1. No category

‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 12‬אפריל ‪2014‬‬
‫להיות ראשון זה מחייב!‬
‫בנק הפועלים הינו הגוף הראשון‬
‫שהוסמך לתקן סייבר ‪.ISO 27032‬‬
‫מדדים בתחום אבטחת מידע‬
‫תפקידו של ה‪ CISO-‬בעידן הסייבר‬
‫מפת איומים ‪2014‬‬
‫סיכונים במחשוב ענן‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‪n‬‬
‫‪I‬‬
‫דבר נשיא‬
‫האיגוד‬
‫הישראלי‬
‫לאבטחת מידע‬
‫(‪)ISSA‬‬
‫חבר\ה יקרים שלום‪,‬‬
‫אנחנו כבר מתקרבים לאווירת חג פסח‪ ,‬וכבר עשייה רבה‬
‫מאחורינו ולפנינו‪ ,‬ורציתי לשתף אתכם במספר עדוכנים חשובים‪.‬‬
‫בשעה טובה‪ ,‬עלה לאוויר האתר החדש של האיגוד‪ .‬בקרוב יועלו‬
‫לאתר חומרים מקצועיים שיוכלו לשמש את חברי האיגוד ללא‬
‫תשלום נוסף‪.‬‬
‫כמו כן‪ ,‬העלנו לוויר גם את האתר של המגזין המוביל בתחום‬
‫אבטחת המידע בישראל ‪ .GLOBAL SECURITY‬באתר תוכלו למצוא‬
‫כתבות‪ ,‬סיקורים מקצועיים וחדשות בתחום אבטחת המידע עולם‬
‫הסייבר‪.‬‬
‫בקרוב יחלו מבצעים של "חברות שנתית באיגוד" שבהם יוגרלו‬
‫במהלך של מפגש של האיגוד (סדנא‪ ,‬ימי עיון וכנסים) חברות‬
‫שנתית לאיגוד‪.‬‬
‫החברות באיגוד תעניק לכם גישה לחומרים מקצועיים‪ ,‬אפשרות‬
‫להשתתף בסדנאות מקצעויות וימי עיון של האיגוד‪ ,‬וכמובן בכנס‬
‫השנתי שייערך במהלך חודש אוקטובר ‪.2014‬‬
‫השנה נקבעו מספר סדנאות מקצועיות‪ ,‬לחברי האיגוד בלבד‪,‬‬
‫ללא עלות‪ ,‬שמטרתם לסייע לכם ולתת לכם כלים מקצועיים‬
‫להתמודדות עם אירועי סייבר‪ ,‬ואתגרים בעולם אבטחת המידע‪.‬‬
‫במהלך חודש מאי‪ ,‬תיערך סדנא מקצועית בנושא מדדים בתחום‬
‫אבטחת המידע‪ ,‬שמטרתה לסייע לכם בקביעת תוכנית עבודה‬
‫בתחום אבטחת המידע‪ ,‬קביעת מדדים (‪ )KPI‬לצורך מדידת‬
‫האפקטיביות של הבקרות ושל תוכנית העבודה‪ ,‬ושיטות לקבוע‬
‫החזר השקעה (‪ )ROI‬בתחום אבטחת המידע‪.‬‬
‫פרטים נוספים תוכלו למצוא בגיליון הזה‪ .‬נשמח לראתכם‬
‫באירועים הבאים של האיגוד‪.‬‬
‫הסדנא הבאה‪ ,‬שתיערך במהלך חודש יוני‪ ,‬תעסוק בנושא חם‬
‫לא פחות‪ ,‬שהוא ניהול וטיפול באירועי אבטחת מידע (‪Incident‬‬
‫‪ .)Security Handling‬פרטים על כך יישלחו לכם בהמשך במייל‪.‬‬
‫למי שעדיין לא נרשם כחבר באיגוד‪ ,‬אני מזמין אתכם כבר‬
‫להירשם עכשיו‪ ,‬ולהנות ממגוון ההטבות שיהיו לכם במהלך השנה‪.‬‬
‫להזכירכם‪ ,‬הסדנאות הינם ללא תשלום עבור חברי האיגוד‪ ,‬כך‬
‫שניתן להציג בפני הנהלת הארגון שלכם החזר מהיר‪ ,‬הן מבחינת‬
‫הידע המקצועי שתרכשו במהלך הסדנאות‪ ,‬והן מבחינת הכלים‬
‫המקצועיים שיוענקו לכם במהלך הסדנאות‪.‬‬
‫בכבוד רב‪,‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד העולמי לאבטחת מידע (‪ - )ISSA‬הציאפטר‬
‫הישראלי‬
‫‪2‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫דבר העורך‬
‫נושא הסייבר הולך ומתאפיין כנושא‬
‫ייחודי ומשמעותי בתחום אבטחת‬
‫המידע‪ .‬הוא מתאפיין במניעים‬
‫אחרים משהכרנו‪ ,‬שיטות תקיפה‬
‫וסוגי תוקפים ייחודיים‪.‬‬
‫הפרשיות שממשיכות להיחשף מדי‬
‫יום לעין הציבור מעידות שוב‪ ,‬כי אבטחת המידע הרגיש‪ ,‬אשר מכיל‬
‫נתונים על כמעט כל אחד מאיתנו (צנעת הפרט‪ ,‬נתונים פיננסיים‪,‬‬
‫וכו') חשופים יותר מתמיד‪ ,‬וזה כבר לא נחלתם רק של ארגונים‬
‫גדולים‪ ,‬אלא גם האזרח הקטן יכול להיפגע מכך‪.‬‬
‫אין ספק שניתן להכתיר את שנת ‪ 2014‬כשנת סייבר‪ ,‬אשר תמשיך‬
‫ותשגשג‪ ,‬ולצערנו אף נזכה לראות מתקפות מתוחכמות‪ ,‬ונקרא‬
‫על עוד מתקפות סייבר‪ ,‬ועוד ארגונים ברחבי העולם אשר נפלו‬
‫קורבנות למלחמת הסייבר שמתחוללת בעולם‪.‬‬
‫מצד אחד‪ ,‬מנהלי אבטחת המידע ימשיכו להיות מאותגרים‬
‫מבחינת התמודדות עם איומי הסייבר הושונים‪ ,‬ומצדו השני‪,‬‬
‫הספקים‪ ,‬ינסו לסייע להם ע"י הספקת טכנולוגיות חדישות‬
‫שאמורות לנטר‪ ,‬לאתר ואף לנסות לחסום את מתקפות הסייבר‬
‫העתידות לבוא‪.‬‬
‫זהו מרדף אין סופי‪ ,‬שבו עד כה‪ ,‬ניתן לראות יתרון מהותי לצד‬
‫התוקף‪ ,‬אל מול נחיתות במצד הנתקף‪ ,‬וזה עתיד להישאר אותו‬
‫הדבר‪ ,‬אם מנהלי אבטחת המידע בארגונים לא יתעוררו ויבינו‬
‫שנדרש שינוי תפיסתי‪ ,‬מבחינת ההתמודדות עם איומי הסייבר‪,‬‬
‫וכי הטמעת פתרונות טכנולוגיים בלבד‪ ,‬אינם פותרים את הבעיה‪.‬‬
‫מה בגיליון?‬
‫ בניית מערך אבטחה פיזית‬
‫ תקנים ורגולציות‬
‫ תפקידו של ה‪ CISO-‬בעידן הסייבר‬
‫ מהו פיתוח מאובטח‬
‫ חדשות סייבר‬
‫ מדדי אבטחה‬
‫ סיכונים במחשוב ענן‬
‫ ‪ ITIL‬כמינוף עסקי‬
‫ מפת איומים ‪2014‬‬
‫על מנת להתמודד עם איומי הסייבר‪ ,‬יש צורך בשינוי חשיבה‪ ,‬שינוי‬
‫בתפיסת ניהול מערך ההגנה בארגון‪ ,‬והיערכות מחודשת של כלל‬
‫הארגון‪ ,‬החל מהשכבה האנושית (מהמנכ"ל ועד אחרון העובדים)‪,‬‬
‫ועד לאבטחה הפיזית של הארגון‪ ,‬תוך התייחסות מירבית ליישום‬
‫בקרות טכנולוגיות חדישות וגיבוש נהלי תפעול למערכות הללו‪.‬‬
‫כל עוד לא יתבצע שינוי בתפיסה‪ ,‬אנו נמשיך לקרוא על עוד חנות‬
‫שנפלה קורבן למזימת סייבר קטלנית‪ ,‬שבה נגנבו מיליוני מספרי‬
‫כרטיסי אשראי‪.‬‬
‫מלחמת הסייבר החלה כבר מזמן‪...‬והיא מתחוללת ממש מתחת‬
‫לאף שלנו‪.‬‬
‫זהו מירוץ אינסופי‪ ,‬כאשר התוקף בהחלט נוסע במכונית מירוץ‪,‬‬
‫ומנהל אבטחת המידע נוסע בכרכרת סוסים‪...‬‬
‫עורך ראשי‪ :‬אלדד משולם‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪TITANS SECURITY GROUP :‬‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫דוא"ל‪info@issa. org. il :‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫בכבוד רב‪ ,‬אלדד משולם‪ ,‬העורך הראשי של המגזין‪.‬‬
‫נשמח לקבל הצעות לכתבות‪ ,‬הערות והארות‪.‬‬
‫ניתן לשלוח לנו מייל למערכת לכתובת‪.info@titans2. com :‬‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪3‬‬
‫"ניהול שירותי ‪ IT‬זו כבר לא‬
‫אפשרות – כי אם חובה‪,‬‬
‫זה מחויב מציאות‪" .‬‬
‫‪ ITIL‬כמינוף עסקי‬
‫מערכי ה‪ IT-‬נמצאים כיום מתמודדים מול אתגר לא פשוט – הם גדולים ומורכבים מדי ואי אפשר לנהלם‬
‫בשיטות העבר‪ .‬לכן נדרשים ‪ – ITIL‬שיטת עבודה‪ ,‬תהליכי עבודה‪ ,‬סט כלים ונהלים‪ ,‬אשר מאפשרים להגדיר‬
‫את תהליך ניהול תשתיות ה‪ IT-‬בארגון‪.‬‬
‫ניהול עסק מחייב הקצאת המשאבים הנכונים‬
‫למשימות המועדפות בזמן הנכון‪ .‬כאשר מנהלי ‪IT‬‬
‫כעסק נדרשת היכולת לנהל ולבקר את השינויים‬
‫המשפיעים על "השורה התחתונה" בזמן אמיתי‪.‬‬
‫כיום‪ ,‬יותר מבעבר קיימת ציפייה מטכנולוגיית‬
‫המידע לאפשר לארגון להיות יותר יעיל ואפקטיבי‬
‫בעסקיו‪ .‬הלקוחות והצרכנים של שירותי ‪ IT‬מנוסים‬
‫יותר ויודעים להציב דרישות אמיתיות מספקי‬
‫השירות שלהם‪ .‬במקביל‪ ,‬נדרשים גופי ה‪IT-‬‬
‫להגדיל ערך ולהבטיח את החזרי ההשקעות‬
‫בהם (‪.)ROI‬‬
‫ארגון ה‪ ,IT-‬אינו עוד ארגון של "‪ ,"Back office‬אלא‬
‫ארגון העומד בחזית של ביקושים הולכים וגדלים‬
‫עם הזמן לפתרונות ושירותים‪.‬‬
‫‪4‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫מרכז ה‪ IT-‬הפך למרכז מערכת העצבים של כל‬
‫חברה גלובאלית‪ ,‬בין אם מדובר במערכת הזמנות‬
‫מקוונת של חברות תעופה או במערכת לניהול‬
‫שרשרת האספקה ומלאי של חברה קמעונאית‪,‬‬
‫השרות שגופי ה‪ IT-‬מספקים מהותי להצלחה‬
‫העסקית של החברה כולה‪ .‬יכולת הספקת שירותי‬
‫‪ IT‬איכותיים ועקביים בסקלה גלובאלית דורשת‬
‫מכל השותפים במתן השירות שידברו באותה‬
‫שפה ויעשו שימוש בהגדרה זהה של תהליכים‬
‫המנהלים את ה‪.IT-‬‬
‫זו הסיבה של ה‪ ,ITIL-‬מהווה אבן יסוד באופן בו‬
‫מנוהלים עסקי ה‪ IT-‬בארגונים‪.‬‬
‫כדי להסב את ארגון ה‪ IT-‬לארגון גמיש (‪)Agile‬‬
‫המסוגל להגיב במהירות לדרישות עסקיות‬
‫משתנות‪ ,‬נדרשת יכולת להקצאת משאבים‬
‫מוגבלים בזמן הנכון ובכמות הנכונה‪ ,‬היינו נדרש‬
‫"מנצח" מוכשר להנחות את "נגני תזמורת" ה‪IT-‬‬
‫להשגת ה"הרמוניה" באספקה איכותית ורציפה‬
‫של שירותים הנדרשים ע"י העסקים‪.‬‬
‫המסגרת המוצעת ע"י ‪ ITIL‬היא המאפשרת לארגון‬
‫להסב עצמו לדרגת הגמישות הנדרשת‪ .‬זוהי‬
‫מסגרת של אוסף פירסומים מלא המכיל "ביצוע‬
‫מיטבי" (‪ )Best Practices‬לתכנון וניהול של שירותי‬
‫‪ .IT‬ניהול השירות (‪ – )Service Management‬נמצא‬
‫במיקוד האוסף ומאפשר השגת איכות ועקביות‬
‫בארגונים מורכבים‪.‬‬
‫בארגונים רבים בארץ ובחו"ל‪ ,‬אומצו תהליכי‬
‫ניהול השירות של ‪ ITIL‬והוכיחו לאורך הזמן את‬
‫השפעתם על שיפורים מהותיים ברמת השירות‬
‫ובשביעות הרצון של הלקוחות‪.‬‬
‫כחלק ממסגרת העבודה ומקצה השיפורים‬
‫המהווה את אחד התוצרים של אימוץ מסגרת‬
‫‪ ,ITIL‬ניתן לראות פרמטרים כגון‪:‬‬
‫שיפור יחס העלות לעומת האפקטיביות של‬
‫אספקת השירות מושג ע"י‪:‬‬
‫ •בניית מודל גלובאלי ועקבי המבוסס על‬
‫תהליכי ‪ ITIL‬סטנדרטיים וכלים התומכים בו‪.‬‬
‫ •בניית מערך מדדים (‪ )KPI‬לחיזוי התפוקות‬
‫ובקרת התוצאות של תהליכים ופעילויות‬
‫המאפשר קבלת החלטות המבוססות על‬
‫עובדות מדידות‪.‬‬
‫ •הגברת השימוש והמינוף של הנכסים הקיימים‬
‫בארגון‪.‬‬
‫ •הורדת עלויות העבודה ע"י הכנסת תהליכים‬
‫אוטומטיים לניטור ובקרה‬
‫שיפור האיכות של השירות המסופק ע"י‪:‬‬
‫ •פיתוח תרבות של שיפור מתמיד‪.‬‬
‫ •הכנסת תהליכים עקביים במתן השירות‪.‬‬
‫ •שיפור השירות וזמני התגובה מול הלקוח‬
‫הסופי‪.‬‬
‫התבססות על מודלים סטנדרטיים למתן השירות‬
‫ע"י‪:‬‬
‫ •התאמה ל"ביצוע מיטבי" לפי ‪.ITIL‬‬
‫ •התבססות על מוצרים טכנולוגיים‬
‫‪ "Breed‬לתמיכה בתהליכים‬
‫"‪Best of‬‬
‫ •שילוב תהליכי השירות עם תהליכי הפיתוח‬
‫והניהול‬
‫ה‪ ITIL-‬הפך למגמה עולמית‪ ,‬עם אחוזי אימוץ‬
‫הולכים וגדלים בארה"ב ובאירופה‪ ,‬וכעת – גם‬
‫בישראל‪ ITIL .‬הפך מתקן הלכה למעשה לתקן‬
‫אמיתי ומחייב – ‪ .ISO 20000‬לא רק ספקי תוכנה‬
‫מתאימים את צוצריהם ל‪ ,ITIL-‬כי אם ארגונים‬
‫שלמים מאמצים תהליכי עבודה ממוקדי שירות‪.‬‬
‫ניתן להגדיר את ניהול שירותי ה‪ IT-‬כ"מערך‬
‫של תחומים‪ ,‬המשלב בין אנשים‪ ,‬תהליכים‪,‬‬
‫שותפים וכלים‪ .‬את כל אלה יש לתזמר יחדיו‪,‬‬
‫כדי לקדם ולשפר את מערך ה‪ .IT-‬נדרש להביא‬
‫את האנשים ביחד למצב של שיתוף ידע וניסיון‪.‬‬
‫זול יותר ללמוד מטעויות שעשו אחרים מאחשר‬
‫לעשות את הטעויות הללו בעצמך‪ .‬המטרה היא‬
‫להביא להעלאת רמת האיכות של שירותי ה‪IT-‬‬
‫המסופקים ללקוחות‪.‬‬
‫ה‪ ITIL-‬מהווה אסופת ניסיונות עבר‪ ,‬שנצברו‬
‫בארגונים שונים‪ ,‬ומהם ניתן להפיק ידע‪ ,‬שאפשר‬
‫ליישמו בארגון‪ .‬יישום ‪ITI‬ך מניב ערך‪ .‬ארגונים‬
‫שהטמיעו את המתודה הפיקו תועלות מדידות‬
‫ומוחשיות‪.‬‬
‫יתרון נוסף‪ ,‬נובע מכך שבשל מימוש המתודה‪ ,‬ניתן‬
‫להגיע להפחתה משמעותית של זמני נפילות של‬
‫מערכות המחשב בארגון‪.‬‬
‫ארגונים בעולם דיווחו על שיפור מתמשך בתהליכי‬
‫ה‪ IT-‬הארגוניים בעקבות הטמעת ‪ ,ITIL‬הם דיווחו‬
‫על חיסכון בהוצאות ה‪ ,IT-‬העלו את רמת חיזוי‬
‫התוצאות העסקיות שלהם והגדילו את מהירות‬
‫הפיתוח‪.‬‬
‫ניהול שירות ‪ IT‬הוא פעולה הגוזל אנרגיה‪,‬‬
‫משאבים ארגוניים‪ ,‬כספיים ואנושיים‪ ,‬ולכן שיפורה‬
‫מביא לתועלות מרובות‪ .‬ניהול שירותים זה לא‬
‫פרויקט‪ ,‬כי אם שיפור מתמשך‪ .‬שירותי המידע‬
‫הם חיוניים לעסק‪ ,‬ונדרש מהמנמרים להבין את‬
‫ההיבטים העסקיים של הארגון מקצה לקצה‪ ,‬על‬
‫מנת לספק שירותי ‪ IT‬ושירותי ניהול ‪ IT‬מיטביים‪.‬‬
‫ניהול שירותי ‪ IT‬זו כבר לא אפשרות – כי אם חובה‪,‬‬
‫זה מחויב מציאות‪.‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪5‬‬
‫אתגרי אבטחת מידע ופרטיות שכיחים‬
‫בסביבת ‪IoT‬‬
‫"אינטרנט של הדברים"‪-‬‬
‫‪Internet of Things‬‬
‫מאת‪ :‬יובל סיני‬
‫‪( )Internet of Things) IoT‬בעברית‪" :‬אינטרנט של הדברים") הינו קונספט לאינטגרציה מתקדמת בה‬
‫מוצרים‪ ,‬רכיבי חומרה‪ ,‬רכיבי תוכנה ואדם "מדברים" ביניהם על גבי תשתית האינטרנט‪.‬‬
‫כך לדוגמא‪ ,‬ניתן לזהות היום עליה בשכיחות‬
‫פתרונות "בית חכם" (‪ ,)Smart Home‬אשר כוללים‬
‫תהליכי לימוד התנהגות (‪ )User Behavior‬של‬
‫בעלי הדירה‪ ,‬ובכך לאפשר התאמה אוטומטית של‬
‫סביבת הבית לצרכיו ורצונותיו של בעלי הדירה‪.‬‬
‫דוגמא אחרת הינה "מקררים חכמים" אשר יש‬
‫ביכולתם להתריע אוטומטית לסופרמרקט הקרוב‬
‫על העדר במצרכים (בהתאם ל ‪ Baseline‬מוגדר‬
‫מראש)‪ ,‬וביצוע פעולת רכישה אוטומטית בשם‬
‫הלקוח‪.‬‬
‫למרות היתרונות הגלומים בקונספט ה‪ IoT-‬ניתן‬
‫לאתר מספר אתגרים מהותיים בתחומי הגנת‬
‫הפרטיות ואבטחת המידע‪ .‬כמו כן‪ ,‬לאור העובדה‬
‫כי רכיבי ‪ IoT‬מתקדמים כוללים כיום יכולת ליצירת‬
‫חברות אוטומטית ברשתות חברתיות של הדברים"‬
‫ ‪ )SIoT) The Social Internet of Things‬אתגרים‬‫אלו מתעצמים וגדלים‪ .‬בנוסף‪ ,‬צפויה אינטגרציה‬
