חבל על הזמן – ביקורת סייבר במציאות משתנה
מאת: יובל שגב | MBA ,Bsc ,ראש מרכז טכנולוגיות מתקדמות, מערך הסייבר הלאומי
האם הייתם מסתפקים בקבלת תעודה על הישגי ילדיכם במערכת החינוך בסוף כיתה א' ובסוף כיתה י"ב בלבד? האם יש משמעות לתהליך שעבר הילד בשנים שבאמצע?
הביקורת הפנימית מיועדת להוסיף ערך ולשפר את פעולות הארגון, ובהתאם לתקנים היא עושה זאת באמצעות גישה שיטתית וממוסדת.
כיצד מתבצעת ביקורת טיפוסית?
לביקורת טיפוסית ישנו מחזור חיים אופייני הכולל מספר שלבים מרכזיים:
למעשה, מדובר על הליך שמתבצע בארגון באופן מחזורי, כאשר בהתאם לעיקרון של פארטו, פרק הזמן המוקדש ללימוד הנושא ולתכנון הביקורת הוא 20% מסך הזמן המוקדש לנושא, וכ-80% מוקדשים לביצוע, להפקת טיוטה, לקבלת התייחסויות ועד להפקת דוח.
בקצב דיבור סביר של כ-150 מילים בדקה, ייקח לכם כשבע דקות לקרוא מאמר זה. על פי נתוני ESET, בפרק הזמן הזה ידלפו עוד כ-200,000 רשומות לאינטרנט.
בתקופה זו נשאלת יותר מתמיד השאלה: לאור האופן שבו מתבצעות הביקורות כיום, ולאור קצב איתור הפגיעויות והחולשות במוצרים, האם רמת ההגנה בסייבר בארגון עצמו ואצל ספקיו עדיין רלוונטית?!
למעשה, הפקת דוח ביקורת לאחר מספר חודשים של תהליך במתכונת זו, שקול למתן תעודת סיום כיתה א' לאחר שהילד הגיע לכיתה י"ב. ייתכן מאוד שהמידע הכתוב בדוח נכון ומדויק, אך הוא איננו מועיל ואיננו אפקטיבי.
האם גם לקוחות דוח הביקורת שותפים לתחושה זו?
לעיתים בהרצאות בפני מנכ"לים ודירקטורים, אני מציג בפניהם אמצעי זיכרון (Disk On Key) ובו מותקן וירוס. לאחר שיחה קצרה אני מציג בפניהם את השאלה הבאה:
אתם מודעים לנושא הסייבר ולכן גם הגעתם למפגש זה. אתם ודאי משקיעים רבות בתחום ההגנה, והגדרתם בעלי תפקיד ומערכות להתמודדות עם נוזקה שעלולה להיכנס לארגון באמצעות חיבור התקן כגון זה לרשת המחשבים שלכם. האם אתם מוכנים לחבר התקן זה למחשב במשרדכם?
הרוב המוחלט איננו מוכן לבצע ניסוי (תרגול) מסוג זה. על פי רוב, בעולם ההגנה ארגונים רבים מודדים את התשומות, כלומר את המשאבים שהושקעו בתחום ההגנה, אבל לא בוחנים את התפוקות. השאלה היא האם המאמץ מושקע במקום הנכון? עד כמה הארגון מוכן כנגד איום כופרה? מה יקרה אם יפרצו לאחד הספקים המהותיים שלכם? האם ניתן להוציא מידע מארגונכם באמצעות שימוש באתרי שיתוף קבצים? באמצעות שימוש במייל פרטי?
למעשה, החשש הזה איננו ייחודי רק להנהלות הארגונים. גם הגורמים המבוקרים שותפים לתחושה זו. בסקר שנערך על ידי מכון המחקר Ponemon בנובמבר האחרון עלו הממצאים הבאים:
- 80%-75% מהמשיבים ענו כי הם אינם בטוחים ורגועים מבקרות ההגנה שהם יישמו בפועל.
- 62% מהמשיבים סבורים כי הבקרות הקיימות בארגון אינן נותנות מענה אל מול האיומים האחרונים ושיטות תקיפה מתקדמות.
- 59% מהמשיבים ענו כי הבקרות אינן אפקטיביות בשל ריבוי מוצרי הגנה בארגון.
- 60% מהם מבצעים שינויים ברמה שבועית או יומית בבקרות ובמוצרים, באופן שלדעתם מצריך בדיקה של אפקטיביות הבקרות.
האם לא חשבו על זה כבר בעבר?
