דעה | מסלול הייסורים של הCISO
יוסי סאסי, ממייסדי חברת הסייבר 10ROOT, מתאר של ציר הזמן של חולשת תוכנה, מהרגע שהתגלתה ועד שהיא מגיעה לאחריותו של מנהל אבטחת המידע בארגון
ישראל דיפנס
| 31/07/2022
יוסי סאסי | קרדיט: מיקי פורת
פגיעויות במערכות טכנולוגיות דיגיטליות הן רבות ומגוונות - חלקן ידועות, חלקן לא ידועות ורבות מהן לא ברורות. אך דבר אחד ברור מעל לכל לספק והוא שכל טכנולוגיה היא פגיעה מיסודה. כל המערכות, התוכנה, מכשירי התקשורת, החומרה, היישומים וכו'- כולם תוכננו ועוצבו על ידי בני אדם שהם, כידוע לא מושלמים.
באופן בסיסי, כל מוצר שנמצא בשוק הוא "שק של פגיעויות המחכות להתגלות". כל טכנולוגיה יכולה לממש את "הפוטנציאל" שלה ולספק פגיעויות רבות, מאחר שהיא כבר נולדה עם מספר פגיעויות שבנויות בתוכה ו"צומחת" ואוספת לה עוד כמה פגיעויות חדשות במהלך הדרך (באמצעות שינויים או תחזוקה ועוד).
בשלב ראשון זה הפגיעויות לא ידועות, רבות מהן יישארו במצב זה ואחרות יתגלו. אם כך, בשלב הראשון, כל פגיעות היא לא ידועה (מחכה להתגלות).
בשלב השני, הפגיעות מתגלה, בפני גורם מאוד מסוים (ידוע ליחיד\מעטים). שלב זה מתחיל ברגע שבו אדם או ארגון גילה אותה ויש לו עניין בה. חוקר אקדמי, חוקר ארגוני, גורם מדינתי\ביון\מודיעין או חוקר בלתי תלוי הם "הורים" שונים מאד לגילוי של פגיעות כזו, והם משפיעים באופן שונה על "הצעדים הראשונים" שהיא תעשה בעולם.
כך, לדוגמא, חלק מהחוקרים יעדיפו שלא לפרסם את הפגיעויות שגילו ולשמור אותן באופן פרטי בעוד שאחרים יעדיפו למכור אותן ב- dark web (בשלב שהן עדיין לא כ"כ ידועות). חוקרים מסוימים יעדיפו לחשוף את הפגיעויות באופן מסודר ליצרן הרכיב המקורי, יקבלו תהילה והערכה ואולי אף תגמול כספי צנוע יחסית לשווי החלופי של פגיעות כזו בעולם הפשיעה, אולם לא לכל חוקר יש מוטיבציה זהה לגבי האם ואיך לחשוף את מה שגילה.
בשלב השלישי, שיכול להתרחש בנקודת זמן מוקדמת או מאוחרת יחסית, לפעמים אפילו אחרי כמה שנים או עשורים, הפגיעות הופכת לנחלת כלל הציבור, והיצרן (לא תמיד) יפעל לתקנה, שכן היא משפיעה כבר על מחזור החיים של המוצר או על הטכנולוגיה בשלב זה כאשר הפגיעות ידועה לכל.
פה מצטרף לתמונה "רשמית" ה- CISO בפעם הראשונה, מאחר וכאן כבר מדובר בסיכון ידוע, וקיימת אחריות ישירה לתקנה. אין תירוצים בעניין זה: הסיכונים עודכנו והגיע הזמן לכלול אותם ברשימת הסיכונים הניצבים בפני הארגון.
בשלב הרביעי הארגון מתמודד עם האפשרות שמישהו ינצל את הפגיעות, בתוך חלון הזמן שיעבור עד לאספקת התיקון\עדכון על ידי היצרן. לא לכל פגיעות יש קוד ניצול פומבי ידוע, אך במידה ויש כאלה, אחד או יותר, הרי שלב זה מלחיץ ארגונים מאחר והפגיעות ניתנת למימוש בפועל על ידי כל גורם. יש לציין שגם אם כרגע לא ידוע כיצד לנצל את הפגיעות, זה לא אומר שמישהו לא גילה זאת וייתכן שהיא כבר מנוצלת באופן שקט.
השלב החמישי מתמקד בתיקון. בנקודת זמן זו, בין אם הפגיעות ידועה ברבים או לא (ייתכן והיצרן גילה אותה ב dark net באחת מזירות המסחר האנונימיות כגון Zerodium).
בין אם מנוצלת בפועל או לא – הציפייה היא שהספק כבר מטפל בה באופן רשמי בערוצים הנכונים, במיוחד כאשר מדובר על פגיעות במוצר פעיל ועדכני (נתמך במלואו במהלך חיי המוצר שלו) או שהוא בעל השפעה רחבה על בסיס לקוחות גדול (דוגמת ווטסאפ, ווינדוס וכיוצ"ב).
