אבטחת סייבר Discordian

דף הבית המניפסט ISMS בקרת גישה

🔑 בקרת גישה: אל תבטח באף אחד (במיוחד בעצמך)

אפס אמון: לא פרנויה, רק מתמטיקה עם מסלולי ביקורת

חשוב בעצמך, טמבל! "בטח אבל אמת" זה שטויות תאגידיות שנועדו לגרום לאנשים אמפתיים להרגיש פחות נאיביים. הנה המציאות: רק אמת. דלג על חלק האמון לגמרי. AWS Identity Center SSO (אימות מרכזי או תעוף מפה), MFA על הכל (בלי חריגים, אפילו לא "רק הפעם"), טיהור חשבונות רדומים ל-90 יום (אישורים שכוחים = פריצה עתידית מחכה לקרות), מטריצות גישה מבוססות סיווג. אתה מספיק פרנואיד? טוב. התוקפים בהחלט כן — והם מהמרים שאתה לא.

שום דבר לא אמיתי. הכל מותר. למעט גישה בלי אימות רב-גורמי, הרשאה נכונה ותיעוד מקיף. "אפס אמון" זה לא פרנויה — זה הכרה שהמתחם הרשת התמוסס ב-2010 והעמידת פנים אחרת היא תיאטרון אבטחה שגורם לך להיפרץ. מודל הטירה והחפיר מת עם עבודה מרחוק בקורונה. FNORD. ה-VPN שלך הוא רק מנהרה מוצפנת למכשירים לא מהימנים. פעל בהתאם.

ב-Hack23, בקרת גישה זה לא תחושות ות כוונות טובות — זה AWS Identity Center SSO (אימות מרכזי או תעוף), כיסוי MFA 100% (בלי חריגים, אפילו לא בשבילך, במיוחד לא בשבילך), סקירות חשבונות רדומים 90 יום (אישורים שכוחים הופכים לאישורי יריב), מטריצות גישה מבוססות סיווג לפי מסגרת הסיווג (נכסים קיצוניים מקבלים בקרות קיצוניות כי מתמטיקה). סקירות מדיניות חצי-שנתיות (הבאה: 2026-02-20) כי דפוסי גישה משתנים מהר יותר מביקורת הציות השנתית שלך. גרסה 2.2 (בתוקף: 2025-08-20) כי אנחנו חוזרים על כשלונות במקום להסתיר אותם.

הארה: אמון הוא פגיעות שמתחפשת לשיתוף פעולה. אימות הוא בקר שמתחפש לפרנויה. AWS Identity Center + MFA חובה = אימות בקנה מידה בלי טעויות שיפוט אנושי. הפנופטיקון לזהויות עובד טוב יותר כשכולם יודעים שמשגיחים עליהם. בחר בפרנויה שיטתית על פני נאיביות נוחה. בחר בבקרים מתועדים על פני אבטחה דרך תקווה וצליבת אצבעות.

עקרונות אפס אמון + ניהול זהות ברמת ארגון + שקיפות חברה חד-אישית = הוכחה שבקרת גישה שיטתית מתרחבת מפעולות סולו לארגונית. פרנויה טכנית מלאה במדיניות בקרת הגישה הציבורית שלנו. כי אפלולית זה לא אבטחה — זה תקווה שלובשת מעיל.

צריך הדרכה מומחה ביישום בקרת גישה אפס אמון? גלה למה ארגונים בוחרים ב-Hack23 לייעוץ אבטחת סייבר שקוף בהובלת מומחים.

חמש סיבות למה "בטח אבל אמת" זה חצי שגוי (רמז: דלג על חלק האמון)

"אפס אמון" נשמע פרנואידי? טוב. פרנויה היא התאמת דפוסים למציאות. הנה יישום שיטתי לסייקונאוטים:

1. 🔐 אמת כל בקשה (כן, כל אחת)

AWS Identity Center SSO + MFA על הכל. בלי אמון. בלי "אתה על VPN אז תרגע." בלי "אבל זה רק דב." כל בקשה מאותגרת. תמיד. כיסוי MFA 100% מנוטר בזמן אמת. MFA חומרה לקריטי (AWS root, פיננסי — YubiKey או כלום). TOTP לגבוה (צינור פיתוח — Authy עובד). ילידי פלטפורמה לציבורי (שיווק — מובנה בסדר). המתחם הרשת מת. יחי אימות הזהות.

