החוליה החלשה שלכם עשויה להיות דווקא המערכת שמגנה עליכם

בעיות האבטחה במערכות מידע ואפליקציות עולות לכותרות רק במקרים חמורים, אך בדיקות חדירה מוכיחות שמפתחים וראשי צוותים טרם הפנימו את האחריות הרבה עומדת על כתפיהם לכתיבת קוד מאובטח, התוצאה: תקיפות חוזרות ונשנות של האקרים על מערכות מידע וארגונים. אז איך מתמודדים?

 Jamie Durrant/ Getty Images Israel

צלם/תמונה: Jamie Durrant/ Getty Images Israel

מאת ירון חקון

נתחיל בחידה: נניח שאתם מגיעים לפגישה אצל לקוח בבניין מאובטח יחסית בקומה X. הסתכלו סביב, מהי לדעתכם הדרך הקלה ביותר שדרכה יכול פורץ להתגנב לאותו חדר אליו הגעתם? מהי החוליה החלשה באבטחה? לפני שאתם עונים, חשבו על רמת האבטחה והבקרה הפיזית שעברתם לפני שנכנסתם לבניין – האם עברתם תחקיר ביטחוני מקדים, חתמתם על מסמך סודיות, התבקשתם להציג תעודה מזהה בכניסה וליוו אתכם מהכניסה עד לחדר הפגישות?

יש לכך תשובה אחת והיא מחכה לכם בתחתית העמוד, אך בחיים האמיתיים לא תמיד קל לזהות את החוליה החלשה ולפעמים יש יותר מאחת, ודאי כשמדובר על הגנת מערכות מידע.

האחראים על הגנת מרחב הסייבר בארגונים ובמוסדות עסוקים בשאלות חשובות: כמה כסף צריך להשקיע בביטחון, אילו חלקים במערכת עדיף להשקיע, היכן לבנות הגנה בשכבות והיכן אפשר לוותר? הרי עיקר ההגנה מתבצעת על ידי שילוב טכנולוגיות סייבר ותיקות וחדישות, וכך רוב הארגונים מתקינים “דלת קדמית” עבה מאוד, כלומר שכבת הגנה הכוללת רכיבים כגון FW, IPS מערכות סינון ועוד טכנולוגיות יקרות.

במקרים רבים מתגלה לאחר תקיפה מוצלחת (ולפעמים לאחר תקופה ארוכה מאוד) כי התוקפים נכנסו ישירות דרך הדלת הקדמית באמצעות ניצול מפגע המאפשר “דלת אחורית” לאזור המוגן. כן, הדלת הזו שבה השקענו את מיטב כספנו כדי להרגיש בטוחים, היא בעצמה עלולה להיות החוליה החלשה שדרכה ייכנס התוקף.

איך כל זה קשור לאבטחת אפליקציות?

חשוב לזכור: כל אחת ממערכות ההגנה הנמצאות בחזית הן אפליקציות שפיתחו אנשים בשר ודם, והרי ידוע שהאקרים אוהבים אפליקציות כי מפתחים עושים טעויות או מאמצים טעויות של מפתחים אחרים שמאפשרות להן לפרוץ. בדומה לארגונים, גם חברות מוצרי הסייבר שואלות שאלה דומה: כמה להשקיע באבטחת המוצר? כולן – חברות סייבר גדולות וקטנות, עשירות או בתחילת דרכן  – עושות חשבון, ובחשבון זה, מתברר, תמיד מנסים לחסוך וכמה שיותר.

אז מה היא החוליה החלשה והיכן כדאי להשקיע את רוב הכסף כדי למנוע פריצות ולהגן על נכסי החברה? הכי טוב ללמוד מבעלי ניסיון, אז הבאנו לכם שני סיפורים אמיתיים, ראשון על חברת סטארטאפ ושני על חברה ותיקה, שתיהן מפתחות מוצרי הגנה בסייבר. כל אחת מהן עברה תהליך של בדיקת חדירה אפליקטיבית (Application Penetration Testing) והגיעה לתוצאות מעניינות.

