כיצד מכשירים "משעממים" כמו מערכות אל-פסק הפכו לדלת האחורית של ההאקרים ואיך נועלים אותה?
כשאנחנו חושבים על הגנת סייבר, התמונה הראשונה שעולה בראש היא בדרך כלל מחשב נייד נעול בסיסמה, טלפון חכם עם זיהוי פנים, או חומת אש המגנה על שרתי החברה. אנחנו משקיעים הון בהגנה על הנתונים הרגישים שלנו, אבל לעיתים קרובות משאירים את הדלת האחורית פתוחה לרווחה. הדלת הזו היא תשתית החשמל והתקשורת של הארגון.
הסכנה הבלתי נראית: כשהטוסטר מדבר עם השרת
בעולם המודרני, כמעט כל מכשיר מחובר לרשת האינטרנט או לרשת הארגונית. זה כולל מדפסות, מצלמות אבטחה, וגם מערכות אל-פסק (UPS) אותם מכשירים שנועדו לספק חשמל בחירום. הסיבה לחיבור היא מאחר ואנחנו רוצים לנהל אותם מרחוק ולדעת אם יש הפסקת חשמל או תקלה.
אבל כאן בדיוק טמונה הבעיה: האקרים (תוקפי סייבר) יודעים שהמחשבים האישיים מוגנים היטב. לכן, במקום לנסות לפרוץ דרך הדלת הקדמית המשוריינת, הם מחפשים את החולייה החלשה. הם סורקים את הרשת ומחפשים מכשירים "טיפשים" או נשכחים, כמו מערכת האל-פסק בחדר השרתים, שלעיתים קרובות לא מעודכנת ולא מוגנת. ברגע שהם משתלטים על מכשיר כזה, הם נמצאים בתוך הרשת שלכם. משם, הדרך לגניבת מידע או השבתת הארגון קצרה מאוד.
הפתרון: לעבור למודל של "חשדנים תמיד" (Zero Trust)
בעבר, מודל האבטחה היה דומה לטירה: יש חומה חיצונית חזקה, אבל ברגע שנכנסת פנימה – כולם סומכים עליך. בעולם הסייבר של היום, זה כבר לא עובד. הפתרון החדש נקרא Zero Trust (אפס אמון).
הרעיון פשוט: לא סומכים על אף אחד, אף פעם. זה לא משנה אם אתה המנכ"ל, המזכירה, או מערכת האל-פסק. כל מי שרוצה להתחבר לרשת ולהעביר נתונים חייב להוכיח את זהותו מחדש, בכל רגע נתון. זה כמו להציב שומר חמוש לא רק בכניסה לבניין, אלא בכניסה לכל חדר וחדר בתוכו.
איך עושים את זה טכנית?
כדי ליישם את מדיניות "אפס אמון" על מכשירים שאין להם מקלדת או מסך (כמו מערכות אל-פסק), משתמשים בפרוטוקול טכני שנקרא 802.1X.
אפשר לדמיין את 802.1X כ"סלקטור הדיגיטלי" של שקעי הרשת בקיר:
השקע הנעול: כשאנחנו מחברים כבל רשת למכשיר, החיבור פיזית קיים, אבל לוגית הוא "חסום". שום מידע לא עובר.
תעודת הזהות: המכשיר (למשל ה-UPS של Eaton) מציג לרשת "תעודת זהות דיגיטלית הנקראת אישור או Certificate זוהי חתימה מוצפנת שאי אפשר לזייף.
האימות: שרת האבטחה המרכזי בודק את התעודה. אם היא תקפה ומוכרת, הוא שולח פקודה לשקע: "פתח את השער".
החיבור: רק אז המכשיר מקבל אישור להתחיל "לדבר" עם שאר הרשת.
הפתרון של Eaton: כרטיס ה-Gigabit
כאן נכנס לתמונה החידוש הטכני מבית Eaton. הם פיתחו כרטיס רשת מתקדם (Gigabit Network Card) המשמש כמתאם למערכות האל-פסק שלהם. הכרטיס הזה הופך את ה-UPS ממכשיר "טיפש" למכשיר חכם ומאובטח.
הכרטיס יודע להחזיק בתוכו את אותה "תעודת זהות דיגיטלית" ולבצע את תהליך האימות המורכב מול הרשת הארגונית בצורה אוטומטית. זה אומר שגם אם האקר יצליח להתגנב לבניין ולחבר מחשב זדוני לשקע של ה UPS, הרשת תזהה שאין לו את התעודה המתאימה ותחסום אותו מיד.
לסיכום:
בעידן שבו כל מכשיר הוא מחשב פוטנציאלי, אנחנו לא יכולים להרשות לעצמנו להזניח את התשתיות.
שילוב של טכנולוגיית אימות חכמה (802.1X) בתוך מערכות החשמל, כפי שמציעה Eaton, הוא לא רק שדרוג טכני – זוהי תעודת הביטוח של הארגון. זהו המנעול שמוודא שרק המוזמנים האמיתיים נכנסים למסיבה, והאיומים נשארים בחוץ.
