האפשרות לניצחון בהתקפה - הבלתי מנוצח טמון בהגנה
אחד מספרי הספרות הצבאית, הוא יצירה ספרותית נפלאה שנכתבה על ידי ארנסט דנלופ סווינטון "ההגנה על הסחף של דאפר". הספר פורסם בשנת 1904 והוא מתאר קצין בריטי צעיר וחסר ניסיון, המוטל עליו להחזיק נקודת מעבר של נהר עם 50 חיילים נגד אויב גדול יותר בזמן מלחמת הבורים II.
בעת שינתו, חווה שישה חלומות, הקפטן הצעיר מנסה שוב ושוב להגן, תוך כדי חלומותיו עושה טעויות קטלניות בתרגוליו. טקטיקות החי"ר בחלומות המוקדמים הן הרות אסון, אבל עם כל חלום עוקב הקפטן לומד משהו חדש מהקרב ומשנה את הטקטיקה שלו בהתאם.
כמנהל אבטחת מידע בארגון גדול או קטן, אתה עלול להתמודד עם אויב גדול יותר. אם הארגון שלך לא הותקף עד עכשיו, יש סיכוי טוב שהוא יהיה תחת מתקפה בעתיד.
למרבה הצער, אין אבטחה מושלמת, ואם לתוקף יש את הזמן, הרצון והמשאבים, זה לא עניין של "אם" תצטרף לסטטיסטיקה, אלא של "מתי". למרבה הצער כאמור לעיל, אתה לא יכול להתעורר מחלום ולהתחיל מחדש, לתקן את ההגנות שלך כמתואר בספר.
עם זאת, הספר מעודד חשיבה ביקורתית ושימוש זהיר בכלים כדי לבנות הגנה מוצלחת. מגוון האיומים הבלתי צפוי של היום, אומר שהארגון שלך לא יכול להרשות לעצמו להיתפס לא מוכן. ההגנה חייבת להיות הגנה פעילה ועדכנית. החלומות המתוארים בספרו של סווינטון יכולים להיחשב כדוגמה לשיטה של ציפייה להתקפה לפני שהיא באמת מתרחשת.
אז איך עושים את זה בעולם הסייבר?
הדרך הטובה ביותר לבחון להגן על הנכסים שלך, היא דרך העיניים של התוקף.
כשאתה חושב כמו תוקף אתה חייב לצאת מעמדת החשיבה ההגנתית שלך ולבחון מזווית אחרת. ייתכן שתמצא נקודות תורפה בהגנות שלך שלא היית מודע להן, זאת הזדמנות לתקן אותן לפני שתוקף אמיתי ינצל אותן. תחילה יש להגדיר את התהליכים העסקיים והפונקציות העסקיות הקריטיות. על מה אתה מגן? כדי לעשות זאת בהצלחה, חובה עליך לאפיין את נכסי הארגון ולבצע סקר סיכונים.
כאמור, כשתדע על אילו נכסים חשוב להגן, אתה נכנס למצב היריב, כ"תוקף", ולחפש פריצות ברשת, כדי למצוא את וקטורי מתקפת הסייבר, ובנוסף לכך, איסוף מידע על הארגון חשוב גם באמצעות סיור פסיבי ופעיל כאחד. ההיקף שלך צריך להכליל את כל ההיבטים על אנשים, תהליכים וטכנולוגיה. חשוב מאוד לקבל אישור מההנהלה לפני שתפעיל באופן פעיל את "תרגול התקפה", ולוודא שכולם מסונכרנים כדי למנוע אירועים מיותרים.
אתה צריך להסתגל לאופן שבו יריב חושב – התנועות שלך לא צריכים להניף דגלים במערכות האבטחה, וככל שתוכל להתחמק מגילוי, כך יהיה לך סיכוי טוב יותר לבצע "מתקפה" מוצלחת. ישנן מתודולוגיות איומים שעשויות לעזור לך לראות דרך עיניו של התוקף כגון:
· STRIDE (Microsoft), המייצג זיופים, מתינות, התכחשות, גילוי מידע, מניעת שירות והסלים (הרשאה). הוא משמש עם מודל של מערכת היעד מה שהופך אותו ליעיל ביותר להערכת מערכות בודדות וגילוי איומים.
