החוליה החלשה שלכם עשויה להיות דווקא המערכת שמגנה עליכם
בעיות האבטחה במערכות מידע ואפליקציות עולות לכותרות רק במקרים חמורים, אך בדיקות חדירה מוכיחות שמפתחים וראשי צוותים טרם הפנימו את האחריות הרבה עומדת על כתפיהם לכתיבת קוד מאובטח, התוצאה: תקיפות חוזרות ונשנות של האקרים על מערכות מידע וארגונים. אז איך מתמודדים?
צלם/תמונה: Jamie Durrant/ Getty Images Israel
מאת ירון חקון
נתחיל בחידה: נניח שאתם מגיעים לפגישה אצל לקוח בבניין מאובטח יחסית בקומה X. הסתכלו סביב, מהי לדעתכם הדרך הקלה ביותר שדרכה יכול פורץ להתגנב לאותו חדר אליו הגעתם? מהי החוליה החלשה באבטחה? לפני שאתם עונים, חשבו על רמת האבטחה והבקרה הפיזית שעברתם לפני שנכנסתם לבניין – האם עברתם תחקיר ביטחוני מקדים, חתמתם על מסמך סודיות, התבקשתם להציג תעודה מזהה בכניסה וליוו אתכם מהכניסה עד לחדר הפגישות?
יש לכך תשובה אחת והיא מחכה לכם בתחתית העמוד, אך בחיים האמיתיים לא תמיד קל לזהות את החוליה החלשה ולפעמים יש יותר מאחת, ודאי כשמדובר על הגנת מערכות מידע.
האחראים על הגנת מרחב הסייבר בארגונים ובמוסדות עסוקים בשאלות חשובות: כמה כסף צריך להשקיע בביטחון, אילו חלקים במערכת עדיף להשקיע, היכן לבנות הגנה בשכבות והיכן אפשר לוותר? הרי עיקר ההגנה מתבצעת על ידי שילוב טכנולוגיות סייבר ותיקות וחדישות, וכך רוב הארגונים מתקינים "דלת קדמית" עבה מאוד, כלומר שכבת הגנה הכוללת רכיבים כגון FW, IPS מערכות סינון ועוד טכנולוגיות יקרות.
במקרים רבים מתגלה לאחר תקיפה מוצלחת (ולפעמים לאחר תקופה ארוכה מאוד) כי התוקפים נכנסו ישירות דרך הדלת הקדמית באמצעות ניצול מפגע המאפשר "דלת אחורית" לאזור המוגן. כן, הדלת הזו שבה השקענו את מיטב כספנו כדי להרגיש בטוחים, היא בעצמה עלולה להיות החוליה החלשה שדרכה ייכנס התוקף.
איך כל זה קשור לאבטחת אפליקציות?
חשוב לזכור: כל אחת ממערכות ההגנה הנמצאות בחזית הן אפליקציות שפיתחו אנשים בשר ודם, והרי ידוע שהאקרים אוהבים אפליקציות כי מפתחים עושים טעויות או מאמצים טעויות של מפתחים אחרים שמאפשרות להן לפרוץ. בדומה לארגונים, גם חברות מוצרי הסייבר שואלות שאלה דומה: כמה להשקיע באבטחת המוצר? כולן – חברות סייבר גדולות וקטנות, עשירות או בתחילת דרכן – עושות חשבון, ובחשבון זה, מתברר, תמיד מנסים לחסוך וכמה שיותר.
אז מה היא החוליה החלשה והיכן כדאי להשקיע את רוב הכסף כדי למנוע פריצות ולהגן על נכסי החברה? הכי טוב ללמוד מבעלי ניסיון, אז הבאנו לכם שני סיפורים אמיתיים, ראשון על חברת סטארטאפ ושני על חברה ותיקה, שתיהן מפתחות מוצרי הגנה בסייבר. כל אחת מהן עברה תהליך של בדיקת חדירה אפליקטיבית (Application Penetration Testing) והגיעה לתוצאות מעניינות.
