לאן פניה של אבטחת המידע?
כל תחילת שנה אותן הכותרות: יותר מודעות, יותר מנהלי אבטחת מידע, יותר כלי אבטחת מידע, יותר מהכל. כן, גם יותר פריצות, יותר איומים, יותר צרות. האם זה הגיוני, או שמשהו מאד, אבל מאד לא מתאים פה.
אבטחת מידע אמיתית נמצאת ככל הנראה במקום אחר:
1. אבטחה משולבת בתהליך פיתוח המוצר.
2. אבטחה המשלבת את גישת התוקף באופן אינטגראלי בתהליך, לאורך כל מחזור החיים.
שני אלו אינם מבוצעים הלכה למעשה וזהו לצערי סוף המחזה...
(1) לא מבוצע כיוון שגם היצרנים וגם הלקוחות אינם מעוניינים בשלב זה. שני סקרים שהתפרסמו בשנים 2005-2007 הצביעו על כך. באחד נבדקה רמת ירידת ערך המניה של חברות תוכנה יום לאחר פרסום vulnerability עם Patch. הסתבר שהמניה אומנם יורדת, אך לא מספיק. בתגובה לסקר זה אמר מי שהיה אז סגן נשיא אורקל לפיתוח: Time to market is more important than security
סקר דומה שנערך לגבי דעתם של הלקוחות (של מוצרי טכנולוגיית המידע) שנה ויותר לאחר מכן, הצביע על מגמה דומה. רק באם הכיס "יחטוף" מנה יותר רצינית (בדומה למה שחטפה מיקורוספט לאחר code red ו-Nimda, כאשר גרטנר יצאה בהמלצה לנטוש את IIS ולעבור ל-iPlanet ו-Apache... בחודש ספטמבר 2001), נראה שינוי בכיוון זה.
(2) לא מבוצע כי קיים קבעון מחשבתי מוחלט בין המגינים שרואים את תהליך ההגנה כמתחיל בנקודה מסויימת ומסתיים היכן שהרגולציה/חוק/BEST PARCTICE מסתיים. כל הקיימים והמוכרים היום בשוק האזרחי (הוראה 357, הוראה 257, PCI ,GLBA כל דבר) בנוי בדיוק בשיטה של מכאן ועד לנקודת הסיום. מה פסול בשיטה זו? התוקף מחוץ לתמונה בכל תהליך בניית תוכנית ההגנה. אבסורד מוחלט. מפניו מגינים, אבל את אופן התקיפה וצורת החשיבה שלו משאירים לסוף (אם בכלל). בסוף, זה מאוחר לשנות משהו ממשי בכל מערך ההגנה.
ואז מה עושה הפורץ? קורא וצוחק צחוק ענק. כי נקודת ההתחלה שלו, היא נקודת הסיום של עבודת המגן. על כן "כאילו" כל ההגנה שקופה. דומה לסוגי תקיפת Social Engineering, גם הם הופכים את ההגנה לשקופה...
האמריקנים עלו על הבעיה ומנסים לעשות משהו בנושא בשנה הקרובה. השאלה כמה זמן ייקח לסובב תעשייה שלמה לכיוון הנכון...
1. אבטחה משולבת בתהליך פיתוח המוצר.
2. אבטחה המשלבת את גישת התוקף באופן אינטגראלי בתהליך, לאורך כל מחזור החיים.
שני אלו אינם מבוצעים הלכה למעשה וזהו לצערי סוף המחזה...
(1) לא מבוצע כיוון שגם היצרנים וגם הלקוחות אינם מעוניינים בשלב זה. שני סקרים שהתפרסמו בשנים 2005-2007 הצביעו על כך. באחד נבדקה רמת ירידת ערך המניה של חברות תוכנה יום לאחר פרסום vulnerability עם Patch. הסתבר שהמניה אומנם יורדת, אך לא מספיק. בתגובה לסקר זה אמר מי שהיה אז סגן נשיא אורקל לפיתוח: Time to market is more important than security
סקר דומה שנערך לגבי דעתם של הלקוחות (של מוצרי טכנולוגיית המידע) שנה ויותר לאחר מכן, הצביע על מגמה דומה. רק באם הכיס "יחטוף" מנה יותר רצינית (בדומה למה שחטפה מיקורוספט לאחר code red ו-Nimda, כאשר גרטנר יצאה בהמלצה לנטוש את IIS ולעבור ל-iPlanet ו-Apache... בחודש ספטמבר 2001), נראה שינוי בכיוון זה.