‫בין ה‪ SIoT -‬ל"רשתות החברתיות האנושיות"‪ ,‬דבר‬
‫אשר עשוי לעלות אף מספר דילמות אתיות‪ ,‬וזאת‬
‫מעבר לסוגיות אבטחת מידע ופרטיות‪.‬‬
‫חברות שונות‪ ,‬כדוגמת חברת סיסקו חוזות כי‬
‫בשנת ‪ 2020‬יהיו מעל ל ‪ 20‬מיליארד רכיבי ‪IoT‬‬
‫בעולם‪ .‬לפיכך ניתן ללמוד‪ ,‬כניסת פתרונות‬
‫‪)BYOIoT) Bring Your Own Internet Of Things‬‬
‫לחלק ניכר מהארגונים הינה עניין של זמן בלבד‪.‬‬
‫מכיוון שכך‪ ,‬ראוי כי מנהלי אבטחת מידע‪,‬‬
‫יועצי ואנשי אבטחת מידע‪ ,‬רגולטורים‪ ,‬וכדומה‬
‫יכירו את האתגרים השכיחים בעת אימוץ ‪IoT‬‬
‫מבעוד מועד‪ ,‬וזאת על מנת להכין את הארגון‬
‫באופן מיטבי לאימוץ רכיבי ה‪ .IoT-‬ואקדים‬
‫את המאוחר ואציין כי בדומה לתופעת ה‪-‬‬
‫‪ )BYOD) Bring Your On Device‬אשר נהפכה דה‪-‬‬
‫פקטו לעובדה מוגמרת בחלק ניכר מהארגונים‪,‬‬
‫סביר להניח אף תופעת ה‪ IoT-‬תיהפך לעובדה‬
‫מוגמרת בחלר ניכר מהארגונים‪ ,‬והדרך הנכונה‬
‫למשנתי למרבית הארגונים הינה להתכונן‬
‫למציאות החדשה‪ ,‬ולא להתנגד לה‪.‬‬
‫ניתן למנות מספר אתגרים שכיחים בנושא אבטחת‬
‫מידע ופרטיות בסביבת ה‪:IoT-‬‬
‫ראשית כל‪ ,‬מכיוון שרכיבי ה‪ IoT-‬יכללו אינטגרציה‬
‫נרחבת‪ ,‬סביר להניח כי השימוש בשירותי ‪Cloud‬‬
‫‪6‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫למיניהן ילך ויגבר‪ .‬הדבר יכלול שירותים בסיסים‬
‫כדוגמת ‪ ,GPS‬וכלה בחברות אוטומטית של ה‪IoT-‬‬
‫ב‪ SIoT -‬אשר ינוהלו מחוץ לארגון ע"י ספק לא‬
‫מוכר‪ .‬לאור העובדה כי מרבית הציבור בתחום‬
‫המחשוב מכיר כיום את האתגרים הנובעים‬
‫מעבודה בסביבת ‪ ,Cloud‬ומכיוון שקצרה היריעה‬
‫מלכסות נושא זה‪ ,‬מאמר זה לא יכלול התייחסות‬
‫פרטנית לנושא זה‪.‬‬
‫כפי שצוין קודם לעיל‪ ,‬חלק מרכיבי ה‪ IoT-‬יאמצו‬
‫"זהות וירטואלית" ברשתות חברתיות אנושיות"‪,‬‬
‫דבר אשר יעלה לדיון את השאלה האם הצד‬
‫"לשיחה" הינו "אדם" או "מכונה"‪ .‬לאור העובדה‬
‫כי ישנה צמיחה גוברת והולכת בתחומי "המציאות‬
‫המדומה" ו"האינטליגנציה המלאכותית" תידרש‬
‫דרך ייחודית ובלתי ניתנת לזיוף ושינוי כי הצד‬
‫"לשיחה" הינו "אדם" או "מכונה"‪ .‬לכאורה נראה‬
‫כי מדובר באתגר פשוט אשר זכה למענה ע"י‬
‫התקנים השכיחים בתחום ניהול זהויות גישה –‬
‫‪ ,)IAM) Identity Access Management‬אך בפועל‬
‫ניתן לראות מדובר בזהות מורכבת אשר יוצרת‬
‫‪ Links‬בין מרחבי זמן‪ ,‬מקום ומגוון ישויות \ "זהויות‬
‫וירטואליות"‪ .‬כך לדוגמא‪ ,‬רכיב ‪ IoT‬יכול להיות‬
‫ספק מידע ב ‪ ,SIoT‬אך ב ‪ SIoT‬אחר הוא יכול לבצע‬
‫פעולה בשם אדם פלוני ו\או להעביר מידע לגבי‬
‫אותו אדם פלוני‪.‬‬
‫אתגר נוסף הינו סוגי המידע שרכיבי ה‪ IoT-‬יוכלו‬
‫לחלק ביניהם לבין רכיבי ‪ IoT‬זרים‪ ,‬ואף עם ‪SIoT‬‬
‫ו"רשתות חברתיות אנושיות"‪ .‬לאור העובדה כי‬
‫מרבית הציבור כיום מאשר כמעט אוטומטית‬
‫מתן הרשאות יתר לאפליקציות בסביבת מובייל‪,‬‬
‫סביבת ה‪ IoT-‬יכולה להביא לזליגה של מידע‬
‫אישי נרחב‪ .‬כך לדוגמא‪ ,‬יכולת גנב להפיק מידע‬
‫מסנסור ‪ IoT‬האם ישנם אנשים בבית‪ ,‬מפשט‬
‫הלכה למעשה את פעילותם של גורמים עוינים‪.‬‬
‫אתגר אחר הינו התמודדות עם מתקפות ‪,DDOS‬‬
‫אשר מטרתן השבתת שירותים‪ .‬מכיוון שמרבית‬
‫רכיבי ה‪ IoT-‬בעלי תקשורת קבועה לאינטרנט‪,‬‬
‫מתקפת ‪ DDOS‬פשוטה עשויה להשבית את‬
‫פעילותם של רכיבי ה‪ IoT -‬החולקים ערוץ‬
‫תקשורת משותף לאינטרנט‪ .‬ליתר לציין כי תוצאה‬
‫זו עשויה להשבית את תכלית ה‪ IoT-‬בארגון ו\או‬
‫בביתו של פלוני‪.‬‬
‫כמו כן‪ ,‬אחת הסוגיות המהותיות הינה יכולה‬
‫עמידות מערכת ההפעלה של רכיבי ה‪ IoT-‬בפני‬
‫התקפות שונות‪ .‬כך לדוגמא‪ ,‬חברת אבטחת‬
‫המידע ‪ Proofpoint‬הציגה לאחרונה כי הצליחה‬
‫לנצל פגיעות ברכיבי ‪ IoT‬לשם שליחת כ ‪750000‬‬
‫הודעות דואר אלקטרונית של ‪ Spam‬ו ‪.Phishing‬‬
‫ובמילים אחרות‪ ,‬רכיבי ה‪ IoT-‬נהפכו ע"י החברה‬
‫ל ‪ ,Bots‬דבר אשר אפשר לחברה להדגים ביצוע‬
‫מתקפה רחבת היקף‪.‬‬
‫מכיוון שעדיין לא הומצאה מערכת הפעלה אשר‬
‫עמידה בפני כל המתקפות (‪,)Bullet Shilled OS‬‬
‫ולאור העובדה כי מערכות ההפעלה בסביבת‬
‫ה‪ IoT-‬הינן מערכות הפעלה "רזות" במיוחד (דבר‬
‫המונע התקנת רכיבי הגנה מתקדמים מעבר‬
‫לרכיב ‪ Firewall‬בסיסי הנכלל בד"כ במערכת‬
‫ההפעלה)‪ ,‬ישנו צורך לעדכן את מערכות‬
‫ההפעלה של רכיבי ה‪ IoT-‬באופן מידיי‪ .‬עם זאת‪,‬‬
‫לאור העובדה כי רק ספק ה‪ IoT-‬יכול לייצר עדכוני‬
‫אבטחת מידע למערכת ההפעלה‪ ,‬ישנה תלות‬
‫גבוהה של הארגון ביצרן ה‪ .IoT-‬קל וחומר כי נושא‬
‫הפצת עדכוני אבטחת המידע ואימות כי העדכונים‬
‫הופצו בהצלחה מהווה אתגר בפני עצמו‪.‬‬
‫אתגר אחרון שאכלול במאמר זה הינו פגיעות‬
‫אפשרית של פרוטוקולי התקשורת והאפליקציה‪.‬‬
‫פרוטוקולי התקשורת והאפליקציה ניתנים‬
‫לחלוקה ע"פ מספר משפחות‪Discovery, :‬‬
‫‪( Monitoring, Data Transport, Management‬וזאת‬
‫מעבר לנושא ה‪ IAM-‬אשר נסקר קודם לעיל)‪.‬‬
‫לאור העובדה כי הכון לזמן כתיבת מאמר זה אין‬
‫עדיין סטנדרטים אחידים בתחום‪ ,‬ניתן ללמוד כי‬
‫ישנה אי תאימות מסוימת בין יצרנים שונים‪ ,‬דבר‬
‫אשר מצד אחד מנוע "קישוריות" בין יצרן ‪ IoT‬אחר‬
‫לאחר‪ ,‬ומצד שני הדבר מונע הגדרת ‪Security‬‬
‫‪ Framework and Management‬אחיד בין היצרנים‪.‬‬
‫לסיכום‪ ,‬מאמר זה סקר את האתגרים השכיחים‬
‫בסביבת ה‪ .IoT-‬עם זאת‪ ,‬לאור העובדה כי ישנה‬
‫גדילה בשוק זה‪ ,‬סביר להניח כי יתגלו בתקופה‬
‫הקרובה אתגרים נוספים אשר לא נכללו‬
‫במאמר זה‪ .‬כמו כן‪ ,‬ישנה חשיבות למשנתי כי‬
‫מנהלי אבטחת מידע‪ ,‬יועצי ואנשי אבטחת מידע‪,‬‬
‫רגולטורים‪ ,‬וכדומה יכירו את האתגרים השכיחים‬
‫בעת אימוץ ‪ IoT‬מבעוד מועד‪ ,‬וזאת על מנת להכין‬
‫את הארגון באופן מיטבי לאימוץ רכיבי ה‪.IoT-‬‬
‫קבוצת טייטנס סקיוריטי פיתחה את‬
‫המסלול המוביל בעולם‬
‫אבטחת המידע והסייבר‬
‫‪Cyber Security‬‬
‫‪& Incident Management‬‬
‫‪ Titans Security‬פיתחה את המסלול המוביל בעולם הסייבר וניהול אירועי אבטחת מידע‪.‬‬
‫מדובר במסלול ייחודי ובלעדי המכשיר את הבוגרים בהתמודדות יעילה עם עולם הסייבר‪.‬‬
‫בוגרי הקורס ירכשו את הידע ויקבלו את הכלים בהתמודדות עם אירועי סייבר שונים‪.‬‬
‫במסגרת הקורס הבוגרים ילמדו מתודולוגיות לזיהוי‪ ,‬טיפול וניהול אירועי אבטחת מידע‪.‬‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫למה כדאי ללמוד אצלנו?‬
‫• לכל תלמיד בונים פרופיל לימוד אישי • ‪ Networking‬עם מיטב הבכירים‬
‫במשק הישראלי‪.‬‬
‫בהתאם לתוצאות הבחינות דמה‪.‬‬
‫• הצלחה בטוחה ‪ -‬למעלה מ‪98%-‬‬
‫• חברות שנתית באיגוד העולמי‬
‫הצלחה בבחינות הגמר‪.‬‬
‫לאבטחת מידע ‪ ISSA‬ובאיגוד‬
‫הישראלי‪.‬‬
‫• מיטב המרצים בתעשייה הישראלית‬
‫והבינלאומית‪.‬‬
‫• ערכות לימוד ייחודיות ובלעדיות‪.‬‬
‫• תרגול מעשי רב ומגוון בנושאים‬
‫העכשוויים‪.‬‬
‫והדבר הכי חשוב!!!‬
‫היות ואנו בטוחים בהצלחה שלנו‪ ,‬אנו מציעים‬
‫לכלל התלמידים הטבות נוספות‪:‬‬
‫לא עברת את הבחינה?‬
‫קבל קורס חוזר ב‪50%-‬‬
‫(ללא אותיות קטנות)‬
‫עברת את הבחינה?‬
‫קבל זיכוי של עלות הבחינה‪ ,‬לניצול בקורס‬
‫הבא במכללת ‪.Titans Security‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫למידע נוסף וקביעת פגישת ייעוץ‪:‬‬
‫ייעוץ אקדמי ‪Ts-academy@Titans2. com | 077-5150340 :‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪7‬‬
‫האיגוד העולמי לאבטחת מידע‬
‫(‪– )ISSA‬הצ'אפטר הישראלי‬
‫קורס ‪CISO‬‬
‫האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו‬
‫העיקרית היא קידום נושא אבטחת המידע בישראל‪ ,‬בכל ההיבטים‪.‬‬
‫אודות גיליון ‪Global Security‬‬
‫למה כדאי לחפש מידע במגזין שלנו‬
‫ולא למשל ב‪ Google-‬או כל עיתון אחר?‬
‫חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה‪ ,‬כגון הרצאות‬
‫מקצועיות‪ ,‬ימי עיון‪ ,‬חומרים מקצועיים‪ ,‬ועוד‪ .‬כיום‪ ,‬חברים באיגוד כמה מאות‬
‫מקצועני אבטחת מידע‪ ,‬ואנו שואפים לגייס את כלל קהילת ה‪ IT-‬בישראל‪.‬‬
‫בנוסף‪ ,‬חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של ‪–Global Security‬‬
‫המגזין המוביל בישראל בתחום אבטחת המידע‪.‬‬
‫‪e‬‬
‫‪S e c‬‬
‫‪u r i‬‬
‫‪t y‬‬
‫‪M a g‬‬
‫‪a z i‬‬
‫‪n e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪I n f‬‬
‫‪o r m‬‬
‫‪a t i‬‬
‫‪o n‬‬
‫מגזין א בטחת‬
‫מגזין אב‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‬
‫•מיקוד בתחום אבטחת המידע – המגזין‬
‫עוסק אך ורק בתחום אבטחת המידע‬
‫וניהול סיכונים‪.‬‬
‫‬
‫•יותר כתבות מקצועיות ופחות תדמיתיות‬
‫– רוב המגזינים כיום יותר תדמיתיים‪,‬‬
‫ופחות מקצועיים‪ .‬אנו שומרים על רמה‬
‫מקצועית‪ ,‬וכמות מינימאלית של כתבות‬
‫תדמית‪.‬‬
‫‪n‬‬
‫מידע וניהול‬
‫סיכונים | גיליון מס' ‪4‬‬
‫| אוגוסט ‪2012‬‬
‫| יולי ‪2012‬‬
‫גיליון מס' ‪3‬‬
‫יהול סי כונים |‬
‫‪I‬‬
‫‬
‫•השוואתיות – מאפשר השוואה פשוטה‬
‫ואובייקטיבית בין הספקים והפתרונות‪.‬‬
‫‬
‫•היקף מידע – תמונה רחבה יותר‪ ,‬ולא רק‬
‫התמקדות בנושאים ספציפיים‪.‬‬
‫‪Identity M‬‬
‫‪anagemen‬‬
‫‪t‬‬
‫‬
‫נתי של האיגוד‬
‫קור הכנס הש‬
‫סי‬
‫בעולם הסייבר‬
‫מגמות‬
‫ערכות ‪SIEM‬‬
‫מ‬
‫ערכות ‪IPS‬‬
‫מ‬
‫זהירות בוטנט‬
‫•תשלום סמלי – מדובר בעלות סמלית‪,‬‬
‫והנכם מנויים למגזין אבטחת המידע‬
‫המוביל בישראל‬
‫‬
‫•מקצועני אבטחת מידע – כל הכותבים‬
‫שלנו עוסקים בתחום אבטחת המידע‬
‫למעלה מ‪ 7-‬שנים‪ ,‬והם בכירים בתחום‪,‬‬
‫ברמה העולמית‪.‬‬
‫טחת מידע ונ‬
‫בשער‬
‫מלחמת‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫תלמד • תוביל • תצליח!‬
‫סייבר‬
‫האיום‬
‫החדש בעידן הסייבר‬
‫מתקפות ‪APT‬‬
‫הגנה על מערכות‬
‫‪SCADA‬‬
‫אחת לרבעון – מוסף מיוחד‬
‫מה הערך המוסף שלנו?‬
‫בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה‬
‫שלכם לכמה ספקים בהתאם להוצאת ‪ RFI/RFP‬מהחברה‪ .‬אנו מרכזים עבורכם את כל‬
‫המידע המקצועי המקיף ביותר‪ ,‬ובר השוואה אודות הפתרונות אבטחת המידע השונים‪,‬‬
‫באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי‪:‬‬
‫‪ .1‬סקירה טכנולוגית רחבה אודות הפתרון‬
‫שמחפשים‬
‫‪ .2‬סקירת הפתרונות בתחום הספציפי‪.‬‬
‫‪ .3‬מי הם הספקים המובילים בתחום?‬
‫‪ .5‬פרטי החברה של היצרן‪/‬ספק‪/‬האינטרגטור‪:‬‬
‫שם‪ ,‬מספר עובדים‪ ,‬שנת הקמה‪ ,‬יתרונות‬
‫וחסרונות‪ ,‬סוגי פעילות בחברה‪ ,‬נושאים \תחומי‬
‫פעילות והתמחות‪ ,‬קישורים‪ ,‬מידע טכנולוגי‪ ,‬איש‬
‫קשר‪ ,‬חוסן כלכלי‪ ,‬לקוחות בארץ‪ ,‬לקוחות בחו"ל‪,‬‬
‫תוכניות הרחבה למוצר‪ ,‬מספר התקנות בארץ‬
‫‪ .6‬מה הערך המוסף של כל ספק בתחום‬
‫הפתרון המוצע?‬
‫‪ .7‬כיצד מנהלים את הפרויקט?‬
‫‪ .8‬מהם נקודות כשל בפרויקט שמהם צריכים‬
‫להיזהר?‬
‫‪ .9‬מה צריכים לדרוש מהספקים בעת יציאה‬
‫למכרז?‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את‬
‫הנושאים השונים תוך מתן‬
‫המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של‬
‫הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים‬
‫מובנה)‪ ,‬וכמובן נצייד את התלמידים בכל הכלים‪ ,‬הן‬
‫בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪ ,‬שכל מנהל‬
‫אבטחת מידע צריך כדי לשרוד בתפקידו‪ .‬הקורס‬
‫חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן בפן‬
‫הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה לכל‬
‫מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית‬
‫וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת‬
‫המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫שיטת הלימוד‬
‫‬
‫‬
‫‬
‫•הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומן בארגון‬
‫•הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫•הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫למידע‪ ,‬ייעוץ והרשמה‬
‫ניתן לפנות לטלפון ‪077-5150340‬‬
‫דוא"ל‪Ts-Academy@titans2. com :‬‬
‫‪www. titans2. com | www. ts2. co. il | www. titans2. co. il‬‬
‫מהו קוד פתוח?‬
‫תוכנת קוד פתוח היא תוכנה אשר קוד המקור‬
‫שלה מופץ בצורה פתוחה ונגישה לכלל קהילת‬
‫המפתחים‪ ,‬כאשר ניתן לערוך וליצור גרסאות‬
‫חדשות שלו‪ ,‬והכול ללא תשלום דמי רישיון‪.‬‬
‫את המונח תוכנה חופשית טבע ריצ'רד סטולמן‬
‫אשר ייסד את פרויקט ‪ GNU‬ואת המוסד לתוכנה‬
‫חופשית (‪ .)Free Software Foundation‬המונח קוד‬
‫פתוח מגיע מארגון יוזמת הקוד הפתוח (‪Open‬‬
‫‪,)Source Initiative‬‬
‫מי עושה שימוש בקוד‬
‫פתוח?‬
‫לאחרונה פורסמה כתבה כי יחידת לוט"ם‪ ,‬היחידה‬
‫הטכנולוגית של אגף התקשוב בצה"ל‪ ,‬החליטה‬
