חלק 1 - Security and Risk Management
פרק 1 - Cybersecurity Governance
בפרק זה - מהי אבטחת סייבר וכיצד יש לנהל אותה
נושא 1 - Fundamental Cybersecurity Concepts and Terms
Enterprise-wide security program
מורכב מטכנולוגיות, נהלים ותהליכים
CIA triad
סודיות (Confidentiality):
מבטיחה שרק גורמים מורשים יכולים לגשת למידע ומגנה מפני חשיפה לא מורשית
שלמות (Integrity):
שומרת על דיוק, שלמות ועקביות המידע ללא שינויים לא מורשים או השמדה.
זמינות (Availability):
מבטיחה גישה מהירה ואמינה למידע עבור משתמשים מורשים בכל עת הצורך.
Confidentiality
סודיות (Confidentiality) בקצרה
לוודא שמידע מגיע רק למי שמורשה לראות אותו, ולא לאף אחד אחר — בכל שלב: כשהוא שמור, כשהוא בתנועה, וכשהוא מגיע ליעד.
מה זו סודיות?
סודיות היא היכולת למנוע מגורמים לא מורשים, אנשים או תהליכים (processes), לגשת למידע.
המטרה היא להבטיח רמת חיסיון מתאימה בכל נקודה שבה המידע "עובר" או "נמצא": בזמן שהוא יושב על שרת או מחשב ברשת, בזמן שהוא נשלח (transmission), וגם ברגע שהוא מגיע ליעד שלו.
איך משיגים סודיות?
שלוש דרכים מרכזיות:
1. הצפנה (Encryption) - של המידע באחסון ובשידור.
2. בקרת גישה וסיווג מידע (Access Control + Data Classification) - לקבוע מי יכול לגשת למה, ולתייג מידע לפי רמת רגישות.
3. הדרכת עובדים - שידעו איך להתנהל נכון עם מידע רגיש.
איך תוקפים / שוברים סודיות?
ניטור רשת (Network Monitoring) - האזנה לתעבורה.
Shoulder Surfing - ממש מציצים מעל הכתף של מישהו ורואים מה הוא מקליד או מה מוצג על המסך שלו.
גניבת אישורי גישה (Credentials) - סיסמאות, מפתחות.
שבירת הצפנה - פיצוח אלגוריתמים חלשים.
הנדסה חברתית (Social Engineering) - שיטה שבה תוקף מערים על אדם נאיבי, לרוב על ידי התחזות לגורם מורשה, כדי שהוא ימסור מידע סודי מרצונו. כל ערוץ תקשורת אחד-על-אחד (טלפון, מייל, צ'אט) יכול לשמש לזה.
איך עובדים בעצמם פוגעים בסודיות? לפעמים בכוונה, ולרוב בטעות: שולחים מידע רגיש בלי להצפין אותו קודם. נופלים קורבן לתקיפת הנדסה חברתית. חולקים סודות מסחריים של החברה. לא נזהרים מספיק כשהם מעבדים מידע חסוי.
שורה תחתונה: סודיות זו לא רק טכנולוגיה (הצפנה ובקרת גישה). זה גם תהליכים (סיווג מידע) וגם אנשים (מודעות והדרכה). תוקף יחפש את החוליה החלשה ביותר מהשלוש - וזה לרוב האדם.
בקרות שתומכות בסודיות
• Encryption for data at rest (whole disk, database encryption)
• Encryption for data in transit (IPSec, TLS, PPTP, SSH)
• Access control (physical and technical)
Integrity
שלמות (Integrity) בקצרה
הבטחה שמידע או נכס לא ישונו בצורה לא מורשית. רק גורמים מאושרים יכולים לבצע שינויים, ורק בדרכים שאושרו מראש.
לדוגמא, דמיין חנות אונליין: אחרי שלקוח קנה מוצר במחיר מסוים ואישר חיוב באשראי - אסור שמישהו (כולל בעל החנות) יוכל לשנות את המחיר בדיעבד. זו דוגמה לשלמות.
איך פוגעים בשלמות?
