באבטחת סייבר, במיוחד עבור בודקי חדירה, הכל מסתכם בנקודות תורפה. התפיסה המוטעית העיקרית בעת דיווח על אלה היא הקשר בין הפגיעויות השונות לווקטור ההתקפה האפשרי.
לעתים קרובות אנו נתקלים במפתחים הטוענים שפגיעות אחת בסיכון גבוה בדף מוגן, או ריבוי סיכונים נמוכים במיקומים שונים, אינם מהווים איום ממשי על המערכת. תפקידנו כיועצי אבטחה הוא להראות להם כיצד ניתן לנצל את הפגיעות (תיאורטית ומעשית) תוך שימוש במושג של נקודות כשל בודדות (SPOF) וכשל מדורג.
נקודת כשל בודדת (SPOF) היא סיכון פוטנציאלי הנובע מפגם בתכנון, יישום או תצורה של מערכת. SPOF מתייחס לתקלה אחת או תקלה אחת שיכולה לגרום למערכת שלמה להפסיק לפעול.
תקלה מדורגת היא תהליך במערכת של חלקים מחוברים זה לזה שבו כשל של חלק אחד או כמה חלקים יכול לעורר כשל של חלקים אחרים וכן הלאה.
בבסיסו, בדיקת חדירה לא יכולה לכסות את כל הפגיעויות האפשריות. אנו מנסים לעשות כמיטב יכולתנו בפרק זמן נתון (2-4 שבועות), לסרוק את כל נקודות הכניסה ולהצביע בכיוון הנכון מבחינת קצוות רופפים ונקודות תורפה, לפעמים אנו מסוגלים לחקור חלקים עמוקים יותר של המערכות ובפעמים אחרות אנחנו רק מגרדים את פני השטח.
שחקנים זדוניים, לעומת זאת, יכולים לאסוף מידע כדי להרכיב וקטור התקפה מלא. פגיעות בסיכון נמוך אלו יוצרות פאזל של צעדים שאחריהם התוקפים מגיעים ליעדם. כל אחד מהסיכונים הללו תורם לכשל המדורג של המערכת, וממלא תפקיד גדול בניצול הסופי.
דוגמה נוספת ל-SPOF תהיה מצב שבו פגיעות בסיכון גבוה שוכנת בתוך סביבה מאובטחת במיוחד. מנקודת המבט של האדם, הסיכון לניצול מופחת אוטומטית, אבל כולנו יודעים שאין דבר כזה תוכנה "מושלמת". סביר מאוד שיום אחד מישהו ימצא באג בספרייה שבה אתה משתמש, או בתהליך ההרשאה שלך שאתה מחשיב למאובטח כעת, וכשזה קורה, העסק שלך מיד נחשף לניצולים.
בסופו של דבר, הערכת פגיעות היא רק כלי עבור מומחי סייבר להעריך את ההשפעה האפשרית על התוכנה, הלקוח או העסק. אך אל לנו לשכוח שהשפעת אבטחה מכל צורה שהיא עדיין מכתימה את המוניטין והיושרה של הבעלים, ומשאירה את המפתחים לעבוד זמן נוסף על טעויות העבר במקום על תכונות עתידיות.
איתי צ'רדמן
איתי הוא חוקר אבטחה ב-Sayfer. הוא נלהב להבין ולחקור וקטורים תוקפים והגנתיים המופיעים בטכנולוגיות מתפתחות חדשות.
רוצה לשמוע עוד?
כולל פגישת ייעוץ חינם.