‫לאמץ שימוש בקוד פתוח באופן מערכתי‪.‬‬
‫במחזורים הקרובים בבית ספר למחשבים בצה"ל‬
‫יפתחו קורסים‪ ,‬ויעשה שימוש בתכנת פיית'ון‪,‬‬
‫שפת תכנות בקוד פתוח‪.‬‬
‫מדובר בשינוי מהותי‪ ,‬שכן עד לרגע זה‪ ,‬הפיתוח‬
‫התבסס כמעט באופן בלעדי על חומרה ותכנה‬
‫קניינית‪.‬‬
‫צה"ל למעשה מצטרף לשרשרת של חברות‬
‫סטארט אפ אשר עושות שימוש בתכנות קוד‬
‫פתוח בשלבים שונים של פיתוח המוצר‪.‬‬
‫מרבית הפרוייקטים משתמשים בספריות קוד‬
‫פתוח‪ ,‬וההערכה היא כי ‪ 80%‬משורות הקוד‬
‫במוצרים מסחריים הם למעשה חלקים מספריות‬
‫קוד פתוח‪.‬‬
‫מהן הסכנות בשימוש‬
‫בקוד פתוח ?‬
‫האם שימוש‬
‫בקוד פתוח חושף‬
‫את הארגון לאיומי‬
‫אבטחה נוספים?‬
‫הכותב הינו רועי זימון‪ ,‬בעל תואר שני מהאוניברסיטה העברית‪ .‬מומחה אבטחת מידע בתחום הסייבר‪.‬‬
‫קוד פתוח הוא קוד לכל דבר‪ ,‬ולכן סובל לעתים‬
‫מאותם הפגמים של קוד אחר‪.‬‬
‫כמובן שבעיות אבטחה ופגמים שמתגלים בקוד‬
‫פתוח משפיעים על כל מוצר שמכיל אותם ויש‬
‫לעקוב אחריהם ולתקנם בהקדם האפשרי‪.‬‬
‫יחד עם זאת יש לשים לב לחשיפות הבאות בהן‬
‫ארגונים חשופים ברגע שהם משתמשים בקוד‬
‫פתוח‪:‬‬
‫ •קהיליות קוד פתוח נוטות לתקן פגמים‬
‫במהירות יחסית‪ ,‬אך דווקא המשתמשים‬
‫בספריות לעתים מתמהמהים ובכך חושפים‬
‫את לקוחותיהם לאותם בעיות פתוחות‪.‬‬
‫מרבית המחקרים שבוצעו בנושא הראו כי כ ‪85%‬‬
‫מפרויקטי התוכנה מכילים ספריות קוד פתוח‬
‫שלא עודכנו‪ .‬ככלל‪ ,‬מרבית מפתחי התוכנה‬
‫בודקים את הקוד שכתבו בקפדנות‪ ,‬אך אינם‬
‫עושים זאת עבור קוד פתוח שמוטמע במוצריהם‪.‬‬
‫חשיפה ל‪Obfuscation-‬‬
‫שימוש בקוד פתוח עלול להוביל לניסיון גובר של‬
‫חברות מתחרות‪/‬גורמים עויינים לפתח קוד פתוח‬
‫‪10‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫לרכיב ספיציפי‪ ,‬אשר בנוסף לתפקיד העיקרי של‬
‫הקוד יכיל קוד זדוני‪ .‬למשל סוס טרויאני‪.‬‬
‫ואז לשלב אותה אוטומטית ע"י כלים המחוברים‬
‫לכלי הפיתוח השונים‪ .‬כמובן שיש גם‬
‫דמיינו למשל חברה גדולה אשר מורידה קוד‬
‫פתוח לקריאה וכתיבה של לוגים מהמערכת‪.‬‬
‫אותו קוד פתוח יכיל ‪ Obfuscation‬קוד שבנוסף‬
‫לרישום הלוגים‪ ,‬ינסה להוציא אותם החוצה‬
‫לחברה מתחרה‪.‬‬
‫לעקוב אוטומטית אחר פרצות אבטחה‪ ,‬ופגמים‬
‫אחרים אשר מתגלים בקוד פתוח‬
‫ •שימוש בניהול רישיונות‪ :‬אי קיום הדרישות של‬
‫רישיונות השימוש של כל אחת מהספריות‬
‫יכולה לגרום לסיכונים מיותרים‪ ,‬אשר ישפיע‬
‫על השקעה באינגרציה‪ ,‬ויביא לעיכוב בתהליך‬
‫פיתוח ושחרר של התכנה‪.‬‬
‫בצד המשפטי שימוש ב‪ GPL-‬עלול לפגוע בזכויות‬
‫היוצרים‪ ,‬ורישיונות אחרים עשויים להשפיע על‬
‫האפשרות להגשת פטנט‪.‬‬
‫אז מה אפשר לעשות?‬
‫ישנן מספר דרכים להתמודד עם הבעיות של‬
‫שימוש בקוד פתוח‪ ,‬אך לכל אחת המגרעות שלה‪:‬‬
‫בדיקה ידנית‬
‫ •במרבית החברות כיום מנהלים את השימוש‬
‫בקוד פתוח באופן ידני‪ .‬תהליך זה אינו יעיל‪,‬‬
‫ויוצר עלות יקרה מאוד של זמן‪ ,‬משאב שלא‬
‫תמיד קיים בארגונים אשר נתונים תחת‬
‫לחצים להוצאת גרסאות בזמן נתון‪.‬‬
‫ •בצורת עבודה זו בד"כ מפספסים דברים‬
‫חשובים‪ ,‬כמו למשל מידע על ספריות תלויות‪.‬‬
‫בדיקה אוטומטית‬
‫ •שימוש בסורקים אוטומטיים יוצר בהרבה‬
‫מקרים אירועי ‪ ,False positive‬דבר אשר גורם‬
‫לבזבוז של זמן יקר בבדיקת חשדות מדומים‪.‬‬
‫לעתים קרובות מוצאים הסורקים אלפי קטעי‬
‫קוד הדומים במידה מסוימת לקטעי קוד פתוח‬
‫כלשהו‪ ,‬ואז מוטלת האחריות על המפתח‬
‫לוודא שאין מדובר בהעתקה‪.‬‬
‫גמישות לעדכונים‬
‫ •כאמור קהיליות קוד פתוח נוטות לתקן פגמים‬
‫במהירות יחסית מהרגע שזה זוהה‪ ,‬לכן יש‬
‫להיות קשובים ומעודכנים‪ .‬הכי חשוב להיות‬
‫גמישים מבחינה ארגונית לשינויים כתוצאה‬
‫מתיקוני הבעיות אשר התגלו‪.‬‬
‫שימוש ב‪Sandbox-‬‬
‫ •יש להריץ את התכנה בסביבה נפרדת‬
‫ומבודדת באמצעות שימוש בכלי ‪,Sandbox‬‬
‫וחיפוש התנהגות חשודה של הקוד‪.‬‬
‫נהלים‬
‫ •כתוצאה מהבעיות אשר תוארו לעיל‪ ,‬מעטות‬
‫החברות שבהן משתמשים בכלים באופן רציף‬
‫ומשולב לאורך תהליך הפיתוח‪.‬‬
‫המדיניות הארגונית בקשר לרישיונות צריכה‬
‫להיקבע ע"י מנהלים ומשפטנים באופן נפרד‬
‫שבו אנו משתמשים‪ ,‬ובו בעת לאפשר עדכון‬
‫גרסאות שתוקנו‪.‬‬
‫הידעתם?‬
‫הונאות סייבר תפסו את המקום השני‬
‫ברשימת הפשעים הפיננסיים‬
‫על פי הסקר מתוך ‪ 45%‬מהחברות שהודו‬
‫כי נפלו קורבן לניסיונות הונאה‪ ,‬כ‪39%-‬‬
‫מהמקרים ענו להגדרה של פשע סייבר‪.‬‬
‫במקום הראשון נמצאים כמובן ניסיונות‬
‫גניבה‪ ,‬במקום השלישי הלבנת כספים‪,‬‬
‫ברביעי הונאות חשבונאיות‪ ,‬וסוגרות את‬
‫הרשימה שוחד ושחיתות‪.‬‬
‫המוסדות הפיננסיים שהיו המותקפים ביותר‬
‫הם כמובן הבנקים‪ .‬השלטונות באירופה‬
‫ובארה"ב אף הגבירו את הפיקוח עליהם‬
‫והרגולטורים העלו את דרישות האבטחה‬
‫שעל הבנקים ליישם‪ .‬זאת ועוד‪ ,‬האיום‬
‫העיקרי על הארגונים הפיננסיים נבע דווקא‬
‫מהעובדים ולא מהאקרים או פושעים‪.‬‬
‫לדברי חברות מחקר‪ ,‬הפרופיל הממוצע של‬
‫עבריין פיננסי הוא גבר אקדמאי בגילאים‬
‫‪ 31‬עד ‪ .50‬על פי הסקר רוב ההונאות בוצעו‬
‫על ידי מנהלים דרג ביניים או על ידי עובדים‬
‫זוטרים‪ .‬מאות בנקים השתתפו בשנה‬
‫שעברה בתרגיל הדמיה של תקיפת סייבר‬
‫בלונדון ובניו יורק‪ ,‬לטענת מומחי אבטחה‪,‬‬
‫הרוב הגדול של מוסדות פיננסיים סבלו‬
‫מתקיפת סייבר בשנה האחרונה‪.‬‬
‫תוצאות הסקר מצביעות על המשך העלייה‬
‫בהונאות סייבר‪ ,‬עלייה שכבר נראתה בסקרים‬
‫בשנים האחרונות‪ .‬למרות שבעולם כמות‬
‫ההונאות הגדולה ביותר נמצאת בשוק‬
‫הפיננסי‪ ,‬המספרים עליהם מצביע הסקר‬
‫לגבי הונאות סייבר בשוק הפיננסי בארץ‪,‬‬
‫קטנים משמעותית מההונאות שדווחו על ידי‬
‫בנקים באירופה‪ .‬לעובדה זו מספר גורמים‬
‫עיקריים הכוללים את הבידוד היחסי של‬
‫ישראל מבחינה טכנולוגית (מספר מועט של‬
‫קישורים לתשתית האינטרנט הבינלאומית)‪,‬‬
‫הגודל הקטן יחסית של הבנקים‪ ,‬הריחוק‬
‫הפיזי ממזרח אירופה‪ ,‬הרגולציה הישראלית‬
‫על הסקטור הפיננסי והמובילות הטכנולוגית‬
‫בתחומי אבטחת המידע והסייבר‪ .‬ישראל‬
‫נתפסת כמובילה בהתמודדות עם פשעי‬
‫סייבר‪ ,‬ומרבית הארגונים בארץ החלו לאמץ‬
‫תקנים בינלאומיים ביניהם את התקן סייבר‬
‫המוביל בעולם ‪.ISO 27032‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪11‬‬
‫|‬
‫|‬
‫הידעתם? חדשות סייבר‬
‫הידעתם? חדשות סייבר‬
‫ה‪ :NSA-‬חברות ההיי‪-‬טק בארה"ב ידעו על איסוף הנתונים‬
‫קבצים נעולים‬
‫לאחר חודשים של הכחשות מצד חברות ההיי‪-‬טק המובילות ארה"ב ‪ -‬בהן אפל‪ ,‬גוגל‬
‫ומיקרוסופט ‪ -‬כי לא ידעו על איסוף נתוני המשתמשים שלהן על ידי הסוכנות לבטחון‬
‫לאומי (‪ ,)NSA‬סתר את טענותיהן לא אחר מאשר היועץ המשפטי של ‪ NSA‬עצמה‪.‬‬
‫רואה החשבון הבכיר מספר את השתלשלות האירועים לאחר שגילה כי אינו יכול להיכנס‬
‫לקבצים שונים במחשבי המשרד‪" :‬כשאנשי המחשבים שלנו חפרו ועשו חיפוש‪ ,‬הם מצאו‬
‫את המייל המזיק‪ .‬זה מייל שהגיע תוך כדי עבודה למזכירת המשרד‪ ,‬והוא נראה כאילו‬
‫מצורף אליו מאמר שנסרק למחשב‪ ,‬כמו שאנחנו מקבלים בשוטף עשרות מאמרים אחרים‪.‬‬
‫המזכירה בתמימות פתחה את זה ואפילו לא ידעה את ההשלכות‪ .‬אתה פותח את המייל‪,‬‬
‫והוא חודר לך לתוך המחשב ונכנס לתוך הרשת‪ ,‬כמו תולעת‪ ,‬ואוסף קבצים ונועל אותם‪.‬‬
‫רג'ש דה‪ ,‬היועץ המשפטי הראשי של ‪ ,NSA‬אמר‬
‫כי חברות הטכנולוגיה בארה"ב היו מודעות היטב‬
‫לאיסוף הנרחב של נתונים על ידי הסוכנות‪ ,‬בשימוע‬
‫שהתקיים ביום רביעי במועצה לפיקוח על פרטיות‬
‫וזכויות אזרח ‪ -‬גוף רגולציה האחראי על הגנת‬
‫הפרטיות בארה"ב‪ .‬לדבריו‪ ,‬על איסוף הנתונים‬
‫מתקשורת שבוצע על ידי ‪ NSA‬על פי התיקון לחוק‬
‫למעקב מודיעיני אחר גומרים זרים (‪ )FISA‬משנת‬
‫‪ ,2008‬התבצע בידיעת החברות ‪ -‬הן במסגרת‬
‫תוכנית מעקב האינטרנט ‪ PRISM‬והן במסגרת‬
‫תוכניות אחרות לאיסוף מידע מהאינטרנט‪.‬‬
‫בשימוע אתמול נשאל דה האם איסוף הנתונים‬
‫במסגרת חוק ‪" FISA‬נעשה בידיעה מלאה ובסיוע כל‬
‫חברה שממנה הושג המידע"‪ ,‬תשובתו היתה‪:‬‬
‫"כן"‪ .‬דה הוסיף כי איסוף המידע במסגרת‬
‫תוכנית ‪ PRISM‬נעשה במסגרת "הליך משפטי‬
‫מחייב שכל חברה קיבלה הודעה לגביו"‪.‬‬
‫בחודש יוני ‪ ,2013‬כאשר נחשפה לראשונה‬
‫תוכנית ‪ PRISM‬הודות למסמכים שהודלפו על‬
‫ידי אדוארד סנואודן‪ ,‬כמעט כל החברות שהיו‬
‫לפי המסמכים מעורבות בתוכנית ‪ -‬אפל‪ ,‬גוגל‪,‬‬
‫מיקרוסופט‪ ,‬פייסבוק יאהו ו‪ - AOL-‬טענו כי לא‬
‫היו מודעות לתוכנית המעקב‪ .‬חלקן‪ ,‬כמו אפל‬
‫למשל‪ ,‬טענו כי מעולם לא שמעו אפילו את‬
‫השם ‪.PRISM‬‬
‫נפרדים מחלונות ‪XP‬‬
‫ב‪ 8-‬באפריל עומדת מיקרוסופט להפסיק את עדכוני‬
‫האבטחה למערכת ההפעלה הוותיקה אך הפופולארית‬
‫חלונות ‪ ,XP‬ומומחי אבטחה מזהירים כי הדבר עשוי‬
‫להעמיד בסכנה כ‪ 30%-‬מהמחשבים בעולם בהם עדיין‬
‫מותקנת התוכנה‪.‬‬
‫על פי דיווח ב‪-‬סי‪-‬אן‪-‬אן‪ ,‬חברת ‪NetMarketShare‬‬
‫מעריכה כי שיעור המחשבים‬
‫שבהם עדיין מותקנת‬
‫‪ XP‬עומד על כ‪29%-‬‬
‫אך חברות אחרות‬
‫מעריכות כי שיעור‬
‫המחשבים עשוי‬
‫להיות גבוה אף‬
‫יותר‪ .‬חברת‬
‫טרנד מיקרו‬
‫מעריכה כי‬
‫מדובר ב‪32%-‬‬
‫מהמחשבים‪.‬‬
‫לדברי חברת המחקר פורסטר‪ ,‬הבעיה מאיימת‬
‫לא רק על מחשבים של משתמשים פרטיים אלא‬
‫גם על חברות וארגונים‪ .‬כ‪ 20%-‬מהארגונים עדיין‬
‫משתמשים במערכת ההפעלה‪.‬‬
‫"מחשבי ‪ XP‬שנפרצו עלולים לפגוע לא רק‬
‫במערכות המחשוב שלהם אלא מהווים איום‬
‫למשתמשים רבים אחרים ברשת האינטרנט"‪,‬‬
‫הזהירה טרנד מיקרו‪" .‬יתרה מכך‪ ,‬מערכות‬
‫שנפלו קורבן למתקפות‪ ,‬הופכים לחלק מרשת‬
‫בוטים (‪ )botnet‬שעלולים לגרום לפגיעה אף‬
‫‪12‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫"ככל הנראה‪ ,‬ככל שידוע לנו היום‪ ,‬ההאקרים לא‬
‫לקחו אליהם את הקבצים‪ ,‬הם פשוט נעלו אותם‬
‫אצלנו‪ ,‬כך שאנחנו לא יכולים להשתמש בהם‪ .‬יש‬
‫צופן שלא ניתן לפיצוח על‪-‬מנת להיכנס לקבצים‪.‬‬
‫אני מקווה שזה מסתיים בנעילה ולא בגניבת‬
‫הקבצים‪.‬‬
‫קשה יותר למשתמשים אחרים ברשת‪ ,‬אף יותר‬
‫מאשר למשתמשי ‪."XP‬‬
‫מומחים נוספים הזהירו כי גם אם הדבר לא‬
‫יגרום נזקים באופן מיידי‪ ,‬עם הזמן הפרצות‪,‬‬
‫שלהן אין מענה עלולות להצטבר וכך‬
‫המערכות יהיו יותר ויותר פגיעות עם‬
‫הזמן‪" .‬זה כמו‬
‫חלב שעבר‬
‫את תאריך‬
‫התפוגה שלו"‪,‬‬
‫אמר לסי‪-‬‬
‫אן‪-‬אן סרג'יו‬
‫גלינדו‪ ,‬מנכ"ל‬
‫חברת ‪ GFI Software‬שמספקת שירותי תמיכה‬
‫בחברות‪" ,‬אם תשתה אותו יום אחרי שעבר‬
‫התאריך לא יקרה כלום‪ ,‬אבל אחרי חודש הסיכון‬
‫גדל באופן אקספוננציאלי"‪.‬‬
‫אנשי אבטחה ממליצים למשתמשים‪,‬‬
‫שבמחשביהם עדיין מותקנת המערכת‪ ,‬לשדרג‬
‫לחלונות ‪ 7‬או חלונות ‪ ,1 .8‬או למערכות הפעלה‬
‫חלופיות כמו ‪( OSX‬שמצריכה לרוב מחשבי מק)‬
‫או לינוקס‪.‬‬
‫לנו זה לא יקרה‪.‬‬
‫עוקץ הביטקוין‪:‬‬
‫משרד רו"ח נפל קורבן‬
‫להחדרת וירוס למחשב‬
‫"ביום חמישי האחרון הגעתי למשרד וניסיתי‬
‫לפתוח קובץ אקסל שעבדתי עליו‪ ,‬אך לא‬
‫הצלחתי‪ .‬פניתי לאנשי המחשבים שלנו והמשכתי‬
‫לעבוד על דברים אחרים‪ ,‬אבל לאט‪-‬לאט‪ ,‬ככל‬
‫שנמשך היום‪ ,‬גיליתי שעוד ועוד קבצים חסומים‬
‫במחשב שלי‪ ,‬ולא רק קבצי אקסל‪ ,‬ובכלל‬
‫במחשבי המשרד‪ .‬כשאנשי המחשבים שלנו בדקו‬
‫את הנושא‪ ,‬הם גילו שהקבצים ננעלו על‪-‬ידי וירוס‬
‫שהוחדר למערכת שלנו‪ ,‬וההאקרים דורשים כופר‬
‫בביטקוינים על‪-‬מנת לשחרר אותם" ‪ -‬כך מתאר‬
‫רואה חשבון בכיר ומוכר את מתקפת הסייבר‬
‫שמתחוללת במשרדו בימים האחרונים‪.‬‬
‫מדובר במשרד רואי חשבון מוביל ומוכר‪ ,‬המעסיק‬
‫עשרות עובדים ומייצג חברות מהגדולות ביותר‬
‫במשק‪ .‬עקב חשיבות הנתונים המצויים על‬
‫מחשבי המשרד‪ ,‬בהם נתונים כספיים של לקוחות‬
‫בכירים במשק‪ ,‬הסדרי שומה ותשלומי מס‪ ,‬ועקב‬
‫הסודיות המתבקשת‪ ,‬מערכת המחשבים של‬
‫המשרד מוגנת בהגנות מהמשוכללות במשק‪,‬‬
‫והמשרד מלווה על‪-‬ידי חברת לאבטחת וגיבוי‬
‫מידע באופן שוטף‪.‬‬
‫ובכל זאת‪ ,‬כך התברר לרואי החשבון המנהל‬
‫במשרד‪ ,‬נתון המשרד מיום חמישי למתקפת‬
‫האקרים שראשיתה במייל "תמים למראה"‪,‬‬
‫והמשכה בתשלום כופר (לא גבוה יש לציין) שלא‬
‫הועיל במאום‪ ,‬ובפנייה למשטרה‪ ,‬שטרם נבחנה‬
‫לגופה‪ .‬סוף הסיפור עדיין לא ידוע‪ ,‬היות והבעיה‬
‫טרם נפתרה‪.‬‬
‫"זה התחיל עם זה שאני גיליתי שאני לא יכול‬
‫להיכנס לקבצים‪ ,‬ופתאום גם עובדים נוספים‬
‫התלוננו שהם לא מצליחים‪ .‬זה נראה כאילו הקובץ‬
‫איננו‪ .‬כמובן שהתחלנו לשחזר את החומר מהגיבוי‬
‫האחרון שהיה לנו‪ .‬מדובר בתיקים‪ ,‬ניירות עבודה‪,‬‬
