עשבים שוטים
כתב: גיא כרסנטי, מנכ"ל Prevision
התמודדות עם תקיפות של "האקרים" בודדים, ארגוני פשיעה או מדינות, הפכה לאתגר ממשי בשנים האחרונות. ארגונים המחוברים ישירות לרשת האינטרנט, מערכות אלחוט, או כאלו המחזיקים ברשת מבוזרת מרובת תחנות הפכו ליעדים אטרקטיביים ביותר עבור תוקפים פוטנציאליים.
יש צורך להבחין בין משתמשים פנים-ארגוניים ומשתמשים חיצוניים המתחברים לרשת הארגון בדרכים שונות, לבין משתמשים העושים שימוש באפליקציות מסחריות דרך תשתית האינטרנט.
כמו כן יש להבחין בין תוקפים ממוקדים, כאלו המחפשים ארגון, משתמש או קבוצת משתמשים ממוקדת, לבין אלו המחפשים לתקוף מערך ארגוני ללא אבחנה או מטרה מוגדרת.
מרבית הארגונים בעולם מחוברים לרשת האינטרנט בצורה ישירה, חלק ניכר מארגונים אלה עושים שימוש באפליקציות אשר פותחו ע"י יצרנים מסחריים או בתוך הארגון. מרבית הלקוחות בעולם עושים שימוש באפליקציות דפדפן או יישומי מובייל, חלקם הגדול ללא כל אמצעי הגנה.
תמונה זו מציירת בפנינו שדה קרב עוין, בו יש אין ספור מקומות בהם ניתן להחביא קוד עוין, כזה שעשוי לפעול מיד או להמתין ליום קריאה. בשפה שלנו – Advanced Persistence Threat. האתגר האמיתי נמצא בין היכולת לזהות קוד עוין לבין היכולת לזהות אפליקציה שפותחה לביצוע מטרות עוינות – האם יש הבדל?
הוצאת המוץ מין התבן עשויה להיות קשה, מורכבת וכזו הדורשת מספר מעגלי הגנה טקטיים ואסטרטגיים. ברמה האסטרטגית יש צורך במציאת האיזון בין מעגלי הגנה תשתיתיים לבין אלו אשר נמצאים או נדרשים בתוך האפליקציות עצמן.
נקודות חלשות (טיפים)
לפני שמנתחים מעגלי הגנה במתאר ארגוני, יש צורך בזיהוי מוקדים אשר הופכים את הארגון לרגיש במיוחד.
- שימוש ביישומים ישנים – אחת החולשות הבולטות בארגונים גדולים הינה שימוש באפליקציות ישנות הדורשות מערך הרשאות רב, ובאופן מובנה דורשות שימוש בגרסאות תוכנה שלהן חולשות רבות. יישומים אלה הופכים להיות מסוכנים ביותר כאשר מדובר ביישומי לקוח אשר רצים על תחנות הקצה עם גישה למשאבים רבים. אחד הפרויקטים המרכזים אותו צריך מנהל אבטחת המידע הארגוני לשים לנגד עיניו, הוא מיגור עשבים אלה – תהליך ארוך וכואב עם זאת הכרחי לאבטחת המידע בארגון, אשר אין לו תחליף.
- שיתופי רשת – שיתופי רשת הינה מכה ארגונית. בעוד ארגונים בעולם מיישמים הפרדות רשתיות (סגמנטציה), מערך השיתופים במרבית המקרים חוצה את הארגון שהרי יש צורך לשתף קבצים. נכון שיש צורך בטיוב מערך ההרשאות, נחלת הכלל של מספר ארגונים רב, עם זאת מהותי לוודא כי הטכנולוגיה בה עושים שימוש אינה רגישה לתוקף אפשרי, שהרי שיתופים הינם דרך מרכזית להתקדמות קוד עוין בתוך הארגון.
- שימוש ברשת אלחוטית – אינו חדש, רשת אלחוטית עשויה להיות מסוכנת מאוד ועשויה להוות תשתית טובה לאפשר החדרה של קוד עוין בר קיימא בצורה שקטה ומוסוות.
נהוג לחשוב כי מרחב תקיפה של רשת אלחוטית נמצא קרוב מאוד לארגון בין עשרות למאות מטרים. בפועל, הגדרה לא נכונה של רכיבי הגישה עשויה לאפשר לתוקף אפשרי לראות את הרשת הארגונית למרחקים של מעל ק״מ. כמו כן יש לוודא כי תצורת ההזדהות אינה מאפשרת לתוקף ליירט את שיח המשתמש בין התחנה לרכיב הגישה האלחוטי.
אלו הן מקצת הנקודות לגידול עשבים שוטים בארגון, יש מספר לא מבוטל של וקטורים אותם יש לקחת בחשבון תוך מתן דגש של עלות מול תועלת ארגונית וזאת מעבר לרכיבים לאיתור פרצות, זליגת מידע, בקרת גישה רשתית או רכיבים לאיתור קוד עוין בר קייימא. כמו כן, לא יזיק איסוף מידע ומודיעין.