במאמרים מקצועיים מעולם הביקורת נכתב הרבה על חשיבות ביצוע ביקורת ובקרה בצורה רציפה. עם זאת, היישום של תפיסה זו בפועל עדיין אינו נפוץ במיוחד.
ממחקר שנערך על ידי ADR (Director Roundtable Audit) בנושא, עלה כי ב-70% ממחלקות הביקורת הפנימיות לא יישמו ביקורת מתמשכת בארגונם.
אז מה ניתן לעשות?
כדי לתת חוות דעת על מצבו הבריאותי של גוף האדם, נדרש לבדוק את תפקוד כלל האיברים כל הזמן. לא מספיק לומר שהרגליים, הלב והמוח עובדים מצוין. כך גם בארגון: אמירה אודות רמת ההגנה של הארגון בהתבסס על ביצוע מבדק חדירה לאתר האינטרנט ולרשת הארגונית, או בחינה של רמת ההגנה על הטלפונים הניידים, איננה מספקת את האינדיקציה הנדרשת לטובת השגת תכלית הביקורת הפנימית.
למעשה, תהליך הביקורת נדרש לעבור לתהליך זריז, בדומה לתהליך שעבר עולם פיתוח התוכנה בראשית שנות האלפיים.
מהו פיתוח תוכנה זריז ?(Agile Software Development)בהתאם להגדרה המקובלת, זוהי גישה בהנדסת תוכנה המניחה שפיתוח תוכנה הוא בעיה אמפירית, ולא ניתן לפתור אותה בשיטות המתבססות על חיזוי או תכנון. באנגלית, המונח Agile פירושו "זריז, קל רגליים, נע במהירות ובחן", ותרגומו לעברית הוא "זמיש" (הלחם של זריז וגמיש). הגישה קובעת שפיתוח תוכנה הוא פיתוח מוצר חדש ומתייחסת אליו כמשחק של שיתוף פעולה מוכוון־מטרה. הגישה הזריזה לפיתוח תוכנה מניחה שלא ניתן להגדיר במלואה תוכנה מסוימת קודם לפיתוחה בפועל, ובמקום זה מתמקדת בשיפור יכולתו של הצוות לספק תוצרים במהירות ולהגיב לדרישות העולות תוך כדי הפיתוח.
לצורך ביצוע ביקורת פנימית יעילה על תחום הסייבר, יש להטמיע שיטות עבודה שמשלבות את תפיסת ה"בר"מ" – בקרה רציפה ומתמשכת.
תפיסה זו מסייעת למבקר להשיג בין היתר את התועלות הבאות:
- קיצור משמעותי של משך הזמן מרגע ההחלטה על בדיקה של רכיב/מערכת ועד לתחילת ביצוע הביקורת.
- קיצור משמעותי של משך ביצוע הביקורת (איסוף הראיות, ניתוחם, הסקת מסקנות, תיקוף מול המבוקר ועוד).
- הפחתת התלות בזמינות הגוף המבוקר.
- הגדלת היקף המערכות והתהליכים הנבדקים.
- יכולת ניתוח והפקת תובנות מצטברות לאורך זמן.
- יכולת התאמת הביקורת בזמן אמת לאיומי הסייבר העדכניים ביותר, בהתבסס על מודיעין עדכני ועל התקיפות האחרונות בארץ ובעולם.
- יכולת ניהול תהליך מעקב יישום ההמלצות באמצעים ממוכנים ויעילים.
בשל הדינמיות של תחום הטכנולוגיה בכלל, ומרוץ החימוש שבין התוקפים מחד, ליצרנים ולצד המגן מאידך, קמו בשנים האחרונות מספר פתרונות המספקים לארגון את היכולת לבצע ביקורת רציפה, מתמשכת וכוללת. פתרונות אלו עשויים לשלב לדוגמה את עולמות התוכן הבאים:
- מערכת לניהול סיכוני סייבר בשרשרת האספקה (VRM – Vendor Risk Management).
- מערכת לאיסוף מודיעין סייבר (TIP) ולניהול ההגנה על נכסים דיגיטליים כגון חשבונות משתמש ברשתות חברתיות (DRP – Digital Risk Protection).
- מערכת למיפוי משטח החשיפה של הארגון (ASM – Attack Surface Management).
- מערכת לבחינת סימולציות תקיפה (BAS – Breach Attack Simulator).
| Post Attack
(code&file sharing, Defacement, Stolen sensitive data, Brand spoofing) |
מימוש יעיל של תוכנית זו יְיצר למבקר תמונת מראה שלמה מנקודת מבטו של התוקף, ותאפשר להציג להנהלה את רמת הבשלות והמוכנות של הארגון בעולמות התוכן השונים.