‫תחשיבים ואקסלים שלרובם יש לנו גיבוי להם‪,‬‬
‫אך לצערי‪ ,‬הייתה לאנשי המחשבים שלנו תקלה‬
‫בנוגע לחלק מהגיבויים‪ ,‬ואי‪-‬אפשר היה לשחזר‬
‫חלק מהקבצים אלה רק חודש לאחרונה"‪.‬‬
‫הבקשה לכופר הגיעה ברגע שאנשי המחשוב‬
‫גילו את המייל המזיק‪ ,‬הם ראו את דרישת הכופר‬
‫בתוך ההודעה המקורית‪ .‬הם דרשו סכום זניח‬
‫ביחס לנזק שהם גרמו‪ ,‬של ‪ 400‬אירו בביטקוינים‪,‬‬
‫ואנשי המחשבים שלנו הודיעו לנו שהם מתכוונים‬
‫לשלם‪ ,‬כי הם לקחו אחריות לכך שהגיבוי של חלק‬
‫מהקבצים כשל‪.‬‬
‫חברת המחשבים המעניקה שירותים למשרד אכן‬
‫העבירה את הסכום המבוקר לחשבון האנונימי‬
‫שצורף למייל‪ ,‬אך התברר כי התשלום לא סיים‬
‫את הסאגה‪" .‬אנשי המחשבים קודם כל רצו לפתור‬
‫את הבעיה‪ ,‬והחליטו לשלם‪ ,‬אבל מסתבר שזה לא‬
‫שינה שום דבר‪ .‬התשלום הועבר ונקלט בחשבון‬
‫של ההאקרים‪ ,‬אבל הקבצים עדיין נעולים‪ .‬אנחנו‬
‫עדיין בלבה של הבעיה"‪.‬‬
‫התופעה של שליחת מייל המחדיר תוכנה "זדונית"‬
‫למחשבים‪ ,‬שנועלת קבצים ואף מחשבים שלמים‬
‫עם הצפנה‪ ,‬מוכרת ברחבי העולם‪ .‬לאחרונה‬
‫פירסם עיתון ה"גרדיאן" הבריטי כתבה המזהירה‬
‫משתמשים מפני ‪ - CryptoLocker malware‬מיילים‬
‫הנחזים להיות מיילים אינפורמטיביים או מגורמים‬
‫רשמיים‪ ,‬הכוללים למעשה וירוס הנועל לצמיתות‬
‫את מחשבו של מי שפתח את המייל או קבצים‬
‫שונים במחשב‪ ,‬וכוללים אף דרישת כופר על‪-‬מנת‬
‫לפתוח את החסימה‪.‬‬
‫במקרה של משרד רואי החשבון‪ ,‬דרישת הכופר‬
‫הנמוך ‪ 400 -‬אירו בביטקוין ‪ -‬יכולה להעיד אולי‬
‫על כך שמדובר ב"שיטת מצליח"‪ ,‬במסגרתה‬
‫ההאקרים דורשים מכל מי שאל מחשבו הם‬
‫פורצים את הכופר‪ ,‬ותשלום מבחינתם יהיה צ'ופר‪,‬‬
‫אך אין בכוונתם לשחרר את הקבצים בכל מקרה‪.‬‬
‫רואה החשבון המנהל את המשרד היה מוכן לחשוף‬
‫את הסיפור רק על‪-‬מנת למנוע מאחרים להיקלע‬
‫לסיטואציה בה הוא נמצא‪ .‬כעת הוא מזהיר‪" :‬אם‬
‫זה קרה לי‪ ,‬זה יכול לקרות לכל אחד‪ .‬אני חושב‬
‫שזו תופעה שתכה בכולם‪ ,‬וכבר ידוע לי על‬
‫גופים גדולים אחרים שהיא הכתה בהם‪ ,‬אבל הם‬
‫מסתירים את זה כאילו זה סוד‪ .‬זה ממש טמטום‪,‬‬
‫כי אחרים נופלים בפח הזה בגלל הסודיות‪ .‬אנשים‬
‫לא מדברים‪ .‬כבר ידוע לי שיש משרד עורכי דין‬
‫שהוכה וחברה גדולה במשק שספגה מכה בגלל‬
‫מייל מאותו סגנון‪ ,‬והמדינה והמשטרה צריכות לתת‬
‫את הדעת לזה"‪.‬‬
‫מסובכת‪ ,‬ולא היה להם זמן‪ .‬הם ביקשו לחזור‬
‫בתחילת השבוע‪ .‬זה לא עניין אף אחד‪ .‬מתגובת‬
‫החברה נמסר‪" :‬אנחנו עוד נחזור לשם ונודיע גם‬
‫לביטוח‪ ,‬אבל זה לא עשה רושם שמישהו רק מחכה‬
‫לתלונה שלנו‪ .‬ציפינו שיפנו אותנו למרכז סייבר של‬
‫המשטרה‪ ,‬אבל שום דבר"‪.‬‬
‫ממשטרת ישראל נמסר‪" :‬הנושא מוכר כתופעה‬
‫עולמית שאינה אופיינית למדינה מסוימת‪ ,‬ורשויות‬
‫האכיפה עוסקות בו במסגרת שיתופי‪-‬פעולה‬
‫בינלאומיים‪ .‬מדובר בסוג של נגיף מחשב שאינו‬
‫'מודבק' באמצעות חדירה למחשב‪ ,‬אלא בהורדה‬
‫עצמאית של הקורבן למחשבו‪.‬‬
‫"ללא קשר למקרה הספציפי המוזכר בפנייה‪ ,‬ככל‬
‫שעולה חשד לביצוע עבירה פלילית באמצעות‬
‫רשת האינטרנט‪ ,‬הנושא נחקר על‪-‬ידי מערך מיומן‬
‫ומקצועי של חוקרי מחשב מיומנים‪ ,‬הפרוס בכלל‬
‫מחוזות משטרת ישראל ובלהב"‪.‬‬
‫באותו ערב שבו זוהה המייל הזדוני‪ ,‬החברה ניגשה‬
‫לתחנת המשטרה להגיש תלונה‪ .‬אבל זו תלונה‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪13‬‬
‫|‬
‫קבוצת טייטנס סקיוריטי מציגה‬
‫הידעתם? חדשות סייבר‬
‫‪c e r t i f i e d‬‬
‫מרוסיה באהבה‪:‬‬
‫תוכנת ריגול‬
‫שהוחדרה למחשבים‬
‫אסטרטגיים‬
‫שובה של המלחמה הקרה? תוכנת ריגול‬
‫מתוחכמת הוחדרה למאות מחשבים של‬
‫בכירים בממשלת ארה"ב ואירופה‪ ,‬כך‬
‫סבורים מומחים לאבטחת מידע במערב‪.‬‬
‫לפי דיווח ב"רויטרס"‪ ,‬אנשי מודיעין וביטחון‬
‫מערביים טוענים כי התוכנת הריגול‪ ,‬שזכתה‬
‫לשם טורלה (‪ )TURLA‬היא מלאכת ידה של‬
‫ממשלת רוסיה והיא בעלת סממנים דומים‬
‫לתוכנת הריגול הרוסית שהוחדרה לצבא ארה"ב‬
‫ב‪ .2008-‬ההערכות הללו מבוססות על עבודת‬
‫ניתוח של האקרים ומומחי סייבר שהצליחו לגלות‬
‫מספר קורבנות שאל המחשבים שלהם הוחדרה‬
‫התוכנה‪.‬‬
‫לטענת חוקרי אבטחת מידע‪ ,‬זוהי תוכנת ריגול‬
‫מתוחכמת הקשורה לתוכנות ריגול רוסיות אחרות‬
‫שעושות שימוש בהצפנה ומוחדרות לממשלות‬
‫המערב‪.‬‬
‫להסוות את הזהות שלהם ובייחוד ההאקרים של‬
‫ממשלת רוסיה‪ ,‬הנחשבים למומחים ונאמנים‬
‫מאוד לממשל ועושים את כל הפעולות הנדרשות‬
‫במטרה להסתיר כל עקבות של ממשלת רוסיה‪.‬‬
‫אולם‪ ,‬מומחי ביטחון טוענים כי למרות שנראה‬
‫כי הטורלה היא תוכנת ריגול רוסית‪ ,‬בלתי ניתן‬
‫לאמת את החששות הללו אלא אם כן מוסקבה‬
‫תיקח אחריות‪ .‬הם מציינים בנוסף כי מפתחי‬
‫תוכנות ריגול נוקטים באמצעים שונים במטרה‬
‫הטורלה עלתה לתודעה הציבורית השבוע כאשר‬
‫חברת אבטחת המידע הגרמנית ‪ G DATA‬פרסמה‬
‫דוח על הוירוס המתוחכם שזכה תחילה לכינוי‬
‫אורובורוס‪.‬‬
‫האקרים פרו‪-‬אוקראינים‬
‫מכים באתרי ממשלת רוסיה‬
‫בעוד עיני העולם נשואות אל חצי האי קרים‪ ,‬לאור‬
‫המתח שבין מהלך הסיפוח שמבקשת רוסיה‬
‫לבצע‪ ,‬אל מול גיוס כוחות המילואים שביצעה‬
‫אוקראינה‪ ,‬ברשת המלחמה כבר מתחוללת‬
‫בשיא העוצמה מזה מספר ימים‪ .‬בהתחשב‬
‫בכך שבמזרח אירופה שוכנים כמה מההאקרים‬
‫המסוכנים והמנוסים בעולם‪ ,‬מלחמת הסייבר בין‬
‫תומכי רוסיה ואוקראינה היא מהמורכבות שפרצו‪.‬‬
‫האקרים אוקראינים הצליחו להפיל שורה ארוכה‬
‫של אתרים‪ ,‬ביניהם אפילו את אתר הקרמלין‪.‬‬
‫לעומתם‪ ,‬תקף ארגון ההאקרים הפרו‪-‬רוסי‬
‫‪ Cyber-Berkut‬שני אתרים של נאט"ו‪ ,‬הברית‬
‫הצפון אטלנטית אליה מעוניינים תומכי אוקראינה‬
‫להתקבל‪.‬‬
‫ההאקרים משתמשים בטכניקות דיסאינפורמציה‬
‫ומלחמה פסיכולוגית כמו בימי המלחמה הקרה; בכלי‬
‫תקשורת במערב הופיעו דיווחים סותרים על הגורמים‬
‫שעומדים מאחורי סייבר ברקוט וחלק מהמתקפות‬
‫‪14‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫כולל הכנה להסמכת ‪ CISM‬הבינלאומית מטעם ארגון ‪ISACA‬‬
‫משך הקורס‪ 200( :‬שעות אקדמיות)‬
‫תיאור הקורס‬
‫קבוצת ‪ TitansSecurity‬חיברה את הקורס המוביל בישראל‬
‫להקניית כלי הניהול המתקדמים ביותר עבור מנהלי‬
‫אבטחת המידע‪,‬‬
‫על בסיס הניסיון המצטבר של סגל המרצים הבכיר של‬
‫החברה‪ ,‬הן בצד האקדמי והן בצד הפרקטי‪.‬‬
‫משבר קרים‪:‬‬
‫חילופי מתקפות סייבר מתרחשים מזה מספר‬
‫ימים בין רוסיה ואוקראינה‪ .‬שני הצדדים מבצעים‬
‫הטעיות שמקשות לדעת מי עומד מאחורי איזו‬
‫מתקפה‪ .‬בין היתר‪ ,‬הופלו אתר הקרמלין ברוסיה‬
‫ואתרי נאט"ו‬
‫‪CISO‬‬
‫בכדי שנוכל להקנות למשתתפי הקורס את הכישורים‬
‫להבין את התמונה הכוללת והרחבה של תפקיד מנהל‬
‫אבטחת המידע ואת היכולות לחזות את הסיכונים והכשלים‬
‫העומדים בדרך להצלחה‪ .‬ניתן דגש מיוחד לניתוח אירועים‬
‫ודיונים בין משתתפי הקורס ומנחיו על בסיס‪Case Studies‬‬
‫של אירועים אמיתיים בארגונים שונים בישראל ובחו"ל‪.‬‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫בוצעו בידי האקרים שמזדהים‬
‫בתור "אנונימוס אוקראינה" ותומכים‬
‫דווקא בצד הרוסי‪.‬‬
‫למה כדאי ללמוד אצלנו?‬
‫ממתקפות פשוטות‬
‫לפצצות סייבר‬
‫המבצעים האחרונים של שני‬
‫הצדדים כוללים בעיקר מתקפות‬
‫מניעת שירות (‪ )DDoS‬פשוטות‪ ,‬אך סביר להניח‬
‫שיעבור עוד זמן מה עד שייחשפו מבצעי סייבר‬
‫מתקדמים ומתוחכמים יותר‪ .‬עוד דוגמה למלחמה‬
‫הפסיכולוגית הגיעה בדמות מייל שנשלח כביכול‬
‫על ידי הנספח הצבאי של ארה"ב באוקראינה‬
‫בו הוא מזהיר קצין בכיר בצבא האוקראיני‬
‫מפני מתקפות "מדומות" של רוסיה על מטרות‬
‫אוקראיניות‪.‬‬
‫ארגוני ההאקרים האוקראינים אינם מזדהים‬
‫בהכרח ככאלה‪ .‬כך למשל קבוצת ‪Maidan Cyber‬‬
‫‪ ,Sotnya‬או קבוצת אנונימוס קווקז‪ ,‬שכאמור‬
‫נמצאת מהצד השני של המתרס מקבוצת‬
‫אנונימוס אוקראינה‪ .‬קבוצת הקווקז אגב הצליחה‬
‫לפגוע במספר אתרי חדשות עיקריים ברוסיה‬
‫ובאתרי קבוצת העיתונות הממשלתית ‪.VGTRK‬‬
‫סוג ההתקפה הזה שנקרא ‪,false flag attack‬‬
‫משמש פעמים רבות כתירוץ של חובבי תיאוריות‬
‫קונספירציה כדי להאשים ממשלות במעשים‬
‫של ארגוני טרור‪ .‬כמובן‪ ,‬שבמקרה הזה‪ ,‬די ברור‬
‫שלארה"ב אין שום אינטרס לתקוף מטרות‬
‫אוקראיניות פרו‪-‬מערביות‪ .‬אולם כשדעת הקהל‬
‫מבולבלת‪ ,‬כך ניתן לייצר בקלות התעלמות‬
‫מהמהלכים בשטח‪.‬‬
‫שימוש בהאקרים והורדת אתרים אינה סוג חדש‬
‫של לוחמה‪ .‬למעשה‪ ,‬הרוסים כבר השתמשו בה‬
‫בהתקפה על גיאורגיה לפני הפלישה למדינה‬
‫ב‪ 2008-‬וכן בקמפיין סייבר שנוהל כגד אסטוניה‬
‫ב‪ 2007-‬ושיוחס לגורמים רוסיים‪ .‬אפילו ארה"ב‬
‫סבלה מקמפיין מתמשך שכזה מצד סין בין ‪2003‬‬
‫ל‪ 2005-‬וכונה ‪.Titan Rain‬‬
‫• לכל תלמיד בונים פרופיל‬
‫לימוד אישי בהתאם לתוצאות‬
‫הבחינות דמי שלו‪.‬‬
‫• מיטב המרצים בתעשייה‬
‫הישראלית והבינלאומית‪.‬‬
‫• תרגול מעשי רב ומגוון בנושאים‬
‫העכשוויים‪.‬‬
‫• הצלחה בטוחה ‪ -‬למעלה‬
‫הגמר‪.‬‬
‫מ‪ 98%-‬הצלחה בבחינות‬
‫• ‪ Networking‬עם מיטב‬
‫הבכירים במשק הישראלי‪.‬‬
‫• חברות שנתית באיגוד העולמי‬
‫לאבטחת מידע ‪ ISSA‬ובאיגוד • ערכות לימוד ייחודיות‬
‫הישראלי‪.‬‬
‫ובלעדיות‪.‬‬
‫והדבר הכי חשוב!!!‬
‫היות ואנו בטוחים בהצלחה שלנו‪ ,‬אנו מציעים לכלל‬
‫התלמידים הטבות נוספות‪:‬‬
‫לא עברת את הבחינה?‬
‫קבל קורס חוזר ב‪50%-‬‬
‫(ללא אותיות קטנות)‬
‫עברת את הבחינה?‬
‫קבל זיכוי של עלות הבחינה‪ ,‬לניצול בקורס הבא‬
‫במכללת ‪.Titans Security‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫למידע נוסף וקביעת פגישת ייעוץ‪:‬‬
‫ייעוץ אקדמי ‪Ts-academy@Titans2. com | 077-5150340 :‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪15‬‬
‫להיות ראשון זה מחייב!‬
‫חטיבת הטכנולוגיה ומחשוב הפכה להיות הגוף‬
‫הראשון בישראל המוסמך לתקן הבינלאומי‬
‫לאבטחת סייבר (‪ ,)ISO 27032‬לצד התקן‬
‫הבינלאומי המוביל לאבטחת מידע (‪.)ISO 27001‬‬
‫חטיבת הטכנולוגיות ומחשוב בבנק הפועלים‬
‫ממשיכה את מסורת ומוטו הבנק ‪" -‬להיות‬
‫ראשון זה מחייב"‪ .‬במהלך חודש מרץ‪ ,‬הבנק‬
‫עבר שתי הכשרות לשני תקנים‪ ,‬מהמובילים‬
‫בעולם אבטחת המידע והסייבר ‪ -‬תקן‬
‫אבטחת מידע ‪ ,ISO 27001‬ותקן אבטחת‬
‫סייבר ‪.ISO 27032‬‬
‫היא חיונית‪ ,‬במיוחד כאשר מדובר על נתונים‬
‫פיננסיים‪ .‬השימוש הגובר בשירותי בנקאות‬
‫מקוונים וניידים הובילו לעלייה ברמת‬
‫הסיכונים הנובעים מגניבת זהויות או הונאות‬
‫סייבר‪ .‬הארגונים הפיננסיים נמצאים במירוץ‬
‫אל מול איומי הסייבר ואני שמח ששוב העלנו‬
‫את רף האבטחה בבנק‪.‬‬
‫לא רק זאת‪ ,‬עפ"י נתוני המכון לבקרה ואיכות‬
‫ חברת ‪ ,IQC‬שהתעידה את החטיבה‪ ,‬תהליך‬‫ההתעדה בוצע בזמן שיא‪ ,‬בזכות המקצועיות‬
‫של הצוות המוביל בארגון ברשות מנהל‬
‫אבטחת המידע מר עדי קפלן‪ ,‬ומנהל תחום‬
‫באבטחת מידע האחראי על נושא הרגולציה‬
‫מר שמואל שיליאן‪.‬‬
‫שמואל שיליאן‪ ,‬מנהל תחום באבטחת מידע‬
‫האחראי על נושא הרגולציה‪ " ,‬כחלק מיעדי‬
‫החטיבה לשיפור מתמיד‪ ,‬בחרנו לאמץ את‬
‫שני התקנים‪ ,‬ואני מאוד שמח על ההחלטה‪,‬‬
‫היות וזה שיפר את תהליכי עבודה הן בתחום‬
‫אבטחת המידע והן בתחום ההתמודדות‬
‫מול איומי סייבר‪ .‬חשוב לציין שאני מאוד‬
‫מרוצה מהבחירה שעשינו בבחירת חברת‬
‫הייעוץ ‪ TITANS SECURITY‬כחברה שתלווה‬
‫אותנו בתהליך ההתעדה‪ .‬הרמה המקצועית‬
‫והאחריות האישית של היועצים בא לידי‬
‫ביטוי באימוץ המהיר של התקנים בארגון‪,‬‬
‫במינימום הפרעה בעבודה היומיומית‪ ,‬ובסיום‬
‫המהיר של הפרויקט והעברה חלקה של‬
‫תהליך ההתעדה אל מול שני התקנים‪ .‬מאוד‬
‫התרשמנו גם מהרמה המקצועית של הסוקר‪,‬‬
‫ולמדנו והפקנו הרבה לקחים מהמבדק"‪.‬‬
‫תהליך ההתעדה לתקן נמשך כשלושה‬
‫חודשים בלבד‪ ,‬והחל בקיום תהליך של‬
‫מיפוי דרישות עסקיות‪ ,‬הגדרת תכולה‪ ,‬ביצוע‬
‫הערכת סיכונים והטמעת מתודולוגיה לניהול‬
‫סיכונים ואבטחת מידע וסייבר בארגון‪ .‬בנוסף‪,‬‬
‫כחלק מהטמעת התקן‪ ,‬הוכנה לארגון מערכת‬
‫לניהול אבטחת מידע (מנא"מ) הכוללת את כל‬
‫המסמכים הנדרשים לעמידה בדרישות תקני‬
‫משפחת ‪ 27000‬לאבטחת מידע‪.‬‬
‫עפ"י החלטת הבנק‪ ,‬מדובר בתהליך ראשוני‪,‬‬
‫אשר החל בארץ‪ ,‬והוא ימשך גם על חלק‬
‫מהסניפים בחו"ל‪.‬‬
‫את הפרויקט מטעם הבנק הוביל מנהל‬
‫תחום באבטחת מידע האחראי על נושא‬
‫הרגולציה‪ ,‬מר שמואל שיליאן בשיתוף עם שי‬
‫דודפור המרכז את נושא הסייבר באבטחת‬
‫מידע בבנק‪ ,‬שקיבל תמיכה מלאה מהנהלת‬
‫הארגון בכלל והחטיבה בפרט‪ .‬לטובת סיוע‬
‫מקצועי בתהליך נבחרה חברת הייעוץ‬
‫‪ ,TITANS SECURITY‬בראשות המנכ"ל‪ ,‬מר‬
