למה זה כל כך חשוב למי שאחראי על אבטחה של תשתיות מחשב ללכלך את הידיים ב Hacking

17 בפברואר 2016

אין תגובות

שוחחתי אתמול עם CTO בכיר בארגון גדול על הקורס הקרוב של פאולה בנושא Hacking and Hardening windows infrastructure ושאלתי אותו למה הוא לא שולח את אחראי האבטחה שלו לקורס. התשובה שלו הפתיעה אותי. לטענתו, הקורס הזה בכלל לא מעניין אותו, לא בגלל שאבטחת התשתית שלו אינה חשובה, אלא בגלל שהוא העביר את כל הנושא לקבלן חוץ ומשם והלאה זו בעיה של קבלן החוץ ולא שלו.

Paula_kwadrat-300x300

לפני שאסביר למה הטיעון הזה לא נכון בבסיסו, בואו ונעקוב אחר הלוגיקה שמאחורי הטיעון הזה. אומר ה CTO (או ה CIO או ה CEO תלוי בגודל הארגון), אמנם אבטחה נמצאת ברשימת המטלות שלי, אבל היא נושא אחד מתוך הרבה נושאים אחרים שאני מטפל בהם. מאחר ואני לא מומחה בתחום האבטחה ואין לי את רוחב הפס, יש לי בארגון CSIO או אחראי אבטחה, שזה הג'וב שלו ובזאת פתרתי את הבעיה שלי.

עד כאן הכל בסדר, אבל עכשיו בואו ונסתכל על העולם בעיניו של ה CSIO או אחראי האבטחה הארגוני או כל מישהו אחר בארגון שנפל עליו התפקיד כפוי הטובה הזה. כאן אנחנו נמצאים בזירה אחרת לגמרי, כי ברור לאותו  CSIO בפועל, שלא משנה מה הוא יעשה, עדיין יהיו חורי אבטחה במערכת וזו רק שאלה של זמן, עד שתצוץ בעיית אבטחה במערכת והוא יהיה האשם האחראי ולא משנה כמה טוב הוא יבצע את התפקיד (תפקיד כפוי טובה כבר אמרנו ?).

אז כל CSIO עם ידע בסיסי בפוליטיקה ארגונית, כחלק מתהליך ההישרדות שלו, ימצא חברה חיצונית לחלוטין, עם מוניטין סביר ומה שיותר חשוב עם ביטוח גבוה למקרה של נזקים, יבקש מהם שיכינו דו"ח, יבצע את כל מה שרשום בדו"ח ויסמן V על הנושא. לפתרון הזה קוראים Transfer the blame או CYA (כסת"ח בלע"ז) והוא פתרון אידאלי כי אם חס וחלילה קורה משהו לא נעים, יש את כל המסמכים והניירת הנדרשת להוכיח שפעלת באופן סביר, ומה שעוד יותר טוב, מישהו אחר אשם וזה לא אתה שצריך לשלם את המחיר.

הבעיה בפתרון הזה היא שהוא לא באמת פותרת את הבעיה האמיתית. נושא האבטחה של התשתיות הוא נושא חי ונושם, כל יום מתגלים איומים חדשים וכל יום נסגרים חורי אבטחה. זה לא נושא של זבנג וגמרנו. מה שאומר שצריך לחזור על התהליך הזה במחזורים הולכים וקצרים ויש לזה כמובן עלויות.

אבל הבעיה האמיתית היא לא כאן אלא במקום אחר לגמרי, ברמת המעורבות של הדרג הבכיר בנושא. נושא אבטחת תשתיות הארגון זה נושא קריטי לשרידות של הארגון, זה דבר שנמצא בליבה העיסקית של הארגון ולא משהו שניתן סתם ככה להעביר החוצה. דרג הניהול הטכני של נושא אבטחת התשתיות (CSIO או כל מי שכובע האבטחה נמצא על הראש שלו בארגון קטן יותר) חייב להיות מעורב בצורה מלאה בתהליך הזה ולהבין אותו לרמת עומק שתאפשר לו לעמוד מול כל המומחים החיצוניים, ולא רק להבין על מה הם מדברים, אלא להיות מסוגל לכמת כל טיעון במונחים של תקציב ורמות סיכון. לא, הוא לא אמור להיות פורץ המערכות הכי טוב בעולם אבל הוא צריך להבין את הנושא הזה היטב, על מנת להבטיח שהארגון שלו יהיה מאובטח באמת ולא ברמה של Buzzword compliance.

וכדי להבין את שיקולי אבטחת התשתיות והמערכת לרמה הזו, אתה חייב ללכלך את הידיים, להכיר את הכלים שמשמשים את ה Hacker – ים, להשתמש בהם בתנאי מעבדה ולפרוץ בפועל למערכות. הניסיון המעשי הזה פותח לך עולמות חדשים של הבנה. אתה מגלה כמה המערכות שלך פגיעות, אתה יכול להבין מה המשמעות האמיתית של הקשחה של מערכות. אתה לומד היכולות המובנות שמספקות מערכות ההפעלה שדרכם אתה יכול לחסום תקיפות ומה שיותר חשוב, מה המגבלות שאין להם פתרון ואיתם תצטרך להתמודד בכלים אחרים. הידע הזה יאפשר לך לכמת משאבים ועלויות אל מול רמות סיכון ולקחת החלטות נכונות יותר. אלה דברים שאתה לא יכול ללמוד מספר או מדו"ח, אלה דברים שאתה מבין באמת רק אחרי שאתה מלכלך את הידיים ב Hacking.

מי שמעוניין בפרטים נוספים על הקורס של פאולה, מוזמן לפנות לחברת האם שלי.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *