אבטחת המידע - Global Security | מגזין אבטחת מידע

‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 7‬ינואר ‪2012‬‬
‫בשער‬
‫דאטה‬
‫ביג‬
‫והקשר שלה לעולם‬
‫אבטחת המידע‬
‫סיירת מטכ"ל של אבטחת המידע‬
‫פינתו של ‪CISO‬‬
‫מאפיינים לאבטחת תוכן בענן‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‪n‬‬
‫‪I‬‬
‫דבר נשיא‬
‫האיגוד‬
‫הישראלי‬
‫לאבטחת מידע‬
‫(‪)ISSA‬‬
‫חבר\ה יקר\ה‬
‫דבר העורך‬
‫לאחר שנה עמוסה אשר חשפה בפנינו פנים חדשות לעולם‬
‫הסייבר‪ ,‬אנו מתחילים את השנה החדשה‪ ,‬עם אתגרים לא פשוטים‪,‬‬
‫כאשר משימתו של מנהל אבטחת המידע נעשית קשה מתמיד‪.‬‬
‫ראשית‪ ,‬התפוצצות כמויות המידע‪ ,‬בעידן הביג דאטה (‪)Big Data‬‬
‫שכולל גם מידע עסקי רגיש‪ ,‬ימשיך להעסיק את הארגונים גם‬
‫בשנה החדשה‪.‬‬
‫ארגונים יצטרכו להתמודד עם הבעיות מצד אחד‪ ,‬והספקים‬
‫נדרשים לספק לשוק פתרונות יצירתיים לניצול וניהול הביג דאטה‬
‫בצורה נאותה‪.‬‬
‫לאחר שנה עם ריבוי מתקפות בעולם הסייבר‪ ,‬אני שמח לפתוח‬
‫את השנה האזרחית החדשה‪ ,‬במספר בשורות טובות‪ .‬בקרוב‬
‫מאוד יעלה לאוויר האתר החדש של האיגוד‪ ,‬שבו חברי האיגוד‬
‫יוכלו להנות מספרות וחומר מקצועי במגוון תחומי הקשורים‬
‫לעולם אבטחת המידע וניהול סיכונים‪ .‬בנוסף‪ ,‬אנו נפרסם בקרוב‬
‫את הלו"ז של כל ההרצאות אשר יתקיימו במהלך שנת ‪2013‬‬
‫במסגרת פעילות האיגוד‪ .‬כמו כן‪ ,‬אנו עובדים נחרצות להרים את‬
‫הכנס השנתי הבינלאומי שלנו עם מגוון אורחים מכובדים מאוד‬
‫מחו"ל‪ .‬פרטים בקרוב‪.‬‬
‫מגמה שנייה היא התרחבות המונית של הצטרכנות ה‪ – IT-‬תהליך‬
‫המתמקד בשימוש מתרחב בטלפונים חכמים ומכשירים ניידים‬
‫בארגונים המאפשרים לעובדים לעבוד עם מכשירים אלה מול‬
‫מערכות ה‪ IT-‬הארגוניות‪ .‬מצב זה מעלה שורת איומי אבטחה‬
‫בפני מנהלי אבטחת המידע אשר מצד אחד צריכים לאפשר את‬
‫המשך תפעולו התקין על העסק‪ ,‬ומצדו השני‪ ,‬צריכים לדאוג גם‬
‫לשמור על רמת אבטחה נאותה‪.‬‬
‫עם פתיחת השנה האזרחים החדשה‪ ,‬אני רוצה להודות שוב‬
‫לחברי הנהלת האיגוד על תרומתם בניהול ותפעול הפעילויות‬
‫וכמובן רוצה לברך את החברים החדשים אשר הצטרפו לאיגוד‪.‬‬
‫כמו כן‪ ,‬יש תחכום הולך וגובר ברמת האיומים‪ .‬מדי שנה מתגלות‬
‫אלפי פרצות אבטחה חדשות‪ .‬לרוב הארגונים נותרים ללא מענה‬
‫הולם בפני כמות הפרצות ובמרוץ הזמן בניהול טלאים‪.‬‬
‫בברכה‪,‬‬
‫והמגמה הרביעית היא שכל הבעיות נמצאות בכל מקום‪ :‬ארגונים‬
‫ממשיכים לעבור לפלטפורמות חדשות‪ ,‬לרבות מחשוב ענן‪,‬‬
‫וירטואליזציה‪ ,‬מעבר לעולם הנייד ורשתות חברתיות‪.‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד‬
‫מה בגיליון?‬
‫ השפעתם של כלי שיתוף בענן בארגוני האנטרפרייז‬
‫ ניהול סיכונים‬
‫ קל מאוד לפרוץ לסמארטפון‬
‫‬
‫פינתו של ‪CISO‬‬
‫ הוועידה השנתית ה‪ 6 -‬לאבטחת מידע ‪2013‬‬
‫מצפה לנו שנה מאוד מעניינת מבחינת אבטחת מידע‪.‬‬
‫ושתהיה שנה בטוחה לכולנו!‬
‫עורך ראשי‪ :‬דני אברמוביץ‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪TITANS SECURITY GROUP :‬‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫דוא"ל‪[email protected] :‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫‪2‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪3‬‬
‫השפעתם של כלי שיתוף‬
‫בענן בארגוני האנטרפרייז‬
‫השפעתם הדרמתית של כלי השיתוף בענן‬
‫(‪ )Collaboration Tool‬בארגוני ה‪ Enterprise-‬משנים ללא‬
‫ספק את הדרך שבה אנשים מתקשרים ומאיצים בתוך‬
‫כך את התפשטות המידע בארגון במהירות וביעילות‪.‬‬
‫מאת דוד אלוש‪ ,‬מנכ"ל ומייסד חברת ‪CloudCom‬‬
‫נציגת ‪ ,Box‬פלטפורמת‬
‫בינלאומית לשיתוף מידע מאובטח מוצפן בענן‪.‬‬
‫חברת המחקר הבינלאומית‬
‫‪ McKinsey‬פרסמה לאחרונה‬
‫תוצאות מחקר שסקר את‬
‫השפעתם של כלי שיתוף בארגוני‬
‫אנטרפרייז‪ .‬התוצאות מראות בין‬
‫היתר ש‪ 77% -‬מבין הנשאלים‬
‫בארגונים רואים גישה מהירה‬
‫יותר למידע‪ 60% ,‬מצאו הפחתה‬
‫דרמתית בתקשורת‪/‬דוא"ל ‪52% ,‬‬
‫רואים גישה מהירה יותר למומחים‬
‫פנימיים‪/‬חיצוניים ולמעלה‬
‫ממחצית הנשאלים מדווחים כי‬
‫ראו ירידה משמעותית בזמן שלוקח‬
‫למשתמשים ולצוותים כדי להשלים‬
‫משימות עסקיות‪.‬‬
‫סקר ‪ Forrester‬עדכני מצא כי‬
‫‪ 72%‬ממקבלי החלטות ‪ IT‬אומרים‬
‫כי המוטיבציה העיקרית שלהם‬
‫להשתמש בפתרון שיתוף בענן‬
‫מבוסס ‪SaaS‬היא לשפר את‬
‫הגמישות העסקית על ידי הוספה‬
‫של תהליכים עסקיים חדשים‬
‫וחדשניים ליכולות הקיימות של‬
‫ה‪.IT -‬‬
‫המגמות ברורות ‪ :‬כלי שיתוף בענן‬
‫משנים ללא ספק את הדרך שבה‬
‫אנשים מתקשרים ומאיצים בתוך‬
‫כך את התפשטות המידע במהירות‬
‫וביעילות‪ .‬כבר היום אנו עדים לשינוי‬
‫דרמתי באופן בו אנו מחליפים מידע‬
‫ומשתפים אותו במקום העבודה‪.‬‬
‫זהו עידן של תקשורת חברתית‬
‫שמתורגמת מהר מאוד לשורת‬
‫‪4‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫הערך התחתונה של הארגון‪ .‬הדרך בה אנו עובדים‬
‫היום היא שונה מהאופן בו אנו עבדנו רק לפני‬
‫שנים ספורות ובתוך כך אנחנו חייבים להתאים‬
‫את עצמנו למציאות זו‪.‬‬
‫סביבות שיתופיות משופרות מהוות הזדמנות עבור‬
‫ארגונים לחדד את המודלים העסקיים שלהם‪.‬‬
‫ארגונים צריכים פתרונות ושירותים המאפשרים‬
‫לאנשי מקצוע ביצוע עבודה טובה יותר בסביבות‬
‫העסקיות המשתנות של ימינו‪.‬‬
‫כלי השיתוף מעודדים שיתוף של רעיונות שאולי‬
‫לא היה אפשרי בלעדיהם וזאת להבדיל משיטות‬
‫התקשורת ארגוניות הקיימות כגון דוא"ל‪FTP,‬‬
‫וכונני רשת בהן המידע אינו מובנה ולא מאפשר‬
‫למצוא במהירות את המידע הנדרש‪.‬‬
‫הכללתם של כלי שיתוף מספקת אפשרויות‬
‫אינסופיות לשיפור פריון עבודה‪ ,‬איכות העבודה‬
‫והחוויה הכוללת בעבודה‪ .‬עובדים צריכים כל‬
‫הזמן כלים שיאפשרו להם לנווט בין הגבולות‬
‫הארגוניים‪ ,‬לעודד שיתוף של רעיונות ‪,‬להתחבר‬
‫לאנשים הנכונים ולהגביראת קצב ואיכות העבודה‬
‫שלהם‪ .‬בתוך כך‪ ,‬עובדים נוטים יותר להשתתף‬
‫ביוזמות של חדשנות‪ ,‬לשאול שאלות‪ ,‬לשתף‬
‫ברעיונות‪ ,‬ולגלות מה אנשים בסביבתם העסקית‬
‫הקרובה חושבים בזמן אמת על נושאי פעילות‬
‫משותפים להם‪.‬‬
‫מידע רגיש המועבר מספר פעמים ביום עם‬
‫אנשים בתוך ומחוץ לחברה מחייב שימוש‬
‫בפלטפורמות טכנולוגיות חכמות הכוללות גם כלי‬
‫שיתוף מאובטחים המאפשרים לעסקים להגן על‬
‫המידע של חברה באופן רציף‪.‬‬
‫החשש למעבר לענן מובן וימשיך להדיר שינה‬
‫כל עוד נהיה חשופים לפלטפורמות טכנולוגיות‪/‬‬
‫אינטרנטיות המהוות חלק בלתי נפרד ממערכות‬
‫התפעול היוםיומיות של כולנו‪ .‬יחד עם זאת ולשם‬
‫כך נקבעו תקני אבטחה מחמירים המקובלים‬
‫בסטנדרטים בהן נבחנות מערכות מסוג זה‪.‬‬
‫יעידו על כך חברות שמגלגלות מיליארדי דולרים‬
‫כדוגמת ‪( P&G‬פרוקטר&גמבל) עם עשרות אלפי‬
‫עובדים שסמכו ידם על תקני אבטחה אלו ועברו‬
‫לשימוש בכלי שיתוף בענן‪.‬‬
‫מערכות השיתוף המתקדמות בענן כוללת‬
‫למעשה סדרת פתרונות הכוללות בין היתר‪:‬‬
‫‪Document Management, Online File System,‬‬
‫‪FTP replacement , Deal Room , Project‬‬
‫‪.Management, Manage File Transfer‬‬
‫כמו כן מאפשרות שילוב מאובטח של אפליקציות‬
‫המרחיבות את הפונקציונאליות הארגונית‬
‫הנדרשת‪.‬‬
‫לסיכום ניתן לומר שלכלי שיתוף בענן יש את‬
‫היכולת לחולל שיפור בתהליכים העסקיים‬
‫והחזר השקעה צריך להימדד בסופו של דבר על‬
‫פי תוצאות של תהליכים עסקיים‪.‬‬
‫• למידע ומאמרים נוספים בתחום‬
‫‪www.CloudCom.co.il‬‬
‫• לשאלות ניתן לפנות באמצעות הדוא"ל‬
‫‪[email protected]‬‬
‫• להתייעצות טלפונית אישית ‪054-4637000 -‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪5‬‬
‫מאפיינים לאבטחת תוכן בענן‬
‫בעידן ה‪-‬‬
‫‪Exo‬‬
‫מאת דוד אלוש‪ ,‬מנכ"ל ומייסד חברת ‪ CloudCom‬נציגת ‪ Box‬בישראל‪,‬‬
‫פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן‪.‬‬
‫החשש למעבר לענן מובן וימשיך להדיר‬
‫שינה כל עוד נהיה חשופים לפלטפורמות‬
‫טכנולוגיות המהוות חלק בלתי נפרד‬
‫ממערכות התפעול היוםיומיות של כולנו‪.‬‬
‫יחד עם זאת ולשם כך נקבעו תקני אבטחה‬
‫בהן נבחנות מערכות אלו ונסקרות במאמר‬
‫זה‪.‬‬
‫על מנת להבטיח את אותה שלמות במערך‬
‫האבטחה‪ ,‬השרידות והיתירות ושהתוכן בענן יהיה‬
‫בלתי נגיש לגורמים שאינם מורשיםנ בחין בשבעה‬
‫מעגלי אבטחה‪:‬‬
‫מעגל ראשון‬
‫הגדרות אפליקטיביות‬
‫מעגל זה כולל פרמטרים המוגדרים תחת מדיניות‬
‫ארגונית ומכיל בין היתר את היכולות הבאות‪:‬‬
‫‪1.1‬אפשרות קביעת חוזק סיסמא ‪,‬הגבלת‬
‫מספר תווים‪ ,‬שימוש בספרות‪ ,‬אילוץ שימוש‬
‫בתווים מיוחדים וכו‪.‬‬
‫‪2.2‬אפשרות אילוץ איפוס סיסמה הן ברמת‬
‫המשתמש הבודד והן ברמת כוללת כחלק‬
‫ממדיניות כלל ארגונית‪.‬‬
‫‪3.3‬אפשרות מניעת שימוש חוזר בסיסמא‪.‬‬
‫‪4.4‬משלוח התראות וחסימת גישה אטוטמטית‪,‬‬
‫במעבר סף כשלונות ‪. Login‬‬
‫‪5.5‬הגבלה וקביעת פרק זמןמקסימלי מרגע‬
‫תחילת תהליך הכניסה למערכת‪.‬‬
‫‪6.6‬חסימת גישה מיידית לעובד שסיים עבודתו‪,‬‬
‫‪6‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫פרוצדורות תואמות‪ ,‬לאבדן או גניבת‬
‫מכשיר נייד‪.‬‬
‫‪7.7‬מתן אפשרות אימות כניסת משתמשים‬
‫בשני שלבים‪ ,‬באמצעות ערוצים מקבילים‬
‫גם במכשירים ניידים‪.‬‬
‫‪8.8‬ניהול גישה מבוססת תפקידים וניהול‬
‫קבוצות משתמשים‪.‬‬
‫‪9.9‬ניהול משתמשים‪ ,‬קביעת הרשאות גישה‬
‫בכמה רמות של צפייה‪ ,‬עריכה‪ ,‬הורדה‪,‬‬
‫העלאה ‪,‬הדפסה וכו' ‪.‬‬
‫‪1010‬הגבלת חשיפת תוכן באמצעות סיסמא או‬
‫קביעת תאריך תפוגה עתידי‪.‬‬
‫‪1111‬מתן אפשרות חסימת שיתוףתוכן או‬
‫שליחת חומר מחוץ לדומיין האירגוני‪.‬‬
‫‪1212‬מעקב על כל תנועה של קובץ במערכת‪ ,‬מי‬
‫יצר‪ ,‬מי העלה‪ ,‬מי צפה‪ ,‬מי הוריד וכו'‬
‫סיסמא‪ .‬המשתמש‪ ,‬לא אמור להידרש‬
‫לזכור מספר ססמאות רב‪ .‬התחברות‬
‫למחשב האירגוני שלו תספק תעודת‬
‫אוטנטיקציה במעבר שקוף‪ .‬זכירת מספר‬
‫גדול של סיסמאות לעיתים מביאה את‬
‫המשתמש להוריד אותם לכתב (פריצת‬
‫אבטחה חמורה) ולעיתים מאלצת את‬
‫המשתמש "למחזר" סיסמא אחת במספר‬
‫מערכות וחלקן מחוץ לארגון בשרותים‬
‫אחרים בהם הוא משתמש‪.‬‬
‫‪Active Directory/LDAP‬‬
‫‪2.2‬שילוב במנגנון‬
‫האירגוני ‪ ,‬תאפשר לאירגון לשלוט בכל‬
‫מערכות ניהול המשתמשים ממקום אחד‬
‫מרכזי ‪ .‬בתוך כך יש לוודא שבכל הסרה‬
‫של משתמש מ ‪ Active directory‬האירגוני‬
‫ינותק גם המשתמש מכל האפליקציות‬
‫האחרות שלו‪.‬‬
‫‪3.3‬תמיכה בלפחות אחד מפרוטוקולים‬
‫כדוגמת‬
‫‪ Markup Language‬בכל תקשורת בין‬
‫הדפדפן ל‪IDP - Identity provider.SAML -‬‬
‫הינו פרוטוקול מוכר המאפשר לארגון‬
‫להעביר באופן מאובטח פרטי אוטנטיקציה‬
‫ואוטוריזציה ביחסי אמון‪.‬‬
‫‪SAML 2.0 - Security Assertion‬‬
‫מעגל שני‬
‫‪- Single Sign-on‬‬
‫‪SSO‬‬
‫‪1.1‬שימוש ב ‪ SSO‬מנטרל באופן מיידי פריצות‬
‫אבטחה מהחמורות בנמצא כגון גנבת‬
‫‪SSL‬‬
‫‪4.4‬נדרש שינוע של ססמאות מוצפן ב‬
‫‪, 256‬מניעת אחזקתן בחשבון האינטרנטי‬
‫וחסימת אפשרויות איפוס ב ‪ SSO‬באמצעות‬
‫חשבון האינטרנט‪.‬‬
‫‪5.5‬מתן אפשרות זיהוי משתמשבאוטנטיקציה‬
‫במולטי פאקטור ( ‪out of band‬‬
‫‪ ) authentication‬באופן כזה שמשתמש‬
‫במערכת יקבל איתות בערוץ מקבילי שהוא‬
‫איננו הערוץ דרכו הוא מנסה להתחבר‪.‬‬
‫‪6.6‬גישה ממכשירי ניידים‪ :‬בכל גישה למכשיר‬
‫נייד נדרשת החלתמדיניות ‪ SSO‬ומוצפן‬
‫באמצעות ‪ .SSL‬בכל מקרה של אבדן או‬
‫גנבת מכשיר נדרשת המערכת לאפשר‬
‫ניתוק הקשר בזמן אמת בנוסף לאפשרות‬
‫של חסימה ו‪/‬או נעילת גישה מכל סוג‬
‫שהוא באמצעות קוד נעילה במקרה בו‬
‫עלול מכשיר נייד ליפול לידיים זרות‪.‬‬
‫מעגל שלישי‬
‫הרשאות וניהול רישום‬
‫(‪)Full Audit Trail‬‬
‫‪1 .1‬מעקב ‪ -‬נדרש מעקב מלא על כל תנועה‬
‫של משתמש וקובץ במערכת‪ ,‬מי יצר‪,‬מי‬
‫העלה‪,‬מי צפה‪ ,‬מי הוריד וכו'‪.‬‬
‫‪2 .2‬בקרה ‪ -‬נדרשת מערכת של דוחות בקרה‬
‫ותפעול לאיתור וניתוח כל פעילות ומכל‬
‫סוג שהוא בחשבון המשתמש בין היתר של‬
‫מיון וסינון דוחות בפילטרים של קבוצות‬
‫משתמשים‪ ,‬תאריכים‪ ,‬קבצים‪ ,‬ומשתמשים‪.‬‬
‫‪8 .8‬גישה למסמכים מתוחמת בזמן‪ :‬נדרשת‬
‫אפשרות לקבוע תאריך תפוגה לחשיפת‬
‫מסמך בקישור ‪ ,‬בפקיעת המועד שנקבע‪,‬‬
‫המסמך יחדל להיות זמין ‪.‬‬
‫‪3 .3‬אתראות ‪ -‬מתן אתראות מפני פריצה‬
‫אפשרית ונסיונות חדריה למערכת‪.‬‬
‫‪9 .9‬שיתוף‪ :‬בכל יצירת תיקיית שיתוף נדרשת‬
‫אפשרות להזמין שותפים על פי תפקידם‬
‫לדוגמא ‪ :‬להגביל את שותפיך למסמך או‬
‫לתיקיה בהנתן להם הרשאות של צפייה‬
‫בלבד ‪ .‬הרשאה זו תמנע מהם לבצע‬
‫"הורדה" של המסמך לערוך אותו או לטעון‬
‫לתיקייה מסמכים אחרים‪.‬‬
‫‪4 .4‬הרשאות ‪ -‬קביעת מערך הרשאות פרטני‬
‫המאפשר שליטה ברמת קובץ‪,‬תיקייה‬
‫‪,‬משתמש וקבוצה‪.‬‬
‫‪5 .5‬הגנת ססמא ‪ :‬מתן אפשרות לשתף מסמך או‬
‫קובץ באמצעות סיסמא‪ ,‬כך שרק משתמש‬
‫המחזיק בססמא יוכל לעיין במסמך‪.‬‬
‫‪6 .6‬התראות ‪ :‬נדרשת יכולת למתן התראה‬
‫לדוא"ל באירועי‪ :‬צפייה‪ ,‬הורדה‪ ,‬כתיבת‬
‫הערה למסמך‪ ,‬עריכה‪ ,‬או העלאה של‬
‫מסמך לתיקיה או לקובץ‪ .‬בתוך כךרצוי‬
‫לקבל גם רשימת התראות מסכמת אחת‬
‫ליום בהתאם להעדפות המשתמש‪.‬‬