 Deborah Pendell/ Getty Images Israel

צלם/תמונה: Deborah Pendell/ Getty Images Israel

1. חברת סטארטאפ

חברת סייבר חדשה מפתחת פתרון SAAS בענן, הנותן מענה אבטחה מושלם לחברות המבצעות שימוש באפליקציות ענן. בשיחת הפתיחה לבדיקה התקבל הרושם שיהיה קשה מאוד לפרוץ את המערכת: “אבטחת מידע זורמת בעורקים שלנו”, אמר איש הקשר בחברת הסייבר, “אין באמת סיכוי שיימצא משהו, אבל אנחנו רוצים להיות בטוחים ב-100%, כי אם יפרצו הלקוחות יהיו ממש חשופים”. עם החלק השני אפשר להסכים, אבל לגבי החלק הראשון – ב-99% מהבדיקות יש ממצאים חדשים.

החברה הסכימה לבצע “סקר איומים” קצר על המערכת, לצורך מיקוד הבדיקה, ובמהלכו נמצאו מספר בעיות אקוטיות בארכיטקטורה שגרמו לכמה אנשים בחברה לגרד את הראש. תוצאות הבדיקה המלאה גם לא היו מעודדות: מ-Sql Injection שלפעמים נדמה שנכחד מהעולם (בגלל השימוש הנרחב ב-ORM למיניהם), דרך מניעת שירות והרצת סקריפטים בכל מקום ועד אופציה להעלות למערכת קובץ זדוני שיכול לשמש תוקף כ-back door שדרכו ניתן לגשת לכל נכסי הלקוחות המוגדרים (הסיכון העיקרי במערכות אבטחה מסוג  SAAS).

המערכת שהייתה אמורה לספק הגנה התגלתה כחוליה החלשה עבור לקוחותיה, כי דרכה ניתן לפרוץ לנכסי לקוחות שהוגדרו במערכת.

2. חברת סייבר ותיקה

פירמה מכובדת מאוד המשווקת מוצר מוביל בתחום ההגנה על רשתות תקשורת ופועלת בזירה תחרותית מאוד, השקיעה מאמצים רבים בתחום אבטחת המידע: הדרכות למפתחים, תהליך פיתוח מאובטח ובדיקות אבטחה באופן סדיר לכל המערכות. בכל סבב בדיקות נמצאות בעיות אבטחה ברמה כזאת או אחרת, והחברה תיקנה אותן במהירות.

אך בבדיקות האחרונות התגלתה חשיפה מפתיעה באחד ממוצרי החברה, שמטרתו למנוע חיבור לא מאושר של ציוד רשת ואמצעי קצה כגון, מחשבים ומדפסות. ניצול הממצא מאפשר שיבוש של פעולת המוצר, וכתוצאה מכך לגרום לרשת כולה להיות לא זמינה. כלומר, כולם יצאו לחופש כפוי, אין שירות לקוחות ואי אפשר אפילו לשלוח מייל. המצב היה מביך אף יותר – לצורך הפסקת המתקפה על רשת הלקוח נדרש כיבוי המוצר עם האצבע (ככה זה לפעמים עם שרתים פיזיים).

אז מה בדיוק קרה? החשיפה נבעה משילוב חבילת “קוד פתוח” פופולרית מאוד אך לא מעודכנת באחד הממשקים הישנים של המערכת, ולאחר חקירה התברר שהחשיפה הייתה במערכת מעל לשלוש שנים.

אז מה עושים?

– חשוב לדעת ולזכור שמוצרי אבטחה עלולים בעצמם להיות החוליה החלשה, ולהביא זאת בחשבון בעת תכנון מענה הגנה. הפתרון הוא הגנה בשכבות עם יתירות.

– יש להניח שבכול מוצר אבטחה, יקר או זול, ממתינה לה חשיפה כזאת או אחרת שעלולה להתגלות יום אחד בהיר. לכן חשוב  לבדוק את כל מוצרי האבטחה, לא משנה כמה הם עלו; ולבצע תהליך פיתוח מאובטח למערכות, גם אם הם מצויות מאחורי חומות הגנה נפלאות.

– אצל חברות הסייבר, חשוב להשקיע משאבים במקומות שבהם לפעמים נדמה שלא צריך. למשל תהליך SDLC מותאם למוצר, טיפוח תקשורת תקינה בין כל קבוצות הפיתוח, בקרה אחר שימוש בספריות קוד פתוח, חינוך של העובדים לפיתוח מאובטח ועוד.

ודבר אחד אחרון, התשובה לחידה מלמעלה: החלון. כן החלון, שבדרך כלל אינו מסורג, הוא לרוב החוליה החלשה דרכה ינסה הפורץ להיכנס למשרד.

