תחום אבטחת מידע או בשמו המודרני יותר, ניהול סיכוני טכנולוגיית המידע מספק מענים לאיומים ולסיכונים בשימוש במידע ובטכנולוגיית המידע. אתייחס לשתי דוגמאות:
1. מידע רגיש הנאגר על גבי מחשבים ניידים נחשף כיוון שמחשבים אלה נגנבים/נאבדים בהמוניהם (12,000 בשבוע בנמלי תעופה בארה"ב לבדה, עפ"י סקר של מכון Ponemon מיוני 2008):
מה המענה? הצפנת המידע. אם המידע מוצפן, אזי גם אם יגיע לידי המוצא/הגנב, איננו יכול לצפות בו, לא כל שכן לסחור בו.
2. משתמשי מערכות מבצעים פעילות במערכות אליהן קיבלו הרשאות כדין. דרישות הרגולטורים למיניהן הנן לבצע רישום מלא של פעילות זו. הדרישה מובנת שכן מאפשרת להתחקות אחר פעילות המשתמשים ולחקור האם פעלו כדין או עשו שימוש שלא כדין בהרשאות שהוענקו להם, כמו גם לאתר פעילות שלא נעשית ע"י משתמשים מורשים.
ניקח את שתי הדוגמאות ונתבונן בהם משתי הזוויות: זו של המגן וזו של התוקף.
המגן בשני המקרים עלול לנוח על זרי הדפנה. הנה הגיע המענה המיוחל.
במקרה הראשון, מחשב שנגנב/אבד ובו מידע מסווג. אני כמגן, הסרתי כל דאגה מלבי. המידע מוצפן. מה יעשה המוצא? לא יוכל לגשת למידע.
במקרה השני, מכיוון שכל הפעילויות במערכת נרשמות, אזי כל משתמש אשר יפעל שלא כדין, פעילותו תרשם. ניתן לאתר את הפעילות הזו ועל כן ללא ספק שהוגברה ההרתעה למול משתמשים שינסו לפעול שלא עפ"י הנדרש מהם במסגרת עבודתם.
אבל, זהו רק צד אחד של המטבע. לכל תהליך חדש, במקרה שלנו תהליכי אבטחה חדשים, (הצפנה ותיעוד) ישנו גם מי שינסה להפיק מהם תועלת נזקית, הלוא הוא התוקף.
ננסה כעת להבין את זווית הראיה של התוקף בהתייחס לשני תהליכים אלו.
במקרה הראשון, עד להחלת הקונספט של "הצפנה בכל מקום ובכל עת", שימוש בהצפנה היה יחסית מצומצם. כעת עם נפוצות ההצפנה, הרבה מידע מוצפן יסתובב לו בין הגנבים. יתר על כן, הארגונים יטפלו ככל הנראה פחות במניעת גניבת/אובדן מידע, וישקיעו מאמצים בהצפנתו, מהלך שניתן בהחלט להבין אותו על רקע "פתרון הקסם – הצפנה בכל מקום ובכל עת". מהלך שכזה יביא בהכרח להתעניינות יתר של הגנבים בפיצוחה של ההצפנה. המילה התעניינות הנה בבחינת "הערכת חסר". צפוי על כן, כמו שקורה לכל אמצעי הגנה (לא משנה מאיזה סוג), שהצפנה כשיטה מצויינת להגנה מפני דלף מידע רגיש לגורם בלתי מורשה תהפוך לשיטה פחות מצויינת, ופחות ופחות מצויינת, עד שעלול לאבד עליה הכלח כליל.
ומה באשר לתיעוד הנרחב שאנו מאמינים שמספק תשתית מצויינת הן להרתעה והן לחקירה?