איומים חיצוניים (תוקפים): הזרקת malware או backdoor למערכת, שינוי זדוני של נתונים, החלפת נתונים תקינים בנתונים שגויים corruption של מידע
טעויות פנימיות (משתמשים מורשים): מחיקת קובץ קונפיגורציה בטעות (למשל כשהדיסק מלא), הזנת ערכים שגויים (לדוגמה: חיוב לקוח ב-$3,000 במקום $300), שינוי לא נכון של נתונים במסדי נתונים.
איך מגינים על שלמות?
ישנן מספר אמצעי הגנה מרכזיים:
בקרות גישה מחמירות (Access Controls) שמאפשרות רק למשתמשים מורשים לשנות נתונים.
מערכות לזיהוי חדירות (IDS/IPS), ושימוש ב-Hashing לזיהוי שינויים.
בנוסף, יש להגביל גישה לקבצי מערכת קריטיים, לבנות אפליקציות שמבצעות input validation (בדיקת תקינות וסבירות של ערכים שמוזנים), ולהגן על נתונים בתעבורה (data in transit) באמצעות הצפנה.
חשוב לזכור שהמטרה של אבטחה היא לא רק לעצור תוקפים - אלא גם לצמצם טעויות אנוש. ככל שתגביל את האפשרויות של המשתמש רק למה שהוא באמת צריך, כך תפחית את הסיכוי לטעויות שיפגעו בשלמות הנתונים.
בקרות שתומכות בשלמות
• Hashing (data integrity)
• Configuration management (system integrity)
• Change control (process integrity)
• Access control (physical and technical)
• Software digital signing
•Transmission cyclic redundancy check (CRC) functions
Availability
זמינות (Availability) בקצרה
הבטחה שמשתמשים מורשים יוכלו לגשת למידע ולמשאבים בצורה אמינה ובזמן הנכון, כשהם צריכים אותם.
לא מספיק שהמידע קיים ומוגן - הוא צריך להיות נגיש למי שצריך אותו, מתי שהוא צריך אותו. אם העובדים לא יכולים להיכנס למערכת בבוקר - אין משמעות לכך שהמידע מאובטח.
דרישות בסיסיות:
המערכות (רשת, מחשבים, אפליקציות) צריכות לעבוד בצורה צפויה וברמת ביצועים סבירה, ובעיקר - להתאושש במהירות ובאופן בטוח מתקלות, כדי שהפרודוקטיביות של הארגון לא תיפגע.
למה זה מאתגר?
ברמת הרשת (Network): הרבה רכיבים חייבים לעבוד יחד באופן רציף - routers, switches, proxies, firewalls וכו'. תקלה ברכיב אחד יכולה להפיל את כל המערכת.
ברמת התוכנה (Software): מערכת ההפעלה, האפליקציות, ה-antimalware - כולם חייבים לרוץ בצורה תקינה.
איומים סביבתיים ופיזיים: שריפה, הצפה, בעיות מיזוג אוויר (HVAC), בעיות חשמל, אסונות טבע, או גניבה ופגיעה פיזית בציוד.
חשוב לזכור, כדי להבטיח זמינות, הארגון חייב להכיר לעומק את הסביבה התפעולית שלו ולזהות את נקודות התורפה (availability weaknesses).
רק לאחר מכן ניתן ליישם את אמצעי ההגנה (countermeasures) המתאימים - כמו גיבויים, יתירות (redundancy), תוכניות התאוששות מאסון (DR) ועוד.
בקרות שתומכות בזמינות:
• Redundant array of independent disks (RAID)
• Clustering
• Load balancing
• Redundant data and power lines
• Software and data backups
• Disk shadowing
• Co-location and offsite facilities
• Rollback functions
• Failover configurations
Authenticity
אותנטיות (Authenticity) בקצרה
הבטחה שמשהו (הודעה, קובץ, אתר, משתמש) באמת מגיע מהמקור שהוא טוען שהוא מגיע ממנו, ולא מגורם מתחזה.
באינטרנט המודרני קשה לדעת ממי באמת מגיע משהו: האם העדכון (patch) הזה באמת הגיע מ-Microsoft, או שזה malware מתחזה?
האם המייל מהבוס שמבקש לקנות גיפט קארדים ב-$5,000 באמת ממנו, או שזה phishing?
אותנטיות פותרת בדיוק את הבעיה הזו - היא מאפשרת לנו לסמוך על זה שהמקור הוא אמיתי.
