e n i z a g a M y t i r u c e S n o i t a m מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 12אפריל 2014 להיות ראשון זה מחייב! בנק הפועלים הינו הגוף הראשון שהוסמך לתקן סייבר .ISO 27032 מדדים בתחום אבטחת מידע תפקידו של ה CISO-בעידן הסייבר מפת איומים 2014 סיכונים במחשוב ענן r o f n I דבר נשיא האיגוד הישראלי לאבטחת מידע ()ISSA חבר\ה יקרים שלום, אנחנו כבר מתקרבים לאווירת חג פסח ,וכבר עשייה רבה מאחורינו ולפנינו ,ורציתי לשתף אתכם במספר עדוכנים חשובים. בשעה טובה ,עלה לאוויר האתר החדש של האיגוד .בקרוב יועלו לאתר חומרים מקצועיים שיוכלו לשמש את חברי האיגוד ללא תשלום נוסף. כמו כן ,העלנו לוויר גם את האתר של המגזין המוביל בתחום אבטחת המידע בישראל .GLOBAL SECURITYבאתר תוכלו למצוא כתבות ,סיקורים מקצועיים וחדשות בתחום אבטחת המידע עולם הסייבר. בקרוב יחלו מבצעים של "חברות שנתית באיגוד" שבהם יוגרלו במהלך של מפגש של האיגוד (סדנא ,ימי עיון וכנסים) חברות שנתית לאיגוד. החברות באיגוד תעניק לכם גישה לחומרים מקצועיים ,אפשרות להשתתף בסדנאות מקצעויות וימי עיון של האיגוד ,וכמובן בכנס השנתי שייערך במהלך חודש אוקטובר .2014 השנה נקבעו מספר סדנאות מקצועיות ,לחברי האיגוד בלבד, ללא עלות ,שמטרתם לסייע לכם ולתת לכם כלים מקצועיים להתמודדות עם אירועי סייבר ,ואתגרים בעולם אבטחת המידע. במהלך חודש מאי ,תיערך סדנא מקצועית בנושא מדדים בתחום אבטחת המידע ,שמטרתה לסייע לכם בקביעת תוכנית עבודה בתחום אבטחת המידע ,קביעת מדדים ( )KPIלצורך מדידת האפקטיביות של הבקרות ושל תוכנית העבודה ,ושיטות לקבוע החזר השקעה ( )ROIבתחום אבטחת המידע. פרטים נוספים תוכלו למצוא בגיליון הזה .נשמח לראתכם באירועים הבאים של האיגוד. הסדנא הבאה ,שתיערך במהלך חודש יוני ,תעסוק בנושא חם לא פחות ,שהוא ניהול וטיפול באירועי אבטחת מידע (Incident .)Security Handlingפרטים על כך יישלחו לכם בהמשך במייל. למי שעדיין לא נרשם כחבר באיגוד ,אני מזמין אתכם כבר להירשם עכשיו ,ולהנות ממגוון ההטבות שיהיו לכם במהלך השנה. להזכירכם ,הסדנאות הינם ללא תשלום עבור חברי האיגוד ,כך שניתן להציג בפני הנהלת הארגון שלכם החזר מהיר ,הן מבחינת הידע המקצועי שתרכשו במהלך הסדנאות ,והן מבחינת הכלים המקצועיים שיוענקו לכם במהלך הסדנאות. בכבוד רב, דני אברמוביץ נשיא האיגוד העולמי לאבטחת מידע ( - )ISSAהציאפטר הישראלי 2 גיליון | 12אפריל | 2014 דבר העורך נושא הסייבר הולך ומתאפיין כנושא ייחודי ומשמעותי בתחום אבטחת המידע .הוא מתאפיין במניעים אחרים משהכרנו ,שיטות תקיפה וסוגי תוקפים ייחודיים. הפרשיות שממשיכות להיחשף מדי יום לעין הציבור מעידות שוב ,כי אבטחת המידע הרגיש ,אשר מכיל נתונים על כמעט כל אחד מאיתנו (צנעת הפרט ,נתונים פיננסיים, וכו') חשופים יותר מתמיד ,וזה כבר לא נחלתם רק של ארגונים גדולים ,אלא גם האזרח הקטן יכול להיפגע מכך. אין ספק שניתן להכתיר את שנת 2014כשנת סייבר ,אשר תמשיך ותשגשג ,ולצערנו אף נזכה לראות מתקפות מתוחכמות ,ונקרא על עוד מתקפות סייבר ,ועוד ארגונים ברחבי העולם אשר נפלו קורבנות למלחמת הסייבר שמתחוללת בעולם. מצד אחד ,מנהלי אבטחת המידע ימשיכו להיות מאותגרים מבחינת התמודדות עם איומי הסייבר הושונים ,ומצדו השני, הספקים ,ינסו לסייע להם ע"י הספקת טכנולוגיות חדישות שאמורות לנטר ,לאתר ואף לנסות לחסום את מתקפות הסייבר העתידות לבוא. זהו מרדף אין סופי ,שבו עד כה ,ניתן לראות יתרון מהותי לצד התוקף ,אל מול נחיתות במצד הנתקף ,וזה עתיד להישאר אותו הדבר ,אם מנהלי אבטחת המידע בארגונים לא יתעוררו ויבינו שנדרש שינוי תפיסתי ,מבחינת ההתמודדות עם איומי הסייבר, וכי הטמעת פתרונות טכנולוגיים בלבד ,אינם פותרים את הבעיה. מה בגיליון? בניית מערך אבטחה פיזית תקנים ורגולציות תפקידו של ה CISO-בעידן הסייבר מהו פיתוח מאובטח חדשות סייבר מדדי אבטחה סיכונים במחשוב ענן ITILכמינוף עסקי מפת איומים 2014 על מנת להתמודד עם איומי הסייבר ,יש צורך בשינוי חשיבה ,שינוי בתפיסת ניהול מערך ההגנה בארגון ,והיערכות מחודשת של כלל הארגון ,החל מהשכבה האנושית (מהמנכ"ל ועד אחרון העובדים), ועד לאבטחה הפיזית של הארגון ,תוך התייחסות מירבית ליישום בקרות טכנולוגיות חדישות וגיבוש נהלי תפעול למערכות הללו. כל עוד לא יתבצע שינוי בתפיסה ,אנו נמשיך לקרוא על עוד חנות שנפלה קורבן למזימת סייבר קטלנית ,שבה נגנבו מיליוני מספרי כרטיסי אשראי. מלחמת הסייבר החלה כבר מזמן...והיא מתחוללת ממש מתחת לאף שלנו. זהו מירוץ אינסופי ,כאשר התוקף בהחלט נוסע במכונית מירוץ, ומנהל אבטחת המידע נוסע בכרכרת סוסים... עורך ראשי :אלדד משולם סגן עורך :שלומי מרדכי המערכתTITANS SECURITY GROUP : צלם המערכת :יוסי טובליס דוא"לinfo@issa. org. il : האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. בכבוד רב ,אלדד משולם ,העורך הראשי של המגזין. נשמח לקבל הצעות לכתבות ,הערות והארות. ניתן לשלוח לנו מייל למערכת לכתובת.info@titans2. com : בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. | גיליון | 12אפריל 2014 3 "ניהול שירותי ITזו כבר לא אפשרות – כי אם חובה, זה מחויב מציאות" . ITILכמינוף עסקי מערכי ה IT-נמצאים כיום מתמודדים מול אתגר לא פשוט – הם גדולים ומורכבים מדי ואי אפשר לנהלם בשיטות העבר .לכן נדרשים – ITILשיטת עבודה ,תהליכי עבודה ,סט כלים ונהלים ,אשר מאפשרים להגדיר את תהליך ניהול תשתיות ה IT-בארגון. ניהול עסק מחייב הקצאת המשאבים הנכונים למשימות המועדפות בזמן הנכון .כאשר מנהלי IT כעסק נדרשת היכולת לנהל ולבקר את השינויים המשפיעים על "השורה התחתונה" בזמן אמיתי. כיום ,יותר מבעבר קיימת ציפייה מטכנולוגיית המידע לאפשר לארגון להיות יותר יעיל ואפקטיבי בעסקיו .הלקוחות והצרכנים של שירותי ITמנוסים יותר ויודעים להציב דרישות אמיתיות מספקי השירות שלהם .במקביל ,נדרשים גופי הIT- להגדיל ערך ולהבטיח את החזרי ההשקעות בהם (.)ROI ארגון ה ,IT-אינו עוד ארגון של " ,"Back officeאלא ארגון העומד בחזית של ביקושים הולכים וגדלים עם הזמן לפתרונות ושירותים. 4 גיליון | 12אפריל | 2014 מרכז ה IT-הפך למרכז מערכת העצבים של כל חברה גלובאלית ,בין אם מדובר במערכת הזמנות מקוונת של חברות תעופה או במערכת לניהול שרשרת האספקה ומלאי של חברה קמעונאית, השרות שגופי ה IT-מספקים מהותי להצלחה העסקית של החברה כולה .יכולת הספקת שירותי ITאיכותיים ועקביים בסקלה גלובאלית דורשת מכל השותפים במתן השירות שידברו באותה שפה ויעשו שימוש בהגדרה זהה של תהליכים המנהלים את ה.IT- זו הסיבה של ה ,ITIL-מהווה אבן יסוד באופן בו מנוהלים עסקי ה IT-בארגונים. כדי להסב את ארגון ה IT-לארגון גמיש ()Agile המסוגל להגיב במהירות לדרישות עסקיות משתנות ,נדרשת יכולת להקצאת משאבים מוגבלים בזמן הנכון ובכמות הנכונה ,היינו נדרש "מנצח" מוכשר להנחות את "נגני תזמורת" הIT- להשגת ה"הרמוניה" באספקה איכותית ורציפה של שירותים הנדרשים ע"י העסקים. המסגרת המוצעת ע"י ITILהיא המאפשרת לארגון להסב עצמו לדרגת הגמישות הנדרשת .זוהי מסגרת של אוסף פירסומים מלא המכיל "ביצוע מיטבי" ( )Best Practicesלתכנון וניהול של שירותי .ITניהול השירות ( – )Service Managementנמצא במיקוד האוסף ומאפשר השגת איכות ועקביות בארגונים מורכבים. בארגונים רבים בארץ ובחו"ל ,אומצו תהליכי ניהול השירות של ITILוהוכיחו לאורך הזמן את השפעתם על שיפורים מהותיים ברמת השירות ובשביעות הרצון של הלקוחות. כחלק ממסגרת העבודה ומקצה השיפורים המהווה את אחד התוצרים של אימוץ מסגרת ,ITILניתן לראות פרמטרים כגון: שיפור יחס העלות לעומת האפקטיביות של אספקת השירות מושג ע"י: •בניית מודל גלובאלי ועקבי המבוסס על תהליכי ITILסטנדרטיים וכלים התומכים בו. •בניית מערך מדדים ( )KPIלחיזוי התפוקות ובקרת התוצאות של תהליכים ופעילויות המאפשר קבלת החלטות המבוססות על עובדות מדידות. •הגברת השימוש והמינוף של הנכסים הקיימים בארגון. •הורדת עלויות העבודה ע"י הכנסת תהליכים אוטומטיים לניטור ובקרה שיפור האיכות של השירות המסופק ע"י: •פיתוח תרבות של שיפור מתמיד. •הכנסת תהליכים עקביים במתן השירות. •שיפור השירות וזמני התגובה מול הלקוח הסופי. התבססות על מודלים סטנדרטיים למתן השירות ע"י: •התאמה ל"ביצוע מיטבי" לפי .ITIL •התבססות על מוצרים טכנולוגיים "Breedלתמיכה בתהליכים "Best of •שילוב תהליכי השירות עם תהליכי הפיתוח והניהול ה ITIL-הפך למגמה עולמית ,עם אחוזי אימוץ הולכים וגדלים בארה"ב ובאירופה ,וכעת – גם בישראל ITIL .הפך מתקן הלכה למעשה לתקן אמיתי ומחייב – .ISO 20000לא רק ספקי תוכנה מתאימים את צוצריהם ל ,ITIL-כי אם ארגונים שלמים מאמצים תהליכי עבודה ממוקדי שירות. ניתן להגדיר את ניהול שירותי ה IT-כ"מערך של תחומים ,המשלב בין אנשים ,תהליכים, שותפים וכלים .את כל אלה יש לתזמר יחדיו, כדי לקדם ולשפר את מערך ה .IT-נדרש להביא את האנשים ביחד למצב של שיתוף ידע וניסיון. זול יותר ללמוד מטעויות שעשו אחרים מאחשר לעשות את הטעויות הללו בעצמך .המטרה היא להביא להעלאת רמת האיכות של שירותי הIT- המסופקים ללקוחות. ה ITIL-מהווה אסופת ניסיונות עבר ,שנצברו בארגונים שונים ,ומהם ניתן להפיק ידע ,שאפשר ליישמו בארגון .יישום ITIך מניב ערך .ארגונים שהטמיעו את המתודה הפיקו תועלות מדידות ומוחשיות. יתרון נוסף ,נובע מכך שבשל מימוש המתודה ,ניתן להגיע להפחתה משמעותית של זמני נפילות של מערכות המחשב בארגון. ארגונים בעולם דיווחו על שיפור מתמשך בתהליכי ה IT-הארגוניים בעקבות הטמעת ,ITILהם דיווחו על חיסכון בהוצאות ה ,IT-העלו את רמת חיזוי התוצאות העסקיות שלהם והגדילו את מהירות הפיתוח. ניהול שירות ITהוא פעולה הגוזל אנרגיה, משאבים ארגוניים ,כספיים ואנושיים ,ולכן שיפורה מביא לתועלות מרובות .ניהול שירותים זה לא פרויקט ,כי אם שיפור מתמשך .שירותי המידע הם חיוניים לעסק ,ונדרש מהמנמרים להבין את ההיבטים העסקיים של הארגון מקצה לקצה ,על מנת לספק שירותי ITושירותי ניהול ITמיטביים. ניהול שירותי ITזו כבר לא אפשרות – כי אם חובה, זה מחויב מציאות. | גיליון | 12אפריל 2014 5 אתגרי אבטחת מידע ופרטיות שכיחים בסביבת IoT "אינטרנט של הדברים"- Internet of Things מאת :יובל סיני ( )Internet of Things) IoTבעברית" :אינטרנט של הדברים") הינו קונספט לאינטגרציה מתקדמת בה מוצרים ,רכיבי חומרה ,רכיבי תוכנה ואדם "מדברים" ביניהם על גבי תשתית האינטרנט. כך לדוגמא ,ניתן לזהות היום עליה בשכיחות פתרונות "בית חכם" ( ,)Smart Homeאשר כוללים תהליכי לימוד התנהגות ( )User Behaviorשל בעלי הדירה ,ובכך לאפשר התאמה אוטומטית של סביבת הבית לצרכיו ורצונותיו של בעלי הדירה. דוגמא אחרת הינה "מקררים חכמים" אשר יש ביכולתם להתריע אוטומטית לסופרמרקט הקרוב על העדר במצרכים (בהתאם ל Baselineמוגדר מראש) ,וביצוע פעולת רכישה אוטומטית בשם הלקוח. למרות היתרונות הגלומים בקונספט ה IoT-ניתן לאתר מספר אתגרים מהותיים בתחומי הגנת הפרטיות ואבטחת המידע .כמו כן ,לאור העובדה כי רכיבי IoTמתקדמים כוללים כיום יכולת ליצירת חברות אוטומטית ברשתות חברתיות של הדברים" )SIoT) The Social Internet of Thingsאתגריםאלו מתעצמים וגדלים .