ואצאפ
כפתור הקפץ למעלה

5.2 מושגי מפתח

ראשית, נספק כאן רשימה של מונחים. לכל מונח הסבר קצרצר, שיספיק בשלב זה להבנה כללית

לאחריה, נספק את המונחים החשובים מאוד, כבר בשלב זה. התעכבו על רשימה זו, הכירו את המונחים, אך אל תתאמצו להתעמק מדי בשלב הזה על מונחים שאינם נהירים עד הסוף.

בהסברים השונים בפרק זה, נעשה לעיתים שימוש במושגים מעולם מדעי המחשב, ויתכן שאינכם מכירים אותם. מונחים חשובים – יוסברו בהמשך, ולכן, אין צורך בשלב זה להיכנס לעומק הקורה של מונחים ספציפיים נקודתיים.

  1.  אבטחת מידע: הגנה על מידע מפני גישה, שימוש או חשיפה לא מורשים
  2.  סייבר: המרחב הדיגיטלי והווירטואלי, כולל רשתות מחשבים והאינטרנט
  3.  אבטחת סייבר: תחום האחראי על הגנה על מערכות ממוחשבות ורשתות מפני תקיפות סייבר ונזקים
  4.  נכסים: משאבים בעלי ערך עבור הארגון הנדרשים להגנה כגון מידע, תוכנה, תשתיות וכד'
  5.  נתונים: ערכים, טקסט, מספרים, תמונות או אמצעים אחרים להצגת מידע בצורה ספרתית
  6.  מידע: נתונים, מסמכים וידע בעלי משמעות וערך עבור הארגון
  7.  מערכות מחשב: מכלול של רכיבי חומרה ותוכנה לביצוע פעולות עיבוד נתונים
  8.  רשתות: תשתית תקשורת לחיבור בין מחשבים והעברת נתונים
  9.  דפדפן: תוכנה לצפייה בדפי אינטרנט ותוכן מקוון
  10.  הרשאה: מתן גישה למשאב מערכת כגון קובץ, יישום או בסיס נתונים עבור משתמש או תהליך
  11.  אימות: אימות זהותו של משתמש או ישות באמצעות בדיקה מול אמצעי זיהוי מהימנים כמו סיסמה
  12.  שלמות: הבטחה כי המידע לא שונה או הושחת ללא אישור
  13.  סיסמה: סדרה ייחודית של תווים המשמשת לאימות זהות משתמשים בכניסה למערכות מחשב
  14.  זיהוי: תהליך קביעת זהותו הייחודית של משתמש, מכונה או ישות כלשהי
  15.  אמינות: מהימנות המידע השמור במערכת מחשב כך שלא הושחת או שונה שלא כדין
  16.  סודיות: שמירה על מידע רגיש כך שלא יחשף בפני גורמים לא מוסמכים
  17.  זמינות: הבטחת גישה רציפה ויכולת שימוש במשאב או שירות מחשב למשתמשים מורשים
  18.  גישה: יכולת לצרוך שירות, לעיין או לבצע פעולה כלשהי במערכת מחשב או במידע הנמצא בה
  19.  גישה מרחוק: גישה לרשת מחשבים מרחוק דרך האינטרנט או רשת ציבורית
  20.  אנטי וירוס: תוכנה לזיהוי והסרה של וירוסים וקוד זדוני ממחשב
  21.  הצפנה: המרת מידע לצורה בלתי קריאה ללא מפתח הצפנה מתאים על מנת להגן עליו
  22.  עדכון ותיקון תוכנה: התקנת עדכוני תוכנה ותיקוני אבטחה במטרה לתקן פגיעויות וחולשות במערכות
  23.  גיבוי נתונים: שמירת עותק מקבצים ומידע לצורך התאוששות מאסון או תקלה
  24.  אבטחה פיזית: אמצעים להגנה על ציוד מחשב, מתקנים ורכיבי תשתית פיזיים מפני גישה לא מורשית ונזק
  25.  ניטור: איסוף וניתוח נתוני פעילות של מערכות מחשב לצורכי אבטחת מידע
  26.  גילוי חדירות: זיהוי נוכחות של תוכנה זדונית או קוד עוין במערכות המחשב וברשת של ארגון
  27.  איום: גורם חיצוני בעל פוטנציאל לגרום נזק לארגון או למידע שברשותו
  28.  סיכון: מידת החשיפה של ארגון או נכס לאיום מסוים
  29.  פגיעות: חולשה במערכת או בבקרות המאפשרת לאיום לממש נזק
  30.  תקיפה: ניסיון של גורם עוין לנצל פגיעויות על מנת לגרום נזק לארגון
  31.  הנדסה חברתית: שיטות מניפולטיביות להשגת מידע רגיש או גרימת נזק על ידי ניצול חולשות אנוש
  32.  דיוג: הפקת מידע רגיש בדרכים לא חוקיות או לא אתיות
  33.  מתקפת מניעת שירות: התקפה שמטרתה לשבש את השימוש במערכת ע"י  חסימת הגישה למשתמשים
  34.  זיוף: יצירת העתק מזויף של התקן, מסמך או זהות על מנת להוליך שולל
  35.  קוד זדוני/נוזקה: קוד מחשב או תוכנה שנועדו לגרום נזק או לבצע פעולות מזיקות
  36.  תוכנה זדונית: כל תוכנית מחשב שנועדה לבצע פעולה מזיקה או בלתי רצויה במכוון
  37.  וירוס: סוג של קוד זדוני המשכפל ומפיץ את עצמו בין קבצים או מחשבים
  38.  סוס טרויאני: סוג של תוכנה זדונית המסווה את עצמה כתוכנה לגיטימית
  39.  תולעת: סוג של תוכנה המשכפלת את עצמה ברשת וצורכת משאבים באופן מהיר
  40.  חדירה: גישה בלתי מורשית של תוקפים למערכות המחשב או הרשת של ארגון
  41.  זיהוי וניהול סיכונים: תהליך שוטף לאיתור ומיפוי הסיכונים והאיומים על מנת לנטר ולהפחית אותם
  42.  תגובה לאירוע אבטחה: פעולות שנוקט הארגון כדי לטפל באירוע, לצמצם נזקים ולשקם פעילות תקינה
  43.  תחקור אירועי אבטחה: חקירה וניתוח של אירוע תקיפה שהתרחש על מנת ללמוד מהם ולשפר הגנות
  44.  התאוששות מאסון: תהליכי שחזור מערכות ומידע חיוניים וחזרה לפעילות לאחר אסון או תקלה משביתה
  45.  דרישות רגולציה: חובות ותקנות שנקבעות על ידי גופי פיקוח בנוגע להגנת המידע ואבטחת הסייבר
  46.  ציות ובקרה: עמידה במדיניות, חוקים ותקנות בתחום אבטחת המידע ויישום בקרות מתאימות