צלם/תמונה: Deborah Pendell/ Getty Images Israel
1. חברת סטארטאפ
חברת סייבר חדשה מפתחת פתרון SAAS בענן, הנותן מענה אבטחה מושלם לחברות המבצעות שימוש באפליקציות ענן. בשיחת הפתיחה לבדיקה התקבל הרושם שיהיה קשה מאוד לפרוץ את המערכת: "אבטחת מידע זורמת בעורקים שלנו", אמר איש הקשר בחברת הסייבר, "אין באמת סיכוי שיימצא משהו, אבל אנחנו רוצים להיות בטוחים ב-100%, כי אם יפרצו הלקוחות יהיו ממש חשופים". עם החלק השני אפשר להסכים, אבל לגבי החלק הראשון – ב-99% מהבדיקות יש ממצאים חדשים.
החברה הסכימה לבצע "סקר איומים" קצר על המערכת, לצורך מיקוד הבדיקה, ובמהלכו נמצאו מספר בעיות אקוטיות בארכיטקטורה שגרמו לכמה אנשים בחברה לגרד את הראש. תוצאות הבדיקה המלאה גם לא היו מעודדות: מ-Sql Injection שלפעמים נדמה שנכחד מהעולם (בגלל השימוש הנרחב ב-ORM למיניהם), דרך מניעת שירות והרצת סקריפטים בכל מקום ועד אופציה להעלות למערכת קובץ זדוני שיכול לשמש תוקף כ-back door שדרכו ניתן לגשת לכל נכסי הלקוחות המוגדרים (הסיכון העיקרי במערכות אבטחה מסוג SAAS).
המערכת שהייתה אמורה לספק הגנה התגלתה כחוליה החלשה עבור לקוחותיה, כי דרכה ניתן לפרוץ לנכסי לקוחות שהוגדרו במערכת.
2. חברת סייבר ותיקה
פירמה מכובדת מאוד המשווקת מוצר מוביל בתחום ההגנה על רשתות תקשורת ופועלת בזירה תחרותית מאוד, השקיעה מאמצים רבים בתחום אבטחת המידע: הדרכות למפתחים, תהליך פיתוח מאובטח ובדיקות אבטחה באופן סדיר לכל המערכות. בכל סבב בדיקות נמצאות בעיות אבטחה ברמה כזאת או אחרת, והחברה תיקנה אותן במהירות.
אך בבדיקות האחרונות התגלתה חשיפה מפתיעה באחד ממוצרי החברה, שמטרתו למנוע חיבור לא מאושר של ציוד רשת ואמצעי קצה כגון, מחשבים ומדפסות. ניצול הממצא מאפשר שיבוש של פעולת המוצר, וכתוצאה מכך לגרום לרשת כולה להיות לא זמינה. כלומר, כולם יצאו לחופש כפוי, אין שירות לקוחות ואי אפשר אפילו לשלוח מייל. המצב היה מביך אף יותר – לצורך הפסקת המתקפה על רשת הלקוח נדרש כיבוי המוצר עם האצבע (ככה זה לפעמים עם שרתים פיזיים).
אז מה בדיוק קרה? החשיפה נבעה משילוב חבילת "קוד פתוח" פופולרית מאוד אך לא מעודכנת באחד הממשקים הישנים של המערכת, ולאחר חקירה התברר שהחשיפה הייתה במערכת מעל לשלוש שנים.
אז מה עושים?
– חשוב לדעת ולזכור שמוצרי אבטחה עלולים בעצמם להיות החוליה החלשה, ולהביא זאת בחשבון בעת תכנון מענה הגנה. הפתרון הוא הגנה בשכבות עם יתירות.
– יש להניח שבכול מוצר אבטחה, יקר או זול, ממתינה לה חשיפה כזאת או אחרת שעלולה להתגלות יום אחד בהיר. לכן חשוב לבדוק את כל מוצרי האבטחה, לא משנה כמה הם עלו; ולבצע תהליך פיתוח מאובטח למערכות, גם אם הם מצויות מאחורי חומות הגנה נפלאות.
– אצל חברות הסייבר, חשוב להשקיע משאבים במקומות שבהם לפעמים נדמה שלא צריך. למשל תהליך SDLC מותאם למוצר, טיפוח תקשורת תקינה בין כל קבוצות הפיתוח, בקרה אחר שימוש בספריות קוד פתוח, חינוך של העובדים לפיתוח מאובטח ועוד.