בנוסף ,צפויה אינטגרציה בין ה SIoT -ל"רשתות החברתיות האנושיות" ,דבר אשר עשוי לעלות אף מספר דילמות אתיות ,וזאת מעבר לסוגיות אבטחת מידע ופרטיות. חברות שונות ,כדוגמת חברת סיסקו חוזות כי בשנת 2020יהיו מעל ל 20מיליארד רכיבי IoT בעולם .לפיכך ניתן ללמוד ,כניסת פתרונות )BYOIoT) Bring Your Own Internet Of Things לחלק ניכר מהארגונים הינה עניין של זמן בלבד. מכיוון שכך ,ראוי כי מנהלי אבטחת מידע, יועצי ואנשי אבטחת מידע ,רגולטורים ,וכדומה יכירו את האתגרים השכיחים בעת אימוץ IoT מבעוד מועד ,וזאת על מנת להכין את הארגון באופן מיטבי לאימוץ רכיבי ה .IoT-ואקדים את המאוחר ואציין כי בדומה לתופעת ה- )BYOD) Bring Your On Deviceאשר נהפכה דה- פקטו לעובדה מוגמרת בחלק ניכר מהארגונים, סביר להניח אף תופעת ה IoT-תיהפך לעובדה מוגמרת בחלר ניכר מהארגונים ,והדרך הנכונה למשנתי למרבית הארגונים הינה להתכונן למציאות החדשה ,ולא להתנגד לה. ניתן למנות מספר אתגרים שכיחים בנושא אבטחת מידע ופרטיות בסביבת ה:IoT- ראשית כל ,מכיוון שרכיבי ה IoT-יכללו אינטגרציה נרחבת ,סביר להניח כי השימוש בשירותי Cloud 6 גיליון | 12אפריל | 2014 למיניהן ילך ויגבר .הדבר יכלול שירותים בסיסים כדוגמת ,GPSוכלה בחברות אוטומטית של הIoT- ב SIoT -אשר ינוהלו מחוץ לארגון ע"י ספק לא מוכר .לאור העובדה כי מרבית הציבור בתחום המחשוב מכיר כיום את האתגרים הנובעים מעבודה בסביבת ,Cloudומכיוון שקצרה היריעה מלכסות נושא זה ,מאמר זה לא יכלול התייחסות פרטנית לנושא זה. כפי שצוין קודם לעיל ,חלק מרכיבי ה IoT-יאמצו "זהות וירטואלית" ברשתות חברתיות אנושיות", דבר אשר יעלה לדיון את השאלה האם הצד "לשיחה" הינו "אדם" או "מכונה" .לאור העובדה כי ישנה צמיחה גוברת והולכת בתחומי "המציאות המדומה" ו"האינטליגנציה המלאכותית" תידרש דרך ייחודית ובלתי ניתנת לזיוף ושינוי כי הצד "לשיחה" הינו "אדם" או "מכונה" .לכאורה נראה כי מדובר באתגר פשוט אשר זכה למענה ע"י התקנים השכיחים בתחום ניהול זהויות גישה – ,)IAM) Identity Access Managementאך בפועל ניתן לראות מדובר בזהות מורכבת אשר יוצרת Linksבין מרחבי זמן ,מקום ומגוון ישויות \ "זהויות וירטואליות" .כך לדוגמא ,רכיב IoTיכול להיות ספק מידע ב ,SIoTאך ב SIoTאחר הוא יכול לבצע פעולה בשם אדם פלוני ו\או להעביר מידע לגבי אותו אדם פלוני. אתגר נוסף הינו סוגי המידע שרכיבי ה IoT-יוכלו לחלק ביניהם לבין רכיבי IoTזרים ,ואף עם SIoT ו"רשתות חברתיות אנושיות" .לאור העובדה כי מרבית הציבור כיום מאשר כמעט אוטומטית מתן הרשאות יתר לאפליקציות בסביבת מובייל, סביבת ה IoT-יכולה להביא לזליגה של מידע אישי נרחב .כך לדוגמא ,יכולת גנב להפיק מידע מסנסור IoTהאם ישנם אנשים בבית ,מפשט הלכה למעשה את פעילותם של גורמים עוינים. אתגר אחר הינו התמודדות עם מתקפות ,DDOS אשר מטרתן השבתת שירותים .מכיוון שמרבית רכיבי ה IoT-בעלי תקשורת קבועה לאינטרנט, מתקפת DDOSפשוטה עשויה להשבית את פעילותם של רכיבי ה IoT -החולקים ערוץ תקשורת משותף לאינטרנט .ליתר לציין כי תוצאה זו עשויה להשבית את תכלית ה IoT-בארגון ו\או בביתו של פלוני. כמו כן ,אחת הסוגיות המהותיות הינה יכולה עמידות מערכת ההפעלה של רכיבי ה IoT-בפני התקפות שונות .כך לדוגמא ,חברת אבטחת המידע Proofpointהציגה לאחרונה כי הצליחה לנצל פגיעות ברכיבי IoTלשם שליחת כ 750000 הודעות דואר אלקטרונית של Spamו .Phishing ובמילים אחרות ,רכיבי ה IoT-נהפכו ע"י החברה ל ,Botsדבר אשר אפשר לחברה להדגים ביצוע מתקפה רחבת היקף. מכיוון שעדיין לא הומצאה מערכת הפעלה אשר עמידה בפני כל המתקפות (,)Bullet Shilled OS ולאור העובדה כי מערכות ההפעלה בסביבת ה IoT-הינן מערכות הפעלה "רזות" במיוחד (דבר המונע התקנת רכיבי הגנה מתקדמים מעבר לרכיב Firewallבסיסי הנכלל בד"כ במערכת ההפעלה) ,ישנו צורך לעדכן את מערכות ההפעלה של רכיבי ה IoT-באופן מידיי .עם זאת, לאור העובדה כי רק ספק ה IoT-יכול לייצר עדכוני אבטחת מידע למערכת ההפעלה ,ישנה תלות גבוהה של הארגון ביצרן ה .IoT-קל וחומר כי נושא הפצת עדכוני אבטחת המידע ואימות כי העדכונים הופצו בהצלחה מהווה אתגר בפני עצמו. אתגר אחרון שאכלול במאמר זה הינו פגיעות אפשרית של פרוטוקולי התקשורת והאפליקציה. פרוטוקולי התקשורת והאפליקציה ניתנים לחלוקה ע"פ מספר משפחותDiscovery, : ( Monitoring, Data Transport, Managementוזאת מעבר לנושא ה IAM-אשר נסקר קודם לעיל). לאור העובדה כי הכון לזמן כתיבת מאמר זה אין עדיין סטנדרטים אחידים בתחום ,ניתן ללמוד כי ישנה אי תאימות מסוימת בין יצרנים שונים ,דבר אשר מצד אחד מנוע "קישוריות" בין יצרן IoTאחר לאחר ,ומצד שני הדבר מונע הגדרת Security Framework and Managementאחיד בין היצרנים. לסיכום ,מאמר זה סקר את האתגרים השכיחים בסביבת ה .IoT-עם זאת ,לאור העובדה כי ישנה גדילה בשוק זה ,סביר להניח כי יתגלו בתקופה הקרובה אתגרים נוספים אשר לא נכללו במאמר זה .כמו כן ,ישנה חשיבות למשנתי כי מנהלי אבטחת מידע ,יועצי ואנשי אבטחת מידע, רגולטורים ,וכדומה יכירו את האתגרים השכיחים בעת אימוץ IoTמבעוד מועד ,וזאת על מנת להכין את הארגון באופן מיטבי לאימוץ רכיבי ה.IoT- קבוצת טייטנס סקיוריטי פיתחה את המסלול המוביל בעולם אבטחת המידע והסייבר Cyber Security & Incident Management Titans Securityפיתחה את המסלול המוביל בעולם הסייבר וניהול אירועי אבטחת מידע. מדובר במסלול ייחודי ובלעדי המכשיר את הבוגרים בהתמודדות יעילה עם עולם הסייבר. בוגרי הקורס ירכשו את הידע ויקבלו את הכלים בהתמודדות עם אירועי סייבר שונים. במסגרת הקורס הבוגרים ילמדו מתודולוגיות לזיהוי ,טיפול וניהול אירועי אבטחת מידע. אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! למה כדאי ללמוד אצלנו? • לכל תלמיד בונים פרופיל לימוד אישי • Networkingעם מיטב הבכירים במשק הישראלי. בהתאם לתוצאות הבחינות דמה. • הצלחה בטוחה -למעלה מ98%- • חברות שנתית באיגוד העולמי הצלחה בבחינות הגמר. לאבטחת מידע ISSAובאיגוד הישראלי. • מיטב המרצים בתעשייה הישראלית והבינלאומית. • ערכות לימוד ייחודיות ובלעדיות. • תרגול מעשי רב ומגוון בנושאים העכשוויים. והדבר הכי חשוב!!! היות ואנו בטוחים בהצלחה שלנו ,אנו מציעים לכלל התלמידים הטבות נוספות: לא עברת את הבחינה? קבל קורס חוזר ב50%- (ללא אותיות קטנות) עברת את הבחינה? קבל זיכוי של עלות הבחינה ,לניצול בקורס הבא במכללת .Titans Security מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. למידע נוסף וקביעת פגישת ייעוץ: ייעוץ אקדמי Ts-academy@Titans2. com | 077-5150340 : | גיליון | 12אפריל 2014 7 האיגוד העולמי לאבטחת מידע (– )ISSAהצ'אפטר הישראלי קורס CISO האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו העיקרית היא קידום נושא אבטחת המידע בישראל ,בכל ההיבטים. אודות גיליון Global Security למה כדאי לחפש מידע במגזין שלנו ולא למשל ב Google-או כל עיתון אחר? חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה ,כגון הרצאות מקצועיות ,ימי עיון ,חומרים מקצועיים ,ועוד .כיום ,חברים באיגוד כמה מאות מקצועני אבטחת מידע ,ואנו שואפים לגייס את כלל קהילת ה IT-בישראל. בנוסף ,חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של –Global Security המגזין המוביל בישראל בתחום אבטחת המידע. e S e c u r i t y M a g a z i n e n i z I n f o r m a t i o n מגזין א בטחת מגזין אב a g a M y t i r u c e S n o i t a m r o f •מיקוד בתחום אבטחת המידע – המגזין עוסק אך ורק בתחום אבטחת המידע וניהול סיכונים. •יותר כתבות מקצועיות ופחות תדמיתיות – רוב המגזינים כיום יותר תדמיתיים, ופחות מקצועיים .אנו שומרים על רמה מקצועית ,וכמות מינימאלית של כתבות תדמית. n מידע וניהול סיכונים | גיליון מס' 4 | אוגוסט 2012 | יולי 2012 גיליון מס' 3 יהול סי כונים | I •השוואתיות – מאפשר השוואה פשוטה ואובייקטיבית בין הספקים והפתרונות. •היקף מידע – תמונה רחבה יותר ,ולא רק התמקדות בנושאים ספציפיים. Identity M anagemen t נתי של האיגוד קור הכנס הש סי בעולם הסייבר מגמות ערכות SIEM מ ערכות IPS מ זהירות בוטנט •תשלום סמלי – מדובר בעלות סמלית, והנכם מנויים למגזין אבטחת המידע המוביל בישראל •מקצועני אבטחת מידע – כל הכותבים שלנו עוסקים בתחום אבטחת המידע למעלה מ 7-שנים ,והם בכירים בתחום, ברמה העולמית. טחת מידע ונ בשער מלחמת בשער ניהול זהויות תלמד • תוביל • תצליח! סייבר האיום החדש בעידן הסייבר מתקפות APT הגנה על מערכות SCADA אחת לרבעון – מוסף מיוחד מה הערך המוסף שלנו? בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם לכמה ספקים בהתאם להוצאת RFI/RFPמהחברה .אנו מרכזים עבורכם את כל המידע המקצועי המקיף ביותר ,ובר השוואה אודות הפתרונות אבטחת המידע השונים, באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי: .1סקירה טכנולוגית רחבה אודות הפתרון שמחפשים .2סקירת הפתרונות בתחום הספציפי. .3מי הם הספקים המובילים בתחום? .5פרטי החברה של היצרן/ספק/האינטרגטור: שם ,מספר עובדים ,שנת הקמה ,יתרונות וחסרונות ,סוגי פעילות בחברה ,נושאים \תחומי פעילות והתמחות ,קישורים ,מידע טכנולוגי ,איש קשר ,חוסן כלכלי ,לקוחות בארץ ,לקוחות בחו"ל, תוכניות הרחבה למוצר ,מספר התקנות בארץ .6מה הערך המוסף של כל ספק בתחום הפתרון המוצע? .7כיצד מנהלים את הפרויקט? .8מהם נקודות כשל בפרויקט שמהם צריכים להיזהר? .9מה צריכים לדרוש מהספקים בעת יציאה למכרז? הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי ,שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו .הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, מנכ"ל טיטנס סקיוריטי שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומן בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש למידע ,ייעוץ והרשמה ניתן לפנות לטלפון 077-5150340 דוא"לTs-Academy@titans2. com : www. titans2. com | www. ts2. co. il | www. titans2. co. il מהו קוד פתוח? תוכנת קוד פתוח היא תוכנה אשר קוד המקור שלה מופץ בצורה פתוחה ונגישה לכלל קהילת המפתחים ,כאשר ניתן לערוך וליצור גרסאות חדשות שלו ,והכול ללא תשלום דמי רישיון. את המונח תוכנה חופשית טבע ריצ'רד סטולמן אשר ייסד את פרויקט GNUואת המוסד לתוכנה חופשית ( .)Free Software Foundationהמונח קוד פתוח מגיע מארגון יוזמת הקוד הפתוח (Open ,)Source Initiative מי עושה שימוש בקוד פתוח? לאחרונה פורסמה כתבה כי יחידת לוט"ם ,היחידה הטכנולוגית של אגף התקשוב בצה"ל ,החליטה לאמץ שימוש בקוד פתוח באופן מערכתי. במחזורים הקרובים בבית ספר למחשבים בצה"ל יפתחו קורסים ,ויעשה שימוש בתכנת פיית'ון, שפת תכנות בקוד פתוח. מדובר בשינוי מהותי ,שכן עד לרגע זה ,הפיתוח התבסס כמעט באופן בלעדי על חומרה ותכנה קניינית. צה"ל למעשה מצטרף לשרשרת של חברות סטארט אפ אשר עושות שימוש בתכנות קוד פתוח בשלבים שונים של פיתוח המוצר. מרבית הפרוייקטים משתמשים בספריות קוד פתוח ,וההערכה היא כי 80%משורות הקוד במוצרים מסחריים הם למעשה חלקים מספריות קוד פתוח. מהן הסכנות בשימוש בקוד פתוח ? האם שימוש בקוד פתוח חושף את הארגון לאיומי אבטחה נוספים? הכותב הינו רועי זימון ,בעל תואר שני מהאוניברסיטה העברית .