    CIA: Confidentiality, Integrity, Availability

לב אבטחת המידע הוא השילוש הנקרא CIA (Confidentiality, integrity and availability) של סודיות, אמינות וזמינות. (השילוש מכונה בספרות לסירוגין כ"תכונות אבטחה", "תכונות", "יעדי אבטחה", "היבטים בסיסיים בהגנת סייבר", "קריטריונים של מידע", "מאפייני מידע קריטי" או "אבני בניין בסיסיות"). 

  • סודיות – Confidentiality: בהגנת סייבר, סודיות "היא התכונה שלפיה, מידע לא יהיה זמין לרשות יחידים, ישויות או תהליכים בלתי מורשים." סודיות היא "מקרה פרטי" של פרטיות שמשמשת להגנה על הנתונים מגורמים בלתי מורשים. דוגמאות: גניבת מחשבים ניידים, גניבת סיסמא או מיילים רגישים הנשלחים לאנשים הלא נכונים.

  • שלמות – Integrity: בהגנת סייבר, שלמות נתונים פירושה שמירה והבטחת הדיוק והשלמות של הנתונים לאורך מחזור החיים כולו. פירוש הדבר שלא ניתן לשנות את הנתונים באופן לא מורשה או לא מבוקר. שלמות הנתונים חיונית לשמירה על האמון במידע והבטחת מהימנותו לקבלת החלטות ופונקציות קריטיות אחרות. שינויים לא מורשים או התעסקות בנתונים עלולים להוביל לתוצאות משמעותיות, כולל פגיעה בדיוק ואובדן אמון במידע.

  • זמינות – Availability: על מנת שמערכת מידע כלשהי תשרת את מטרתה, המידע חייב להיות זמין בעת הצורך. משמעות הדבר היא שבקרות האבטחה המשמשות להגנה וערוצי התקשורת המשמשים לגישה אל מערכות המחשוב המשמשות לאחסון ולעיבוד המידע, חייבים לתפקד כראוי. 

יש לשאוף שמערכות יהיו זמינות בכל עת, ולמנוע הפרעות בשירותים בגלל הפסקות חשמל, תקלות חומרה ושדרוג מערכות. הבטחת הזמינות כרוכה גם במניעת התקפות של מניעת שירות (הכוונה ל"שיטפון" של הודעות נכנסות למערכת היעד, במטרה לאלץ את המערכת להיסגר).

בתחום אבטחת המידע, הזמינות היא אחד החלקים החשובים ביותר להצלחת תוכנית הגנת סייבר. משתמשי הקצה צריכים להיות מסוגלים להמשיך לעבוד (מטרת הארגון), בהתאם למדיניות המפורטת של הארגון, אשר בהתאמה, קובע את הסטנדרטים למאמץ ההגנה על הזמינות. הבטחת הזמינות כוללות נושאים כמו תצורות פרוקסי, גישה חיצונית לאינטרנט, יכולת גישה לכוננים משותפים ויכולת לשלוח מיילים.