‫‪7 .7‬קישורים‪ :‬אחת הדרכים לשתף מסמך‬
‫היא לשלוח ליעד כלשהו קישור ‪ ,‬לקישור‬
‫זה מפתח יחודי ונדרש לקבוע אם מקבל‬
‫הקישור יוכל לבצע פעולת הדפסה הורדה‬
‫של המסמך או לצפות בו בלבד‪.‬‬
‫‪1010‬הרשאות גלובליות‪ :‬נדרשת אפשרות לקבוע‬
‫מגבלות שיחולו על כל עובדי הארגון לדוגמא‪:‬‬
‫מי יהא רשאי לפתוח תיקיה או "לטעון" קובץ‬
‫לתוך המערכת‪.‬האם משתמשי המערכת‬
‫רשאים לשתף מסמכים או מידע‪,‬‬
‫האם מקבל קישור למסמך יכול "להוריד" את‬
‫המסמך למחשבו האישי או למכשיר הנייד (מדיה‬
‫סלולרית) שברשותו‪,‬מי יכול להזמין "שותפים"‬
‫לתכנים‪,‬מהו פרק הזמן המערכתי אשר לאחריו‪,‬‬
‫קישור של מסמך כלשהו שנשלח "יתפוגג" וכן מתן‬
‫אפשרות לקביעת תאריך מסגרת לפרוייקטים‪.‬‬
‫‪1111‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪7‬‬
‫סיירת‬
‫מטכ"ל‬
‫מעגל רביעי‬
‫מעגל שישי‬
‫מעגל שביעי‬
‫הצפנת ‪Data‬‬
‫חוות השרתים‬
‫משרדי נותן השירות‬
‫ועובדיו‬
‫‪1.1‬נדרשת הצפנה אוטומטית של מידע בכל‬
‫שלב של העלאה והורדה רצוי בסטנדרט‬
‫של ‪. AES/BIT.256‬שימוש בסטנדרט של‬
‫‪AES -Advanced encryption standard‬‬
‫הוא צופן מקובל שאומץ כתקן ההצפנה‬
‫הסימטרית הרשמי של ממשלת ארה"ב‪.‬‬
‫‪2.2‬גם על מפתחות ההצפנה נדרשת הצפנה‬
‫ויש לשמרם במספר מיקומים‪/‬במסדי‬
‫במסדי נתונים נפרדים ובתוך כך להבטיח‬
‫שמיקומי המפתחות יעברו רוטציה‬
‫בתדירות גבוהה‪.‬‬
‫‪3.3‬על ספק פתרונות להבטיח שגם לעובדיו‬
‫הבכירים ביותר לא תהיה את היכולת‬
‫לפענח מסמך כלשהו בשום דרך ובשום‬
‫צורה שהיא‪.‬‬
‫מעגל חמישי‬
‫הרשת‬
‫‪1.1‬על הרשת המאחסנת להיות מנוטרת‬
‫באופן שוטף בפני איומים ובעלת קישורים‬
‫מרובים לשדרת האינטרנט על מנת שתוכל‬
‫להבטיח רמת ביצועים גבוהה‪ ,‬יתירות‬
‫וזמינות מקסימאלית‪.‬‬
‫‪2.2‬על כל שרתי הרשת להיות מצויים מאחורי‬
‫חומת אש איתנה (‪ )firewall‬המאפשרת‬
‫נגישות סלקטיבית לשרותי המערכת‪.‬‬
‫‪3.3‬באופן שוטף צריכים להתבצע בנוסף גם‬
‫תהליכים אוטומטים לצורך בדיקות חדירה‬
‫חיצוניותבכדי לוודא תקינות המערכת‬
‫ולאבטחה מוגברת‪.‬‬
‫‪4.4‬ביו היתר נדרשות קיומן של מערכות מהסוג‬
‫של ‪,IDS -Intrusion Detection System‬‬
‫המשמשות כמוניטור לאיתור "פלישות"‬
‫לרשת בזמן אמת‪.‬‬
‫‪8‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫‪1.1‬על חוות שרתים לעמוד בסטדנרטים ותקנים‬
‫כאלו שיאפשרו בין היתר רמת יתירות‬
‫גבוהה‪ ,‬גיבוי תחת אבטחה פיזית ‪7\24‬‬
‫ומאויישות בשומרים חמושים והכל תחת‬
‫מדיניות גישה מחמירה וקפדנית‪ ,‬הכוללת‬
‫מערכות לזיהוי ביומטרי ‪ ,‬כספות וכלובים‬
‫לאכסון מידע "רגיש"‪.‬‬
‫האבטחה מתחילה במשרדי נותן השירות עצמו ‪,‬‬
‫על פי התקנים יש לוודא קיומם של פרוצדורות‬
‫עבודה במדיניות החברה‪ .‬כל עובד צריך לעבור‬
‫הכשרת בטיחות בה מועברים לו הפרוצדורות‬
‫וההליכים הנוגעים לענייני אבטחה‪ .‬קיומו של תקן‬
‫‪ , SAS-70 audit report‬יבטיח כי מתנהל רישום‬
‫ותעוד מפורט הכולל בין היתר‪:‬‬
‫‪2.2‬על ספק השירות להצהיר על עמידה‬
‫בתקני ביקורת לספקי שירותים כדוגמת‬
‫‪SSAE 16 Type II‬והרחבה של תקן ‪SAS‬‬
‫‪.70‬תקן המבטיח כי נותן שירות עומד‬
‫בתקנים חשבונאים מחמירים המאפשרים‬
‫מתן שירותים לאירגונים מבלי לסכן את‬
‫פעילותם או את המידע אשר הם מאכסנים‬
‫ברשותו ‪ ,‬תקן זה כולל ביקורת תשתיות‬
‫פיזיות‪ ,‬בדיקות מקצועיות של רמת השרות‪,‬‬
‫זמינות השרתים‪ ,‬שלמות עיבוד הנתונים‪,‬‬
‫נהלי סודיות ופרטיות‪ ,‬ביקורת על התהליכי‬
‫עיבוד מידע רגיש‪.‬חברות שירות מבוססות‬
‫ענן ספורות ביותר‪ ,‬יכולות להתפאר בתקן‬
‫זה‪.‬‬
‫‪1.1‬בדיקת היסטורית עובד ‪.‬‬
‫‪2.2‬רישום גישה למתקני החברה‪.‬‬
‫‪3.3‬רישום חריגות מ "שימוש מקובל" במתקני‬
‫החברה‪.‬‬
‫‪4.4‬רישום מדיות ניידות ונתיקות‪.‬‬
‫‪5.5‬הפרדת ססמאות אירגוניות וססמאות יצור‪.‬‬
‫‪6.6‬ניהול הרשאות גישה‪.‬‬
‫‪7.7‬נהלים לרישום "אירוע" בטיחות‪.‬‬
‫‪8.8‬הכשרות בטיחות מידע‪.‬‬
‫‪9.9‬ניהול כל מערכות בהתאם לסטנדרטים‬
‫עולמיים‪.‬‬
‫‪1010‬קביעת קונפיגורציית מערכת‪.‬‬
‫‪1111‬ניהול שינויים‪.‬‬
‫‪1212‬מערכות לזיהוי פולשים ברשת הפנימית‪.‬‬
‫‪1313‬גישה מרוחקת באמצעות ‪VPNs with‬‬
‫‪multi-factor authentication‬‬
‫‪1414‬סריקה ומוניטור רציף און ליין למערכות‬
‫פנימיות‪.‬‬
‫‪1515‬שימוש בשרותי חברות אבטחה צד שלישי‬
‫המתמחות באבטחת נתונים לבדיקת‬
‫פוטנציאל חדירות ונקודות תורפה‬
‫אפשריות ברשת‪.‬‬
‫‪1616‬יש לוודא קיומן של חסימות עובדי נותן‬
‫השירות לנתוני הלקוח באופן שלעולם לא‬
‫יתאפשר למי מעובדי השירות לראות תוכן‬
‫כל שהוא של לקוח ובכל מקרה של תמיכה‬
‫בלקוח ינתהל רישום ותיעוד מפורט‪.‬‬
‫‪3.3‬עמידה בביקורת חייבות להיות מבוצעת ע"י‬
‫גורם צד שלישי מוסמך ובמספר פעמים‬
‫בשנה‪.‬‬
‫‪4.4‬זמינות המערכות צריכות להתבסס על‬
‫יתירות של ‪ N +1‬או יותר לכל רכיב קריטי‬
‫במערכת‪.‬המינוח (‪ )N+1‬משמעותו כי לכל‬
‫רכיב קריטי במערכת מוחזק לכל הפחות‬
‫עותק אחד עודף‪.‬‬
‫‪5.5‬נדרש שכל השרתים יהיו מאוכסנים‬
‫בכלובים וכספות המוגנים במערכות סריקה‬
‫ביומטרית‪ .‬הגישה לציודי החברה צריכה‬
‫להיות מוגנת ומאובטחת באמצעות שומרים‬
‫מזויינים ‪ 7\24‬אמצעי זיהוי ביומטרים‬
‫ומערכות טלויזה במעגל סגור (‪. )CCTV‬‬
‫‪6.6‬לבסוף נדרשת כמובן קיומם של מערכות‬
‫‪, UPS‬מערכות גיבוי‪ ,‬מערכות מניעת אש‬
‫והצפה באתרי האחסון‪.‬‬
‫של אבטחת המידע‬
‫בראיון עם דני אברמוביץ‪ ,‬מנכ"ל חברת ‪Titans‬‬
‫"אבטחת מידע היא הרבה יותר מהטמעה‬
‫של מערכות חדשות להגנה על הארגון‪.‬‬
‫אבטחת מידע בארגון אנטרפרייז מחייבת את‬
‫המנמ"ר ומנהל אבטחת המידע להסתכלות‬
‫מערכתית על צרכי הארגון‪ ,‬בנייה של‬
‫ארכיטקטורת אבטחת מידע שתתמוך‬
‫בצרכים העסקיים של הארגון‪ ,‬עמידה‬
‫בסטנדרטים בינלאומיים ורגולציות‪ ,‬ותהליך‬
‫של למידה ורענון פונקציות אבטחת המידע‬
‫בחידושים הטכנולוגיים ובאיומים העדכניים‬
‫ביותר"‪ ,‬כך אמר דני אברמוביץ‪ ,‬מנכ"ל חברת‬
‫‪ ,Titans Security‬בראיון בו הציג את יכולות‬
‫החברה‪ ,‬שזכתה בקרב גורמים בשוק לכינוי‬
‫המחייב "סיירת מטכ"ל של אבטחת המידע‬
‫בישראל"‪.‬‬
‫‪ ,Security‬הוא מתאר את פעילות החברה‬
‫בתחומי ייעוץ‪ ,‬הדרכה וסטנדטיזציה של דני‪ ,‬מהם בראייתך האתגרים המרכזיים‬
‫אבטחת מידע במגזר הארגוני‪ ,‬ואת הסיבות עימם מתמודדים ארגונים בתחום‬
‫אבטחת המידע?‬
‫שבגללן מנמ"רים ומנהלי אבטחת מידע מכנים‬
‫את החברה כסיירת מטכ"ל של מגזר אבטחת תחום אבטחת המידע הוא אחד הדינאמיים‬
‫ביותר שקיימים היום בעולם מערכות המידע‪.‬‬
‫המידע‬
‫החברה הוקמה בשנת ‪ 2010‬על ידי דני אברמוביץ‪,‬‬
