משנה שניה:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...
מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.
במשנה הראשונה למדנו:
הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...
מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.
במשנה הראשונה למדנו:
הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.
אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.
אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.
אמרנו שהמקבילה לעולם אבטחת המידע הנה אחת לאחת:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע
וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע
וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:
כיצד הכי כדאי לי (לתוקף) לבצע את התקיפה.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.
ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:
מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.
ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:
מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.
חג חנוכה שמח לכל קוראי הבלוג.
יאיר
רשומות
