שיקולים אבטחתיים במימוש טכנולוגיות לבקרת גישה
שיקולים אבטחתיים במימוש טכנולוגיות לבקרת גישה
מערכות בקרת הגישה/כניסה (ה- Acsses Control) הינם חלק ממנגנוני האבטחה הפיזית בגופים וארגונים רבים ומטרתם למנוע גישת גורמים לא מורשים לשטח הארגון. פעולה זו מתבצעת ע"י חיץ פיזי בין אזור ציבורי לאזור
מאובטח אליו מתאפשרת גישה של גורמים מורשים בלבד.
מאת: אור שלום
המעבר לשטח הארגון דורש הליך הזדהות (המתבסס על שיטה אחת מבין השיטות להלן, או שילוב ביניהן): Something you Know – המתבסס על מידע שהמשתמש מכיר/יודע (סיסמא וכד'). Something You have – שיטות הזדהות המבוססת על רכיב או אמצעי (כדוגמת טלפון, כרטיס, תג וכד'). Something you are – טביעה ביומטרית (כדוגמת טביעת אצבע, רשתית, זיהוי פנים) או פיזיולוגית (קצב הקלדה, הליכה, משקל גוף וכד')(*1).
השימוש במערכות וטכנולוגיות בקרת גישה הוא פופולארי וככאלו, הן נמצאות בשימושים במעברי גבול, שדות תעופה ותחנות נוסעים, שגרירויות, מתקנים ביטחוניים, תשתיות קריטיות, תשתיות פיננסיות, מגרשי ספורט בתי כלא, חברות וארגונים אך גם בבתי מלון, בנייני דירות ובתים פרטיים (*2). בתוך כך, אפיון ותיכנון מערכות אלו צריך להתבצע בשיקולים אבטחתיים וחוסן בקו מנחה מראיית התוקף (כחלק מהמאמצים לעקוף אותן ע"י מניפולציות, סייבר ונגישות פיזית), תוך שמטרתם בראשונה להבטיח את הפונקציונאליות ולמנוע את גישתם של גורמים לא מורשים כמו גם להתריע על ניסיונות או כוונה לעקוף אותם.
על כן, ריכוז המאמץ והחשיבה יתבצע תוך שקלול ומענים לנושאים הבאים עליהם נפרט בהמשך:
- ניתוח תהליכי עוקף בידוק (Bypass) אפשריים המתבססים על תהליכי שיטוי, מניפולציה והערמה לרבות ההנדסה החברתית, הזדנבות (Piggybacking), וכן על ההתגברות הפיזית על המכשול לצורך עקיפתו בזחילה או קפיצה מעליו.
– מענים לסיכול יכולת לאיסוף מידע על המערכות או בקרבתן (כחלק מתהליכי איסוף מידע של התוקף להתחקות אחר סידורי הכניסה ואיתור הזדמנויות ודרכי גישה אפשריים למערכות אלו).
– מניעת יכולת התעסקות עם המערכות (Anti-Tampering בחומרה ותוכנה).
– ניטור וניבוי כוונות יריב בסמוך למערכות אלו.
– היבטי גיבוי ויתירות כפי שיפורט בהמשך.
צמצום סיכונים הנובעים מתהליכי הערמה ושיטוי:
המונח הנדסה חברתית הינו מרכיב חשוב בעולמות האבטחה בכלל, כל שכן שמדובר במאמצים לעוקף בידוק וצמצום חיכוך עם מערך האבטחה. מונח זה מתייחס לתהליכי שיטוי הערמה או מניפולציה שמטרתם לעקוף מנגנון אבטחה. בתהליך זה, ינסה התוקף לייצר אמון עם גורם מורשה ולהסתייע באמצעותו לעבור/לעקוף את מנגנון האבטחה. על כן, ובמטרה לצמצם את הסיכונים הנובעים מהמרכיב הפסיכולוגי והאנושי נידרש להתבסס על מנגנון מכני או טכנולוגי כתהליך בסיסי וכתנאי למעבר (במטרה לצמצם את שיקול הדעת האנושי בתהליך). בכל אירוע בו לא מתבצעת השלמה של תהליך זה תידרש התערבות והחלטה של גורם אנושי במטרה להתיר את הכניסה. בנקודה זו קיים כבר ממשק אנושי ועל כן הסיכון למניפולציה הוא גבוה ולכן יש לבצע תהליך בהתאם לפרוטוקול החרגה וזיהוי (על פי מדיניות ונהלי הארגון שתיקבע ביחס לזיהוי, שאלות הזיהוי, שאלות מוכמנות או תכונות אחרות). רק לאחר השלמת תהליך זה תותר ההחרגה והמעבר. רצוי שתהליך החרגה זה יאושר ע"י גורם ניהולי בעל סמכות נוסף במטרה להבטיח את ביצועו ואיכותו.