ודבר אחד אחרון, התשובה לחידה מלמעלה: החלון. כן החלון, שבדרך כלל אינו מסורג, הוא לרוב החוליה החלשה דרכה ינסה הפורץ להיכנס למשרד.

הכתבה בחסות APPSEC LABS
חברת APPSEC LABS הינה חברה המתמחה באבטחת אפליקציות במנעד רחב של טכנולוגיות הכוללת: Web, Desktop, Mobile, IoT, Embedded ו-Blockchain. מספקת את שירותיה למאות לקוחות מכל המגזרים בארץ ובעולם. אפסק מספקת סל מלא של שירותי אבטחת אפליקציות הכוללים: בדיקות חוסן, הדרכות פיתוח מאובטח למפתחים בשלל טכנולוגיות וייעוץ לפיתוח מאובטח (SDL). לפרטים נוספים לחצו כאן.
הגב
15 תגובות על "החוליה החלשה שלכם עשויה להיות דווקא המערכת שמגנה עליכם"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
מעניין, תודה על הפרסום.
המנגנון הכי חשוב באבטחת אפליקציות זה אוטוריזציה
אני בכלל לא מסכים, שירותי CDN בדרך כלל מגנים טוב.
נקודה חשובה
מוצרי אבטחת מידע עלולים בהחלט להיות דלת אחורית, למשל open ssl
תודה רבה
האם זה אפשרי לפתח שכבת הגנה שכל המטרה שלה לשמש כ"קולטני חבלה "? הרעיון שאם היא תמצא את "מוקד הרעש" תבנה סביבו סוג של sandbox בזמן אמת ותזרים לתוקף מערך שלם של נתונים חיים ונושמים כך שהתוקף יהיה בטוח שהוא נחשף למערכת והולך לו….מה שנקרא הפרד ומשול ….
זה נקרא honey pot.
יש לזה כל מיני גרסאות ושיטות.
לא בדיוק מה שהצעת (נשמע מורכב מדי) אבל אותו עקרון
למשל לשים איפה שהוא במערכת רשימת "סיסמאות" ולבדוק אם מישהו מנסה להתחבר איתם.
מהניסיון שלי רוב המפתחים בחברה שלנו חסרי ידע בסייבר, חושבים שהקוד שלהם לא פגיע כי הוא רץ על שרת מאחורי חומת אש
אבל הנה גם חומת האש יכולה להיות פגיעה ואז עם מה נשארנו מפתחים ?
בסוף אם הקוד פגיע אז הנתונים בסיכון
אני מפחד מהיום שנקבל בראש בגלל שהמפתחים חושבים שהם אלוהים …
למעשה הדרך הכי פשוטה להיכנס לחברה היא דרך עובדי השירות: השומר, המעקה, הטבחים, המשלוחים. הם כנראה הכי קלים לשיחוד ולהתחזות כי אנשי החברות בקושי מכירים אותם או מתייחסים אליהם. החלון דווקא נשמע עסק מסובך כשמדובר בקומה X.
קוראים לזה הגורם האנושי או הנדסה חברתית ותתפלא כמה שזה חשוב לא משקיעים בזה מספיק..
ואם קומה X היא 1- חחחח
נכון עובדי ניקיון הם גם חוליה חלשה אין ספק, אבל מסכים עם הכותב, על החלון לא שומרים בכלל, מעבר לזה שמדובר בקונספט כללי ולא נקודה עקרונית …
אין מה לעשות, מנהלי אבטחת מידע הם אפסים, סתם תפקיד של חסרי סיכוי וקומבינות
מפתחים עושים מה שרוצים, למנהלי אבטחה אין סיכוי מולם
כולם רצים כאן עם ADMIN ברשת, אפילו למנהל אבטחה אין ADMIN בדיחה …
מה זה SDLC
Software Development Life Cycle
החולייה החלשה שלי היא T10 אבל מאמר מעניין מאוד :)
הרבה יותר מדי מתכנתים אוהבים sql ולא אוהבים להתאמץ לקרוא קצת על injection.
ככה יוצא שבשורת חיפוש/בקריאת http שנשלחה אפשר להכניס איזה OR 1=1 ואז מתחיל הכיף האמיתי.