חלק מהספקים משחררים תיקונים במהירות, אחרים ייקחו את הזמן כדי להבין יותר לעומק את הנושא שעל הפרק, למנוע "החזרה" של התיקון או לפתור את הבעיה מהשורש. כאמור, שלב שישי ואופציונלי הוא - שחלק מהפגיעויות כלל לא יתוקנו על ידי הספק וזה קורה לעיתים קרובות יותר מאשר הייתם משערים.
לדוגמא, בראוטרים הביתיים שלכם (ראה מקרה D-LINK, למשל, בדגם של נתב ADSL שהתגלתה בו פגיעות להרצת קוד מרחוק באופן לא מורשה, ועדיין לא תוקנה מאחר ומדובר בדגם שאיננו העדכני ביותר). במקרים אלו צריכים למזער את החשיפה, או להחליף את הרכיב, או לקבל את הסיכון הקיים – אם אפשרי.
שלב שביעי ואופציונלי, אבל לגמרי שריר, הוא שחלק מהתיקונים יהיו חלקיים ולא יפתרו את היקף הפגיעות המלא. חלק יפתרו אותה באופן הדרגתי, כאשר לאחר כמה חודשים יימסר הפתרון הקבוע והשלם. חלק מהתיקונים "יאכזבו" אתכם, יגרמו לשגיאות חדשות מעצם התקנתם, ועלולים להוביל לרגרסיה ("באגים" חדשים) או חלילה אפילו לבעיות של זמינות ופגיעה ברציפות תפקודית.
בחלק מהמקרים, לאחר זמן מסוים וקבלת תגובות, יתגלה שהתיקון פותר את הבעיה רק באופן חלקי או שהספק האמין שהתיקון יפתור את הבעיה, או שהוא פותר אותה אבל לא באופן קבוע או שיש צורך בעדכון נוסף.
למזלנו תופעות מסוג זה לא קורות כל הזמן וספקים רבים מגלים אחריות ומקצועיות טובה. עם זאת, בהתחשב באפשרויות הרבות בהן פגיעות יכולה להתפתח ולהזיק, לא פלא שמנהלי אבטחת מידע בארגונים נאבקים להתמודד באופן אפקטיבי עם כל פגיעות בעת שהם שוקלים סיכונים.
חייו של ה-CISO הם מסלול ייסורים גדול ומתמשך, אפוף אי וודאות וניהול סיכונים. המקצוענות שלו עומדת למבחן במיוחד בשלב שאמור היה להיות נטול סיכונים ידועים מבחינתו.
יוסי סאסי, ממייסדי חברת הסייבר 10ROOT, מתאר של ציר הזמן של חולשת תוכנה, מהרגע שהתגלתה ועד שהיא מגיעה לאחריותו של מנהל אבטחת המידע בארגון
יוסי סאסי | קרדיט: מיקי פורת
פגיעויות במערכות טכנולוגיות דיגיטליות הן רבות ומגוונות - חלקן ידועות, חלקן לא ידועות ורבות מהן לא ברורות. אך דבר אחד ברור מעל לכל לספק והוא שכל טכנולוגיה היא פגיעה מיסודה. כל המערכות, התוכנה, מכשירי התקשורת, החומרה, היישומים וכו'- כולם תוכננו ועוצבו על ידי בני אדם שהם, כידוע לא מושלמים.
באופן בסיסי, כל מוצר שנמצא בשוק הוא "שק של פגיעויות המחכות להתגלות". כל טכנולוגיה יכולה לממש את "הפוטנציאל" שלה ולספק פגיעויות רבות, מאחר שהיא כבר נולדה עם מספר פגיעויות שבנויות בתוכה ו"צומחת" ואוספת לה עוד כמה פגיעויות חדשות במהלך הדרך (באמצעות שינויים או תחזוקה ועוד).
בשלב ראשון זה הפגיעויות לא ידועות, רבות מהן יישארו במצב זה ואחרות יתגלו. אם כך, בשלב הראשון, כל פגיעות היא לא ידועה (מחכה להתגלות).
בשלב השני, הפגיעות מתגלה, בפני גורם מאוד מסוים (ידוע ליחיד\מעטים). שלב זה מתחיל ברגע שבו אדם או ארגון גילה אותה ויש לו עניין בה. חוקר אקדמי, חוקר ארגוני, גורם מדינתי\ביון\מודיעין או חוקר בלתי תלוי הם "הורים" שונים מאד לגילוי של פגיעות כזו, והם משפיעים באופן שונה על "הצעדים הראשונים" שהיא תעשה בעולם.
כך, לדוגמא, חלק מהחוקרים יעדיפו שלא לפרסם את הפגיעויות שגילו ולשמור אותן באופן פרטי בעוד שאחרים יעדיפו למכור אותן ב- dark web (בשלב שהן עדיין לא כ"כ ידועות). חוקרים מסוימים יעדיפו לחשוף את הפגיעויות באופן מסודר ליצרן הרכיב המקורי, יקבלו תהילה והערכה ואולי אף תגמול כספי צנוע יחסית לשווי החלופי של פגיעות כזו בעולם הפשיעה, אולם לא לכל חוקר יש מוטיבציה זהה לגבי האם ואיך לחשוף את מה שגילה.