"האפס" באפס אמון זה מילולי. מיקום רשת = חסר משמעות. VPN = אי-אמון מוצפן. Identity Center SSO = הזהות היא המתחם. MFA = הוכחה שאתה אתה. אתה מספיק פרנואיד לאתגר את עצמך? FNORD.

2. 📋 גישה מבוססת סיווג (לא כל הנתונים שווים)

מטריצת גישה מיושרת עם מסגרת הסיווג. נכסים קיצוניים (תשתית AWS ליבה) = Identity Center + MFA חומרה + זמן קצוב 4 שעות + סקירות חודשיות. גבוה מאוד (פיננסי) = MFA ספק + זמן קצוב שעה אחת + סקירות חודשיות. גבוה (צינור פיתוח) = MFA פלטפורמה + זמן קצוב 8 שעות + סקירות רבעוניות. בינוני = זמן קצוב 24 שעות + סקירות חצי-שנתיות. ציבורי = זמן קצוב 7 ימים + סקירות שנתיות. קריטיות הנתונים מניעה הכל.

גישה במידה אחת מתאימה לכולם = אבטחה דרך עצלנות. מערכות פיננסיות צריכות סקירות חודשיות. שיווק צריך שנתי. סיווג = פרנויה מבוססת סיכון. בחר בקרים מתאימים או בחר בפריצה סופית.

3. ⏰ טיהור חשבונות רדומים 90 יום (גישה שכוחה = פריצה עתידית)

זיהוי אוטומטי, אימות ידני, ביטול אספקה אכזרי. חשבונות לא בשימוש 90+ ימים = מסומנים שבועית. יעד: אפס חשבונות רדומים (לא "נמוך", אפס). התראות בזמן אמת כשמופר. חשבונות רדומים הם גניבת הרשאות מחכה לניצול על ידי הקבלן האחד שעזב ב-2019 אבל עדיין יש לו גישה לקונסול AWS. ניטור שבועי מונע מארכיאולוגיה להפוך לוקטורי תקיפה.

חשבונות רדומים הם דלתות אחוריות של שרדינגר — גם נפרצים וגם בסדר עד שנצפים במהלך תגובה לאירוע. סקירות 90 יום = היגיינת גישה שיטתית. ניקיונות שנתיים = הודאה ששכחת ל-364 ימים.

4. 🔄 סקירות מדיניות חצי-שנתיות (כי איומים לא מחכים)

גרסה 2.2 (בתוקף: 2025-08-20). סקירה הבאה: 2026-02-20. מדיניות נסקרת פעמיים בשנה (לא פעם, פעמיים). טריגרי סקירה: מחזור מתוזמן, שינויים רגולטוריים (GDPR/NIS2), אירועים, שינויי ארגון, עדכוני AWS. תיעוד חי שמסתגל. לא PDF-ים ארכיאולוגיים שאוספים אבק דיגיטלי. מדיניות סטטית בנוף איומים דינמי = חוסר רלוונטיות סופי.

סקירות חצי-שנתיות = הכרה שהמציאות משתנה. AWS משיקה שירותים חדשים. תוקפים מוצאים טכניקות חדשות. דרישות ציות משתנות. מדיניות הגישה שלך מ-2019? חפץ ארכיאולוגי, לא בקר אבטחה.

5. 📊 תיעוד ביקורת של הכל (הפנופטיקון אמיתי והוא עשוי מ-CloudTrail)

AWS CloudTrail + לוגים של Identity Center + לוגי ביקורת GitHub. מי ניגש למה, מתי, מאיפה. מסלולי ביקורת לכל הסלמת הרשאות. לוגים נשמרים לפי מדיניות סיווג. תיעוד בלי התראה = תיאטרון אבטחה. לוגים שאתה לא בודק = אגירת מידע שמעמידה פנים שהיא אבטחה. לוגים שלא מובילים לפעולה = תיבת סימון ציות שמבזבזת אחסון.

מסלולי ביקורת = דלק לתגובה לאירוע. בלי לוגים = בלי חקירה = בלי ייחוס = בלי לקחים. CloudTrail + תיעוד מרכזי = אחריות שיטתית. הפנופטיקון עובד הכי טוב כשהנבדקים יודעים שהוא קיים. FNORD.