מומחה אבטחת מידע בתחום הסייבר. קוד פתוח הוא קוד לכל דבר ,ולכן סובל לעתים מאותם הפגמים של קוד אחר. כמובן שבעיות אבטחה ופגמים שמתגלים בקוד פתוח משפיעים על כל מוצר שמכיל אותם ויש לעקוב אחריהם ולתקנם בהקדם האפשרי. יחד עם זאת יש לשים לב לחשיפות הבאות בהן ארגונים חשופים ברגע שהם משתמשים בקוד פתוח: •קהיליות קוד פתוח נוטות לתקן פגמים במהירות יחסית ,אך דווקא המשתמשים בספריות לעתים מתמהמהים ובכך חושפים את לקוחותיהם לאותם בעיות פתוחות. מרבית המחקרים שבוצעו בנושא הראו כי כ 85% מפרויקטי התוכנה מכילים ספריות קוד פתוח שלא עודכנו .ככלל ,מרבית מפתחי התוכנה בודקים את הקוד שכתבו בקפדנות ,אך אינם עושים זאת עבור קוד פתוח שמוטמע במוצריהם. חשיפה לObfuscation- שימוש בקוד פתוח עלול להוביל לניסיון גובר של חברות מתחרות/גורמים עויינים לפתח קוד פתוח 10 גיליון | 12אפריל | 2014 לרכיב ספיציפי ,אשר בנוסף לתפקיד העיקרי של הקוד יכיל קוד זדוני .למשל סוס טרויאני. ואז לשלב אותה אוטומטית ע"י כלים המחוברים לכלי הפיתוח השונים .כמובן שיש גם דמיינו למשל חברה גדולה אשר מורידה קוד פתוח לקריאה וכתיבה של לוגים מהמערכת. אותו קוד פתוח יכיל Obfuscationקוד שבנוסף לרישום הלוגים ,ינסה להוציא אותם החוצה לחברה מתחרה. לעקוב אוטומטית אחר פרצות אבטחה ,ופגמים אחרים אשר מתגלים בקוד פתוח •שימוש בניהול רישיונות :אי קיום הדרישות של רישיונות השימוש של כל אחת מהספריות יכולה לגרום לסיכונים מיותרים ,אשר ישפיע על השקעה באינגרציה ,ויביא לעיכוב בתהליך פיתוח ושחרר של התכנה. בצד המשפטי שימוש ב GPL-עלול לפגוע בזכויות היוצרים ,ורישיונות אחרים עשויים להשפיע על האפשרות להגשת פטנט. אז מה אפשר לעשות? ישנן מספר דרכים להתמודד עם הבעיות של שימוש בקוד פתוח ,אך לכל אחת המגרעות שלה: בדיקה ידנית •במרבית החברות כיום מנהלים את השימוש בקוד פתוח באופן ידני .תהליך זה אינו יעיל, ויוצר עלות יקרה מאוד של זמן ,משאב שלא תמיד קיים בארגונים אשר נתונים תחת לחצים להוצאת גרסאות בזמן נתון. •בצורת עבודה זו בד"כ מפספסים דברים חשובים ,כמו למשל מידע על ספריות תלויות. בדיקה אוטומטית •שימוש בסורקים אוטומטיים יוצר בהרבה מקרים אירועי ,False positiveדבר אשר גורם לבזבוז של זמן יקר בבדיקת חשדות מדומים. לעתים קרובות מוצאים הסורקים אלפי קטעי קוד הדומים במידה מסוימת לקטעי קוד פתוח כלשהו ,ואז מוטלת האחריות על המפתח לוודא שאין מדובר בהעתקה. גמישות לעדכונים •כאמור קהיליות קוד פתוח נוטות לתקן פגמים במהירות יחסית מהרגע שזה זוהה ,לכן יש להיות קשובים ומעודכנים .הכי חשוב להיות גמישים מבחינה ארגונית לשינויים כתוצאה מתיקוני הבעיות אשר התגלו. שימוש בSandbox- •יש להריץ את התכנה בסביבה נפרדת ומבודדת באמצעות שימוש בכלי ,Sandbox וחיפוש התנהגות חשודה של הקוד. נהלים •כתוצאה מהבעיות אשר תוארו לעיל ,מעטות החברות שבהן משתמשים בכלים באופן רציף ומשולב לאורך תהליך הפיתוח. המדיניות הארגונית בקשר לרישיונות צריכה להיקבע ע"י מנהלים ומשפטנים באופן נפרד שבו אנו משתמשים ,ובו בעת לאפשר עדכון גרסאות שתוקנו. הידעתם? הונאות סייבר תפסו את המקום השני ברשימת הפשעים הפיננסיים על פי הסקר מתוך 45%מהחברות שהודו כי נפלו קורבן לניסיונות הונאה ,כ39%- מהמקרים ענו להגדרה של פשע סייבר. במקום הראשון נמצאים כמובן ניסיונות גניבה ,במקום השלישי הלבנת כספים, ברביעי הונאות חשבונאיות ,וסוגרות את הרשימה שוחד ושחיתות. המוסדות הפיננסיים שהיו המותקפים ביותר הם כמובן הבנקים .השלטונות באירופה ובארה"ב אף הגבירו את הפיקוח עליהם והרגולטורים העלו את דרישות האבטחה שעל הבנקים ליישם .זאת ועוד ,האיום העיקרי על הארגונים הפיננסיים נבע דווקא מהעובדים ולא מהאקרים או פושעים. לדברי חברות מחקר ,הפרופיל הממוצע של עבריין פיננסי הוא גבר אקדמאי בגילאים 31עד .50על פי הסקר רוב ההונאות בוצעו על ידי מנהלים דרג ביניים או על ידי עובדים זוטרים .מאות בנקים השתתפו בשנה שעברה בתרגיל הדמיה של תקיפת סייבר בלונדון ובניו יורק ,לטענת מומחי אבטחה, הרוב הגדול של מוסדות פיננסיים סבלו מתקיפת סייבר בשנה האחרונה. תוצאות הסקר מצביעות על המשך העלייה בהונאות סייבר ,עלייה שכבר נראתה בסקרים בשנים האחרונות .למרות שבעולם כמות ההונאות הגדולה ביותר נמצאת בשוק הפיננסי ,המספרים עליהם מצביע הסקר לגבי הונאות סייבר בשוק הפיננסי בארץ, קטנים משמעותית מההונאות שדווחו על ידי בנקים באירופה .לעובדה זו מספר גורמים עיקריים הכוללים את הבידוד היחסי של ישראל מבחינה טכנולוגית (מספר מועט של קישורים לתשתית האינטרנט הבינלאומית), הגודל הקטן יחסית של הבנקים ,הריחוק הפיזי ממזרח אירופה ,הרגולציה הישראלית על הסקטור הפיננסי והמובילות הטכנולוגית בתחומי אבטחת המידע והסייבר .ישראל נתפסת כמובילה בהתמודדות עם פשעי סייבר ,ומרבית הארגונים בארץ החלו לאמץ תקנים בינלאומיים ביניהם את התקן סייבר המוביל בעולם .ISO 27032 | גיליון | 12אפריל 2014 11 | | הידעתם? חדשות סייבר הידעתם? חדשות סייבר ה :NSA-חברות ההיי-טק בארה"ב ידעו על איסוף הנתונים קבצים נעולים לאחר חודשים של הכחשות מצד חברות ההיי-טק המובילות ארה"ב -בהן אפל ,גוגל ומיקרוסופט -כי לא ידעו על איסוף נתוני המשתמשים שלהן על ידי הסוכנות לבטחון לאומי ( ,)NSAסתר את טענותיהן לא אחר מאשר היועץ המשפטי של NSAעצמה. רואה החשבון הבכיר מספר את השתלשלות האירועים לאחר שגילה כי אינו יכול להיכנס לקבצים שונים במחשבי המשרד" :כשאנשי המחשבים שלנו חפרו ועשו חיפוש ,הם מצאו את המייל המזיק .זה מייל שהגיע תוך כדי עבודה למזכירת המשרד ,והוא נראה כאילו מצורף אליו מאמר שנסרק למחשב ,כמו שאנחנו מקבלים בשוטף עשרות מאמרים אחרים. המזכירה בתמימות פתחה את זה ואפילו לא ידעה את ההשלכות .אתה פותח את המייל, והוא חודר לך לתוך המחשב ונכנס לתוך הרשת ,כמו תולעת ,ואוסף קבצים ונועל אותם. רג'ש דה ,היועץ המשפטי הראשי של ,NSAאמר כי חברות הטכנולוגיה בארה"ב היו מודעות היטב לאיסוף הנרחב של נתונים על ידי הסוכנות ,בשימוע שהתקיים ביום רביעי במועצה לפיקוח על פרטיות וזכויות אזרח -גוף רגולציה האחראי על הגנת הפרטיות בארה"ב .לדבריו ,על איסוף הנתונים מתקשורת שבוצע על ידי NSAעל פי התיקון לחוק למעקב מודיעיני אחר גומרים זרים ( )FISAמשנת ,2008התבצע בידיעת החברות -הן במסגרת תוכנית מעקב האינטרנט PRISMוהן במסגרת תוכניות אחרות לאיסוף מידע מהאינטרנט. בשימוע אתמול נשאל דה האם איסוף הנתונים במסגרת חוק " FISAנעשה בידיעה מלאה ובסיוע כל חברה שממנה הושג המידע" ,תשובתו היתה: "כן" .דה הוסיף כי איסוף המידע במסגרת תוכנית PRISMנעשה במסגרת "הליך משפטי מחייב שכל חברה קיבלה הודעה לגביו". בחודש יוני ,2013כאשר נחשפה לראשונה תוכנית PRISMהודות למסמכים שהודלפו על ידי אדוארד סנואודן ,כמעט כל החברות שהיו לפי המסמכים מעורבות בתוכנית -אפל ,גוגל, מיקרוסופט ,פייסבוק יאהו ו - AOL-טענו כי לא היו מודעות לתוכנית המעקב .חלקן ,כמו אפל למשל ,טענו כי מעולם לא שמעו אפילו את השם .PRISM נפרדים מחלונות XP ב 8-באפריל עומדת מיקרוסופט להפסיק את עדכוני האבטחה למערכת ההפעלה הוותיקה אך הפופולארית חלונות ,XPומומחי אבטחה מזהירים כי הדבר עשוי להעמיד בסכנה כ 30%-מהמחשבים בעולם בהם עדיין מותקנת התוכנה. על פי דיווח ב-סי-אן-אן ,חברת NetMarketShare מעריכה כי שיעור המחשבים שבהם עדיין מותקנת XPעומד על כ29%- אך חברות אחרות מעריכות כי שיעור המחשבים עשוי להיות גבוה אף יותר .חברת טרנד מיקרו מעריכה כי מדובר ב32%- מהמחשבים. לדברי חברת המחקר פורסטר ,הבעיה מאיימת לא רק על מחשבים של משתמשים פרטיים אלא גם על חברות וארגונים .כ 20%-מהארגונים עדיין משתמשים במערכת ההפעלה. "מחשבי XPשנפרצו עלולים לפגוע לא רק במערכות המחשוב שלהם אלא מהווים איום למשתמשים רבים אחרים ברשת האינטרנט", הזהירה טרנד מיקרו" .יתרה מכך ,מערכות שנפלו קורבן למתקפות ,הופכים לחלק מרשת בוטים ( )botnetשעלולים לגרום לפגיעה אף 12 גיליון | 12אפריל | 2014 "ככל הנראה ,ככל שידוע לנו היום ,ההאקרים לא לקחו אליהם את הקבצים ,הם פשוט נעלו אותם אצלנו ,כך שאנחנו לא יכולים להשתמש בהם .יש צופן שלא ניתן לפיצוח על-מנת להיכנס לקבצים. אני מקווה שזה מסתיים בנעילה ולא בגניבת הקבצים. קשה יותר למשתמשים אחרים ברשת ,אף יותר מאשר למשתמשי ."XP מומחים נוספים הזהירו כי גם אם הדבר לא יגרום נזקים באופן מיידי ,עם הזמן הפרצות, שלהן אין מענה עלולות להצטבר וכך המערכות יהיו יותר ויותר פגיעות עם הזמן" .זה כמו חלב שעבר את תאריך התפוגה שלו", אמר לסי- אן-אן סרג'יו גלינדו ,מנכ"ל חברת GFI Softwareשמספקת שירותי תמיכה בחברות" ,אם תשתה אותו יום אחרי שעבר התאריך לא יקרה כלום ,אבל אחרי חודש הסיכון גדל באופן אקספוננציאלי". אנשי אבטחה ממליצים למשתמשים, שבמחשביהם עדיין מותקנת המערכת ,לשדרג לחלונות 7או חלונות ,1 .8או למערכות הפעלה חלופיות כמו ( OSXשמצריכה לרוב מחשבי מק) או לינוקס. לנו זה לא יקרה. עוקץ הביטקוין: משרד רו"ח נפל קורבן להחדרת וירוס למחשב "ביום חמישי האחרון הגעתי למשרד וניסיתי לפתוח קובץ אקסל שעבדתי עליו ,אך לא הצלחתי .פניתי לאנשי המחשבים שלנו והמשכתי לעבוד על דברים אחרים ,אבל לאט-לאט ,ככל שנמשך היום ,גיליתי שעוד ועוד קבצים חסומים במחשב שלי ,ולא רק קבצי אקסל ,ובכלל במחשבי המשרד .כשאנשי המחשבים שלנו בדקו את הנושא ,הם גילו שהקבצים ננעלו על-ידי וירוס שהוחדר למערכת שלנו ,וההאקרים דורשים כופר בביטקוינים על-מנת לשחרר אותם" -כך מתאר רואה חשבון בכיר ומוכר את מתקפת הסייבר שמתחוללת במשרדו בימים האחרונים. מדובר במשרד רואי חשבון מוביל ומוכר ,המעסיק עשרות עובדים ומייצג חברות מהגדולות ביותר במשק .עקב חשיבות הנתונים המצויים על מחשבי המשרד ,בהם נתונים כספיים של לקוחות בכירים במשק ,הסדרי שומה ותשלומי מס ,ועקב הסודיות המתבקשת ,מערכת המחשבים של המשרד מוגנת בהגנות מהמשוכללות במשק, והמשרד מלווה על-ידי חברת לאבטחת וגיבוי מידע באופן שוטף. ובכל זאת ,כך התברר לרואי החשבון המנהל במשרד ,נתון המשרד מיום חמישי למתקפת האקרים שראשיתה במייל "תמים למראה", והמשכה בתשלום כופר (לא גבוה יש לציין) שלא הועיל במאום ,ובפנייה למשטרה ,שטרם נבחנה לגופה .סוף הסיפור עדיין לא ידוע ,היות והבעיה טרם נפתרה. "זה התחיל עם זה שאני גיליתי שאני לא יכול להיכנס לקבצים ,ופתאום גם עובדים נוספים התלוננו שהם לא מצליחים .זה נראה כאילו הקובץ איננו .כמובן שהתחלנו לשחזר את החומר מהגיבוי האחרון שהיה לנו .מדובר בתיקים ,ניירות עבודה, תחשיבים ואקסלים שלרובם יש לנו גיבוי להם, אך לצערי ,הייתה לאנשי המחשבים שלנו תקלה בנוגע לחלק מהגיבויים ,ואי-אפשר היה לשחזר חלק מהקבצים אלה רק חודש לאחרונה". הבקשה לכופר הגיעה ברגע שאנשי המחשוב גילו את המייל המזיק ,הם ראו את דרישת הכופר בתוך ההודעה המקורית .