e n i z a g a M y t i r u c e S מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 6דצמבר 2012 בשער האויב שבפנים הישרדות בעידן הביג דאטה מגמות אבטחת מידע לשנת 2013 תקיפות סייבר ממוקדות n o i t a m r o f n I דבר נשיא האיגוד הישראלי לאבטחת מידע ()ISSA חבר\ה יקר\ה בשנה החולפת כותרות העיתונים מלאות באירועי אבטחת מידע ברחבי העולם .הפעם מילת הקסם היא סייבר (.)Cyber כבר הרבה זמן התעשייה כולה ועמה מובילי הדעה ,המנהיגים הלאומיים והעסקיים ,ההנהלות ,הדירקטוריונים ,הרגולטורים עוסקים בשאלה "מה עלול לקרות לנו בגלל הסייבר?" .במצב דומה קצת למצב שהיינו בו עם הפיכתה של האינטרנט לרשת עסקית באמצע שנות ה 90-של המאה הקודמת .גם אז כותרות העיתונים היו מלאות וכולם חיפשו תשובות והייתה תחושה של פאניקה באוויר. מה בגיליון? דבר העורך אתגרי אבטחת מידע בעולם הBIG DATA- בעידן המודרני ,המגמות העיקריות בתחום אבטחת המידע משתנות בהרף עין ,וקשה לעמוד בקצב המסחרר של השינויים. ראשית ,התפוצצות כמויות המידע בעידן ה Big Data-שכולל גם מידע עסקי רגיש .מגמה שנייה היא התרחבות המונית של השימוש ב – BYOD-אימוץ מכשירי הסלולריים החכמים והטאבלטים אל תוך מערכך המחשוב הארגוני .עולם מחשוב הענן – שממשיך לאתגר את מנהלי מערכות המידע בארגונים ,היות והוא מטשטש את גבולות הגזרה של הארגון ,היות והנחת המוצא ,היא מראש שהמידע כבר לא נמצא רק בתוך רשת הארגון ,אלא גם אצל ספק הענן .ואם כל זה לא מספיק ,יש לנו את האיומים שממשיכים להתחכם ולהתרבות בקצב מהיר. הישרדות בעידן הביג דאטה הראש עדיין ...בעננים מגמות אבטחת מידע לשנת 2013 ניהול סיכונים בעולם הסייבר כלי שיתוף מאובטחים ומוצפנים בענן בוועידה השנתית בנושא אבטחת מידע של מידע כנסים בשיתוף האיגוד העולמי לאבטחת מידע ( )ISSAאנו הולכים לדון בכל הסוגיות שהוזכרו לעיל .הוועידה תתקיים בתאריך ,17.01.2013 בקסנדו ,פ"ת. מאפיינים לאבטחת תוכן בענן בעידן הBYOD- כיפת ברזל דיגיטלית האויב שבפנים הקשחת מערכות בארגון דינאמי להבדיל מהרבה פעילויות וכנסים שנושאם המרכזי היה האיום הלאומי – תשתיות לאומיות ,לוחמת מידע ועוד ,הוועידה השנתית של מידע כנסים בשיתוף האיגוד העולמי לאבטחת מידע ()ISSA יעסוק באיומים על העסקים הגדולים במשק ,ויתמקד בארגונים שמבצעים את הפעילות הפיננסית – העסקית ,ובחברות היי-טק, וטלקום .זווית הראייה הפעם תתמקד באבדן כסף ,אבדן מידע פרטי ,אבדן מוניטין ופגיעה משמעותית במחיר המניה או באינטרס של בעל המניות. תקיפות סייבר ממוקדות טכנולוגיות הגנה ,תהליכי ניהול אבטחת מידע ,ניהול סיכונים ,בעלי תפקידים בארגון ועמידה ברגולציה .ההבדל הוא בעוצמת האיום ובמורכבותו. בוועידה השנתית לאבטחת מידע ,ייוצגו מיטב הטכנולוגיות המתקדמות להגנת הסייבר ,ויעלו סוגיות המחברות בין עולם אבטחת המידע לעולמות מקבילים כמו המשכיות עסקית וניהול סיכונים .בין המשתתפים ,מיטב נציגי הפירמות והחברות הבינלאומיות – לצד מיטב התוצרת המקומית של טכנולוגיה, מתודולוגיה ועוצמת השילוב ביניהן .כל זאת ,נועד לתת תשובות למקבלי החלטות בתחום העסקי ,העולות בהקשר של איומי הסייבר. הוועידה השנתית לאבטחת מידע תכלול את מיטב ההרצאות המקצועיות ופאנלים של אנשי מקצוע מהבכירים בתחום. e n i z a g a M y t i r u c e S מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 6דצמבר 2012 בשער האויב שבפנים n o i t a m r o f n I עורך ראשי :דני אברמוביץ סגן עורך :שלומי מרדכי המערכתTITANS SECURITY GROUP : צלם המערכת :יוסי טובליס דוא"ל[email protected] : האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. נשמח לראותכם בכנס. בברכה, דני אברמוביץ נשיא האיגוד 2 גיליון | 6דצמבר | 2012 הישרדות בעידן הביג דאטה מגמות אבטחת מידע לשנת 2013 תקיפות סייבר ממוקדות בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. | גיליון | 6דצמבר 2012 3 הבעיה העיקרית בפניה ניצבים מנהלי ה IT-היא הצורך להטמיע כלי אבטחת מידע מצד אחד ,כאשר מנגד ,הטמעת אותם כלים מביאה לצמצום היעילות התפעולית של ה.IT- ארגונים רבים מטמיעים יותר מדי טכנולוגיות בכלל ויותר טכנולוגיות אבטחת מידע בפרט ,ולמרות זאת ,בסופו של יום ,הם לא מקבלים רמה גבוהה יותר של אבטחה .כך ,הם רק מייקרים את עלויות ה IT-ועושים אותו פחות יעיל ויותר איטי ,עם ביצועים פחותים. אתגרי אבטחת מידע בעולם הBIG DATA- ה IT-הוא כיום ממוקד מערכות ועליו להפנות את פניו לעבר המידע .בתוכו ,על האבטחה להיות גם היא ממוקדת מידע. המידע גדל בהיקפו מדי שנה ומכפיל עצמו מדי שנתיים .הוא מבוזר ,התצורה שלו השתנתה וכיום ,הוא לא מובנה בחלקו. עולם אבטחת המידע טומן כיום בחובו אתגרים ומורכבויות חדשות ,ונדרש לשלב בתוכו את תחום ניהול הסיכונים. הפתרונות אמורים להפחית את הסיכונים ולהעלות את היכולות התפעוליות של ה IT-במקביל .בעידן התחרותי של היום ,למשמעות של ביצועי ה IT-יש חשיבות גדולה מבעבר .נדרש להטמיע כלי אבטחה שלא מסבים נזק לארגון בהיבט העסקי שלו .יש לנהל את הסיכונים באופן מושכל ,יחד עם עוד משימות ,מבעבר לאבטחת המידע המסורתית :להלום את הרגולציות ,לקבל זמינות ועמידות של מערכות ה IT-ו להיות שרידים .כל אחת מהמשימות, כוללת בתוכה כמה היבטים .כך ,בניהול סיכונים יש לטפל בפרצות אבטחת מידע ,ברגולציות ובזמינות .בגידול במידע, יש לטפל בהיקפי המידע ובסוגי המידע שונים – מובנה ולא מובנה .בתחום תשתיות המידע ,נדרש לטפל במגמות הווירטואליזציה ,המחשוב הנייד ומחשוב הענן. מודל הגנה בשכבות ()Layered Defense השכבה הראשונה היא שכבת תשתיות המידע ,לאחריה – שכבה הכוללת וירטואליזציה ,מחשוב נייד ומחשוב ענן ,ובהמשך – שכבת אבטחת המידע ,שכוללת הגנה על נקודות הקצה ,גיבוי ,אירכוב ,ניהול האחסון וזמינות. מעליה נמצאת שכבה חדשה ,של בינה על המידע ,ה"שכל" שבאבטחה ,והיא כוללת תעדוף של המידע ,מיפוי של האיומים ,הצפנה ,בעלות על המידע ,וגילוי וחשיפה .השכבה האחרונה ,היא שכבת ממשל אבטחת המידע שכוללת מדיניות אבטחת מידע ,רגולציות והלימה להן ,ניהול ומיפוי זהויות ,מרפא לבעיות האבטחה ודיווח. החומות כבר לא מספקות ארגונים מאמינים שפתרונות אנטי-וירוס וגדרות וחומות הם בגדר אבטחת מידע מספקת ,המגנה על המחשוב הארגוני שלהם – אך הם טועים .הבעיה היא פנימית-תרבותית ולא טכנולוגית .נדרש להבין את רשתות התקשורת והמחושב ולספק פתרונות שמאפשרים ניטור פנימי לצד מימוש מדיניות אבטחה .כל אלה צריכים להתממש לצד מודעות, חינוך ותרגולים .אבטחת מידע זה לא משהו שניתן לתת למישהו לנהל רק ,כי התגלה בארגון שיש לו זמן פנוי. 4 גיליון | 6דצמבר | 2012 | גיליון | 6דצמבר 2012 5 הישרדות הביג דאטה בעידן "עקב העלייה בחשיבות המידע הארגוני ,הפכו הגיבוי והשחזור לקריטיים בהישרדות ארגונים .אחד האתגרים הגדולים ביותר הניבים בפני המנמ"ר כיום הוא הגנה על המידע".האתגר הגדול שעמדו נדרשים להתמודד מנהלי אבטחת המידע בארגונים הוא לפעול בסביבה בה האיומים והצרכים גדלים ומנגד תקציביהם קטנים". ע פ"י חברות המחקר ,גדל המידע הארגוני ב 60%-מדי שנה .במקביל ,הוא הופך לקריטי יותר לטובת ההתנהלות העסקית של הארגונים .בשל כך ,הפכו תחומי הגיבוי והשחזור לקריטיים עבור הצלחתם של ארגונים וסיכוייהם לשרוד במקרה של אסון. אחד האתגרים הגדולים ביותר הניצבים בפני מנהלי המחשוב כיום הוא הגנה על הנתונים. אתגרים נוספים הניצבים בפני המנמ"רים, לצד הגידול במידע ,הם הצורך בטיפול בסוגי מידע שונים – מובנים ובלתי מובנים ,נתונים קול וחוזי ,וכל זה לצד הצורך לעמוד בדרישות רמות השרות ( )SLAבהיבטי יכולת השחזור והזמינות של הנתונים – דבר שמקשה עליהם עוד יותר מבעבר. 6 גיליון | 6דצמבר | 2012 ממחקר שבוצע לצורך בחינת נהלי הגיבוי של ארגונים רבים והיכולת שלהם לשחזר מידע במקרה של אסון ,עלו ממצאים מדאיגים .עיקר הממצאים מעלים ,כי גישות מסורתיות לגיבוי כבר אינן רלבנטיות ,ודרושה בדחיפות גישה חדשה לתחום .המחקר העלה כי כ49%- מהמשיבים אינם יכולים לעמוד בהסכמי רמת השירות ( )SLAשל מערכי ה IT-שבאחריותם, בשל גודש הנתונים .נתון נוסף העלה ,כי 73% מהמשיבים אמרו שאם תוכנת הגיבוי תדע לבצע פעולות במהירות כפולה ,הם יהיו מוכנים להחליפה. 30%ציינו ,כי יש להם יותר מדי כלי גיבוי: לארגונים יש בממוצע ארבעה פתרונות גיבוי להגנה על מערכות פיזיות ,ושלושה עבור תהליך ההתאוששות במקרה אסון ,ובכך עוזרים ללקוח לממש חסכון משמעותי תוך הגנה טובה יותר על המידע העסקי שלהם. סוגי הנתונים ועומסי עובדה .זאת ,בניגוד לשילוב של מספר פתרונות נקודתיים נפרדים ,שהוכח כיקר וגוזל זמן. כיום ,כאשר לקוחות מתמודדים עם היבטי גיבוי נתונים והתאוששות בארגוניהם ,תהליך שהפך למסובך ויקר עם הגידול האקספוננציאלי בהיקפי הנתונים ,יש צורך בפתרונות חדשניים ויעילים לגיבוי והתאוששות. השינוי הדרמטי ביותר הוא הגידול בנתונים, ביישומים ובמכונות הווירטואליות שאינן מטופלות על ידי סביבות גיבוי נוכחיות .לארגונים יש הסכמי רמת שירות מוגברים ,ציפיות גבוהות לזמינות ,וצורך לפעול במודל עסקי של תמיכה .24/7כשמשלבים את אלה עם הניסיון לשלב טכנולוגיות חדשות ,מקבלים סביבה בעייתית, עם פגיעה עצומה בצוותי ה.IT- ישנם ארגונים ששומרים יותר מדי נתונים ,זמן רב מדי ,ולכן יש צורך בפתרון שיכול לאפשר למחלקת ה IT-בארגון להפריד מה שרלבנטי לנושאים משפטיים או הלימה לרגולציות ,תוך שמירה על פעולת שאר תשתית הגיבוי בסבב גיבויים של 60 ,30ו 90-יום .שימור אינסופי הינו בזבוז אינסופי עבור ,ITוסיכון אינסופי למחלקת המשפטית. על הספקים להציע ללקוחותיהם פתרונות גיבוי מהירים ,שקל לנהל אותם ,ואשר מפשטים את ארגונים גדולים כקטנים זקוקים לאסטרטגיית הגנה כוללת ,עם פתרון יחיד ,כדי לטפל במגוון האתגר הגדול שעמו נדרשים להתמודד מנהלי אבטחת המידע בארגונים הוא לפעול בסביבה מערכות וירטואליות .עוד העלה המחקר ,כי כ 40%-ממנהלי המחשוב מאמינים כי גיבוי הווירטואליזציה שלהם אינו מתאים ,או שאינו פועל באופן מושלם .אבל הנתון החמור מכל, הוא שיותר משליש מהם אינם משוכנעים כי 100%מנתוניהם המגובים אכן ניתנים לשחזור. בה האיומים והצרכים גדלים ומנגד תקציביהם קטנים .לצד אתגר זה ,נדרש עליהם להיות מעודכנים בהיבט הטכנולוגי .עליהם להישאר ערניים לחידושים ולהתקדמות הטכנולוגיות המהירה. איומי אבטחת המידע ,הולכים וגדלים ,ואף נהיים מורכבים יותר .נוצר מצב שבו בעוד שארגוני אנטרפרייז מוגנים פחות או יותר ,הרי שארגוני SMBמצויים בסכנה חמורה .בקרב ארגונים אלה חלה הפנמה והכרה בצורך להגן על המידע שלהם .בכל מסעדה יש "קניין רוחני" של תפריטים ולכל בית עסק קטן יש רשימת לקוחות שנדרש להגן עליה .החיבור בין האנשים למידע הוא חוצה את כל המגזרים .הערך האמיתי של הארגונים השונים הוא במידע שיש להם. | גיליון | 6דצמבר 2012 7 הראש עדיין ...בעננים מחשוב ענן יוצר עולם חדש של דרישות אבטחה ,בעיקר בתחומי ניהול ובקרת הגישה ,ניהול זהויות והזדהות ואימות. למשל ,יש להעלות את רמת הוודאות שהמשתמש הוא אכן המשתמש ,ומנגד – לצמצם לאחת את כמות הפעמים שהגישה שלו נבדקת .מה שמאפיין את עולם האבטחה בכללותו הוא שהאקרים הפכו להיות "טובים" יותר ,משמע יעילים ומוכשרים טכנולוגית – ועלינו לספק פתרונות אבטחה טובים יותר. מבחינת הצד ההתקפי בוטנטים בענן ומתקפות על הענן הענן ישנה את המודל העסקי שארגונים עובדים לפיו. כיום ,מחשוב הענן אינו עוד גחמה שיווקית או באז פרסומי .מדובר בתפיסה חשובה ,שמתחילה לצבור תאוצה בקרב ארגונים ,מייעלת תהליכים ומשנה את המודל העסקי שבו הם עובדים. הרעלת מנועי החיפוש (SEO )Hacking נושא מטרות תקיפה ממוקדות ימשיך לעסוק את הארגונים\ ממשלות בהגדרה של התפיסה מדובר ביכולת לקבל שירותי ITלפי דרישה ,כל אימת שרוצים ,עם מדידה ובקרה על הצריכה .המודל הזה מהווה הזדמנות ,הן ביכולת לצמצום תקציבי עלויות המשאבים המוצאים על התשתיות והן ביכולת לשדרוג טכנולוגי ,מיטוב נכסי ה IT-וקבלת אספקת שירותים טובים ומהירים יותר. מחשוב הענן הוא תפיסה שבהכרח תשפיע על ההיבטים העסקיים והתהליכים בארגונים. התפתחות הפעילות בצל ההאקטיביזם החרפת תקיפות במימון ממשלות ושימוש במשאביה לא מדובר בעוד באז תקשורתי ,והענן כאן כדי להישאר, כי יש לו הצדקה כלכלית והגיון טכנולוגי .עלויות התשתיות תמיד הטרידו את המנמ"רים ,בוודאי לאחר השנים הקשים שעברו לאחרונה .כעת יש להם יכולת להוריד ולצמצם את העלויות הללו ,במסגרת פתרון בשל. נהיה עדים לשימוש בכלי "ניטור" במרחב הסייבר ע"י הממשלות הענן יביא את המנמ"ר למצב שבו תהיה לו בקרה טובה יותר על השירותים שאותם הוא יקבל ,ימדוד ,ינהל, ותהיה לו בקרה על רמת האבטחה .לצד המעבר לענן, על המנמ"ר לממש ניהול חכם של תשתיות המחשוב "על מנת לצמצם סיכונים ולהפחית עלויות .כך יתקבל פישוט מערכות ה IT-הנדרש. " 8 לא מדובר בעוד באז תקשורתי, והענן כאן כדי להישאר ,כי יש לו הצדקה כלכלית והגיון טכנולוגי גיליון | 6דצמבר | 2012 " מדובר בהזדמנות עסקית וטכנולוגית .על המנמ"ר נדרש לממש את תפיסת מחשוב הענן בחוכמה. הוא יצטרך להיות עם יד על הדופק ,לוודא מה קורה ולבקר את השירותים המסופקים ,לצד טיפול בהיבטי האבטחה .בסופו של יום ,כל מנמ"ר מעוניין לממש את היעד של צמצום ההוצאות ,הפחתת הסיכונים ושיפור התהליכים העסקיים והשירותים. ניתן לראות שבהמלך השנתיים האחרונות היו יותר ניסיונות של מנמ"רים לממש פרויקטי ITותשתיות. במסגרת הפעילות של מערכי ה IT-בארגונים ,ניתן לראות שנושא הענן מתחיל לצבור כיוון משמעותי יותר .מומחים מעריכים שבשנים הבאות הלחץ לעבור למחשוב ענן יגיע לא רק מצד המנמ"ר ,אלא גם מצד סמנכ"ל הכספים בארגון .זאת ,בשל התועלות התקציביות הנובעות ממנו. 2013 מגמות אבטחת מידע לשנת 2013 גידול בכמות אירועים שקשורים לפגיעה בפרטיות גידול בנוזקות למערכות MAC OS X גידול בנוזקות לטלפונים החכמים 20 13 גידול בכמות תקיפות שמטרותן לסחוט את הקורבן ()Ransomware&Cryptoextortion הסקירה באדיבות ענקית האבטחה –קספרסקי. | גיליון | 6דצמבר 2012 9 ניהול ם י נ ו כ סי ייבר עולם הס ב ניתן לראות מגמה חיובית ,שבה מנהלי אבטחת מידע רבים עוברים מהתמקדות בטכנולוגיה לטיפול נרחב בפעילות עסקית וניהול סיכונים. חל שינוי מהותי בתפקידו של מנהל אבטחת המידע בארגונים ,וניתן לראות תופעה שבה רוב מנהלי אבטחת המידע בארגונים עוברים מהתמקדות בתחום הטכנולוגי להתמקדות בהובלה רחבה יותר של פעילות ניהול הסיכונים והתהליכים העסקיים. כיום ,תחום ניהול אבטחת המידע בעולם מתחלק ל 3-סוגים של מנהלים: •מנהל "משפיע עסקית" (- )Business Influencer משמע ,מנהל שנמצא בדרג ניהולי בכיר (כפוף להנהלת המשרד) והוא בד"כ משפיע גם על האסטרטגיות העסקיות של הארגון בו הוא פועל •מנהל "מונע" ( - )Preventiveמנהל אבטחת מידע שעוסק כל היום בפן הטכנולוגי ,וכיצד למנוע מתקפות שונות על הארגון 10 גיליון | 6דצמבר | 2012 מנהלי אבטחת המידע בארגונים אשר מוערכים כמנהלים שמשפיעים גם ברמה העסקית ,הינם מנהלים בכירים ,הכפופים להנהלה הבכירה בארגון ,והמשפיעים בדרך כלל גם על האסטרטגיות העסקיות של הארגונים בהם עם עובדים .קבוצה זו של מנהלים מציגה גם רמת מובנות גבוהה יותר בפן העסקי ,בהשוואה לעמיתיהם ,הנמנים עם קבוצת ה"מגנים" או ה"מגיבים". כל מנהלי אבטחת המידע ,ללא יוצא דופן ,עומדים תחת לחץ כבד להגן ולשמור על הנכסים הארגוניים היקרים ביותר :כסף ,מידע אודות לקוחות ,קניין רוחני וערך המותג. •מנהל "מגיב" ( - )Reactiveמנהל שעסוק כל היום בלהגיב ולהתגונן מפני מתקפות חיצוניות ופנימיות ,ודרישות עסקיות חדשות הנהלת החברה מקדישה כיום לנושא אבטחת המידע ,יותר תשומת לב מאשר זו שניתנה לה לפני שנתיים .זאת ,לאחר שסדרה של מתקפות סייבר מקוונות ודליפות של נתונים רגישים שזכו לחשיפה תקשורתית גבוהה שכנעה את ההנהלות בדבר מקומה המרכזי של אבטחת המידע בארגון המודרני. המאפיין הבולט בהבדלים של כל סוג ,הוא מידת עומק המוכנות שלהם ורמת הבגרות הן של מנהלי אבטחת המידע בארגון ,והן של תשתיות האבטחה המסורות לניהולם. בעידן הדיגיטלי של היום ,הנושאים החמים שעולים על הפרק הינם אבטחת מכשירי קצה ויישומים ניידים ,והם כנראה ימשיכו להוות כמוקד מרכזי לתשומת לב ולדאגה בשנתיים הקרובות. ניהול טכנולוגיות אבטחה OUT - ניהול סיכונים IN - כיום ,מנהלי אבטחת המידע בארגונים נדרשים לראייה כוללת של ניהול סיכונים ,ולא הסתכלות על חלקי הפאזל בנפרד .במקום להסתפק בתגובה לאירועי אבטחת מידע ,הולך תפקיד ניהול אבטחת המידע ומשתנה לכיוון של ראייה הוליסטית של מכלול הסיכונים ,תוך חתירה לניהול ולמזעור הסיכונים הללו עוד בטרם התרחש האירוע הבעייתי .מנהלי אבטחת מידע המסווגים בקטגוריה המתקדמת ביותר -המשפיעים עסקית -מביאים עימם מאפיינים ייחודיים. ההתייחסות לנושא אבטחת המידע עבר שינוי מהותי ,וכיום מתייחסים לאבטחת מידע כאל מרכיב עסקי חיוני ולא רק כאל עניין טכנולוגי. אבטחת מידע אינה יכולה להתנהל במתכונת אד- הוק ,אלא כחלק יום-יומי של הדיון העסקי והתרבות הארגונית .ישנה חשיבות עליונה ,להביא לפרק את סוגיית אבטחת המידע בכל הדיונים של הנהלת החברה .ניתן לעשות זאת ע"י קמת פורומים וועדות היגוי לנושאי אבטחת מידע ולעודד גישות מערכתיות הכוללות התייחסות להיבטים חוקיים, תפעול עסקי ,כספים ומשאבי אנוש .ועדות אלו, ידונו גם בסוגיית ניהול הסיכונים בעידן הסייבר. לצערנו ,יש עוד הרבה עבודה לפנינו ,ולמרות שניתן לראות שינוי ניכר בהתייחסות הנהלת החברה לנושא אבטחת המידע ,מרבית הארגונים כיום עדיין לא עושים שימוש בכלי מדידה ובמדדים מוגדרים לניטור רמת אבטחת המידע בארגון (משתנים הנוגעים להיבטי אבטחת מידע כגון מודעות המשתמשים ,הדרכת עובדים ,מוכנות לטיפול באיומים עתידיים,מדידת אפקטיביות הבקרות הקיימות ,וכו'). מומלץ לאמץ וליישם מתודולוגיה לניהול סיכונים, אשר תעשה שימשו במדדים ,לצורך בקרה ושיפור התהליכים .חייבים להגדיר מראש מה מאבטחים ומפני מה .אין שני ארגונים שצרכי האבטחה שלהם זהים לחלוטין .הדרך להתאים את אבטחת המידע היא להעריך ולנהל סיכונים .סיכון הוא מצב בו יש איום שמנצל חולשה כדי לגרום נזק .האיום עצמו הוא רצף נסיבות ,שבהן עלול להתרחש נזק פוטנציאלי .גם לאחר שנקטנו בכל אמצעי צמצום הסיכון ,תמיד נשאר סיכון מסוים (הסיכון השיעורי) .אי אפשר לצמצם את הסיכון לאפס .לכן, את הסיכון שנותר יש לנהל. לשם כך ,יש לנתח את מבנה הארגון ולהגדיר מהם בעלי התפקידים והגופים הרלוונטיים .תהליך ניתוח הסיכונים כולל את רמת הסבירות שהסיכון יתממש לעומת רמת ההשפעה שלו .במקביל ,מגדירים את אזורי האיום ואת סוגי הסיכונים ,כולל יישומים רגישים ,ואיומים מצד שותפים וספקים .לאחר מכן יש לארגן את הסיכונים לפי סדר עדיפויות ,המסודר על פי רמת האפקטיביות ורמת היעילות הפיננסית. | גיליון | 6דצמבר 2012 11 מלחמת הסייבר המלחמה הקרה שהתרחשה בין ארצות הברית וברית המועצות בשנות ה ,50-ה 60-וה 70-של המאה הקודמת הייתה בסך הכל משחק ילדים לעומת המצב כיום ,בעידן הדיגיטלי .בעידן שלנו, בשל התפתחות המרחב הקיברנטי ,מדינות מתמודדות מול אתגרי אבטחה קשים בהרבה, עם מגוון איומים נרחב ומסוכן ,בעל השלכות מרחיקות לכת .זה קיים בכל היבט של חיי היום יום ,עבור הפרט ,הארגון והמדינה. ת ח ו ם התשתיות הלאומיות הקריטיות הוא נושא חשוב מדי מכדי להשאיר את הטיפול בהגנה עליו רק לממשלות .דרוש שיתוף פעולה נרחב ועמוק בין מדינות בעולם, ובכל מדינה – בין המגזר הממשלתי למגזר התעשייתי ,על מנת להגביר את רמת האבטחה הנדרשת ליצירת שכבות אבטחה רבות וכוללות עבור התשתיות הלאומיות הקריטיות .רק שיתוף פעולה שכזה יספק מענה לאתגרים הרבים מולם ניצב העולם כיום. ניתן לדמות את מצב האבטחה בארגונים כיום לקרחון ,שרק 10%העליונים שלו גלויים .אין ספק שניתן לאתר חלק מהפעילות הבלתי חוקית של האקרים ,פריצות וניסיונות פריצה ,הזרקת נוזקות למערכי מחשוב ארגוניים וממשלתיים, גניבה ודלף מידע .אבל השאלה המרכזית היא 12 גיליון | 6דצמבר | 2012 מלחמת הסייבר גורמת למודעות גדולה ,מה שיגרום להקצות תקציבים גדולים לעניין ולהתמודד עם האתגרים החדשים שעומדים בפתח .מלחמת הסייבר גורמת נזקים לחברות ,פוגעת במוניטין החברה שיכולה להגיע לפגיעה עסקית .אף על פי כן, ההתקפות בתקופה האחרונה על החברות במשק ,לא פגעו במערכות הליבה של חברות אלו ,אבל נזק נגרם. מה קורה בחלק הגדול ,הבלתי נראה לעין ,של הקרחון .ישנם פעילויות פריצה ואנטי-אבטחה מידע רבות שסמויות מן העין. ואם זה לא מספיק ,אז הטכנולוגיות החדשות רק מחריפות את הביעה .כל עולם ה,BIG DATA- ה ,BYOD-והמחשוב ענן רק מחריפים את הבעיות הללו .תפקידם של דור העתיד בתעשיית ההי- טק הוא לאבטח את פעילות מערכי הארגונים במסגרת הטמעת הטכנולוגיות החדשות. כעת ,האתגר של אבטחת המידע בכל הארגונים – הממשלתיים והמסחריים גדול יותר .תפקיד המנמ"רים כיום הוא לאבטח את כלל פעילות המחשוב המבוצעת ,וליצור את סביבת עבודה יעילה אך מאובטחת .זהו האתגר ,בה"א הידיעה, של המאה ה.21- הפתרון – שילוב כוחות רק שיתוף פעולה בין תעשיות האבטחה הממשלתיות והמסחריות יניב את רמת האבטחה הנדרש .האתגר גדול ונרחב ביותר ,יש טכנולוגיות שלא ניתן לאבטח ,יהיה קונפליקט בארגונים – מה לאבטח ,איך וכו' .צריך לבנות תשתיות הגנה בהיבט האבטחה בצד המסחרי ,כאלו שיגנו על כלל התשתיות .הרי בסופו של דבר ,כולנו ניזוקים מאותן נוזקות ויש לנו אותן פגיעויות. הישויות הפוגעות בתשתיות המסחריות ובתשתיות הממשלתיות – ציבוריות הן זהות .אלה אותם האקרים .לכן, נדרשת אותה אסטרטגיית הגנה .יש להבטיח שכל תהליך עסקי יהיה מאובטח כמו כל תהליך ממשלתי .אם נאבטח בצורה נכונה וכוללת – נוכל לבחון בצורה נכונה את מה שקרה ,ולהיערך בצורה פרו-אקטיבית לקראת האיומים הבאים. אם נלמד מהאמריקאים ,כשהם המציאו את נושא הגנת המולדת (,)Homeland Security האו נתפס כביטוי אמריקני של תגובה לטרור במגדלי התאומים .אבל "מולדת" היא הסביבה הכוללת של איפה שאנו חיים ועובדים .תשתיות ה IT-הללו הן כלל עולמיות .מדובר בבעיה כלל עולמית שתבטיח שנוכל להמשיך לחיות ולעבוד ,מבלי שלמערכות ה IT-תהיינה בעיות והן תותקפנה על ידי נוזקות שתפסקנה את פעולתן. קורס CISO תלמד • תוביל • תצליח! הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום ,יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי, שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו. הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, מנכ"ל טיטנס סקיוריטי שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומם בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש למידע ,ייעוץ והרשמה ניתן לפנות לטלפון 077-5150340 דוא"ל [email protected] : www.titans2.co.il | www.ts2.co.il | www.titans2.com | גיליון | 6דצמבר 2012 13 האיגוד העולמי לאבטחת מידע (– )ISSAהציאפטר הישראלי האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו העיקרית היא קידום נושא אבטחת המידע בישראל ,בכל ההיבטים. אודות גיליון Global Security למה כדאי לחפש מידע במגזין שלנו ולא למשל ב Google-או כל עיתון אחר? חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה ,כגון הרצאות מקצועיות ,ימין עיון ,חומרים מקצועיים ,ועוד .כיום ,חברים באיגוד כמה מאות מקצועני אבטחת מידע ,ואנו שואפים לגייס את כלל קהילת ה IT-בישראל. בנוסף ,חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של –Global Security המגזין המוביל בישראל בתחום אבטחת המידע. e S e c u r i t y M a g a z i n e n i z I n f o r m a t i o n מגזין א בטחת מגזין אב a g a M y t i r u c e S n o i t a m r o f •מיקוד בתחום אבטחת המידע – המגזין עוסק אך ורק בתחום אבטחת המידע וניהול סיכונים. •יותר כתבות מקצועיות ופחות תדמיתיות – רוב המגזינים כיום יותר תדמיתיים, ופחות מקצועיים .אנו שומרים על רמה מקצועית ,וכמות מינימאלית של כתבות תדמית. n מידע וניהול סיכונים | גיליון מס' 4 | אוגוסט 2012 | יולי 2012 גיליון מס' 3 יהול סי כונים | I •השוואתיות – מאפשר השוואה פשוטה ואובייקטיבית בין הספקים והפתרונות. •היקף מידע – תמונה רחבה יותר ,ולא רק התמקדות בנושאים ספציפיים. Identity M anagemen t נתי של האיגוד קור הכנס הש סי בעולם הסייבר מגמות ערכות SIEM מ ערכות IPS מ זהירות בוטנט •תשלום סמלי – מדובר בעלות סמלית, והנכם מנויים למגזין אבטחת המידע המוביל בישראל •מקצועני אבטחת מידע – כל הכותבים שלנו עוסקים בתחום אבטחת המידע למעלה מ 7-שנים ,והם בכירים בתחום, ברמה העולמית. טחת מידע ונ בשער מלחמת בשער ניהול זהויות סייבר האיום החדש בעידן הסייבר מתקפות APT הגנה על מערכות SCADA אחת לרבעון – מוסף מיוחד מה הערך המוסף שלנו? בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם לכמה ספקים בהתאם להוצאת RFI/RFPמהחברה .אנו מרכזים עבורכם את כל המידע המקצועי המקיף ביותר ,ובר השוואה אודות הפתרונות אבטחת המידע השונים, באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי: .1סקירה טכנולוגית רחבה אודות הפתרון שמחפשים .2סקירת הפתרונות בתחום הספציפי. .3מי הם הספקים המובילים בתחום? .5פרטי החברה של היצרן/ספק/האינטרגטור: שם ,מספר עובדים ,שנת הקמה ,יתרונות וחסרונות ,סוגי פעילות בחברה ,נושאים \תחומי פעילות והתמחות ,קישורים ,מידע טכנולוגי, איש קשר ,חוסן כלכלי ,לקוחות בארץ ,לקוחות בחו"ל ,תוכניות הרחבה למוצר ,מספר התקנות 14 גיליון | 6דצמבר | 2012 בארץ .6מה הערך המוסף של כל ספק בתחום הפתרון המוצע? .7כיצד מנהלים את הפרויקט? .8מהם נקודות כשל בפרויקט שמהם צריכים להיזהר? .9מה צריכים לדרוש מהספקים בעת יציאה למכרז? מדדים זו לא מילה גסה דני אברמוביץ ,נשיא האיגוד ( ISSAהציאפטר הישראלי) ומנכ"ל קבוצת ,TITANS SECURITYהרצה במפגש החודשי על יישום מתודולוגיות למדידת האפקטיביות של רמת אבטחת המידע בארגון. "רוב מנהלי אבטחת המידע בארגון מתקשים סביב האופן שיש לדווח על פעולות המבוצעות בתחום אבטחת המידע ולהציג את הערך של מה שבוצע" ,אמר דני" .זה שלא אירע שום דבר ,זה לא אומר שלא צריך למדוד את האפקטיביות של הבקרות .וגם ,כיצד ניתן לדעת האם האירוע קרה מאחר שמנהל אבטחת המידע עשה או לא עשה משהו?" ,מה שנקרא בשפה המקצועית -הפקת לקחים. יחידת אבטחת המידע נחשבת בארגון כמרכז הוצאה -יחידה שמבקשת כסף מההנהלה ,אולם לא ממש ברור מה נעשה איתו. נדרשת הכנסת שפה וסטנדרטיזציה לעולם אבטחת המידע בארגון .מנהלי אבטחת המידע צריכים לאמץ וליישם בארגון מתודולוגיה ברורה שמסדירה מה יש לדווח ובאיזו שפה לעשות זאת. המידע ,ולמדוד את האפקטיביות שלהם, ולאפשר מקצה שיפורים. פיתחנו מודל שמציג נוסחה המאפשרת לקשר בין הבקרות לבין רמות הסיכון השונות ,וכך מתאפשרת תפירת חליפת אבטחה לארגון, שמשקפת נאמנה את רמת הסיכון ,ללא תלות בעוד נתונים לא רלוונטיים או מגמות שוק חולפות" ,אמר דני. בהרצאתו ,הציד דני מספר מתודולוגיות המאפשרות בקלות לקשור בין הסיכון של הארגון ,מאמצי פעילות אבטחת המידע, ההשקעה הנדרשת וההון המוקצה לכך .זאת, במטרה שניתן יהיה להצדיק את הפעולות של מנהל אבטחת המידע בתוכניות הארגון לשנה הבאה ולטווח רחוק יותר. דני הדגיש את הצורך של מנהלי אבטחת המידע להציג בפני מקבלי ההחלטות בארגון נתונים ברורים" .לנהל עסקים זה לנהל סיכונים, וכשהמנהלים הבכירים מבינים את הנתונים זה נותן להם תשתית טובה לקבלת החלטה נכונה יותר" ,ציין דני" .הם אלה שמנהלים בסופו של דבר את הסיכון עבור הארגון בכללותו". בנוסף ,הציג דני כיצד בקלות ניתן להגדיר מדדים לכל בקרה או תהליך עבודה בתחום אבטחת מחקרים מראים כי בנושא קבלת ההחלטות וניהול על בסיס מידע ,עולים הממצאים הבאים: כ 60%-מהארגונים המובילים ,לעומת 30% בלבד בארגונים האחרים ,משתמשים בכלי מדידה ובמדדים מוגדרים לניטור משתנים הנודעים לתחום אבטחת המידע ,בהם מודעות משתמשים ,הדרכת עובדים ,מוכנות לטיפול באיומים עתידיים ,מדידת אפקטיביות הבקרות הקיימות ,ושילוב טכנולוגיות חדשות. לסיום ,אני ממליץ שהנהלת הארגון תוביל את תחום אבטחת המידע ,ע"י כך שתגדיר תוכנית פעולה המבוססת על היכולות הקיימות בארגוניהם וזו תתמקד בצרכים הבוערים ביותר .כך יוכלו מנהלי אבטחת המידע בארגון, להתקדם באמצעות קיום וועדות היגוי לאבטחת מידע ,וקידום חשיבות אבטחת המידע בארגון, לצד ניהול סיכונים יעיל. | גיליון | 6דצמבר 2012 15 Cloud כלי שיתוף מאובטחים ומוצפנים בענן השפעתם הדרמתית של כלי השיתוף בענן ( )Collaboration Toolsבארגוני ה Enterprise-משנים ללא ספק את הדרך שבה אנשים מתקשרים ומאיצים בתוך כך את התפשטות המידע בארגון במהירות וביעילות. חברת המחקר הבינלאומית McKinseyפרסמה לאחרונה תוצאות מחקר שסקר את השפעתם של כלי שיתוף בארגוני אנטרפרייז .התוצאות מראות בין היתר ש 77%-מבין הנשאלים בארגונים רואים גישה מהירה יותר למידע60% , מצאו הפחתה דרמתית בתקשורת/דוא"ל 52% , רואים גישה מהירה יותר למומחים פנימיים/ חיצוניים ולמעלה ממחצית הנשאלים מדווחים כי ראו ירידה משמעותית בזמן שלוקח למשתמשים ולצוותים כדי להשלים משימות עסקיות. סקר Forresterעדכני מצא כי 72%ממקבלי החלטות ITאומרים כי המוטיבציה העיקרית שלהם להשתמש בפתרון שיתוף בענן מבוסס SaaSהיא לשפר את הגמישות העסקית על ידי הוספה של תהליכים עסקיים חדשים וחדשניים ליכולות הקיימות של ה.IT- המגמות ברורות :כלי שיתוף בענן משנים ללא ספק את הדרך שבה אנשים מתקשרים ומאיצים בתוך כך את התפשטות המידע במהירות וביעילות .כבר היום אנו עדים לשינוי דרמתי באופן בו אנו מחליפים מידע ומשתפים אותו במקום העבודה .זהו עידן של תקשורת חברתית שמתורגמת מהר מאוד לשורת הערך התחתונה של הארגון .הדרך בה אנו עובדים היום היא שונה מהאופן בו אנו עבדנו רק לפני שנים ספורות ובתוך כך אנחנו חייבים להתאיםאת עצמנו למציאות זו. סביבות שיתופיות משופרות מהוות הזדמנות עבור ארגונים לחדד את המודלים העסקיים שלהם .ארגונים צריכים פתרונות ושירותים המאפשרים לאנשי מקצוע ביצוע עבודה טובה יותר בסביבות העסקיות המשתנות של ימינו. כלי השיתוף מעודדים שיתוף של רעיונות שאולי לא היה אפשרי בלעדיהם וזאת להבדיל משיטות התקשורת ארגוניות הקיימות כגון דוא"לFTP, וכונני רשת בהן המידע אינומובנהולא מאפשר למצוא במהירותאת המידע הנדרש . הכללתם שלכלי שיתוף מספקת אפשרויות אינסופיות לשיפור פריון עבודה ,איכות העבודה והחוויה הכוללת בעבודה .