‫דני אברמוביץ‪ ,‬כאשר מבדקי ההתעדה‬
‫בוצעו על‪-‬ידי מר יריב דיאמנט‪ ,‬סוקר מוביל‬
‫של חברת ‪ IQC‬גוף ההתעדה המבצע התעדות‬
‫בארץ ובחו"ל‪.‬‬
‫מימין לשמאל‪ :‬ניר הלפרין – מנכ"ל חברת ‪ | IQC‬יריב דיאמנט – סוקר מוביל של חברת ‪ | IQC‬דני אברמוביץ – מייסד ומנכ"ל חברת ‪TITANS SECURITY‬‬
‫שרון משהדי – יחידת סייבר בבנק הפועלים | שי דודפור – מנהל יחידת סייבר בבנק הפועלים | אלדד משולם – סמנכ"ל בחברת ‪TITANS SECURITY‬‬
‫שמואל שיליאן – אחראי תחום רגולציות באבטחת מידע בבנק הפועלים | עדי קפלן – מנהל אבטחת מידע בבנק הפועלים‬
‫‪16‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫עדי קפלן‪ ,‬מנהל אבטחת המידע בבנק‬
‫הפועלים‪ " ,‬במשך שנים פועלת חטיבת‬
‫הטכנולוגיה ומחשוב כיוזמת ומאפשרת‬
‫עסקית (‪ ,)Business Enabler‬פריסת משאבים‪,‬‬
‫תשתיות ומערכות שהחטיבה יזמה והעמידה‬
‫מראש לטובת הארגון‪ ,‬לביצוע יוזמות‬
‫שהגיעו מהצד העסקי‪ .‬ההחלטה לאמץ‬
‫את שני התקנים‪ ,‬וביחד‪ ,‬התאימה מאוד‬
‫למוטו של החטיבה להוות את חוד החנית‬
‫הטכנולוגי‪-‬עסקי בבנקאות הישראלית‪,‬‬
‫למינוף האסטרטגיה של בנק הפועלים‪,‬‬
‫ליצור מובילות טכנולוגית‪-‬תפעולית ביעילות‬
‫מרבית ומקסום ערך לכל בעלי העניין בבנק‬
‫– בעלים‪ ,‬לקוחות ועובדים‪ .‬ההגנה על המידע‬
‫‪TITANS‬‬
‫דני אברמוביץ‪ ,‬מנכ"ל חברת‬
‫‪ " ,SECURITY‬לא בכדי ארגונים רבים‬
‫בארץ ובחו"ל מכוונים את עצמם לעמידה‬
‫בסטנדרטים בינלאומיים בנושא אבטחת מידע‬
‫וסייבר‪ .‬מהלך שכזה לא רק שיוצר הליך סדור‬
‫של ניהול אבטחת המידע בארגון אלא ולפני‬
‫הכל יוצר מחויבות של הארגון לנושא הכל‬
‫כך אקוטי הנקרא "אבטחת מידע וסייבר"‪.‬‬
‫כבר בשלבים הראשונים של הפרויקט זיהינו‬
‫את הרמה המקצועית של הצוות האמון על‬
‫שני התחומים‪ .‬כמי שמסתובב בקרב עשרות‬
‫רבות של לקוחות בארץ ובחו"ל‪ ,‬אני חייב לציין‬
‫לטובה את הרמה המקצועית של הצוות וכן‬
‫את התמיכה הרבה מצד הנהלת הארגון‪ .‬כל‬
‫אלו‪ ,‬סייעו לנו לקדם את הפרויקט בצורה‬
‫חלקה ומהירה"‪.‬‬
‫יריב דיאמנט‪ ,‬סוקר מוביל של ‪" ,IQC‬המוכנות‬
‫של החטיבה בבנק הייתה מהגבוהות שראינו‪,‬‬
‫ובפעם הראשונה העברתי מבדק התעדה‬
‫ללא הערות בכלל‪ .‬הצוות עשה עבודה‬
‫מצוינת‪ ,‬ונקבעו גם מדדים לשיפור ועמידה‬
‫ביעדים לשנים הבאות"‪.‬‬
‫ניר הלפרין‪ ,‬מנכ"ל חברת ‪" ,IQC‬ההחלטה של‬
‫אבטחת המידע בחטיבת הטכנולוגיה ומחשוב‬
‫בבנק הפועלים לבחור בנו כספק ושותף‬
‫לתהליך ההתעדה מהווה בסיס למתן האמון‬
‫בחלק המקצועי שלנו כגוף התעדה‪ ,‬ואני מאוד‬
‫שמח שהיינו שותפים לתהליך זה"‪.‬‬
‫‪TITANS‬‬
‫‪SECURITY‬‬
‫תעודת זהות‬
‫חברת ‪ Titans Security‬הוקמה בשנת ‪2010‬‬
‫על ידי מר דני אברמוביץ‪ .‬החברה הינה חברה‬
‫בוטיק המתמחה במתן שירותי ייעוץ בתחומי‬
‫אבטחת מידע‪ ,‬הגנה בסייבר‪ ,‬ניהול סיכונים‪,‬‬
‫המשכיות עסקית‪ ,‬ניהול פרויקטים ועוד‪.‬‬
‫לחברה ניסיון רב‪ ,‬בארץ ובחו"ל‪ ,‬במימוש‪ ,‬ליווי‬
‫והטמעת תקני אבטחת מידע‪ ,‬סייבר והמשכיות‬
‫עסקית‪ .‬גיבוש והטמעת מתודולוגיות לניהול‬
‫סיכונים‪ ,‬ניהול אירועי אבטחת מידע וסייבר‬
‫וממשל אבטחת מידע‪ ,‬החל מניהול פרויקטים‪,‬‬
‫ועד להוצאה ומענה למכרזים‪ .‬בין לקוחות‬
‫החברה נמנים בנקים‪ ,‬חברות ביטוח‪ ,‬טלקום‪,‬‬
‫חברות היי‪-‬טק‪ ,‬פרמצבטיקה‪ ,‬תעשייה ומשרדי‬
‫ממשלה‪.‬‬
‫דני אברמוביץ‪ ,‬מייסד ומנכ"ל החברה הינו‬
‫מוסמך בשלל הסמכות בינלאומיות נחשקות‬
‫כגון‪CISSP, CISM, CISA, CRISC, C|CISO, ISO :‬‬
‫‪27001 Lead Auditor, ISO 22310 Lead‬‬
‫‪ Auditor‬ועוד‪ .‬דני הינו מרצה מבוקש בתחומי‬
‫הנושא של החברה ואף משמש בנוסף‬
‫לתפקידו גם כנשיא האיגוד העולמי לאבטחת‬
‫מידע (‪ – )ISSA‬הציאפטר הישראלי‪.‬‬
‫לחברה‪ ,‬חברת בת ‪Titans Security Academy‬‬
‫המביא ניסיון נרכש זה ומתמחה במתן‬
‫שירותי הכשרה‪ ,‬הדרכה והכנה להסמכות‬
‫מקצועיות מהמובילות בעולם‪ .‬החברה‬
‫מקיימת סמינרים וקורסים מקצועיים‪,‬‬
‫ציבוריים ומוזמנים בארגונים שמטרתם‬
‫לרענן את הידע ולהסמיך את הפונקציות‬
‫הרלוונטיות בארגון בהסמכות הבינלאומיות‬
‫המתאימות‪ .‬פרטים נוספים באתר‪:‬‬
‫‪www. titans2. co. il‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪17‬‬
‫הכשרת מנהלי אבטחת מידע (‪)CISO‬‬
‫‪Knowledge to People‬‬
‫חברת ‪ TITANS SECURITY‬גאה להציג את המסלול המקצועי‪ ,‬האיכותי‬
‫והמקיף ביותר להכשרת מנהלי אבטחת מידע (‪ )Certified CISO‬וגם‬
‫היחידי שכולל הסמכה בינלאומית –‪ CISM‬מבית ‪ .ISACA‬מדובר בקורס‬
‫בן ‪ 200‬שעות פרונטאליות‪ ,‬ועוד כ‪ 500-‬שעות תרגול עצמאי‪ ,‬כאשר ישנה‬
‫התייחסות לכל עולמות אבטחת המידע‪.‬‬
‫בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון‬
‫רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי‬
‫אבטחת מידע ברמה גבוהה מאוד‪ .‬הקורס נוצר כתוצאה מדרישת השוק‬
‫למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע‬
‫על כל שכבותיה‪ .‬בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם‬
‫ו\או לארגון בהם מועסקים על‪-‬ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש‬
‫מהם‪.‬‬
‫זהו מסלול חדש‪ ,‬העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל‬
‫בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים‪.‬‬
‫המסלול מחולק לשני חלקים עיקריים‪ ,‬כאשר החלק הראשון הינו החלק‬
‫המעשי של הקורס‪ ,‬והחלק השני מכין את התלמיד לבחינת ההסמכה‬
‫הבינלאומית של ‪ CISM‬מבית ‪ .ISACA‬החלק הראשון בנוי מ‪ 5-‬מודולים‬
‫עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע‬
‫על פניהם השונים‪.‬‬
‫הביטחון‬
‫שלך‬
‫העבודה‬
‫שלנו‬
‫‪Bringing‬‬
‫המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע‬
‫בהיבט העסקי ועם העולם הרגולטורי\חוקי‪ .‬המודול השני עוסק ברק‬
‫הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת‬
‫המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים‪.‬‬
‫המודול השלישי עוסק בתחום ניהול אבטחת המידע‪ ,‬מסגרות לניהול‬
‫אבטחת מידע וניהול סיכונים‪ .‬המודול הרביעי דן כולו בהיבטים של‬
‫אבטחת מידע פיזי וסביבתי‪ ,‬והמודול החמישי עוסק בפן האנושי מבחינת‬
‫אבטחת מידע‪.‬‬
‫הקורס עובר עדכונים שוטפים‪ ,‬כדי להתאימו לעולם הדינאמי של‬
‫השוק‪ ,‬והתוקפים\התקפות השונות‪ ,‬וסוקר בצורה מלאה את כל עולם‬
‫אבטחת המידע על כל רבדיו‪ .‬בכל רובד אנו מתרגלים ודנים בתפיסות‪,‬‬
‫מתודולוגיות ובטכנולוגיות הקיימות‪ ,‬ובחולשות הרבות הנסתרות בהן‪.‬‬
‫חולשות‪ ,‬אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה‪ .‬כמו‬
‫כן‪ ,‬אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף‪ ,‬כנגד‬
‫החולשות שלנו‪ ,‬על מנת לדעת ולהכיר היטב את האויב‪.‬‬
‫כחלק מערכת הלימוד‪ ,‬התלמידים מקבלים ספרי לימוד‪ ,‬ספרי תרגול‬
‫(בכיתה ובבית)‪ ,‬ועוד ‪ DVD‬הכולל כלי עזר רבים של מנהל אבטחת מידע‪.‬‬
‫כפי שהספר המפורסם "אומנות המלחמה" אומר‪:‬‬
‫‪If you know the enemy and know yourself, you need‬‬
‫‪not fear the result of a hundred battles. If you know‬‬
‫‪yourself but not the enemy, for every victory gained‬‬
‫‪you will also suffer a defeat. If you know neither the‬‬
‫"‪enemy nor yourself, you will succumb in every battle‬‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫טלפון‪077-5150340 :‬‬
‫טלפון‪077-5150340 :‬‬
‫או בדוא"ל‪Ts-Academy@titans2. com :‬‬
‫או בדוא"ל‪Ts-Academy@titans2. com :‬‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫לא ניתן לנהל מה שלא ניתן למדוד‬
‫מדדים (‪ - )Security Metrics‬חלק א'‪.‬‬
‫אחת הסיבות המרכזיות לכישלון (או אי‪-‬הצלחה) של ארגונים היא אי‪-‬יכולתם ליישם את האסטרטגיה בה‬
‫הם בחרו‪ .‬לרובם יש אסטרטגיה טובה‪ ,‬רק שיש קושי ביישומה‪ .‬איך מתרגמים את ההצהרות הכוללניות‬
‫של האסטרטגיה הארגונית לפעילויות היומיומיות שעושים כל העובדים? איך דואגים שכל הפעילויות‬
‫תבוצענה באופן מתואם‪ ,‬אשר מצטרף לכלל כוח משותף חזק המיישם את האסטרטגיה שנבחרה?‬
‫מערכת מדידה אפקטיבית‬
‫אחד הכלים אשר יכול לסייע רבות בך הוא הקמת‬
‫מערכת מדידה אפקטיבית‪ .‬מערכת זו תיגזר‬
‫מהאסטרטגיה הארגונית‪ ,‬ותקבל פירוט הולך וגדל‬
‫ככל שיורדים מטה‪ ,‬כך שכל הפעילויות החשובות‬
‫בארגון תקבלנה ביטוי במערכת המדידה‪ ,‬וכך יהיה‬
‫ברור בדיוק עד כמה כל מחלקה בארגון תורמת‬
‫ליישום האסטרטגיה הארגונית‪.‬‬
‫מערכת מדידה מאפשרת לארגון לסגור את‬
‫הפער בין האסטרטגיה הארגונית והפעילויות‬
‫המבוצעות בפועל‪.‬‬
‫ארגונים משתמשים במדדים כדי להבין את‬
‫המאפיינים של תהליכים ומוצרים על‪-‬מנת‬
‫להשיג בצורה שיטתית את מטרותיהם‪ .‬פעילות‬
‫המדידה היא פעילות אחת מתוך סדרה ארוכה‬
‫של פעילויות ניהול שמטרתן לאפשר לדעת היכן‬
‫הארגון נמצא‪ ,‬כיצד הוא מתקדם לעבר מטרותיו‬
‫העסקיות‪ ,‬וכדי לאפשר לכוון את הארגון לכיוון‬
‫הרצוי ולהביאו אל היעד הרצוי‪.‬‬
‫הקשר בין מדידה לאבטחת מידע‬
‫הערה‪ :‬חשוב לזכור‪ ,‬שהמדידה אינה מטרה‪.‬‬
‫מדידה היא אמצעי להשגת המטרות‪ .‬בנוסף‪,‬‬
‫מדידה מאפשרת להנהלה להגדיל את יעילותם‬
‫(‪ )Efficiency‬של התהליכים ולשפר את תועלתם‬
‫( ‪ )Effectiveness‬של התהליכים ושל פתרון‬
‫טכנולוגי כלשהו‪ ,‬כלומר‪ ,‬את מידת התאמתם‬
‫לצרכים העסקיים של הארגון‪.‬‬
‫ניתן לחלק באופן גס את המדדים לשני סוגים‬
‫עיקריים‪:‬‬
‫‪ .1‬מדדים של תהליך (כגון הטמעת תקן אבטחת‬
‫מידע בארגון)‪.‬‬
‫למשל‪ :‬כמה זמן נמשך כל חלק בתהליך‪ ,‬כמה‬
‫תקלות התגלו בכל שלב של התהליך‪.‬‬
‫‪ .2‬מדדים של פתרון טכנולוגי\מוצר‪.‬‬
‫למשל‪ :‬מספר התקלות שהתגלו במוצר‪ ,‬מורכבות‬
‫המוצר‪ ,‬מידת בשלותו לשחרור ללקוח (ניהול‬
‫גרסאות)‪ ,‬יכולות מבחינת אבטחת מידע ועוד‪.‬‬
‫אוסף הפעילויות הקשורות למדידה ומדדים‪,‬‬
‫משלבים תכנונים‪ ,‬דרך איסוף הנתונים ועד‬
‫לניתוחם‪ ,‬מהווה מערכת בפני עצמה‪ ,‬הנקראת‬
‫‪20‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫מערכת מדידה‪ .‬למערכת זו יש (כמו לכל מערכת)‪,‬‬
‫יעדים‪ ,‬יישום‪ ,‬טכנולוגיה‪ ,‬מימוש ועלות‪.‬‬
‫המטרות העיקריות של‬
‫מערכת מדידה‪:‬‬
‫ •בקרה‪ :‬להעריך את מצבו הנוכחי של הארגון‬
‫מבחינת בשלות אבטחת המידע או פרויקט‬
‫אבטחת מידע (פרויקט ניהולי או הטמעת‬
‫פתרון טכנולוגי) מבחינת השגת מטרותיו‬
‫ויעדיו‪ ,‬ולאפשר להנהלה לדעת בצורה‬
‫מוחשית וברורה עד כמה הוא רחוק מהיעדים‬
‫שהוצבו‪ .‬באופן זה‪ ,‬ההנהלה יכולה לקבל‬
‫בולטות המבוססות על עובדות‪ ,‬ולא על‬
‫"תחושות בטן"‪.‬‬
‫ •להעריך את איכות תוצרי פתרון אבטחת‬
‫המידע שנחבר ולסייע בשיפורם (מדדי‬
‫תוצאה)‪.‬‬
‫ •להעריך את איכות תהליך הטמעת פתרון‬
‫אבטחת המידע בארגון ולסייע בשיפור תפקודו‬
‫(מבחינת יעילותו‪ ,‬האפקטיביות שלו‪ ,‬רמת‬
‫התפוקה שלו‪ ,‬זיהוי בעיות בשלביו השונים‬
‫וכו')‪.‬‬
‫ •להעריך את יחסי העלות‪-‬תועלת של המערכת‬
‫ולסייע בשיפורו‪.‬‬
‫ •להעריך מהן המגמות בתחום איכות התהליך‬
‫או איכות הפתרון הטכנולוגי‪ ,‬ובכך לאפשר‬
‫"לחזות" את המצב העתידי (הרצוי)‪.‬‬
‫מדדים נוספים‬
‫ניתן להיעזר במערכת מדדים בכדי למדוד‬
‫תחומים ופרמטרים נוספים‪ ,‬כגון‪:‬‬
‫ •להעריך פריון עבודה וביצועים של ספק חיצוני‬
‫ למשל בכדי לתת ציונים על שביעות הרצון‬‫מהשירותים שהספק מספק (שמסתמך‬
‫על פרמטרים כגון‪ :‬עמידה ביעדים‪ ,‬איכות‬
‫העבודה‪ ,‬רמת האבטחה בארגון‪ ,‬ועוד)‪.‬‬
‫ •להעריך פריון עבודה וביצועים של חלק פנימי‬
‫(יחידה\מחלקה) בארגון ‪ -‬למשל‪ ,‬צוות ‪IT‬‬
‫מבחינת מתן שירות פנימי (שירותי ‪ )IT‬לארגון‪,‬‬
‫כגון‪ :‬עמידה ביעדים‪ ,‬איכות רמת השירות‪,‬‬
‫עמידה בלו"ז של פרויקטים ועוד‪.‬‬
‫ •לאמוד את היתרונות והתועלת (במונחי פריון‬
‫ואיכות) המתקבלים משימוש בשיטות או בכלי‬
‫עזר חדשים (מערכות חדשות)‪.‬‬
‫ •לשמש בסיס לאמידת עלויות של פרויקטים‬
‫חדשים‪.‬‬
‫ •לאפשר הערכת טיב השירות המתקבל על‪-‬ידי‬
‫קבלן משנה‪.‬‬
‫ •לסייע בהשוואות בין פרויקטים ומערכות‪,‬‬
‫מתוך מטרה לזהות חריגים בארגון ולשפרם‪.‬‬
‫ •למדוד את הצלחת הפרויקט (בדיעבד)‬
‫ •לאתר נקודות תורפה בהן כדאי לטפל על מנת‬
‫לשפר תהליכים או פתרונות אבטחה‪.‬‬
‫לא ניתן לנהל מה שלא ניתן למדוד‬
‫אמרה זו אולי קשוחה מדי‪ ,‬כי הרי בבירור קיימים‬
‫ארגונים שבהם לא מודדים כמעט דבר‪ ,‬ובכל‬
‫זאת הם מתנהלים‪ .‬אמנם הם מתנהלים‪ ,‬אך לא‬
‫כל כך טוב‪ .‬העובדה המוכחת היא שקשה מאוד‬
‫לנהל ארגון ללא מדדים‪ .‬הוכח בעשרות מחקרים‬
‫בעשרות השנים האחרונות שארגונים שמנוהלים‬