הכתבה בחסות APPSEC LABS

חברת APPSEC LABS הינה חברה המתמחה באבטחת אפליקציות במנעד רחב של טכנולוגיות הכוללת: Web, Desktop, Mobile, IoT, Embedded ו-Blockchain. מספקת את שירותיה למאות לקוחות מכל המגזרים בארץ ובעולם. אפסק מספקת סל מלא של שירותי אבטחת אפליקציות הכוללים: בדיקות חוסן, הדרכות פיתוח מאובטח למפתחים בשלל טכנולוגיות וייעוץ לפיתוח מאובטח (SDL). לפרטים נוספים לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

15 תגובות על "החוליה החלשה שלכם עשויה להיות דווקא המערכת שמגנה עליכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
דניאל בן משה
Guest

מעניין, תודה על הפרסום.

פלוני אלמוני
Guest

המנגנון הכי חשוב באבטחת אפליקציות זה אוטוריזציה

האקר קאקר
Guest

אני בכלל לא מסכים, שירותי CDN בדרך כלל מגנים טוב.

בן פישר
Guest

נקודה חשובה
מוצרי אבטחת מידע עלולים בהחלט להיות דלת אחורית, למשל open ssl

תודה רבה

פניאל
Guest

האם זה אפשרי לפתח שכבת הגנה שכל המטרה שלה לשמש כ”קולטני חבלה “? הרעיון שאם היא תמצא את “מוקד הרעש” תבנה סביבו סוג של sandbox בזמן אמת ותזרים לתוקף מערך שלם של נתונים חיים ונושמים כך שהתוקף יהיה בטוח שהוא נחשף למערכת והולך לו….מה שנקרא הפרד ומשול ….

אחד
Guest

זה נקרא honey pot.
יש לזה כל מיני גרסאות ושיטות.
לא בדיוק מה שהצעת (נשמע מורכב מדי) אבל אותו עקרון
למשל לשים איפה שהוא במערכת רשימת “סיסמאות” ולבדוק אם מישהו מנסה להתחבר איתם.

אמיר מרון
Guest

מהניסיון שלי רוב המפתחים בחברה שלנו חסרי ידע בסייבר, חושבים שהקוד שלהם לא פגיע כי הוא רץ על שרת מאחורי חומת אש
אבל הנה גם חומת האש יכולה להיות פגיעה ואז עם מה נשארנו מפתחים ?
בסוף אם הקוד פגיע אז הנתונים בסיכון
אני מפחד מהיום שנקבל בראש בגלל שהמפתחים חושבים שהם אלוהים …

שיהיה
Guest

למעשה הדרך הכי פשוטה להיכנס לחברה היא דרך עובדי השירות: השומר, המעקה, הטבחים, המשלוחים. הם כנראה הכי קלים לשיחוד ולהתחזות כי אנשי החברות בקושי מכירים אותם או מתייחסים אליהם. החלון דווקא נשמע עסק מסובך כשמדובר בקומה X.

ישי
Guest

קוראים לזה הגורם האנושי או הנדסה חברתית ותתפלא כמה שזה חשוב לא משקיעים בזה מספיק..

נחוםתקום
Guest

ואם קומה X היא 1- חחחח
נכון עובדי ניקיון הם גם חוליה חלשה אין ספק, אבל מסכים עם הכותב, על החלון לא שומרים בכלל, מעבר לזה שמדובר בקונספט כללי ולא נקודה עקרונית …

מפתחשמח
Guest

אין מה לעשות, מנהלי אבטחת מידע הם אפסים, סתם תפקיד של חסרי סיכוי וקומבינות
מפתחים עושים מה שרוצים, למנהלי אבטחה אין סיכוי מולם
כולם רצים כאן עם ADMIN ברשת, אפילו למנהל אבטחה אין ADMIN בדיחה …

שלומי
Guest

מה זה SDLC

Roy
Guest

Software Development Life Cycle

כואבבגב
Guest

החולייה החלשה שלי היא T10 אבל מאמר מעניין מאוד :)

Shay
Guest

הרבה יותר מדי מתכנתים אוהבים sql ולא אוהבים להתאמץ לקרוא קצת על injection.
ככה יוצא שבשורת חיפוש/בקריאת http שנשלחה אפשר להכניס איזה OR 1=1 ואז מתחיל הכיף האמיתי.

wpDiscuz

תגיות לכתבה: