האקינג מוסרי – הדרך הנכונה להגנה על המידע

חברות עסקיות בכל הגדלים, ארגונים ממשלתיים ולקוחות פרטיים ועסקיים חזו בשנים האחרונות באינספור אירועי פריצה למידע, שמהווים סכנה אמיתית לחשיפה עבור פירצה באבטחת הסייבר שעלול לגבות מחיר יקר – כלכלי ותדמיתי. האירועים הציבו את אבטחת הסייבר בעדיפות עליונה בקרב העוסקים בתחום.

העולם  נמצא כיום בהיפר-חיבוריות המשולבת בטכנולוגיות מתקדמות שגורמת לנו להיות מוצפים באוקיינוס של מידע (Big Data). לצד היתרונות הרבים, הגידול במידע מביא עימו שכלולים גם בקרב גורמים שרוצים לחדור אליו ולהוות סכנה למחזיקים באותו מידע: אישי, כלכלי, מקצועי או ביטחוני. ההאקר קווין מיצ’ניק אמר “האקינג (Hacking) מנצל את החורים באבטחה ובשליטה על המידע בצורה טכנית, פיזית או מבוססת-אנוש”. בדומה לכך אך בתמונת מראה, כדי לאתר את ההאקרים ה”חיוביים” של הדור הבא, מסגרות של האקינג-מוסרי -חיובי דורשות מרכיבים טכנולוגיים ואנושיים מתאימים. חברות שרוצות לשמור על המידע שלהן חייבות להשתמש בגישה קרובה יותר הכוללת מבט רחב על יוזמות אבטחת סייבר ולהפעיל פתרונות אבטחת סייבר להווה ובעיקר לעתיד. האקינג המשולב בצורה מוסרית הוא אחד הפתרונות הטובים ביותר עבור כל הארגונים והחברות שרוצות לשמור על המידע ולא להישאר צעד אחד אחרי ההאקרים שמנסים לגנוב להם את המידע.

 מהו Ethical Hacking ?

האקינג מוסרי (Ethical Hacking) הוא צעד אחד קדימה להאקרים המוכרים והרעים שגונבים מידע סודי באמצעות שימוש במתקפות סייבר מתוחכמות שלא נבלמות בדרכי ההגנה המוכרות וה”מסורתיות”. האקינג מוסרי הוא גלגל הצלה במקרים של התקפות סייבר.

למעשה, האקינג מוסרי הוא רק שם כולל לכלל הפעולות שנעשות לשם חדירה למאגרי המידע בחסות ובאישור המחזיקים במידע כדי לגלות את החולשות והדרכים לפריצה במערכת של אותו ארגון. ההאקינג המוסרי לא רק מוצא את הפרצות, התהליכים והחולשות במערכת אלא מוודא כי הן נפתרות וכי המידע מוגן. האקר מוסרי מאושר ומתוייג בצורה חוקית להשתמש בטכניקות שלמד כדי לסתום פרצות באפשרות להגיע למידע הקריטי של אותו ארגון בשמו הוא פועל. הם עושים את אותה ה”עבודה” כמו ההאקרים המוכרים והמזיקים כשההבדל נעוץ במטרה לשמה הם פועלים: הגנה ומנע  במקום התקפה.

באילו טכניקות משתמשים האקרים מוסריים?

בעוד חברות ממשיכות להשתמש בטכניקות טובות אך מוכרות למלחמה במתקפות סייבר, האקינג מוסרי צובר פופולאריות וגדל לאורך זמן. הוא מסוגל לתת הערכת פגיעות, בדיקות חדירה והנדסה חברתית. בואו נצלול טיפה עמוק יותר ונלמד איך אפשר לנצל את ההאקינג המוסרי ואת הטכניקות שיעזרו לשמור על המידע.

