אתגרים בהכשרות בתחום הסייבר

עד לפני כארבע שנים, עולם ההכשרות בתחום אבטחת מידע נתן מענה הולם למול האתגרים. אולם, אז מפת האיומים השתנתה והיום לא די בהיכרות עם מוצר חדש. יש צורך בגישת הכשרה הוליסטית

via shutterstock.com

נפוליאון בונפרטה היה שליט צרפת ומצביא מבריק. כמי שטבע את הביטוי "הצבא צועד על קיבתו" הוא השריש את התפישֹה שקיים קשר אמיץ בין כשירות מבצעית לתוצאות בשטח. בהשאלה לעולם אבטחת המידע, ניתן לומר כי מחלקת אבטחת המידע צועדת על מיומנותה. במרוצת השנים האחרונות, תמהיל הכישורים, הידע, והניסיון הנדרשים מהעוסקים במלאכה השתנה באופן דרמטי. היה מתבקש מכך שגם תחום ההכשרות יעבור תהפוכה דומה. האמנם זה באמת קרה?


אנשי הסייבר, גרסה 1.0

בשנותיו הראשונות, עולם אבטחת המידע היה קשור באופן ישיר לעולם תקשורת הנתונים. ואכן, לאורך שנים רבות, מירב המאמצים והמשאבים של האמונים על אבטחת המידע בארגון הושקעו בהתמודדות עם חשיפות הקשורות לממשקי הרשתות השונות. באותם הימים אנשי אבטחת המידע היו, בדרך כלל, אנשי תקשורת מוכשרים שידעו כיצד להקשיח נתבים וקופסאות מיתוג, לתכנן ולהתקין רכיבי רשומות גישה (ACL) ומסנני תכנים, ולכרוך הכול יחדיו בפתרונות יתירים המסוגלים להתמודד גם עם תסריטי כשל ועומסים כבדים.

קפיצת המדרגה הראשונה בתחום התרחשה בשנת 1994 כאשר חברת Check Point השיקה את מוצר הדגל שלה:Firewall-1 והתגאתה בטכנולוגיה פורצת דרך בשם "Stateful Inspection". עליונותה של טכנולוגיה זו על אמצעי ההגנה הקיימים, היה ביכולתה לזהות אנומליות ודפוסי תעבורה חריגים גם בשכבה הרביעית של מודל OSI (בהפשטה רבה - ניתוח מלא של פרוטוקולי TCP ו- UDP).

במהרה, סט ההכשרות של אנשי אבטחת המידע הורחב ומומחי אבטחת המידע הפכו להיות אלו שהכירו את נבכי הפרוטוקולים. במקביל, תחום ההכשרות של אנשי הסייבר החל קורם עור וגידים ובמהלך השנים פותחו מספר רב של הסמכות מקצועיות ומסלולי לימודים אקדמיים ייעודיים לתחום הגנת הסייבר. בפני ארגון שרצה להכשיר את אנשיו עמדו שלוש אפשרויות: הכשרה אקדמאית, קורסים מקצועיים, והסמכות.

הכשרות אקדמאיות תמיד נחשבו טובות בשל היקף הלימודים ובדרך כלל, רמת המרצים הגבוהה. אולם, הפדגוגיה נוטה להיות לא פרקטית, הן מטבע המוסד האקדמי והן בשל קצב השינויים ההולך וגובר. קורסים מקצועיים הם לרוב מאוד שימושיים למטרת רכישת ידע בטכנולוגיה או במוצר פרטני. לעומתם, הסמכות (קרי, סרטיפיקציות), נוטות לכסות מגוון רב של נושאים מתחומים רבים אולם לא באותה רמת עומק.

עיקר הביקורת היא שחלוקת מיומנויות הסייבר לדיסציפלינות ידע נעשתה באופן די גס, כך שתחומי העיסוק הוגדרו כתת-התמחויות נפרדות ללא קווי ממשק רוחביים. הדוגמה הבולטת לכך היא חלוקת ה-Domains של הכשרת CISSPשהיא אוסף אקלקטי של תחומים (אבטחה פיסית, רגולציה, פיתוח קוד מאובטח וכן הלאה) - ולא הכשרה להתמחות בתחום הסייבר כמכלול.

סייבר ברקיע השביעי

עד לפני כארבע שנים, עולם ההכשרות בתחום אבטחת מידע נתן מענה הולם למול האתגרים. אולם, אז מפת האיומים השתנתה ומרכז הכובד של האיומים טיפס מעלה והתמקם בשכבה השביעית של מודל ה- OSI, שכבת ה- Application. בשונה מהתהליך שתיארתי קודם שהתרחש בעקבות השקת ה- Firewall-1, במקרה זה התגלה במהרה כי לא די בהיכרות עם מוצר חדש.

דוגמה מצוינת לכך הם (Advanced Persistent Threats (APT. במקרה זה, אין מוצר אבטחה אחד שמסוגל לזהות או לחסום את המתקפה כולה, ואין תחום מקצועי אחד שמיומנות בו מכשירה את העובדים להתמודדות יעילה מול האיום. את התקפות ה-APT ניתן להמשיל למים שמחלחלים דרך סלע. כמו הביטוי המפורסם: "אין המים חוצבים בסלע מכוח עצמתם, אלא מכוח התמדתם".