סיכול כניסה בחסות גורם מורשה במזיד או שלא במזיד בתהליכי הזדנבות (Piggybacking):
הרעיון המסדר באיום זה מושתת על הסיכון האפשרי לפיו אדם מורשה מאפשר (בידיעתו או שלא בידיעתו) לגורמים, לא מורשים לעבור את מנגנון האבטחה באמצעות הזדנבות, היצמדות (כתרחיש אפשרי בביקורת גבולות) או במקרים מסוימים בנשיאה או הרמה מעל המכשול. על כן, בתהליך התיכנון יש לוודא קיומם של בקרות ייעודיות שימנעו ויסכלו יכולת זו. בהתאם לרגישות המתחם ניתן לתכנן מערכות המתריעות על ניסיונות אלו או, לחילופין, לממש בקרות המונעות לחלוטין יכולות אלו. כך, תכנון המערכות באופן שלא מאפשר בפועל הזדנבות או היצמדות (לדוגמא העדפה של קרוסלה במקום דלת או שער) באופן שמווסת או מתעל כניסה של אדם אחד בלבד. במימדי ההתרעה והגילוי ניתן להטמיע גלאים או להתבסס על אנליטיקת מצלמה (כחלק מאינטגרציה) המתריעה בכל ניסיון להזדנבות. מעבר למימוש הבקרות הטכנולוגיות יש לוודא גם התנהלות ותרבות ארגונית לענידת תג או מזהה ארגוני במטרה להציף גורמים שאינם מוכרים או חריגים בנוף. לאבטחה האקטיבית (היוזמת) משמעות של ממש בסיכול כוונות יריב. כך גם, באירוע זה יש לפעול לאיתור החריג וליזום בדיקות מדגמיות באופן מפתיע להצלבת פרטי התג אל מול הישות. כוחה של בדיקה זו היא לצמצום כוונת תוקף לבחור בדרך פעולה של זיוף תיעוד נוכח הסיכון האפשרי בחיכוך עם מערך האבטחה.
תשומות למניעת גישה, מניפולציה פיזית או התעסקות עם המערכת והמידע הקיים בה לאורך כל מחזור החיים:
בראייתו של התוקף קיים איזון מעניין בין תקיפה במרחב הפיזי לבין תקיפה במרחב הסייבר. ככל שהיריב יכול לבצע נגישות מרוחקת הוא יבחר לבצע את תהליך איסוף המידע, איתור הפרצות ומימוש התקיפה מרחוק במרחב הסייבר. ככל שיקשה עליו לתקוף באמצעות מרחב הסייבר הוא ישאף להשיג גישה פיזית למערכת לצורך טיפול (כדוגמת שינוי הגדרות או החלפת חומרה). אל מול דרך פעולה זו יש לנקוט בתשומות הבאות: מנגנונים למניעת התעסקות *Anti-tamper)3), יכולת שליטה ופיקוח באמצעות אבטחה אנושית או טכנולוגיות מבוססות אנליטיקה להצפת החריג (לדוגמא: השתהות ליד מערכת או בקרבתה בשעות או זמנים לא סבירים, התעכבות ואופן שהייה ממושך או בגובה מסוים) (*4). דרך פעולה נוספת יכולה להיות אל מול התגים המונפקים לגורמים המורשים ע"י הניסיון לשלוט בתהליך ההנפקה והניהול ו/או לממש יכולת העתקה או שכפול באמצעות מנגנונים פשוטים יחסית. אל מול תרחישים אלו יש לנקוט במנגנונים למניעת יכולות ושימוש במנגנוני שכפול (כדוגמת RFID Duplicator), וניסיונות העתקה ולהבטיח כי ניהול ההרשאות מתבצע ע"י גורם מוסמך מתוך הארגון ובסביבה מבודלת (*5). דרך פעולה נוספת מתבססת על מניפולציה על המערכת עצמה (לדוגמא במגע יד או תמונה) לצורך עקיפתה. כך, לדוגמא, זיוף או מניפולציה בהזדהות ביומטרית. על כן, מימוש בדיקת חיות (Liveness), הזדהות מבוססת 2fa ונעילת מנגנון ההזדהות לאחר 3 ניסיונות כושלים תיתן מענה לאיום זה (*6). נגישות למערכות יכולה להתבצע בתהליכי שיטוי או במכוון גם על ציר שרשרת אספקה ועל כן, יש לוודא תהליכי אישור מהימנותי לגורמי התחזוקה והתמיכה וזיכוי חומרה ותוכנה בכל צורך לשדרוג, תיקון או טיפול במערכת.