ובכן, מאגר הנתונים הנאסף באופן זה מהווה את מאגר הזהב לתוקף. מה עשוי להימצא בו? ברמה העקרונית מדובר ברישום המידע עליו בוצעה פעילות, כולל כיצד היא מבוצעת ע"י משתמש מורשה כדת וכדין, שלב אחרי שלב, מסך אחרי מסך. אין חולק על כך שרוב הפעילות המתועדת הנה פעילות חוקית, של משתמשים מורשים. מיעוטה יתעד פעילות חריגה ואפילו פלילית. נובע מכך שמאגר זה הנו מאגר שממנו ניתן ללמוד כיצד יש לעבוד כמשתמש חוקי ולבצע צעד אחר צעד פעילות תקינה במערכת. למיטב ידיעתי, זו הפעם הראשונה בתולדות טכנולוגיית המידע שקם ונהייה מאגר מסוג כזה.
אז מה אתה מציע חושב אחרת? לא לעשות אבטחה? לא להשתמש בהצפנה? לא להשתמש בתיעוד? ואולי בוא ונבטל במחי יד את כל אמצעי האבטחה?
לא ולא. לא זה המענה הנכון.
כמי שאמון על המתודולוגיה של שילוב חשיבת התוקף בתפישת ההגנה ומתן מענה משולב, שהם נר לרגלי יש לנקוט בשני שלבי פעולה:
1.להפנים מנטאלית ובאופן מלא ומיידי מתוך הבנה והשלמה, שגם אמצעי האבטחה, למרות היותם חיוניים למתן מענה ולצמצום הסיכון, אינם נטולי סיכון כשלעצמם. מדובר בשינוי מהותי בגישה (State of mind) ולא בשינוי טקטי גרידא.
2. לאתר במדוייק מהו האיום העתידי שנשקף לאחר הטמעת השימוש באמצעי האבטחה ולכלול מענה לאיום זה.
2. משתמשי מערכות מבצעים פעילות במערכות אליהן קיבלו הרשאות כדין. דרישות הרגולטורים למיניהן הנן לבצע רישום מלא של פעילות זו. הדרישה מובנת שכן מאפשרת להתחקות אחר פעילות המשתמשים ולחקור האם פעלו כדין או עשו שימוש שלא כדין בהרשאות שהוענקו להם, כמו גם לאתר פעילות שלא נעשית ע"י משתמשים מורשים.
ניקח את שתי הדוגמאות ונתבונן בהם משתי הזוויות: זו של המגן וזו של התוקף.
המגן בשני המקרים עלול לנוח על זרי הדפנה. הנה הגיע המענה המיוחל.
במקרה הראשון, מחשב שנגנב/אבד ובו מידע מסווג. אני כמגן, הסרתי כל דאגה מלבי. המידע מוצפן. מה יעשה המוצא? לא יוכל לגשת למידע.
במקרה השני, מכיוון שכל הפעילויות במערכת נרשמות, אזי כל משתמש אשר יפעל שלא כדין, פעילותו תרשם. ניתן לאתר את הפעילות הזו ועל כן ללא ספק שהוגברה ההרתעה למול משתמשים שינסו לפעול שלא עפ"י הנדרש מהם במסגרת עבודתם.
אבל, זהו רק צד אחד של המטבע. לכל תהליך חדש, במקרה שלנו תהליכי אבטחה חדשים, (הצפנה ותיעוד) ישנו גם מי שינסה להפיק מהם תועלת נזקית, הלוא הוא התוקף.
ננסה כעת להבין את זווית הראיה של התוקף בהתייחס לשני תהליכים אלו.
במקרה הראשון, עד להחלת הקונספט של "הצפנה בכל מקום ובכל עת", שימוש בהצפנה היה יחסית מצומצם. כעת עם נפוצות ההצפנה, הרבה מידע מוצפן יסתובב לו בין הגנבים. יתר על כן, הארגונים יטפלו ככל הנראה פחות במניעת גניבת/אובדן מידע, וישקיעו מאמצים בהצפנתו, מהלך שניתן בהחלט להבין אותו על רקע "פתרון הקסם – הצפנה בכל מקום ובכל עת". מהלך שכזה יביא בהכרח להתעניינות יתר של הגנבים בפיצוחה של ההצפנה. המילה התעניינות הנה בבחינת "הערכת חסר". צפוי על כן, כמו שקורה לכל אמצעי הגנה (לא משנה מאיזה סוג), שהצפנה כשיטה מצויינת להגנה מפני דלף מידע רגיש לגורם בלתי מורשה תהפוך לשיטה פחות מצויינת, ופחות ופחות מצויינת, עד שעלול לאבד עליה הכלח כליל.