אמצעים להבטחת סודיות

כדי לשמור על סודיות, אפשר ליישם מגוון אמצעים:

  • בקרות גישה: הטמעת בקרות גישה חזקות כדי להגביל את הגישה למידע רגיש. בקרות הגישה מבטיחות שרק משתמשים מורשים יכולים לגשת לנתונים סודיים. נדרש שימוש במנגנוני אימות משתמשים, כגון שילובי שם משתמש וסיסמא, אימות ביומטרי או אימות רב-גורמי (MFA). 
  • הצפנה: שימוש בטכניקות הצפנה של נתונים כדי שיהיו בלתי קריאים לאנשים לא מורשים. הצפנה חיונית בעת העברת מידע רגיש ברשתות או אחסון נתונים במכשירים או שרתים. גם אם הנתונים ייורטו על ידי תוקף, הנתונים המוצפנים נשארים חסרי תועלת עבור התוקף ללא מפתחות פענוח.
  • הקניית מינימום הרשאה נדרש: החלת עקרון מינימום ההרשאות, המעניק למשתמשים את רמת הגישה המינימלית הנדרשת לביצוע תפקידיהם. הגישה ממזערת את ההשפעה הפוטנציאלית של פרצת אבטחה, מכיוון שלחשבונות שנפגעו תהיה גישה מוגבלת למידע קריטי.
  • ערוצי תקשורת מאובטחים: שימוש בפרוטוקולי תקשורת מאובטחים, כגון HTTPS (Hypertext Transfer Protocol Secure), להעברת נתונים רגישים ברשתות. ערוצים מאובטחים מבטיחים שהנתונים יישארו מוצפנים במהלך השידור, ומגנים עליהם מפני האזנה ויירוט לא מורשה.
  • סיווג נתונים: סיווג נתונים על סמך רמת הרגישות שלו וקביעת אמצעי אבטחה מתאימים לכל סיווג. לדוגמה, נתונים רגישים ביותר עשויים לדרוש שכבות נוספות של הצפנה ובקרות גישה מחמירות יותר, ונתונים אחרים – פחות אבטחה והצפנה.

אמצעים להבטחת שלמות הנתונים

כדי לשמור על שלמות הנתונים ולמנוע שיבוש בלתי מורשה או השחתה של נתונים, ניתן ליישם אמצעים שונים:

  • פונקציות Hash: שימוש בפונקציות Hash קריפטוגרפיות כדי ליצור ערכי Hash ייחודיים עבור נתונים. ערכי גיבוב אלו פועלים כטביעות אצבע דיגיטליות והם ייחודיים לכל קבוצת נתונים. כל שינוי בנתונים, מינורי ככל שיהיה, יביא לערך hash שונה. על ידי השוואת ערך הגיבוב המקורי לערך הגיבוב הנוכחי, ניתן לוודא אם הנתונים טופלו. המונח יוסבר בהמשך בהרחבה.
  • חתימות דיגיטליות: הטמעת חתימות דיגיטליות כדי לאמת את האותנטיות והשלמות של הנתונים. חתימות דיגיטליות משתמשות בקריפטוגרפיה של מפתח ציבורי כדי לאמת את זהות השולח ולהבטיח שהנתונים יישארו ללא שינוי במהלך השידור. המונח יוסבר בהמשך בהרחבה.
  • בקרת גרסאות: קביעת מנגנוני בקרת גרסאות למעקב אחר שינויים שבוצעו בקבצים או במסמכים. בקרת גרסאות מאפשרת למשתמשים לחזור לגרסאות קודמות של קבצים במידת הצורך, ומבטיחה שהגרסה העדכנית והמדויקת ביותר זמינה תמיד.
  • בדיקת שגיאות: שימוש במנגנוני בדיקת שגיאות, כגון סיכומי בדיקה או בדיקות יתירות מחזורית (CRC), כדי לזהות ולתקן שגיאות בהעברת נתונים. מנגנונים אלה יכולים לסייע בזיהוי נתונים פגומים ולהבטיח את דיוק הנתונים במהלך השידור.
  • גיבויי נתונים: גיבוי שגרתי וקבוע של נתונים קריטיים כדי לשמור על שלמותם ולהקל על השחזור במקרה של אובדן נתונים או השחתה. גיבויי נתונים חיוניים לשחזור נתונים במקרה של אירוע אבטחה.
  • בקרות גישה: הטמע בקרות גישה קפדניות כדי למנוע ממשתמשים לא מורשים לשנות או למחוק נתונים. בקרת גישה מבוססת תפקידים (RBAC) ועקרונות המינימום הרשאות מבטיחים שרק צוות מורשה יכול לבצע שינויים בנתונים. המונחים יוסברו בהמשך בהרחבה.
  • אימות נתונים: יישם בדיקות אימות נתונים כדי להבטיח שהנתונים הנכנסים מדויקים ועומדים בתקנים מוגדרים מראש. אימות נתונים מסייע במניעת הכנסת נתונים שגויים או זדוניים.