‫על‪-‬בסיס מדדים שורדים יותר טוב ומצליחים יותר‬
‫מארגונים אחרים‪ .‬לא לחינם נכנס נושא המדידה‬
‫כנושא מרכזי (אחד משמונת העקרונות של ניהול‬
‫איכות) בתקן העולמי ‪ ,ISO 9000‬ומתוך ראיה שלא‬
‫ניתן להשיג שיפור מתמיד ללא מדידה‪ ,‬ויש לעבור‬
‫מניהול לפי תחושות לניהול לפי עובדות‪.‬‬
‫כמו כן‪ ,‬לא לחינם נושא זה מקבל מקום מרכזי‬
‫במודל הבשלות ‪( CMM -‬ר"ת של‬
‫‪ )Maturity Model‬וזאת מתוך ראיה שארגון בוגר‬
‫בעל תהליכים אפקטיביים הוא ארגון המודד את‬
‫עצמו ומשתמש במדדים אלה כדי לנהל באופן‬
‫שוטף את הפעילויות‪.‬‬
‫‪Capability‬‬
‫יש לנצל את תהליך המדידה ככלי ניהולי אשר‬
‫מאפשר לכוון את הארגון לכיוון היעדים שהוצבו לו‪.‬‬
‫ברור ומוכח מעל לכל ספק שארגון הרוצה‬
‫להצליח‪ ,‬הרוצה להיות איכותי‪ ,‬והרוצה שלקוחותיו‬
‫יהיו שבעי רצון ונאמנים לו‪ ,‬חייב להתנהל בצורה‬
‫שיטתית‪ ,‬מדידה‪ ,‬עם חזון ומטרות ברורות‬
‫ומדידות‪ ,‬עם מערכת מדידה מוגדרת ואפקטיבית‪,‬‬
‫ועם תהליכים ומוצרים שנמדדים באופן שוטף‬
‫ועומדים ביעדים מוגדרים ומדידים‪.‬‬
‫לקראת אירוע‪:‬‬
‫סדנא מקצועית בנושא ‪Security Metrics‬‬
‫ראיון עם מר דני אברמוביץ‪ ,‬הנשיא של האיגוד העולמי לאבטחת מידע (‪ – )ISSA‬הציאפטר הישראלי‪,‬‬
‫ומייסד ומנכ"ל קבוצת ‪.TITANS SECURITY‬‬
‫בעידן הסייבר‪ ,‬שבו האיומים מתחדשים מדי יום‪,‬‬
‫האתגרים של מנהלי אבטחת המידע בארגון‬
‫הולכים וגדלים עם הזמן‪ .‬הטמעת בקרות‬
‫(פתרונות אבטחת מידע) אינה עוזרת‪ ,‬מבלי לוודא‬
‫שאכן המוצרים הללו אכן עוזרים לנו להשיג את‬
‫היעדים שקבענו לעצמנו‪ ,‬או לתמוך בדרישות‬
‫ובמטרות העסקיות של הארגון‪.‬‬
‫כעת‪ ,‬מנהל אבטחת המידע בארגון נדרש לקבוע‬
‫מדדים למדידת האפקטיביות של הבקרות‪ ,‬נדרש‬
‫למדוד את רמת הבשלות של מצב אבטחת‬
‫המידע בארגון‪ ,‬ונדרש אף להציג החזר השקעה‬
‫(‪ )ROI‬בתחום אבטחת המידע‪.‬‬
‫מה סדנת ‪ Security Metrics‬סוקרת?‬
‫הסדנא סוקרת את העולם של המדדים בתחום‬
‫אבטחת המידע (‪ – )Security Metrics‬תחום‬
‫מעורפל בארסנל הכלים של כל מנהל אבטחת‬
‫מידע בארגון‪ ,‬והדרך היעילה והאפקטבית ביותר‬
‫להגדיר‪ ,‬למדוד ולוודא שיפור מתמיד‪.‬‬
‫מהן מטרות הסדנא?‬
‫מטרת הסדנא היא להקנות הבנה של מושגי‬
‫הייסוד בעולם ממשל אבטחת המידע (‪Security‬‬
‫‪ ,)Governance‬הבנה של מדידה בתחום אבטחת‬
‫המידע‪ ,‬סוגי המדדים הקיימים‪ ,‬אופן הגדרתם‬
‫ומדידתם בצורה היעילה ביותר‪.‬‬
‫ממהו הערך המוסף בסדנא?‬
‫ראשית כל המשתתפים יקבלו חומר לימוד‪ ,‬ככלי‬
‫עזר שיוכלו להשתמש בזה אחר כך בארגון שלהם‪.‬‬
‫דבר שני‪ ,‬המשתתפים יתרגלו מגוון דוגמאות של‬
‫בניית תוכנית עבודה‪ ,‬קביעת מדדים למדידת‬
‫האפקטיביות של הבקרות ושל תוכניות העבודה‪,‬‬
‫ועוד‪ .‬הסדנא שמה דגש רב על תרגול‪.‬‬
‫מה חדש בסדנא?‬
‫הסדנא כוללת התייחסות לעולם הנסתר של‬
‫ממל אבטחת מידע תוך דגש על עולם הסייבר‪,‬‬
‫נושא שמטריד את כולנו‪ .‬כמו כן‪ ,‬הסדנא תכלול‬
‫התייחסות למתודולוגיות ומסגרות לקביעת‬
‫מדדים לצורך מדידת האפקטיביות של הבקרות‪.‬‬
‫למה חשוב לאנשים להגיע דווקא‬
‫לסדנא זו?‬
‫זוהי הסדנא היחידה בארץ‪ ,‬ובין הבודדות בעולם‬
‫שמתרגלת ומקנה כלים מקצועיים למנהל‬
‫אבטחת המידע בארגון‪ ,‬להתמודדות עם סוגיה‬
‫כואבת זו של מדדים בתחום אבטחת המידע‬
‫(‪ .)Security Metrics‬מתוך הכרות עם השוק‪,‬‬
‫וביקורים בעשרות ארגונים בארץ ובחו"ל‪ ,‬הנושא‬
‫הזה מטריד את כל מנהלי אבטחת המידע‪ ,‬מה‬
‫שהופך את הנושא לאחד המבוקשים ביותר בקרב‬
‫היועצים‪.‬‬
‫עם איזה סט כלים המשתתפים יוצאים‬
‫מהסדנא?‬
‫(‪Security‬‬
‫היכולות להבין את עולם המדדים‬
‫‪ ,)Metrics‬כיצד לבנות תוכנית עבודה רב שנית‪,‬‬
‫ולמדוד את האפקטיביות שלה‪ ,‬ולימוד ותרגול של‬
‫מתודולוגיה מוכחת בתחום זה‪.‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪21‬‬
‫‪22014‬‬
‫‪014‬‬
‫מפת‬
‫האיומים‬
‫תפקידו של ה‪CISO-‬‬
‫כמעט מחצית שנת ‪ ,2014‬ומפת האיומים שאותה מסרנו לפני למעלה מחצי שנה‪ ,‬התגשמה לצערנו‬
‫הרב‪ .‬עקב השימוש המואמץ בטכונולוגיות ענן‪ ,‬רשתות חברתיות ומכשירים ניידים‪ ,‬משטח מנעד‬
‫התקיפה שלנו מתרחב ועל פניו מציב יעדים רבים יותר לגורמים עוינים‪.‬‬
‫רשתות חברתיות והנדסה חברתית‬
‫(‪Social Networks & Social‬‬
‫‪ – )Engineering‬המקור הראשון‬
‫לאיסוף מודיעין סייבר‪.‬‬
‫מאות מיליוני משתמשים ברשתות החברתיות‬
‫(דוגמת ‪ ,) Facebook, LinkedIn, Twitter‬מנדבים‬
‫מידע‪ ,‬שאופיו ברבים מהמקרים אישי‪ ,‬דבר‬
‫ההופך את כר הפעילות הזה לאטרקטיבית‬
‫במיוחד בעבור תוקפים פוטנציאליים‪ .‬המתקדמים‬
‫והמתוחכמים שבהם משתמשים במידע על מנת‬
‫לצייר פרופיל של ה"יעד" כחלק מתקיפה מורכבת‬
‫יותר‪ ,‬והפושעים הפשוטים גורמים למשתמשים‬
‫לשתף פעולה בפשעי גניבה קטנים לדוגמא‬
‫באמצעות הדבקה עצמית בוירוסים‪.‬‬
‫רוגלות ונוזקות למכשירים ניידים‬
‫(‪ – )Malware‬מגרש המשחקים‬
‫החדש של ההאקרים‪.‬‬
‫השימוש הנרחב בניידים והיכולות המתקדמות‬
‫של סמארטפונים הן לצרכים פרטיים והן‬
‫לצרכים עסקיים‪ ,‬הופך גם את כר הפעילות הזה‬
‫לאטרקטיבי בעבור תוקפים‪ .‬בשנה האחרונה‬
‫צפינו בעלייה של ‪ 250%‬בתפוצה של ‪Malware‬‬
‫למכשירים ניידים‪ .‬רוגלות אלו מאפשרות לתוקף‬
‫מגוון פעולות‪ ,‬החל מאיכון‪ ,‬דרך פתיחת מצלמה‬
‫וכמובן צפייה בכל מידע על המכשיר (לדוגמא‬
‫פרטי בנק) ובהקשר העסקי הן מהוות דרך נוספת‬
‫לחדור לארגון‪ .‬כפועל יוצא‪ ,‬בשנה האחרונה אנחנו‬
‫‪22‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫עדים בד בבד‪ ,‬לפריצת דרך בטכנולוגיית הגנה‪,‬‬
‫שבשלב זה זמינות רק לארגונים בשל עלויות‬
‫גבוהות‪.‬‬
‫ריגול ולוחמת סייבר –‬
‫אימפריה מכה שנית‬
‫בשנה החולפת ראינו עלייה דרמטית בשימוש‬
‫בלוחמת סייבר בקונפליקטים בין‪-‬מדינתיים‪,‬‬
‫ובשימוש בלוחמת סייבר על ידי ארגוני טרור‬
‫וקבוצות אקטיביסטים‪ .‬מדינת ישראל וארגונים‬
‫מסחריים בארץ היוו יעד למיליוני תקיפות‬
‫בשנה האחרונה (רובן המכריע פשוטות)‪ ,‬בנקים‬
‫אמריקאיים ובריטים מובילים סבלו מהתקפות‬
‫רבות שמהותן הפסקת שירות (‪ )DDoS‬על ידי‬
‫גורמים המזוהים עם איראן‪ .‬קיים שיתוף פעולה‬
‫הדוק בין גורמי פשיעה למדינות שבהן משטרים‬
‫פחות יציבים וסביר מאוד להניח כי נראה עלייה‬
‫ברמת ובמורכבות התקיפות‪ .‬גם השנה אנו רואים‬
‫דומגאות ברורות של מלחמות סייבר‪ ,‬בין מדינות‬
‫בעיקר‪ ,‬קרי רוסיה ואוקראינה‪.‬‬
‫חשיפות בתוכנות – התיחכום של‬
‫המתקפות עולה דרגה‪.‬‬
‫ללא ספק כר התקיפה ה"שקוף" הנרחב ביותר‬
‫(ללא צורך בהתערבות המשתמש) גם לעברייני‬
‫סייבר וגם לגופי ריגול חובקי עולם‪ .‬השימוש‬
‫הנרחב בטכנולוגיית ג'אווה‪ ,‬פלאש ותוכנות אדובי‬
‫אחראי לבדו למיליוני הדבקות בסוסים טרויאנים‪,‬‬
‫כמו גם במתקפות נרחבות לצורכי רווח פינסי‬
‫וגם במתקפות ממוקדות לצורכי ריגול תעשייתי‬
‫ובין‪-‬מדינתי‪.‬‬
‫רוגלות וזדונות ל‪– Mac & iOS-‬‬
‫הנוזקות עוברות דירה‬
‫לפני כשנה וחצי ראינו את התוכנה הזדונית‬
‫הנפוצה הראשונה המיועדת למערכת הפעלה‬
‫של אפל‪ .‬השימוש המתרחב במערכות אילו כולל‬
‫אייפונים ואייפדים בשילוב עם הגורם האנושי‬
‫של חוסר מודעות של משתמשים‪ ,‬מזמין עלייה‬
‫במוטיבציה לייצר רוגלות ותוכנות זדוניות‪ .‬חוקרי‬
‫אבטחה מעריכים כי הזירה של הנוזקות עוברת‬
‫כעת למערכות ההפעלה הנפוצות ביותר‪ ,‬בדיוק‬
‫כפי שקרה עם מערכות מיקרוסופט בעבר‪.‬‬
‫התחזית להמשך השנה‬
‫אולם לא הכל שחור‪ .‬בשנה החולפת ראינו עלייה‬
‫דרמטית בהשקעות ממשלתיות ועסקיות של‬
‫אנג'לים וקרנות הון סיכון בטכנולוגיות הגנה‪.‬‬
‫שיתוף הפעולה בין גופים אזרחיים ואחרים‬
‫השתפר מאוד וניכר מאמץ משותף לצמצם את‬
‫מימדי האיום‪.‬‬
‫ככל שהזמן עובר‪ ,‬אנו רואים עשרות חברות‬
‫חדשות בתחום הסייבר‪ ,‬כאשר המטרה היא‬
‫להמציא את הטכנולוגיה החדשה הבאה שתקשה‬
‫מאוד ואף תסייע לארגון לבלום את המתקפות‬
‫סייבר העתידיות‪.‬‬
‫בעידן הסייבר‬
‫תפקידו של ה‪ ,CISO-‬מעולם לא היה יותר מאותגר מאשר בעידן הסייבר‪ .‬אם עד לפני מספר שנים‪,‬‬
‫מטרתנו הייתה להגן על המידע‪ ,‬ועל הארגון מפני גישה לא מורשית‪ ,‬בעיןד הסייבר‪ ,‬לצד חידושים‬
‫טכנולוגיים כגון ‪ ,BYOD‬ומחשוב ענן‪ ,‬משימתו של ה‪ ,CISO-‬מאתגרת מתמיד‪.‬‬
‫ראשית כל‪ ,‬קצת קשה להגן על המידע כאשר‬
‫המידע מבוזר‪ ,‬ואין כבר גבולות גזרה ברורים‪.‬‬
‫המידע כיום נמצא מחוץ לכותלי הארגון‪ ,‬אם זה‬
‫דרך מגמת ה‪ ,BYOD-‬או דרך מחשוב ענן‪.‬‬
‫הנחה נוספת‪ ,‬הינה שהארגון כבר הותקף‪ ,‬וככל‬
‫הנראה שיש לנו סוג של נוזקה או שתיים בתוך‬
‫הארגון‪ ,‬ומשימתנו החדשה היא לאתר ולזהות‬
‫אותה בהקדם‪ ,‬על מנת למזער את מידת הנזק‬
‫שאולי כבר נגרם‪.‬‬
‫לצד האתגרים‪ ,‬עומדים לרשותו של מנהל‬
‫אבטחת המידע בארגון תקנים רבים‪ ,‬ומסגרות‬
‫מקצועיות שבעזרתם הוא יכול להתמודד עם‬
‫איומי הסייבר‪.‬‬
‫המסגרות הללו‪ ,‬לצד פתרונות טכנולוגיים‬
‫חדשניים‪ ,‬יכולים לסק מעטפת הגנה הולמת‬
‫להתמודדות עם איומי הסייבר‪.‬‬
‫על מנת להתמודדת עם איומי הסייבר‪ ,‬על מנהל‬
‫אבטחת המידע לאמץ גישה פרואקטיבית‪,‬‬
‫שתאפשר לו לנקוט בכל האמצעים הדרושים‪,‬‬
‫על מנת לנסות למנוע את המתקפה‪ ,‬או לפחות‬
‫למזער את מידת ההשפעה שלה על הנכסים‬
‫הקריטיים של הארגון‪.‬‬
‫מודיעין סייבר‬
‫הטמעת פתרונות הגנת סייבר‬
‫השלב הראשון במהטפת ההגנה הינו מודיעין‬
‫סייבר‪ .‬קבלת מידע חיוני בבוא מועד‪ ,‬יכול לסייע‬
‫ל‪ ,CISO-‬בהכנת מערך ההגנה בארגון‪ ,‬לצורך‬
‫התמודדות יעילה אל מול איומי הסייבר‪.‬‬
‫כתוצר של תהליך ניהול סיכוני סייבר‪ ,‬יתכן‬
‫שהארגון יידרש להטמיע פתרונות סייבר חדשים‪,‬‬
‫בהתאם לממצאים שעלו בתהליך הערכת‬
‫הסיכונים‪ .‬מימוש פתרונות הולמים‪ ,‬לצד נהלי‬
‫תפעול נאותים‪ ,‬יאפשרו לעבות את מערך ההגנה‬
‫בארגון‪.‬‬
‫כיום ישנם הרבה חברות אשר מספקות שירותי‬
‫מודיעין סייבר (כללי או ממוקד)‪ .‬מומלץ לרכוש‬
‫שירות כזה‪ ,‬ולוודא שישנם נהלים בארגון להפוך‬
‫את המודיעין סייבר לפעילויות ביצוע‪ ,‬כגון גיבוש‬
‫המלצות‪ ,‬שיהפכו לנהלי תפעול שיהפכו למימוש‬
‫וטיוב הגדרות במערך ההגנה (‪.)Fine Tuning‬‬
‫ניהול סיכוני סייבר‬
‫שכבת הכנה נוספת‪ ,‬הינה תהליך נכון של ניהול‬
‫סיכוני סייבר‪ ,‬אשר מורכב מגילוי וניתוח פגיעויות‬
‫(כולל פגיעויות חדשות‪ ,‬להלן "‪ ,)Zero Day‬ניתוח‬
‫האיומים הקיימים על הנכסים הקריטיים של‬
‫הארגון‪ ,‬ניתוח סבירות של מימוש האיום (לאור‬
‫מידת החשיפה של הנכסים לאותם איומים ולאור‬
‫הבקרות הקיימות בארגון)‪ ,‬ניתוח מידת ההשפעה‬
‫של מימוש האיום על הנכס‪ ,‬וחישוב רמת הסיכון‬
‫הכוללת על הנכסים הקריטיים של הארגון‪.‬‬
‫מסגרת לניהול והתמודדות‬
‫עם אירועי סייבר‬
‫כיום‪ ,‬ישנו תקן סייבר (‪ )ISO 27001‬אשר מהווה‬
‫מסגרת נאותה להתמודדות עם איומי סיביר‪,‬‬
‫ומספק ל‪ CISO-‬סט של המלצות (‪)Guidelines‬‬
‫למימוש מערך סייבר כולל בארגון‪.‬‬
‫אחד התוצרים הוא הקמת תהליך מובנה של ניהול‬
‫ותגבוה לאירועי סייבר‪ ,‬אשר יכול לסייע ל‪CISO-‬‬
‫בהתמודדות יעילה עם איומי סייבר שונים‪ ,‬בהתאם‬
‫לרמות החומרה‪ ,‬שכל ארגון יגדיר לעצמו‪.‬‬
‫הכותב הינו מר דני אברמוביץ‪ ,‬מייסד ומנכ"ל‬
‫חברת ‪ ,TITANS SECURITY‬אשר מתמחה בליווי‬
‫וייעוץ לתקני אבטחת מידע מובילים‪ ,‬ביניהם תקן‬
‫סייבר (‪.)ISO 27032‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪23‬‬
‫קבוצת טייטנס סקיוריטי פיתחה את‬
‫סיכונים‬
‫במחשוב ענן‬
‫המסלול המוביל בעולם‬
‫כהכנה לבחינת ההסמכה של ‪CISSP‬‬
‫‪CISSP‬‬
‫( ‪Cloud‬‬
‫המונח מחשוב ענן‬
‫‪ )Computing‬מתייחס לרוב‬
‫לשירותי מחשוב‪ ,‬למרות שכיום‬
‫המושג מתרחב יותר ויותר לכיוונים‬
‫אחרים (‪Storage-as-a-Service,‬‬
‫‪ Security-as-a-Service‬ועוד)‪.‬‬
‫שירותים אלה מתחלקים לסוגים‬
‫שונים‪ .‬המוטיבציה העיקרית‬
‫לעבור לענן היא חסכון במשאבים‬
‫(שטח פיזי‪ ,‬שרתים‪ ,‬תוכנות ועוד)‬
‫ומכך חסכון בעלויות‪.‬‬
‫ •קורס ‪CISSP‬‬
‫‪r‬‬
‫‪Special Boot-Camp Preparation‬‬
‫זהו המסלול היחיד שכולל הכנה מלאה לבחינות ההסמכה‬
‫בפורמט החדש (‪100%‬הצלחה בשלושת הבחינות האחרונות)‬
‫שירותי ענן מוצעים בשיטות שונות ובמונחים‬
‫שונים‪ .‬מבחינת היבטי אבטחת מידע‪ ,‬ניתן לחלק‬
‫את הענן לשירותים הניתנים בתוך הארגון (בעיקר‬
‫וירטואליזציה פנימית)‪ ,‬ושירותים באינטרנט‪.‬‬
‫להלן מספר סיכונים בשירותי ענן חיצוניים‪:‬‬
‫•מעילה\גניבה‪ :‬משתמש בעל הרשאות‬
‫גבוהות (‪ )Admin‬בחוות השרתים של הענן‬
‫מסוגל להפעיל אפליקציות רגישות או להיכנס‬
‫לבסיסי נתונים רגישים ולבצע מעילה בכספי‬
‫הארגון או לגנוב נתונים רגישים‪ .‬כל זאת‪ ,‬ללא‬
‫יכולת בקרה של הארגון‪.‬‬
