פורצים ברישיון
לאור ריבוי האתרים וריבוי המתקפות נדרש הידוק רגולטורי של דרישות אלו בהתאם לרמת אבטחת המידע שידרוש המחוקק. דעה
נועם הנדרוקר
| 18/07/2018
אילוסטרציה: Bigstock
השוק הפרטי המספק שירותים עסקיים רבים מרחוק אינו מחויב ברגולציה קבועה לבדיקת רמת אבטחת המידע שנשמר בו. לאחרונה, נפרץ אתר המספק שירותי הנהלת חשבונות לעצמאים והמידע הכלכלי הרגיש המצוי בו הפך לזמין לגורמים עוינים. למרות שהיקף המידע הרגיש הנמצא ברשות גורמים פרטיים הוא רב, הם אינם מחויבים על פי חוק לבצע בדיקות מהימנות ועמידות יזומות בפני פורצים למרות שבדיקות כאלו מחויבות על פי חוק בביצוע באתרי המגזר הציבורי.
אתרים של ארגונים ממשלתיים כמו בתי חולים וכדומה נדרשים כיום על פי חוק בביצוע של בדיקות חדירות - מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי בודק Ethical Hacker במטרה למצוא חולשות אבטחה, פוטנציאל הגישה לחולשות אלו, השימושיות שניתן להפיק מהגישה אליהן ואל המידע שהן מאכסנות. בדיקות האבטחה נעשו חשובות יותר על מנת לקבוע האם בקרות האבטחה פועלות כמתוכנן, ולהעריך כיצד מוגנים נכסי המידע.
הבדיקות נערכות בשלוש מתודולוגיות המתמקדות במציאת חולשות הן ברמה הטכנולוגית והן ברמה העסקית על ידי מציאת כשלים לוגיים באפליקציה, אשר מאפשרים לתוקף להגיע לייעדו.
Black-Box – בשיטה זו הבודק מדמה האקר אמיתי, ללא ידע קודם אודות המערכת. White-Box – בשיטה זו הבודק עובר על תשתיות האפליקציה, מקבל מידע מקדים אודות האפליקציה ורכיביה, כאשר אם עולה צורך הוא מקבל גם את קוד המקור ומעיין בו. בצורה זו ניתן לאתר כמה שיותר חולשות בזמן קצר, להגיע למסקנות מדויקות יותר. Grey-Box – בשיטה זו הבוקר מקבל ידע מקדים אודות האפליקציה, מזמין הבדיקה מספק לבודק משתמשים למערכת, ברמת הרשאות שונה.
כמו כן, מבוצעות כיום בארגונים הממשלתיים בדיקות סימולציה של תרחיש אמיתי בו נוצר איום מחוץ לארגון, אל מול הארגון הנתקף. כחלק מהבדיקה מתבצע איסוף מידע מודיעיני על המטרה וביצוע טכניקות הנדסה חברתית, פיתוח והעברה של פוגען לא ידוע דרך בקרות האבטחה ההיקפיות, הרצת הפוגען תוך מעקף מערכת האנטי-וירוס בארגון, יצירת טווח תקשורת עם שרת השליטה, והתפשטות רוחבית ברשת הארגון. וזאת לצד, קמפיינים של פישינג במגוון תרחישים אמיתיים בניסיון "להטעות" את משתמשי הקצה ללחוץ על קישורים, להזין פרטי הזדהות וכדומה.
הסיכון אף גובר כאשר בוחנים את רמת החשיפה הגוברת שלנו ל-IoT האינטרנט של הדברים בו משובצים סנסורים ומערכות ממוחשבות ברכיבים פיזיים (ממכשירים ביתיים, מוצרים רפואיים ומכונות תעשייתיות), המחוברים לאינטרנט. ככל שמכשירים אלו הופכים להיות חלקים אינטגרליים מחיינו הצורך לאבטח אותם גדל. ברכיבים רבים מהם קיימות חולשות אבטחת מידע אשר חושפות את המשתמשים לחשיפת מידע רגיש, חבלה בפעילות התקינה או חדירה לפרטיות.
אפליקציות אינטרנטיות, ובפרט אפליקציות אשר פותחו בהתאמה אישית כמו אתרים למתן שירותים עסקיים הכוללים מידע כלכלי רגיש, דורשות מבדק משמעותי בשל מספר הרב של פגיעויות פוטנציאליות. בנוסף, פלטפורמות לבניית אתרי אינטרנט, וממשקי API עשויים להכיל פגיעויות לוגיות וכשלי אבטחת מידע קריטי. לאור ריבוי האתרים וריבוי המתקפות נדרש הידוק רגולטורי של דרישות אלו בהתאם לרמת אבטחת המידע שידרוש המחוקק המותאם לסוג מידע השמור אצל חברות אלו.
