן שההצלחה תלויה באיכות הנתונים. אמינות המידע יכולה להשתנות משמעותית בין מקורות הנתונים השונים. חשוב לציין שספקי נתוני ה- Proxy המדויקים ביותר לא רק מבטיחים כי המידע מתעדכן כל העת, על בסיס יומי, אלא שהמידע מגיע ממקורות מצוינים.
היתרון של נתונים מבוססי IP אחרים
היקף הניתוח של פעילות סייבר פלילית גולש הרבה מעבר לתחום שרתי ה- Proxy. בתחילה הוא עשוי לכלול הערכה של סוג החיבור. לדוגמה, מרכז אירוח (hosting) יכול לשמש ככלי לתנועה ולא כמקור שלה. ניתן לבחון תנועה שמקורה ממרכז הארוח מול רשומות קיימות, כמו מידע המאוחסן במסד נתונים של ניהול קשרי לקוחות (CRM). הדבר נכון גם לשרתי Proxy, VPN ו- queue. על ידי הערכת סוג ה- Proxy בשימוש כנגד נתוני ה- Proxy האיכותיים ביותר, חברות יכולות להתחיל להבחין בין VPN אמין, למנגנון שמתאים יותר לפעילות חשודה.
מעבר לתכונות החיבור, מיקום גיאוגרפי של IP מאפשר לחברות לבצע השוואה. לדוגמה, בתחום הקמעונאות, אפשר ליישם כללים חכמים שבהם מיקום ה- IP נבדק אוטומטית כאשר יש כניסות ממיקומים המוגדרים כסיכון גבוה. לחלופין, חברות יכולות לאבטח רשתות פנימיות על ידי מעקב אחר דפוסי מהירות וזיהוי מגמות חשודות, כמו אנשים שקופצים בין מיקומים במהירות לא הגיונית או בסדר לא הגיוני.
לאחר ניתוח, חברות יכולות לבחור בדרך הפעולה המועדפת עליהן. ניתן לסמן כל פעילות חשודה המהווה איום נמוך בתגובה הדורשת אימות, למשל שליחת דואר אלקטרוני או SMS המאפשרת למשתמש לאשר את זהותם. בינתיים, ניתן לחסום מידית איומים רציניים למניעת נזק. לצד צמצום התרעות חיוביות שגויות, גישה זו מראה לצרכנים כי חברות מחויבות למניעת פשיעה ברשת.
על מנת לשגשג בעולם הדיגיטלי, חברות צריכות להצטייד בכלים המזהים נוכלים ופושעי סייבר כדי “להפשיט” אותם מהאנונימיות שלהם, מבלי לסכן משתמשים אמתיים. משימה, שיכולה להתבצע בצורה יעילה באמצעות נתוני Proxy ומודיעין IP איכותי.
תמונת כותרת: אילן סגלמן, מנהל פיתוח עסקי ב- Digital Element ישראל