· CVSS - שפותחה על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST) ומתוחזקת על ידי הפורום של צוותי תגובה ואבטחה לאירועים - מערכת ניקוד איומים סטנדרטית המשמשת לפגיעויות ידועות.
· PASTA - תהליך לסימולציית התקפה וניתוח איומים - מתודולוגיה ממוקדת תוקף שנועדה לתאם דרישות טכניות עם מטרות עסקיות. עוזר להנחות צוותים לזהות, לספור ולתעדף איומים באופן דינמי.
אני מאמין שאחד הכלים היעילים ביותר ש CISO רוצה להיות פונקציה של "מציג חיצוני" - פונקציה הצופה ולומד את הארגון שלך ללא כל ידע מוקדם "דרך העיניים של התוקף".
באמצעות צוות אדום - קבוצה של אנשי מקצוע מכל תחומי הידע - מתכנתים, מנהלי מערכות, האקרים ועוד. הכישורים העיקריים שיש לצוות הם היכולת לחשוב מחוץ לקופסה, ידע עמוק במערכות מחשב, פרוטוקולים ומתודולוגיות ידועות. המטרות העיקריות הן לזהות פגיעויות, לנצל אותן ולהדגים כיצד ניתן להשתמש בהן כדי לפגוע בארגון המסייע בהבנת האיומים והשימוש בהם בפגיעויות קיימות, כדי לתקן אותן.
אחד מחברי המפתח הוא מהנדס בדיקת חדירה. דוח בודק חדירה יכול לספק מידע רב ערך על תרחישים "אמיתיים" שהארגון שלך עלול להיות פגיע אליהם, לעתים קרובות לצד ייעוץ כיצד לתקן אותם.
בין אם תבחר לשכור צוות אדום מלא או להשתמש במישהו מהצוות שלך כדי לנסות למצוא "חורים ברשת" – אתה תשפר משמעותית את אבטחת החברה.
החסרונות העיקריים יכולים להיות חוסר הזמן והמשאבים שלך כדי לשמור על היקף רחב של פעילות עם שירותים כאלה. בדרך כלל, מבחן חדירה או פרויקטים של צוות אדום מוגבלים על ידי תקציב וזמן. המומחים מוזמנים לבדוק אזור מסוים בארגון בפרק זמן מוגבל. לכן, מומלץ מאוד להשתמש "בתרגול התקפות" בתבונה. שילובם עם קמפיינים של פישינג, תרגילים, עדכוני מדיניות, הוא חובה אם ברצונך להשיג התקדמות מלאה בהגנה.
אחד מספרי הספרות הצבאית, הוא יצירה ספרותית נפלאה שנכתבה על ידי ארנסט דנלופ סווינטון "ההגנה על הסחף של דאפר". הספר פורסם בשנת 1904 והוא מתאר קצין בריטי צעיר וחסר ניסיון, המוטל עליו להחזיק נקודת מעבר של נהר עם 50 חיילים נגד אויב גדול יותר בזמן מלחמת הבורים II.
בעת שינתו, חווה שישה חלומות, הקפטן הצעיר מנסה שוב ושוב להגן, תוך כדי חלומותיו עושה טעויות קטלניות בתרגוליו. טקטיקות החי"ר בחלומות המוקדמים הן הרות אסון, אבל עם כל חלום עוקב הקפטן לומד משהו חדש מהקרב ומשנה את הטקטיקה שלו בהתאם.
כמנהל אבטחת מידע בארגון גדול או קטן, אתה עלול להתמודד עם אויב גדול יותר. אם הארגון שלך לא הותקף עד עכשיו, יש סיכוי טוב שהוא יהיה תחת מתקפה בעתיד.
למרבה הצער, אין אבטחה מושלמת, ואם לתוקף יש את הזמן, הרצון והמשאבים, זה לא עניין של "אם" תצטרף לסטטיסטיקה, אלא של "מתי". למרבה הצער כאמור לעיל, אתה לא יכול להתעורר מחלום ולהתחיל מחדש, לתקן את ההגנות שלך כמתואר בספר.