***
הכותב הוא מנהל פעילות ישראל במרכז הגנת הסייבר של BDO
לאור ריבוי האתרים וריבוי המתקפות נדרש הידוק רגולטורי של דרישות אלו בהתאם לרמת אבטחת המידע שידרוש המחוקק. דעה
אילוסטרציה: Bigstock
השוק הפרטי המספק שירותים עסקיים רבים מרחוק אינו מחויב ברגולציה קבועה לבדיקת רמת אבטחת המידע שנשמר בו. לאחרונה, נפרץ אתר המספק שירותי הנהלת חשבונות לעצמאים והמידע הכלכלי הרגיש המצוי בו הפך לזמין לגורמים עוינים. למרות שהיקף המידע הרגיש הנמצא ברשות גורמים פרטיים הוא רב, הם אינם מחויבים על פי חוק לבצע בדיקות מהימנות ועמידות יזומות בפני פורצים למרות שבדיקות כאלו מחויבות על פי חוק בביצוע באתרי המגזר הציבורי.
אתרים של ארגונים ממשלתיים כמו בתי חולים וכדומה נדרשים כיום על פי חוק בביצוע של בדיקות חדירות - מתקפה מתוכננת ומבוקרת על מערכת ממוחשבת שנעשית על ידי בודק Ethical Hacker במטרה למצוא חולשות אבטחה, פוטנציאל הגישה לחולשות אלו, השימושיות שניתן להפיק מהגישה אליהן ואל המידע שהן מאכסנות. בדיקות האבטחה נעשו חשובות יותר על מנת לקבוע האם בקרות האבטחה פועלות כמתוכנן, ולהעריך כיצד מוגנים נכסי המידע.
הבדיקות נערכות בשלוש מתודולוגיות המתמקדות במציאת חולשות הן ברמה הטכנולוגית והן ברמה העסקית על ידי מציאת כשלים לוגיים באפליקציה, אשר מאפשרים לתוקף להגיע לייעדו.
Black-Box – בשיטה זו הבודק מדמה האקר אמיתי, ללא ידע קודם אודות המערכת. White-Box – בשיטה זו הבודק עובר על תשתיות האפליקציה, מקבל מידע מקדים אודות האפליקציה ורכיביה, כאשר אם עולה צורך הוא מקבל גם את קוד המקור ומעיין בו. בצורה זו ניתן לאתר כמה שיותר חולשות בזמן קצר, להגיע למסקנות מדויקות יותר. Grey-Box – בשיטה זו הבוקר מקבל ידע מקדים אודות האפליקציה, מזמין הבדיקה מספק לבודק משתמשים למערכת, ברמת הרשאות שונה.
כמו כן, מבוצעות כיום בארגונים הממשלתיים בדיקות סימולציה של תרחיש אמיתי בו נוצר איום מחוץ לארגון, אל מול הארגון הנתקף. כחלק מהבדיקה מתבצע איסוף מידע מודיעיני על המטרה וביצוע טכניקות הנדסה חברתית, פיתוח והעברה של פוגען לא ידוע דרך בקרות האבטחה ההיקפיות, הרצת הפוגען תוך מעקף מערכת האנטי-וירוס בארגון, יצירת טווח תקשורת עם שרת השליטה, והתפשטות רוחבית ברשת הארגון. וזאת לצד, קמפיינים של פישינג במגוון תרחישים אמיתיים בניסיון "להטעות" את משתמשי הקצה ללחוץ על קישורים, להזין פרטי הזדהות וכדומה.
הסיכון אף גובר כאשר בוחנים את רמת החשיפה הגוברת שלנו ל-IoT האינטרנט של הדברים בו משובצים סנסורים ומערכות ממוחשבות ברכיבים פיזיים (ממכשירים ביתיים, מוצרים רפואיים ומכונות תעשייתיות), המחוברים לאינטרנט. ככל שמכשירים אלו הופכים להיות חלקים אינטגרליים מחיינו הצורך לאבטח אותם גדל. ברכיבים רבים מהם קיימות חולשות אבטחת מידע אשר חושפות את המשתמשים לחשיפת מידע רגיש, חבלה בפעילות התקינה או חדירה לפרטיות.
אפליקציות אינטרנטיות, ובפרט אפליקציות אשר פותחו בהתאמה אישית כמו אתרים למתן שירותים עסקיים הכוללים מידע כלכלי רגיש, דורשות מבדק משמעותי בשל מספר הרב של פגיעויות פוטנציאליות. בנוסף, פלטפורמות לבניית אתרי אינטרנט, וממשקי API עשויים להכיל פגיעויות לוגיות וכשלי אבטחת מידע קריטי. לאור ריבוי האתרים וריבוי המתקפות נדרש הידוק רגולטורי של דרישות אלו בהתאם לרמת אבטחת המידע שידרוש המחוקק המותאם לסוג מידע השמור אצל חברות אלו.
***
הכותב הוא מנהל פעילות ישראל במרכז הגנת הסייבר של BDO