‫שמשמש בנוסף לתפקידו העסקי גם כנשיא איגוד‬
‫‪ ISSA‬לאבטחת מידע‪.‬‬
‫החברה משמשת כחברת בוטיק המתמחה בייעוץ‬
‫בתחומי אבטחת מידע‪ ,‬ניהול סיכונים והמשכיות‬
‫עסקית במגזר העסקי והציבורי‪.‬‬
‫החברה היא היחידה בעלת הסמכה בינ"ל לביצוע‬
‫של תקני ‪ ISO‬בתחום אבטחת המידע‪ ,‬והיא פיתחה‬
‫מתודולוגיה ייחודית לניהול וביצוע של פרויקטים‬
‫בתחום אבטחת המידע‪.‬‬
‫הניסיון הרב של יועצי החברה מאפשר לארגון ביצוע‬
‫של תהליכים באופן שקוף‪ ,‬במקצועיות וביעילות‪.‬‬
‫לפרטים נוספים‪:‬‬
‫‪www.titans2.com‬‬
‫מצד אחד הארגונים תלויים ברמה שלא ראינו‬
‫כדוגמתה במערכות המידע שלהם כדי לקיים‬
‫פעילות עסקית מכול סוג שהוא‪ .‬ומצד שני‬
‫אנחנו רואים את מפת איומי אבטחת המידע‬
‫שצוברת תאוצה ברמה כמעט יומיומית‪.‬‬
‫המטרה היא לאפשר לארגון לממש את‬
‫ייעודו העסקי גם במציאות מורכבת של‬
‫איומים חיצוניים ופנימיים על התפקוד‬
‫התקין של מערכות המידע‪ .‬לצורך כך‪ ,‬על‬
‫המנמ"רים‪ ,‬ולצידם מנהלי אבטחת המידע‪,‬‬
‫לבצע אינטגרציה של כמה משתנים‪ :‬הצרכים‬
‫העסקיים של הארגון‪ ,‬האיומים על הארגון‪,‬‬
‫והפתרונות שמגשרים בין השניים‪.‬‬
‫כיצד ‪ Titans Security‬מסייעת‬
‫למנמ"ר ומנהל אבטחת המידע כדי‬
‫להתגבר על אתגרים אלו?‬
‫אנחנו בעצם נוגעים בשתי פעילויות‬
‫אסטרטגיות‪ .‬פעילות אחת נוגעת בתחום‬
‫ייעוץ אבטחת המידע‪ ,‬שכוללת הן ייעוץ‬
‫ובנייה של ארכיטקטורה של פתרון אבטחת‬
‫מידע כולל לארגון‪ ,‬אך גם הכנה של ארגונים‬
‫לסטנדרטים בינלאומיים ורגולציות מובילות‬
‫שמושתות על ארגונים‪ ,‬בין אם כתוצאה‬
‫מצורך עסקי לפעילות בינלאומית או כתוצאה‬
‫מחיוב ממשלתי לרגולציה‪ .‬פעילות אחרת‬
‫שלנו נוגעת בתחום ההדרכות וההסמכות‬
‫שאנו מבצעים לבעלי תפקידים‪ .‬בתחום‬
‫ההדרכות אנחנו מכשירים את הדור הבא‬
‫של מנהלי אבטחת המידע‪ ,‬והם מקבלים‬
‫כלים פרקטיים ועיוניים ברמה בינלאומית‬
‫שמאפשרים להם להתמודד טוב יותר עם‬
‫האיומים והאתגרים בפניהם הם ניצבים‪.‬‬
‫האם תוכל לתת דוגמא של סטנדרטים‬
‫שנפוצים בתחום וכיצד אתם מסייעים‬
‫לארגונים לאמץ אותם?‬
‫בוודאי‪ .‬בראש ובראשונה אנחנו מדברים‬
‫על תקן ‪ ,ISO 27001‬התקן לניהול אבטחת‬
‫מידע‪ ,‬שאומץ גם על ידי מכון התקנים‬
‫הישראלי‪ .‬התקן מגדיר עקרונות שיטתיים‬
‫ותכליתיים להקמה‪ ,‬ניהול ותחזוקה של‬
‫מערכת אבטחת מידע‪ .‬התקן בעצם מוכיח‬
‫שהארגון נוקט באמצעים המתאימים בכדי‬
‫לממש את מחויבותו לשמירה על המידע‪.‬‬
‫באופן זה יתאפשר לארגון לזהות ולנהל את‬
‫הסיכונים למידע‪ ,‬להגדיר תהליכי טיפול‬
‫ומניעה בצורה עקבית ושיטתית‪ ,‬להקים‬
‫בקרות נחוצות לארגון‪ ,‬להגדיר יעדים לניהול‬
‫אבטחת המידע ותכנון יזום להשגתו‪ ,‬ועוד‪.‬‬
‫למעשה‪ ,‬התקן מטרתו לתת בטחון ללקוחות‬
‫ולבעלי העניין שהארגון מעמיד את הדאגה‬
‫לאבטחת מידע בעדיפות גבוהה‪ .‬המומחים‬
‫שלנו ב‪ Titans Security-‬יסייעו לארגונים‬
‫לזהות אם מערכת ניהול אבטחת המידע‬
‫של הארגון מתאימה לדרישות‪ ,‬יאתרו את‬
‫הנקודות לשיפור ויבנו תהליך פנים ארגוני‬
‫שבסופו הארגון זוכה בתו התקן‪.‬‬
‫כיצד ההדרכות שאתם מנהלים‬
‫מסייעות להגן טוב יותר על הארגון?‬
‫בתחום כול כך דינאמי כמו אבטחת מידע‬
‫יש צורך אמיתי של בעלי התפקידים להיות‬
‫מעודכנים בטכנולוגיות החדשות ביותר‪,‬‬
‫באיומים העדכניים ביותר‪ ,‬ובמתודלוגיות‬
‫שיכולות לסייע לתפקד ביומיום בתפקיד‬
‫שנושא בחובו חוסר וודאות‪ ,‬ופעמים רבות‬
‫תגובתיות למהלכים חיצוניים שמאיימים‬
‫על הארגון‪ .‬לצורך כך אנו מקיימים סמינרים‬
‫בתוך הארגון לבעלי תפקידים‪ ,‬שכוללים‬
‫הסמכות בינלאומיות ברמה הגבוהה ביותר‬
‫הקיימת היום בשוק‪ .‬הסמכות אלה כוללות‪:‬‬
‫‪CISSP, CISM, CISA, CRISC, ISO 270001 Lead‬‬
‫‪Auditor, BS25999 Lead Auditor, Forensics‬‬
‫‪.and Privacy‬‬
‫ולסיכום‪ ,‬מדוע זכיתם בשוק לכינוי‬
‫המחייב "סיירת מטכ"ל של אבטחת‬
‫המידע"?‬
‫קודם ולפני הכול‪ ,‬זה באמת מחמיא‪ ,‬אבל אם‬
‫אני צריך לשים את האצבע על הסיבה מדוע‬
‫זכינו לכינוי כה מחייב זה בראש ובראשונה‬
‫מכיוון ואנחנו בוחרים את היועצים שלנו על‬
‫בסיס הניסיון שלהם‪ .‬כול היועצים שלנו‬
‫הם בעלי ניסיון מינימאלי של שבע שנים‬
‫בתעשייה ולרוב אף יותר‪ .‬מדובר באנשים‬
‫המנוסים ביותר בתעשייה שמביאים איתם‬
‫ניסיון בעשרות פרויקטים‪ ,‬נמצאים עם היד‬
‫על הדופק של התחום ומכירים את תחום‬
‫אבטחת המידע ברמה האינטימית ביותר‬
‫שיכולה להיות‪.‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪9‬‬
‫ניהול סיכונים‬
‫או כיצד לדבר בשפת הנהלת הארגון‬
‫מושגים כמו אבטחת מערכות המידע או ניהול הסיכונים במערכות‬
‫המידע שעד לפני זמן קצר נראו מאוד מבטיחים‪ ,‬נשמעים כיום‬
‫לעתים צורמים‪ ,‬מיושנים‪ ,‬חסרי מעוף ומאוד לא מתקדמים‪.‬‬
‫מה השתנה במושגים הללו?‬
‫התשובה הנה כי אבטחת מידע ו\או ניהול‬
‫הסיכונים במערכות המידע עוסקים בהיבט הצר‬
‫המתייחס לעולם ה‪ IT-‬בלבד‪ .‬כיום‪ ,‬השתנתה‬
‫גישה זו ואת מקומה תפסו ראייה ארגונית רחבה‬
‫וגישה אסטרטגית מקיפה‪.‬‬
‫אז מה זה בעצם אומר?‬
‫עיון קצר בעיתונות המקצועית ובמאמרים‬
‫שהתפרסמו בעולם ה‪ IT-‬לאחרונה יציף לעינינו‬
‫מושגים כגון‪BI (Business Intelligence), BMP :‬‬
‫‪(Business Process Management), ROI (Return‬‬
‫‪on Investment), TCO (Total Cost of Ownership),‬‬
‫‪ ,)BCM (Business Continuity Management‬וכיו"ב‪.‬‬
‫עיצוב אבטחת המידע הארגוני בהיבט התהליכים‬
‫כולל במסגרתו ‪ 6‬מהלכים מרכזיים‪ ,‬כמפורט‬
‫להלן‪:‬‬
‫עולם ה‪ IT-‬נדרש כיום להציג "ראייה" מקיפה‬
‫של התהליך הכולל (‪ ,)End-to-End‬ולהכין את‬
‫תשתיות המחשוב הנדרשות ליצירתו של תהליך‬
‫רציף המשלים פעילות עסקית או ארגונית מלאה‪.‬‬
‫מה לא מספק בגישה הקיימת‬
‫כיום לנושא אבטחת מידע?‬
‫סיכום‬
‫גישה זו לא תמיד ראתה את התהליך העסקי\‬
‫ארגוני הכולל‪ ,‬ולכן גם ההתייחסות בעת פיתוח‬
‫המערכות הייתה בעלת אופי נקודתי שיצרה‬
‫"איים" של תוכנות הפועלות היחידות עצמאיות‬
‫ולעיתים לחלוטין מבודדות‪.‬‬
‫כיום‪ ,‬אבטחת המידע נבחנת מההיבט הממוכן‬
‫בלבד שהינו רק נדבך במכלול האבטחה הנובע‬
‫מפעילויות הארגון‪ ,‬ולפיכך היא חסרה "ראייה"‬
‫אסטרטגית מקיפה ומעלמת מחלקי תהליכים‬
‫הנעדרים במערך הממוכן‪.‬‬
‫ניהול הסיכונים במערכות המידע‪ ,‬כמו גם ניהול‬
‫הסיכונים במערכי התפעול‪ ,‬בתשתיות התקשורת‬
‫וכיו"ב – פונה אל ההיבט הצר של אבטחת המידע‬
‫המתרכז בתחום הממוכן בלבד‪.‬‬
‫כיום גישה זו השתנתה‪ ,‬ועם התפתחותן של‬
‫מערכות חוצות ארגון (כגון‪ERP, CRM, SCM :‬‬
