יאיר רודיאקוב*
המשפט, "המגן צריך להגן על הכל בעוד
הפורץ צריך לאתר רק נקודת חולשה אחת",
הפך ברבות השנים לתירוץ האולטימטיבי,
מדוע המגן נמצא בנחיתות מובנית וייכשל
תמיד, כאשר אנו מדברים על עולם ה"סייבר"
.)"
CYBER
"(
המאמר מנסה לקרוא תגר על נכונות
האימרה ולטעון שבמשפט הקצר והפשוט טמון למעשה היעדר הבנה
בסיסית באשר לעולם ה"סייבר".
בואו נפרק את המשפט לשני חלקיו:
: המגן צריך להגן על הכל. אמירה נכונה, אך
המגן
עדיין איננה אומרת דבר על שיטת ההגנה.
: הפורץ צריך למצוא רק נקודת חולשה אחת.
הפורץ
צריך
מה זה אומר בדיוק? כתוב בצורה ברורה שהפורץ "
...". מה זה צריך למצוא? מבחינה מקצועית
למצוא
המשמעות היא, שהפורץ מבצע פעילות מגוונת על-
מנת לאתר את נקודת החולשה, לפני שהוא מבצע את
התקיפה עצמה.
הבה נתחיל מאיתור נקודות חולשה בעולם האמיתי.
דוגמאות: 1. שליחת סיורים לבחון, האם יש פרצות
בגדר המתקן? 2. ניסיונות לחתוך את הגדר תוך קיום
תצפית ובחינת תגובת המתקן על ביצוע החיתוך בגדר,
3. ניסיונות לעבוד על השומר בכניסה תוך שימוש
בתעודות כניסה מזוייפות או פגות תוקף ועוד מגוון
שלם של פעילויות מסוגים שונים ובמישורי פעילות
שונים.
ומה עושה המגן בעוד הפורץ מנסה לאתר את נקודת החולשה?
יושב לו בשקט ונותן לפורץ מרחב פעולה חופשי עד שימצא את נקודת
התורפה? לחלוטין לא. חלק ממנגנוני ההגנה, מטרתם לאתר את
ניסיונות הפורץ לחפש את נקודות התורפה עוד לפני שהפורץ עושה
בהן שימוש על מנת לממש את כוונותיו. לדוגמה: 1. יוצר "שטח נקי"
בסביבת גדר המתקן ומפעיל מערך תצפיות הכולל אמצעי ראית יום-
לילה המאפשר גילוי מוקדם של תנועה חשודה בסביבת גדר המתקן.
2. מפעיל מערך סיורים ומכין יכולת תגובה מהירה על קבלת התראה
על נגיעה בגדר או חיתוכה. 3. הפעלת מערך הדרכה ותרגול לשומרים
על-מנת שיאתרו ניסיונות שימוש בתעודות מזוייפות או פגות תוקף
ולחילופין, שידרוג מערך בקרת הכניסה תוך שימוש בעזרי זיהוי
טכנולוגיים מתקדמים. ואלו רק מקצת הדוגמאות שמטרתן להמחיש כי
המגן, בנוסף על פעילויות ההגנה עצמן, נוקט במגוון שיטות על-מנת
להוות יריב שקול לתוקף, בעת שזה האחרון מנסה למצוא את נקודת
התורפה האחת. כל זה נכון בעולם הפיסי ומדוע? כיוון שהפרקטיקה
של הביטחון הפיסי (בוודאי כאשר מדובר במוסד ביטחוני, אך גם
כאשר מדובר בארגון אזרחי), שהתפתחה במשך מאות השנים קבעה,
כי ישיבה בשקט כברווז במטווח איננה מענה מקצועי נאות.
כעת הבה נעבור לעולם ה"סייבר". מה המשמעות של "פצחן"
("האקר", כך מכונה הפורץ בעולם ה"סייבר") המחפש נקודת תורפה?
, היינו, חיפוש ה"שערים",
port
scanning
כמה דוגמאות: 1. ביצוע
שבהם הארגון משתמש באינטראקציה תקשורתית עם העולם החיצוני.
) ברכיבי התשתית/תוכנות
vulnerabilities
2. חיפוש פגיעויות (
התשתית המותקנות בארגון. 3. חיבור רכיב, שאיננו בבעלות הארגון
לרשת הארגון (כדוגמת מחשב נייד, או שתילת רכיב חומרה/תוכנה,
שמאפשר ביצוע האזנה לרשת התקשורת הארגונית או שמתעד את
ההקלדות בתחנת העבודה) ובחינת תגובת הארגון (אם הארגון בכלל
מגיב טכנולוגית/תהליכית, ואם כן, כיצד?). 4. איתור ניסיונות לגייס
את המחשב שלי כ"חייל בצבא האוייב" (על-ידי שתילת קוד זדוני
במחשב אשר יופעל "ביום פקודה" באמצעות "רמטכ"ל צבא האוייב")
ויש עוד עשרות רבות של דוגמאות.
מה אמור המגן לעשות? כמובן, בדומה לפעילותו בעולם האמיתי,
עליו ליצור כחלק ממערך ההגנה, מערך איתור ותגובה אשר יאתר את
ניסיונות ה"פצחן" (ה"האקר") לחפש את נקודות התורפה עוד לפני
המגן צריך להגן על הכל בעוד
הפורץ צריך לאתר רק נקודת
חולשה אחת. האומנם?
*הכותב הינו מתודולוג ומידען בתחום אבטחת מידע ומנהל תחום תקינה ומתודולוגיה ב"אבנת אבטחת מידע וניהול סיכונים"
עולם ה"סייבר"
יולי-אוגוסט 3102
הביטחון
| 26