הם דרשו סכום זניח ביחס לנזק שהם גרמו ,של 400אירו בביטקוינים, ואנשי המחשבים שלנו הודיעו לנו שהם מתכוונים לשלם ,כי הם לקחו אחריות לכך שהגיבוי של חלק מהקבצים כשל. חברת המחשבים המעניקה שירותים למשרד אכן העבירה את הסכום המבוקר לחשבון האנונימי שצורף למייל ,אך התברר כי התשלום לא סיים את הסאגה" .אנשי המחשבים קודם כל רצו לפתור את הבעיה ,והחליטו לשלם ,אבל מסתבר שזה לא שינה שום דבר .התשלום הועבר ונקלט בחשבון של ההאקרים ,אבל הקבצים עדיין נעולים .אנחנו עדיין בלבה של הבעיה". התופעה של שליחת מייל המחדיר תוכנה "זדונית" למחשבים ,שנועלת קבצים ואף מחשבים שלמים עם הצפנה ,מוכרת ברחבי העולם .לאחרונה פירסם עיתון ה"גרדיאן" הבריטי כתבה המזהירה משתמשים מפני - CryptoLocker malwareמיילים הנחזים להיות מיילים אינפורמטיביים או מגורמים רשמיים ,הכוללים למעשה וירוס הנועל לצמיתות את מחשבו של מי שפתח את המייל או קבצים שונים במחשב ,וכוללים אף דרישת כופר על-מנת לפתוח את החסימה. במקרה של משרד רואי החשבון ,דרישת הכופר הנמוך 400 -אירו בביטקוין -יכולה להעיד אולי על כך שמדובר ב"שיטת מצליח" ,במסגרתה ההאקרים דורשים מכל מי שאל מחשבו הם פורצים את הכופר ,ותשלום מבחינתם יהיה צ'ופר, אך אין בכוונתם לשחרר את הקבצים בכל מקרה. רואה החשבון המנהל את המשרד היה מוכן לחשוף את הסיפור רק על-מנת למנוע מאחרים להיקלע לסיטואציה בה הוא נמצא .כעת הוא מזהיר" :אם זה קרה לי ,זה יכול לקרות לכל אחד .אני חושב שזו תופעה שתכה בכולם ,וכבר ידוע לי על גופים גדולים אחרים שהיא הכתה בהם ,אבל הם מסתירים את זה כאילו זה סוד .זה ממש טמטום, כי אחרים נופלים בפח הזה בגלל הסודיות .אנשים לא מדברים .כבר ידוע לי שיש משרד עורכי דין שהוכה וחברה גדולה במשק שספגה מכה בגלל מייל מאותו סגנון ,והמדינה והמשטרה צריכות לתת את הדעת לזה". מסובכת ,ולא היה להם זמן .הם ביקשו לחזור בתחילת השבוע .זה לא עניין אף אחד .מתגובת החברה נמסר" :אנחנו עוד נחזור לשם ונודיע גם לביטוח ,אבל זה לא עשה רושם שמישהו רק מחכה לתלונה שלנו .ציפינו שיפנו אותנו למרכז סייבר של המשטרה ,אבל שום דבר". ממשטרת ישראל נמסר" :הנושא מוכר כתופעה עולמית שאינה אופיינית למדינה מסוימת ,ורשויות האכיפה עוסקות בו במסגרת שיתופי-פעולה בינלאומיים .מדובר בסוג של נגיף מחשב שאינו 'מודבק' באמצעות חדירה למחשב ,אלא בהורדה עצמאית של הקורבן למחשבו. "ללא קשר למקרה הספציפי המוזכר בפנייה ,ככל שעולה חשד לביצוע עבירה פלילית באמצעות רשת האינטרנט ,הנושא נחקר על-ידי מערך מיומן ומקצועי של חוקרי מחשב מיומנים ,הפרוס בכלל מחוזות משטרת ישראל ובלהב". באותו ערב שבו זוהה המייל הזדוני ,החברה ניגשה לתחנת המשטרה להגיש תלונה .אבל זו תלונה | גיליון | 12אפריל 2014 13 | קבוצת טייטנס סקיוריטי מציגה הידעתם? חדשות סייבר c e r t i f i e d מרוסיה באהבה: תוכנת ריגול שהוחדרה למחשבים אסטרטגיים שובה של המלחמה הקרה? תוכנת ריגול מתוחכמת הוחדרה למאות מחשבים של בכירים בממשלת ארה"ב ואירופה ,כך סבורים מומחים לאבטחת מידע במערב. לפי דיווח ב"רויטרס" ,אנשי מודיעין וביטחון מערביים טוענים כי התוכנת הריגול ,שזכתה לשם טורלה ( )TURLAהיא מלאכת ידה של ממשלת רוסיה והיא בעלת סממנים דומים לתוכנת הריגול הרוסית שהוחדרה לצבא ארה"ב ב .2008-ההערכות הללו מבוססות על עבודת ניתוח של האקרים ומומחי סייבר שהצליחו לגלות מספר קורבנות שאל המחשבים שלהם הוחדרה התוכנה. לטענת חוקרי אבטחת מידע ,זוהי תוכנת ריגול מתוחכמת הקשורה לתוכנות ריגול רוסיות אחרות שעושות שימוש בהצפנה ומוחדרות לממשלות המערב. להסוות את הזהות שלהם ובייחוד ההאקרים של ממשלת רוסיה ,הנחשבים למומחים ונאמנים מאוד לממשל ועושים את כל הפעולות הנדרשות במטרה להסתיר כל עקבות של ממשלת רוסיה. אולם ,מומחי ביטחון טוענים כי למרות שנראה כי הטורלה היא תוכנת ריגול רוסית ,בלתי ניתן לאמת את החששות הללו אלא אם כן מוסקבה תיקח אחריות .הם מציינים בנוסף כי מפתחי תוכנות ריגול נוקטים באמצעים שונים במטרה הטורלה עלתה לתודעה הציבורית השבוע כאשר חברת אבטחת המידע הגרמנית G DATAפרסמה דוח על הוירוס המתוחכם שזכה תחילה לכינוי אורובורוס. האקרים פרו-אוקראינים מכים באתרי ממשלת רוסיה בעוד עיני העולם נשואות אל חצי האי קרים ,לאור המתח שבין מהלך הסיפוח שמבקשת רוסיה לבצע ,אל מול גיוס כוחות המילואים שביצעה אוקראינה ,ברשת המלחמה כבר מתחוללת בשיא העוצמה מזה מספר ימים .בהתחשב בכך שבמזרח אירופה שוכנים כמה מההאקרים המסוכנים והמנוסים בעולם ,מלחמת הסייבר בין תומכי רוסיה ואוקראינה היא מהמורכבות שפרצו. האקרים אוקראינים הצליחו להפיל שורה ארוכה של אתרים ,ביניהם אפילו את אתר הקרמלין. לעומתם ,תקף ארגון ההאקרים הפרו-רוסי Cyber-Berkutשני אתרים של נאט"ו ,הברית הצפון אטלנטית אליה מעוניינים תומכי אוקראינה להתקבל. ההאקרים משתמשים בטכניקות דיסאינפורמציה ומלחמה פסיכולוגית כמו בימי המלחמה הקרה; בכלי תקשורת במערב הופיעו דיווחים סותרים על הגורמים שעומדים מאחורי סייבר ברקוט וחלק מהמתקפות 14 גיליון | 12אפריל | 2014 כולל הכנה להסמכת CISMהבינלאומית מטעם ארגון ISACA משך הקורס 200( :שעות אקדמיות) תיאור הקורס קבוצת TitansSecurityחיברה את הקורס המוביל בישראל להקניית כלי הניהול המתקדמים ביותר עבור מנהלי אבטחת המידע, על בסיס הניסיון המצטבר של סגל המרצים הבכיר של החברה ,הן בצד האקדמי והן בצד הפרקטי. משבר קרים: חילופי מתקפות סייבר מתרחשים מזה מספר ימים בין רוסיה ואוקראינה .שני הצדדים מבצעים הטעיות שמקשות לדעת מי עומד מאחורי איזו מתקפה .בין היתר ,הופלו אתר הקרמלין ברוסיה ואתרי נאט"ו CISO בכדי שנוכל להקנות למשתתפי הקורס את הכישורים להבין את התמונה הכוללת והרחבה של תפקיד מנהל אבטחת המידע ואת היכולות לחזות את הסיכונים והכשלים העומדים בדרך להצלחה .ניתן דגש מיוחד לניתוח אירועים ודיונים בין משתתפי הקורס ומנחיו על בסיסCase Studies של אירועים אמיתיים בארגונים שונים בישראל ובחו"ל. אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! בוצעו בידי האקרים שמזדהים בתור "אנונימוס אוקראינה" ותומכים דווקא בצד הרוסי. למה כדאי ללמוד אצלנו? ממתקפות פשוטות לפצצות סייבר המבצעים האחרונים של שני הצדדים כוללים בעיקר מתקפות מניעת שירות ( )DDoSפשוטות ,אך סביר להניח שיעבור עוד זמן מה עד שייחשפו מבצעי סייבר מתקדמים ומתוחכמים יותר .עוד דוגמה למלחמה הפסיכולוגית הגיעה בדמות מייל שנשלח כביכול על ידי הנספח הצבאי של ארה"ב באוקראינה בו הוא מזהיר קצין בכיר בצבא האוקראיני מפני מתקפות "מדומות" של רוסיה על מטרות אוקראיניות. ארגוני ההאקרים האוקראינים אינם מזדהים בהכרח ככאלה .כך למשל קבוצת Maidan Cyber ,Sotnyaאו קבוצת אנונימוס קווקז ,שכאמור נמצאת מהצד השני של המתרס מקבוצת אנונימוס אוקראינה .קבוצת הקווקז אגב הצליחה לפגוע במספר אתרי חדשות עיקריים ברוסיה ובאתרי קבוצת העיתונות הממשלתית .VGTRK סוג ההתקפה הזה שנקרא ,false flag attack משמש פעמים רבות כתירוץ של חובבי תיאוריות קונספירציה כדי להאשים ממשלות במעשים של ארגוני טרור .כמובן ,שבמקרה הזה ,די ברור שלארה"ב אין שום אינטרס לתקוף מטרות אוקראיניות פרו-מערביות .אולם כשדעת הקהל מבולבלת ,כך ניתן לייצר בקלות התעלמות מהמהלכים בשטח. שימוש בהאקרים והורדת אתרים אינה סוג חדש של לוחמה .למעשה ,הרוסים כבר השתמשו בה בהתקפה על גיאורגיה לפני הפלישה למדינה ב 2008-וכן בקמפיין סייבר שנוהל כגד אסטוניה ב 2007-ושיוחס לגורמים רוסיים .אפילו ארה"ב סבלה מקמפיין מתמשך שכזה מצד סין בין 2003 ל 2005-וכונה .Titan Rain • לכל תלמיד בונים פרופיל לימוד אישי בהתאם לתוצאות הבחינות דמי שלו. • מיטב המרצים בתעשייה הישראלית והבינלאומית. • תרגול מעשי רב ומגוון בנושאים העכשוויים. • הצלחה בטוחה -למעלה הגמר. מ 98%-הצלחה בבחינות • Networkingעם מיטב הבכירים במשק הישראלי. • חברות שנתית באיגוד העולמי לאבטחת מידע ISSAובאיגוד • ערכות לימוד ייחודיות הישראלי. ובלעדיות. והדבר הכי חשוב!!! היות ואנו בטוחים בהצלחה שלנו ,אנו מציעים לכלל התלמידים הטבות נוספות: לא עברת את הבחינה? קבל קורס חוזר ב50%- (ללא אותיות קטנות) עברת את הבחינה? קבל זיכוי של עלות הבחינה ,לניצול בקורס הבא במכללת .Titans Security מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. למידע נוסף וקביעת פגישת ייעוץ: ייעוץ אקדמי Ts-academy@Titans2. com | 077-5150340 : | גיליון | 12אפריל 2014 15 להיות ראשון זה מחייב! חטיבת הטכנולוגיה ומחשוב הפכה להיות הגוף הראשון בישראל המוסמך לתקן הבינלאומי לאבטחת סייבר ( ,)ISO 27032לצד התקן הבינלאומי המוביל לאבטחת מידע (.)ISO 27001 חטיבת הטכנולוגיות ומחשוב בבנק הפועלים ממשיכה את מסורת ומוטו הבנק " -להיות ראשון זה מחייב" .במהלך חודש מרץ ,הבנק עבר שתי הכשרות לשני תקנים ,מהמובילים בעולם אבטחת המידע והסייבר -תקן אבטחת מידע ,ISO 27001ותקן אבטחת סייבר .ISO 27032 היא חיונית ,במיוחד כאשר מדובר על נתונים פיננסיים .השימוש הגובר בשירותי בנקאות מקוונים וניידים הובילו לעלייה ברמת הסיכונים הנובעים מגניבת זהויות או הונאות סייבר .הארגונים הפיננסיים נמצאים במירוץ אל מול איומי הסייבר ואני שמח ששוב העלנו את רף האבטחה בבנק. לא רק זאת ,עפ"י נתוני המכון לבקרה ואיכות חברת ,IQCשהתעידה את החטיבה ,תהליךההתעדה בוצע בזמן שיא ,בזכות המקצועיות של הצוות המוביל בארגון ברשות מנהל אבטחת המידע מר עדי קפלן ,ומנהל תחום באבטחת מידע האחראי על נושא הרגולציה מר שמואל שיליאן. שמואל שיליאן ,מנהל תחום באבטחת מידע האחראי על נושא הרגולציה " ,כחלק מיעדי החטיבה לשיפור מתמיד ,בחרנו לאמץ את שני התקנים ,ואני מאוד שמח על ההחלטה, היות וזה שיפר את תהליכי עבודה הן בתחום אבטחת המידע והן בתחום ההתמודדות מול איומי סייבר .חשוב לציין שאני מאוד מרוצה מהבחירה שעשינו בבחירת חברת הייעוץ TITANS SECURITYכחברה שתלווה אותנו בתהליך ההתעדה .הרמה המקצועית והאחריות האישית של היועצים בא לידי ביטוי באימוץ המהיר של התקנים בארגון, במינימום הפרעה בעבודה היומיומית ,ובסיום המהיר של הפרויקט והעברה חלקה של תהליך ההתעדה אל מול שני התקנים .מאוד התרשמנו גם מהרמה המקצועית של הסוקר, ולמדנו והפקנו הרבה לקחים מהמבדק". תהליך ההתעדה לתקן נמשך כשלושה חודשים בלבד ,והחל בקיום תהליך של מיפוי דרישות עסקיות ,הגדרת תכולה ,ביצוע הערכת סיכונים והטמעת מתודולוגיה לניהול סיכונים ואבטחת מידע וסייבר בארגון .בנוסף, כחלק מהטמעת התקן ,הוכנה לארגון מערכת לניהול אבטחת מידע (מנא"מ) הכוללת את כל המסמכים הנדרשים לעמידה בדרישות תקני משפחת 27000לאבטחת מידע. עפ"י החלטת הבנק ,מדובר בתהליך ראשוני, אשר החל בארץ ,והוא ימשך גם על חלק מהסניפים בחו"ל. את הפרויקט מטעם הבנק הוביל מנהל תחום באבטחת מידע האחראי על נושא הרגולציה ,מר שמואל שיליאן בשיתוף עם שי דודפור המרכז את נושא הסייבר באבטחת מידע בבנק ,שקיבל תמיכה מלאה מהנהלת הארגון בכלל והחטיבה בפרט .