עם זאת, הספר מעודד חשיבה ביקורתית ושימוש זהיר בכלים כדי לבנות הגנה מוצלחת. מגוון האיומים הבלתי צפוי של היום, אומר שהארגון שלך לא יכול להרשות לעצמו להיתפס לא מוכן. ההגנה חייבת להיות הגנה פעילה ועדכנית. החלומות המתוארים בספרו של סווינטון יכולים להיחשב כדוגמה לשיטה של ציפייה להתקפה לפני שהיא באמת מתרחשת.
אז איך עושים את זה בעולם הסייבר?
הדרך הטובה ביותר לבחון להגן על הנכסים שלך, היא דרך העיניים של התוקף.
כשאתה חושב כמו תוקף אתה חייב לצאת מעמדת החשיבה ההגנתית שלך ולבחון מזווית אחרת. ייתכן שתמצא נקודות תורפה בהגנות שלך שלא היית מודע להן, זאת הזדמנות לתקן אותן לפני שתוקף אמיתי ינצל אותן. תחילה יש להגדיר את התהליכים העסקיים והפונקציות העסקיות הקריטיות. על מה אתה מגן? כדי לעשות זאת בהצלחה, חובה עליך לאפיין את נכסי הארגון ולבצע סקר סיכונים.
כאמור, כשתדע על אילו נכסים חשוב להגן, אתה נכנס למצב היריב, כ"תוקף", ולחפש פריצות ברשת, כדי למצוא את וקטורי מתקפת הסייבר, ובנוסף לכך, איסוף מידע על הארגון חשוב גם באמצעות סיור פסיבי ופעיל כאחד. ההיקף שלך צריך להכליל את כל ההיבטים על אנשים, תהליכים וטכנולוגיה. חשוב מאוד לקבל אישור מההנהלה לפני שתפעיל באופן פעיל את "תרגול התקפה", ולוודא שכולם מסונכרנים כדי למנוע אירועים מיותרים.
אתה צריך להסתגל לאופן שבו יריב חושב – התנועות שלך לא צריכים להניף דגלים במערכות האבטחה, וככל שתוכל להתחמק מגילוי, כך יהיה לך סיכוי טוב יותר לבצע "מתקפה" מוצלחת. ישנן מתודולוגיות איומים שעשויות לעזור לך לראות דרך עיניו של התוקף כגון:
· STRIDE (Microsoft), המייצג זיופים, מתינות, התכחשות, גילוי מידע, מניעת שירות והסלים (הרשאה). הוא משמש עם מודל של מערכת היעד מה שהופך אותו ליעיל ביותר להערכת מערכות בודדות וגילוי איומים.
· CVSS - שפותחה על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST) ומתוחזקת על ידי הפורום של צוותי תגובה ואבטחה לאירועים - מערכת ניקוד איומים סטנדרטית המשמשת לפגיעויות ידועות.
· PASTA - תהליך לסימולציית התקפה וניתוח איומים - מתודולוגיה ממוקדת תוקף שנועדה לתאם דרישות טכניות עם מטרות עסקיות. עוזר להנחות צוותים לזהות, לספור ולתעדף איומים באופן דינמי.
אני מאמין שאחד הכלים היעילים ביותר ש CISO רוצה להיות פונקציה של "מציג חיצוני" - פונקציה הצופה ולומד את הארגון שלך ללא כל ידע מוקדם "דרך העיניים של התוקף".
באמצעות צוות אדום - קבוצה של אנשי מקצוע מכל תחומי הידע - מתכנתים, מנהלי מערכות, האקרים ועוד. הכישורים העיקריים שיש לצוות הם היכולת לחשוב מחוץ לקופסה, ידע עמוק במערכות מחשב, פרוטוקולים ומתודולוגיות ידועות. המטרות העיקריות הן לזהות פגיעויות, לנצל אותן ולהדגים כיצד ניתן להשתמש בהן כדי לפגוע בארגון המסייע בהבנת האיומים והשימוש בהם בפגיעויות קיימות, כדי לתקן אותן.
