"על אבטחת המידע להניב ערך עסקי לארגון"

"שאלת השאלות היא כמה אבטחה צריך. יש בעיה – כמה להשקיע באבטחה, כסף וכוח אדם. אם משקיעים יותר – זה בזבוז ונתקשה לקבל תקציב לשנה הבאה. אם לא נשקיע מספיק – יפרצו לנו, או שנחטוף קנס מהרגולטור. בכל מקרה, במהלך החיפוש אחר האיזון בין מספיק ולא מספיק, יש לוודא כי אבטחת המידע תניב, מעבר להגנה, גם ערך עסקי", כך אמר אבי דוגלן, מנכ"ל באונס סקיוריטי וחבר הנהלת OWASP (ר"ת The Open Web Application Security Project) ישראל.

דוגלן דיבר בכנס הלקוחות השנתי שערכה חברת הסייבר הישראלית צ'קמרקס. הכנס נערך היום (ג') באולם גומא ברמת השרון, בהשתתפות יותר מ-100 מקצועני אבטחה.

צילום ועריכת וידיאו: ליאור רובינשטיין

הוא הגדיר את OWASP כ-"קהילה מקוונת שיוצרת מאמרים, מתודולוגיות, תיעוד, כלים וטכנולוגיות הזמינים באופן חופשי בתחום של אבטחת יישומי אינטרנט. הקהילה מקיימת כנסים בינלאומיים שנתיים במדינות רבות, כולל בישראל, שבהם משתתפים, באופן מסורתי, נציגים של תעשיות ביטחוניות שונות".

כדוגמה הביא דוגלן מקרה שבו צבא ארצות הברית רצה לדעת היכן בגוף המטוס הוא סופג הכי הרבה יריות. "בדקו איפה המטוסים נורים יותר, אבל לא לקחו בחשבון את המטוסים שלא חזרו. הלקח הוא שלא תמיד רואים את כל התמונה. לעתים לא מבינים איך מתקפות עובדות ומה נותן למערכת המותקפת יכולת לשרוד את המתקפות", ציין. לדבריו, "יש שאלות רבות: מה זו אבטחת מידע – האם זה שאיני נפרץ? על מה אני מגן? איך תוקפים? מי תוקף? למה אני מותקף?".

מודל האיומים

דוגלן הציג את מודל האיומים. זו, לדבריו, "גישה מערכתית, מתודולוגיה, של ניתוח אבטחת מידע של המערכת שמפתחים. במסגרת המודל בוחנים עיצוב, ארכיטקטורה והגדרת פונקציונאליות, ומבינים איך התוקף מנצל לרעה את מה שנבנה ואת ההקשרים בין הרכיבים. בדרך זו ניתן לתעדף את האיומים לפי הסיכון האמיתי שלהם".

"אחת הגישות היא בחינה של ההיבטים: מה אני בונה, מה עלול להשתבש, מה נעשה והאם מה שעשיתי היה מוצלח?", ציין. דוגלן הסביר כי "המענה הוא בבחינת האיומים בשש קטגוריות – ב-STRIDE (זיוף – Spoofing, זיהוי – Tampering, דחייה – Repudiation, גילוי מידע -Information disclosure ו-DoS, ומתן הרשאה -Elevation of privilege)".

"יש לקחת את הערך ולהגן עליו", סיכם דוגלן, "ומנגד, שרכיב האבטחה יניב ערך בעצמו. האבטחה, כמו הפיתוח, נדרשת להיעשות בגישת אג'ייל. יש לעצב את האבטחה בהתבסס על מודל האיומים, ושההגנה תהיה רלוונטית לאיומים".

"כל דבר זה תוכנה, והכל חשוף להאקרים"

דובר נוסף בכנס היה דני כהן, מנהל המכירות של צ'קמרקס בישראל. הוא אמר כי "לפני עשור היו שתי שפות פיתוח, שני בסיסי נתונים ושיטת פיתוח אחת – מפל מים. כך, היה לנו זמן לעשות אבטחה באופן מסודר. הפריצות היו בחיתוליהן, העולם היה נאיבי. פגשנו שוק שבעצם אין לו הרבה ידע בפיתוח מאובטח. לא הבינו את הסכנות הטמונות בפיתוח שלא מאובטח. מאז, השוק השתנה דרמטית, שפות הפיתוח השתנו, הפלטפורמות שהאפליקציות רצות עליהן השתנו, חל מעבר לעולמות המובייל והענן, יש לתמוך בשפות פיתוח רבות, האופן בו מאחסנים את הנתונים השתנה, נוספו סוגי בסיסי נתונים וסוגי תחזוקה, ובקצרה – ההאקרים השתדרגו".

דני כהן, מנהל המכירות של צ'קמרקס בישראל. צילום: יח"צ

"כיום, כל דבר שזז זה תוכנה – ממכונית ועד שואב אבק", אמר כהן. "הכל חשוף להאקרים, כל תוכנה היא פוטנציאל לתקיפה. אמנם, המומחיות בתחום אבטחת אפליקציות השתפרה, אבל עדיין יש חוסר במקצוענים בתחום".

כהן סיכם באמרו כי "יש להבין את האפליקציה על מנת לאבטח אותה. הדור הבא של התקיפות יתבסס על בינה מלאכותית".