הערכת פגיעות

הערכת הפגיעות (Vulnerability Assessment) של המערכות בהן מאוחסן המידע דורשת למצוא את כל הפרצות האפשרויות באבטחה לפני שמישהו יתקוף את המערכת לפנייך. הערכות פגיעות על בסיס קבועי-זמן מוגדרים הם צעד טוב ראשון לשמור על המידע חסוי מפני מתקפות סייבר חיצוניות. ההערכה כוללת בדיקות תוכנה וחומרה שמאפשרות לזהות, למדוד ולתעדף את החולשות במערכות ה-IT או ברשתות המחשבים בזמן קבוע. במילים פשוטות, מדובר בניתוח סיכונים לזיהוי ולאחר מכן להתמודדות עימם בצורה שקולה. המטרות העיקריות הן לזהות חולשות כמו באגים בשורות הקוד או הגדרות מערכת שאינן מתאימות להפעלה ולצרכים. הדבר מסייע לאתר תוקפים פוטנציאליים שיכולים לחשוף חולשות בתהליכי האבטחה או במערכות הפנימיות. לאחר מכן, רצוי לתעד את החולשות כך שהמפתחים והאחראים למערכות שאותרו כפגיעות יבינו מה התגלה וימצאו את הדרכים לחסום אותן. הערכת החולשות מאפשרת למפתחים להבין את כל הדרכים והתהליכים שמתבצעים בקרבי המערכות ולהציע פעולות מתקנות לסגירת החורים כולל ההבנה מה הנזקים שעלולים להתרחש אם לא יסגרו אותן בהקדם.

בדיקות חדירה

ברגע בו מזוהות החולשות, מגיע הזמן לסגור אותן. בדיקות חדירה (Penetration Testing), שלעיתים מכונות Pen Test, הן התקפות מתוכננות על המערכת, רשת או אפליקציית רשת של ארגון או חברה, אשר מאשרות בצורה חוקית ומסודרת את התקיפה על המידע של החברה דרך אחת הפרצות שנמצאו – בדיוק כפי שהאקר היה יכול לבצע. המטרות העיקריות של בדיקות אלה הן למדוד את כמות המידע שניתן לגנוב, לזהות את נקודות החדירה  האפשריות ולחשוף את החולשות. ישנן מספר סוגי בדיקות חדירה. הבדיקות החיצוניות מתמקדות במקורות חיצוניים, שיכולים להיות בשימושם של ההאקרים. ברגע שהמידע ממקורות חיצוניים לארגון נאסף, בדיקות החדירה מתבצעות באמצעות ניסיון דילוג מעל השרתים, חומות האש וכדומה. הבדיקות הפנימיות כוללות שימוש במידע זמין מתוך הארגון שמשמש לאיתור חורים באבטחה. כפועל יוצא, האקרים מוסריים ינסו להגיע למידע החסוי והסודי באמצעות סיסמאות דומיין, admin username ושלל שיטות פשוטות אך רווחות להיכנס למידע בצורה קלה ולכאורה לא מסובכת. האקרים לעיתים נכנסים לכתובות מייל או חשבונות באמצעות שימוש בסיסמאות פשוטות (1234 או שם משתמש וסיסמא זהים). איום פנימי נוסף יכול להיות הרשאות לא נכונות לגישה למידע לעובדים הלא-מתאימים או אי עדכון בזמן של חילופי עובדים על אותה עמדת עבודה עם גישה למידע שהוגדרה לעובד הקודם שכבר סיים את עבודתו.

עם השלמת שלל בדיקות החדירה, ההאקרים המוסריים מדווחים על התצפיות והמהלכים שביצעו והמידע שנחשף בפניהם עם המלצות למפתחים בנוגע לדרכים אפשריות לסגירת חורי האבטחה והבאגים.

בדיקות הנדסה חברתית

אחרי שהשלמנו את ההגנה על החומרה, התוכנה והרשת הפיזית, המרכיב האחרון שצריך לבדוק  הוא עובדי החברה. פושעי סייבר עושה שימוש ביצירתיות כדי לגנוב את המידע העסקי והחסוי שמאוחסן. הנדסה חברתית (Social Engineering) היא סוג של Pen testing באמצעותם חושפים את החולשות של הרשת האנושית לצורך חדירה לרשת הממוחשבת. קווין מיצניק אומר: “הנדסה חברתית היא שימוש במניפולציה, השפעה והטעייה של אדם הגון מתוך הארגון לבצע בקשה, אשר לרוב כוללת מתן מידע או ביצוע פעולה לטובת התוקפים”. הודעות פישינג, לדוגמא, יכולות לגרום לעובדים ללחוץ על קישורים או למלא בקשות למידע שמכניס את התוקפים למידע החסוי של החברה.