אמצעים להבטחת זמינות

כדי להבטיח זמינות של מידע ומשאבים, חובה ליישם אסטרטגיות ואמצעים כדי למנוע שיבושים פוטנציאליים:

  • יתירות: הטמעת יתירות במערכות ורשתות קריטיות. "יתירות" כוללת משאבי גיבוי או מסלולים חלופיים זמינים במקרה של כשל במערכת הראשית. רכיבים מיותרים מבטיחים שאם רכיב אחד נכשל, אחר משתלט בצורה חלקה, ומפחית את הסיכון להשבתה.
  • איזון עומסים: הפצת תעבורת רשת על פני מספר שרתים כדי למנוע עומס יתר ולהבטיח זמינות שירות ללא הפרעה. איזון עומסים מייעל את ניצול המשאבים ומשפר את ביצועי המערכת.
  • תכנון התאוששות מאסון: פתח תוכניות התאוששות מאסון מקיפות כדי לשחזר במהירות את הפעולות במקרה של תקלות מערכת, אסונות טבע או התקפות סייבר. תוכניות התאוששות מאסון כוללות נהלים שלב אחר שלב להתאוששות והפחתה.
  • הגנת DDoS: השתמש במנגנוני הגנה מבוזרת של מניעת שירות (DDoS) כדי למתן ולעמוד בהתקפות DDoS. התקפות DDoS מטרתן להציף מערכות ולשבש שירותים, אך הגנת DDoS עוזרת לשמור על זמינות על ידי סינון וחסימת תעבורה זדונית. המונח יוסבר בהמשך בהרחבה.
  • תחזוקה ועדכונים שוטפים: בצע תחזוקה ועדכונים שוטפים למערכות ולרשתות כדי למנוע השבתה הנגרמת כתוצאה מבעיות שניתן למנוע. תחזוקה שוטפת כוללת תיקון פגיעויות, שדרוג חומרה ותוכנה וניטור תקינות המערכת.
  • תכנון ארכיטקטורות בזמינות גבוהה: תכנון והטמעה של ארכיטקטורות בזמינות גבוהה המאפשרות מעבר אוטומטי באופן חלק לשימוש במערכות חלופיות במקרה של תקלה. ארכיטקטורות אלו מבטיחות הפרעה מינימלית במהלך שדרוגי מערכת או תחזוקה.
  • ניטור ותגובה לאירועים: הטמע מערכות ניטור פרואקטיביות כדי לזהות ולטפל בבעיות פוטנציאליות לפני שהן מסלימות לבעיות מן המניין. תוכניות תגובה לאירועים מסייעות לארגונים להגיב באופן מיידי לאירועי אבטחה או כשלים במערכת, ומפחיתות את ההשפעה על הזמינות.

 

פירטנו כאן על אמצעים להגנת "סודיות, שלמות וזמינות" (יסודות הגנת הסייבר), אך לא הסברנו. בפרקים הבאים נצלול לתוך האמצעים והדרכים הללו, אשר כרגע, אינם מובנים לכם מספיק.

אנו עתידים לתאר בשורות הבאות אלמנטים שונים, לעיתים נפרדים ושהקשר ביניהם לא יהיה נהיר עד הסוף. בהמשך – נחבר בין האלמנטים הללו.

 

מסגרת "אנשים, תהליכים וטכנולוגיה" (PPT)

המסגרת של אנשים, תהליכים, טכנולוגיה (PPT The People, Process, Technology:) תוכננה לעזור לחברות לבנות מערכות המאזנות ומתאימות באופן יעיל את האופן שבו אנשים, תהליכים וטכנולוגיה תומכים זה בזה.

 מסגרת ה-PPT מבוססת על הרעיון שכל שלושת האלמנטים - אנשים, תהליך וטכנולוגיה - צריכים לעבוד בהרמוניה לפעילות עסקית מוצלחת. אם היבט אחד חלש או לא מיושר עם האחרים, יהיה בכך כדי להשפיע על היעילות והאפקטיביות הכוללת. המטרה היא ליצור סינרגיה שבה כל רכיב משפר את
השני, וכך - משפר את התוצאות העסקיות.

המודל מבוסס על ארבעה מרכיבים התלויים זה בזה:

  • משימות: המשימות השגרתיות והקריטיות שארגון חייב לבצע.

  • אנשים: האנשים בארגון והתכונות או הגישות שיש לטפח בתוך אנשים אלה להצלחה.

  • מבנה: המבנה הארגוני מאפשר לצוותים לחלק תחומי אחריות ולעבוד יחד ביעילות.

  • טכנולוגיה: הציוד המאפשר ותומך ביכולתו של ארגון לבצע את הפונקציות הנחוצות שלו.

עקרונות הליבה של מסגרת אנשים, תהליכים, טכנולוגיה יכולים לשמש לך תבנית כללית למפות אתגרים ולשרטט פתרונות תפעוליים צעד אחד בכל פעם.

  • האנשים: הכוונה לאנשים בארגון האחראים על ביצוע משימה בודדת או פרויקט שלם, כולל אלו המבצעים משימות, מנהלים ומנהיגים שמציבים יעדים ומקבלים החלטות, או בעלי עניין.

האנשים הם הדלק שמעביר מחזון למציאות. התחלת פרויקט ניהול שינויים עם מנהיגות ובעלי עניין מרכזיים היא דרך מצוינת להבטיח שתקבל את המעורבות והרכישה הדרושים לך כדי לבצע דברים.