הקשר לאימות (Authentication) אותנטיות היא הבסיס למושג Authentication - התהליך שמוודא שהישות שמנסה להיכנס למערכת היא באמת מי שהיא מתיימרת להיות (בני אדם, שרתים, אפליקציות וכו').
איך זה עובד בפועל?
בעולם מערכות המידע, אותנטיות מסופקת כמעט תמיד באמצעות קריפטוגרפיה.
הנה דוגמה מחיי היומיום - חיבור לאתר בנק:
שלב 1 - האתר מאמת את עצמו אליך: החיבור מוצפן באמצעות TLS (Transport Layer Security), שמשתמש ב-Digital Certificate של הבנק. זה מוכיח לדפדפן שלך שאתה באמת מחובר לבנק האמיתי - ולא לאתר מזויף.
שלב 2 - אתה מאמת את עצמך לאתר: כשאתה מקליד את הסיסמה, הבנק לוקח Cryptographic Hash של הפרטים שהזנת ומשווה אותו לערך ה-hash השמור אצלו. אם זה תואם - הוא יודע שאתה באמת אתה.
נקודה חשובה, אותנטיות שונה מסודיות (Confidentiality) ושלמות (Integrity), אבל היא משלימה אותן. בלי אותנטיות, גם אם המידע מוצפן ולא שונה - אתה עדיין לא יודע ממי הוא הגיע. לכן רבים מוסיפים את Authenticity כעיקרון רביעי לצד ה-CIA Triad הקלאסי (לפעמים יחד עם Non-repudiation - אי-הכחשה).
Nonrepudiation
אי-הכחשה (Nonrepudiation) - בקצרה:
הבטחה שאדם או מערכת לא יוכלו להתכחש בדיעבד לפעולה שהם ביצעו. אם עשית משהו - יש הוכחה שלא ניתן להתכחש לה.
ההבדל בין אותנטיות (Authenticity) לאי-הכחשה (Nonrepudiation)
אותנטיות קובעת מי אתה בנקודת זמן מסוימת (כשהתחברת)
אי-הכחשה מספקת הוכחה היסטורית שאתה זה שביצעת פעולה מסוימת או הסכמת לדבר מסוים
לדוגמה: בוב מתחבר לאתר הבנק שלו ומגיש בקשה להלוואה. אחר כך הוא קורא את האותיות הקטנות, לא אוהב את התנאים, ומתקשר לבנק לטעון: "אני לא חתמתי על שום חוזה! קמתי מהמחשב, הילד שלי שעדיין לא יודע לקרוא עבר ליד המקלדת ולחץ ENTER בטעות. זה הילד אישר את ההלוואה, לא אני!"
הבעיה: למרות שהסשן היה מאומת (authenticated) - אין לבנק הוכחה שבוב עצמו, במודע, אישר את ההלוואה. הטענה שלו עלולה להחזיק מעמד אפילו בבית משפט.
איך פותרים את זה?
אם הבנק היה דורש מבוב לחתום על הבקשה על ידי הקלדת ה-PIN שלו - הסיפור עם הילד היה קורס
הכלי המרכזי:
חתימה דיגיטלית (Digital Signature) אי-הכחשה מסופקת לרוב באמצעות Digital Signatures - מוצרים קריפטוגרפיים שעובדים בדומה לחתימה פיזית על נייר.
למה משמשת חתימה דיגיטלית?
אישור שאתה כתבת מייל מסוים
אישור שאתה כתבת תוכנה (code signing)
אישור שאתה הסכמת לחוזה
אישור שאתה ביצעת טרנזקציה פיננסית
חשובה לזכור: אי-הכחשה היא קריטית בכל מקום שיש בו השלכות משפטיות או חוזיות. בלעדיה - גם הסכם חתום אלקטרונית הוא חסר משמעות, כי הצד השני יכול תמיד לטעון "לא אני עשיתי את זה".
Vulnerability
פגיעות (Vulnerability) - "החור בגדר"
הגדרה: חולשה במערכת שמאפשרת לגורם איום לפגוע באבטחה.
הפגיעות יכולה להיות בכל אחד מהתחומים הבאים: בתוכנה, בחומרה, בנהלים, או בגורם האנושי.