לטובת סיוע מקצועי בתהליך נבחרה חברת הייעוץ ,TITANS SECURITYבראשות המנכ"ל ,מר דני אברמוביץ ,כאשר מבדקי ההתעדה בוצעו על-ידי מר יריב דיאמנט ,סוקר מוביל של חברת IQCגוף ההתעדה המבצע התעדות בארץ ובחו"ל. מימין לשמאל :ניר הלפרין – מנכ"ל חברת | IQCיריב דיאמנט – סוקר מוביל של חברת | IQCדני אברמוביץ – מייסד ומנכ"ל חברת TITANS SECURITY שרון משהדי – יחידת סייבר בבנק הפועלים | שי דודפור – מנהל יחידת סייבר בבנק הפועלים | אלדד משולם – סמנכ"ל בחברת TITANS SECURITY שמואל שיליאן – אחראי תחום רגולציות באבטחת מידע בבנק הפועלים | עדי קפלן – מנהל אבטחת מידע בבנק הפועלים 16 גיליון | 12אפריל | 2014 עדי קפלן ,מנהל אבטחת המידע בבנק הפועלים " ,במשך שנים פועלת חטיבת הטכנולוגיה ומחשוב כיוזמת ומאפשרת עסקית ( ,)Business Enablerפריסת משאבים, תשתיות ומערכות שהחטיבה יזמה והעמידה מראש לטובת הארגון ,לביצוע יוזמות שהגיעו מהצד העסקי .ההחלטה לאמץ את שני התקנים ,וביחד ,התאימה מאוד למוטו של החטיבה להוות את חוד החנית הטכנולוגי-עסקי בבנקאות הישראלית, למינוף האסטרטגיה של בנק הפועלים, ליצור מובילות טכנולוגית-תפעולית ביעילות מרבית ומקסום ערך לכל בעלי העניין בבנק – בעלים ,לקוחות ועובדים .ההגנה על המידע TITANS דני אברמוביץ ,מנכ"ל חברת " ,SECURITYלא בכדי ארגונים רבים בארץ ובחו"ל מכוונים את עצמם לעמידה בסטנדרטים בינלאומיים בנושא אבטחת מידע וסייבר .מהלך שכזה לא רק שיוצר הליך סדור של ניהול אבטחת המידע בארגון אלא ולפני הכל יוצר מחויבות של הארגון לנושא הכל כך אקוטי הנקרא "אבטחת מידע וסייבר". כבר בשלבים הראשונים של הפרויקט זיהינו את הרמה המקצועית של הצוות האמון על שני התחומים .כמי שמסתובב בקרב עשרות רבות של לקוחות בארץ ובחו"ל ,אני חייב לציין לטובה את הרמה המקצועית של הצוות וכן את התמיכה הרבה מצד הנהלת הארגון .כל אלו ,סייעו לנו לקדם את הפרויקט בצורה חלקה ומהירה". יריב דיאמנט ,סוקר מוביל של " ,IQCהמוכנות של החטיבה בבנק הייתה מהגבוהות שראינו, ובפעם הראשונה העברתי מבדק התעדה ללא הערות בכלל .הצוות עשה עבודה מצוינת ,ונקבעו גם מדדים לשיפור ועמידה ביעדים לשנים הבאות". ניר הלפרין ,מנכ"ל חברת " ,IQCההחלטה של אבטחת המידע בחטיבת הטכנולוגיה ומחשוב בבנק הפועלים לבחור בנו כספק ושותף לתהליך ההתעדה מהווה בסיס למתן האמון בחלק המקצועי שלנו כגוף התעדה ,ואני מאוד שמח שהיינו שותפים לתהליך זה". TITANS SECURITY תעודת זהות חברת Titans Securityהוקמה בשנת 2010 על ידי מר דני אברמוביץ .החברה הינה חברה בוטיק המתמחה במתן שירותי ייעוץ בתחומי אבטחת מידע ,הגנה בסייבר ,ניהול סיכונים, המשכיות עסקית ,ניהול פרויקטים ועוד. לחברה ניסיון רב ,בארץ ובחו"ל ,במימוש ,ליווי והטמעת תקני אבטחת מידע ,סייבר והמשכיות עסקית .גיבוש והטמעת מתודולוגיות לניהול סיכונים ,ניהול אירועי אבטחת מידע וסייבר וממשל אבטחת מידע ,החל מניהול פרויקטים, ועד להוצאה ומענה למכרזים .בין לקוחות החברה נמנים בנקים ,חברות ביטוח ,טלקום, חברות היי-טק ,פרמצבטיקה ,תעשייה ומשרדי ממשלה. דני אברמוביץ ,מייסד ומנכ"ל החברה הינו מוסמך בשלל הסמכות בינלאומיות נחשקות כגוןCISSP, CISM, CISA, CRISC, C|CISO, ISO : 27001 Lead Auditor, ISO 22310 Lead Auditorועוד .דני הינו מרצה מבוקש בתחומי הנושא של החברה ואף משמש בנוסף לתפקידו גם כנשיא האיגוד העולמי לאבטחת מידע ( – )ISSAהציאפטר הישראלי. לחברה ,חברת בת Titans Security Academy המביא ניסיון נרכש זה ומתמחה במתן שירותי הכשרה ,הדרכה והכנה להסמכות מקצועיות מהמובילות בעולם .החברה מקיימת סמינרים וקורסים מקצועיים, ציבוריים ומוזמנים בארגונים שמטרתם לרענן את הידע ולהסמיך את הפונקציות הרלוונטיות בארגון בהסמכות הבינלאומיות המתאימות .פרטים נוספים באתר: www. titans2. co. il | גיליון | 12אפריל 2014 17 הכשרת מנהלי אבטחת מידע ()CISO Knowledge to People חברת TITANS SECURITYגאה להציג את המסלול המקצועי ,האיכותי והמקיף ביותר להכשרת מנהלי אבטחת מידע ( )Certified CISOוגם היחידי שכולל הסמכה בינלאומית – CISMמבית .ISACAמדובר בקורס בן 200שעות פרונטאליות ,ועוד כ 500-שעות תרגול עצמאי ,כאשר ישנה התייחסות לכל עולמות אבטחת המידע. בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי אבטחת מידע ברמה גבוהה מאוד .הקורס נוצר כתוצאה מדרישת השוק למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע על כל שכבותיה .בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם ו\או לארגון בהם מועסקים על-ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש מהם. זהו מסלול חדש ,העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים. המסלול מחולק לשני חלקים עיקריים ,כאשר החלק הראשון הינו החלק המעשי של הקורס ,והחלק השני מכין את התלמיד לבחינת ההסמכה הבינלאומית של CISMמבית .ISACAהחלק הראשון בנוי מ 5-מודולים עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע על פניהם השונים. הביטחון שלך העבודה שלנו Bringing המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע בהיבט העסקי ועם העולם הרגולטורי\חוקי .המודול השני עוסק ברק הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים. המודול השלישי עוסק בתחום ניהול אבטחת המידע ,מסגרות לניהול אבטחת מידע וניהול סיכונים .המודול הרביעי דן כולו בהיבטים של אבטחת מידע פיזי וסביבתי ,והמודול החמישי עוסק בפן האנושי מבחינת אבטחת מידע. הקורס עובר עדכונים שוטפים ,כדי להתאימו לעולם הדינאמי של השוק ,והתוקפים\התקפות השונות ,וסוקר בצורה מלאה את כל עולם אבטחת המידע על כל רבדיו .בכל רובד אנו מתרגלים ודנים בתפיסות, מתודולוגיות ובטכנולוגיות הקיימות ,ובחולשות הרבות הנסתרות בהן. חולשות ,אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה .כמו כן ,אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף ,כנגד החולשות שלנו ,על מנת לדעת ולהכיר היטב את האויב. כחלק מערכת הלימוד ,התלמידים מקבלים ספרי לימוד ,ספרי תרגול (בכיתה ובבית) ,ועוד DVDהכולל כלי עזר רבים של מנהל אבטחת מידע. כפי שהספר המפורסם "אומנות המלחמה" אומר: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the "enemy nor yourself, you will succumb in every battle חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים לתיאום פגישות וקבלת פרטים נוספים: לתיאום פגישות וקבלת פרטים נוספים: טלפון077-5150340 : טלפון077-5150340 : או בדוא"לTs-Academy@titans2. com : או בדוא"לTs-Academy@titans2. com : בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים לא ניתן לנהל מה שלא ניתן למדוד מדדים ( - )Security Metricsחלק א'. אחת הסיבות המרכזיות לכישלון (או אי-הצלחה) של ארגונים היא אי-יכולתם ליישם את האסטרטגיה בה הם בחרו .לרובם יש אסטרטגיה טובה ,רק שיש קושי ביישומה .איך מתרגמים את ההצהרות הכוללניות של האסטרטגיה הארגונית לפעילויות היומיומיות שעושים כל העובדים? איך דואגים שכל הפעילויות תבוצענה באופן מתואם ,אשר מצטרף לכלל כוח משותף חזק המיישם את האסטרטגיה שנבחרה? מערכת מדידה אפקטיבית אחד הכלים אשר יכול לסייע רבות בך הוא הקמת מערכת מדידה אפקטיבית .מערכת זו תיגזר מהאסטרטגיה הארגונית ,ותקבל פירוט הולך וגדל ככל שיורדים מטה ,כך שכל הפעילויות החשובות בארגון תקבלנה ביטוי במערכת המדידה ,וכך יהיה ברור בדיוק עד כמה כל מחלקה בארגון תורמת ליישום האסטרטגיה הארגונית. מערכת מדידה מאפשרת לארגון לסגור את הפער בין האסטרטגיה הארגונית והפעילויות המבוצעות בפועל. ארגונים משתמשים במדדים כדי להבין את המאפיינים של תהליכים ומוצרים על-מנת להשיג בצורה שיטתית את מטרותיהם .פעילות המדידה היא פעילות אחת מתוך סדרה ארוכה של פעילויות ניהול שמטרתן לאפשר לדעת היכן הארגון נמצא ,כיצד הוא מתקדם לעבר מטרותיו העסקיות ,וכדי לאפשר לכוון את הארגון לכיוון הרצוי ולהביאו אל היעד הרצוי. הקשר בין מדידה לאבטחת מידע הערה :חשוב לזכור ,שהמדידה אינה מטרה. מדידה היא אמצעי להשגת המטרות .בנוסף, מדידה מאפשרת להנהלה להגדיל את יעילותם ( )Efficiencyשל התהליכים ולשפר את תועלתם ( )Effectivenessשל התהליכים ושל פתרון טכנולוגי כלשהו ,כלומר ,את מידת התאמתם לצרכים העסקיים של הארגון. ניתן לחלק באופן גס את המדדים לשני סוגים עיקריים: .1מדדים של תהליך (כגון הטמעת תקן אבטחת מידע בארגון). למשל :כמה זמן נמשך כל חלק בתהליך ,כמה תקלות התגלו בכל שלב של התהליך. .2מדדים של פתרון טכנולוגי\מוצר. למשל :מספר התקלות שהתגלו במוצר ,מורכבות המוצר ,מידת בשלותו לשחרור ללקוח (ניהול גרסאות) ,יכולות מבחינת אבטחת מידע ועוד. אוסף הפעילויות הקשורות למדידה ומדדים, משלבים תכנונים ,דרך איסוף הנתונים ועד לניתוחם ,מהווה מערכת בפני עצמה ,הנקראת 20 גיליון | 12אפריל | 2014 מערכת מדידה .למערכת זו יש (כמו לכל מערכת), יעדים ,יישום ,טכנולוגיה ,מימוש ועלות. המטרות העיקריות של מערכת מדידה: •בקרה :להעריך את מצבו הנוכחי של הארגון מבחינת בשלות אבטחת המידע או פרויקט אבטחת מידע (פרויקט ניהולי או הטמעת פתרון טכנולוגי) מבחינת השגת מטרותיו ויעדיו ,ולאפשר להנהלה לדעת בצורה מוחשית וברורה עד כמה הוא רחוק מהיעדים שהוצבו .באופן זה ,ההנהלה יכולה לקבל בולטות המבוססות על עובדות ,ולא על "תחושות בטן". •להעריך את איכות תוצרי פתרון אבטחת המידע שנחבר ולסייע בשיפורם (מדדי תוצאה). •להעריך את איכות תהליך הטמעת פתרון אבטחת המידע בארגון ולסייע בשיפור תפקודו (מבחינת יעילותו ,האפקטיביות שלו ,רמת התפוקה שלו ,זיהוי בעיות בשלביו השונים וכו'). •להעריך את יחסי העלות-תועלת של המערכת ולסייע בשיפורו. •להעריך מהן המגמות בתחום איכות התהליך או איכות הפתרון הטכנולוגי ,ובכך לאפשר "לחזות" את המצב העתידי (הרצוי). מדדים נוספים ניתן להיעזר במערכת מדדים בכדי למדוד תחומים ופרמטרים נוספים ,כגון: •להעריך פריון עבודה וביצועים של ספק חיצוני למשל בכדי לתת ציונים על שביעות הרצוןמהשירותים שהספק מספק (שמסתמך על פרמטרים כגון :עמידה ביעדים ,איכות העבודה ,רמת האבטחה בארגון ,ועוד). •להעריך פריון עבודה וביצועים של חלק פנימי (יחידה\מחלקה) בארגון -למשל ,צוות IT מבחינת מתן שירות פנימי (שירותי )ITלארגון, כגון :עמידה ביעדים ,איכות רמת השירות, עמידה בלו"ז של פרויקטים ועוד. •לאמוד את היתרונות והתועלת (במונחי פריון ואיכות) המתקבלים משימוש בשיטות או בכלי עזר חדשים (מערכות חדשות). •לשמש בסיס לאמידת עלויות של פרויקטים חדשים. •לאפשר הערכת טיב השירות המתקבל על-ידי קבלן משנה. •לסייע בהשוואות בין פרויקטים ומערכות, מתוך מטרה לזהות חריגים בארגון ולשפרם. •למדוד את הצלחת הפרויקט (בדיעבד) •לאתר נקודות תורפה בהן כדאי לטפל על מנת לשפר תהליכים או פתרונות אבטחה. לא ניתן לנהל מה שלא ניתן למדוד אמרה זו אולי קשוחה מדי ,כי הרי בבירור קיימים ארגונים שבהם לא מודדים כמעט דבר ,ובכל זאת הם מתנהלים .אמנם הם מתנהלים ,אך לא כל כך טוב .העובדה המוכחת היא שקשה מאוד לנהל ארגון ללא מדדים .הוכח בעשרות מחקרים בעשרות השנים האחרונות שארגונים שמנוהלים על-בסיס מדדים שורדים יותר טוב ומצליחים יותר מארגונים אחרים .