ההתקפה הטובה ביותר: המגננה

בטור הנוכחי, בוחן הכותב, פול פרקינסון מ–Wind river, תרחישי לוחמה במרחב הווירטואלי המבוססים על אירועים אמיתיים, את האיומים שהם מציגים וכיצד ניתן לבנות הגנות אבטחה ברשת עם ארכיטקטורת MILS

5איומי לוחמה במרחב הווירטואלי המסוגלים לעקוף את הכוחות המזוינים של מדינה, הם כבר עובדה קיימת. בטור הנוכחי ייבחנו כמה תרחישים אפשריים המבוססים על אירועים אמיתיים וייבדקו מקרוב האיומים שהם מציגים ואת הדרכים להגיב עליהם.
ב-2007 פרסם ה-“פייננשל טיימס” כתבה על מתקפה וירטואלית על רשת המחשבים של הפנטגון שהביאה להשבתת מחשבים רבים למשך שבוע. למרות שהסתבר כי המתקפה הזו היתה מוגבלת לרשת שהכילה מידע בלתי מסווג בלבד, התוצאה שלה גרמה הפרעה קשה לעובדי הפנטגון.
ב-1998 דיווח ה-Government Computer News כי תקלת תוכנה פעוטה (גליץ’) השביתה את ספינת הטילים החכמה יורקטאון של הצי האמריקאי למשך שעתיים ושלושת רבעי השעה. התקלה קרתה כשנתונים משובשים, במקרה הזה אפס, הוכנסו ליישום של חלונות NT, וכתוצאה מכך ניסתה התוכנה לבצע חלוקה באפס. המחשב קרס, וגרם לנפילת הרשת כולה, כולל השבתת מערכת ההנעה של הספינה. השאלה האם היה צורך לגרור את הספינה לנמל שנויה במחלוקת, אבל ברור לכל כי לתקלת התוכנה הזו היתה השפעה משמעותית על ספינת  הטילים.
למרות שעל פניו נראה כי אין לשתי התקריות האלה הרבה מן המשותף, הטכניקה יכולה לשמש למתקפה וירטואלית נגד מערכות הגנה. מתקפות DDOS (Distributed Denial Of Service) יכולות להציף רשתות, ותעבורה ברשת המכילה מידע שגוי או מסרים ממולכדים יכולה לגרום לתקלות תוכנה כמו חלוקה באפס וכיו”ב.
הסיבה לכך ששתי המערכות האלה היו חשופות למתקפה עשויה להיות נקודת החולשה של מערכת בקרת זרימת המידע ושל מדיניות בידוד התקלות. אלה שניים מהיסודות של ארכיטקטורת תשתית האבטחה המוכרת בשם MILS ( (Multiple Independent Levels of Security, שהטמעתה בתוכנה מאפשרת פיתוח מערכות עמידות מאוד לעיבוד נתונים מתחומי אבטחה שונים על גבי מעבד יחיד. דרישות האבטחה לארכיטקטורה החדשנית הזו מנוסחות ב- SKPP (Separation Kernel Protection Profile). ליבות הפרדה ממספר ספקים שונים של תוכנות מדף מוטמעות באופן שתואם את דרישות התקן הזה, והגדרות האבטחה שלהן מוערכות על פי התקן הבינלאומי Common Criteria ברמות ווידוא אבטחה גבוהות וברמת חסינות התואמת את דרישות הסוכנות לבטחון לאומי (NSA).
ישנה תכונה אחת משותפת לכל ליבות ההפרדה האלה: היכולת להגדיר מחיצות או לוחות וירטואליים שניתן להשתמש בהם כדי לבודד רכיבי תוכנה. הגישה הזו יכולה לשמש להצבת  WINDOWS במחיצה מבודדת תחת הבקרה של ליבת הפרדה שעברה הערכה רשמית, הרצה על פלטפורמת חומרה. ההפרדה מאפשרת שימוש מירבי ביכולות של הסביבה הגרפית של חלונות ושל היישומים המקושרים לחלונות תוך בקרה קפדנית על ידי ליבת ההפרדה. יכולות בידוד התקלות של ליבת ההפרדה יגבילו גם את הנזק שיוכל להיגרם על ידי חלוקה באפס בכך שתטפל בחריגה ותעצור או תאתחל את חלונות באופן מבוקר.
ליבות ההפרדה מספקות גם את היכולת להגדיר מדיניות זרימת מידע. המדיניות תוודא כי רק מידע מורשה יועבר בין מחיצת חלונות וסביבות חיצוניות. בדרך כלל יכלל שימוש במחיצה בעלת סיווג אבטחה גבוה שתכיל מנגנון הגנה מתוחכם. המנגנון יבדוק ויאמת את הנתונים לפני שיעביר אותם אל מקטע חלונות, וכך יפחית את מספר התקלות הנגרמות בחלונות על ידי נתונים שגויים.
אנחנו יכולים לבנות מערכות בטוחות רק על ידי כך שנתייחס לבטיחות כחלק מהותי של התכנון הראשוני ונריץ יישומים בעלי רמת אבטחה נמוכה על יסודות אמינים המבוססים על עקרונות אבטחה מוצקים. תכנון שכזה יוכל לא רק לטפל במגוון רחב של אתגרי אבטחה  אלא יספק גם בסיס אמין לאירוח יישומים חדשים ו-וותיקים, שיוכל לנטרל ולבודד תקלות אבטחה או תוכנה.
• פול פרקינסון הוא ארכיטקט מערכות בכיר, חטיבת חלל, תעופה וביטחון בחברת ווינד ריבר.

תגובות סגורות