  • האנשים נחשבים לחוליה החלשה ביותר בהגנת סייבר. הסיבה העיקרית היא שטעויות אנוש או בורות עלולות לפתוח פגיעויות ללא כוונה. הכשרה ומודעות להגנת סייבר, לפיכך, הן חיוניות. עובדים צריכים להבין את הסיכונים הפוטנציאליים, תפקידיהם ואחריותם, וכיצד הפעולות שלהם יכולות להשפיע על האבטחה הכוללת של הארגון.

  • התהליך: מתייחס למערכת של נהלים ומדיניות שקיימים כדי להנחות את האינטראקציה בין אנשים וטכנולוגיה. אלה יכולים לנוע בין מדיניות סיסמאות פשוטה לתוכניות התאוששות מאסון מורכבות. חיוני שהתהליכים האלה לא רק יתועדו היטב, אלא גם ייבדקו ומתעדכנים באופן קבוע כדי להתאים לאיומים המתפתחים.

בזמן שאתה מגדיר את התהליכים שהצוות שלך צריך, היה ברור לגבי הציפיות שלך ותפעל למפות מסלולים אפשריים עבור אנשים שיעמדו בקריטריונים אלה. כמו כן, תרצה לחשוב על מניעת צווארי בקבוק שניתן למנוע כמו מועדים שהוחמצו, הוראות לא ברורות ובעלי יותר מדי תלות. 

  • הטכנולוגיה: היא החלק האחרון בפאזל, המספקת את הכלים הדרושים כדי להתגונן מפני איומי סייבר. עם זאת, טכנולוגיה לבדה לא יכולה לאבטח ארגון. יש ליישם אותה ביעילות, לעדכן אותו באופן קבוע ולהשתמש בה בשילוב עם אנשים בעלי ידע ותהליכים מוצקים. המרכיב הטכנולוגי של מסגרת PPT מתייחס לכלים ולמערכות שבהם אנו משתמשים כדי לתמוך או לאפשר לצוותים לבצע תהליכים בצורה יעילה יותר.

המכון הלאומי לתקנים וטכנולוגיה (NIST), , ממליץ על שלושת עמודי התווך הללו בתור עמוד השדרה של כל אסטרטגיית הגנת סייבר חזקה. המסגרת שלהם חוזרת ומדגישה את המשמעות של כל נדבך בהשגת עמדה ביטחונית מקיפה.

סקירת שלושת עמודי התווך - אנשים, תהליכים וטכנולוגיה - היא לא רק לשם שמירה על אבטחת הארגון שלך. מדובר בבניית תרבות אבטחה, שבה כל אדם מבין את תפקידו בהגנה מפני איומי סייבר. הגנת סייבר מאוזנת ומקובלת מושגת רק באמצעות שילוב תלת ממדי הוליסטי של בקרות אבטחה: מודל PPT הוא קריטי וחיוני כאחד:

פגיעות, איום, ניצול, פרצה והתקפה

כדי להבין את הסיכונים ולנקוט בצעדים מתאימים להגנה, חשוב להבין את ההבדלים בין המונחים "פגיעויות", "איומים", "ניצול", "פרצה" ו"התקפות".

  • פגיעות (Vulnerability): היא חוסר או חולשה במערכת או ברשת המאפשרים למתקפה להצליח. פגיעויות יכולות להיות מגוונות מאוד, ומקורן יכול להיות במגוון גורמים, כגון: שגיאות תכנות, חוסר עדכון תוכנה, שימוש לא בטוח בנתונים, מידע אישי חשוף. פגיעויות יכולות להיות פיזיות, לוגיות או אנושיות.
  • איום (Threat): איומים הם כל גורם שיכול לגרום נזק למערכות מידע או למידע המאוחסן בהן. איום הוא האפשרות להתרחשות של אירוע שיכול לגרום נזק לארגון או למערכת מידע. האיום יכול להיות אנושי (האקר או מתקפת טרור) או טבעי (כמו אסון טבע). האיום הוא הסיכון האפשרי, אך לאו דווקא התממשות שלו.
  • דרך ניצול (Exploit): Exploit הוא שימוש בפגיעות כדי לגרום נזק. Exploits יכולים להיות מגוונים מאוד, ומקורם יכול להיות במגוון גורמים, כגון: תוכנה זדונית, קוד זדוני, פעולות ידניות.
  • פרצה (Breach): היא מקרה שבו פגיעוּת נוצלה על ידי איום, וגרמה לחדירה למערכת או לרשת, פרצות יכולות להיגרם כתוצאה מטעויות תכנות, חוסר אבטחה או שימוש לא בטוח. פרצה היא התממשות האיום. זהו הפרט שבו מפעיל האיום מצליח לפרוץ למערכת או להגיע למטרתו. בהקשר של הגנת סייבר, פרצה קורה כאשר מתבצעת חדירה למערכת לאחר שנחדרו כל ההגנות.
  • התקפה (Attack): התקפה היא ניסיון לבצע נזק למערכות מידע או למידע המאוחסן בהן. התקפות יכולות להיות מבוצעות על ידי גורמים אנושיים או לא אנושיים. התקפה היא הפעולה המתוכננת והממומשת שמטרתה לפגוע, להזיק, לשלוט או לגרום נזק במערכת או בארגון. התקפה יכולה להיות או פיזית או דיגיטלית, ובדרך-כלל מתמקדת בגרימת נזק או בהשגת יתרון.