לא לחינם נכנס נושא המדידה כנושא מרכזי (אחד משמונת העקרונות של ניהול איכות) בתקן העולמי ,ISO 9000ומתוך ראיה שלא ניתן להשיג שיפור מתמיד ללא מדידה ,ויש לעבור מניהול לפי תחושות לניהול לפי עובדות. כמו כן ,לא לחינם נושא זה מקבל מקום מרכזי במודל הבשלות ( CMM -ר"ת של )Maturity Modelוזאת מתוך ראיה שארגון בוגר בעל תהליכים אפקטיביים הוא ארגון המודד את עצמו ומשתמש במדדים אלה כדי לנהל באופן שוטף את הפעילויות. Capability יש לנצל את תהליך המדידה ככלי ניהולי אשר מאפשר לכוון את הארגון לכיוון היעדים שהוצבו לו. ברור ומוכח מעל לכל ספק שארגון הרוצה להצליח ,הרוצה להיות איכותי ,והרוצה שלקוחותיו יהיו שבעי רצון ונאמנים לו ,חייב להתנהל בצורה שיטתית ,מדידה ,עם חזון ומטרות ברורות ומדידות ,עם מערכת מדידה מוגדרת ואפקטיבית, ועם תהליכים ומוצרים שנמדדים באופן שוטף ועומדים ביעדים מוגדרים ומדידים. לקראת אירוע: סדנא מקצועית בנושא Security Metrics ראיון עם מר דני אברמוביץ ,הנשיא של האיגוד העולמי לאבטחת מידע ( – )ISSAהציאפטר הישראלי, ומייסד ומנכ"ל קבוצת .TITANS SECURITY בעידן הסייבר ,שבו האיומים מתחדשים מדי יום, האתגרים של מנהלי אבטחת המידע בארגון הולכים וגדלים עם הזמן .הטמעת בקרות (פתרונות אבטחת מידע) אינה עוזרת ,מבלי לוודא שאכן המוצרים הללו אכן עוזרים לנו להשיג את היעדים שקבענו לעצמנו ,או לתמוך בדרישות ובמטרות העסקיות של הארגון. כעת ,מנהל אבטחת המידע בארגון נדרש לקבוע מדדים למדידת האפקטיביות של הבקרות ,נדרש למדוד את רמת הבשלות של מצב אבטחת המידע בארגון ,ונדרש אף להציג החזר השקעה ( )ROIבתחום אבטחת המידע. מה סדנת Security Metricsסוקרת? הסדנא סוקרת את העולם של המדדים בתחום אבטחת המידע ( – )Security Metricsתחום מעורפל בארסנל הכלים של כל מנהל אבטחת מידע בארגון ,והדרך היעילה והאפקטבית ביותר להגדיר ,למדוד ולוודא שיפור מתמיד. מהן מטרות הסדנא? מטרת הסדנא היא להקנות הבנה של מושגי הייסוד בעולם ממשל אבטחת המידע (Security ,)Governanceהבנה של מדידה בתחום אבטחת המידע ,סוגי המדדים הקיימים ,אופן הגדרתם ומדידתם בצורה היעילה ביותר. ממהו הערך המוסף בסדנא? ראשית כל המשתתפים יקבלו חומר לימוד ,ככלי עזר שיוכלו להשתמש בזה אחר כך בארגון שלהם. דבר שני ,המשתתפים יתרגלו מגוון דוגמאות של בניית תוכנית עבודה ,קביעת מדדים למדידת האפקטיביות של הבקרות ושל תוכניות העבודה, ועוד .הסדנא שמה דגש רב על תרגול. מה חדש בסדנא? הסדנא כוללת התייחסות לעולם הנסתר של ממל אבטחת מידע תוך דגש על עולם הסייבר, נושא שמטריד את כולנו .כמו כן ,הסדנא תכלול התייחסות למתודולוגיות ומסגרות לקביעת מדדים לצורך מדידת האפקטיביות של הבקרות. למה חשוב לאנשים להגיע דווקא לסדנא זו? זוהי הסדנא היחידה בארץ ,ובין הבודדות בעולם שמתרגלת ומקנה כלים מקצועיים למנהל אבטחת המידע בארגון ,להתמודדות עם סוגיה כואבת זו של מדדים בתחום אבטחת המידע ( .)Security Metricsמתוך הכרות עם השוק, וביקורים בעשרות ארגונים בארץ ובחו"ל ,הנושא הזה מטריד את כל מנהלי אבטחת המידע ,מה שהופך את הנושא לאחד המבוקשים ביותר בקרב היועצים. עם איזה סט כלים המשתתפים יוצאים מהסדנא? (Security היכולות להבין את עולם המדדים ,)Metricsכיצד לבנות תוכנית עבודה רב שנית, ולמדוד את האפקטיביות שלה ,ולימוד ותרגול של מתודולוגיה מוכחת בתחום זה. | גיליון | 12אפריל 2014 21 22014 014 מפת האיומים תפקידו של הCISO- כמעט מחצית שנת ,2014ומפת האיומים שאותה מסרנו לפני למעלה מחצי שנה ,התגשמה לצערנו הרב .עקב השימוש המואמץ בטכונולוגיות ענן ,רשתות חברתיות ומכשירים ניידים ,משטח מנעד התקיפה שלנו מתרחב ועל פניו מציב יעדים רבים יותר לגורמים עוינים. רשתות חברתיות והנדסה חברתית (Social Networks & Social – )Engineeringהמקור הראשון לאיסוף מודיעין סייבר. מאות מיליוני משתמשים ברשתות החברתיות (דוגמת ,) Facebook, LinkedIn, Twitterמנדבים מידע ,שאופיו ברבים מהמקרים אישי ,דבר ההופך את כר הפעילות הזה לאטרקטיבית במיוחד בעבור תוקפים פוטנציאליים .המתקדמים והמתוחכמים שבהם משתמשים במידע על מנת לצייר פרופיל של ה"יעד" כחלק מתקיפה מורכבת יותר ,והפושעים הפשוטים גורמים למשתמשים לשתף פעולה בפשעי גניבה קטנים לדוגמא באמצעות הדבקה עצמית בוירוסים. רוגלות ונוזקות למכשירים ניידים ( – )Malwareמגרש המשחקים החדש של ההאקרים. השימוש הנרחב בניידים והיכולות המתקדמות של סמארטפונים הן לצרכים פרטיים והן לצרכים עסקיים ,הופך גם את כר הפעילות הזה לאטרקטיבי בעבור תוקפים .בשנה האחרונה צפינו בעלייה של 250%בתפוצה של Malware למכשירים ניידים .רוגלות אלו מאפשרות לתוקף מגוון פעולות ,החל מאיכון ,דרך פתיחת מצלמה וכמובן צפייה בכל מידע על המכשיר (לדוגמא פרטי בנק) ובהקשר העסקי הן מהוות דרך נוספת לחדור לארגון .כפועל יוצא ,בשנה האחרונה אנחנו 22 גיליון | 12אפריל | 2014 עדים בד בבד ,לפריצת דרך בטכנולוגיית הגנה, שבשלב זה זמינות רק לארגונים בשל עלויות גבוהות. ריגול ולוחמת סייבר – אימפריה מכה שנית בשנה החולפת ראינו עלייה דרמטית בשימוש בלוחמת סייבר בקונפליקטים בין-מדינתיים, ובשימוש בלוחמת סייבר על ידי ארגוני טרור וקבוצות אקטיביסטים .מדינת ישראל וארגונים מסחריים בארץ היוו יעד למיליוני תקיפות בשנה האחרונה (רובן המכריע פשוטות) ,בנקים אמריקאיים ובריטים מובילים סבלו מהתקפות רבות שמהותן הפסקת שירות ( )DDoSעל ידי גורמים המזוהים עם איראן .קיים שיתוף פעולה הדוק בין גורמי פשיעה למדינות שבהן משטרים פחות יציבים וסביר מאוד להניח כי נראה עלייה ברמת ובמורכבות התקיפות .גם השנה אנו רואים דומגאות ברורות של מלחמות סייבר ,בין מדינות בעיקר ,קרי רוסיה ואוקראינה. חשיפות בתוכנות – התיחכום של המתקפות עולה דרגה. ללא ספק כר התקיפה ה"שקוף" הנרחב ביותר (ללא צורך בהתערבות המשתמש) גם לעברייני סייבר וגם לגופי ריגול חובקי עולם .השימוש הנרחב בטכנולוגיית ג'אווה ,פלאש ותוכנות אדובי אחראי לבדו למיליוני הדבקות בסוסים טרויאנים, כמו גם במתקפות נרחבות לצורכי רווח פינסי וגם במתקפות ממוקדות לצורכי ריגול תעשייתי ובין-מדינתי. רוגלות וזדונות ל– Mac & iOS- הנוזקות עוברות דירה לפני כשנה וחצי ראינו את התוכנה הזדונית הנפוצה הראשונה המיועדת למערכת הפעלה של אפל .השימוש המתרחב במערכות אילו כולל אייפונים ואייפדים בשילוב עם הגורם האנושי של חוסר מודעות של משתמשים ,מזמין עלייה במוטיבציה לייצר רוגלות ותוכנות זדוניות .חוקרי אבטחה מעריכים כי הזירה של הנוזקות עוברת כעת למערכות ההפעלה הנפוצות ביותר ,בדיוק כפי שקרה עם מערכות מיקרוסופט בעבר. התחזית להמשך השנה אולם לא הכל שחור .בשנה החולפת ראינו עלייה דרמטית בהשקעות ממשלתיות ועסקיות של אנג'לים וקרנות הון סיכון בטכנולוגיות הגנה. שיתוף הפעולה בין גופים אזרחיים ואחרים השתפר מאוד וניכר מאמץ משותף לצמצם את מימדי האיום. ככל שהזמן עובר ,אנו רואים עשרות חברות חדשות בתחום הסייבר ,כאשר המטרה היא להמציא את הטכנולוגיה החדשה הבאה שתקשה מאוד ואף תסייע לארגון לבלום את המתקפות סייבר העתידיות. בעידן הסייבר תפקידו של ה ,CISO-מעולם לא היה יותר מאותגר מאשר בעידן הסייבר .אם עד לפני מספר שנים, מטרתנו הייתה להגן על המידע ,ועל הארגון מפני גישה לא מורשית ,בעיןד הסייבר ,לצד חידושים טכנולוגיים כגון ,BYODומחשוב ענן ,משימתו של ה ,CISO-מאתגרת מתמיד. ראשית כל ,קצת קשה להגן על המידע כאשר המידע מבוזר ,ואין כבר גבולות גזרה ברורים. המידע כיום נמצא מחוץ לכותלי הארגון ,אם זה דרך מגמת ה ,BYOD-או דרך מחשוב ענן. הנחה נוספת ,הינה שהארגון כבר הותקף ,וככל הנראה שיש לנו סוג של נוזקה או שתיים בתוך הארגון ,ומשימתנו החדשה היא לאתר ולזהות אותה בהקדם ,על מנת למזער את מידת הנזק שאולי כבר נגרם. לצד האתגרים ,עומדים לרשותו של מנהל אבטחת המידע בארגון תקנים רבים ,ומסגרות מקצועיות שבעזרתם הוא יכול להתמודד עם איומי הסייבר. המסגרות הללו ,לצד פתרונות טכנולוגיים חדשניים ,יכולים לסק מעטפת הגנה הולמת להתמודדות עם איומי הסייבר. על מנת להתמודדת עם איומי הסייבר ,על מנהל אבטחת המידע לאמץ גישה פרואקטיבית, שתאפשר לו לנקוט בכל האמצעים הדרושים, על מנת לנסות למנוע את המתקפה ,או לפחות למזער את מידת ההשפעה שלה על הנכסים הקריטיים של הארגון. מודיעין סייבר הטמעת פתרונות הגנת סייבר השלב הראשון במהטפת ההגנה הינו מודיעין סייבר .קבלת מידע חיוני בבוא מועד ,יכול לסייע ל ,CISO-בהכנת מערך ההגנה בארגון ,לצורך התמודדות יעילה אל מול איומי הסייבר. כתוצר של תהליך ניהול סיכוני סייבר ,יתכן שהארגון יידרש להטמיע פתרונות סייבר חדשים, בהתאם לממצאים שעלו בתהליך הערכת הסיכונים .מימוש פתרונות הולמים ,לצד נהלי תפעול נאותים ,יאפשרו לעבות את מערך ההגנה בארגון. כיום ישנם הרבה חברות אשר מספקות שירותי מודיעין סייבר (כללי או ממוקד) .מומלץ לרכוש שירות כזה ,ולוודא שישנם נהלים בארגון להפוך את המודיעין סייבר לפעילויות ביצוע ,כגון גיבוש המלצות ,שיהפכו לנהלי תפעול שיהפכו למימוש וטיוב הגדרות במערך ההגנה (.)Fine Tuning ניהול סיכוני סייבר שכבת הכנה נוספת ,הינה תהליך נכון של ניהול סיכוני סייבר ,אשר מורכב מגילוי וניתוח פגיעויות (כולל פגיעויות חדשות ,להלן " ,)Zero Dayניתוח האיומים הקיימים על הנכסים הקריטיים של הארגון ,ניתוח סבירות של מימוש האיום (לאור מידת החשיפה של הנכסים לאותם איומים ולאור הבקרות הקיימות בארגון) ,ניתוח מידת ההשפעה של מימוש האיום על הנכס ,וחישוב רמת הסיכון הכוללת על הנכסים הקריטיים של הארגון. מסגרת לניהול והתמודדות עם אירועי סייבר כיום ,ישנו תקן סייבר ( )ISO 27001אשר מהווה מסגרת נאותה להתמודדות עם איומי סיביר, ומספק ל CISO-סט של המלצות ()Guidelines למימוש מערך סייבר כולל בארגון. אחד התוצרים הוא הקמת תהליך מובנה של ניהול ותגבוה לאירועי סייבר ,אשר יכול לסייע לCISO- בהתמודדות יעילה עם איומי סייבר שונים ,בהתאם לרמות החומרה ,שכל ארגון יגדיר לעצמו. הכותב הינו מר דני אברמוביץ ,מייסד ומנכ"ל חברת ,TITANS SECURITYאשר מתמחה בליווי וייעוץ לתקני אבטחת מידע מובילים ,ביניהם תקן סייבר (.)ISO 27032 | גיליון | 12אפריל 2014 23 קבוצת טייטנס סקיוריטי פיתחה את סיכונים במחשוב ענן המסלול המוביל בעולם כהכנה לבחינת ההסמכה של CISSP CISSP ( Cloud המונח מחשוב ענן )Computingמתייחס לרוב לשירותי מחשוב ,למרות שכיום המושג מתרחב יותר ויותר לכיוונים אחרים (Storage-as-a-Service, Security-as-a-Serviceועוד). שירותים אלה מתחלקים לסוגים שונים .המוטיבציה העיקרית לעבור לענן היא חסכון במשאבים (שטח פיזי ,שרתים ,תוכנות ועוד) ומכך חסכון בעלויות. •קורס CISSP r Special Boot-Camp Preparation זהו המסלול היחיד שכולל הכנה מלאה לבחינות ההסמכה בפורמט החדש (100%הצלחה בשלושת הבחינות האחרונות) שירותי ענן מוצעים בשיטות שונות ובמונחים שונים .מבחינת היבטי אבטחת מידע ,ניתן לחלק את הענן לשירותים הניתנים בתוך הארגון (בעיקר וירטואליזציה פנימית) ,ושירותים באינטרנט. להלן מספר סיכונים בשירותי ענן חיצוניים: •מעילה\גניבה :משתמש בעל הרשאות גבוהות ( )Adminבחוות השרתים של הענן מסוגל להפעיל אפליקציות רגישות או להיכנס לבסיסי נתונים רגישים ולבצע מעילה בכספי הארגון או לגנוב נתונים רגישים .