אחד מחברי המפתח הוא מהנדס בדיקת חדירה. דוח בודק חדירה יכול לספק מידע רב ערך על תרחישים "אמיתיים" שהארגון שלך עלול להיות פגיע אליהם, לעתים קרובות לצד ייעוץ כיצד לתקן אותם.
בין אם תבחר לשכור צוות אדום מלא או להשתמש במישהו מהצוות שלך כדי לנסות למצוא "חורים ברשת" – אתה תשפר משמעותית את אבטחת החברה.
החסרונות העיקריים יכולים להיות חוסר הזמן והמשאבים שלך כדי לשמור על היקף רחב של פעילות עם שירותים כאלה. בדרך כלל, מבחן חדירה או פרויקטים של צוות אדום מוגבלים על ידי תקציב וזמן. המומחים מוזמנים לבדוק אזור מסוים בארגון בפרק זמן מוגבל. לכן, מומלץ מאוד להשתמש "בתרגול התקפות" בתבונה. שילובם עם קמפיינים של פישינג, תרגילים, עדכוני מדיניות, הוא חובה אם ברצונך להשיג התקדמות מלאה בהגנה.
האפשרות לניצחון בהתקפה - הבלתי מנוצח טמון בהגנה
אחד מספרי הספרות הצבאית, הוא יצירה ספרותית נפלאה שנכתבה על ידי ארנסט דנלופ סווינטון "ההגנה על הסחף של דאפר". הספר פורסם בשנת 1904 והוא מתאר קצין בריטי צעיר וחסר ניסיון, המוטל עליו להחזיק נקודת מעבר של נהר עם 50 חיילים נגד אויב גדול יותר בזמן מלחמת הבורים II.
בעת שינתו, חווה שישה חלומות, הקפטן הצעיר מנסה שוב ושוב להגן, תוך כדי חלומותיו עושה טעויות קטלניות בתרגוליו. טקטיקות החי"ר בחלומות המוקדמים הן הרות אסון, אבל עם כל חלום עוקב הקפטן לומד משהו חדש מהקרב ומשנה את הטקטיקה שלו בהתאם.
כמנהל אבטחת מידע בארגון גדול או קטן, אתה עלול להתמודד עם אויב גדול יותר. אם הארגון שלך לא הותקף עד עכשיו, יש סיכוי טוב שהוא יהיה תחת מתקפה בעתיד.
למרבה הצער, אין אבטחה מושלמת, ואם לתוקף יש את הזמן, הרצון והמשאבים, זה לא עניין של "אם" תצטרף לסטטיסטיקה, אלא של "מתי". למרבה הצער כאמור לעיל, אתה לא יכול להתעורר מחלום ולהתחיל מחדש, לתקן את ההגנות שלך כמתואר בספר.
עם זאת, הספר מעודד חשיבה ביקורתית ושימוש זהיר בכלים כדי לבנות הגנה מוצלחת. מגוון האיומים הבלתי צפוי של היום, אומר שהארגון שלך לא יכול להרשות לעצמו להיתפס לא מוכן. ההגנה חייבת להיות הגנה פעילה ועדכנית. החלומות המתוארים בספרו של סווינטון יכולים להיחשב כדוגמה לשיטה של ציפייה להתקפה לפני שהיא באמת מתרחשת.
אז איך עושים את זה בעולם הסייבר?
הדרך הטובה ביותר לבחון להגן על הנכסים שלך, היא דרך העיניים של התוקף.
כשאתה חושב כמו תוקף אתה חייב לצאת מעמדת החשיבה ההגנתית שלך ולבחון מזווית אחרת. ייתכן שתמצא נקודות תורפה בהגנות שלך שלא היית מודע להן, זאת הזדמנות לתקן אותן לפני שתוקף אמיתי ינצל אותן. תחילה יש להגדיר את התהליכים העסקיים והפונקציות העסקיות הקריטיות. על מה אתה מגן? כדי לעשות זאת בהצלחה, חובה עליך לאפיין את נכסי הארגון ולבצע סקר סיכונים.