האבחנה בין פגיעויות, איומים, פרצות והתקפות היא חשובה להבנה של הסיכונים ולנקיטת בצעדים מתאימים להגנה. לכן, בואו ונעמיק במונחים.

פגיעות (Vulnerability)

פגיעות היא חוסר או חולשה במערכת או ברשת המאפשרים למתקפה להצליח. פגיעויות יכולות להיות מגוונות מאוד, ומקורן יכול להיות במגוון גורמים. פגיעויות ניתן לחלק לקטגוריות שונות:

  • פגיעויות תוכנה: פגיעויות אלו נובעות משגיאות תכנות בתוכנה. פגיעויות תוכנה יכולות להיות נקודות תורפה להתקפות זדוניות, כגון וירוסים, רוגלות וסוסים טרויאנים.
  • פגיעויות רשת: פגיעויות אלו נובעות מבעיות אבטחה ברשת, כגון חוסר בעדכוני אבטחה או שימוש לא בטוח בפרוטוקולים. פגיעויות רשת יכולות להוביל לחדירה למערכת או לרשת.
  • פגיעויות אנושיות: פגיעויות אלו נובעות מטעויות אנושיות, כגון שימוש בסיסמה חלשה או שיתוף מידע רגיש. פגיעויות אנושיות יכולות להוביל לחדירה למערכת או לרשת.

פגיעויות יכולות להוביל להשלכות רבות:

  • הדלפת מידע: פגיעות יכולה לאפשר למתקפה לגנוב מידע רגיש: מידע אישי, מידע פיננסי או מידע עסקי.
  • נזק למערכת או לרשת: פגיעות יכולה לאפשר למתקפה לגרום נזק למערכת או לרשת, כגון השבתה, שיבוש או אובדן נתונים.
  • אובדן שליטה: פגיעויות יכולות לאפשר למתקפה לקבל שליטה במערכת או ברשת, מה שעלול להוביל לשימוש לרעה במערכת או ברשת.

ישנם מספר צעדים שניתן לנקוט כדי למנוע פגיעויות:

  • עדכון תוכנה: עדכון תוכנה כולל תיקון של פגיעויות ידועות.
  • שימוש בטכנולוגיות אבטחה: שימוש בטכנולוגיות אבטחה, כגון חומת אש, אנטי-וירוס ואבטחת רשת, יכול לעזור להגן מפני התקפות.
  • הכשרת משתמשים: הכשרת משתמשים בנושא הגנת סייבר יכולה לעזור לצמצם את הסיכון לטעויות אנושיות.

סוגי פגיעויות

פגיעויות ניתן לחלק לקטגוריות שונות, בהתבסס על מקורן, סוגן או השפעתן. להלן פירוט של כל קטגוריה:

  • פגיעויות תוכנה: פגיעויות אלו נובעות משגיאות תכנות בתוכנה. פגיעויות תוכנה יכולות להיות מגוונות מאוד, ומקורן יכול להיות במגוון גורמים, כגון:

  • שגיאות תכנות טכניות: שגיאות אלו נובעות מהטעויות הבסיסיות של התכנות, כגון שגיאות קריאה לא חוקית של זיכרון או שגיאות בזיהוי סוגי נתונים.

  • חולשות בארכיטקטורה: חולשות אלו נובעות מהתכנון הבסיסי של המערכת, כגון תלות לא מוצדקת במידע רגיש או שימוש לא נכון במודלים אבטחתיים.

  • חולשות בניתוח: חולשות אלו נובעות מהשימוש בנתונים לא מדויקים או לא אמינים, כגון שימוש במסדי נתונים שאינם מאובטחים או שימוש במודלים שאינם מתאימים לנתונים.

  • חולשות בקוד: חולשות אלו נובעות מהקוד עצמו, כגון שימוש לא בטוח בפונקציונליות של מערכת הפעלה או שימוש לא מאובטח בספריות צד שלישי.

  • פגיעויות רשת: פגיעויות אלו נובעות מבעיות אבטחה ברשת, כגון חוסר בעדכוני אבטחה או שימוש לא בטוח בפרוטוקולים. פגיעויות רשת יכולות להוביל לחדירה למערכת או לרשת.

  • תקלות ברשת: תקלות אלו יכולות להיגרם מבעיות פיזיות, כגון נזק לכבל או תקלה בשרת, או מבעיות תוכנה, כגון חוסר תאימות או שגיאת תצורה.

  • חולשות בפרוטוקולים: חולשות אלו נובעות מבעיות בתכנון של הפרוטוקול, כגון אימות לקוי או הצפנה לא מספקת.