עובדים צריכים כל הזמן כלים שיאפשרו להם לנווט בין הגבולות הארגוניים ,לעודד שיתוף של רעיונות ,להתחבר לאנשים הנכונים ולהגביר את קצב ואיכות העבודה שלהם .בתוך כך ,עובדים נוטים יותר 16 גיליון | 6דצמבר | 2012 להשתתף ביוזמות של חדשנות ,לשאול שאלות, לשתף ברעיונות ,ולגלות מה אנשים בסביבתם העסקית הקרובה חושבים בזמן אמת על נושאי פעילות משותפים להם. מידע רגיש המועבר מספר פעמים ביום עם אנשים בתוך ומחוץ לחברה מחייב שימוש בפלטפורמות טכנולוגיות חכמות הכוללות גם כלי שיתוף מאובטחים המאפשרים לעסקים להגן על המידע של חברה באופן רציף. החשש למעבר לענן מובן וימשיך להדיר שינה כל עוד נהיה חשופים לפלטפורמות טכנולוגיות/ אינטרנטיות המהוות חלק בלתי נפרד ממערכות התפעול היום יומיות של כולנו .יחד עם זאת ולשם כך נקבעות קני אבטחה מחמירים המקובלים בסטנדרטים בהן נבחנות מערכות מסוג זה. יעידו על כך חברות שמגלגלות מיליארדי דולרים כדוגמת (P&Gפרוקטר&גמבל)עם עשרות אלפי עובדים שסמכו ידם על תקני אבטחה אלו ועברו לשימוש בכלי שיתוף בענן. מערכות השיתוף המתקדמות בענן כוללת למעשה סדרת פתרונות הכוללות בין היתר: Document Management, Online File System, FTP replacement , Deal Room , Project .Management, Manage File Transfer כמו כן מאפשרות שילוב מאובטח של אפליקציות המרחיבות את הפונקציונאליות הארגונית הנדרשת. Computing מאפיינים לאבטחת תוכן בענן בעידן הBYOD- מאת דוד אלוש ,מנכ"ל ומייסד חברת CloudComנציגת Boxבישראל ,פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן. החשש למעבר לענן מובןו ימשיך להדיר שינה כל עוד נהיה חשופים לפלטפורמות טכנולוגיות המהוות חלק בלתי נפרד ממערכות התפעול היום יומיות של כולנו .יחד עם זאת ולשם כך נקבעו תקני אבטחה בהן נבחנות מערכות אלו ונסקרות במאמר זה. על מנת להבטיח את אותה שלמות במערך האבטחה ,השרידות והיתירות ושהתוכן בענן יהיה בלתי נגיש לגורמים שאינם מורשים נבחין בשבעה מעגלי אבטחה : לסיכום ניתן לומר שלכלי שיתוף בענן יש את היכולת לחולל שיפור בתהליכים העסקיים והחזר השקעה צריך להימדד בסופו של דבר על פי תוצאות של תהליכים עסקיים. הכותב הינו דוד אלוש ,מנכ"ל ומייסד חברת CloudComנציגת Boxבישראל ,פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן. • למידע ומאמרים נוספים בתחום www.CloudCom.co.il • לשאלות ניתן לפנות באמצעות הדוא"ל - [email protected] • להתייעצות טלפונית אישית 054-4637000 - | גיליון | 6דצמבר 2012 17 6.6התראות :נדרשת יכולת למתן התראה לדוא"ל באירועי :צפייה ,הורדה ,כתיבת הערה למסמך ,עריכה ,או העלאה של מסמך לתיקיה או לקובץ .בתוך כךרצוי לקבל גם רשימת התראות מסכמת אחת ליום בהתאם להעדפות המשתמש. 7.7קישורים :אחת הדרכים לשתף מסמך היא לשלוח ליעד כלשהו קישור ,לקישור זה מפתח יחודי ונדרש לקבוע אם מקבל הקישור יוכל לבצע פעולת הדפסה הורדה של המסמך או לצפות בו בלבד. 8.8גישה למסמכים מתוחמת בזמן :נדרשת אפשרות לקבוע תאריך תפוגה לחשיפת מסמך בקישור ,בפקיעת המועד שנקבע, המסמך יחדל להיות זמין . 9.9שיתוף :בכל יצירת תיקיית שיתוף נדרשת אפשרות להזמין שותפים על פי תפקידם לדוגמא :להגביל את שותפיך למסמך או לתיקיה בהנתן להם הרשאות של צפייה בלבד .הרשאה זו תמנע מהם לבצע "הורדה" של המסמך לערוך אותו או לטעון לתיקייה מסמכים אחרים. 1212מעקב על כל תנועה של קובץ במערכת ,מי יצר,מי העלה,מי צפה ,מי הוריד וכו' מעגל זה כולל פרמטרים המוגדרים תחת מדיניות ארגונית ומכיל בין היתר את היכולות הבאות:: - Single Sign-on 5.5מתן אפשרות זיהוי משתמש באוטנטיקציה במולטי פאקטור ( out of band ) authenticationבאופן כזה שמשתמש במערכת יקבל איתות בערוץ מקבילי שהוא איננו הערוץ דרכו הוא מנסה להתחבר. 1010הרשאות גלובליות :נדרשת אפשרות לקבוע מגבלות שיחולו על כל עובדי הארגון לדוגמא: מי יהא רשאי לפתוח תיקיה או "לטעון" קובץ לתוך המערכת.האם משתמשי המערכת רשאים לשתף מסמכים או מידע, 1.1אפשרות קביעת חוזק סיסמא ,הגבלת מספר תווים ,שימוש בספרות ,אילוץ שימוש בתווים מיוחדים וכו. 1.1שימוש ב SSOמנטרל באופן מיידי פריצות אבטחה מהחמורות בנמצא כגון גנבת סיסמא .המשתמש ,לא אמור להידרש לזכור מספר ססמאות רב .התחברות למחשב האירגוני שלו תספק תעודת אוטנטיקציה במעבר שקוף .זכירת מספר גדול של סיסמאות לעיתים מביאה את המשתמש להוריד אותם לכתב (פריצת אבטחה חמורה) ולעיתים מאלצת את המשתמש "למחזר" סיסמא אחת במספר מערכות וחלקן מחוץ לארגון בשרותים אחרים בהם הוא משתמש. 6.6גישה ממכשירי ניידים :בכל גישה למכשיר נייד נדרשת החלתמדיניות SSOומוצפן באמצעות .SSLבכל מקרה של אבדן או גנבת מכשיר נדרשת המערכת לאפשר ניתוק הקשר בזמן אמת בנוסף לאפשרות של חסימה ו/או נעילת גישה מכל סוג שהוא באמצעות קוד נעילה במקרה בו עלול מכשיר נייד ליפול לידיים זרות. האם מקבל קישור למסמך יכול "להוריד" את המסמך למחשבו האישי או למכשיר הנייד (מדיה סלולרית) שברשותו ,מי יכול להזמין "שותפים" לתכנים ,מהו פרק הזמן המערכתי אשר לאחריו, קישור של מסמך כלשהו שנשלח "יתפוגג" וכן מתן אפשרות לקביעת תאריך מסגרת לפרוייקטים. מעגל ראשון הגדרות אפליקטיביות 2.2אפשרות אילוץ איפוס סיסמה הן ברמת המשתמש הבודד והן ברמת כוללת כחלק ממדיניות כלל ארגונית. 3.3אפשרות מניעת שימוש חוזר בסיסמא. 4.4משלוח התראות וחסימת גישה אטוטמטית, במעבר סף כשלונות . Login 5.5הגבלה וקביעת פרק זמןמקסימלי מרגע תחילת תהליך הכניסה למערכת. 6.6חסימת גישה מיידית לעובד שסיים עבודתו, פרוצדורות תואמות ,לאבדן או גניבת מכשיר נייד. 7.7מתן אפשרות אימות כניסת משתמשים בשני שלבים ,באמצעות ערוצים מקבילים גם במכשירים ניידים. 8.8ניהול גישה מבוססת תפקידים וניהול קבוצות משתמשים. 9.9ניהול משתמשים ,קביעת הרשאות גישה בכמה רמות של צפייה ,עריכה ,הורדה, העלאה ,הדפסה וכו' . 1010הגבלת חשיפת תוכן באמצעות סיסמא או קביעת תאריך תפוגה עתידי. 1111מתן אפשרות חסימת שיתוףתוכן או שליחת חומר מחוץ לדומיין האירגוני. 18 גיליון | 6דצמבר | 2012 מעגל שני SSO Active Directory/LDAP 2.2שילוב במנגנון האירגוני ,תאפשר לאירגון לשלוט בכל מערכות ניהול המשתמשים ממקום אחד מרכזי .בתוך כך יש לוודא שבכל הסרה של משתמש מ Active directoryהאירגוני ינותק גם המשתמש מכל האפליקציות האחרות שלו. 3.3תמיכה בלפחות אחד מפרוטוקולים כדוגמת SAML 2.0 - Security Assertion Markup Languageבכל תקשורת בין הדפדפן ל- IDP - Identity provider.SAMLהינו פרוטוקול מוכר המאפשר לארגון להעביר באופן מאובטח פרטי אוטנטיקציה ואוטוריזציה ביחסי אמון. 4.4נדרש שינוע של ססמאות מוצפן ב SSL 256 ,מניעת אחזקתן בחשבון האינטרנטי וחסימת אפשרויות איפוס ב SSOבאמצעות חשבון האינטרנט. מעגלי שלישי הרשאות וניהול רישום מעגל רביעי הצפנת Data לשדרת האינטרנט על מנת שתוכל להבטיח רמת ביצועים גבוהה ,יתירות וזמינות מקסימאלית. 2.2על כל שרתי הרשת להיות מצויים מאחורי חומת אש איתנה ( )firewallהמאפשרת נגישות סלקטיבית לשרותי המערכת. 3.3באופן שוטף צריכים להתבצע בנוסף גם תהליכים אוטומטים לצורך בדיקות חדירה חיצוניותבכדי לוודא תקינות המערכת ולאבטחה מוגברת. 4.4ביו היתר נדרשות קיומן של מערכות מהסוג של ,IDS -Intrusion Detection System המשמשות כמוניטור לאיתור "פלישות" לרשת בזמן אמת. מעגל שישי חוות השרתים 1.1על חוות שרתים לעמוד בסטדנרטים ותקנים כאלו שיאפשרו בין היתר רמת יתירות גבוהה ,גיבוי תחת אבטחה פיזית 7\24 ומאויישות בשומרים חמושים והכל תחת מדיניות גישה מחמירה וקפדנית ,הכוללת מערכות לזיהוי ביומטרי ,כספות וכלובים לאכסון מידע "רגיש". 2.2על ספק השירות להצהיר על עמידה בתקני ביקורת לספקי שירותים כדוגמת SSAE 16 Type IIוהרחבה של תקן SAS .70תקן המבטיח כי נותן שירות עומד בתקנים חשבונאים מחמירים המאפשרים מתן שירותים לאירגונים מבלי לסכן את פעילותם או את המידע אשר הם מאכסנים ברשותו ,תקן זה כולל ביקורת תשתיות פיזיות ,בדיקות מקצועיות של רמת השרות, זמינות השרתים ,שלמות עיבוד הנתונים, נהלי סודיות ופרטיות ,ביקורת על התהליכי עיבוד מידע רגיש.חברות שירות מבוססות ענן ספורות ביותר ,יכולות להתפאר בתקן זה. 1.1מעקב -נדרשמעקב מלא על כל תנועה של משתמש וקובץ במערכת ,מי יצר,מי העלה,מי צפה ,מי הוריד וכו'. 1.1נדרשת הצפנה אוטומטית של מידע בכל שלב של העלאה והורדהרצוי בסטנדרט של . AES/BIT.256שימוש בסטנדרט של AES -Advanced encryption standardהוא צופן מקובל שאומץ כתקן ההצפנה הסימטרית הרשמי של ממשלת ארה"ב. 3.3עמידה בביקורת חייבות להיות מבוצעת ע"י גורם צד שלישי מוסמך ובמספר פעמים בשנה. 2.2בקרה -נדרשת מערכת של דוחות בקרה ותפעול לאיתור וניתוח כל פעילות ומכל סוג שהוא בחשבון המשתמש בין היתר של מיון וסינון דוחות בפילטרים של קבוצות משתמשים ,תאריכים ,קבצים ,ומשתמשים. 2.2גם על מפתחות ההצפנה נדרשת הצפנה ויש לשמרם במספר מיקומים/במסדי במסדי נתונים נפרדים ובתוך כך להבטיח שמיקומי המפתחות יעברו רוטציה בתדירות גבוהה. 4.4זמינות המערכות צריכות להתבסס על יתירות של N +1או יותר לכל רכיב קריטי במערכת.המינוח ( )N+1משמעותו כי לכל רכיב קריטי במערכת מוחזק לכל הפחות עותק אחד עודף. 3.3אתראות -מתן אתראות מפני פריצה אפשרית ונסיונות חדריה למערכת. 3.3על ספק פתרונות להבטיח שגם לעובדיו הבכירים ביותר לא תהיה את היכולת לפענח מסמך כלשהו בשום דרך ובשום צורה שהיא. 5.5נדרש שכל השרתים יהיו מאוכסנים בכלובים וכספות המוגנים במערכות סריקה ביומטרית .הגישה לציודי החברה צריכה להיות מוגנת ומאובטחת באמצעות שומרים מזויינים 7\24אמצעי זיהוי ביומטרים ומערכות טלויזה במעגל סגור (. )CCTV ()Full Audit Trail 4.4הרשאות -קביעת מערך הרשאות פרטני המאפשר שליטה ברמת קובץ,תיקייה ,משתמש וקבוצה. 5.5הגנת ססמא :מתן אפשרות לשתף מסמך או קובץ באמצעות סיסמא ,כך שרק משתמש המחזיק בססמא יוכל לעיין במסמך. מעגל חמישי הרשת 1.1על הרשת המאחסנת להיות מנוטרת באופן שוטף בפני איומים ובעלת קישורים מרובים מעגל שביעי משרדי נותן השירות ועובדיו האבטחה מתחילה במשרדי נותן השירות עצמו , על פי התקנים יש לוודא קיומם של פרוצדורות עבודה במדיניות החברה .