מה זו בעית אבטחה?

"Phishing is annoying and potentially dangerous to the individual who falls for the scam, but networks and personal computers are not at risk here, as they are with viruses, worms, and adware/malware."

אני חושב שפישינג זו בעית אבטחה לכל דבר.

הכל מתחיל ונגמר בשאלה מה זו בעיית אבטחה.

לדעתי - המושג בעיית אבטחה כולל כל דבר שיכול לחשוף את הארגון כולל לקוחות וספקים לבעיות הנובעות מעצם העבודה בצורה ממוחשבת.

המושג כפי שאני מתאר אותו הוא רחב מאוד. הוא כולל נהלים שגויים, בעיות תכנון ותכנות, חולשות, פגמים בתכנון וכ"ו יחד עם כל בעיה אחרת המאפשרת לנצל את המערכת הממוחשבת כדי לפגוע בעבודה התקינה.

יש מי שיחלוק על הדעה שלי, אבל אני בהחלט חושב שאדם לא צריך לבדוק כל לינק שמגיע אליו (זאת אחת הטענות שאלה שלא מכירים בבעיות כגון פישינג כבעית אבטחה אוהבים לטעון - לטעמם, אדם חייב להיות אחראי כדי לוודא שהוא לא תחת התקפה).

אני חושב שברגע שמשאירים את ההגנה ללקוח ("תפעיל שיקול דעת") - יש כמה תסריטים:

1. הלקוח יפחד לעבוד

2. הלקוח יתקשר למוקד השירות בכל פעם שיעבוד עם המוצר

3. הלקוח לא יבין מה רוצים ממנו וההתקפות מולו יעבדו

כבר אמרתי לא פעם (וגם עומר טרן אמר כמה פעמים) שזו טעות להעביר אחריות למשתמש.

אני חושב שהמשתמש ברוב הגדול של המקרים לא מודע לבעיות האבטחה שמובילות החלטות שלו. המשתמש גם יכול לקבל החלטה שגוייה. המשתמש גם יכול לעשות טעות.

בלי שום קשר - להצהיר שהמתשמש צריך להיות אחראי ולוודא שהלינקים שהוא לוחץ עליהם לא מובילים למתקפות כאלה או אחרות זו דרישה אווילית.

אין שום דרך, לא היום לפחות, כדי להיות בטוחים שאתם לא תחת מתקפה.

פישינג ניתן לייצר בכל מני צורות. אפשרי לשלב אותו עם התקפות נוספות לשיפור יעילות.

ישנם דפדפנים שכבר אומרים לכם שהאתר שהגעתם אליו הוא אתר בעייתי. זה קורה רק אם מספיק אנשים כבר נפגעו ודיווחו על כך.

לגבי החלק השני של הטענה - הטענה שהתקפות פישינג לא פוגעות בארגון אלא במשתמש בודד:

הארגון ייפגע בכל פעם שמשתמש ייפגע.

כמה אנשים לדעתכם ימשיכו להשתמש במערכות הבנקאיות של בנק X אם ייוודע שחלק מהמשתמשים שלו נפלו קרבן למתקפה עליהם?

שוב - העברת האחריות למשתמש היא צורה לא נכונה לטפל בדברים. היא רק תבטיח שהארגון שלנו יסבול כשהמשתמשים יפגעו.

יש דרכים לוודא שמתקפות כאלה לא יקרו.

הדרכים כוללות נהלים וכן אמצעי הגנה ספציפי נגד בעיות מסוג כזה.

לגבי SPAM:

אם איש מכירות לא יכול לענות בזמן למייל שלו כי הוא עמוס בדואר זבל - מבחינתי זה כשל.

להגדיר אם זו בעיית אבטחה או לא - זה קשה.

זה כשל במנגנוני העבודה של הארגון.

עכשיו תלוי מי גורם לכשל הזה.

אם זה לקוח עצבני שמחליט להפציץ את הארגון ב-SPAM לצורך הורדת יעילות?

אולי זה מתחרה שעושה אותו דבר?

שאלה מעניינת..

Popularity: 35% [?]

6 תגובות לקטע “מה זו בעית אבטחה?”