‫וכיו"ב) התגבשה מדיניות רחבה יותר‪ ,‬המתייחסת‬
‫לנושא פיתוח המערכות מהיבט התהליך הכולל‬
‫מקצה לקצה‪.‬‬
‫כתוצאה מתהווים מקטעים בתהליכים שאינם‬
‫"מכוסים" על ידי אבטחת המידע‪ ,‬ונוצרים מוקדי‬
‫סיכון וחשיפה המסכנים את פעילויות הארגון‪,‬‬
‫כגון‪ :‬ממשקים‪ ,‬תהליכי המרה‪ ,‬קישורי עיבוד‪,‬‬
‫תהליכי הפצה וכיו"ב‪.‬‬
‫חצייה של תשתיות ופלטפורמות מחשוב שונות‬
‫וגישור בין‪-‬מערכתי על פני ממשקים ותהליכי‬
‫המרה שונים‪.‬‬
‫מהם היתרונות בגישה‬
‫לאבטחת המידע בהיבט‬
‫התהליכים?‬
‫ניהול תהליכים וראייה‬
‫תהליכית כוללת‬
‫בעבר הלא רחוק‪ ,‬גישת עולם ה‪ IT-‬לצרכיו של‬
‫הארגון התבססה על ראייה מערכתית בלבד‬
‫תוך כדי התייחסות נפרדת לנגזרות שונות בתוך‬
‫הארגון‪ ,‬כגון‪ :‬מערך השכר‪ ,‬מערך משאבי אנוש‪,‬‬
‫מערך שרות לקוחות‪ ,‬וכיו"ב‪.‬‬
‫ניקח כדוגמה את תהליך הרכש בארגון – המורכב‬
‫מציוני הדרך המתוארים להלן‪:‬‬
‫בקשה לרכש ==> אישור הבקשה ==> בחירת‬
‫ספק ==> הוצאת הזמנה לספק ==> ניפוק וקליטת‬
‫המוצר ==> ניהול מחסן ==> ניהול ספקים ==>‬
‫הקמת שובר לתשלום ==> הכנת הצעה לתשלום‬
‫==> תשלום לספק‪.‬‬
‫‪10‬‬
‫בסוף יכולים להתקיים ממשקים שונים המזינים‬
‫(קלט) וניזונים (פלט) מתוך התהליך הנ"ל‪,‬‬
‫ותהליכי ביניים המגשרים בין סביבות עבודה‬
‫שונות (כגון‪ :‬העברה ידנית של קובץ שעבר תהליך‬
‫עיבוד במערך הרכש אל המערך הכספי‪ ,‬תיקון‬
‫ידני של חריגים\שגויים הנפלטים בתהליכי עיבוד‬
‫ממוכנים – כמו תשלום לספקים (וכיו"ב)‪.‬‬
‫כללים לעיצוב אבטחת המידע‬
‫מההיבט התהליכי‪:‬‬
‫‪1.1‬אפיון המבנה והאופי הארגוני ומיפוי‬
‫התהליכים ומערכות המידע הקיימים בארגון‬
‫‪2.2‬איתור‪ ,‬זיהוי ומיפוי של הסיכונים וכשלי‬
‫האבטחה במערכות\תהליכים שנסקרו‬
‫בארגון‬
‫‪3.3‬ניתוח הסיכונים והכשלים שאתרו‬
‫במערכות\תהליכים שנסקרו ודירוגם על פי‬
‫רמות "חומרה"‪.‬‬
‫‪4.4‬קביעת סולם תיעדוף לטיפול בכשלים‬
‫שדורגו ועיצוב פתרון תואם בהתייחס‬
‫לממצאים שאותרו‬
‫‪5.5‬הכנת תוכנית עבודה ליישום הפתרון שעוצב‬
‫הכוללת אבני דרך לביצוע ולו"ז ליישום‬
‫בשלבים‬
‫‪6.6‬הטמעת הפתרון בהתאם לאבני הדרך‬
‫שהונחו והלו"ז שנקבע ובקרת ישימות‬
‫ההטמעה‪.‬‬
‫מה המשותף לכל המושגים הללו? בכולם‬
‫משתקפת הגישה הכלל ארגונית וההתייחסות‬
‫החדשה של עולם ה‪ IT-‬למערכי המידע‪ ,‬המציגה‬
‫תפיסה חדשנית של ניהול תהליכים כגורם מרכזי‬
‫בארגון וניתוח צרכים מחשוביים מתוך ראייה‬
‫תהליכית כוללת‪ .‬הגישה החדשה נובעת מתוך‬
‫ההבנה כי מערכות המידע בארגון נועדו לשרת‬
‫את התהליכים הארגוניים שבו ולא להיפך‪ ,‬ולפיכך‬
‫עליהן לתת מענה הולם לצורכי הארגון ויעדיו‬
‫העסקיים‪ ,‬האסטרטגיים והלוגיסטיים‪.‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫במהלך הדרך הנ"ל התהליך יכול לחלוף דרך‬
‫תשתיות מחשוב שונות‪ ,‬סביבות עבודה מגוונות‪,‬‬
‫אפליקציות שלהן אוריינטציות שונות ותשתיות‬
‫תקשורת מרובות המקשרות בין הקצוות השונים‪.‬‬
‫שיערוך משוקלל המבוסס על מיצוב חשיבות‬
‫התהליך בארגון וקריטיות נדבכים שונים בו‬
‫הם המדד אשר לפיו נקבעים "המשקלות" של‬
‫הסיכונים השונים והתעדוף לטיפול‪.‬‬
‫התהליך יכול להתחיל את דרכו במערך הייצור‪,‬‬
‫לעבור דרך מערך הרכש‪ ,‬להמשיך הלאה דרך‬
‫מערך ניהול מצאי המצאי והמחסנים‪ ,‬ולסיים את‬
‫דרכו במערך הכספי וניהול הקופות של הארגון‪.‬‬
‫כיצד מגשרת גישת ה‪IT-‬‬
‫החדשה לנושא אבטחת‬
‫המידע?‬
‫אבטחת המידע – המהווה נדבך חשוב בתוך‬
‫המכלול של עולם ה‪ – IT-‬איננה יכולה להתנתק‬
‫מהמגמה הקיימת לעיצוב מערכי המחשוב‬
‫בהתייחס לניהול התהליכים בארגון‪ ,‬ועליה‬
‫להיערך לקראת השינוי הנדרש בתחום זה‪.‬‬
‫משתמע מכך כי הסיקור‪ ,‬הניתוח וניהול הסיכונים‬
‫במערכי המידע יימצאו חסרים בהיעדר ניתוח‬
‫תהליכי תואם‪ ,‬ולפיכך על "מעצבי" מדיניות‬
‫אבטחת המידע בארגון להבטיח כי תחום זה‬
‫ינוהל בהתבסס על הניתוח הנדרש‪.‬‬
‫סקירת אבטחת המידע מנקודת מבט של‬
‫התהליך השלם פורשת בפני הארגון "תמונה"‬
‫נאמנה למצב האבטחה הקיים במערך הארגוני‪,‬‬
‫וממפה באופן מפורט את כל כשלי האבטחה‬
‫הקיימים במסגרת פסיפס זה‪.‬‬
‫בגישה מההיבט התהליכי ניתן לאתר את מכלול‬
‫סיכוני האבטחה להם הארגון נחשף בהתייחס אל‬
‫האיומים הקיימים על רציפות התהליכים השונים‪,‬‬
‫ולקבוע תעדוף לטיפול בהתאם ל"משקלות"‬
‫הסיכונים‪.‬‬
‫"ראיית" אבטחת המידע מבעד לעיניו של המערך‬
‫הממוכן בלבד פוגמת ברציפות התהליכית‬
‫ובגישת האבטחה הכוללת‪ ,‬ומתייחסת לנושא זה‬
‫כמורכב מ"איים ריבוניים" של אבטחה שביניהם‬
‫קורלציה מועטה‪.‬‬
‫הגישה הנכונה היא לראות את נושא אבטחת‬
‫המידע מבעד לתהליכים ארגוניים רציפים תוך‬
‫כדי חציית פלטפורמות מחשוב שונות‪ ,‬סביבות‬
‫עבודה‪ ,‬מערכות הפעלה‪ ,‬אפליקציות ותשתיות‬
‫תקשורת‪ ,‬ובחינת רמת האבטחה בהילוך יורק‬
‫(‪ )Drill Top Down‬תוך שימת דגש על סיכונים‬
‫וכשלים ברצף התהליכי‪.‬‬
‫כלומר‪ ,‬את נושא אבטחת המידע בארגון יש‬
‫"לתקוף" מההיבט התהליכי‪ ,‬תוך כדי איתור‬
‫ומיפוי הסיכונים והכשלים המאיימים על רציפות‬
‫התהליך ושלמותו‪ ,‬ועיצוב פתרון מודרג בהתאם‬
‫לתיעדוף לטיפול‪.‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪11‬‬
‫האיגוד העולמי לאבטחת מידע‬
‫(‪– )ISSA‬הציאפטר הישראלי‬
‫קורס ‪CISO‬‬
‫האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו‬
‫העיקרית היא קידום נושא אבטחת המידע בישראל‪ ,‬בכל ההיבטים‪.‬‬
‫אודות גיליון ‪Global Security‬‬
‫למה כדאי לחפש מידע במגזין שלנו‬
‫ולא למשל ב‪ Google-‬או כל עיתון אחר?‬
‫חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה‪ ,‬כגון הרצאות‬
‫מקצועיות‪ ,‬ימין עיון‪ ,‬חומרים מקצועיים‪ ,‬ועוד‪ .‬כיום‪ ,‬חברים באיגוד כמה מאות‬
‫מקצועני אבטחת מידע‪ ,‬ואנו שואפים לגייס את כלל קהילת ה‪ IT-‬בישראל‪.‬‬
‫בנוסף‪ ,‬חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של ‪–Global Security‬‬
‫המגזין המוביל בישראל בתחום אבטחת המידע‪.‬‬
‫‪e‬‬
‫‪S e c‬‬
‫‪u r i‬‬
‫‪t y‬‬
‫‪M a g‬‬
‫‪a z i‬‬
‫‪n e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪I n f‬‬
‫‪o r m‬‬
‫‪a t i‬‬
‫‪o n‬‬
‫מגזין א בטחת‬
‫מגזין אב‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‬
‫•מיקוד בתחום אבטחת המידע – המגזין‬
‫עוסק אך ורק בתחום אבטחת המידע‬
‫וניהול סיכונים‪.‬‬
‫‬
‫•יותר כתבות מקצועיות ופחות תדמיתיות‬
‫– רוב המגזינים כיום יותר תדמיתיים‪,‬‬
‫ופחות מקצועיים‪ .‬אנו שומרים על רמה‬
‫מקצועית‪ ,‬וכמות מינימאלית של כתבות‬
‫תדמית‪.‬‬
‫‪n‬‬
‫מידע וניהול‬
