ברשימה הקודמת הראיתי תמונה מתחנת הרכבת השלום בתל אביב ושאלתי מה ליקוי האבטחה. כפי שציין דן בתגובות הבעיה היא שהסבסבת שאמורה למנוע מאנשים להיכנס דרך היציאה נמצאת מאחורי השומר. התוצאה היא שבכניסה יש שני מנגנוני אבטחה (שומר וסבסבת) וביציאה אין אף מנגנון אבטחה. מבחינה סטטיסטית, אגב, בממוצע בכל פתח יש מנגנון אבטחה אחד.
באחת הרשימות הקודמות כתבתי על Defense in Depth, או מה שקרוי גם מעגלי הגנה, שיטת הבצל, או כל שם אחר שתרצו. אחד העקרונות המהותיים במימוש מעגלי אבטחה הוא שכל מעגל אבטחה צריך להיות בעל ערך סגולי משל עצמו למערך האבטחה. במקרה הזה, מיקום סבסבת שאינה מאפשרת לצאת דרך הכניסה, כאשר היציאה ממוקמת בצמוד לכניסה, חורג מהכלל הזה. מנגנון האבטחה הזה אינו תורם במאום לתכנון האבטחה הכולל ובפועל המצב הוא שכל אחד יכול להכנס דרך היציאה, כאשר אין ממש איום של יציאה דרך הכניסה.
הנקודה בה רציתי לעסוק היא בעצם זו - רובנו מקבלים החלטות על סמך הנחות לא מודעות. אחת ההנחות הנפוצות בתחום אבטחת המידע (מהתרשמות אישית) היא ההנחה שפורצים/פושעים ושאר מרעין בישין ינסו לפרוץ מאותם מקומות בהם מיקמנו אמצעי אבטחה. בעת האחרונה אני שם לב יותר ויותר למערכי בקרת כניסה המשקיעים אנרגיה רבה בסינון הנכנסים, אך משאירים את היציאות פרוצות. כאשר בוחנים את מערך האבטחה הנטייה הטבעית של מנהלי אבטחת המידע היא לנסות לעקוף את בקרת הכניסה המתוכננת - זו שהמבקרים שאינם מנסים לפרוץ נכנסים דרכה. אלא שהפורץ הממוצע לא ינסה להיכנס משם בהכרח, אלא עשוי לנסות להכנס מהיציאה דווקא.
בעבר היה נהוג לנסות לפרוץ מנגנוני הצפנה דרך פיצוח האלגוריתם. היום מקובל לנסות מתקפות עקיפות (side channel attacks). מתקפות שכאלה מנסות למצוא פרצת אבטחה במערכת כמכלול ולא מנסות לפרוץ את רכיב האבטחה המרכזי בלבד (האלגוריתם). פעמים רבות אני נתקל במערכות מידע בהן מושם דגש רב על תכנון מנגנון ההזדהות, אלא שמתברר שישנה דלת אחורית, או שהשרתים עליהם מורצת המערכת פרוצים וכך אנו נשארים עם מנגנוני אבטחה מעולים ומערכת פרוצה. כדי לבנות מערך אבטחה ראוי, עלינו להניח כי ניתן לחדור למערכת או לארגון מכל נקודה ובכל נקודה במערכת עלינו לשאול את עצמנו לא האם פורץ ינסה לפרוץ מנקודה זו, אלא כיצד הוא יעשה זאת.
בבלוג זה
בכל הבלוגים