כל זאת ,ללא יכולת בקרה של הארגון. •תשתית לא מאובטחת :אם בארגון יש למנהלי הרשת בקרה על הקשחת שרתים, השרתים בענן עשויים שלא להיות בשליטת הארגון .ניצול פרצות בהקשחות השרתים עשוי לאפשר ניצולם לרעה. •היעדר אמצעי אבטחה נאותים :אם ברשת הפנימית אנחנו יכולים להתקין מערכות אבטחה כראות עינינו ,בענן היכולת שלנו מוגבלת עד בלתי-אפשרית .רמת אבטחת המערכות שלנו עשויה לרדת באופן משמעותי ביציאה לענן. •ממשק ניהול פרוץ :כדי להקל על ארגונים ,או עקב חוסר מודעות ,ספק הענן עשוי לאפשר גישה לא מאובטחת כראוי ללקוחות השונים לצורך ניהול המערכות .סביר להניח שהאקר ינסה בראש ובראשונה להשיג 24 גיליון | 12אפריל | 2014 a n mi e S אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! גישה לממשק זה שיאפשר לו שליטה מלאה לביצוע פעולות זדוניות. •תקלות כלליות :תקלה בהגדרות או בתוכנה של הספק עשויות לפתוח, באופן זמני ,פרצת רוחבית לכל המערכות המאוחסנות אצל הספק .לא מסמן פורסם מקרה כזה שאפשר ,למשך שעתיים ,גישה לכולם ללא סיסמה .וכולנו זוכרים את המקרה של ענקית גוגל שנפלה למשל יממה שלמה. •שיתוף מידע :המידע המאוחסן ע"י הספק יושב בתשתית אחסון ( )Storageמשותפת. הגדרות לקויות עשויות לגרום לזליגת מידע בין לקוחות. •חבות משפטית :בשירותי ענן ,לא ברור איפה השירות נמצא – באיזה מדינה חוות השרתים מותקנת .ייתכן גם שהשירות ינדוד בין חוות שרתים במדינות שונות באופן שקוף לארגון .במקרה של אירוע ,מול איזה ישות משפטית ימוצה הדין ,ולפי חוק של איזה מדינה? האם יש לארגון שליטה על בחירת הרשות השופטת? •יכולות ביצוע תחקור (:)Forensics בעבודה במחשוב ענן ,במיוחד כאשר השרתים מאוחסנים בחוות שרתים במדינות אחרות ,היכולת שלנו לנהל אירועים ולתחקר, היא כמעט שואפת לאפס .זהו פרמטר חשוב, באם הארגון ייאלץ חקירה דיגיטלית. מה שמרתיע ,זאת העובדה שעדיין לא כל האיומים ברורים לנו בעבודה בענן .בעתיד יתגלו סיכונים שטרם חשבנו עליהם .ברור שאם טרם מופו כל הסיכונים ,טרם נתפרו מנגנוני הגנה מפני סיכונים אלה. ביום הדין ,הארגון עשוי למצוא את עצמו בבעיה קשה. למה כדאי ללמוד אצלנו? • הצלחה בטוחה -למעלה מ 98%-הצלחה בבחינות הגמר. • Networkingעם מיטב הבכירים במשק הישראלי. • מיטב המרצים בתעשייה הישראלית והבינלאומית. • חברות שנתית באיגוד העולמי לאבטחת מידע ISSAובאיגוד הישראלי. • תרגול מעשי רב ומגוון בנושאים העכשוויים. • ערכות לימוד ייחודיות ובלעדיות. והדבר הכי חשוב!!! היות ואנו בטוחים בהצלחה שלנו ,אנו מציעים לכלל התלמידים הטבות נוספות: לא עברת את הבחינה? קבל קורס חוזר ב50%- (ללא אותיות קטנות) עברת את הבחינה? קבל זיכוי של עלות הבחינה ,לניצול בקורס הבא במכללת .Titans Security מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. למידע נוסף וקביעת פגישת ייעוץ: ייעוץ אקדמי Ts-academy@Titans2. com | 077-5150340 : | גיליון | 12אפריל 2014 25 בניית מערך פיזית אבטחה חלק א' מטרת בניית מערך אבטחה פיזית הינה למנוע גישה לא מורשית ,גרימת נזק והפרעה למערכות הקריטיות ו/ או למידע הקריטי שבבעלות הארגון. הערכת סיכונים בניית מערך כזה ,מחייב להבין את התהליכים העסקיים בארגון ,ומה מיתר האיומים (ברמה הפיזית) שיכולים לשבש את התהליכים הללו. על כך ,חשוב לבצע תהליך של הערכת סיכונים, בהיבט אבטחה פיזית וסביבתית ,על מנת להעריך נכונה את רמות הסיכון ולנקוט בכל האמצעים הדרושים על מנת למזער את הסיכון למינימום האפשרי (סיכון שיורי). מערך ההגנה חייב להתאים לסיכונים שזוהו. בבניית מערך אבטחת מידע פיזית ,צריכים לקחת בחשבון מספר פרמטרים ,כאשר בדיוק כמו באבטחה לוגית ,בניית מערך אבטחה בשכבות ( )Layered Defenseיכול למנוע או לפחות להקשות על התוקף גישה לא מורשית וגרימת נזק למערכות הקריטיות של הארגון. מעגלי אבטחה פיזית ניתן להשיג הגנה פיזית על ידי יצירת מספר מחשובמים פיזיים סביב חצרי הארגון וסביב מרכזי המחשוב .כל מחסום יוצר מעגל אבטחה, וכל אחד מהם משפר את רמת האבטחה הכוללת על הארגון. רצוי שארגונים ישתמשו במעגלי אבטחה כדי להגן על אזורים המכילים מרכזי עיבוד מידע. מעגלי אבטחה יכולים להיות שערי כניסה 26 גיליון | 12אפריל | 2014 מבוקרים באמצעות מאבטחים ,קוראי כרטיסים אלקטרוניים ,או אף שולחן קבלה מאויש .המיקום והחוזק של כל מחסום תלויים בתוצאות של הערכת הסיכונים. •ישנה חשיבות רבה ליישם מערך ,CCTV המחובר למוקד ,שיאפשר תגובה מהירה, במתחם. בקרות כניסה פיזיות להלן מספר הנחיות ובקרות שיש לשקול וליישם בארגון (בהתאם לממצאים הערכת הסיכונים): •יש להגדיר בבירור מהם מעגלי האבטחה, ומפני אילו איומים הם אמורים להגן. כל האזורים המאובטחים בארגון יוגנו באמצעות בקרות כניסה מתאימות כדי להבטיח שרק עובדים מורשים יורשו להיכנס. •מעגל הגנה שמקיף בניין או אתר המכיל מרכזי עיבוד מידע יהיה רציף פיזית (כלומר ,בכל היקפו לא יהיו מרווחים או אזורים המאפשרים פריצה בקלות למתחם) .הקירות החיצוניים של המתחם יהיו בעלי מבנה מוצק ואיתן וכל הדלתות החיצוניות יהיו מוגנות כיאות כנגד גישה לא מורשית ,כגון באמצעות מנגנוני בקרה ,מוטות ,אזעקות ומנעולים. יש לשקול אמצעי בקרה אלה: •מבקרים באזורים מאובטחים ייכנסו תחת פיקוח או שיעברו סריקת אבטחה ,ויירשמו התאריך והשעה של כניסתם ושל יציאתם. תינתן להם גישה רק למטרות מסוימות, מורשות ,והם יצוידו בכרטיס מבקר (המבדיל אותם מהעובדים המורשים) ויתודרכו בהוראות לגבי דרישות האבטחה באזור ולגבי נוהלי החירום. •חשוב שיהיה אזור קבלה מאויש או אמצעי אחר לבקרת גישה פיזית למתחם .במקרה ומדובר באזורים ממודרים (רגישים) ,הגישה למתחם תוגבל לעובדים מורשים בלבד. •מומלץ להקים מחסומים פיזיים ,אם צריך, במלוא הגובה שבין הרצפה לתקרה ,בכדי למנוע כניסה לא מורשית למתחם. •כל גישה למידע רגיש ולמרכזי העיבוד מידע, תבוקר ותוגבל לאנשים מורשים בלבד .כדי לאשר זהות ולעורך תיקוף לכל הגישות, ייושמו בקרות של אימות-זהות ,כגון כרטיס מגנטי ומספר זהות אישי .יישמר היטב נתיב הביקורת של כל גישה למתחם ,בייחוד לאזורים הממודרים (רגישים). •חשוב שכל דלתות באזורים רגישים יהיו חסינות אש ,ובנוסף יצויידו במנגנון אזעקה וייסגרו בטריקה. •כל העובדים יידרשו לענוד תג זיהוי כלשהו, נראה לעין ,עם תמונה ברורה של העובד, ויתבקשו לבדוק בנימוס כל אדם זר שנראה באזור ללא ליווי ,וכל מי שאינו עונד תג זיהוי. •חשוב לפזר חיישני תנועה ,בכל האזורים הממודרים ,והפעלתם בייחוד אחר שעות העבודה ,על מנת לאתר תנועה לא מורשית באזורים הממודרים. •זכויות הגישה לאזורים ממודרים ייסקרו דרך קבע ויעודכנו. אבטחת משרדים ,חדרים וחדרי מחשב גישה לא מורשית ,ואסונות טבע או סביבתיים. אזור מאובטח יכול להיות משרד נעול או כמה חדרים בתוך מעגל מאובטח פיזית היכולים להיות נעולים ויכולים להכיל ארונות או כספות הניתנים לנעילה .בבחירת אזור מאובטח ובתכנונו יובא בחשבון מידת הנזק האפשרית מפני שריפה, הצפה ,התפוצצות ,אי-שקט חברתי ,ומפני סוגים אחרים של אסונות טבע או אסונות היכולים להיגרם בידי בני אדם. •מדריכים וספרי טלפונים פנימיים המזהים מיקום של מרכזי מחשוב ,לא יהיו נגישים לציבור הרחב. יובאו בחשבון גם דרישות חוק ותקנים בנושא בטיחות וגיהות .כמו כן ,יובאו בחשבון גם איומי אבטחה הנשקפים מחצרי שכנים ,כגון דליפת מים מאזורים אחרים ,פריצת שריפה מקומה למטה או למעלה ,וכו'. •חומרים מסוכנים או בעירים יאוחסנו במקום בטוח ובמרחק בטוח מהאזור המאובטח .ציוד המסופק בתפזורת כגון חומרי כתיבה ,לא יאוחסן בתוך האזור המאובטח ,אלא כאשר יהיה בו צורך. יש לשקול אמצעי בקרה אלה: •מרכזי עיבוד מידע ימוקמו כך שלא תתאפשר גישת ציבור אליהן. •ציוד עתודה לשעת חירום ואמצעי גיבוי ימוקמו במרחק בטוח כדי למנוע נזק במקרה של אסון באתר הראשי. •בניינים יהיו בעלי חזות צנועה וישאו סימני היכר מינימאליית בלבד .לא יהיו עליהם סימנים בולטים ,לא בחוץ ולא בפנים ,המסגירים את העובדה שיש בהם מרכזי מחשוב. •יחידות תמיכה וציוד ,כגון מכונות לצילום מסמכים ומכשירי פקסימיליה ,ימוקמו כיאות בתוך האזור מאובטח כדי למנוע בקשות גישה העלולות לסכן גישה לא מורשית למידע רגיש. •דלתות וחלונות יהיו נעולים כאשר אין אנשים לידם ותישקל הגנה חיצונית לחלונות ,במיוחד בקומת קרקע ו\או קומה ארחונה. •חשוב להתקין מערכות מתאימות לגילוי חדירה ,לפי תקנים מקצועיים ,והן יבוקרו תקופתית ויוגנו על כל הדלתות החיצוניות והחלונות הנגישים .באזוריםש אין בהם אנשים תהיה מערכת האזעקה מוכנה להפעלה בכל זמן .גם אזורים אחרים ,כגון חדר המחשבים או חדר תקשורת ,יהיו מאובטחים ומוגנים מפני •מרכזי מחשוב המנוהלים על ידי הארגון יהיו מופרדים פיזית ממרכזי מחשוב המנוהלים על ידי צד שלישי. נהלי עבודה באזור מאובטח כדי להגביר את מערך האבטחה של אזורים מאובטחים ,ייתכן שיהיה צורך בבקרות והנחיות נוספות .הדבר כולל בקרות עבור עובדי הארגון או עובדי צד שלישי ,העובדים באזור מאובטח ,ועבור פעילויות של צד שלישי המתבצעות בו. יש לשקול את אמצעי הבקרה הללו: •יש למנוע מהעבודים לעבוד ללא פיקוח באזור מאובטח ,הן מטעמי מטיחות והן כדי למנוע מתן הזדמנויות לבצע פעילויות זדוניות. נוספים ,לבקרת גישה פיזית. •לא תתאפשר הכנסת ציוד צילום ,חוזי (וידאו), שמע ,או כל ציוד הקלטה אחר ,אלא אם הורשו. נהלי עבודה באזורים מבודדים (למשלוח ולטעינה) אזורי משלוח וטעינה יבוקרו ,ואם אפשר ,יהיו מבודדים ממרקזי מחשוב ,כדי למנוע גישה לא מורשית .דרישות האבטחה לאזורים כאלה ייקבעו בהערכת סיכונים. יש לשקול יישום של הנחיות אלו: •הגישה לאזור החיצוני השייך למתחם (להלן: חצר המשק) ,תוגבל לעובדים מזוהים ומורשים בלבד. •תכן חצר המשק יבטיח שניתן יהיה לפרוק הספקה מבלי לאפשר למובילים (גורמים צד ג') גישה לא מורשית לאזורים אחרים של המתחם. •הדלת החיצונית של חצר המשק תהיה נעולה כאשר הדלת הפנימית פתוחה. •אזורים מאובטחים ריקים יהיו נעולים פיזית וייבדקו תקופתית. •החומרים הנכנסים ייבדקו לפני העברתם מחצר המשק לנקודת השימוש בארגון ,כדי לוודא שאין בהם סכנות פוטנציאליות. •נותני שירותי תמיכה של צד שלישי יקבלו גישה מוגבלת לאזורים מאובטחים או למרכזי מחשוב רק לפי הצורך .הגישה תאושר ותנוטר כל הזמן .בין אזורים בעלי דרישות אבטחה שונות בתוך מעגל האבטחה ,ייתכן שיהיה צורך במחסומים נוספים ובמעגלי אבטחה •החומרים הנכנסים יירשמו ,לפי העניין. חשוב להבין ,שיישום מעגלי אבטחה רבים ,כולל מעגלי אבטחה פיזיים ,לוגיים וניהוליים ,יכול למזער את הסיכון ו\או מידת הנזק שיכול להיגרם כתוצאה מהמימוש של האיומ. | גיליון | 12אפריל 2014 27 מנוי שנתי לעיתון מודעּות לנושא אבטחת המידע הצורך במערכות IPS כי ידע זה כח בעידן הסייבר ,להתבסס על שכבת הגנה אחת בלבד ,אינה מספיקה מבחינת מערך ההגנה ,ולכן ישנה חשיבות רבה לבניית מערך הגנה בשכבות .