מדובר בווקטור התקפה המשלב פריצה פיסית והנדסה חברתית והיא בעלת יכולות פרמוטציה אשר מאפשרות לה למצוא את נקודת החולשה במערכת תוך כדי תנועה, ולעקוף כמעט כל מנגנון. התקפת APT מוצלחת מנסה לחדור דרך מספר ממשקים שונים במקביל. היא מנצלת מערכות לא מעודכנות, לומדת את הרשת ומטמיעה את עצמה בתוך התעבורה השגרתית, ומשתמשת בכלים כגון רשתות חברתיות על מנת לשדר מידע אל מחוץ לארגון.

מכאן משתמע ש- APT הוא תחום מקצועי שלם בפני עצמו. על אחת כמה וכמה נכון הדבר כאשר נעשה ב- APT שימוש ב-0-day vulnerabilities שאותם כלל לא ניתן לזהות. מצב זה הוביל ארגונים רבים למסקנה המתבקשת שמוטב שיפעלו מתוך ההנחה שהאיומים כבר קיימים ברשת וישקיעו את המאמצים בגילוי ובאמדן (וכמובן - מזעור) הנזקים. זאת בניגוד מוחלט לתפישֹת אבטחת המידע הישנה שדגלה בהקמת חומות מבוצרות.

מנקודת המבט של הכשרת העובדים, המשמעות של כך היא שינוי יסודי של עולם המושגים והמיומנויות שנדרשות לצורך השגת היעדים. עבודת האבטחה הפכה לפעילות שמרכזה הוא מחקר אינטרדיסציפלינרי ואנשי אבטחת המידע זקוקים לידע נרחב מתחומים שונים, היכרות מעמיקה עם יישומים, ויכולות אנליטיות של חוקרי מז"פ.

דרושה חשיבה הוליסטיות

סוג זה של התמקצעות מצריך משאבים אדירים שמרבית מנהלי אבטחת המידע מתקשים להצדיק. בהיעדר יכולת זו בתוך הארגון נוצר ואקום מקצועי. באופן טבעי, הפתרון הוא העסקה של חברות נישה אשר מתמחות בתחומים הללו. כפתרון מידי, זו חלופה סבירה. עם זאת, בטווח הרחוק מתעוררות בעיות במצב שבו צוותי אבטחת המידע מצטמצמים לכדי צוותי תפעול, כל צוות בעל התמחות במוצר אחד או שניים וללא ראייה כוללת-אסטרטגית של כלל מפת האיומים.

האתגר, אם כן, הוא לייצר תכניות הכשרה הוליסטיות המתמקדות בעולם איומי הסייבר המודרניים ומתמודדות עם אופיו הייחודי. בבואנו להתמודד עם אתגר זה, ישנן מספר נקודות ייחודיות שיש להתייחס אליהן:

פתרונות רב ממדיים -  בשונה מתפישֹת הפתרונות הנקודתיים לאיומים פרטניים, פתרונות לאיומי הסייבר ינוסחו כמארג שלם וחוצה-ארגוני, יש לקחת בחשבון את נקודות הממשק עם גופים פנים-ארגוניים ומול משתמשי הקצה. ולכן, תכנית ההכשרות של אנשי הסייבר צריכה לחנך אותם לבנות תבניות של פתרונות בעלות מרכיבים כגון: אכיפה, תיעוד, ניהול תקריות ותחקיר, ממשקים למערכות אחרות, ממשקים למחלקות אחרות (רכש, בטחון, משאבי אנוש), יכולות שרידות וכו'. כל פתרון שמוצע צריך להיכנס לתוך תבנית פתרון מוגדרת כחלק מתפישֹה אסטרטגית רחבה.

מיקוד ניהול הידע - בעבר ארגונים השקיעו מאמצים ניכרים בתכניות שימור והעברת ידע. בעולם איומי הסייבר המודרניים המידע זורם בקצב מסחרר ורובו מגיע ממקורות שמחוץ לארגון. במצב זה יש לטפח את מיומנויות המחקר, איתור המקורות ויכולות כריית הנתונים. חשוב לא פחות מכך, בעידן שבו התוקפים פועלים כקבוצות סינרגטיות אשר חולקות ידע ומשאבים, פיתוח ועידוד מתודולוגיית שיתוף ידע בתוך, ובמידת האפשר - מחוץ הארגון, היא מהותית בהתמודדות השוטפת למול איומים.

הכרת מפת האיומים - ברוב מסלולי ההכשרה כיום, הדגש מושם בעיקר על היכרות עם עולם הפתרונות (הצפנה, ניהול זהויות, בקרת גישה וכו'). הכשרות עתידיות צריכות להתמקד גם בהבנת האיומים ובאופן הפעילות של גורמים עוינים. יש לשים דגש מיוחד ללימוד האנטומיה של התקפות סייבר. ידע זה יאפשר לפתח מתודולוגיות ניטור וזיהוי על סמך ההיכרות הייחודית שלהם עם המערכות של הארגון.

הבנת תהליכים עסקיים - אנשי אבטחת המידע הם חלק משֹדרת העצבים של הארגון. ככאלו הם צריכים להבין את מורכבות המערכות ולהיות שותפים להליכי קבלת ההחלטות כגורמים מסייעים ולא כשומרי הסף. כל ארגון צריך לפתח הדרכות פנימיות שיחשפו את אנשי הסייבר לארגון ויאפשרו להם להכיר את השיקולים, האילוצים והאתגרים שעימם עובדי הארגון ולקוחותיו מתמודדים.

הכותב הוא מנכ"ל חברת Weboxer, מומחה אבטחת מידע ואסטרטגיה.

You might be interested also