בשלב השלישי, שיכול להתרחש בנקודת זמן מוקדמת או מאוחרת יחסית, לפעמים אפילו אחרי כמה שנים או עשורים, הפגיעות הופכת לנחלת כלל הציבור, והיצרן (לא תמיד) יפעל לתקנה, שכן היא משפיעה כבר על מחזור החיים של המוצר או על הטכנולוגיה בשלב זה כאשר הפגיעות ידועה לכל.
פה מצטרף לתמונה "רשמית" ה- CISO בפעם הראשונה, מאחר וכאן כבר מדובר בסיכון ידוע, וקיימת אחריות ישירה לתקנה. אין תירוצים בעניין זה: הסיכונים עודכנו והגיע הזמן לכלול אותם ברשימת הסיכונים הניצבים בפני הארגון.
בשלב הרביעי הארגון מתמודד עם האפשרות שמישהו ינצל את הפגיעות, בתוך חלון הזמן שיעבור עד לאספקת התיקון\עדכון על ידי היצרן. לא לכל פגיעות יש קוד ניצול פומבי ידוע, אך במידה ויש כאלה, אחד או יותר, הרי שלב זה מלחיץ ארגונים מאחר והפגיעות ניתנת למימוש בפועל על ידי כל גורם. יש לציין שגם אם כרגע לא ידוע כיצד לנצל את הפגיעות, זה לא אומר שמישהו לא גילה זאת וייתכן שהיא כבר מנוצלת באופן שקט.
השלב החמישי מתמקד בתיקון. בנקודת זמן זו, בין אם הפגיעות ידועה ברבים או לא (ייתכן והיצרן גילה אותה ב dark net באחת מזירות המסחר האנונימיות כגון Zerodium).
בין אם מנוצלת בפועל או לא – הציפייה היא שהספק כבר מטפל בה באופן רשמי בערוצים הנכונים, במיוחד כאשר מדובר על פגיעות במוצר פעיל ועדכני (נתמך במלואו במהלך חיי המוצר שלו) או שהוא בעל השפעה רחבה על בסיס לקוחות גדול (דוגמת ווטסאפ, ווינדוס וכיוצ"ב).
חלק מהספקים משחררים תיקונים במהירות, אחרים ייקחו את הזמן כדי להבין יותר לעומק את הנושא שעל הפרק, למנוע "החזרה" של התיקון או לפתור את הבעיה מהשורש. כאמור, שלב שישי ואופציונלי הוא - שחלק מהפגיעויות כלל לא יתוקנו על ידי הספק וזה קורה לעיתים קרובות יותר מאשר הייתם משערים.
לדוגמא, בראוטרים הביתיים שלכם (ראה מקרה D-LINK, למשל, בדגם של נתב ADSL שהתגלתה בו פגיעות להרצת קוד מרחוק באופן לא מורשה, ועדיין לא תוקנה מאחר ומדובר בדגם שאיננו העדכני ביותר). במקרים אלו צריכים למזער את החשיפה, או להחליף את הרכיב, או לקבל את הסיכון הקיים – אם אפשרי.
שלב שביעי ואופציונלי, אבל לגמרי שריר, הוא שחלק מהתיקונים יהיו חלקיים ולא יפתרו את היקף הפגיעות המלא. חלק יפתרו אותה באופן הדרגתי, כאשר לאחר כמה חודשים יימסר הפתרון הקבוע והשלם. חלק מהתיקונים "יאכזבו" אתכם, יגרמו לשגיאות חדשות מעצם התקנתם, ועלולים להוביל לרגרסיה ("באגים" חדשים) או חלילה אפילו לבעיות של זמינות ופגיעה ברציפות תפקודית.
בחלק מהמקרים, לאחר זמן מסוים וקבלת תגובות, יתגלה שהתיקון פותר את הבעיה רק באופן חלקי או שהספק האמין שהתיקון יפתור את הבעיה, או שהוא פותר אותה אבל לא באופן קבוע או שיש צורך בעדכון נוסף.
למזלנו תופעות מסוג זה לא קורות כל הזמן וספקים רבים מגלים אחריות ומקצועיות טובה. עם זאת, בהתחשב באפשרויות הרבות בהן פגיעות יכולה להתפתח ולהזיק, לא פלא שמנהלי אבטחת מידע בארגונים נאבקים להתמודד באופן אפקטיבי עם כל פגיעות בעת שהם שוקלים סיכונים.
חייו של ה-CISO הם מסלול ייסורים גדול ומתמשך, אפוף אי וודאות וניהול סיכונים. המקצוענות שלו עומדת למבחן במיוחד בשלב שאמור היה להיות נטול סיכונים ידועים מבחינתו.