‫•תשתית לא מאובטחת‪ :‬אם בארגון יש‬
‫למנהלי הרשת בקרה על הקשחת שרתים‪,‬‬
‫השרתים בענן עשויים שלא להיות בשליטת‬
‫הארגון‪ .‬ניצול פרצות בהקשחות השרתים עשוי‬
‫לאפשר ניצולם לרעה‪.‬‬
‫•היעדר אמצעי אבטחה נאותים‪ :‬אם‬
‫ברשת הפנימית אנחנו יכולים להתקין מערכות‬
‫אבטחה כראות עינינו‪ ,‬בענן היכולת שלנו‬
‫מוגבלת עד בלתי‪-‬אפשרית‪ .‬רמת אבטחת‬
‫המערכות שלנו עשויה לרדת באופן משמעותי‬
‫ביציאה לענן‪.‬‬
‫•ממשק ניהול פרוץ‪ :‬כדי להקל על‬
‫ארגונים‪ ,‬או עקב חוסר מודעות‪ ,‬ספק הענן‬
‫עשוי לאפשר גישה לא מאובטחת כראוי‬
‫ללקוחות השונים לצורך ניהול המערכות‪ .‬סביר‬
‫להניח שהאקר ינסה בראש ובראשונה להשיג‬
‫‪24‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫‪a‬‬
‫‪n‬‬
‫‪mi‬‬
‫‪e‬‬
‫‪S‬‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫גישה לממשק זה שיאפשר לו שליטה מלאה‬
‫לביצוע פעולות זדוניות‪.‬‬
‫•תקלות כלליות‪ :‬תקלה בהגדרות‬
‫או בתוכנה של הספק עשויות לפתוח‪,‬‬
‫באופן זמני‪ ,‬פרצת רוחבית לכל המערכות‬
‫המאוחסנות אצל הספק‪ .‬לא מסמן פורסם‬
‫מקרה כזה שאפשר‪ ,‬למשך שעתיים‪ ,‬גישה‬
‫לכולם ללא סיסמה‪ .‬וכולנו זוכרים את המקרה‬
‫של ענקית גוגל שנפלה למשל יממה שלמה‪.‬‬
‫•שיתוף מידע‪ :‬המידע המאוחסן ע"י הספק‬
‫יושב בתשתית אחסון (‪ )Storage‬משותפת‪.‬‬
‫הגדרות לקויות עשויות לגרום לזליגת מידע‬
‫בין לקוחות‪.‬‬
‫•חבות משפטית‪ :‬בשירותי ענן‪ ,‬לא ברור‬
‫איפה השירות נמצא – באיזה מדינה חוות‬
‫השרתים מותקנת‪ .‬ייתכן גם שהשירות ינדוד‬
‫בין חוות שרתים במדינות שונות באופן שקוף‬
‫לארגון‪ .‬במקרה של אירוע‪ ,‬מול איזה ישות‬
‫משפטית ימוצה הדין‪ ,‬ולפי חוק של איזה‬
‫מדינה? האם יש לארגון שליטה על בחירת‬
‫הרשות השופטת?‬
‫•יכולות ביצוע תחקור (‪:)Forensics‬‬
‫בעבודה במחשוב ענן‪ ,‬במיוחד כאשר‬
‫השרתים מאוחסנים בחוות שרתים במדינות‬
‫אחרות‪ ,‬היכולת שלנו לנהל אירועים ולתחקר‪,‬‬
‫היא כמעט שואפת לאפס‪ .‬זהו פרמטר חשוב‪,‬‬
‫באם הארגון ייאלץ חקירה דיגיטלית‪.‬‬
‫מה שמרתיע‪ ,‬זאת העובדה שעדיין לא כל‬
‫האיומים ברורים לנו בעבודה בענן‪ .‬בעתיד יתגלו‬
‫סיכונים שטרם חשבנו עליהם‪ .‬ברור שאם טרם‬
‫מופו כל הסיכונים‪ ,‬טרם נתפרו מנגנוני הגנה מפני‬
‫סיכונים אלה‪.‬‬
‫ביום הדין‪ ,‬הארגון עשוי למצוא את‬
‫עצמו בבעיה קשה‪.‬‬
‫למה כדאי ללמוד אצלנו?‬
‫• הצלחה בטוחה ‪ -‬למעלה‬
‫מ‪ 98%-‬הצלחה בבחינות הגמר‪.‬‬
‫• ‪ Networking‬עם מיטב‬
‫הבכירים במשק הישראלי‪.‬‬
‫• מיטב המרצים בתעשייה‬
‫הישראלית והבינלאומית‪.‬‬
‫• חברות שנתית באיגוד העולמי‬
‫לאבטחת מידע ‪ ISSA‬ובאיגוד‬
‫הישראלי‪.‬‬
‫• תרגול מעשי רב ומגוון בנושאים‬
‫העכשוויים‪.‬‬
‫• ערכות לימוד ייחודיות ובלעדיות‪.‬‬
‫והדבר הכי חשוב!!!‬
‫היות ואנו בטוחים בהצלחה שלנו‪ ,‬אנו מציעים לכלל‬
‫התלמידים הטבות נוספות‪:‬‬
‫לא עברת את הבחינה?‬
‫קבל קורס חוזר ב‪50%-‬‬
‫(ללא אותיות קטנות)‬
‫עברת את הבחינה?‬
‫קבל זיכוי של עלות הבחינה‪ ,‬לניצול בקורס הבא‬
‫במכללת ‪.Titans Security‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫למידע נוסף וקביעת פגישת ייעוץ‪:‬‬
‫ייעוץ אקדמי ‪Ts-academy@Titans2. com | 077-5150340 :‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪25‬‬
‫בניית מערך‬
‫פיזית‬
‫אבטחה‬
‫חלק א'‬
‫מטרת בניית מערך אבטחה פיזית‬
‫הינה למנוע גישה לא מורשית‪ ,‬גרימת‬
‫נזק והפרעה למערכות הקריטיות ו‪/‬‬
‫או למידע הקריטי שבבעלות הארגון‪.‬‬
‫הערכת סיכונים‬
‫בניית מערך כזה‪ ,‬מחייב להבין את התהליכים‬
‫העסקיים בארגון‪ ,‬ומה מיתר האיומים (ברמה‬
‫הפיזית) שיכולים לשבש את התהליכים הללו‪.‬‬
‫על כך‪ ,‬חשוב לבצע תהליך של הערכת סיכונים‪,‬‬
‫בהיבט אבטחה פיזית וסביבתית‪ ,‬על מנת להעריך‬
‫נכונה את רמות הסיכון ולנקוט בכל האמצעים‬
‫הדרושים על מנת למזער את הסיכון למינימום‬
‫האפשרי (סיכון שיורי)‪.‬‬
‫מערך ההגנה חייב להתאים לסיכונים שזוהו‪.‬‬
‫בבניית מערך אבטחת מידע פיזית‪ ,‬צריכים לקחת‬
‫בחשבון מספר פרמטרים‪ ,‬כאשר בדיוק כמו‬
‫באבטחה לוגית‪ ,‬בניית מערך אבטחה בשכבות‬
‫( ‪ )Layered Defense‬יכול למנוע או לפחות‬
‫להקשות על התוקף גישה לא מורשית וגרימת‬
‫נזק למערכות הקריטיות של הארגון‪.‬‬
‫מעגלי אבטחה פיזית‬
‫ניתן להשיג הגנה פיזית על ידי יצירת מספר‬
‫מחשובמים פיזיים סביב חצרי הארגון וסביב‬
‫מרכזי המחשוב‪ .‬כל מחסום יוצר מעגל אבטחה‪,‬‬
‫וכל אחד מהם משפר את רמת האבטחה הכוללת‬
‫על הארגון‪.‬‬
‫רצוי שארגונים ישתמשו במעגלי אבטחה כדי‬
‫להגן על אזורים המכילים מרכזי עיבוד מידע‪.‬‬
‫מעגלי אבטחה יכולים להיות שערי כניסה‬
‫‪26‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫מבוקרים באמצעות מאבטחים‪ ,‬קוראי כרטיסים‬
‫אלקטרוניים‪ ,‬או אף שולחן קבלה מאויש‪ .‬המיקום‬
‫והחוזק של כל מחסום תלויים בתוצאות של‬
‫הערכת הסיכונים‪.‬‬
‫ •ישנה חשיבות רבה ליישם מערך ‪,CCTV‬‬
‫המחובר למוקד‪ ,‬שיאפשר תגובה מהירה‪,‬‬
‫במתחם‪.‬‬
‫בקרות כניסה פיזיות‬
‫להלן מספר הנחיות ובקרות שיש לשקול וליישם‬
‫בארגון (בהתאם לממצאים הערכת הסיכונים)‪:‬‬
‫ •יש להגדיר בבירור מהם מעגלי האבטחה‪,‬‬
‫ומפני אילו איומים הם אמורים להגן‪.‬‬
‫כל האזורים המאובטחים בארגון יוגנו באמצעות‬
‫בקרות כניסה מתאימות כדי להבטיח שרק‬
‫עובדים מורשים יורשו להיכנס‪.‬‬
‫ •מעגל הגנה שמקיף בניין או אתר המכיל מרכזי‬
‫עיבוד מידע יהיה רציף פיזית (כלומר‪ ,‬בכל‬
‫היקפו לא יהיו מרווחים או אזורים המאפשרים‬
‫פריצה בקלות למתחם)‪ .‬הקירות החיצוניים‬
‫של המתחם יהיו בעלי מבנה מוצק ואיתן וכל‬
‫הדלתות החיצוניות יהיו מוגנות כיאות כנגד‬
‫גישה לא מורשית‪ ,‬כגון באמצעות מנגנוני‬
‫בקרה‪ ,‬מוטות‪ ,‬אזעקות ומנעולים‪.‬‬
‫יש לשקול אמצעי בקרה אלה‪:‬‬
‫ •מבקרים באזורים מאובטחים ייכנסו תחת‬
‫פיקוח או שיעברו סריקת אבטחה‪ ,‬ויירשמו‬
‫התאריך והשעה של כניסתם ושל יציאתם‪.‬‬
‫תינתן להם גישה רק למטרות מסוימות‪,‬‬
‫מורשות‪ ,‬והם יצוידו בכרטיס מבקר (המבדיל‬
‫אותם מהעובדים המורשים) ויתודרכו‬
‫בהוראות לגבי דרישות האבטחה באזור ולגבי‬
‫נוהלי החירום‪.‬‬
‫ •חשוב שיהיה אזור קבלה מאויש או אמצעי‬
‫אחר לבקרת גישה פיזית למתחם‪ .‬במקרה‬
‫ומדובר באזורים ממודרים (רגישים)‪ ,‬הגישה‬
‫למתחם תוגבל לעובדים מורשים בלבד‪.‬‬
‫ •מומלץ להקים מחסומים פיזיים‪ ,‬אם צריך‪,‬‬
‫במלוא הגובה שבין הרצפה לתקרה‪ ,‬בכדי‬
‫למנוע כניסה לא מורשית למתחם‪.‬‬
‫ •כל גישה למידע רגיש ולמרכזי העיבוד מידע‪,‬‬
‫תבוקר ותוגבל לאנשים מורשים בלבד‪ .‬כדי‬
‫לאשר זהות ולעורך תיקוף לכל הגישות‪,‬‬
‫ייושמו בקרות של אימות‪-‬זהות‪ ,‬כגון כרטיס‬
‫מגנטי ומספר זהות אישי‪ .‬יישמר היטב נתיב‬
‫הביקורת של כל גישה למתחם‪ ,‬בייחוד‬
‫לאזורים הממודרים (רגישים)‪.‬‬
‫ •חשוב שכל דלתות באזורים רגישים יהיו‬
‫חסינות אש‪ ,‬ובנוסף יצויידו במנגנון אזעקה‬
‫וייסגרו בטריקה‪.‬‬
‫ •כל העובדים יידרשו לענוד תג זיהוי כלשהו‪,‬‬
‫נראה לעין‪ ,‬עם תמונה ברורה של העובד‪,‬‬
‫ויתבקשו לבדוק בנימוס כל אדם זר שנראה‬
‫באזור ללא ליווי‪ ,‬וכל מי שאינו עונד תג זיהוי‪.‬‬
‫ •חשוב לפזר חיישני תנועה‪ ,‬בכל האזורים‬
‫הממודרים‪ ,‬והפעלתם בייחוד אחר שעות‬
‫העבודה ‪,‬על מנת לאתר תנועה לא מורשית‬
‫באזורים הממודרים‪.‬‬
‫ •זכויות הגישה לאזורים ממודרים ייסקרו דרך‬
‫קבע ויעודכנו‪.‬‬
‫אבטחת משרדים‪ ,‬חדרים‬
‫וחדרי מחשב‬
‫גישה לא מורשית‪ ,‬ואסונות טבע או סביבתיים‪.‬‬
‫אזור מאובטח יכול להיות משרד נעול או כמה‬
‫חדרים בתוך מעגל מאובטח פיזית היכולים להיות‬
‫נעולים ויכולים להכיל ארונות או כספות הניתנים‬
‫לנעילה‪ .‬בבחירת אזור מאובטח ובתכנונו יובא‬
‫בחשבון מידת הנזק האפשרית מפני שריפה‪,‬‬
‫הצפה‪ ,‬התפוצצות‪ ,‬אי‪-‬שקט חברתי‪ ,‬ומפני סוגים‬
‫אחרים של אסונות טבע או אסונות היכולים‬
‫להיגרם בידי בני אדם‪.‬‬
‫ •מדריכים וספרי טלפונים פנימיים המזהים‬
‫מיקום של מרכזי מחשוב‪ ,‬לא יהיו נגישים‬
‫לציבור הרחב‪.‬‬
‫יובאו בחשבון גם דרישות חוק ותקנים בנושא‬
‫בטיחות וגיהות‪ .‬כמו כן‪ ,‬יובאו בחשבון גם איומי‬
‫אבטחה הנשקפים מחצרי שכנים‪ ,‬כגון דליפת מים‬
‫מאזורים אחרים‪ ,‬פריצת שריפה מקומה למטה או‬
‫למעלה‪ ,‬וכו'‪.‬‬
‫ •חומרים מסוכנים או בעירים יאוחסנו במקום‬
‫בטוח ובמרחק בטוח מהאזור המאובטח‪ .‬ציוד‬
‫המסופק בתפזורת כגון חומרי כתיבה‪ ,‬לא‬
‫יאוחסן בתוך האזור המאובטח‪ ,‬אלא כאשר‬
‫יהיה בו צורך‪.‬‬
‫יש לשקול אמצעי בקרה אלה‪:‬‬
‫ •מרכזי עיבוד מידע ימוקמו כך שלא תתאפשר‬
‫גישת ציבור אליהן‪.‬‬
‫ •ציוד עתודה לשעת חירום ואמצעי גיבוי ימוקמו‬
‫במרחק בטוח כדי למנוע נזק במקרה של אסון‬
‫באתר הראשי‪.‬‬
‫ •בניינים יהיו בעלי חזות צנועה וישאו סימני היכר‬
‫מינימאליית בלבד‪ .‬לא יהיו עליהם סימנים‬
‫בולטים‪ ,‬לא בחוץ ולא בפנים‪ ,‬המסגירים את‬
‫העובדה שיש בהם מרכזי מחשוב‪.‬‬
‫ •יחידות תמיכה וציוד‪ ,‬כגון מכונות לצילום‬
‫מסמכים ומכשירי פקסימיליה‪ ,‬ימוקמו כיאות‬
‫בתוך האזור מאובטח כדי למנוע בקשות גישה‬
‫העלולות לסכן גישה לא מורשית למידע רגיש‪.‬‬
‫ •דלתות וחלונות יהיו נעולים כאשר אין אנשים‬
‫לידם ותישקל הגנה חיצונית לחלונות‪ ,‬במיוחד‬
‫בקומת קרקע ו\או קומה ארחונה‪.‬‬
‫ •חשוב להתקין מערכות מתאימות לגילוי‬
‫חדירה‪ ,‬לפי תקנים מקצועיים‪ ,‬והן יבוקרו‬
‫תקופתית ויוגנו על כל הדלתות החיצוניות‬
‫והחלונות הנגישים‪ .‬באזוריםש אין בהם אנשים‬
‫תהיה מערכת האזעקה מוכנה להפעלה בכל‬
‫זמן‪ .‬גם אזורים אחרים‪ ,‬כגון חדר המחשבים או‬
‫חדר תקשורת‪ ,‬יהיו מאובטחים ומוגנים מפני‬
‫ •מרכזי מחשוב המנוהלים על ידי הארגון יהיו‬
‫מופרדים פיזית ממרכזי מחשוב המנוהלים על‬
‫ידי צד שלישי‪.‬‬
‫נהלי עבודה באזור מאובטח‬
‫כדי להגביר את מערך האבטחה של אזורים‬
‫מאובטחים‪ ,‬ייתכן שיהיה צורך בבקרות והנחיות‬
‫נוספות‪ .‬הדבר כולל בקרות עבור עובדי הארגון או‬
‫עובדי צד שלישי‪ ,‬העובדים באזור מאובטח‪ ,‬ועבור‬
‫פעילויות של צד שלישי המתבצעות בו‪.‬‬
‫יש לשקול את אמצעי הבקרה הללו‪:‬‬
‫ •יש למנוע מהעבודים לעבוד ללא פיקוח באזור‬
‫מאובטח‪ ,‬הן מטעמי מטיחות והן כדי למנוע‬
‫מתן הזדמנויות לבצע פעילויות זדוניות‪.‬‬
‫נוספים‪ ,‬לבקרת גישה פיזית‪.‬‬
‫ •לא תתאפשר הכנסת ציוד צילום‪ ,‬חוזי (וידאו)‪,‬‬
‫שמע‪ ,‬או כל ציוד הקלטה אחר‪ ,‬אלא אם‬
‫הורשו‪.‬‬
‫נהלי עבודה באזורים מבודדים‬
‫(למשלוח ולטעינה)‬
‫אזורי משלוח וטעינה יבוקרו‪ ,‬ואם אפשר‪ ,‬יהיו‬
‫מבודדים ממרקזי מחשוב‪ ,‬כדי למנוע גישה לא‬
‫מורשית‪ .‬דרישות האבטחה לאזורים כאלה ייקבעו‬
‫בהערכת סיכונים‪.‬‬
‫יש לשקול יישום של הנחיות אלו‪:‬‬
‫ •הגישה לאזור החיצוני השייך למתחם (להלן‪:‬‬
‫חצר המשק)‪ ,‬תוגבל לעובדים מזוהים‬
‫ומורשים בלבד‪.‬‬
‫ •תכן חצר המשק יבטיח שניתן יהיה לפרוק‬
‫הספקה מבלי לאפשר למובילים (גורמים‬
‫צד ג') גישה לא מורשית לאזורים אחרים של‬
‫המתחם‪.‬‬
‫ •הדלת החיצונית של חצר המשק תהיה נעולה‬
‫כאשר הדלת הפנימית פתוחה‪.‬‬
‫ •אזורים מאובטחים ריקים יהיו נעולים פיזית‬
‫וייבדקו תקופתית‪.‬‬
‫ •החומרים הנכנסים ייבדקו לפני העברתם‬
‫מחצר המשק לנקודת השימוש בארגון‪ ,‬כדי‬
‫לוודא שאין בהם סכנות פוטנציאליות‪.‬‬
‫ •נותני שירותי תמיכה של צד שלישי יקבלו‬
‫גישה מוגבלת לאזורים מאובטחים או למרכזי‬
‫מחשוב רק לפי הצורך‪ .‬הגישה תאושר ותנוטר‬
‫כל הזמן‪ .‬בין אזורים בעלי דרישות אבטחה‬
‫שונות בתוך מעגל האבטחה‪ ,‬ייתכן שיהיה‬
‫צורך במחסומים נוספים ובמעגלי אבטחה‬
‫ •החומרים הנכנסים יירשמו‪ ,‬לפי העניין‪.‬‬
‫חשוב להבין‪ ,‬שיישום מעגלי אבטחה רבים‪ ,‬כולל‬
‫מעגלי אבטחה פיזיים‪ ,‬לוגיים וניהוליים‪ ,‬יכול למזער‬
‫את הסיכון ו\או מידת הנזק שיכול להיגרם כתוצאה‬
‫מהמימוש של האיומ‪.‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪27‬‬
‫מנוי שנתי לעיתון מודעּות‬
‫לנושא אבטחת המידע‬
‫הצורך במערכות ‪IPS‬‬
‫כי ידע זה כח‬
‫בעידן הסייבר‪ ,‬להתבסס על שכבת הגנה אחת בלבד‪ ,‬אינה מספיקה מבחינת מערך ההגנה‪ ,‬ולכן‬
‫ישנה חשיבות רבה לבניית מערך הגנה בשכבות‪ .‬אחת השכבות כוללת בתוכה יישום מערכת לגילוי‬
‫ומניעת פרצות (‪.)IPS‬‬
‫מערכת ה‪ IPS-‬משלימה את מערך ה‪Firewall-‬‬
‫בארגון מספקת מענה לנקודות המתות במערכת‬
‫זו‪.‬‬
‫‪IPS‬‬
‫בניגוד למערך ה‪ ,Firewall -‬מערכת ה‪-‬‬
‫מנתחת את תעבורת הרשת עד לרמת‬
‫האפליקציה ומספקים רמה מעמיקה יותר של‬
‫מערך ההגנה‪.‬‬
‫מערכת ה‪ IPS -‬מבצעת ניתוח של התעבורה‬
‫בשלושה אופנים בכך מספקת הגנה משולשת‬
‫מפני מתקפות וחסימתן‪:‬‬