ישנם מספר סוגים של בדיקות הנדסה חברתית: משחקי חשיבה (Mind games) הן בדיקות שנועדו לבחון את הרגישות של אנשים להטעייה, בעיקר כאשר פושעי הסייבר נוקשים על דלתות הפארנויה. הודעת מייל שנשלחת לעובד ובו נכתב כי אותרה תנועה לא מאושרת במחשב, אשר דורשת כניסה באמצעות לחיצה על קישור לצורך קבלת אישור ממנהל הרשת כדי למנוע עבירה על פעולות אסורות. אותה הפעולה של הלחיצה על הקישור התמים לכאורה, בו העובד רוצה לפועל לכאורה על פי הנהלים, היא זו שתגרום לפריצה של ההאקר פנימה ותסכן את המידע של הארגון. בדיקות פעילות שגרתית (Humdrum activity) היא בדיקה שבאה לבדוק את החולשות שמתבצעות כתוצאה מהשגרה השוחקת. האקרים מנסים לחקות פעילות סייבר שגרתית כדי לנצל את חוסר העמידה על המשמר, אם אפשר לקרוא לזה כך, של העובד והפעולות שהוא עושה באופן קבוע כמעט מבלי לשים לב. לדוגמא, הודעת אימייל שנראה כאילו נשלחה ממנהל הרשת, אחראי ה-IT או מחלקת כוח האדם, בה העובד מתבקש למלא סקר או ללחוץ על קישור למענה על שאלון, לעדכן תוכנה מסוימת או לעדכן מידע אישי באתר העובדים של החברה. לחיצה על הקישור, שנשלחת מכתובת שיכולה להתחזות באופן כמעט מושלם לכתובת האמיתי, לרוב עם שינוי שקשה לשים לב אליו (אות מיותרת, סיומת מייל שונה), היא הפתח של ההאקר למערכת. בדיקה אופיינית נוספת היא הפעילות החשודה (Suspicious activity): פושעי סייבר שולחים לעיתים אזהרות מזויפות אשר דורשות מהנמען לפתוח היפר-לינק או קובץ מצורף בהודעות הנחזות לחברה מוכרת או אשר נראות דומות בצורה כמעט מלאה להודעות מייל אמיתיות מהבנק, הדואר, אתר קניות וכדומה. ההודעות נראות באותו גופן, צבע, גודל ותמונות כמו ההודעות השגרתיות שאותו נמען מקבל מגופים איתם הוא עובד ועליהם הוא סומך. לחיצה על קישור תמים לכאורה הוא הפתח לתוך המידע הארגוני.

כלל בדיקות ההנדסה החברתית מסייעות להעריך את המודעות של העובדים על ידי אחראי ה-IT או אבטחת הסייבר של הארגון. האקרים מוסריים יכולים לבחון את החולשות של העובדים לניסיונות פריצה באמצעותם ולהעלאות את המודעות שלהם לסכנות שמאיימות על הארגון.

אם נסתכל על כלל הבדיקות שנעשו, נראה כי השילוב של כולן, הן בהיבטי החומרה, התוכנה ואמצעי האבטחה והן באמצעות ניסיונות לחדור באמצעות עובדי החברה, הן תנאי מקדים לכל ארגון או חברה שמאחסנת מידע יקר ערך על התשתיות שלה. הדבר הנכון לעשות הוא לבצע את כלל הבדיקות כבר בשלבי הקמת המערכות ובשלבי ההרצה הראשוניים כדי לגלות את כל הפרצות האפשרויות בשלב מוקדם עד כמה שניתן. השיטות שמבוצעות על ידי האקרים מוסריים יכולים לחסוך לארגונים כסף רב, כאב ראש וכן להעלות את המודעות של כלל עובדי החברה לכמה צעדים פשוטים, חשדנות בריאה והתנהלות נכונה.

שלומי שמעוני, מנהל מחלקת אוטומציה ו DevOps , קווליטסט ישראל

תגובות סגורות