כתבה שהתפרסמה במגזין דה-מרקר עוררה בי דיון ישן אודות התועלות האמיתיות של בחינות חוסן (הכתבה היא ראיון עם מנהלי חברת hacktics וניתן לקרוא אותה באתר שלהם). אם יש תחום סקסי באבטחת מידע זה תחום בחינות החוסן (או בחינות החדירה, או ההאקינג, או כל כינוי אחר שתרצו). מי מגלם בצורה הטובה ביותר את איש אבטחת המידע האופטימלי אם לא איש החוסן - בעל כישורים מגוונים, יכולות טכנולוגיות רבות, חשיבה קרימינלית ובנוסף לכל הוא גם זה שמוכיח על אמת את הבעיות של המערכת. אלא שתחום החוסן מטעה משני טעמים, אחד הסטורי ואחד אמיתי. מבחינה הסטורית, תחום החוסן נבנה על אנשים שבאמת אהבו לפרוץ למערכות, כאלה שבאמת גילמו בתוכם את אותם קווי האופי שאנו מחפשים בהאקר מהסרטים. עם השנים, ככל שהתחום מתפתח ומתבגר, הולך ופוחת מספרם היחסי של ה"האקרים הטבעיים" ביחס לביקוש. התוצאה היא שחברות אבטחה מכשירות האקרים, אך תהליך הכשרה זה תמיד יהיה פחות טוב מאותו בית גידול טבעי של האקר שלומד ומתחרה בהאקרים בעולם האמיתי. יש גם יתרון לתהליך מעין זה. ככל שיתפתח הוא יהפוך למתודולוגי יותר ושיטתי יותר ובכך יביא תועלת רבה יותר לארגונים. מאידך, הניצוץ ייעלם. כך שההאקרים הפועלים כיום בחברות אבטחה נהיים יותר ויותר אנשי מקצוע ופחות ופחות פריקים לדבר.
בכלל, אני חושב שאיש אבטחת מידע טוב (כלומר, באמת טוב) צריך שילוב תכונות, יכולות וידע שיחסית קשה למצוא, בלי קשר לתחום ההתמחות שלו באבטחת מידע.
אך זה רק היבט אחד ואף לא חשוב במיוחד. ההיבט היותר מהותי הוא יכולות בחינת החוסן ככזו. אתחיל בדוגמא - לפני כחודש בדקתי מערכת פיננסית עבור לקוח. אודה ואתוודה שהבנתי בשורות קוד נמוכה עד לא קיימת ובקושי אני מצליח להתקין Kubuntu (עדיין יש לי פסים מוזרים בחלוניות בחירה). ובכל זאת, נתקלתי במערכת בליקוי אבטחתי מהותי (למעשה, הכי מהותי במערכת), אך כזה שבחינת חוסן לא הייתה מגלה. זאת כיוון שבמערכת קיימת אפשרות, במסגרת הפרמטרים הקיימים לרשות מפעיל המערכת, לבחור באפשרות שהמשמעות שלה נזק כספי משמעותי. בזמן הבדיקה אפשרות זו לא הייתה מופעלת, אך זה כמובן לא מבטיח שלא יעשו בה שימוש בעתיד. בנוסף, יש לזכור כי בחינת חוסן מבוצעת לאחר שהקוד נכתב והמערכת הוקמה. אלא שיישום פתרונות אבטחת מידע אפקטיבי יותר וזול יותר בשלבי התכנון והפיתוח. עיקר העבודה בתחום אבטחת המידע אמורה לעשות בשלבי ההקמה ולא לאחר שהמערכת הוקמה. זאת למרות שארגונים רבים מעדיפים כי יבדקו את המערכות שלהם רק לאחר בנייתן. תכנון אבטחה במערכות הוא תהליך מאוד מורכב, מורכב יותר מהניסיון לפרוץ אותה. למעשה, ניתן לטעון כי בחינת החוסן היא חוכמה שבדיעבד (בלי להפחית מחשיבותה ומורכבותה) כיוון שהמתכנן צריך להתמודד עם כל סוג מתקפה אפשרי בעוד שהפורץ צריך לאתר רק פרצה אחת.
בפועל, בחינת חוסן שאיתרה ליקויים מספרת לנו על ליקויים קיימים. אך בחינת חוסן שלא איתרה ליקויים אינה מבטיחה מערכת מאובטחת. המערכת עלולה להיות תלויה על בלימה, כאשר שינוי קטן בתצורת המערכת עלול לחשוף אותה לבעיות מהותיות. אך כל עוד לא קרה השינוי, מבחינת בחינת החוסן המערכת מאובטחת. כמובן שבחינה מקיפה יותר של המערכת, על הארכיטקטורה שלה, מבנה היישום והשרתים עשוי לחשוף ליקויים שאולי לא ניתן לנצלם לרעה ברגע זה, אך הם מספיק מהותיים כדי שיושקע בתיקונם. בסופו של דבר בחינת החוסן מספרת לנו על רמת האבטחה הקיימת בשני אילוצים - בנקודת הזמן הנוכחית ובכמות משאבים שתוקף מוכן להשקיע (זו למעשה סימולציית הפריצה). אין קשר ישיר בהכרח לרמת האבטחה ה"אובייקטיבית" (בהנחה שניתן לאתר ולמדוד רמה כזו).
היופי של בחינת החוסן בהצבעה על כשלים ברורים ווודאיים, אך זה גם חסרונה. קל לעתים למנהלי אבטחת מידע להצמד לדברים הברורים, ממש כמו שקל להם להשקיע בכרטיס חכם. אלו דברים שרואים בעיניים וקל לכאורה להצדיקם. אך האם זו הבעיה המרכזית העומדת בפני הארגון? לא תמיד. פעמים רבות אלו הדברים הסמויים מהעין, שמורכב להסבירם ולהצדיקם, אשר יפגעו בארגון בעוצמה. לעתים, ההצמדות רק לפרצות שמאותרות בבחינות חוסן יוצר תחושת שווא של רמת אבטחה גבוהה.
מתי ואיך כדאי להשתמש בבחינות חוסן:
- במשולב עם בחינה מקיפה יותר, כתמונת ראי שלה.
- כתהליך בקרה תקופתי על מערכת לגביה בוצע סקר מקיף.
- על מנת לבחון תרחישי אמת ולהבין את הפער בין הבעיות העקרוניות לרמת הניצול בפועל.
- כתחליף זול (אך נחות) לבחינה מקיפה יותר, כאשר קיימים אילוצי תקציב.
- כאמצעי שיווקי של מנהל אבטחת המידע בתוך הארגון.
בבלוג זה
בכל הבלוגים