כאמור, כשתדע על אילו נכסים חשוב להגן, אתה נכנס למצב היריב, כ"תוקף", ולחפש פריצות ברשת, כדי למצוא את וקטורי מתקפת הסייבר, ובנוסף לכך, איסוף מידע על הארגון חשוב גם באמצעות סיור פסיבי ופעיל כאחד. ההיקף שלך צריך להכליל את כל ההיבטים על אנשים, תהליכים וטכנולוגיה. חשוב מאוד לקבל אישור מההנהלה לפני שתפעיל באופן פעיל את "תרגול התקפה", ולוודא שכולם מסונכרנים כדי למנוע אירועים מיותרים.
אתה צריך להסתגל לאופן שבו יריב חושב – התנועות שלך לא צריכים להניף דגלים במערכות האבטחה, וככל שתוכל להתחמק מגילוי, כך יהיה לך סיכוי טוב יותר לבצע "מתקפה" מוצלחת. ישנן מתודולוגיות איומים שעשויות לעזור לך לראות דרך עיניו של התוקף כגון:
· STRIDE (Microsoft), המייצג זיופים, מתינות, התכחשות, גילוי מידע, מניעת שירות והסלים (הרשאה). הוא משמש עם מודל של מערכת היעד מה שהופך אותו ליעיל ביותר להערכת מערכות בודדות וגילוי איומים.
· CVSS - שפותחה על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST) ומתוחזקת על ידי הפורום של צוותי תגובה ואבטחה לאירועים - מערכת ניקוד איומים סטנדרטית המשמשת לפגיעויות ידועות.
· PASTA - תהליך לסימולציית התקפה וניתוח איומים - מתודולוגיה ממוקדת תוקף שנועדה לתאם דרישות טכניות עם מטרות עסקיות. עוזר להנחות צוותים לזהות, לספור ולתעדף איומים באופן דינמי.
אני מאמין שאחד הכלים היעילים ביותר ש CISO רוצה להיות פונקציה של "מציג חיצוני" - פונקציה הצופה ולומד את הארגון שלך ללא כל ידע מוקדם "דרך העיניים של התוקף".
באמצעות צוות אדום - קבוצה של אנשי מקצוע מכל תחומי הידע - מתכנתים, מנהלי מערכות, האקרים ועוד. הכישורים העיקריים שיש לצוות הם היכולת לחשוב מחוץ לקופסה, ידע עמוק במערכות מחשב, פרוטוקולים ומתודולוגיות ידועות. המטרות העיקריות הן לזהות פגיעויות, לנצל אותן ולהדגים כיצד ניתן להשתמש בהן כדי לפגוע בארגון המסייע בהבנת האיומים והשימוש בהם בפגיעויות קיימות, כדי לתקן אותן.
אחד מחברי המפתח הוא מהנדס בדיקת חדירה. דוח בודק חדירה יכול לספק מידע רב ערך על תרחישים "אמיתיים" שהארגון שלך עלול להיות פגיע אליהם, לעתים קרובות לצד ייעוץ כיצד לתקן אותם.
בין אם תבחר לשכור צוות אדום מלא או להשתמש במישהו מהצוות שלך כדי לנסות למצוא "חורים ברשת" – אתה תשפר משמעותית את אבטחת החברה.
החסרונות העיקריים יכולים להיות חוסר הזמן והמשאבים שלך כדי לשמור על היקף רחב של פעילות עם שירותים כאלה. בדרך כלל, מבחן חדירה או פרויקטים של צוות אדום מוגבלים על ידי תקציב וזמן. המומחים מוזמנים לבדוק אזור מסוים בארגון בפרק זמן מוגבל. לכן, מומלץ מאוד להשתמש "בתרגול התקפות" בתבונה. שילובם עם קמפיינים של פישינג, תרגילים, עדכוני מדיניות, הוא חובה אם ברצונך להשיג התקדמות מלאה בהגנה.
English
French
Portuguese
Deutsch
Turkish
Dutch
Italiano
Russian
Romaian
Portuguese (Brazil)
Greek
Hebrew