כל עובד צריך לעבור הכשרת בטיחות בה מועברים לו הפרוצדורות וההליכים הנוגעים לענייני אבטחה .קיומו של תקן , SAS-70 audit reportיבטיח כי מתנהל רישום ותעוד מפורט הכולל בין היתר: 1.1בדיקת היסטורית עובד . 2.2רישום גישה למתקני החברה. 3.3רישום חריגות מ "שימוש מקובל" במתקני החברה. 4.4רישום מדיות ניידות ונתיקות. 5.5הפרדת ססמאות אירגוניות וססמאות יצור. 6.6ניהול הרשאות גישה. 7.7נהלים לרישום "אירוע" בטיחות. 8.8הכשרות בטיחות מידע. 9.9ניהול כל מערכות בהתאם לסטנדרטים עולמיים. 1010קביעת קונפיגורציית מערכת. 1111ניהול שינויים. 1212מערכות לזיהוי פולשים ברשת הפנימית. 1313גישה מרוחקת באמצעות VPNs with multi- factor authentication 1414סריקה ומוניטור רציף און ליין למערכות פנימיות. 1515שימוש בשרותי חברות אבטחה צד שלישי המתמחות באבטחת נתונים לבדיקת פוטנציאל חדירות ונקודות תורפה אפשריות ברשת. 1616יש לוודא קיומן של חסימות עובדי נותן השירות לנתוני הלקוח באופן שלעולם לא יתאפשר למי מעובדי השירות לראות תוכן כל שהוא של לקוח ובכל מקרה של תמיכה בלקוח ינתהל רישום ותיעוד מפורט. הכותב הינו דוד אלוש ,מנכ"ל ומייסד חברת CloudComנציגת Boxבישראל ,פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן. • למידע ומאמרים נוספים בתחום www.CloudCom.co.il • לשאלות ניתן לפנות באמצעות הדוא"ל [email protected] • להתייעצות טלפונית אישית 054-4637000 - 6.6לבסוף נדרשת כמובן קיומם של מערכות , UPSמערכות גיבוי ,מערכות מניעת אש והצפה באתרי האחסון. | גיליון | 6דצמבר 2012 19 כיפת ברזל דיגיטלית DefensePro של חברת רודוור לצורך כך ,אנו רוצים להציג בפניכם את המוצר של חברת רדוור ,שבמלחמת עמוד ענן האחרון, הוא סייע לארגונים רבים להתמודד היטב אל מול המתקפות שפקדו על האתרים הישראלים. ארגונים אינם ערוכים למלחמה מול ההקטיביסטים (שילוב של המילים האקרים ואקטיביסטים ,פעילים חברתיים) .מדי חודש כמה וכמה מתקפות כאלה מצליחות לזעזע את העולם ,ולהעלות לכותרות את ההצלחה של ההאקטיביסטים. (מתקפות לצורך הסחה) פעילות תוך כדי המתקפה בשנתיים האחרונות היינו עדים ליותר מדי מקרים שבהם חברות ענק ,דוגמת לוקהיד-מרטין ,סוני, ,RSAהבורסה לניירות ערך בניו-יורק ואחרות, הותקפו ,נפרצו ,נגנב מהם מידע והאתרים שלהם הופלו. מרכיב מפתח בעת המתקפות הוא פעולת ההסחה .במקרה של המתקפה על חברת סוני, היא החלה כמתקפת ( DDoSמתקפת מניעת שרות מבוזרת) .התוקפים הפילו את אתר החברה למשך יומיים-שלושה ,ובדיעבד ,לאחר כמה ימים התברר כי הפלת האתר הייתה פעילות הסחה, שנועדה להסתיר את העובדה שבעצם הם גונבים מידע מבסיס הנתונים של החברה המותקפת. ככלל ,ארגונים משקיעים בשני מקומות :האיד, היערכות בטרם מתקפה – ניטור ,בקרה ,מציאת חולשות ,ועל בסיסן בניית מנגנוני הגנה פנימיים. המקום השני בעולם האבטחה שארגונים משקיעים בו הוא לאחר המתקפה .אז הם יודעים לערוך ניתוח תחקור ( ,)Forensicsומפיקים בעקבותיו לקחים ונערכים לקראת המתקפה הבאה. ההאקטיביסטים תוקפים כיום בצורה חדשה יחסית :הם מנתחים את ארגון היעד אותו הם מתכננים לתקוף ,בדרך כלל הם גם מבצעים "ניסוי-כלים" ,ואז תוקפים כמה נקודות ברשת, באופן בו-זמני ,בשיטה המכונה Multi-Vector ,Attackהתקפות הנמשכות בדרך כלל יומיים- שלושה בממוצע .המתקפות מבוצעות בשיטות שונות ומטרתן משולשת – הפלת האתר ,השחתתו וגניבת מידע. מדובר בפעולת הסחה קלאסית .מנהלי ה IT-היו עסוקים בהחזרת השרתים לפעילות ולא שמו לב לכך שהתוקפים גונבים מידע בזמן זה .מנהלי המידע בארגונים אינם ערוכים לסוג כזה של מתקפות .בכלל יש ריבוי מתקפות ,ובתוך שלל המתקפות ,קל יותר לבצע את פעילות ההסחה לטובת גניבת מידע ,כי מנהלי התשתיות ,מנהלי התקשורת ,ומנהלי אבטחת המידע טרודים בעלייה חזרה לאוויר. הבעיה המרכזית של ארגונים ,היא שהם אינם ערוכים לפעול בזמן אמת ,בעת שהמתקפה מתרחשת ,אין להם את הניסיון הדרוש לפעילות בזמן זה. ההאקטיביסטים תוקפים שוב ושוב ,במגוון אופנים ,עד שהם מצליחים להגיע לאחת משכבות המחשוב הארגוני ומשם חודרים הלאה ,פנימה. מערכי ההגנה בארגונים בנויים בצורה כזו שיש להם טכנולוגיות הגנה שונות לטוב סוגים שונים של איומים .פעמים רבות אין סינכרון טוב בן מוצרי האבטחה השונים ,דבר היוצר פערים ביניהם ופוגע בצורך ליצר מעטפת הגנה מוכללת. 20 גיליון | 6דצמבר | 2012 זאב ,זאב... נדרש להם צוות של אנשים עם טכנולוגיות מתאימות ,על מנת לנתח את ההתקפה ,להגן מפניה באופן אוטומטי ,וליצור התקפות נגד מתאימות בזמן אמת .כיוון שהמתקפה המבוצעת נגדם היא עקבית ודומיננטית ,היא דורשת היערכות מתאימה וייחודית. מסקרים עולה כי 99%ממנהלי אבטחת מידע שנשאלו בנושא ,השיבו כי הם יודעים כיצד עליהם לפעול לפני המתקפה ולאחריה ,אולם הודו שאינם ערוכים לפעילות במהלכה. דרוש פתרון של כיפת ברזל דיגיטלית לחברת רדוור יש מוצרים מבוססי טכנולוגית מערכת "מומחה" לומדת, אשר מאפשרת ניתוח התנהגות רשתית והתנהגות היישומים ברשת .המערכת יודעת לנטר בזמן אמת את התעבורה ,לזהות פעילויות חריגות ברשת ,לנתח באופן אוטומטי את המתקפות, וליצור חתימות המתארות את ההתנהגות החריגה בזמן אמת (,)Real Time Signature כך הלקוח הארגוני המותקף מקבל מעין ""SOC (מרכז תפעול אבטחה) בקופסה. הפתרונות הוא AppWall (WAF=Web Application )Firewallשפותח על ידי רדוור כמענה להתקפות מול שרתי WEBארגוניים .הוא עונה לשלל סוגי התקפות ,השחתת פני אתר ,גניבת מידע ,ניצול של חולשות אבטחה במסדי הנתונים (כדוגמת ,)SQL Injectionמתקפות מניעת שירות ()DoS ועוד. במהלך מבצע "עמוד ענן" ,המוצר הוכיח את עצמו, כשהגן על עשרות לקוחות בארץ בצורה נאותה. הרבה ארגונים בארץ חוו מתקפות רציניות ע"י קבוצות האקרים שונות ,ביניהם גם אנונימוס .חלק לחברת רדוור יש גוף תמיכה נגד מתקפות סייבר ( .)ERT=Emergency Response Teamאנשיו מתמחים בפעילות תמיכה בזמן אמת באנשי אבטחת המידע של הארגון המותקף .הם מוודאים כי המערכות הותקנו עם התצורה המתאימה, ומחכים למתקפה. עם בואה של המתקפה ,המערכות מתחילות להגן באופן אוטומטי מפניה .במקביל ,נפתח "חדר מלחמה" ,שבמסגרתו אנשי רדוור מתחברים למערכו ה IT-של הלקוח הארגוני המותקף. הם מוודאים כי המערכת של רדוור חוסמת את ההתקפות הצורה יעילה, והם מנתחים ומזהים את הסוגים השונים של המתקפות .פעילות נוספת הנעשית אף היא במקביל, היא ברמה המודיעינית .אנשי רדוור נכנסים לפורומים ולציטים של האקרים ,מנסים לגלות את זהותם לברר מהי הפעולה ההתקפית הבאה שבכוונתם לערוך ,או מיהו יעד המתקפה הבא .פעילות מודיעינית זו מטרתה להשיג מידע בזמן אמת ולהקדים מבחינת לוחות זמנים את התוקפים. הבעיה המרכזית של ארגונים ,היא שהם אינם ערוכים לפעול בזמן אמת, בעת שהמתקפה מתרחשת ,אין להם את הניסיון הדרוש לפעילות בזמן זה. בעזרת טכנולוגיה זו ,ניתן לדמות את תהליך החשיבה של מומחה אבטחת המידע הארגוני, ועל בסיסה לזהות וליצור בזמן אמת תבני של הפעילות החריגה שבוצעה .זה נעשה ע"י המוצר ,DefenseProמוצר שהוא חלק ממשפחת הפתרונות AMSשל חברת רדוור (ראשי תיבות של ,)Attack Mitigation Systemמערכת למניעת התקפות .לצד ,DefenseProמוצר נוסף ממשפחת מהמתקפות היו ממושכות ,ונערכו כשלושה ימים וכללו סוגי תקיפות ,בהם ניסיונות חדירה ומניעת שירות .כחלק מהשירות של רדוור ,לקוחות החברה ,קיבלו התרעות ממוקדות ,ואף סיוע של מומחי החברה בקינפוג קבצי החתימות ,וטיוב ( )Fine Tuningשל המוצר בכדי להתמודד אל מול המתקפות. הפתרון הוכיח את עצמו ,והוא הוגדר רשמית, ככיפת הברזל הדיגיטלית ,של שנת .2012 ברוב המתקפות ,אם התוקפים נכשלים במלאכתם והמתקפה לא צולחת ,הם מגבירים את חומרת המתקפה או משנים את הסוג שלה. במקרים מתקדמים של ההתקפות ,צוות הERT- של רדוור נדרש בזמן אמת ליצור הגנות חדשות ולעדכן את תצורת ה AMS-בהתאם – הצוות מתאמן ונבחן על הצלחותיו במשימות אלו ,ובזמן אמת. | גיליון | 6דצמבר 2012 21 הכשרת מנהלי אבטחת מידע ()CISO Knowledge to People חברת TITANS SECURITYגאה להציג את המסלול המקצועי ,האיכותי והמקיף ביותר להכשרת מנהלי אבטחת מידע ( )Certified CISOוגם היחידי שכולל הסמכה בינלאומית – CISMמבית .ISACAמדובר בקורס בן 200שעות פרונטאליות ,ועוד כ 500-שעות תרגול עצמאי ,כאשר ישנה התייחסות לכל עולמות אבטחת המידע. בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי אבטחת מידע ברמה גבוהה מאוד .הקורס נוצר כתוצאה מדרישת השוק למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע על כל שכבותיה .בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם ו\או לארגון בהם מועסקים על-ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש מהם. שלנו Bringing המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע בהיבט העסקי ועם העולם הרגולטורי\חוקי .המודול השני עוסק ברק הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים. המודול השלישי עוסק בתחום ניהול אבטחת המידע ,מסגרות לניהול אבטחת מידע וניהול סיכונים .המודול הרביעי דן כולו בהיבטים של אבטחת מידע פיזי וסביבתי ,והמודול החמישי עוסק בהיבט האנושי מבחינת אבטחת מידע. הקורס עובר עדכונים שוטפים ,כדי להתאימו לעולם הדינאמי של השוק ,והתוקפים\התקפות השונות ,וסוקר בצורה מאלה את כל עולם אבטחת המידע על כל רבדיו .בכל רובד אנו מתרגלים ודנים בתפיסות, מתודולוגיות ובטכנולוגיות הקיימות ,ובחולשות הרבות הנסתרות בהן. חושות ,אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה .