בדיקות תקיפה הם סימולציות המאפשרות לארגון לראות היכן הוא עומד ביחס לסטנדרטים המקצועיים אליהם הוא שואף להגיע.
אך מנקודת מבט של מישהו שעוסק במקצוע נראה כי הארגונים לא משתמשים בכלי זה בצורה מסודרת וקבועה (מלבד הארגונים הנתונים לרגולציות של המערכת הבנקאית או הביטוחית).
עכשיו זה לא שאני מנסה למכור את התחום הזה יותר אלא אני באמת מאמין שכלי זה הוא אחד הכלים המרכזיים אשר יכול לשפר את רמת האבטחה בארגון. והרבה פעמים אני נוטה לראות כי כלי זה הוא הרבה יותר חזק מכל המוצרים האחרים הנמכרים בתחום מכיוון שכלי זה מדגים בצורה מחולטת את הסכנה המידית בטווח הקצר ובטווח הארוך.
אך כמו בכל כלי צריך לדעת איך להשתמש בו, ועל פי הנראה בשטח לא תמיד יודעים איך להשתמש דוגמא קלאסית היא השימוש בכלים אוטומטים כגון SKYBOX ודומים לו. האם באמת כלי שכזה יכול לאפשר לנו לראות היכן אנחנו עומדים?
בתשובתי לשאלה זו היא לא. כלי אוטומטי בחיים לא יכול לבצע מה שאדם חושב.
מניסיוני ניתן לראות כי הרבה פעמים מחשבה ושילוב של מספר דברים יחדיו משיגים את המטרה ולכלי אוטומטי אין את הבינה הזאת.
אני מעריך שחברות המוצרים הנ"ל יטענו כי הם מבצעים תשאול של הלקוח והבנת הרשת ופה זה מכוון אותי לשאלה הבא איך בוחרים מי יבצע את בחינת התקיפה שהזמנו.
האם לכל אחד יש רישיון להחזיק אקדח ולהשתמש בו ?
לא כל אחד שפותח חברה יכול לבוא ולבצע בדיקות חדירה ראו מקרה בנק הדואר למי שמכיר את הפרטים הקטנים אחד מהאנשים שביצע את התקיפה מכר שירותי יעוץ לאבטחה למספר רב של ארגונים.
אם לא זה אז מה הניסיון שלו, אם הוא יודע לדבר על אבטחת מידע האם זה אומר בהכרח שהוא יודע לבצע אבטחה ?!
איך בחרנו את החברה איתה אנחנו עובדים ?
האם עשינו השוואה במערכות שהם בחנו או שמענו שמועה שהם טובים?
מי מבצע את בדיקת החדירה אצלי, מה הניסיון שלו האם הוא יכול לראות את התמונה המלאה של הארגון שלי?
ועוד מספר רב של שאלות שאני מעריך שאם תעצרו ותישאלו את עצמכם תוכלו לדעת היכן אתם עומדים.
בנוסף אני נוטה לראות כי כלי זה מיושם בד"כ בסוף סקר במטרה לסגור את כל הפינות הקיימות ולראות האם ביצעו את סגירת מעגלי האבטחה כראוי אך האם זה נכון להשתמש בו אך ורק בסוף למה לא להשתמש בו בכל התהליך ולשפר את ההגנה תוך כדי. יכול להיות שבסוף זה יהיה מאוחר מדי ויעלה יותר מדי לתקן.
ותחשבו על זה ;)
אך מנקודת מבט של מישהו שעוסק במקצוע נראה כי הארגונים לא משתמשים בכלי זה בצורה מסודרת וקבועה (מלבד הארגונים הנתונים לרגולציות של המערכת הבנקאית או הביטוחית).
עכשיו זה לא שאני מנסה למכור את התחום הזה יותר אלא אני באמת מאמין שכלי זה הוא אחד הכלים המרכזיים אשר יכול לשפר את רמת האבטחה בארגון. והרבה פעמים אני נוטה לראות כי כלי זה הוא הרבה יותר חזק מכל המוצרים האחרים הנמכרים בתחום מכיוון שכלי זה מדגים בצורה מחולטת את הסכנה המידית בטווח הקצר ובטווח הארוך.
אך כמו בכל כלי צריך לדעת איך להשתמש בו, ועל פי הנראה בשטח לא תמיד יודעים איך להשתמש דוגמא קלאסית היא השימוש בכלים אוטומטים כגון SKYBOX ודומים לו. האם באמת כלי שכזה יכול לאפשר לנו לראות היכן אנחנו עומדים?