שיקולים מכוונים לתוכנית ייעודית לצמצום סיכוני סייבר – והיבטי היתירות:
בקרות הגישה הינן מערכות ממוחשבות ולעיתים מחוברות למערכות ורשתות נוספות כדוגמת מערכות מבנה. בראיית התוקף השתלטות בסייבר על המערכת תוכל לאפשר לו השבתה, סינוור או מניפולציה שתאפשר לו לקדם את המעבר והגישה. עוד חשוב להדגיש כי מערכות האבטחה (רשת המצלמות ובקרת הגישה) מעניינות את התוקף גם מתוך מטרה להשיג נגישות ע"י דילוג ואחיזה לסביבות נוספות ברשת הארגונית. כחלק מצמצום סיכונים רצוי לוודא תהליכי חוסן והקשחה (שיתבצעו לאורך כל מחזור החיים של המערכת). בשנים האחרונות אירעו מס' אירועי תקיפה הממחישים שוב ושוב את הסיכונים והאטרקטיביות בראיית התוקף. בשנת 2017 פורצים הצליחו להשתלט על מערכות המבנה ברשת של בתי מלון ולהשבית את המערכת לניהול החדרים האוטומטית (*7).
במקרה תקיפה נוסף של האקרים על הרכבת הקלה בסאן פרנסיסקו, הותקפה מערכת הכרטוס של בקרת הכניסה באופן שאיפשר כניסה חופשית (*8). באירוע אחר בבריטניה בוצעה אחיזה ותקיפת כופר על מערכות השערים לאצטדיון (אירוע שלצד ההשלכות האבטחתיות, יש לו גם השלכות בטיחותיות של שליטה בתנועת קהל וכד'). אירועים אלו, מחדדים היטב את הצורך בבידול מערכות מרשת האינטרנט ומעבר לזה את הצורך בהגנת סייבר וביתירות. מאחר והיריב מכוון לנטרול המערכת ניתן לתכנן את הארכיטקטורה באופן שבו מרכיבי ה- 2FA יהיו בלתי תלויים באותו השרת ומופרדים ב- VLAN בסגמנט אוטונומי ייעודי. כך שבתכנון כזה תושג יתירות והבטחת ההמשכיות העסקית. במידה ותתבצע פגיעת סייבר על המערכת, אזי על אחד ממנגנוני הזיהוי תהא יתירות של מערכת אחת לפחות (*9). על כן, כבר בתחילת האפיון יש לשלב גורמי סייבר מקצועיים לליווי הפרויקט והפעילות. בהמשך, יש להבטיח מעורבות קרובה והדוקה של גורמים אלו גם באמצעות סקרי סיכונים ובדיקות חוסן למערכות. כחלק מתהליך האפיון, יש לנתח סיכונים אפשריים הנובעים מהשלכות סביבתיות ומיקום. כך, לדוגמא, ניתוח משמעויות לגבי השפעות אפשריות על שכפול והעתקת תגי קרבה או השפעה סביבתית על מערכות מבוססות RF/RFID . עוד, יש לעסוק בסיכונים הנובעים מחיבוריות וקישוריות בתוך הרשת עצמה ומחוצה לה, ממשקים בתקשורת (OTA) Over The Air על תצורותיו השונות; ה-IoT וה-RF , וכמובן חולשות הקשורות בדגמים ובבקרים עצמם. ככלל, יש לזכור שלערך בידול סביבות מרשת האינטרנט ורשתות ארגוניות אחרות משמעות חזקה בהגנה על המערכות. תהליך איסוף דרכי הפעולה בראיית התוקף מקיף את כלל הקומפונטות, החולשות מהרכיבים והרשת עצמה. זאת ועוד, בלא מעט ארגונים קיים תהליך של הנפקת הרשאה לעובד (תג, ביומטרי, סיסמא). תהליך זה כרוך ברישום ב- Data Base עם פרטים אישיים שאליהם שואף התוקף להגיע ממניעים שונים. דרך פעולה זו, חשופת את הארגון לסיכונים הקשורים בזליגת מידע ופרטיות ומחייבת את הארגון לנהל סיכון גם במימד זה ותוך מטרה לצמצם סיכונים משפטיים, תפעוליים וביטחוניים בחסות הבידול, בקרות הצפנה, ארכיטקטורת אפס אמון ועוד.