להלן תרשים המשווה בין הגישה המסורתית לגישה החדשנית בנושא ביקורת סייבר:
כיצד להתחיל?
לטובת בנייה של תוכנית ביקורת על בסיס תפיסה זו, יש להגדיר כמו בכל פרויקט את תכלית הפרויקט, המשאבים הנדרשים והקיימים, בעלי העניין ועוד. רתימת גורמי הגנת הסייבר למהלך עשויה לספק למבקר כלים שנמצאים ברשות הארגון וחיבור הביקורת לאיום הייחוס הרלוונטי לארגון. בנוסף, ניתן להיעזר בשירותי הגנת סייבר מנוהלים (MSSP) שיכולים לתת מענה לארגונים שבהם אין יכולות ומשאבים זמינים מסוג זה.
במהלך חודש נובמבר 2020, פרסם לראשונה מערך הסייבר הלאומי את טיוטת הגרסה הבאה של תורת ההגנה בסייבר לארגון. מסמך זה מספק כלים, שיטות, רשימת תרחישי תקיפה, רשימת בקרות תוצאתיות וקווים מנחים יישומיים להטמעה של תפיסת בר"מ בארגון.
התרשים הבא מתאר תהליך של הטמעת בר"מ בארגון:
- עיצוב סביבת הבקרה:
- הגדרת תרחישים לייחוס – לדוגמה, השבתת הפעילות העסקית כתוצאה מאירוע כופרה שיחדור לרשת הארגון באמצעות ניצול ממשקים פתוחים (דוגמת RDP, SSH, FTP).
- הגדרת אינדיקטורים לסיכון/איום – התראה במערכת ה-SIEM אודות ניסיונות סריקה או ניסיונות התחברות כושלים לממשקי הגישה החיצוניים.
- הגדרת ערכי סף/יעדים – אפס ממשקים לא מוכרים/מאושרים ואפס ממשקים מאושרים שחשופים בצורה לא בטוחה (כגון ללא מימוש MFA).
- הטמעת מנגנון לביצוע המדידה – הטמעת כלי לסריקת משטח החשיפה והתקיפה של הארגון מבחוץ (דוגמת כלי ASM, port scan, מנועי חיפוש דוגמת שודן ועוד).
- ניתוח ותחקור תוצאות המדדים – טיוב חוקי ה-SIEM למזעור התראות שווא ולניהול הטיפול באירוע בצורה אוטומטית.
- אתגור הבקרה ובחינת אפקטיביות:
- אתגור אפקטיביות הבקרות עם כלי תקיפה רציפים – בחנו את קיומם של כלים אוטומטיים שמנסים להתחבר בצורה עצמאית לממשקים פתוחים, לסרוק את הארגון, לזהות ממשק חדש ולדמות את פעולת התוקף. בצעו שימוש מבוקר בכלי סימולציית תקיפה לבחינת יעילות מערך האיתור ומערך התגובה בנושא (משך הזמן מרגע פתיחת פורט/ממשק ועד לתחקורו, יכולת זיהוי ותגובה לשינוי בהגדרות גישה מרחוק, ניסיונות ניחוש סיסמאות לממשקים פתוחים ועוד).
לסיכום
במקום להתמקד בקיומן או אי קיומן של הבקרות, בחנו את סביבת הבקרה באופן תדיר באמצעות אתגור הבקרות באופן שמדמה את פעילות התוקף ובצורה אוטומטית.
מדדי ההצלחה יכולים להיות:
- כמה זמן נמשכת ביקורת סייבר בארגונך? החליפו שיטת עבודה של ביקורות ארוכות שביצוען נמשך על פני שבועות ואף חודשים, מעבר למיקרו-ביקורות שמתבססות על תרחישי תקיפה עדכניים.
- ביקורת על תפוקות ולא תשומות – עברו לביקורות שבוחנות את מבחן התוצאה בראי האיומים, במקום מבחן המאמצים והתשומות בראי המגן.
במציאות הנוכחית, שבה משטח התקיפה וכמות האיומים על ארגונים רבים גדלים, ומשאבי הביקורת לעיתים פוחתים, יש לנו הזדמנות לבצע ביקורת מדויקת יותר, יעילה יותר, ומקיפה יותר – בפחות משאבים.
או כפי שאמר פיטר דרוקר:
Do-what-you-do-best-and-outsource-the-rest
תנו למחשב לאסוף נתונים ולאתר חשיפות במשטח התקיפה ובמודיעין, ותוכלו להשקיע את הזמן שנחסך בניתוח ובחינת הסיבות וההשלכות של הפגיעות והאיומים שזוהו על סביבת הבקרה.