בתשובתי לשאלה זו היא לא. כלי אוטומטי בחיים לא יכול לבצע מה שאדם חושב.
מניסיוני ניתן לראות כי הרבה פעמים מחשבה ושילוב של מספר דברים יחדיו משיגים את המטרה ולכלי אוטומטי אין את הבינה הזאת.
אני מעריך שחברות המוצרים הנ"ל יטענו כי הם מבצעים תשאול של הלקוח והבנת הרשת ופה זה מכוון אותי לשאלה הבא איך בוחרים מי יבצע את בחינת התקיפה שהזמנו.
האם לכל אחד יש רישיון להחזיק אקדח ולהשתמש בו ?
לא כל אחד שפותח חברה יכול לבוא ולבצע בדיקות חדירה ראו מקרה בנק הדואר למי שמכיר את הפרטים הקטנים אחד מהאנשים שביצע את התקיפה מכר שירותי יעוץ לאבטחה למספר רב של ארגונים.
אם לא זה אז מה הניסיון שלו, אם הוא יודע לדבר על אבטחת מידע האם זה אומר בהכרח שהוא יודע לבצע אבטחה ?!
איך בחרנו את החברה איתה אנחנו עובדים ?
האם עשינו השוואה במערכות שהם בחנו או שמענו שמועה שהם טובים?
מי מבצע את בדיקת החדירה אצלי, מה הניסיון שלו האם הוא יכול לראות את התמונה המלאה של הארגון שלי?
ועוד מספר רב של שאלות שאני מעריך שאם תעצרו ותישאלו את עצמכם תוכלו לדעת היכן אתם עומדים.
בנוסף אני נוטה לראות כי כלי זה מיושם בד"כ בסוף סקר במטרה לסגור את כל הפינות הקיימות ולראות האם ביצעו את סגירת מעגלי האבטחה כראוי אך האם זה נכון להשתמש בו אך ורק בסוף למה לא להשתמש בו בכל התהליך ולשפר את ההגנה תוך כדי. יכול להיות שבסוף זה יהיה מאוחר מדי ויעלה יותר מדי לתקן.
ותחשבו על זה ;)
4 תגובות:
אני מסכים בהחלט. גם לדעתי הכלי הכי קוסט אפקטיב באבטחה הוא סימולציות תקיפה/בדיקות חוסן/בדיקות חדירה או כל שם אחר שנהוג לכנות את השיטה.
בנוסף לעובדה שזו הדרך היחידה לבדוק ולדעת באמת את רמת האבטחה שלך, זה גם כלי מעולה למנהל אבטחת מידע להוכיח פגיעות ולהשיג תקציב לטובת שיפור ממשי ולא על מנת להטמיע עוד מוצר אבטחה תאורטי. סקרי סיכונים למיניהם טובים בדברים מסויימים אם כי בעיני ליחם נס מזמן באופן כללי וקשה לי להבין ארגונים שמבזבזים סכומי עתק על סקרים קלאסיים אצל חברות היעוץ.
גם לי יצא לעבוד/לבחון מוצרים אוטומטיים למיניהם, חלקם לא רעים, אבל בהחלט עוד לא נתקלתי במשהו שיחליף את ההאקר האנושי המיומן.
אתה יוצא מנקודת הנחה שכל מי שמנהל מחלקת אבטחת מידע גם מבין בזה מספיק כדי לדעת שמה שטענת פה נכון.
לצערינו זה לא המצב, ולכן חברות כלים אוטומטיים מוכרות לא מעט.
אני נוטה להסכים כי הכלים שימושיים, אבל רק חלקית, לנקודות ספציפיות. כשמנהל מחלקה לא מבין את זה, האבטחה גרועה.
יש לפחות בנק אחד בישראל שמתנהל ככה לצערי...
האמת, למי שכבר עשה הכל כדי לסגור את הפרצות, זה גם די מגניב לראות איך מישהו לא מצליח להיכנס למערכות במקומות שסגרת ואיך הוא מצליח במקומות שלא חשבת עליהם.
רותם היי
אני לא חושב שקיים גוף כזה לפחות לא בישראל
על מנת שגוף "יעשה הכל כדי לסגור את הפרצות" הוא ידרש להשקעה רצינית ולחשיבה לא קונבציונלית ומה לעשות אנחנו עדיין רחוקים משם.
אנונימי היי
אני מסכים איתך ואני לא יוצא מנקודת הנחה שכל מי שמנהל מחלקת אבטחת מידע גם מבין בזה מספיק.
ולכן כתבתי את זה על מנת אולי להעיר כמה מהם :)
הוסף רשומת תגובה