אחת השכבות כוללת בתוכה יישום מערכת לגילוי ומניעת פרצות (.)IPS מערכת ה IPS-משלימה את מערך הFirewall- בארגון מספקת מענה לנקודות המתות במערכת זו. IPS בניגוד למערך ה ,Firewall -מערכת ה- מנתחת את תעבורת הרשת עד לרמת האפליקציה ומספקים רמה מעמיקה יותר של מערך ההגנה. מערכת ה IPS -מבצעת ניתוח של התעבורה בשלושה אופנים בכך מספקת הגנה משולשת מפני מתקפות וחסימתן: .1ניתוח התעבורה לזיהוי חתימות של מתקפות ידועות. .2זיהוי חריגה (אנומליה) בפרוטוקולים מוכרים, באופן שיכול להצביע על תעבורה זדונית .)Zero Attacks (Day .3זיהוי מתקפת Denial Of Serviceעל שרתי החברה. מערכת IPSמאפשרת יכולות מתקדמות בתחום זיהוי וחסימות מתקפות כולל חשיפת נוזקות day- ,zeroהנוצרות כתוצאה מפרצות המנוצלות כבר ביום התגלותן ,עוד בטרם יצא טלאי הגנה מתאים. נוזקות הן הבעיה החמורה ביותר בעולם אבטחת המידע כיום .המדובר גם ברמת התחכום שלהן וגם בכמותן .במהלך שנת 2011כמות הנוזקות הייחודיות בעולם עמדה על פחות מ10-מיליון, ב 2012-הנתון עמד על 30מיליון ואילו ב2013- היא הגיעה ל 50-מיליון נוזקות ייחודיות .כיום ,אף פלטפורמת ITאינה חסינה מפניהן -כך קובעות חברות מחקר עולמיות בתחום אבטחת מידע. התפשטות הנוזקות הופכת לבעיה עבור כל מנמ"ר וכל מנהל אבטחת מידע .הסיבה לכך היא ערכות התקיפה אשר זמינות בשוק השחור ברשת ,המאפשרות לתוקפים ,בסכום נמוך יחסית של מאות עד אלף דולרים ,ליצור מתקפות חובקות עולם וירטואלי .רבות מהנוזקות כיום הן מבוססות חתימה ,ושינוי החתימה עוקף רבים מכלי האנטי-וירוס וממסנני התוכן ,וכך במקרים רבים לא ניתן לזהות אותן. 28 גיליון | 12אפריל | 2014 מתהילה למודל כלכלי משומן המכילים מענה למימדי האיום השונים. התוקפים עברו ממתקפות רחבות היקף ,רועשות, שלחלקן אין מניע כלכלי ,למתקפות שקטות, ממוקדות ,שכמעט תמיד המניע שלהן הוא פיננסי .שלוש דוגמאות לכך הן הפריצה לשרתי גוגל ( )Googleבסין לפני יותר משנה ,מה שקרה לרשת הפלייסטיישן של סוני ( ,)Sonyוכמובן התולעת סטוקסנט ( ,)stuxnetשפגעה במערך הגרעין האיראני. יתרונות למימוש פתרון IPSבארגון רשתות הבוטנט ( )botnetחוות מעבר מפעילות רועשת לשקטה וממוקדת .רשתות בוטנט הן רשתות זומבי שהושתלו בהן תוכנות זדוניות, ללא ידיעת המשתמש .הן ממשיכות להתפתח, לשנות צורה ולהתפשט ,בין השאר לעולם הסלולר .חברות מחקר מעריכות ,כי כ 10%-עד 20%מהמחשבים בכל ארגון הם זומבים. נורמת עדכוני windows update מחקירת המקרים המוזכרים עולה מידע מדאיג שמנציח מצב עגום מצד אחד אך מחויב המציאות מצד שני.חברות פשוט לא מתקינות באופן תדיר עידכוני אבט"מ של מיקרוסופט ,אדובי וכו' .הדבר נובע מסיבה עיקרית אחת :מיקרוסופט מוציאה פעם בחודש כ 10-עדכוני אבטחה בממוצע, הידועים בכינוים “ ”Patch Tuesdayשלכל אחד ואחד מהם עלולה להיות השלכה תפעולית על יישומי הליבה של האירגון הדבר נכון בעיקר לגבי שרתים קריטים -מאות בארגון גדול ,אך גם לגבי תחנות עבודה שיכולים להגיע לאלפים. דרך התמודדות יעילה היא לבצע Virtual Patching למחשבים אלו דרך הטמעת IPSברשת .הטמעה של IPSברשת מאפשרת לארגון לעצור איומים המנסים לנצל פגיעויות במערכת ההפעלה ע"י זיהוים ועצירתם ברמת ה .Gateway-כך ניתן זמן נאות ליישום הטלאי במחשב עצמו. כשמדברים על 'ראייה שלמה' או completeness ,of visionהכוונה היא לפתרון שמצד אחד בנוי כחומרה ייעודית לאבטחה עם מעבדים ייעודיים לסינון איומים היודעים לספק ביצועי שיא של רשת ,ומצד שני לפתרון עם יכולות IPSמקיפות גיליון מודעות דו חודשי ,שמטרתו להגביר את מודעות העובדים בנושא אבטחת המידע ,ע"י חשיפתם לאירועים שונים בארץ ובעולם ,עדכונים אודות טכנולוגיות ומתקפות חדשות ,המלצות וטיפים של "עשה ואל תעשה" ועוד. ידיעון בנושא מודעות ל אבטחת מידע י די עון דצמבר 2012 עון ב י די •ריבוי שיטות לגילוי התקפות מרץ א מו נו ש ד עו ת לאב טחת מי ד ע בנו שא מו דע ות לא בט חת מי דע פברו אר 2013 2013 •תמיכה בחתימות מותאמות אישית לשיפור יכולת התמודדות עם התקפות ייחודיות •תהליך closed loop investigationהמאפשר ראיה מערכתית טובה יותר וצלילה לתוך הפרטים הרלוונטים ,מסייע בקבלת החלטות נכונות בזמן אמת •מכיל עורך מדיניות ליצירת מערך אבטחה המגדיר נתונים לבדיקה ,סוגי התקפות לבדיקה וסוגי תגובות אודות העיתון •יומן ארועים לבחינת תקריות אבטחה ספציפיות עם אפשרות להתאמת הדרך בה המידע מעובד בתוך המערכת •מנגנון ניהול מרכזי מבוסס מדיניות להתקנה, הגדרות ותחזוקה קלה ופשוטה •דוחות מותאמים לנתונים בזמן אמת •זמינות גבוהה ,צמצום הסיכון לכשל בנקודה אחת ושיפור ההגנה על הרשת מה חשוב לבדוק לפני שבוחרים מערכת ?IPS העיתון מחולק ל 5-קטגוריות עיקריות: •השימוש בעיתון מאפשר למנהל אבטחת המידע בארגון לחשוף את כלל העובדים למגוון נושאים הקשורים לעולם אבטחת המידע ,בצורה פשוטה ,ויעילה. •העיתון מעוצב בצורה ויזואלית ונוחה לשימוש, וכולל התייחסות לכלל סוגי האוכלוסיות בארגון ,החל מהמשתמשים הפשוטים ,עובדי ,ITאנשי פיתוח ,ואף הנהלת הארגון. •ניתן לשלב הנחיות ונהלים של הארגון בתוך הידיעון. •ניתן להפיץ את הגיליונות דרך הפורטל הארגוני ו\או באמצעות העברת מיילים פנימיים לכלל העובדים בארגון או לקבוצות ייעודיות. 1 .1פינת החדשות פינה הסוקרת חדשות בעולם אבטחת המידע ואיומי סיביר 2 .2פינת המשתמשים פינה העוסקת כולה בטיפים והמלצות ומידע בסיסי עבור משתמשים כלליים, אשר אין להם נגיעה לעולם המחשוב. .3 3פינת הIT- הגנה מפני תוכנות זדוניות בזמן אמת IPS -הגנה מקדימה כנגד תוכנות זדוניות ,day-zero ,בנוסף לאיתור פגיעויות ברשתות. פינה העוסקת במגוון נושאים טכנולוגיים, שיכולים לסייע לאנשי ה IT-בארגון להגביר את המודעות והידע שלהם בעולם אבטחת המידע. ניתוח התנהגות איומי רשת – יכולת ניתוח איומים, המספקים דרך משלימה לפיקוח על הרשת כולה מפני איומים ולביצוע קורהלציות בנוגע להתנהגות הרשת. 4 .4פינת המפתחים פינה העוסקת במגוון טיפים והמלצות בתחום אבטחת המידע ,הקשור ישירות לחיי היומיום של המפתח .המלצות לפיתוח מאובטח ,טיפים אודות מתקפות ודרכי התמודדות ,ועוד. ניהול אבטחה מרכזי -קונסלה מרכזית לאבטחת רשת ,המנהלת את כל האספקטים של הפתרון, כולל ניתוח איומים בזמן אמת ואינטגראציה עם מודיעין האיומים הגלובלי. יתרונות השרות 5 .5פינת ההנהלה פינה העוסקת במגוון נושאים כלליים, מנקודת מבטם של מנהלי הארגונים, וכוללת סקירה טכנולוגית ,מגמות בעולם אבטחת המידע וניהול סיכונים ,דרישות חוקיות ורגולטוריות ,ועוד. לפרטים והרשמה: טלפון077-5150340 : עלות השרות השרות עולה ₪ 5000לשנה וכולל 6גיליונות בשנה ובנוסף ניתן לקבל התרעות לגבי איומי סייבר בזמן אמת למייל. (ניתן להגדיר במערכת עד 3כתובות דוא"ל). זמין כל המ מקבל רות זה ש פים חינם יים נוס חודש סטרים ו 10-פו שא בנו למודעות המידע אבטחת א ר ג ו ן . שב לשימו info@titans2. com * ניתן להפיץ יחד עם הידיעון דף פתיחה, מעוצב עם הלוגו של החברה | גיליון | 12אפריל 2014 29 בגיליון הבא סדנת ניהול אבטחת מידע ומדדים למה מדדי אבטחה ()Security Metrics מנהלי אבטחת המידע מתחילים להבין כי תמו ימי השפע .הם אינם יכולים עוד לדרוש גידול בתקציבים או במשאבים העומדים לשרותם ללא ביסוס דרישה זו .עליהם להצדיק את ההשקעות תוך שימוש במדדים המראים קשר ישיר שלהן להיבטים העסקיים של הארגון כך שהמנהלים הבכירים בארגון יבינו מדדים אלה ,יפעלו לפיהם ויהיו בטוחים שהארגון מאובטח כהלכה. על מנהלי אבטחת המידע להבדיל בין מדדים תפעוליים אשר עוזרים להם לנהל את פעילותם היום יומית לבין מדדים עסקייםהמדברים בשפה העסקית של מנהלי הארגון. מפגש ראשון: מפגש שני: מפגש שלישי: מפגש רביעי: •מבוא לממשל אבטחת מידע (.)Security Governance •מתודולוגיות ומסגרות לקביעת מדדים בתחום אבטחת מידע •מבוא לעולם ניהול הסיכונים •מהי אסטרטגיה בתחום אבטחת המידע ,וכיצד ניתן להתאים אותה לדרישות העסקיות בארגון? •כיצד מדדים יכולים לסייע לנו מבחינת הצגת ?ROI •מבוא לעולם הסייבר (כולל התייחסות לתקן סייבר החדש )ISO 27032 •כיצד קובעים מדדים בתחום ממשל אבטחת מידע? •מיהם השחקנים העיקריים במימוש ממשל אבטחת מידע בארגון? •כיצד מדדים יכולים לסייע לנו בתהליך של ניהול סיכונים? •כיצד קובעים מדדים בתחום ניהול סיכונים? •כיצד מדדים יכולים לסייע לנו בשיפור מערך הגנת הסייבר? •כיצד קובעים מדדים בתחום הסייבר? •תרגול •תרגול •תרגול •מבוא לעולם המדדים (Security )Metrics •היבטי אבטחה בתהליכי פיתוח חלק ב' •בניית מערך אבטחה פיזית חלק ב' •כיצד להכין את הארגון לתקן סייבר •הכל ארגונך לאסון הבא •סקירת טכנולוגיות סייבר חדשות •תפקידה של המדינה בעידן הסייבר האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. בין הכותבים שלנו: אין מנהל אבטחת מידע לא מוצלח ,יש מנהל אבטחת מידע לא מודרך! ניר ולטמן CISO -בחברת RETALIX דני אברמוביץ -מנכ“ל חברת TITANS SECURITY אלדד משולם -משנה לנשיא האיגוד מטרות הסדנא: מרצה: קהל יעד: קובי לכנר -מנהל אבטחת מידע בחברת פלייטק לימוד העקרונות ויישום של מתודולוגיה לקביעת מדדים ומדידת האפקטיביות של הבקרות בתחום אבטחת המידע. מר דני אברמוביץ ,מייסד ומנכ"ל קבוצת TITANS ,SECURITYונשיא של האיגוד העולמי לאבטחת מידע ( – )ISSAהציאפטר הישראלי הסדנא הינה כלי עזר חיוני למנהלי אבטחת מידע, מנמרים ,מנהלי תשתיות ,יועצים ,מבקרי פנים ומבקרי חוץ. רועי זימון -מומחה אבטחה אפליקטיבי בתחום הסייבר הקניית מתודולוגיה להערכת רמת הבשלות של הארגון מבחינת מוכנות לאיומי סייבר ואתגרי אבטחת מידע המשתנים מדי יום. שיטת לימוד: ערכת לימוד: הסדנא מתבססת על לימוד פרונטאלי ,דיון פתוח, סיפורי לקוח ותרגול המבוססים כולם על ניסיון רב בפרויקטים בשטח ועל מתודולוגיות בינלאומיות ומועברים על ידי אנשים מובילים בתחום אלו בפועל. ספר לימוד ותרגול +מצגת. היקף הסדנא: 16שעות 4 ,מפגשים ,כל מפגש 4שעות. צדוק לויא -יועץ אבטחת מידע והמשכיות עסקית שלומי מרדכי -מנמ“ר הקריה האקדמית מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT אם גם אתם רוצים לכתוב כתבות, מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים. נא לפנות אלינו בכתובתinfo@issa. org. il : למתן חסות לאיגוד ,ניתן לפנות אלינו למידע נוסף ו\או להרשמה ,ניתן לפנות אלינו: ייעוץ אקדמי info@titans2. com | 077-5150340 : 30 גיליון | 12אפריל | 2014 | גיליון | 12אפריל 2014 31 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת Ts-Academy@titans2. com :או לטלפון077-5150340 : מס’ שעות שם הקורס מספר מפגשים משך קורס משוער תאריך פתיחה ימים ושעות פעילות Cyber Security and Incident Management בוקר 40 5 שבוע וחצי 15.06.2014 (ג’ עד ה’)09:30-17:00 ISO 27001 Lead Auditor ערב 40 8 חודשיים 11.05.2014 (א’ ,ד’)17:30-21:00 ISO 27001 Lead Implementer בוקר 24 3 3 ימים 11.05.2014 (א’ ,ב’,ג’)09:30-16:30 CISAערב ובוקר 300 75 12חודשים 24.07.2014 9:00-13:00ו’ 17:30-21:00 / ג’ CISOערב 200 50 6חודשים 24.04.2014 (ב’ ,ה’)17:30-21:00 CISMערב 40 10 חודשיים 11.05.2014 (ג’ ,ה’)17:30-21:00 CRISCערב 40 10 6חודשים 24.04.2014 (ב’ ,ה’)17:30-21:00 CISSPערב 56 14 חודשיים 24.04.2014 (ג’ ,ה’)17:30-21:00 פתיחת כל קורס מותנית במינימום נרשמים. לתיאום פגישה וקבלת פרטים נוספים 077-5150340 חייגו: אקדמיה :דוא"ל Ts-Academy@titans2. com www. titans2. com | www. ts2. co. il | www. titans2. co. il
© Copyright 2024