שיעור 19: חזרה מקיפה והכנה למבחן
הגענו לשיעור האחרון בקורס. השיעור הזה לא מלמד שום מושג חדש — הוא בונה שני דברים לקראת המבחן: איך שאלות רב-ברירה אמריקאיות בנויות ואיפה הן מנסות להטעות (ארבעה דפוסי הסחה חוזרים), וחמישה חיבורים בין-נושאיים שדורשים לשלוף ידע מכמה שיעורים בבת אחת — הצפנה היברידית ב-TLS, הלקח התפעולי מפריצת Target, הסכנ
בקיצור: המבחן הוא 25 שאלות אמריקאיות, בחומר סגור, בלי דף נוסחאות. השאלות הכי קשות לא בודקות הגדרה בודדת אלא חיבור בין שני שיעורים — כמו למה TLS משתמש בהצפנה היברידית, או למה חשבון של עובד שעזב הוא סיכון. התשובות השגויות בדרך כלל לא סתם טעויות אקראיות — הן ממוקדות: מחליפות בין שני מושגים דומים, הופכות סיבה ותוצאה, משנות מילה אחת שהופכת טענה נכונה לשגויה, או משתמשות במילים כמו 'תמיד'/'אף פעם' שכמעט תמיד שגויות.
- מבנה הבחינה: לוגיסטיקה ודגשים
- הבחינה בנויה בשיטה אמריקאית (רב-ברירה) — 25 שאלות, לכל שאלה תשובה נכונה אחת בלבד. הבחינה בחומר סגור (closed-book), ואין צורך בדף נוסחאות כלשהו — כל מה שדרוש הוא הבנת המושגים וההיגיון שמאחוריהם, לא שינון נוסחה.
- דפוס הסחה 1: החלפת מושגים דומים
- תשובה מסיחה לוקחת שני מושגים דומים-אך-שונים (למשל ARP Poisoning מול MAC Flooding, או RBAC מול ABAC) ומחליפה ביניהם או מערבבת את ההגדרות שלהם. ההגנה: לזהות בדיוק מה כל מושג תוקף או פותר, לא רק את שמו.
- דפוס הסחה 2: היפוך יחס הסיבתיות
- תשובה מסיחה הופכת את כיוון הסיבה והתוצאה — למשל טוענת ש'לא היו כלי אבטחה' כשבפועל הכלים כן היו קיימים אך התהליך סביבם נכשל (כמו במקרה Target). ההגנה: לשאול 'האם זו באמת הסיבה, או שהיא רק נשמעת הגיונית?'
- דפוס הסחה 3: ניסוח עדין שמשנה משמעות
- מילה אחת משתנה בין תשובה נכונה לתשובה שגויה — לדוגמה 'תמיד' במקום 'לרוב', או 'מונע לחלוטין' במקום 'מקטין משמעותית'. הבדל קטן בניסוח הופך טענה נכונה לחלוטין לשגויה. ההגנה: לקרוא כל תשובה מילה במילה, לא רק לתפוס את הרעיון הכללי.
- דפוס הסחה 4: ניסוח מוחלט שאינו נכון בכל מקרה
- תשובות שמכילות מילים כמו 'תמיד', 'אף פעם לא', 'בשום מקרה' נוטות להיות שגויות, כי הן מתעלמות מחריגים — כמעט תמיד יש תרחיש שבו הכלל לא חל. ההגנה: תשובה שמנוסחת בצורה מוחלטת דורשת בדיקה כפולה.
- חיבור: למה TLS משתמש בהצפנה היברידית
- כפי שנלמד עם TLS, הצפנה א-סימטרית איטית פי 1,000-10,000 מסימטרית, ולכן היא מוגבלת לשלב ה'לחיצת יד' בלבד — ואז הפרוטוקול עובר להצפנה הסימטרית המהירה עבור המידע הכבד עצמו. זו אותה בעיית מהירות שכבר פגשנו, רק הפעם בהקשר של TLS.
- חיבור: הלקח התפעולי מפריצת Target
- ל-Target היו Firewall, IDS, IPS, DLP וסגמנטציה רשתית — אבל התראה קריטית ממערכת FireEye לא טופלה על ידי הצוות. הלקח: איכות היישום והתפעול של הבקרות חשובה יותר מעצם קיומם של כלים מתקדמים.
- חיבור: הסכנה בחשבונות זומבי
- בתהליך גריעת המשאבים (De-Provisioning), חשבונות של עובדים שעזבו את הארגון אך נותרו פעילים ('חשבונות זומבי') הם פרצת אבטחה חמורה — ולכן נדרש 'Kill Switch' לניתוק מיידי מכל המערכות בעזיבה.
- חיבור: ARP Poisoning מול MAC Flooding
- ההבדל המהותי, לפי מה שכבר נלמד: ARP Poisoning שולחת תגובות ARP מזויפות כדי לגרום למחשב להאמין שכתובת ה-MAC של התוקף שייכת לראוטר. MAC Flooding לא מטעה אף מחשב — היא מציפה את טבלת ה-CAM של המתג עצמו באלפי כתובות מזויפות עד שהוא נכנס למצב Fail-Open ומשדר הכל לכולם, כמו Hub.
- חיבור: היתרון של ABAC בהחלטות מבוססות-הקשר
- ABAC הוא המודל המקיף ביותר מבין מודלי בקרת הגישה — הוא שוקל בו-זמנית את המשתמש, המשאב וגם את הסביבה (שעה, מיקום), ומעניק את ההרשאה הגרנולרית והדינמית ביותר מבין כל המודלים. זהו בדיוק היתרון שלו על פני RBAC (המבוסס על תפקיד קבוע בלבד) בארגונים מבוזרים.