‫סיכונים | גיליון מס' ‪4‬‬
‫| אוגוסט ‪2012‬‬
‫| יולי ‪2012‬‬
‫גיליון מס' ‪3‬‬
‫יהול סי כונים |‬
‫‪I‬‬
‫‬
‫•השוואתיות – מאפשר השוואה פשוטה‬
‫ואובייקטיבית בין הספקים והפתרונות‪.‬‬
‫‬
‫•היקף מידע – תמונה רחבה יותר‪ ,‬ולא רק‬
‫התמקדות בנושאים ספציפיים‪.‬‬
‫‪Identity M‬‬
‫‪anagemen‬‬
‫‪t‬‬
‫‬
‫נתי של האיגוד‬
‫קור הכנס הש‬
‫סי‬
‫בעולם הסייבר‬
‫מגמות‬
‫ערכות ‪SIEM‬‬
‫מ‬
‫ערכות ‪IPS‬‬
‫מ‬
‫זהירות בוטנט‬
‫•תשלום סמלי – מדובר בעלות סמלית‪,‬‬
‫והנכם מנויים למגזין אבטחת המידע‬
‫המוביל בישראל‬
‫‬
‫•מקצועני אבטחת מידע – כל הכותבים‬
‫שלנו עוסקים בתחום אבטחת המידע‬
‫למעלה מ‪ 7-‬שנים‪ ,‬והם בכירים בתחום‪,‬‬
‫ברמה העולמית‪.‬‬
‫טחת מידע ונ‬
‫בשער‬
‫מלחמת‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫סייבר‬
‫האיום‬
‫החדש בעידן הסייבר‬
‫מתקפות ‪APT‬‬
‫הגנה על מערכות‬
‫‪SCADA‬‬
‫אחת לרבעון – מוסף מיוחד‬
‫מה הערך המוסף שלנו?‬
‫בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם‬
‫לכמה ספקים בהתאם להוצאת ‪ RFI/RFP‬מהחברה‪ .‬אנו מרכזים עבורכם את כל‬
‫המידע המקצועי המקיף ביותר‪ ,‬ובר השוואה אודות הפתרונות אבטחת המידע השונים‪,‬‬
‫באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי‪:‬‬
‫‪ .1‬סקירה טכנולוגית רחבה אודות הפתרון‬
‫שמחפשים‬
‫‪ .2‬סקירת הפתרונות בתחום הספציפי‪.‬‬
‫‪ .3‬מי הם הספקים המובילים בתחום?‬
‫‪ .5‬פרטי החברה של היצרן‪/‬ספק‪/‬האינטרגטור‪:‬‬
‫שם‪ ,‬מספר עובדים‪ ,‬שנת הקמה‪ ,‬יתרונות‬
‫וחסרונות‪ ,‬סוגי פעילות בחברה‪ ,‬נושאים \תחומי‬
‫פעילות והתמחות‪ ,‬קישורים‪ ,‬מידע טכנולוגי‪,‬‬
‫איש קשר‪ ,‬חוסן כלכלי‪ ,‬לקוחות בארץ‪ ,‬לקוחות‬
‫בחו"ל‪ ,‬תוכניות הרחבה למוצר‪ ,‬מספר התקנות‬
‫‪12‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫תלמד • תוביל • תצליח!‬
‫בארץ‬
‫‪ .6‬מה הערך המוסף של כל ספק בתחום‬
‫הפתרון המוצע?‬
‫‪ .7‬כיצד מנהלים את הפרויקט?‬
‫‪ .8‬מהם נקודות כשל בפרויקט שמהם צריכים‬
‫להיזהר?‬
‫‪ .9‬מה צריכים לדרוש מהספקים בעת יציאה‬
‫למכרז?‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום‪ ,‬יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את הנושאים השונים‬
‫תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי‬
‫העדיפות של הנושא (בהתאם לחומרת העניין ותהליך‬
‫ניהול סיכונים מובנה)‪ ,‬וכמובן נצייד את התלמידים‬
‫בכל הכלים‪ ,‬הן בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪,‬‬
‫שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו‪.‬‬
‫הקורס חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן‬
‫בפן הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה‬
‫לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה‬
‫שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם‬
‫אבטחת המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫שיטת הלימוד‬
‫•הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומם בארגון‬
‫•הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫•הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫למידע‪ ,‬ייעוץ והרשמה‬
‫ניתן לפנות לטלפון ‪077-5150340‬‬
‫דוא"ל ‪[email protected] :‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪13‬‬
‫לפרוץ‬
‫קל מאד‬
‫לסמארטפון‬
‫חולשות עבור מוצרים שונים (כגון טלפונים חכמים)‬
‫ועד שלא קיים טלאי אבטחה רשמי – החולשה‬
‫הקיימת נקראת ‪ zero-day‬מכיוון שאין אפשרות‬
‫להתגונן מפניה‪ .‬לעיתים קרובות‪ ,‬החולשות הללו‬
‫יכולות לאפשר להאקרים להשתלט על המכשיר‪.‬‬
‫במידה וגוף כלשהו מעוניין לתקוף אותך וברשותו‬
‫חולשה מסוג זה‪ ,‬אתה ב‪.Game over-‬‬
‫מהם האיומים על‬
‫טלפונים חכמים?‬
‫התקפות על טלפונים חכמים שונות מעט בגישה‬
‫שלהן מתקיפות על מחשבים ולכן יש להתמודד‬
‫אתן בדרכים שונות‪ .‬לדוגמה‪ ,‬מחשבים אישיים‬
‫סובלים מנקודות תורפה בצד של הלקוח ובצד‬
‫של השרת ומתקיפות מבוססות רשת‪.‬‬
‫וקטורי התקיפה בטלפונים ניידים דומים‪ ,‬אך קיימות‬
‫נקודות תורפה נוספות הקשורות לתכונות כמו‬
‫בלוטות'‪ ,‬מסרים מיידים ואפילו ברמת התחקות‬
‫אחר המפעיל הסלולרי‪ .‬ההתקנים הניידים‬
‫גם רגישים יותר לאיומים ומניפולציות ברשת‬
‫האלחוטית‪ .‬נכון להיום‪ ,‬נקודות התורפה בצד‬
‫הלקוח וכאלה הקשורות להורדות של יישומים‬
‫מהוות איום הרבה יותר משמעותי על הטלפונים‬
‫החכמים מאשר נקודות התורפה בצד השרת‪.‬‬
‫עם מליוני סמארטפונים הנמכרים מידי שנה בעולם‪ ,‬הופך הטלפון החכם‬
‫להיות מוצר צריכה שכיח‪ .‬אך האם כל מי שמחזיק בידו אייפון או גלקסי‬
‫מודע לסכנות האורבות לו? האקר ישראלי בשם 'צוק' חושב שהגיע הזמן‬
‫לשים את הדברים על השולחן‬
‫חיינו היום תלויים בטלפון נייד שנמצא בכל‬
‫מקום‪ .‬אצל חלקנו מצטרף לתמונה גם‬
‫מחשב הטאבלט‪ .‬אנחנו נושאים אותם עמנו‬
‫לכל מקום וחשים אבודים בלעדיהם‪ ,‬אך‬
‫רובינו נהנים מהאושר הטמון בכך ואיננו מודעים‬
‫לרמת הסיכון הגבוהה והאיום שההתקנים הללו‬
‫מהווים על הפרטיות‪ ,‬הנתונים והביטחון הכללי‬
‫שלנו‪ .‬כאשר מדובר בארגונים‪ ,‬הסיכונים אף גבוהים‬
‫יותר כיוון שהאקרים יכולים לפגוע בארגון באמצעות‬
‫שיבוש השירותים שהוא מספק או באמצעות גישה‬
‫לנתונים רגישים‪.‬‬
‫כדי להבין לעומק את הסכנות הטמונות בשימוש‬
‫בהתקנים ניידים‪ ,‬שוחחתי עם יצחק אברהם ("צוק")‪,‬‬
‫מייסד חברת זימפריום מתל אביב‪ .‬חברת הסטארט‪-‬אפ‬
‫ייחודית המתמקדת בפיתוח פתרונות אבטחה מקיפים‬
‫עבור התקנים ניידים‪ .‬כהאקר מפורסם בעצמו‪ ,‬מצליח צוק‬
‫"להיכנס לראש" של האקרים פוטנציאליים‪ .‬הרקורד שלו כולל‬
‫פרסום מחקר על בעיות אבטחת מידע בטלפונים חכמים וניצול‬
‫החולשות הקיימות במכשירים מבוססי מעבדים של ‪ ,ARM‬הופעה‬
‫בכנסים יוקרתיים בעולם כמו ‪ Black hat‬ו‪ DEFCON -‬ויש לו שפע של‬
‫ניסיון מעשי במציאת נקודות תורפה של טלפונים חכמים‪ .‬עם צוות‬
‫‪14‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫ראשוני ומצומצם‪ ,‬פיתחה זימפריום את האמצעי‬
‫הראשון למניעת חדירה להתקנים ניידים (‪Mobile‬‬
‫‪ )IPS‬הכולל תכונות של זיהוי ומניעת איומי תקיפה‬
‫מסוג ‪ 0-Day‬ברמות הגבוהות ביותר‪.‬‬
‫הפתרון מתוכנן לספק הגנה מפני מתקפות סייבר‬
‫ממוקדות‪ ,‬תולעים וריגול מקוון ומיועד לארגונים‪,‬‬
‫גופים ממשלתיים וחברות סלולאר‪ .‬לאחרונה‬
‫הצטרף להנהלת החברה חוקר האבטחה וההאקר‬
‫הבין‪-‬לאומי קווין מיטניק‪ ,‬שם מוערך מאוד בקהילת‬
‫אבטחת המידע הבינלאומית‪.‬‬
‫האם הטלפון החכם שלי‬