  • חולשות בשירותים: חולשות אלו נובעות מהאופן שבו השירותים ברשת מתוכננים או מיושמים, כגון שימוש לא בטוח בתצורות ברירת המחדל או חוסר בקרה על גישה לשירותים.

  • פגיעויות אנושיות: פגיעויות אלו נובעות מטעויות אנושיות, כגון שימוש בסיסמה חלשה או שיתוף מידע רגיש. פגיעויות אנושיות יכולות להוביל לחדירה למערכת או לרשת.

  • טעויות אנושיות: טעויות אלו יכולות להיות מגוונות מאוד, כגון שימוש בסיסמה חלשה, שיתוף מידע רגיש או התקנה של תוכנה לא מאובטחת.

  • הונאות: הונאות הן ניסיונות של גורם עוין להוציא מידע או גישה מרשת או ממערכת באמצעות מניפולציה פסיכולוגית.

  • התנהגות לא בטוחה: התנהגות לא בטוחה היא כל פעילות שעלולה להוביל לחדירה למערכת או לרשת, כגון שימוש במחשב ציבורי או התחברות לרשת לא מאובטחת.

דוגמאות לפגיעויות

להלן כמה דוגמאות לפגיעויות נפוצות:

  • פגיעות תוכנה:
  • o SQL Injection: פגיעה זו מאפשרת למתקפה להזריק קוד SQL זדוני למערכת, מה שעלול להוביל לגישה למידע רגיש או להשתלטות על המערכת.

  • o Cross-site Scripting (XSS): פגיעה זו מאפשרת למתקפה להזריק קוד HTML או JavaScript זדוני לדף אינטרנט, מה שעלול להוביל לגניבת מידע אישי או להתקנה של תוכנה זדונית על המחשב של המשתמש.
  • o Buffer Overflow: פגיעה זו מאפשרת למתקפה להשתלט על תהליך במערכת, מה שעלול להוביל להשתלטות על המערכת כולה.
  • o Denial of Service (DoS): פגיעה זו מאפשרת למתקפה לחסום את הגישה למערכת או לרשת, מה שעלול לגרום להפרעה בשירות.
  • פגיעויות רשת:
  • o Weak Passwords: שימוש בסיסמה חלשה מאפשר למתקפה לפרוץ למחשב או לרשת.
  • o Unsecured Wireless Networks: רשתות אלחוטיות לא מאובטחות מאפשרות למתקפה להתחבר לרשת ללא סיסמה.
  • o Open Ports: יציאות פתוחות ברשת מאפשרות למתקפה להתחבר למערכת או לרשת.
  • פגיעויות אנושיות:
  • o Phishing: תרמית שבה המתקפה מפתה את המשתמש להקליד את פרטיו האישיים באתר או בדוא"ל מזויפים.
  • o Social Engineering: שימוש בתחבולות פסיכולוגיות כדי לגרום למשתמש לחשוף מידע רגיש או לבצע פעולה לא רצויה.
  • o Zero-day Attacks: התקפות שמנצלות פגיעה שאינה ידועה ליצרן התוכנה או מנהל הרשת.

בפרק זה נעשה שימוש במונחים מתקדמים, ולא ניתן לזכור את כל הפרטים בפרק.

בהמשך, נחזור אל המונחים הקשים, והמטרה בפרק זה היא אך ורק להבין את המונח "פגיעות = Vulnerability".

Exploits ("נוצלה")

Exploit הוא תוכנית או קוד שנועד לנצל חולשה במערכת או תוכנה כדי להשיג גישה בלתי מורשית, לבצע שינויים לא מורשים או לגרום נזק. Exploits יכולים להיות משועבדים על ידי פורצים כדי להוציא לפועל פעולות מזיקות, כמו: גניבת מידע רגיש, כגון סיסמאות, מספרי כרטיסי אשראי או מידע רפואי, השחתת נתונים או תוכנה, השבתת שירותים או מערכות, הפצת וירוסים או תוכנות זדוניות אחרות.

סוגי Exploits

ישנם סוגים רבים ושונים של Exploits, אך העיקריים שבהם ממוינים כך:

  • Buffer overflows: חולשה זו מתרחשת כאשר תוכנית מנסה לכתוב נתונים לזיכרון יותר ממה שזיכרון זה יכול להכיל. זה יכול לאפשר לפורץ להריץ קוד זדוני בזיכרון של המערכת.
  • Cross-site scripting (XSS): חולשה זו מאפשרת לפורץ להזריק קוד זדוני לדף אינטרנט. כאשר משתמש גולש בדף זה, הקוד הזדוני יופעל במחשב של המשתמש.

  • Zero-day attacks: אלה הם Exploits שנוצלו טרם תיקון החולשה שהם מנצלים. הם נוטים להיות מסוכנים במיוחד מכיוון שאין הגנה נגדם.

  • Remote exploits: אלה הם Exploits שיכולים להיות מבוצעים מרחוק, מבלי שהפורץ יצטרך לגשת פיזית למחשב או למערכת המותקפים.