כמו כן ,אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף ,כנגד החולשות שלנו ,על מנת לדעת ולהכיר היטב את האויב. כפי שהספר המפורסם "אומנות המלחמה" אומר: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the "enemy nor yourself, you will succumb in every battle חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים לתיאום פגישות וקבלת פרטים נוספים: לתיאום פגישות וקבלת פרטים נוספים: חייגו :דני – 050-8266014 חייגו :דני – 050-8266014 או בדוא"ל: 22 שלך העבודה זהו מסלול חדש ,העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים. המסלול מחולק לשני חלקים עיקריים ,כאשר החלק הראשון הינו החלק המעשי של הקורס ,והחלק השני מכין את התלמיד לבחינת ההסמכה הבינלאומית של CISMמבית .ISACAהחלק הראשון בנוי מ 5-מודולים עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע על פניהם השונים. כחלק מערכת הלימוד ,התלמידים מקבלים ספר לימוד ,ספרי תרגול (בכיתה ובבית) ,ועוד DVDהכולל כלי עזר רבים של מנהל אבטחת מידע. גיליון | 6דצמבר | 2012 הביטחון danny @ titans 2. com או בדוא"ל: בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים danny @ titans 2. com | גיליון | 6דצמבר 2012 23 האויב שבפנים "האיום האמיתי על אבטחת המידע אורב לו דווקא מתוך הארגון ,ברשת הפנימית .האפליקציות הפנימיות של הארגון מכילות את המידע העסקי הרגיש ביותר; אחת השכבות החשובות ביותר באבטחת המידע ,היא שכבת האפליקציה". מרבית הארגונים הגדולים מוגנים כיום ,ברמה כזו או אחרת ,מפני הסכנות הטמונות בעולם האינטרנט ,או כך לפחות הם נוטים לחשוב. העובדה שהאינטרנט מהווה כיום את הנדבך המרכזי בתחום אבטחת המידע נהירה לכל ארגון ,אלא שמעטים הם הארגונים שהבינו ,ולא פחות חשב מכך הפנימו ,שהאיום האמיתי על אבטחת המידע אורב לו דווקא מהארגון ,ברשת הפנימית .עפ"י נתוני חברות מחקר שונות ,כמות ההתקפות בתוך הרשת נאמדת כיום בכ80%- מסך כל ההתקפות ברשת ,כשחלקן מתבצעות במזיד וחלקן בשוגג. האגונים הגדולים ,אף שהם מתחילים להבין את השינוי ואת הצורך להיערכות לאבטחה אחרת ברשת הפנימית ,עדיין רחוקים ממימוש אפקטיבי של מערך אבטחת המידע הנדרש .עם זאת, העתיד ,ככל הנראה ,לא ישאיר להם ברירה ,אלא לאמץ את מהפכת כלי האבטחה הנהוגים ברשת הפנימית של הארגון .מערך האבטחה של ארגון מושתת כיום ,יותר מתמיד ,על יכולת שליטה ובקרה מלאה בכל אחת מרמות הארגון .אם בעבר הספיקה השליטה מרמת הניהול הגבוהה בארגון ,הרי שמרבית כוח האבטחה נדרש כיום במערכות התקשורת ברמת העובדים ובכלי העבודה האישיים. מערכות אבטחת המידע החדישות בנויות בהתאם לתפיסה ארגונית חדשה זו ומאפשרות למנהלים בארגונים הגדולים לשלוט ולעשות שימוש מושכל ביכולות האבטחה באופן אפקטיבי בהרבה ,גורף על כל חלקי הארגון ובשיטתיות .יותר מכך ,גם 24 גיליון | 6דצמבר | 2012 הלקוחות כופים כיום על הארגונים הגדולים לחזק ולבצר את מערך אבטחת המידע בכל רמות הניהול בארגון בהתאם לדרישה חדשה זו. הצורך בהפרדה בין חוות השרתים לבין המשתמשים האפליקציות הפנימיות של הארגון מכילות את המידע העסקי הרגיש ביותר :פרטים על לקוחות, ספקים ועובדים ,התקשרויות עסקיות ,חוזים, הצעות מחיר ,דוחות פנימיים ,והיד עוד נטויה. הפוטנציאל ההרסני של גניבת מידע כזה ברור לחלוטין ,ומדאיג עוד יותר לאור ההשקעה הנמוכה יחסית של ארגונים בהגנה על האפליקציות הפנימיות שלהם .בעולם העסקים המרושת של היום ,משתמשים רבים מקבלים גישה למערכות הארגוניות ,כגון CRMאו .ERPמשתמשים פנימיים יכולים להציב איום ספציפי מאוד ,כיוון שהם מכירים את המערכת טוב יותר ויכולים למקד את ניסיונות הפריצה בחיפוש או שינוי של מידע נקודתי. אחת השכבות החשובות ביותר באבטחת המידע, היא שכבת האפליקציה .בעולם אידיאלי כל תוכנה שהארגון משתמש בה הייתה חופשית מבאגים ומחורי האבטחה ,אבל ברור שבעולם האמיתי המצב שונה .הבעיה חמורה במיוחד לגבי חורי האבטחה ,כיוון שהקשחת האפליקציות דורשת מומחיות גבוהה באבטחת מידע ,שלא תמיד קיימת אצל המפתחים ,שמטבע הדברים תחום התמחותם הוא שונה. הסיכון באבטחה אפליקטיבית מתרכז באפשרות שפורץ יצליח לנצל את התוכנה לקבלת מידע חסוי ,או ביצוע פעולות לא מורשות .לדוגמא, ישתמש בגישה מרוחקת לשרת הדואר הארגוני כדי לקרוא את ההודעות של אנשים בתוך הארגון, המכילות לעתים קרובות מידע עסקי רגיש. בשונה מהתפקות שמשחיתות אתרים ,או מפילות רשתות ,התקפות בתחום האפליקטיבי נועדו להשיג מידע .מטבע הדברים ,פעמים רבות הארגון לא מודע לזליגת המידע דרך התקפות מסוג זה, למרות שהן יכולות להיות ההרסניות ביותר. מדיניות בקרת גישה חוות השרתים בארגון מהווה בדרך כלל את ליבת הארגון ומכילה את כל החומר הארגוני ,החל משרתי בסיסי נתונים ( )Databaseושרתי קבצים וכלה בשרתי אפליקציה שונים .כיום המידע הפנים ארגוני חשוף לעובדים השונים בכל המחלקות, ללא יכולת מידור וניטור ,כך שכל עובד יכול להגיע לכל שרת ברשת ולבצע בו ככל העולה על רוחו. בעקבות איום זה ,נוצר הצורך לבצע הפרדה בין חוות השרתים לבין המשתמש ולאפשר גישה אך ורק למשתמשים המורשים .כל זאת בשילוב עם הקמת הגנה לחוות השרתים בכמה שכבות ,כך לדוגמא מידע על משכורות העובדים יהיה נגיש אך ורק לחשב ולמנכ"ל הארגון ,מתוך הבנה ברורה כי נגישות של אנשים שאינם מורשים למידע זה יכולה לסכן ולפגוע בארגון. דרוש שומר סף אתגר נוסף מצוי בריבוי האפליקציות והשייכות שלהם לפרוטוקולי תעבורת המידע בפורטים .TCP/UDPלרוב האפליקציות כיום לא ניתן לקשר פורט TCP/UDPבאופן חד חד ערכי .כמו כן ברוב האפליקציות ניתן לשנות את הפורט ,ולכן קשה מאוד לזהות את האפליקציה על פי הTCP- Headerבלבד .לצורך כך נדרש מנגנון שיזהה את האפליקציה על פי התוכן של המידע ולא עפ"י ה .TCP Header-קיימים כיום מספר יצרנים שהשכילו להטמיע את היכולת הזו במוצרים שלהם ועל ידי כך ליצור פירוול אפליקטיבי ( )Application Firewallשמזהה את האפליקציות עצמם ולא רק את הפורט איתו הם משתמשים. על מנת לתת מענה מפני מתקפות מבפנים ,בתוך הרשת ,הפתרון המתבקש הוא ליישם מערכות פירוול אפליקטיבי ( )Application Firewallבתוך הרשת הארגונית ,בכניסה ל ,Data Center-תוך יצירת סגמנטציה בין רשת המשתמשים לחוות השרתים .פתרון זה יספק שכבת הגנה בין הרשתות וימנע גישה לא רצויה לשרתים .סוד ההצלחה בתחום אבטחת המידע לרשתות הוא בזיהוי מוקדם של מגמת הלכידות בין אבטחת מידע ורשתות התקשורת. תקן אבטחת המידע ISO 27001מתייחס לנושא בקרת הגישה הן ברמת הרשת ,והן ברמת האפליקציה .יישום פירוול אפליקטיבי יכול לספק מענה הולם לדרישות התקן המופיעים בסעיפים .11.4.5א –הפרדת רשתות (תהיה ברשתות הפרדה בין קבוצות שירותי מידע ,משתמשים ומערכות מידע).11.4.6 ,א –בקרת חיבורים לרשת (עבור רשתות משותפות ,במיוחד רשתות החורגות אל מעבר לגבולות הארגון ,תוגבל יכולת המשתמשים להתחבר לרשת ,לפי מדיניות בקרת הגישה ולפי דרישות היישומים העסקיים), .11.4.7א –בקרת ניתוב לרשת (ייושמו אמצעים לבקרת ניתוב לרשתות ,שיבטיחו שחיבורי מחשבים וזרימת מידע אינם מפרים את מדיניות בקרת הגישה של יישומי העסק).11.6.1 ,א – הגבלת גישה למידע (גישת משתמשים ועובדי תמיכה ,למידע ולפונקציות של מערכות יישומים, תוגבל לפי המדיניות המוגדרת של בקרת הגישה) .11.6.2 ,א –בידוד מערכות רגישות (למערכות רגישות תהיה סביבת מחשוב מבודדת ייחודית). דוגמא לפירוול אפליקטיבי שיכול לספק מענה לדרישות הנ"ל הינו ,Palo Altoהמיוצג בישראל ע"י חברת .Innocom בקרת גישה לרשת אחד האתגרים הנוספים כיום הינו זיהוי ואימות המחשבים ברשת ,אלא שהמצב כיום הוא שבמרבית החברות לא קיים עדיין מנגנון המזהה ומאמת את המחשבים ויחידות המחשוב במתחברים לרשת הפנימית .ללא מנגנון שכזה, מימוש התקפה מתוך הארגון על ידי מחשב שאיננו שייך לארגון הוא תהליך אפשרי ובר ביצוע המסכן את הארגון .הפתרון המתבקש הוא הגנה על הרשת מפני משתמשים ומחשבים לא מורשים, או בשמו המקוצר NAC (Network Access .)Controlהשילוב בין פתרונות NACלבין מערכות ה Application Firewall -מעניק את ההגנה המרבית על משאבי הרשת הן מצד המשתמשים המורשים ברשת והן מצד משתמשים ומחשבים שאינם מורשים. גם כאן תקן אבטחת המידע ,ISO 27001נותן מענה בפרק ( 11.4בקרת גישה לרשת הארגון). בקרת הגישה לרשת הארגון תתבצע בהתאם למדיניות בקרת הגישה של הארגון ,ובתקן ישנם מספר תתי-סעיפים שמתייחסים לנושא זה ,כגון סעיף .11.4.3א –זיהוי ציוד ברשתות (זיהוי אוטומטי של ציוד ייחשב אמצעי לאימות-זהות של חיבורים ממקומות ומציוד ספציפיים) וסעיף .11.4.6א – בקרת חיבורים לרשת (עבור רשתות משותפות, במיוחד רשתות החורגות אל מעבר לגבולות הארגון ,תוגבל יכולת המשתמשים להתחבר לרשת ,לפי מדיניות בקרת הגישה לפי דרישות היישומים העסקיים). מהפכת ה IP-קיצרה ללא הכר את פערי הזמן והמקום ,והמחישה את הקושי הרב בשליטה באבטחת המידע בארגון מרמת המנהלים ולאורך כל רמות הניהול והביצוע של העובדים. לצד היתרונות הגדולים בפיזור הידע בין כל רמות הניהול בארגון ,הרי שאמצעי המחשוב והתקשורת הארגוניים מביאים עמם גם איומים משמעותיים על שליטת הארגון בידע שנצבר בו ועל מניעת הזליגה שלו החוצה .השליטה בידע היא קריטית לעסקים ,ועל מנהל אבטחת המידע להפנים זאת, בעת בחירת פתרונות אבטחת מידע והטמעתם בארגון .ע"י שימוש נכון ומדויק בכלי אבטחת המידע בארגון ,ניתן בקלות להתאים את פתרונות אבטחת המידע לדרישות העסקיות ,ובכך לתרום לארגון. | גיליון | 6דצמבר 2012 25 הקשחת מערכות בארגון דינאמי האתגר :בסביבה עסקית הנעשית פחות ופחות בטוחה ,חייבים מנהלי אבטחת המידע ,מנהלי מערכות מידע ,ומנהלי טכנולוגיות המידע לחתור ללא הרף להגיע לצמיחה בהיקף ההכנסות הכולל ,להגביר את פריון העבודה ולהפחית עלויות ,תוך אבטחת מערכות התקשו"ב החיוניים בארגון ושמירה על חשאיותם .לאבטחת מידע בפני עצמה ,אין הצדקה עסקית ,היות ולא מדובר בהליך עסקי ,אלא בהליך תומך ,ולכן ,על תחום אבטחת המידע לתמוך בתהליכים העסקיים ,ולאפשר המשך תפעול תקין של כל התהליכים העסקיים הקריטיים בארגון ,תוך שמירה על רמת אבטחת מידע נאותה. כדי לדאוג לאבטחה מתאימה לפעולות החיוניות ביותר של החברה ,חייבת טכנולוגיית המידע לעמוד באתגר בשלוש רמות עיקריות .ברמה הראשונה ,יש לזהות בכל סביבות ה IT-את הפגיעיות שמורכבותן הולכות ומתגברת ,ולתקן את המצב .ברמה השנייה ,יש להתמודד בזמן אמת עם האיומים הפנים-ארגוניים והחוץ- ארגוניים כאחד כדי למזער חשיפה ולהקטין את רמת הסיכון .