‫נמצא בסיכון היום?‬
‫האם חדירה לטלפון‬
‫החכם אטרקטיבית יותר‬
‫בתחום הריגול המקוון?‬
‫המודעות לריגול מקוון הולכת וגדלה עם הגילויים‬
‫החדשים של תוכנות זדוניות כדוגמת‪Stuxnet‬‬
‫ו‪ Flame -‬ועם הגילוי של תקיפות כדוגמת‬
‫"מתקפת ‪( "Aurora‬על גוגל)‪ .‬יחד עם זאת‪ ,‬החדירה‬
‫למחשבים אישיים נהייתה קשה יותר עם הזמן‬
‫ועם ריבוי הגרסאות של מערכות ההפעלה ולכן‪,‬‬
‫התוקפים מחפשים נקודות כניסה נוספות אל‬
‫הארגון‪.‬‬
‫הטלפון החכם עם תכונות כמו גישת ‪ VPN‬הוא יעד‬
‫תקיפה נפלא וישנן תקיפות אקטיביות היום כנגד‬
‫טלפונים חכמים‪ .‬החדירה לטלפונים חכמים נהייתה‬
‫שכיחה ואני סבור שזו רק שאלה של זמן עד שנראה‬
‫מתקפה כמו ‪ Aurora‬גם על טלפונים חכמים‪.‬‬
‫בהחלט‪ .‬העניין הוא שמרבית האנשים ואפילו‬
‫הארגונים עדיין אינם מבינים לאשורן את הסכנות‪.‬‬
‫על כן‪ ,‬אחת המטרות המרכזיות שלנו היא להעלות‬
‫את המודעות לגבי אבטחת התקנים ניידים‪.‬‬
‫קח למשל סוג מתקפה מסוג ‪ ,Zero-Day‬כמה‬
‫משתמשים מכירים אותה?‬
‫כיצד משתמשים‬
‫בהתקפות ממוקדות‬
‫בריגול המקוון?‬
‫זו מתקפה המנצלת חולשה או איום קיים עבור‬
‫מוצר ועדיין לא ידועה ברבים‪ .‬לעיתים מתפרסמות‬
‫מרבית התוקפים בוחרים בתקיפת הצד של הלקוח‪.‬‬
‫תוקפים מתוחכמים עם תקציבים שמנים יותר‬
‫ועם יותר ידע‪ ,‬מסוגלים לזייף את תחנת הבסיס‬
‫של המפעיל (למשל‪ :‬אורנג'‪/‬סלקום) באמצעות‬
‫ציוד זמין ומשבשי תדרים‪ .‬וכאשר זה קורה‪ ,‬אין‬
‫למשתמש שום דרך להגן על עצמו‪ .‬לפרוץ היום‬
‫לטלפון נייד זה כנראה אחד הדברים היותר פשוטים‬
‫לביצוע כיום‪.‬‬
‫האם תולעים מסוכנות‬
‫יותר בטלפונים‬
‫הסלולריים?‬
‫כן‪ ,‬בגלל טבעם של ההתקנים הניידים‪ .‬הם נוסעים‬
‫ממקום למקום בכל זמן ומאפשרים להתקן ה"נגוע"‬
‫להדביק התקנים אחרים בקלות‪ ,‬פשוט על‪-‬ידי‬
‫"התעלקות" על המיקום שלהם‪ .‬תוקף יכול לתכנת‬
‫תולעת להתפשט באמצעות כמה וכמה וקטורי‬
‫תקשורת של הטלפון החכם‪ .‬הנה כמה תרחישים‬
‫אפשריים‪ :‬תולעת יכולה לפתוח נקודת גישה‬
‫אלחוטית ולהדביק כל אחד שמתחבר לאותה נקודת‬
‫גישה תוך ניצול נקודת התורפה בצד הלקוח‪ .‬התוקף‬
‫יכול גם להשתמש במספרי הקשר השמורים בטלפון‪,‬‬
‫בכתובות דואר אלקטרוני וברשתות חברתיות כדי‬
‫ליצור אינטראקציה עם החברים של המנוי בשמו‪.‬‬
‫פעולה שעלולה לחשוף את המנוי לנקודת תורפה‬
‫בצד הלקוח או להנדסה חברתית והורדת יישום זדוני‪.‬‬
‫תולעת יכולה גם לחפש באופן אקטיבי רשתות‬
‫פתוחות‪ ,‬להתחבר לרשתות כאלה ולתקוף כל התקן‬
‫שמחובר אליהן‪ .‬בשילוב עם העובדה שטלפונים‬
‫חכמים הם ניידים והולכים לכל מקום‪ ,‬התוצאות‬
‫עלולות להיות הרות אסון‪ .‬שילוב של כל שלושת‬
‫הוקטורים המתוארים לעיל יכול ללא ספק להיות‬
‫"האמא של כל התולעים" – התולעת בעלת שיעור‬
‫ההתפשטות המהיר ביותר שנוצרה אי פעם‪.‬‬
‫מהם הסיכונים בטלפון‬
‫פרוץ?‬
‫התקנים פרוצים חושפים את הארגון לכמה וכמה‬
‫סיכונים‪ .‬אלה כוללים אובדן של נתוני לקוחות‪,‬‬
‫שיבוש השירות‪ ,‬גניבה של קניין רוחני‪ ,‬סודות‬
‫מסחריים ושל מידע עסקי רגיש‪ .‬לרבות תוכניות‬
‫אסטרטגיות ונתוני תמחור‪ .‬כל זה יכול כמובן‬
‫להזיק למוניטין של המותג וייתכן אפילו ריגול‬
‫עסקי באמצעות המיקרופון והמצלמה של הטלפון‬
‫החכם‪ .‬עבור משתמשים פרטיים הסיכונים שונים‪.‬‬
‫בדרך כלל הם כוללים אובדן של חשבונות מדיה‬
‫חברתית או כתובות דואר אלקטרוני‪ ,‬אובדן של‬
‫תמונות ונתונים אחרים‪.‬‬
‫בנוסף‪ ,‬המצלמה של הטלפון עלולה להידלק וטלפון‬
‫יכול לשמש כחלק מ"צבא" של רשתות ּבֹוטנט‪.‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪15‬‬
‫‪Press Release‬‬
‫האם ה‪ iOS-‬של אפל‬
‫בטוחה יותר מאנדרואיד?‬
‫לא‪ .‬מה שיש לאפל הוא רק שוק יישומים בטוח יותר‬
‫שנבדק יותר בקפידה‪ .‬במונחים של אבטחת מידע‪,‬‬
‫שתי הפלטפורמות זקוקות לשיפורים משמעותיים‪.‬‬
‫פריצה ל‪iOS-‬הוכחה כאפשרית עם שלושה סוגים‬
‫של פריצות להתקנים (‪ )jailbreaks‬עם קוד מרחוק‪.‬‬
‫אחד הסוגים הללו אפילו איפשר הרצת קוד‬
‫קרנל מרחוק – הפגיעה החמורה ביותר שקיימת‬
‫במתקפות צד לקוח‪ .‬כל פריצת ‪ jailbreak‬מנצלת‬
‫כמה נקודות תורפה והזמן שנדרש כדי לתקן את‬
‫נקודות התורפה הללו עם טלאים אינו קצר במיוחד‪.‬‬
‫לכן‪ ,‬אני אומר שאייפונים ואייפדים אינם בטוחים‬
‫יותר מהתקני אנדרואיד‪.‬‬
‫אם כך‪ ,‬האם אנדרואיד‬
‫בטוח יותר מ‪?iOS-‬‬
‫תצורות מסוימות יכולות להיות בטוחות יותר‪,‬‬
‫אך נכון להיום התשובה היא לא‪ .‬שתי מערכות‬
‫ההפעלה פגיעות באותה מידה‪.‬‬
‫וקטורים נוספים כמו מתקפות מבוססות תחנת‬
‫בסיס אינם תחום ההתמקדות עבור מרבית‬
‫המוצרים‪ .‬תוקף ששואף להתקין את התוכנה‬
‫הזדונית שלו על כמה שיותר התקנים‪ ,‬ינסה לייצר‬
‫יישום מתוך תקווה שאנשי רבים יורידו אותו בצורה‬
‫כזו שתגרום להתפשטות האיום‪ .‬אני משתדל שלא‬
‫להתקין יישומים שלא קיבלו בסיס משתמשים‬
‫נרחב וזה מנמיך את הסיכויים להדבקת הטלפון‬
‫שלי‪ .‬אך מה שמפחיד יותר היא התפשטות האיומים‬
‫של תולעים‪.‬‬
‫ישנם איומים נוספים שהפתרונות הקיימים אינם‬
‫מכסים‪ .‬אני בספק אם ‪( APT‬מתקפת סייבר‬
‫ממוקדת) תחכה שמישהו יוריד את היישום שלהם‬
‫– במיוחד כאשר לארגונים היום יש פתרונות ‪MDM‬‬
‫עם "רשימה שחורה‪/‬רשימה לבנה" לאפליקציות‬
‫מורשות‪ .‬סביר יותר להניח שהתוקפים יבחרו‬
‫להשתמש בשיטות אחרות ולתקוף דרכי כניסה‬
‫אחרות כגון הודעות טקסט‪ ,‬תקיפות מבוססות רשת‬
‫ואפילו ניצול של נקודות תורפה בצד של הלקוח‪.‬‬
‫בעיות שלא מקבלות ייחוס בפתרונות האבטחה‬
‫הקיימים – אך דרגת הסכנה שלהם גבוהה בהרבה‪.‬‬
‫מה זה בדיוק ‪?jailbreak‬‬
‫‪jailbreak‬הוא השם שהעניקו פורצי ה‪iOS-‬ליכולת‬
‫לפרוץ התקן ולשנות את תכונותיו‪ .‬כדי לבצע‬
‫משימות כאלה עליהם למצוא נקודת תורפה או‬
‫שרשרת של נקודות תורפה שיאפשרו להם לבצע‬
‫קוד ברמת הקרנל בהתקן ולפרוץ ולשחרר אותו‬
‫ממגבלות מערכת ההפעלה‪ .‬באופן עקרוני‪ ,‬כל‬
‫‪ jailbreak‬היא נקודת תורפה קריטית באבטחה של‬
‫הטלפון‪ .‬את אותן נקודות תורפה יוכלו התוקפים‬
‫לנצל ולהשתמש בהן כדי להתקין סוס טרויאני על‬
‫ההתקן או לפרוץ אותו מרחוק‪.‬‬
‫שלושה סוגי פריצות מבוססות רשת מוכרים‬
‫היום לרבים ומאפשרים להאקרים לפרוץ מרחוק‬
‫להתקני ה‪iOS-‬הלא מעודכנים בקלות‪ ,‬כאשר‬
‫נכנסים לאתר רשת זדוני‪.‬‬
‫אילו פתרונות קיימים‬
‫היום כדי לספק אבטחת‬
‫התקנים ניידים ולסכל‬
‫מתקפות זדוניות?‬
‫השכיחים ביותר היום הם הפתרונות ברמת‬
‫היישום ותוכנות ‪ – MDM‬תוכנות לניהול התקנים‬
‫ניידים‪ .‬פתרונות ברמת היישום כדוגמת תוכנות‬