‫‪ .1‬ניתוח התעבורה לזיהוי חתימות של מתקפות‬
‫ידועות‪.‬‬
‫‪ .2‬זיהוי חריגה (אנומליה) בפרוטוקולים מוכרים‪,‬‬
‫באופן שיכול להצביע על תעבורה זדונית‬
‫‪.)Zero Attacks‬‬
‫(‪Day‬‬
‫‪ .3‬זיהוי מתקפת ‪ Denial Of Service‬על שרתי‬
‫החברה‪.‬‬
‫מערכת ‪ IPS‬מאפשרת יכולות מתקדמות בתחום‬
‫זיהוי וחסימות מתקפות כולל חשיפת נוזקות ‪day-‬‬
‫‪ ,zero‬הנוצרות כתוצאה מפרצות המנוצלות כבר‬
‫ביום התגלותן‪ ,‬עוד בטרם יצא טלאי הגנה מתאים‪.‬‬
‫נוזקות הן הבעיה החמורה ביותר בעולם אבטחת‬
‫המידע כיום‪ .‬המדובר גם ברמת התחכום שלהן‬
‫וגם בכמותן‪ .‬במהלך שנת ‪ 2011‬כמות הנוזקות‬
‫הייחודיות בעולם עמדה על פחות מ‪10-‬מיליון‪,‬‬
‫ב‪ 2012-‬הנתון עמד על ‪ 30‬מיליון ואילו ב‪2013-‬‬
‫היא הגיעה ל‪ 50-‬מיליון נוזקות ייחודיות‪ .‬כיום‪ ,‬אף‬
‫פלטפורמת ‪ IT‬אינה חסינה מפניהן ‪ -‬כך קובעות‬
‫חברות מחקר עולמיות בתחום אבטחת מידע‪.‬‬
‫התפשטות הנוזקות הופכת לבעיה עבור כל‬
‫מנמ"ר וכל מנהל אבטחת מידע‪ .‬הסיבה לכך‬
‫היא ערכות התקיפה אשר זמינות בשוק השחור‬
‫ברשת‪ ,‬המאפשרות לתוקפים‪ ,‬בסכום נמוך‬
‫יחסית של מאות עד אלף דולרים‪ ,‬ליצור מתקפות‬
‫חובקות עולם וירטואלי‪ .‬רבות מהנוזקות כיום הן‬
‫מבוססות חתימה‪ ,‬ושינוי החתימה עוקף רבים‬
‫מכלי האנטי‪-‬וירוס וממסנני התוכן‪ ,‬וכך במקרים‬
‫רבים לא ניתן לזהות אותן‪.‬‬
‫‪28‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫מתהילה למודל כלכלי משומן‬
‫המכילים מענה למימדי האיום השונים‪.‬‬
‫התוקפים עברו ממתקפות רחבות היקף‪ ,‬רועשות‪,‬‬
‫שלחלקן אין מניע כלכלי‪ ,‬למתקפות שקטות‪,‬‬
‫ממוקדות‪ ,‬שכמעט תמיד המניע שלהן הוא‬
‫פיננסי‪ .‬שלוש דוגמאות לכך הן הפריצה לשרתי‬
‫גוגל (‪ )Google‬בסין לפני יותר משנה‪ ,‬מה שקרה‬
‫לרשת הפלייסטיישן של סוני (‪ ,)Sony‬וכמובן‬
‫התולעת סטוקסנט (‪ ,)stuxnet‬שפגעה במערך‬
‫הגרעין האיראני‪.‬‬
‫יתרונות למימוש פתרון‬
‫‪ IPS‬בארגון‬
‫רשתות הבוטנט (‪ )botnet‬חוות מעבר מפעילות‬
‫רועשת לשקטה וממוקדת‪ .‬רשתות בוטנט הן‬
‫רשתות זומבי שהושתלו בהן תוכנות זדוניות‪,‬‬
‫ללא ידיעת המשתמש‪ .‬הן ממשיכות להתפתח‪,‬‬
‫לשנות צורה ולהתפשט‪ ,‬בין השאר לעולם‬
‫הסלולר‪ .‬חברות מחקר מעריכות‪ ,‬כי כ‪ 10%-‬עד‬
‫‪ 20%‬מהמחשבים בכל ארגון הם זומבים‪.‬‬
‫נורמת עדכוני ‪windows update‬‬
‫מחקירת המקרים המוזכרים עולה מידע מדאיג‬
‫שמנציח מצב עגום מצד אחד אך מחויב המציאות‬
‫מצד שני‪.‬חברות פשוט לא מתקינות באופן תדיר‬
‫עידכוני אבט"מ של מיקרוסופט‪ ,‬אדובי וכו'‪ .‬הדבר‬
‫נובע מסיבה עיקרית אחת ‪:‬מיקרוסופט מוציאה‬
‫פעם בחודש כ‪ 10-‬עדכוני אבטחה בממוצע‪,‬‬
‫הידועים בכינוים “‪ ”Patch Tuesday‬שלכל אחד‬
‫ואחד מהם עלולה להיות השלכה תפעולית על‬
‫יישומי הליבה של האירגון הדבר נכון בעיקר לגבי‬
‫שרתים קריטים ‪ -‬מאות בארגון גדול ‪,‬אך גם לגבי‬
‫תחנות עבודה שיכולים להגיע לאלפים‪.‬‬
‫דרך התמודדות יעילה היא לבצע ‪Virtual Patching‬‬
‫למחשבים אלו דרך הטמעת ‪ IPS‬ברשת‪ .‬הטמעה‬
‫של ‪ IPS‬ברשת מאפשרת לארגון לעצור איומים‬
‫המנסים לנצל פגיעויות במערכת ההפעלה ע"י‬
‫זיהוים ועצירתם ברמת ה‪ .Gateway-‬כך ניתן זמן‬
‫נאות ליישום הטלאי במחשב עצמו‪.‬‬
‫כשמדברים על 'ראייה שלמה' או ‪completeness‬‬
‫‪ ,of vision‬הכוונה היא לפתרון שמצד אחד בנוי‬
‫כחומרה ייעודית לאבטחה עם מעבדים ייעודיים‬
‫לסינון איומים היודעים לספק ביצועי שיא של‬
‫רשת‪ ,‬ומצד שני לפתרון עם יכולות ‪ IPS‬מקיפות‬
‫גיליון מודעות דו חודשי‪ ,‬שמטרתו להגביר את מודעות העובדים בנושא‬
‫אבטחת המידע‪ ,‬ע"י חשיפתם לאירועים שונים בארץ ובעולם‪ ,‬עדכונים אודות‬
‫טכנולוגיות ומתקפות חדשות‪ ,‬המלצות וטיפים של "עשה ואל תעשה" ועוד‪.‬‬
‫ידיעון בנושא‬
‫מודעות ל אבטחת מידע‬
‫י די עון‬
‫דצמבר ‪2012‬‬
‫עון ב‬
‫י די‬
‫ •ריבוי שיטות לגילוי התקפות‬
‫מרץ‬
‫א מו‬
‫נו ש‬
‫ד עו ת‬
‫לאב‬
‫טחת‬
‫מי ד ע‬
‫בנו שא‬
‫מו דע ות‬
‫לא‬
‫בט חת‬
‫מי דע‬
‫פברו‬
‫אר ‪2013‬‬
‫‪2013‬‬
‫ •תמיכה בחתימות מותאמות אישית לשיפור‬
‫יכולת התמודדות עם התקפות ייחודיות‬
‫ •תהליך ‪ closed loop investigation‬המאפשר‬
‫ראיה מערכתית טובה יותר וצלילה לתוך‬
‫הפרטים הרלוונטים‪ ,‬מסייע בקבלת החלטות‬
‫נכונות בזמן אמת‬
‫ •מכיל עורך מדיניות ליצירת מערך אבטחה‬
‫המגדיר נתונים לבדיקה‪ ,‬סוגי התקפות‬
‫לבדיקה וסוגי תגובות‬
‫אודות‬
‫העיתון‬
‫ •יומן ארועים לבחינת תקריות אבטחה‬
‫ספציפיות עם אפשרות להתאמת הדרך בה‬
‫המידע מעובד בתוך המערכת‬
‫ •מנגנון ניהול מרכזי מבוסס מדיניות להתקנה‪,‬‬
‫הגדרות ותחזוקה קלה ופשוטה‬
‫ •דוחות מותאמים לנתונים בזמן אמת‬
‫ •זמינות גבוהה‪ ,‬צמצום הסיכון לכשל בנקודה‬
‫אחת ושיפור ההגנה על הרשת‬
‫מה חשוב לבדוק לפני שבוחרים‬
‫מערכת ‪?IPS‬‬
‫העיתון מחולק ל‪ 5-‬קטגוריות עיקריות‪:‬‬
‫‬
‫•השימוש בעיתון מאפשר למנהל אבטחת‬
‫המידע בארגון לחשוף את כלל העובדים למגוון‬
‫נושאים הקשורים לעולם אבטחת המידע‪ ,‬בצורה‬
‫פשוטה‪ ,‬ויעילה‪.‬‬
‫‬
‫•העיתון מעוצב בצורה ויזואלית ונוחה לשימוש‪,‬‬
‫וכולל התייחסות לכלל סוגי האוכלוסיות‬
‫בארגון‪ ,‬החל מהמשתמשים הפשוטים‪ ,‬עובדי‬
‫‪ ,IT‬אנשי פיתוח‪ ,‬ואף הנהלת הארגון‪.‬‬
‫‬
‫•ניתן לשלב הנחיות ונהלים של הארגון בתוך‬
‫הידיעון‪.‬‬
‫‬
‫•ניתן להפיץ את הגיליונות דרך הפורטל‬
‫הארגוני ו\או באמצעות העברת מיילים‬
‫פנימיים לכלל העובדים בארגון או לקבוצות‬
‫ייעודיות‪.‬‬
‫‪1 .1‬פינת החדשות‬
‫פינה הסוקרת חדשות בעולם אבטחת‬
‫המידע ואיומי סיביר‬
‫‪2 .2‬פינת המשתמשים‬
‫פינה העוסקת כולה בטיפים והמלצות‬
‫ומידע בסיסי עבור משתמשים כלליים‪,‬‬
‫אשר אין להם נגיעה לעולם המחשוב‪.‬‬
‫‪.3‬‬
‫‪3‬פינת ה‪IT-‬‬
‫הגנה מפני תוכנות זדוניות בזמן אמת ‪ IPS -‬הגנה‬
‫מקדימה כנגד תוכנות זדוניות‪ ,day-zero ,‬בנוסף‬
‫לאיתור פגיעויות ברשתות‪.‬‬
‫פינה העוסקת במגוון נושאים טכנולוגיים‪,‬‬
‫שיכולים לסייע לאנשי ה‪ IT-‬בארגון‬
‫להגביר את המודעות והידע שלהם‬
‫בעולם אבטחת המידע‪.‬‬
‫ניתוח התנהגות איומי רשת – יכולת ניתוח איומים‪,‬‬
‫המספקים דרך משלימה לפיקוח על הרשת כולה‬
‫מפני איומים ולביצוע קורהלציות בנוגע להתנהגות‬
‫הרשת‪.‬‬
‫‪4 .4‬פינת המפתחים‬
‫פינה העוסקת במגוון טיפים והמלצות‬
‫בתחום אבטחת המידע‪ ,‬הקשור ישירות‬
‫לחיי היומיום של המפתח‪ .‬המלצות‬
‫לפיתוח מאובטח‪ ,‬טיפים אודות מתקפות‬
‫ודרכי התמודדות‪ ,‬ועוד‪.‬‬
‫ניהול אבטחה מרכזי ‪ -‬קונסלה מרכזית לאבטחת‬
‫רשת‪ ,‬המנהלת את כל האספקטים של הפתרון‪,‬‬
‫כולל ניתוח איומים בזמן אמת ואינטגראציה עם‬
‫מודיעין האיומים הגלובלי‪.‬‬
‫יתרונות‬
‫השרות‬
‫‪5 .5‬פינת ההנהלה‬
‫פינה העוסקת במגוון נושאים כלליים‪,‬‬
‫מנקודת מבטם של מנהלי הארגונים‪,‬‬
‫וכוללת סקירה טכנולוגית‪ ,‬מגמות בעולם‬
‫אבטחת המידע וניהול סיכונים‪ ,‬דרישות‬
‫חוקיות ורגולטוריות‪ ,‬ועוד‪.‬‬
‫לפרטים והרשמה‪:‬‬
‫טלפון‪077-5150340 :‬‬
‫עלות‬
‫השרות‬
‫השרות עולה ‪ ₪ 5000‬לשנה וכולל‬
‫‪ 6‬גיליונות בשנה‬
‫ובנוסף ניתן לקבל התרעות לגבי איומי‬
‫סייבר בזמן אמת למייל‪.‬‬
‫(ניתן להגדיר במערכת עד ‪ 3‬כתובות‬
‫דוא"ל)‪.‬‬
‫זמין‬
‫כל המ מקבל‬
‫רות זה‬
‫ש‬
‫פים‬
‫חינם‬
‫יים נוס‬
‫חודש‬
‫סטרים‬
‫ו‪ 10-‬פו שא‬
‫בנו‬
‫למודעות המידע‬
‫אבטחת א ר ג ו ן ‪.‬‬
‫שב‬
‫לשימו‬
‫‪info@titans2. com‬‬
‫* ניתן להפיץ יחד עם הידיעון דף פתיחה‪,‬‬
‫מעוצב עם הלוגו של החברה‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪29‬‬
‫בגיליון הבא‬
‫סדנת ניהול אבטחת מידע ומדדים‬
‫למה מדדי אבטחה‬
‫(‪)Security Metrics‬‬
‫מנהלי אבטחת המידע מתחילים להבין כי תמו ימי השפע‪ .‬הם אינם יכולים עוד לדרוש גידול בתקציבים או במשאבים העומדים‬
‫לשרותם ללא ביסוס דרישה זו‪ .‬עליהם להצדיק את ההשקעות תוך שימוש במדדים המראים קשר ישיר שלהן להיבטים‬
‫העסקיים של הארגון כך שהמנהלים הבכירים בארגון יבינו מדדים אלה‪ ,‬יפעלו לפיהם ויהיו בטוחים שהארגון מאובטח כהלכה‪.‬‬
‫על מנהלי אבטחת המידע להבדיל בין מדדים תפעוליים אשר עוזרים להם לנהל את פעילותם היום יומית לבין מדדים‬
‫עסקייםהמדברים בשפה העסקית של מנהלי הארגון‪.‬‬
‫מפגש ראשון‪:‬‬
‫מפגש שני‪:‬‬
‫מפגש שלישי‪:‬‬
‫מפגש רביעי‪:‬‬
‫ •מבוא לממשל אבטחת מידע‬
‫(‪.)Security Governance‬‬
‫ •מתודולוגיות ומסגרות לקביעת‬
‫מדדים בתחום אבטחת מידע‬
‫ •מבוא לעולם ניהול הסיכונים‬
‫ •מהי אסטרטגיה בתחום אבטחת‬
‫המידע‪ ,‬וכיצד ניתן להתאים‬
‫אותה לדרישות העסקיות‬
‫בארגון?‬
‫ •כיצד מדדים יכולים לסייע לנו‬
‫מבחינת הצגת ‪?ROI‬‬
‫ •מבוא לעולם הסייבר (כולל‬
‫התייחסות לתקן סייבר החדש‬
‫‪)ISO 27032‬‬
‫ •כיצד קובעים מדדים בתחום‬
‫ממשל אבטחת מידע?‬
‫ •מיהם השחקנים העיקריים במימוש‬
‫ממשל אבטחת מידע בארגון?‬
‫‬
‫ •כיצד מדדים יכולים לסייע לנו‬
‫בתהליך של ניהול סיכונים?‬
‫ •כיצד קובעים מדדים בתחום‬
‫ניהול סיכונים?‬
‫ •כיצד מדדים יכולים לסייע לנו‬
‫בשיפור מערך הגנת הסייבר?‬
‫ •כיצד קובעים מדדים בתחום‬
‫הסייבר?‬
‫ •תרגול‬
‫ •תרגול‬
‫ •תרגול‬
‫•מבוא לעולם המדדים (‪Security‬‬
‫‪)Metrics‬‬
‫ •היבטי אבטחה בתהליכי פיתוח‬
‫חלק ב'‬
‫ •בניית מערך אבטחה פיזית‬
‫חלק ב'‬
‫ •כיצד להכין את הארגון לתקן‬
‫סייבר‬
‫ •הכל ארגונך לאסון הבא‬
‫ •סקירת טכנולוגיות סייבר חדשות‬
‫ •תפקידה של המדינה בעידן‬
‫הסייבר‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫בין הכותבים שלנו‪:‬‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫ניר ולטמן ‪ CISO -‬בחברת ‪RETALIX‬‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫אלדד משולם ‪ -‬משנה לנשיא האיגוד‬
‫מטרות הסדנא‪:‬‬
‫מרצה‪:‬‬
‫קהל יעד‪:‬‬
‫קובי לכנר ‪ -‬מנהל אבטחת מידע בחברת פלייטק‬
‫לימוד העקרונות ויישום של מתודולוגיה‬
‫לקביעת מדדים ומדידת האפקטיביות‬
‫של הבקרות בתחום אבטחת המידע‪.‬‬
‫מר דני אברמוביץ‪ ,‬מייסד ומנכ"ל קבוצת ‪TITANS‬‬
‫‪ ,SECURITY‬ונשיא של האיגוד העולמי לאבטחת מידע‬
‫(‪ – )ISSA‬הציאפטר הישראלי‬
‫הסדנא הינה כלי עזר חיוני למנהלי אבטחת מידע‪,‬‬
‫מנמרים‪ ,‬מנהלי תשתיות‪ ,‬יועצים‪ ,‬מבקרי פנים ומבקרי‬
‫חוץ‪.‬‬
‫רועי זימון ‪ -‬מומחה אבטחה אפליקטיבי בתחום הסייבר‬
‫הקניית מתודולוגיה להערכת רמת‬
‫הבשלות של הארגון מבחינת מוכנות‬
‫לאיומי סייבר ואתגרי אבטחת מידע‬
‫המשתנים מדי יום‪.‬‬
‫שיטת לימוד‪:‬‬
‫ערכת לימוד‪:‬‬
‫הסדנא מתבססת על לימוד פרונטאלי‪ ,‬דיון פתוח‪,‬‬
‫סיפורי לקוח ותרגול המבוססים כולם על ניסיון רב‬
‫בפרויקטים בשטח ועל מתודולוגיות בינלאומיות‬
‫ומועברים על ידי אנשים מובילים בתחום אלו בפועל‪.‬‬
‫ספר לימוד ותרגול ‪ +‬מצגת‪.‬‬
‫היקף הסדנא‪:‬‬
‫‪ 16‬שעות‪ 4 ,‬מפגשים‪ ,‬כל מפגש ‪ 4‬שעות‪.‬‬
‫צדוק לויא ‪ -‬יועץ אבטחת מידע והמשכיות עסקית‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫נא לפנות אלינו בכתובת‪info@issa. org. il :‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫למידע נוסף ו\או להרשמה‪ ,‬ניתן לפנות אלינו‪:‬‬
‫ייעוץ אקדמי ‪info@titans2. com | 077-5150340 :‬‬
‫‪30‬‬
‫גיליון ‪ | 12‬אפריל ‪| 2014‬‬
‫| גיליון ‪ | 12‬אפריל ‪2014‬‬
‫‪31‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת‪ Ts-Academy@titans2. com :‬או לטלפון‪077-5150340 :‬‬
‫מס’‬
‫שעות‬
‫שם הקורס‬
‫מספר‬
‫מפגשים‬
‫משך קורס‬
‫משוער‬
‫תאריך פתיחה ימים ושעות פעילות‬
‫‪Cyber Security‬‬
‫‪and Incident Management‬‬
‫בוקר‬
‫‪40‬‬
‫‪5‬‬
‫שבוע וחצי‬
‫‪15.06.2014‬‬
‫(ג’ עד ה’)‪09:30-17:00 ‬‬
‫‪ISO 27001 Lead Auditor‬‬
‫ערב‬
‫‪40‬‬
‫‪8‬‬
‫חודשיים‬
‫‪11.05.2014‬‬
‫(א’‪ ,‬ד’)‪17:30-21:00 ‬‬
‫‪ISO 27001 Lead Implementer‬‬
‫בוקר‬
‫‪24‬‬
‫‪3‬‬
‫‪ 3 ‬ימים‬
‫‪11.05.2014‬‬
‫(א’‪ ,‬ב’‪,‬ג’)‪09:30-16:30 ‬‬
‫‪ CISA‬ערב ובוקר‬
‫‪300‬‬
‫‪75‬‬
‫‪ 12‬חודשים‬
‫‪24.07.2014‬‬
‫‪ 9:00-13:00‬ו’‪ 17:30-21:00 / ‬ג’‬
‫‪ CISO‬ערב‬
‫‪200‬‬
‫‪50‬‬
‫‪ 6‬חודשים‬
‫‪24.04.2014‬‬
‫(ב’‪ ,‬ה’)‪17:30-21:00 ‬‬
‫‪ CISM‬ערב‬
‫‪40‬‬
‫‪10‬‬
‫חודשיים‬
‫‪11.05.2014‬‬
‫(ג’‪ ,‬ה’)‪17:30-21:00 ‬‬
‫‪ CRISC‬ערב‬
‫‪40‬‬
‫‪10‬‬
‫‪ 6‬חודשים‬
‫‪24.04.2014‬‬
‫(ב’‪ ,‬ה’)‪17:30-21:00 ‬‬
‫‪ CISSP‬ערב‬
‫‪56‬‬
‫‪14‬‬
‫חודשיים‬
‫‪24.04.2014‬‬
‫(ג’‪ ,‬ה’)‪17:30-21:00 ‬‬
‫פתיחת כל קורס מותנית במינימום נרשמים‪.‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫‪077-5150340‬‬
‫חייגו‪:‬‬
‫אקדמיה‪ :‬דוא"ל‬
‫‪Ts-Academy@titans2. com‬‬
‫‪www. titans2. com | www. ts2. co. il | www. titans2. co. il‬‬