בדיקות חוסן ומניפולציה על המערכת:
אירוע זה של בדיקת חוסן מכוון לתהליך לוידוא הדרישות דלעיל והבטחת איכות הביצוע וחוסן המערכת לאורך כל חייה. נכון הוא שתהליך זה יכסה את תרחישי הבדיקה גם במימד הפיזי (נגישות פיזית או פריפריאלית). גם כאן הטרמינולוגיה היא חשובה; הכוונת צוות אדום לבדיקות חוסן ומניפולציה תאפשר בחינת תרחישים במגוון דרכי פעולה, הן במימד הפיזי והן במימד הסייבר (או באופן המשלב ביניהם). במחקר שבוצע באוניברסיטת בן גוריון בשנת 2018 הוכחה יכולת מניפולטיבית מעניינת בעוקף בידוק. יכולת זו נשענה על הונאת מערכת לזיהוי פנים ע"י שימוש באיפור. באמצעות ניתוח והצבעה על חולשות התוכנה בתהליך AML-Adversarial Machine Learning
התקבלו Inputs לשימוש במימיקות ואיפור לצורך עיבוי ובאופן המערים על המערכת.
המחקר מעניין גם בשל חוסר הבולטות המקשה להציף את החריג (המאופר במקרה זה) בסביבות כדוגמת שדה תעופה (*10). אירועי התקיפה, הידע והניסיון המצטבר לצד מוטיבציית היריב מחייבים הפעלת צוותים אדומים לבחינת תרחישים מתקדמים אלו.
הכותב הינו מומחה לתחומי האבטחה, טכנולוגיות HLS וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בוגר תואר שני ובעל הסמכות ממלכתיות ואזרחיות בעולמות האבטחה והסייבר. בין היתר עוסק בייעוץ ופיתוח עסקי לגופים וחברות ביטחוניות בנושאי תיכנון ובניית הגנה, חדשנות וטכנולוגית אבטחה, תרגולים ואימונים בזירות האבטחה והסייבר.
[1] https://csrc.nist.gov/glossary/term/multi_factor_authentication , https://www.cs.cornell.edu/courses/cs513/2005fa/NNLauthPeople.html
[2] https://i-hls.com/he/archives/110643
[3] https://www.kth.se/social/files/59102ef5f276540f03507109/hardware_security__2017_05_08.pdf
[4] https://i-hls.com/he/archives/107457
[6] Biological signals are present in all humans. Anatomical actions such as heart beat, blood flow, or breathing, create subtle changes that are not visible to the eye but still de-tectable computationally. For example, when blood moves through the veins, it changes the skin reflectance over time, due to the hemoglobin content in the blood https://par.nsf.gov/servlets/purl/10290463
[7] https://thehackernews.com/2017/01/ransomware-hotel-smart-lock.html