וברמה השלישית ,יש לאכוף את מדיניות האבטחה בכל הארגון כדי לעמוד בדרישות הנוהל ובביקורות הפנימיות והחיצוניות השונות. ממחקר שבוצע ע"י חברות מחקר שונות, דווח 90% :מהחברות דיווחו כי נחשו לפריצות (פנימיות וחיצוניות) למערכות מחשוב שנגרמו כתוצאה מניהול או הגדרות לא נכונות של השרתים הנפרצים .בכדי להגיע לרמת האבטחה המקסימאלית במערכו המידע בארגון ,יש להתייחס לכך שלא די בהתקנות הטכנולוגיה המתאימה לביצוע המשימה ,אלא שיש להגדיר נוהלי אבטחה ,מדיניות אבטחה ארגונית ובה הגדרות להקשחת שרתים ואפליקציות ויש להקפיד על ידע עדכני של מנהלי המחשוב .כך שתהליך הטמעת הטכנולוגיה יתבצע כראוי ובהתאם למדיניות החברה. לפני מספר שנים ,בעקבות יציאתן של מספר רגולציות בשוק הפרטי ,פרסם משרד ההגנה האמריקאי בשיתוף עם ה,Homeland Security- מסמך עם 7סעיפים אשר המדיניות אבטחת המידע הארגונית חייבת לכלול בכדי להגן מפני פרצות: "1.1תאימות ארגונית" נוצרה בכדי להשיג רמת מדיניות בסיסית לכולם ולא רק בכדי לענות על צורך אשר הרגולציה מבקשת. 26 גיליון | 6דצמבר | 2012 2.2רמת המדיניות הבסיסית צריכה להיות מותאמת למציאות הארגונית בשטח ולא רק לנהלים או רגולציות. 3.3החוק או הרגולציה יכולים להגדיר כי כל המידע האישי צריך להיות מוצפן אולם הם לא טעונים איזה מוצר צריך לבצע זאת או חשוב יותר הצעדים אותם יש לבצע בכדי להבטיח כי פעולה זו בוצעה כמתבקש. 4.4החוק והרגולציה יגדירו ויפרטו שיש מדיניות ארגונית ,תהליכים והנחיות ליישום המדיניות בארגון אולם הם לא מציינים כיצד ליישם זאת. 5.5מרבית הרגולציות מבקשות מדדי תאימות למדיניות ארגונית ובכללם הקשחה .בין הרגולציות הדורשות זאת ,ניתן למצוא את: ,HIPAA, GLBA, SOX, FISMAועוד. 6.6בכל הרגולציות והחוקים הללו ישנם הנחיות לתאימות מדיניות אבטחת המידע הארגוניות ושמירתה וכוללת הקשחות ,דוחות תאימות, ניהול גישה לאובייקטים ,ושמירה על קבצי הדיווח (.)Logs 7.7חובה להגן על המדיניות הארגונית גם מבעלי ההרשאות .המשמעות הינה כי רק בעלי תפקיד מסוימים יוכלו לגשת או לשנות את המדיניות הארגונית כל שבמידת הצורך יש לאפשר אולם לתעד כל שינוי הרשאות. דבר נוסף אותו יש לציין ,שקיים קשר הדוק מאוד בין מנהלי הרשת ואנשי הסיסטם בארגון לבין מפתחי המערכת .מנהלי הרשת ואנשי הסיסטם יכולים לבצע הקשחה מקסימאלית ובכך למנוע מאפליקציות קריטיות בארגון לעבוד או לחלופין לבצע הקשחה מדוייקת לצרכי הארגון ולהתקין שרתי הגנה נוספת כגון Application Firewallובכל זאת ,החברה ואתריה יהיו פריצים מאחר שכותבי הקוד לא דאגו לחסום פונקציות מסויימות ,לא ניהלו הרשאות נכון או לצורך תפעול נוח יותר "פרצו" לאחר ההקשחה את המדיניות הארגונית. ארגונים אשר למדו והחלו ליישם את המדיניות הארגונית עפ"י דרישות הרגולציה והחוק החלו להיתקל בבעיות ולשאול שאלות כיצד ליישם את המדיניות הארגונית ולא רק להקשיח את השרת על ידי תבניות הקשחה מוגבלות .מבין הבעיות שעלו ניתן למצוא: •תבניות ההקשחה המסופקות על ידי היצרנים אינם עונים בצורה מלאה על הרצון להקשיח. •אין יכולות לימוד טרם ההקשחה בכדי למנוע עצירת פונקציות קריטיות באפליקציה על ידי מנגנון ההקשחה .וכן אין יכולת חזרה לאחור לאחר הקשחה לא מוצלחת. •ההקשחה כוללת נעילת מערכות הפעלה ואפליקציות ויש קושי בניהול ההקשחה מסוג זה ,על כן ארגונים בוחרים להקשיח את המכנה המשותף לכלל השרתים ולא שרת יחיד או קבוצת שרתים בעלי מכנה משותף (שרתי .)Web ( Access •אין יכולת עצירה בזמן אמת )Controlלשינוי האובייקטים או תהליכים מוקשחים על ידי משתמשים לא מורשים למרות שהם בעלי הרשאות. •בנוסף הארגונים ביקשו לסנן תהליכי ניהול טבעיים של המערכות דוגמא לכך ניתן למצוא במערכת דואר האלקטרוני אשר בעלי הרשאות יכולים להיכנס לכל תא דואר ולקרוא את הדואר ללא בקשת רשות מהמשתמש וללא תיעוד מתאים .במקרה זה ביקשו הארגונים לאפשר פעולה זו רק לזמן קצוב ולמשתמשים מסויימים וגם אז לתעד את פעולותיהם. הפתרון: ניהול המדיניות הארגונית בצורה יעילה וגמישה הפתרון הוא הטמעת פתרון אשר יאפשר לארגון לנהל את מדיניות אבטחת המידע בצורה נאותה. על הפתרון לאפשר הקנה מקיפה רחבה וכוללת. לצערנו ,אין כאן .Silver Bulletאין פתרון אחד ,אשר יכול לספק לנו מענה הולם לכל בעיות האבטחה בארגון ,ונדרש כאן שילוב של מספר פתרונות אבטחה .על ידי שילוב בין מערכת לאיתור וניהול אירועי אבטחה ,מניעת הפעולה למשתמשים לא מורשים וחיבורים לא מורשים לרשת הארגון ,בין ניהול פגיעויות וטלאים לבין פתרונות אבטחת תוכן ,פירוול רשתי ,פירוול אפליקטיבי ומניעת זליגת מידע; שילוב זה מאפשר אבטחה והגנה אוטומטית לרוחב הארגון ולעומקו. יישום מערך אבטחה כולל ,המתבסס על הגנה בשכבות ( ,)Layered Defenseמסייע למנהל אבטחת המידע בארגן להתפתח ממנהל מגיב לאירועים למנהל גמיש בעל יכולות גבוהות בעסקים המבטיח מראש את ביצועיהן וזמינותן של מערכות ה IT-בארגון .פתרונות אלו מאפשרים למנהל אבטחת המידע להגיע לרמה הגבוהה ביותר של בשלות בניהול האבטחה ,כך שהארגון יוכל להשקיע בהזדמנויות עסקיות חדשות בצורה בטוחה ויעילה וכן לעמוד בתאימות הארגונית עפ"י הגדרת רגולציה ,חוק או חוזיות. בארגונים בישראל ובעולם קיימים מסמכים רבים המתעדים את מדיניות ( )Policyאבטחת המידע הארגונית בהקשרים שונים ,וביניהם תיעוד לגבי הקשחת שרתים וחומרה .מחשבה רבה והרבה שעות אדם הושקעו כדי לכתוב את המסמכים הללו .אולם הבעיה איננה הכתיבה או כמויות התיעוד אלא דווקא הפעולה עצמה – הקשחת השרתים ואכיפתה של המדיניות על שרתי הארגון השונים. הרבה מאוד ארגונים ישמו או מיישמים אכיפה וביקורות תקופתיות ( )Periodic Auditsשל מדיניות אבטחת המידע ,כך שתהליכי אכיפה אלו מייצגים בצורה הטובה ביותר את מדיניות אבטחת המידע מול סביבת העבודה. מכיוון שהמדיניות הארגונית מיושמת בתקופות קבועות ,השרתים המקבלים הגדרות אלו ,לכאורה מוקשחים עפ"י המדיניות הארגונית בנקודת זמן מסוימת .הבעיה הגדולה ביותר הינה ניהול ואכיפת המדיניות הארגונית בין התקופות בהם כופים את ההקשחה על השרתים השונים .הארגון יכול להיות בטוח כי הוא מוגן ברמת המדיניות הארגונית אולם למעשה הוא מוגן רק בתקופות בהם מתבצע העדכון .בין התקופות השרתים למעשה פרוצים מכיוון שלא מתבצעת האכיפה על השרתים אלו. למעשה ייתכן כי התוצאה מפריצת אבטחת מידע\ פריצת השרת יאבד מידע חשוב ותיתכן פריצת המדיניות הארגונית ,שיוצרת בעיה נוספת והיא מעקב והפעלת תהליכים כתוצאה מפריצה במדיניות אבטחת המידע. חלק מהמוצרים הקיימים כיום בשוק מאפשרים להחיל את המדיניות הארגונית של אבטחת המידע על משאבים מנוהלים כגון שרתים, מדפסות ,תחנות עבודה ועוד ,אולם רק מספר מצומצם של מערכות מאפשר זיהוי של סטייה או פריצה מהמדיניות הארגונית ובתגובה לחולל תהליכים אוטומטיים המונעים את הפירצה. רוב המערכות הקשחה מגיעות עם עשרות תבניות לסביבות עבודה ואפליקציות שונות המבוססות על המלצות והתממשקות אל CIS (Center of Internet Security), CERT, AUSCERT, ,HIPAA, FDA, ISO, NSA, NISTוהיצרנים השונים. התממשקות זו מאפשרת למערכת להפיץ בצורה אוטומטית את מדיניות אבטחת המידע הארגונית עפ"י קבוצות שירותים הקיימות במערכת וכן מאפשרת בתדירות גבוהה לבחון את ההבדלים בין המשאב המנוהל לבין המדיניות המתבקשת. לרוב ,המערכות מאפשרות ניהול תהליך ההקשחה של קבוצות שרתים וגם ניהול מדיניות של שרתים בודדים בשני אופנים: 1.1קליטת אירוע על שינוי רכיב והפעלת תרחיש בדיקה ותגובה בהמשך לאותו אירוע. 2.2עצירת האירוע טרם ביצועו על ידי קליטת המידע בזמן אמת. בצורה זו ,המערכת עונה כמעט על כל תרחיש ואובייקט עליו רוצים להגן במסגרת המדיניות הארגונית. בין דרישות המדיניות הארגונית להקשחה בהם מטפלת המערכת ניתן למצוא את הנקודות הבאות: בRegistry- •מניעת שינויים ומתבצע; •שינוי הרשאות לשירות ()Serviceמסוים ודיווח במידה ונעשה; •טיפול בהרשאות – File Systemוכן טיפול מתקדם בנושאNTFS ודיווח במידה | גיליון | 6דצמבר 2012 27 •הורדת יכולות של משתמשים בעלי התרים מיוחדים ( Power Userו;)Administrator- Administrator Local •הורדת יכולות של Account •מעקב אחר התנהגות ופעולות של Administrator •קישור בין כתובת IPלבין כניסה למחשב מורשה ודיווח על כניסה לא חוקית •הקשחה בכלל הרמות החל ממערכת ההפעלה ועד לאפליקציה כולל בתוך האפליקציה. שלבי ההקשחה: לרוב ,המערכות מחלקות את שלב ההקשחה לשני חלקים עיקריים: 1 .1שלב לימוד המערכות והאפליקציות טרם ההקשחה – מצב סימולציה 2 .2שלב ההקשחה וניטור – מצב אכיפה בפועל השלב הראשון ,שלב הסימולציה הינו שלב הכרחי ביישום מערכת מסוג זה .המלצות ההקשחה של היצרנים וגופי אבטחת המידע הינם המלצות מחמירות העלולות לעיתים לגרום להשבתת השרת והמערכות המופעלות עליו ,ולכן ,רצוי קודם לכן, להריץ תהליך של סימולציה ,שבו המערכת לומדת את המצב הקיים ,בכדי שתהיה יכולת לחזור אחורה במקרה של כשל במערכות. למעשה ,מרבית ההמלצות מתייחסות אך ורק למערכת אחת עליה הם נכתבו ולא על שילוב בין המערכות כגון מערכת הפעלה ומערכת הדוא"ל. הצורך בשלב זה הינו הכרחי ,לימוד המצב הקיים של תצורת מדיניות אבטחת המידע בשרת מול המצב הרצוי ,וכן תיעוד גישה לאובייקטים העתידיים להיות מוקשחים. בסיום תהליך הלימוד ,המערכת מוציאה בצורה אוטומטית דוח על המצב המצוי בשרת מול המצב הרצוי וכן הזהרות והמלצות להקשחה ,לאחר סימון האובייקטים הרצויים להקשחה ,תייצר המערכת את קובץ ההקשחה .בנוסף ,המערכת בשלב זה טרם ההקשחה שומרת את כלל תצורת מדיניות ההקשחה לצורך ביצוע חזרה לאחור ( )Undoבעת הצורך. השלב השני ,שלב ההקשחה וניטור חייב להתבצע לאחר שתהליך ההקשחה נבדק היטב .העברה אוטומטית של קבצי המדיניות לשרת (מערכת ההפעלה ,והאפליקציות) והפעלת תהליכי ההקשחה. מיד לאחר מכן מתחילה המערכת לבצע האזנה לאירועי אבטחת מידע הקשורים לפריצת מדיניות אבטחת המידע הקשורה לאובייקטים המוקשחים. במידה ותתבצע פריצת המדיניות על ידי גורם לא מורשה תיעצר הפעולה ויתקבל דיווח על ניסיון הפריצה .