החטא הקדמון בתפיסת אבטחת המידע

כתבו: משה אהרון, מהנדס מכירות אבטחה ב-NessPRO, קבוצת מוצרי התוכנה של נס, ונימרוד לוי, CTO ומייסד במשותף של Scorpiones – שירותי ייעוץ ומחקר אבטחת מידע.

ארגונים רבים משקיעים בסביבות ה-IT ואבטחת המידע שלהם סכומי עתק, ומשתמשים בשיטות וגישות שונות על מנת לבחון את נקודות החולשה שלהן. השיטות הנפוצות כוללות החל משימוש בכלים בסיסיים לסריקת חולשות ועד לביצוע בדיקות חדירה. שיטות אלה מספקות ידע על נקודות חולשה ממוקדות, תוך עבודה על פי המתודולוגיה המקובלת, אוטומציה של הבדיקות וידע מקדים.

למרות תהליכי בדיקה אלה, חברות רבות סובלות ממקרי פריצה. דוגמה טובה לכך היא אירוע שקרה באובר (Uber). בנובמבר האחרון החלו להתפרסם במדיה כתבות אודות אירוע אבטחת מידע חמור בחברה. אובר מקנה למפתחיה גישה לסביבת פיתוח מסוג Git על מנת לנהל גרסאות קוד באופן מבוזר, עוקב ומסודר.

פלטפורמת Git מאפשרת למפתחים לעבוד כצוות על מספר פרויקטים בו זמנית, תוך צפייה בעדכון שינויים וניהול גרסאות באופן חכם, הכולל רישום של שינויים היסטוריים. מדובר בכלי פופולרי מאוד בקרב מפתחים.

על פי הדיווחים, האקרים השיגו את מפתחות ה-Git של מפתחי אובר, שמקנים גישה מורשית לסביבת הפיתוח וניהול הגרסאות הפרטית שלה. באמצעות שימוש במפתחות אלה, ההאקרים קיבלו גישה לסביבת הענן של החברה באמזון (Amazon) ודרכה גנבו פרטים של 57 מיליון משתמשים ו-600 אלף נהגים. בכירים בחברה ניסו לכאורה לשלם לפורצים סכומים נכבדים כדי למנוע את דליפת המידע. לפי הפרסומים, הבכירים המעורבים פוטרו עקב התנהלותם הלקויה.

אף על פי שאובר ביצעה בדיקות אבטחת מידע מבוקרות ואף עודדה תכנית Bug Bounty, המתגמלת בפרסים כספיים על מנת לתקן את בעיות האבטחה שנמצאו, החברה נפרצה והנזק נעשה.

מהאירוע באובר אנו לומדים שיש צורך במתודות חדשניות ואפקטיביות יותר. לרוב, כאשר מתבצע מבדק חדירה, החברה הנבדקת יחד עם צוות הבודקים קובעים מרחב בדיקה (Scope) – כלומר, מגדירים אילו ממשקים או רשתות נבדקים ונצמדים למרחב שהוגדר מראש.

שימוש בשיטות התוקפים לחיסון והקשחת הארגון

במצב הנתון כיום, ארגונים צריכים לשנות את החשיבה המסורתית. על ידי שימוש בשירותי האבטחה ההתקפית (Offensive Security) השונים, הארגון מקבל הכוונה היכן נקודות החולשה הקריטיות שלו ואיפה דרושים התייעלות ומיקוד משאבים לתיקון החולשות והפערים.

בהתייחס לתוצאות המקרה באובר, שירות אבטחה התקפית מסוג Red Team (צוות אדום) היה יכול לתת מענה לאתגר זה על ידי בדיקה רחבה יותר של כלל שירותי החברה. חלק מפעילות הצוות היא סריקת האינטרנט למודיעין ממקורות גלויים (OSINT), שבמקרים רבים מסייעת בהשגת מידע המאוחסן בשירותי ענן ציבוריים המשמשים את עובדי החברה. פעילות זו אינה מגבילה את תחום ושיטות הבדיקה, להבדיל מהמתודות הנפוצות כיום, ולכן יש סיכוי גבוה יותר למצוא באמצעותה פרצות אבטחה בנכסי וברשת החברה.

הצוות משתמש ביכולותיו הרבות כדי לבצע מניפולציות מגוונות על עובדי הארגון וכלל התשתית הארגונית, החל מלוחמה פסיכולוגית ועד לחדירה ממשית לחברה – לעתים אף בתור עובד מגויס. פעילות הצוות היא חשאית וחשופה לפורום מצומצם מאוד של בכירי הארגון (כגון המנכ"ל), והצוות משתמש בכל המשאבים שלרשותו כדי להשיג את המטרות במסגרת החוק.

מספר רעיונות נוספים הממחישים חשיבה התקפית:
• חיזוק הגורם האנושי – על פי NIST (המאמר Shifting the Human Factors Paradigm in Cybersecurity), ב-90% מאירועי הסייבר קיימת מעורבות אנושית. שימוש בטכניקות הנדסה חברתית מאמן את עובדי הארגון בהיבטי אבטחת מידע, תוך שימוש בפסיכולוגיה וחולשות אנושיות.
• תועלת: הנדסה חברתית מובילה למודעות גבוהה יותר לסיכונים, תוך עידוד העובדים לשימוש בחשיבה עצמאית, המסייעת במניעת אירועי אבטחת מידע עתידיים.
• חיזוק התשתית הארגונית – על פי דו"ח אתר Securelist לרבעון הראשון של 2018, השימוש בתקיפות מניעת שירות מבוזרות (DDoS) נמצא בעלייה מתמדת. תקיפות אלה משבשות את פעילותו השוטפת של הארגון ומובילות במקרים רבים להפסדים כספיים כבדים.
• תועלת: בדיקת מוכנות ועמידות הארגון לתקיפות אלה מסייעת בשיפור מערך ההגנה והתגובה במקרי אמת.
• חיזוק דוקטרינת ההגנה – כיום, סביבות ארגוניות הינן מסובכות ומסועפות, החל מהרמה הרשתית ועד לרמה האפליקטיבית, כשלעתים קרובות הסביבות נבנות ומתפתחות בדגש על אופרציה ולא על אבטחה.
• תועלת: ארכיטקטורה מאובטחת ממזערת חשיפה לאיומי אבטחת מידע כבר ברמת הארכיטקטורה הארגונית ומצמצמת עד סוגרת פערים רבים.

ההגנה הכי טובה היא התקפה

לסיכום, לנוכח ההתפתחות הטכנולוגית, ניתן להבין כי כל חיבור המתבצע לסביבת העבודה הארגונית ללא בדיקה מעמיקה עלול לייצר מתווה תקיפה חדש. חשיבה התקפית מבטיחה תוצאות טובות יותר וחוסכת לארגון נזק תדמיתי וכספי על ידי מינוף שיטות ומשאבי התוקפים לטובת ההגנה.