אבטחת מידע
נובמבר-דצמבר 3102
הביטחון
| 16
רוני בכר*
רקע
מנהל אבטחת המידע יעיל ומקצועי
בארגון הינו בעל תפקיד, שצריך להכיר
בראש ובראשונה את כלל האיומים
והסיכונים, עימם צריך ארגונו להתמודד
והיודע להכין וליישם תוכנית הגנה עדכנית
ומערכתית המסוגלת להתמודד עם איומים
וסיכונים דינמיים אלה.
איומים וסיכונים אלה משתנים חדשות לבקרים כפועל יוצא
מהשינויים בזרימת המידע, בתשתיות המחשוב והתקשורת וההטמעה
הדינאמית של כלי תוכנה וחומרה חדשים בזירת המחשוב הארגוני.
מנהל אבטחת המידע הארגוני חייב על־מנת שיהא יכול להכיר
את האיומים והסיכונים האלה ולהתמודד עימם היטב וביעילות,
לשים עצמו בנעליהם של תוקפי הארגון
הפוטנציאליים מתוך הארגון ומחוצה
לו ולצאת מתוך נקודת המוצא של מי
שמתכנן לתקוף את ארגונו, על־פי מגוון
תרחישי תקיפה אפשריים, הצריכים
להוות פועל יוצא של איומי הייחוס
הרלוונטיים לארגון. ביצוע סימולציות
תקיפה יכול להוות כלי־עזר מן המדרגה
הראשונה, שיאפשר למנהל אבטחת
המידע לבחון הלכה למעשה ומנקודת
מבטם של התוקפים הפוטנציאליים
את מצב אבטחת המידע בארגונו מחד־
גיסא ולייצר תוכנית הגנה אפקטיבית
ומתועדפת להתמודדות עם האיומים
והסיכונים הרלוונטיים לארגון מאידך
גיסא.
רוב הארגונים, שאינם מונחים על־
ידי רגולציות מחייבות, אינם מתרגלים
ממילא פעילויות תקיפה מבוקרות על
מערכות המחשוב שלהם, כולל שימוש
בטכניקות תקיפה ככלי עזר להערכות
אבטחתית נכונה ואפקטיבית יותר ובכך יוצאים פגיעים וחשופים
לתוקפים שונים באשר הם.
חשוב בהקשר לכך לזכור שני עניינים בסיסיים:
תקיפת מערכות המחשוב בארגון יכולה להתבצע, הן מרשתות
חיצוניות והן מרשתות פנימיות. בחלק גדול מהארגונים לא מייחסים
חשיבות לתקיפות פוטנציאליות פנימיות משום שיוצאים מנקודת
הנחה מוטעית לחלוטין, כאילו ניתן לכאורה לסמוך על עובדי הארגון,
טעות שארגונים רבים משלמים ועלולים לשלם עליה ביוקר.
איום הייחוס ועמו תרחישי התקיפה הארגוניים הינם דינאמיים
וחייבים להתבצע בפרקי זמן רלוונטיים, שכן הם מהווים פועל־יוצא
של השינויים הארגוניים בכלל ושינויי תצורת התקשוב וזרימת
המידע בפרט.
טכניקת הביצוע המועדפת - גורם אנושי או מכונה?
השימוש בתוכנות סימולציית תקיפה העומדות בפני עצמן, ללא
מעורבותו במקביל של גורם אנושי מקצועי, אינו מהווה תחליף
לסימולציית תקיפה משולבת ואפקטיבית, לוקה בחסר ונותן מענה
חלקי בלבד למניעת התרחשות האיום.
ההבדל העיקרי בין השניים נעוץ בעובדה, שתוקף אנושי יכול
להתאים עצמו להתנהגותה של מערכת המחשוב המותקפת ועימה
להגנות ולבקרות המיושמות בה, בעוד שמכונה יודעת לבצע סט של
הגדרות ופקודות שתוכנתו בה מראש ואינה יודעת לחרוג מהן משעה
שתידרש לכך כפועל יוצא משינוי יזום או מקרי בהתנהגותה של
מערכת המחשוב המותקפת. במילים אחרות, המכונה התוקפת לבדה
איננה מספיק אינטליגנטית לשנות את דפוסי התנהגותה על־פי הצורך
ובמצבים, בהם היא עשוייה להידרש לכך. בהתאם לכך תהא גם התוצאה.
במקרה שכזה תדווח המכונה על כישלון בתקיפה, כלומר, "תחליט"
שהארגון מוגן לכאורה כנדרש, תוצאה שגוייה מיסודה שתכניס את
הארגון לשאננות ובכך תעצים ותרחיב את האיומים הקיימים עליו.
סימולציות תקיפה ככלי לבחינת
ההגנה על מערכות המידע בארגון
*הכותב הינו ראש תחום תקיפה וסייבר ב"אבנת, אבטחת מערכות מידע וסייבר"