  • Local exploits: אלה הם Exploits שיכולים להיות מבוצעים רק לאחר שהפורץ קיבל גישה פיזית למחשב או למערכת המותקפים.

  • Application exploits: אלה הם Exploits שמנצלים חולשות בתוכנות יישומים, כגון דפדפנים, תוכנות משרדיות או מערכות הפעלה.

  • Firmware exploits: אלה הם Exploits שמנצלים חולשות בתוכנת firmware, שזו תוכנה המוטמעת בחומרה.

  • Web exploits: אלה הם Exploits שמנצלים חולשות באתרי אינטרנט או בשירותים מבוססי אינטרנט.

  • Social engineering exploits: אלה הם Exploits שמנצלים את הנטייה האנושית להאמין לאנשים אותם אנו מכירים או מעריכים.

ה- Zero-day attacks הם חריגים מבחינת סוג Exploit ברשימתי. הם חריגים משום שהם מנצלים חולשות שטרם תוקנו על ידי המפתחים. זה אומר שאין הגנה נגדם, מה שהופך אותם לאיום משמעותי במיוחד. הם בדרך-כלל פרי עבודתם של חוקרים או פורצים. חוקרים עלולים למצוא חולשות חדשות בתוכנות או מערכות, ואז לחשוף אותן למפתחים כדי שיוכלו לתקן אותן. פורצים, לעומת זאת, עשויים למצוא חולשות חדשות בעצמם, ואז לנצל אותן כדי לבצע מתקפות. Zero-day attacks הם איום מתמיד על הגנת סייבר.

  • וקטור תקיפה: וקטור תקיפה מתייחס לדרך או לאמצעי שבו משתמש תוקף על מנת להגיע למערכת ולנצל פגיעויות קיימות בה כדי לבצע התקפה. וקטורי תקיפה נפוצים הם קבצים מצורפים בדואר אלקטרוני המכילים קוד זדוני, אתרי אינטרנט עם תוכן זדוני המנסה לנצל פגיעויות בדפדפן, התקנת תוכנות זדוניות על ידי עובד בארגון, ועוד. הבנה של וקטורי התקיפה השונים מסייעת לארגון להגן על עצמו בצורה טובה יותר מפני התקפות סייבר מכיוונים שונים.

  • איום מתמשך: APT: איום מתמשך (Advanced Persistent Threat) מתייחס לסוג התקפה מתוחכמת וממוקדת שמבוצעת על ידי תוקף מתוחכם, בדרך-כלל מדינה או ארגון פשע מאורגן. בהתקפה מסוג זה התוקף פועל לאורך זמן רב על מנת להשיג גישה לרשת המטרה ולבצע פעולות זדוניות כמו גניבת מידע רגיש, ריגול תעשייתי ועוד. ההתקפה מאופיינת ברמת מורכבות וחשאיות גבוהה מאוד.

  • Malware: זהו מונח כללי המתייחס לסוגים שונים של תוכנות זדוניות שתכליתן לגרום נזק למערכת מחשב או לבצע פעולות בלתי רצויות. דוגמאות לזדוניות: וירוס מחשב שמשתלט על מערכת וגורם לנזק, תוכנת ריגול (Spyware) שאוספת מידע בחשאי, סוס טרויאני שמאפשר שליטה מרחוק על המחשב, ועוד. זדוניות מהווה אחד האיומים הנפוצים ביותר על אבטחת מידע של ארגונים.

  • אירוע אבטחה: אירוע אבטחה (Security Incident) מוגדר כאירוע בלתי רצוי שמשפיע באופן שלילי על אבטחת מערכות המידע של ארגון, למשל חדירה לרשת מחשבים, תקיפת סייבר מוצלחת, התפרצות וירוס או זדוניות, וכדומה. אירוע אבטחה עלול לגרום להפרעה בפעילות, לדלף מידע, או לנזק ישיר למערכות. יכולת הטיפול המהיר והיעיל באירועי אבטחה קריטית להגנת הארגון.

  • היגיינת סייבר: היגיינת סייבר (Cyber Hygiene) מתייחסת לנוהלי אבטחת מידע בסיסיים ולהרגלי עבודה נכונים שעובדים בארגון צריכים לאמץ כדי לסייע בהגנה מפני איומי סייבר. למשל, שימוש בסיסמאות חזקות, עדכון תוכנות, זהירות מקבצים וקישורים מחשודים, גיבוי נתונים ועוד. היגיינת סייבר טובה מקטינה משמעותית את הסיכון לאירועי אבטחת מידע.

  • עמידות סייבר: עמידות סייבר (Cyber Resilience) מתייחסת ליכולת של ארגון להתמודד בהצלחה ולהתאושש במהירות וביעילות מאירוע סייבר שפוגע בפעילותו. עמידות סייבר כוללת תכנון מוקדם, זיהוי ומזעור סיכונים, יכולות גילוי ותגובה לאירועים, ותוכניות המשכיות עסקית ושחזור מערכות אחרי תקיפה. יכולת עמידות גבוהה מפחיתה את ההשפעה של אירועי סייבר על הארגון.

עבור למאמר הבא