ניב כתב\ה:
5 באוקטובר 2008 בשעה 8:53

אני חושב שפישינג הוא בעיית אבטחה לכל דבר ועובדה היא שרק באמצעות פישינג נגרמו בשנים האחרונות נזקים רבים (בעיקר כספיים אך לא רק) הן ליחידים והן לארגונים. לומר שפישיגנ היא לא בעיית אבטחה היא שטות וחוסר הבנה.
כמו כן אני מסכים מאד עם העובדה שצריך להסיר את האחריות מהמשתמש. בעבר כשעבדתי כיועץ אבטחת מידע האמנתי מאד בנושא הגברת המודעות האבטחתית בקרב משתמשים ארגוניים. כיום אני מאמין שזה גם בולשיט וגם לא יעיל. אמנם חשוב לעורר מודעות ברמה מסויימת, אבל בהחלט לא ניתן לצפות מכל אדם ואדם שיבין את המתקפות ואת כל העולם הזה. במיוחד שמשתמשים ארגוניים רבים אינם אנשי מחשבים גם אם הם עובדים עם מחשבים. אני תמיד בוחן את הדברים מול דוגמת משתמש ממוצע - אמא שלי… (למרות שיש לה חושים טובים).
לגבי ספאם זה ענין אחר. אני חושב שספאם זו לא בעיית אבטחה בפני עצמה (הגם שספאם יכול להכיל פישינג ופוגענים בצורה ישירה אבל זה סיפור אחר). ספאם הוא סתם דבר מעצבן שמפריע לעבוד, אגב בעיני, הרבה פחות ממה שנהוג לחשוב. זה איננו כשל במנגנוני העבודה של הארגון, זה נתון טכנולוגי נטו, אלא אם הארגון אינו משתמש במנגנוני אנטי ספאם. יש כבר מספר שנים מנגנוני אנטי ספאם לא רעים בכלל שאם הם מוטמעים נכון ברמה הארגונית (ואפילו הביתית) הם אוכלים אחוז גבוה מאד מהספאם. זה רק ענין של לרצות. אפילו במנגנוני וובמייל כגון יאהו הם מיישמים בשנים האחרונות מנגנונים מצויינים. לדוגמא יש לי מייל ביאהו שנים על שם מסויים שאני משתמש בו לטובת כל הרישומים, פרסומים, בדיקות וכן הלאה. הוא מקבל המון ספאם אבל אני מוכרח לומר שלמעלה מ-95 אחוז נכנס לתיבת הספאם ולא חייבים לקרוא אותו…
גיא מזרחי כתב\ה:
5 באוקטובר 2008 בשעה 23:14

ניב, כשאתה אומר "לא חייבים לקרוא אותו" אתה מתייחס לתיבת דואר כמו שציינת.
אם זו תיבת דואר ארגונית אתה חייב לעבור על דואר הזבל כדי לאתר false positives ולוודא ששום דבר חשוב לא נכנס לשם.
אם התיבה פעילה מאוד יכולות להיות שם כל יום כמה עשרות הודעות.
לא נעים.
מבזבז זמן.
יכול לגרום לפספוס של עבודות.
בהחלט אפשרי לייצר מתקפה שכזו כדי להוריד יעילות עבודה של ארגונים.
TheLeader כתב\ה:
10 באוקטובר 2008 בשעה 4:18

ההגדרה שלי לבעיית אבטחה היא כל דבר שעלול להוות סיכון/הפרעה למשתמש או לארגון. לכן מבחינתי בקטגורייה זו נכללים SPAM ו-ADWARE. לעומת זאת "חור" אבטחה הוא סיכון שמאפשר חדירה, או גנבת נתונים.
בארי שטיימן כתב\ה:
12 באוקטובר 2008 בשעה 18:59

גיא,
אם ההגדרה שלך לדואר זבל היא "משהו שחייבים לעבור עליו" אז אני לא רוצה לעבוד עם המנגנון שאתה עובד איתו.

פתרון AS אמיתי מתבסס על אלגוריתמי ניתוח מתמטיים, שהנפוץ בהם הוא הBAYESIAN אשר מאתר בצורה מדוייקת להפליא מאחר והוא מנגנון לומד המבוסס על AI מתמטי וסטטיסטיקה מתקדמת.

אנחנו לא חיים בעולם של BLACKLIST או RBL יותר …

האמת היא שיש מספר חברות - המובילה בהן היא כנראה IRONPORT אשר יצרו פתרון HYBRID אשר מבצע את כל בדיקות הניתוח באתרי DATACENTER גדולים , והבדיקה מול המשתמש בקצה היא יחסית קלה
ברמת הבדיקה של CHECKSUM.

קח את התפירה המדהימה של גוגל לאלגוריתם הBAYESIAN אשר לומד לאורך זמן אימיילים אשר אתה מסווג אותם כספאם. אני חי עם המנגנון לא מעט זמן ולא היה לי FALSE אחד.

דעתי - אם אתה צריך לעבור על תיבת הספאם שלך כל יום, הפתרון אינו פתרון.
גיא מזרחי כתב\ה:
17 באוקטובר 2008 בשעה 9:00

בארי - אני מודה שהמנגנון שאני עובד איתו אינו מושלם.
הוא אמנם כולל מנגנון BAYESIAN אבל זה עדיין לא מושלם. אני עדיין מוצא פעם או פעמיים בשבוע false positive ולכן חשוב לי לעבור על הדואר.
התפירה של גוגל אכן מדהימה - אבל לא הייתי מוכן לשלם באיבוד הפרטיות שלי תמורת כך שאקבל דואר מסונן.
עוד פעם גנבו משהו שכתבתי | ZuLL, יומנו של האקר. כתב\ה:
10 בנובמבר 2008 בשעה 21:23

[...] מה זו בעית אבטחה? [...]

ZuLL, יומנו של האקר.

קוראים לי גיא מזרחי, אני איש אבטחת מידע. יומנו של האקר עוסק בנושאי העניין שלי.

* לפורום הבלוג *

חיפוש בבלוג

פוסטים אחרונים

מתוך TechReader

קישורים

קטגוריות

כלים

תגים

מה זו בעית אבטחה?

נכתב ע"י גיא מזרחי בתאריך 4 באוקטובר 2008 | נושאים מאמרים מקוריים |

6 תגובות לקטע “מה זו בעית אבטחה?”

כתיבת תגובה משלך לקטע