דוגמאות מעשיות: שירות שרץ על שרת ולא נחוץ, אפליקציות או מערכת הפעלה לא מעודכנות (unpatched), נקודת גישה אלחוטית (Wi-Fi) ללא הגבלות, פורט פתוח בפיירוול, אבטחה פיזית רופפת - חדר שרתים שכל אחד יכול להיכנס אליו, מדיניות סיסמאות לא נאכפת בשרתים ובתחנות עבודה.
Threat
איום (Threat) ו-Threat Agent - "הסכנה ומי שמייצג אותה
"Threat (איום): כל סכנה פוטנציאלית הקשורה לניצול של פגיעות
Threat Agent / Threat Actor (גורם האיום): הישות שבפועל מנצלת את הפגיעות.
דוגמאות ל-Threat Agents:
- פולש שנכנס לרשת דרך פורט פתוח בפיירוול
- תהליך (process) שניגש למידע בצורה שמפרה את מדיניות האבטחה
- עובד שעוקף בקרות כדי להעתיק קבצים סודיים למדיה חיצונית
טיפ חשוב: Threat Agent יכול להיות גם פנימי (Insider Threat) וגם חיצוני, גם אדם וגם תהליך/אוטומציה.
Risk
סיכון (Risk) - "מה באמת חשוב לעסק"
הגדרה: ההסתברות (מה הסיכוי) שגורם איום ינצל פגיעות + ההשפעה העסקית הנובעת מכך.
הסיכון הוא בעצם נוסחה: Risk = Likelihood × Impact (הסתברות × השפעה).
דוגמאות איך פגיעויות מעלות את הסיכון:
- פיירוול עם הרבה פורטים פתוחים → הסתברות גבוהה יותר לפלישה
- עובדים לא מודרכים → הסתברות גבוהה יותר לטעות שתהרוס מידע
- אין IDS (Intrusion Detection System) → הסתברות גבוהה שמתקפה לא תזוהה בזמן
An Exposure
Exposure (חשיפה) = מצב שבו אתה חשוף לנזק פוטנציאלי בגלל פגיעות שלא טופלה, " נזק אפשרי"
הגדרה: מצב שבו ארגון חשוף להפסד פוטנציאלי כתוצאה מפגיעות קיימת.
חשוב להבין: פגיעות גורמת לחשיפה. הפגיעות היא החולשה עצמה, והחשיפה היא העובדה שהארגון נמצא במצב פגיע בגללה.
דוגמאות מעשיות: אם מדיניות הסיסמאות רופפת ולא נאכפת → הארגון חשוף לאפשרות שסיסמאות ידלפו וישומשו בצורה לא מורשית
אם הארגון לא בודק את החיווט החשמלי ולא נוקט בצעדי מניעת שריפות → הארגון חשוף לסיכון של שריפה הרסנית
A control / Countermeasure
Control / Countermeasure (בקרה / אמצעי-נגד) = הפעולה או הכלי שמיישמים כדי להקטין את הסיכון
בקרה / אמצעי-נגד (Control / Countermeasure) - "הפתרון"
הגדרה: כלי, הגדרה או נוהל שמיישמים כדי להקטין (mitigate) את הסיכון.
הבקרה יכולה להיות אחד משלושת הסוגים הבאים: תוכנה (כמו הגדרת קונפיגורציה)
חומרה (כמו פיירוול פיזי),
או נוהל (כמו תהליך עבודה).
המטרה: לבטל את הפגיעות, או לפחות להקטין את ההסתברות שגורם איום (Threat Agent) יצליח לנצל אותה.
דוגמאות לבקרות:
- ניהול סיסמאות חזק (Strong Password Management)
- Firewalls
- שומר אבטחה (Security Guard) - בקרה פיזית
- מנגנוני בקרת גישה (Access Control Mechanisms)
- הצפנה (Encryption)
- הדרכות מודעות אבטחה (Security Awareness Training)
איך הכל מתחבר - הזרימה המלאה
Vulnerability (פגיעות)
↓ גורמת ל
Exposure (חשיפה)
↓ שמובילה ל-
Threat (איום פוטנציאלי)
↓ עם
Risk (סיכון)
↓ שמטופל על ידי
Control (בקרה)