ומה באשר לתיעוד הנרחב שאנו מאמינים שמספק תשתית מצויינת הן להרתעה והן לחקירה?
ובכן, מאגר הנתונים הנאסף באופן זה מהווה את מאגר הזהב לתוקף. מה עשוי להימצא בו? ברמה העקרונית מדובר ברישום המידע עליו בוצעה פעילות, כולל כיצד היא מבוצעת ע"י משתמש מורשה כדת וכדין, שלב אחרי שלב, מסך אחרי מסך. אין חולק על כך שרוב הפעילות המתועדת הנה פעילות חוקית, של משתמשים מורשים. מיעוטה יתעד פעילות חריגה ואפילו פלילית. נובע מכך שמאגר זה הנו מאגר שממנו ניתן ללמוד כיצד יש לעבוד כמשתמש חוקי ולבצע צעד אחר צעד פעילות תקינה במערכת. למיטב ידיעתי, זו הפעם הראשונה בתולדות טכנולוגיית המידע שקם ונהייה מאגר מסוג כזה.
אז מה אתה מציע חושב אחרת? לא לעשות אבטחה? לא להשתמש בהצפנה? לא להשתמש בתיעוד? ואולי בוא ונבטל במחי יד את כל אמצעי האבטחה?
לא ולא. לא זה המענה הנכון.
כמי שאמון על המתודולוגיה של שילוב חשיבת התוקף בתפישת ההגנה ומתן מענה משולב, שהם נר לרגלי יש לנקוט בשני שלבי פעולה:
1.להפנים מנטאלית ובאופן מלא ומיידי מתוך הבנה והשלמה, שגם אמצעי האבטחה, למרות היותם חיוניים למתן מענה ולצמצום הסיכון, אינם נטולי סיכון כשלעצמם. מדובר בשינוי מהותי בגישה (State of mind) ולא בשינוי טקטי גרידא.
2. לאתר במדוייק מהו האיום העתידי שנשקף לאחר הטמעת השימוש באמצעי האבטחה ולכלול מענה לאיום זה.
אתייחס לשתי הדוגמאות:
1. הצפנה. על מנת לצמצם את הסיכוי שמספר גדול יותר של רכיבי מיחשוב ובהם מידע רגיש (אומנם מוצפן) ייגנבו/ייעלמו, יש במקביל ליישום ההצפנה דווקא להגביר את פעילות יצירת המחוייבות והמודעות לשמירה על ציוד המחשוב הנייד מפני אובדן/גניבה ולא לצמצמה.
1. הצפנה. על מנת לצמצם את הסיכוי שמספר גדול יותר של רכיבי מיחשוב ובהם מידע רגיש (אומנם מוצפן) ייגנבו/ייעלמו, יש במקביל ליישום ההצפנה דווקא להגביר את פעילות יצירת המחוייבות והמודעות לשמירה על ציוד המחשוב הנייד מפני אובדן/גניבה ולא לצמצמה.
2. תיעוד. חיוני להגדיר בקרה הדוקה על הגישה למאגר המידע התיעודי. במיוחד חיוני לקבוע מהי פעילות חריגה למול מאגר זה, ולהגדיר מי ינטר את השימוש במאגר. חיוני שפעולת ניטור זו תבוצע על ידי גורם בלתי תלוי בארגון (או מחוצה לו) אשר איננו הגורם העושה במאגר זה שימוש שוטף.
להיות צעד אחד לפני התוקף, משמעותו לחשוב כמוהו ולשלב חשיבה זו בהגנה לאורך כל מחזור החיים של מערכת טכנולוגיית המידע.
אין תגובות:
הוסף רשומת תגובה