(2) לא מבוצע כי קיים קבעון מחשבתי מוחלט בין המגינים שרואים את תהליך ההגנה כמתחיל בנקודה מסויימת ומסתיים היכן שהרגולציה/חוק/BEST PARCTICE מסתיים. כל הקיימים והמוכרים היום בשוק האזרחי (הוראה 357, הוראה 257, PCI ,GLBA כל דבר) בנוי בדיוק בשיטה של מכאן ועד לנקודת הסיום. מה פסול בשיטה זו? התוקף מחוץ לתמונה בכל תהליך בניית תוכנית ההגנה. אבסורד מוחלט. מפניו מגינים, אבל את אופן התקיפה וצורת החשיבה שלו משאירים לסוף (אם בכלל). בסוף, זה מאוחר לשנות משהו ממשי בכל מערך ההגנה.
ואז מה עושה הפורץ? קורא וצוחק צחוק ענק. כי נקודת ההתחלה שלו, היא נקודת הסיום של עבודת המגן. על כן "כאילו" כל ההגנה שקופה. דומה לסוגי תקיפת Social Engineering, גם הם הופכים את ההגנה לשקופה...
האמריקנים עלו על הבעיה ומנסים לעשות משהו בנושא בשנה הקרובה. השאלה כמה זמן ייקח לסובב תעשייה שלמה לכיוון הנכון...
בנתיים, עושים מה שאפשר לעשות עם האמצעים הקיימים. זה יותר מאשר לא לעשות כלום, אבל זה לא ממש לייצר אבטחה אמיתית.
ולמרות האמור לעיל, שתהיה לנו שנה טובה ומאובטחת.
יאיר
הערת הכותב:
זוהי לי התנסות ראשונה בכתיבת בלוג, ומאמר ראשון בבלוג שלי.
הרבה שנים עסקתי בכתיבה של מסמכים עבור מעסיקי ועבור לקוחותיהם, שהם לקוחותי, וממשיך לעשות כן.
יחד עם זאת, חשבתי שהגיע הזמן גם לשתף את הקהל הרחב יותר במחשבותי.
מקווה שאהיה מקורי ומעניין. בת זוגתי העירה לי שייתכן ואתקל בדעות מנוגדות לשלי. עניתי שזו בדיוק אחת מהמטרות של כתיבת הבלוג. לשמש במה גם לדעותי וגם לדעות אחרות. זו הדרך הנכונה ללמוד, וכבר נאמר בעבר: מכל מלמדי השכלתי.
"ומתלמידי יותר מכל" כפי שאהב להוסיף אחד ממעסיקיך בעבר.
השבמחקאיחוליי, אין לי ספק שתתרום משמעותית לעולם התוכן העברי ברשת וללא ספק הבלוג שלך יאפשר לי להתפלפל איתך כמו בימים עברו.
ברוך בואך לבלוגספירה. מקווה שתכתוב הרבה...
השבמחקבהצלחה!
יאיר, קודם כל מזל טוב על הבלוג. הגיע הזמן שהציבור הרחב יוכל להנות מכל הדברים החכמים ולעתים יוצאי הדופן שרק אתה שם לב אליהם. בהצלחה רבה!
השבמחקלעצם הענין, לפני מספר ימים כתבתי תגובות לענין זה בדיוק בפוסט אשר פורסם בבלוג http://ciso.blogli.co.il
יאיר המון מזל טוב בהצלחה והמשך כתיבה פוריה
השבמחקמענין מאוד
השבמחקחשיבה שונה בתחום "מוצר האבטחה"
פיתוח כלים ושיטות להטמעה ולשיפור האבטחה כבר בתהליך הפיתוח הינו תהליך נכון אבל כפי שצויין לזמן הפיתוח והעלויות יש "עדיפות" על פני נושאים שולים כגון "אבטחה", "אמינות מוצר".
רק עם זה יעלה בכיס ניתן לקדם נושא זה
או שיש למישהו רעיון אחר