משנה שניה:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...
מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.
במשנה הראשונה למדנו:
הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
וזוהי כל תורת המלחמה על רגל אחת...
מדברי סון טסו, בספרו אמנות המלחמה. מוערך שנכתב בסביבות 500 לפה"ס, כלומר לפני 2,500 שנה.
במשנה הראשונה למדנו:
הכר את האויב שלך והכר את עצמך. אפילו תילחם במאה קרבות, לעולם לא תובס.
אם אינך מכיר את האויב, אבל אתה מכיר את עצמך, סיכוייך לנצח או להפסיד שווים.
אם אינך מכיר לא את האויב שלך ולא את עצמך – אין ספק שתובס בכל הקרבות.
אמרנו שהמקבילה לעולם אבטחת המידע הנה אחת לאחת:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע
וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:
הכר את האויב: ניתוח מלא של איומים וסיכונים למידע ולמערכות המידע.
הכר את עצמך: הכר את הארגון, מערכות המידע ותהליכי העבודה שבהם הארגון עושה שימוש במערכות המידע
וכעת הוספנו את המשנה השניה.
מהי המשמעות של המשנה השנייה בשדה הקרב של עולם המחשוב ההגנתי וההתקפי?
מנהל אבטחת המידע הבא להכין תוכנית הגנה להתמודדות עם האיומים והסיכונים, יצא מתוך נקודת מוצא של מי שמתכנן לתקוף אותו. מנהל אבטחת המידע צריך למעשה לספק מענה לשאלה הבאה:
כיצד אני בונה את מערך ההגנה שלי כך שהתוקף לא יוכל לקבל מענה מספק לשאלה שהוא מציב לעצמו:
כיצד הכי כדאי לי (לתוקף) לבצע את התקיפה.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.
ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:
מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.
אופן בניית מערך ההגנה יספק מענה לכוונתו של התוקף, ולא למחשבתו של המגן. כוונת התוקף איננה לתקוף סתם.
מטרת התוקף הנה לתקוף ולהצליח בתקיפתו. על מנת להכשיל את התוקף, על מנהל אבטחת המידע להכיר את דרכי התקיפה האפשריות העומדות לרשות התוקף ולגרום לכך שהתוקף לא יוכל לספק מענה לעצמו האם קיים סיכוי סביר שתקיפתו תצליח, באף לא אחד מדרכי התקיפה.
זו איננה הגישה הרווחת היום שבה מנהל אבטחת המידע מנסה באמצעות בניית תוכנית האבטחה שלו לספק מענה לשאלה הבאה: כיצד אני מנקודת המבט שלי כמגן, מתכנן מערך הגנה מיטבי. גישה זו רווחת (בין היתר) עקב הדרישה לספק מענה למגוון רגולציות אשר בהן חלקים נרחבים מהמענה האבטחתי כבר נקבעים מראש, בלא שניתן בהן המשקל המתאים לתוצאותיו של ניתוח איומים וסיכונים פרטני.
ההבדל המהותי נעוץ בבחירת נקודת המבט של התוקף כבסיס לתכנון ההגנה שלי ולא נקודת המבט של המגן כבסיס.
באופן דומה יש להתייחס למצב ההפוך. כיצד תוקף אמור לתכנן את תקיפתו.
סון טסו אומר: תכנן את תקיפתך באופן שבו המגן לא ידע על מה כדאי לו להגן יותר.
ואם נשלב את שתי המשנות לכדי משנה מאוחדת נקבל את התובנה הבאה:
מנהל אבטחת המידע יפעל באופן הבא על מנת שלא יובס ע"י האויבים (מבית ומבחוץ):
1. יבצע ניתוח איומים וסיכונים מלא המאפשר לו להכיר מול מה הוא עומד.
2. ילמד היטב את ארגונו הוא, בהבטים הלא טכנולוגיים ובהבטי טכנולוגיית המידע.
3. יכין תוכנית להתמודדות עם האיומים והסיכונים כאשר במרכזה מתן מענה לשאלה: כיצד התוכנית מספקת מענה לאותם איומים וסיכונים, כך שמי שמנסה לממשם יתקשה לספק לעצמו מענה לשאלה באיזה מהלך התקפתי לבחור על מנת שיהיה בעל סיכוי סביר להצליח.
חג חנוכה שמח לכל קוראי הבלוג.
יאיר
רשומות
מנהל אבטחת המידע יובס תמיד. זאת מכיון שאפילו אם הוא עובד על פי ההגיון של סון טסו, התוקף עובד לפי ההגיון של לורנס איש ערב (מתוך שבעה עמודי חכמה):
השבמחק"וכיצד יגנו התורכים על שטח זה? בלא ספק, בקו של חפירות לרוחב חלקו התחתון, לו באנו כצבא עם דגלים מתנופפים. אבל נניח שהיינו (כפי שאנו אכן יכולים להיות) השפעה, רעיון, דבר בלתי מוחשי, בלתי פגיע, שאין לו חזות או עורף, הנסחף כגז? צבאות הם כמו צמחים, נייחים, מושרשים היטב, ניזונים באמצעות גבעולים ארוכים המובילים לראש. אנו מסוגלים להיות כמו אד, הנישא לאן שנרצה. הממלכות שלנו שכנו במוחו של כל אדם; וכיון שלא רצינו כל דבר חומרי להתקיים עליו, כך גם לא נוכל להציע כל דבר חומרי להריגה. נראה היה, שחייל סדיר, לו ניטלה ממנו מטרתו, היה עשוי להיוותר חסר ישע, המחזיק רק מה שהוא יושב עליו, והמכניע, בפקודה, רק מה שהוא יכול לתקוע בו את רובהו."
ניב שלום,
השבמחקלא ראיתי את תגובתך ועל כן לא הגבתי עליה מזמן.
אתה טועה בגדול. התוקפים הפכו להיות צבאות בדיוק כמו המגנים. בעבר היה הבדל משמעותי בין התוקף למגן. התוקף ההאקר עול הימים היה זריז בלתי נראה והמגן היה מסורבל. היום גם התוקף הפך להיות צבא שלם (BOTNETS, מחפש מל"מ ועל כן ניתן לאתר אותו בעודו מכין את התקיפה. נכון, זה דורש היערכות אחרת מהקיים היום ולשם בדיוק מכוון המאמר. גם התוקף מכין תוכנית שנתית לתקיפה, קורא חומרים, מתעדכן, מכין הצדקות עסקיות ומקיים כנסים משלו. הכל בעולם המקביל שלו.
אינני טוען שאני צודק במאת האחוזים, אך הכיוון הכללי של אבטחת המידע חייב לעבור שינוי משמעותי. זהו אחד הכיוונים שלדעתי יש לאמץ.