במידה והפעולה מורשית יתועד השינוי לצורך תחקור בשלבים מאוחרים. מומחי אבטחה ,מהארגון ,SANSפרסמו מאמר שתיאר מצב שבו המשוואה לצמצום האיום ועמידה ברגולציה הינה פשוטה :ככל שגילוי האיום מהיר יותר וזמן התגובה לשינוי יהיה מידי כך זמן החשיפה לאיום קטנה ותאימות הארגון תשמר. 28 גיליון | 6דצמבר | 2012 תקיפות סייבר ממוקדות מרבית הארגונים עיוורים מיכאל מומצ'וגלוCTO, Light Cyber , ההתקפות שבוצעו בשנתיים האחרונות על מדינות וארגונים בעולם מצביעים על קפיצת מדרגה בתחכום ובפוטנציאל הנזק המשמעותי של תקיפות סייבר ממוקדות .אם בוחנים את ההתקפות הממוקדות כדוגמת אלו שבוצעו על RSA, Lockheed MartinוAramco -אנו רואים קווי דמיון משותפים :התקפה שתוכננה בקפדנות ובוצעה לאורך זמן רב ,שבועות ,חודשים וייתכן שאף יותר מכך ,נזק משמעותי ביותר שנגרם ולא פחות חמור הוא שההתקפה נתגלתה רק לאחר שהנזק האמיתי נגרם. תפיסת ההגנה של ארגונים מורכבת משני שכבות עיקריות: שכבת ה Perimeter -בכניסות לרשת הארגונית: בשכבה זו ממקמים פתרונות Gatewayכגון .Firewall, IDS/IPS, Anti-Malware, Anti-Spam שכבת תחנת הקצה :בשכבה זו מתקינים פתרונות שונים של Anti-Virus/Endpoint securityעל תחנות הקצה. ארגונים גדולים יותר מיישמים תהליכים נוספים על ידי שימוש בפתרונותשאינם מגנים על הארגון באופן ישיר אך מאפשרים לנהל SOC–Security OperationsCenterוצוותי :Incident Response פתרון :SIEMמרכז התרעות מכלל פתרונות אבטחת מידע שמותקנים בארגון ומאפשר הגדרת קורלציות בין ההתרעות שהתקבלו. פתרון :Forensicsמקליט את תעבורת הרשת הפנימית ומאפשר לאנאליסט אבטחת מידע מומחה לשחזר פעולות שנעשו על ידי המשתמשים שונים. הבעיה עם הפתרונות המתוארים ביחס לאיום של תקיפות סייבר ממוקדות היא שפתרונות אלו הם ברובם המכריע מבוססי חתימות וחוקים .פתרונות מבוססי חתימות יעצרו התקפות שמתבססות על נוזקות ידועות .די בשינוי קטן באופן שבו הנוזקה כתובה כדי שהיא תצליח לעקוף את השכבות ההגנה והפתרונות המתוארים .הפתרון היחיד שמאפשר תפיסה של נוזקות לא ידועות הוא פתרון Anti-Malwareמתקדם המבצע ,sandboxingאולם פתרון זה נמצא רק ב- Perimeterוישנן דרכים ידועות לעקוף אותו ולהגיע לרשת הפנימית– כלומר כמו שאר פתרונותה- Perimeterגם הוא לא יכול לתת הגנה הרמטית. פתרונות מבוססי חוקים כגון SIEMוForensics - מצריכים את המשתמש להגדיר מראש מה הוא מחפש .אם שמענו לדוגמא שארגון מסוים הותקף במאפיינים בפרופיל מסויים ,נוכל להגדיר את הפרופיל בפתרון ה SIEM -שלנו ולראות אם הפרופיל המסויים הזה מופיע גם אצלנו. הפרדוקס הוא שאנחנו צריכים לדעת מה אנחנו מחפשים כדי למצוא אותו! הפתרונות המתוארים למעלה יעצרו כנראה 99.9%מהמתקפות אולם לא יעצרו את התוקף הממוקד ששם לו למטרה לחדור לרשת ארגונית מסוימת ללא קשר למשאבים שיידרשו ,כספיים או זמן. התוקף הממוקד ימשיך לנסות פעם אחר פעם וישכלל את כלי החדירה והאמצעים עד שיגיע לרשת הפנימית. מה השתנה בשנתיים האחרונות שמניע את גל המתקפות הממוקדות? 1.1העובדה שזה משתלם.התוקפים מונעים משני גורמים עיקריים :השגת מידע רגיש לצורך סחר ביתרון כלכלי תחרותי או סחר במידע פיננסי רגיש .מטרות משנה כוללות אג'נדה פוליטית או חברתית .תקיפת סייבר היא לרוב הדרך הזולה והפחות מסוכנת להשיג את המידע .קשה מאוד לתפוס את מי שעומד מאחורי התקיפה גם כאשר היא מתגלית ,וכל התהליך נעשה בשלט רחוק מהאינטרנט. 2.2חשיפה של מתקפות ממוקדות מתקדמות כדוגמת Stuxnetמחלחלת עד רמת התוקף הבודד "שהסתפק" עד כה בתקיפות בסיסיות כמו השחתת אתרים או הפעלת .SCRIPTSחשיפת קוד המקור והטכניקות של מתקפות מתקדמות אלו מעלה באופן דרמטי את הרף ונותנים בידי תוקפים בסיס ידע לפיתוח כלי תקיפה שהיו עד כהבידי מדינות. 3.3בורסות של נוזקות וחולשות לא ידועות מאפשרות לתוקפים לקנות בכסף ,בדרך כלל לא גדול כל כך ,יכולות ולשלב אותן בהתקפות ממוקדות. אנטומיה של תקיפת סייבר ממוקדת התוקף הממוקד אשר שם ארגון מסוים על הכוונת ינסה לחדור את הגנות הארגון מספר רב של פעמים ללא מגבלת משאבים של זמן או כסף .התקיפה יכולה להתחיל באימייל תמים למחלקת משאבי אנוש כמענה לתפקיד פתוח בארגון .האימייל יכיל קובץ PDFבתוספתנוזקה לא ידועה שתוכל לעבור את פתרונות ה Perimeter -וה End-point -ותצליח להתבסס על תחנת העבודה של איש משאבי האנוש התמים .בנקודה הזו לתוקף יש למעשה כבר גישה לרשת הארגונית .הוא שולט בתחנת העבודה המסוימת הזו ומסוגל לבצע פעולות שונות בתוך הרשת כאשר הוא מנצל את הרשאות השימוש של משתמש הקצה אשר לא מודע לצל שמלווה את הפעילות הרשתית הרגילה שלו. התוקף יבצע בשלב זה סידרת פעולות מתמשכת ואיטית כדי להתקרב ליעד התקיפה .התוקף יכול לשאוב מידע על משתמשי הרשת ,לגשת מרחוק למחשבים באמצעות ,Remote Desktopלבדוק איזה משאבים משותפים זמינים בתחנות הרשת וכדומה. לאחר שהיעד אותר יתבצע הנזק הכבד שהוא מטרת התקיפה– הזלגת מידע רגיש החוצה, גרימת נזק למידע או לציוד ,שיבוש שירות וכדומה. סיכום במשחק האינסופי של חתול ועכבר ,ארגונים מול תוקפים ,ידו של התוקף היא כרגע על העליונה. תקיפות סייבר ממוקדות מחייבות שינוי מחשבתי בנוגע לשכבות ההגנה שארגונים צריכים לפרוס כדי להגן על עצמם .קו ההגנה האחרון מפני תקיפות ממוקדות הוא הרשת הארגונית הפנימית. Light Cyber מיכאל מומצ'וגלו CTO ,בחברת אשר מתמחה בזיהוי ועצירה של התקפות סייבר ממוקדות ברשת הארגונית. מיכאל מומצ'וגלו ייתן הרצאה בנושא בוועידה השנתית ה 6 -לאבטחת מידע בתאריך .17/1/2013 | גיליון | 6דצמבר 2012 29 בגיליון הבא סקירהטכנולוגית •מפת האיומים של 2013 HTTP Bog •האיומים הבולטים של 2012 מדובר בכלי לביצוע מתקפות מניעת שירות ( )DOSברמת – .HTTPייחודו של הכלי הוא קריאת התגובות מהשרת באופן איטי ועל ידי כך שמירה על מספר גבוה של sockets פתוחים (וזאת בניגוד לכלי תקיפה קלאסיים העושים שימוש בפקודות \GET\HEAD POSTו וכו'). •מלחמת סייבר ממשיכה ניתן להוריד את הכלי בחינם מהאתר: sourceforge.net/projects/httpbog/files •כיצד נלחמים במלחמת סייבר SQLIer •פתרונות אבטחה מסורתיים – פג תוקפן? מדובר בכלי סריקה לאיתור פרצת אבטחה מסוג הזרקת שאילתות (SQL SQL )Injectionבאפליקציות אינטרנטיות .הכלי קל ונוח לתפעול :המשתמש מכניס URL והכלי מבצע את כל ניסיונות התקיפה האפשריים בסיום הסריקה דוח לגבי הממצאים. ע"י הזרקת שאילתות SQL ומייצר הכלי שימושי גם למשתמשי מערכות הפעלה של לינוקס .ניתן להוריד את הכלי מהכתובת הבא: www.brothersoft.com/sqlier-download-372337.html Ill Logger מדובר בלי שהוא למעשה מעין רוגלה ( )Spywareהמוטמע בדפי האינטרנט שאינם מאובטחים .מדובר בקטע קוד קצר היורד באופן נסתר אוטומטית למחשב באמצעות הדפדפן עם הגלישה לאתר הבעייתי .הכלי מתקין עצמו במיקומים שונים במחשב כך שיהיה קשה להסירו ,ומעביר לכתובת דוא"ל שהוגדרה בו מראש את כל הקשות המקלדת שהמשתמש הנפגע (הקורבן) מבצע בעת השימוש בדפדפן ,כגון שמות משתמש וסיסמאות ,כתובות אתרים ,מספרי כרטיסי אשראי ולמעשה כל מידע אישי של המשתמש .מידע זה עלול לשמש את התוקף למטרת סחיטה או גניבה .כלי זה דומה מאוד לכלים רבים נוספים שפועלים באותה השיטה ,חלקם אפילו מהווים אחוז מסויים מתוך קטע קוד זדוני גדול יותר. כדי להתגונן מפני כלי זה ודומיו ,מומלץ לגלוש לאתרים "בטוחים" בלבד (כלומר ,אם הדפדפן מתריע מפני אתר לא מאובטח כדאי לסמוך עליו ולא להמשיך את הגלישה לאתר זה) ,ולעדכן את תוכנת האנטי-וירוס על בסיס יומיומי ולהקשיח ככל הניתן את הגדרות האבטחה של הדפדפן. מידע נוסף על כלי זה והנחיות להסרתו ניתן למצוא בכתובת הבא: http://www.exterminate-it.com/malpedia/remove-ill-logger הערות: הפרטים אודות כלי האבטחה שמפורטים בכל גיליון ,נועדו לצורך הרחבת הידע בלבד .חל איסור שימוש בכלים אלה ,הן בתוך הארגון ,והן על ארגונים חיצוניים ללא קבלת אישור בכתב מגורם מאשר בתוך הארגון .אין הנהלת האיגוד או המערכת של העיתון אחראים על נזק שעלול להיגרם כתוצאה משימוש מזיד בתוכנות אלה. 30 גיליון | 6דצמבר | 2012 האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. בין הכותבים שלנו: ניר ולטמן CISO -בחברת RETALIX דני אברמוביץ -מנכ“ל חברת TITANS SECURITY שלומי מרדכי -מנמ“ר הקריה האקדמית הדס שני -ראש צוות CERTבתהיל“ה אלי כזום -מנהל אבטחת מידע אגף המכס והגבייה מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT אם גם אתם רוצים לכתוב כתבות, נא לפנות אלינו בכתובת[email protected] : למתן חסות לאיגוד ,ניתן לפנות אלינו | גיליון | 6דצמבר 2012 31 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע שם הקורס תיאור הקורס מסלול משך הקורס תאריך פתיחה תעודה מסלול להכשרת מנהלי אבטחת מידע ( )CISOמוסמכים מסלול ייחודי להכשרת מנהלי אבטחת מידע בעל 2הסמכות בינלאומיות. 200שעות ערב 25.03.2013 בינלאומית CISSP מסלול ייחודי להכנה לבחינת ההסמכה 56שעות ערב 24.03.2013 בינלאומית CISSP מסלול ייחודי ארוך במיוחד להכנה לבחינת ההסמכה 100שעות ערב 24.03.2013 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 19.05.2013 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 19.05.2013 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 בינלאומית מסלול להכשרת מנהלי ניהול סיכונים ( )CROמסלול ייחודי להכנה לבחינת ההסמכה 200שעות ערב 24.03.2013 בינלאומית Mobile Forensics מסלול ייחודי להכשרת מומחי ניתוח ממצאים בפלאפונים חכמים, מכשירי ,GPS וטאבלטים. 40שעות ערב 14.04.2013 CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 Cyber Security and Incident Handling מסלול טכנולוגי ייחודי ובלעדי 40שעות ערב 19.05.2013 בינלאומית לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת [email protected] :או לטלפון077-5150340 : לתיאום פגישה וקבלת פרטים נוספים 077-5150340 חייגו: אקדמיה :דוא"ל [email protected] מכירות 054-9844855 :דוא"ל [email protected] www.titans2.co.il | www.ts2.co.il | www.titans2.com
© Copyright 2024