‫אנטי וירוס‪ ,‬מגנות מפני תוכנות זדוניות ברמת‬
‫האפליקציה‪ .‬כלומר‪ ,‬אם מורידים משחק מזויף‬
‫עם כוונות זדוניות‪ ,‬תוכנית אנטי וירוס תוכל‬
‫לאתר זאת ולמנוע מהיישום לפעול‪ .‬הגנה כזו‬
‫הופכת את ההתקן לבטוח יותר אך אנו מדברים‬
‫על הגנה רק מפני וקטור תקיפה אפשרי אחד‪.‬‬
‫‪16‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫האם מערכת ה‪MDM-‬‬
‫מספקת פתרונות אבטחה‬
‫מפני תקיפות ממוקדות או‬
‫איומים שכיחים?‬
‫מערכת ‪ MDM‬היא קונסולה לניהול התקנים‬
‫ניידים המאפשרת לנהל את ההתקנים הניידים‬
‫של הארגון‪ .‬מוצרי ‪ MDM‬קיימים מאפשרים מגוון‬
‫רחב של פתרונות עבור ניהול הטלפונים בארגון‪,‬‬
‫כגון‪ :‬מחיקה מרוחקת של מידע במידה והמכשיר‬
‫אבד‪ ,‬איתור מרוחק של המכשיר הנייד וגישת ‪VPN‬‬
‫לארגון‪ .‬קיימים מוצרי ‪ MDM‬שמספקים אבטחה‬
‫מפני סוגים מוגבלים של תקיפות‪ ,‬אך זהו לא פתרון‬
‫אבטחה‪.‬‬
‫תקיפות ממוקדות יכולות לעקוף בקלות את‬
‫ה"ההגבלות" שמציבה ‪ .MDM‬בנוסף‪ ,‬יש לזכור‬
‫כי המטרה המקורית של ה‪ MDM-‬היא לנהל את‬
‫ההתקנים‪ ,‬לא לספק הגנה על המכשירים הניידים‪.‬‬
‫לכן‪ ,‬התשובה לשאלה היא לא‪ .‬במידה מסוימת‬
‫עלולה מערכת ה‪ MDM-‬אף להזיק לאבטחת‬
‫הארגון כיוון שהיא מעודדת הוספה של פתרונות‬
‫‪ VPN‬על אף שההתקן עדיין חשוף לליקויי אבטחה‬
‫קריטיים ביותר‪ .‬זה פותח פתח לתוקפים להסתנן‬
‫להתקנים ולמחשבים של עובדים מתוך טלפון חכם‬
‫פרוץ ומשמעות הדבר שהתוקפים יצליחו ליהנות‬
‫מגישה אל הרשת הארגונית הפנימית של הארגון‪.‬‬
‫פלייטק הוסמכה‬
‫לתקן ‪ ISO 27001‬בינלאומי‬
‫לאבטחת מידע‬
‫האם אפשר להימנע מכניסה‬
‫לאתרי אינטרנט זדוניים?‬
‫כאן בדיוק שורש הבעיה‪ .‬לאחרונה פרסמה‬
‫מיקרוסופט אזהרה לגבי חורי אבטחה מסוג "יום‬
‫אפס" (‪ )zero-day – CVE-2012-1889‬שאומרת‬
‫כך‪" :‬הפרצה יכולה לאפשר ביצוע קוד מרחוק אם‬
‫משתמש צפה באתר אינטרנט שהוקם במיוחד‬
‫לשם כך ועשה זאת עם אינטרנט אקספלורר‪.‬‬
‫לתוקף לא תהיה דרך לאלץ משתמשים לבקר‬
‫באתר אינטרנט כזה‪ .‬יחד עם זאת‪ ,‬התוקף מנסה‬
‫לשכנע את המשתמשים לבקר באתר הנגוע‪ ,‬בדרך‬
‫כלל על‪-‬ידי כך שהוא גורם להם ללחוץ על קישור‬
‫המשובץ בתוך הודעת דואר אלקטרוני או הודעת‬
‫טקסט‪ .‬הקישור לוקח אותם בעל כורחם אל אתר‬
‫האינטרנט של התוקף"‪.‬‬
‫ובכן‪ ,‬חוקרי אבטחה יודעים שזה לא מדויק‪ .‬תוקף‬
‫שנמצא על אותה רשת ‪ LAN‬של המשתמש‪ ,‬יכול‬
‫בקלות לשנות את התעבורה ברשת כדי לכוון‬
‫מחדש את התנועה באמצעות הכנסת סקריפט‬
‫לתוך הדפדפן שלו‪ .‬כך שאפילו אם המשתמש ינסה‬
‫להיכנס למשל ל‪ ,yahoo.com-‬הדפדפן יראה לו את‬
‫אותו ‪ URL‬בשעה שלמעשה הוא מריץ את הקוד של‬
‫התוקף‪ .‬הטכניקה הזאת יכולה לשמש כדי לפרוץ‬
‫למחשב או לטלפון‪ .‬כאשר צוות פריצת‪iOS‬מגלה‬
‫שלוש פרצות לביצוע קוד מרחוק‪ ,‬פירוש הדבר‬
‫ששלוש פעמים מישהו אולי השתמש בפרצות הללו‬
‫כדי לפרוץ מרחוק לטלפון‪ ,‬פשוט על‪-‬ידי כך שאילץ‬
‫את המשתמש להיכנס לאתר אינטרנט המכיל את‬
‫הפרצה או נקודת התורפה הזו‪ .‬ניצול פרצות מרחוק‬
‫עבור אנדרואיד או‪iOS‬אינו תופעה נדירה במיוחד‪.‬‬
‫אילו בעיות שכיחות‬
‫נוספות קיימות עם‬
‫הטלפונים החכמים?‬
‫בעיה שכיחה היא מחזור חייו של ה"טלאי"‪ .‬אדבר‬
‫על שתי מערכות הפעלה עיקריות‪iOS :‬ואנדרואיד‪.‬‬
‫ב‪ ,iOS-‬העדכון המיועד לפרצות ‪ jailbreak‬חדשות‬
‫לא התייחס לכולן‪ .‬כתוצאה מכך הפורצים עדיין‬
‫מסוגלים להשתמש באותן פקודות כדי ליהנות‬
‫מאותה גישה להרצת הקוד שלהם בהרשאות‬
‫גבוהות‪ .‬הפורצים הבאים כבר לא ישתמשו ביישום‬
‫כדי לפרוץ להתקן‪.‬‬
‫יחד עם זאת‪ ,‬סביר להניח שהם יריצו התקפה‬
‫באמצעות הדואר האלקטרוני‪ ,‬הרשת או אפילו‬
‫תחנת בסיס מזויפת של המפעילה הסלולרית‪.‬‬
‫פירוש הדבר שחשוב לטפל בבעיה בכללותה‪ ,‬על‬
‫כל היבטיה‪ .‬אנדרואיד סובלת מבעיות של ריבוי‬
‫יצרנים ושל טלאים עם מחזור חיים ארוך‪ ,‬רק עכשיו‬
‫פורסם שכ‪ 93%-‬מהמכשירים עדיין מריצים את‬
‫הגרסאות ‪ 2.3‬ומטה‪ ,‬מערכת הפעלה המעודכנת‬
‫נכון לשנת ‪ 2010‬בלבד‪ .‬עדכוני אבטחה מתוקנים‬
‫על ספרייה ראשית‪ ,‬אך לוקח כשנה‪-‬שנתיים עד‬
‫שהם מגיעים לטלפון ועד אז המשתמשים נותרים‬
‫חשופים‪.‬‬
‫חברת פלייטק הוסמכה לתקן אבטחת מידע ‪ ISO 27001‬בינלאומי בזמן שיא‪ ,‬בזכות‬
‫המקצועיות של הצוות המוביל בארגון בראשות המנמ"ר מר יוחנן זומרפלד‪ ,‬וצוות‬
‫אבטחת המידע בראשותו של מנהל אבטחת המידע בארגון‪ ,‬מר קובי לכנר‪.‬‬
‫תהליך ההסמכה לתקן נמשך כשלושה חודשים‬
‫בלבד‪ ,‬והחל בקיום תהליך של מיפוי הדרישות‬
‫העסקיות‪ ,‬הגדרת התכולה‪ ,‬ביצוע הערכת סיכונים‬
‫והטמעת מתודולוגיה לניהול סיכונים בארגון‪.‬‬
‫בנוסף‪ ,‬הוכנה לארגון מערכת לניהול אבטחת‬
‫מידע (מנא"מ) הכוללת את כל המסמכים הנדרשים‬
‫לעמידה בדרישות התקן‪.‬‬
‫החברה קיבלה הסמכה על כלל תהליך הפיתוח הן‬
‫בסניף הישראלי והן בסניפים בחו"ל‪.‬‬
‫מי שהוביל את הפרויקט מטעם החברה‪ ,‬הינו‬
‫מנהל אבטחת המידע בארגון‪ ,‬מר קובי לכנר‪,‬‬
‫שקיבל תמיכה מלאה מהנהלת הארגון‪ .‬לטובת‬
‫סיוע מקצועי בתהליך נבחרו שתי חברות‬
‫מובילות בתחומן חברת סיטאדל ייעוץ וחברת‬
‫טיטנססקיוריטי‪ .‬ההסמכה בוצע ע"י מר אבי רושט–‬
‫סוקר מוביל ממכון התקנים‪.‬‬
‫הטמעת התקן בארגון כלל בין היתר הגדרת ושיפור‬
‫תהליכים בנושא אבטחת המידע ושילוב תהליכי‬
‫ניהול סיכונים ברמה הכלל ארגונית‪.‬‬
‫דני אברמוביץ‪ ,‬מנכ"ל חברת טיטנססקיוריטי‪,‬‬
‫"למרות היותי בתחום למעלה מ‪ 15-‬שנה‪ ,‬טרם‬
‫ראיתי ארגון בו קיימת רמה מקצועית גבוהה כמו‬
‫זו שקיימת בחברת פלייטק‪ ,‬וזה בזכות הצוות‬
‫המקצועי שקיים בארגון‪ ,‬ובראשם מר יוחנן‬
‫זומרפלד(המנמ"ר) ומר קובי לכנר (מנהל אבטחת‬
‫המידע)‪ .‬החברה האלה עשו עבודה מצויינת‪,‬‬
‫ובזכותם‪ ,‬סיימנו את הפרויקט בזמן שיא‪.‬‬
‫מוטי קארו‪ ,‬מנכ"ל חברת הייעוץ סיטאדל‪ ",‬לא‬
‫בכדי ארגונים רבים מכוונים את עצמם לעמידה‬
‫בסטנדרטים בינלאומיים בנושא אבטחת מידע‪,‬‬
‫מהלך שכזה לא רק שיוצר הליך סדור של‬
‫ניהול אבטחת המידע בארגון אלא ולפני הכול‬
‫יוצר מחויבות של הארגון לנושא הכל כך אקוטי‬
‫הנקרא "אבטחת מידע"‪ .‬בחברת פלייטק זיהינו‬
‫כבר בשלבים הראשונים של הפרויקט את הרמה‬
‫המקצועית והמהירות שבה הנהלת הארגון והצוות‬
‫המקצועי הפגינו‪ .‬כמי שמסתובב בקרב עשרות‬
‫רבות שללקוחות בכל שנה אני חייב לציין לטובה‬
‫את הרמה המקצועית של הצוות וכן את התמיכה‬
‫הרבה מצד הנהלת הארגון‪ .‬כל אלו‪ ,‬סייעו לנו לקדם‬
‫את הפרויקט בצורה חלקה ומהירה"‪.‬‬
‫יוחנן זומרפלד‪ ,‬מנמ"רפלייטק " לפני הכניסה‬
‫לפרויקט‪ ,‬היה חשוב לנו לבחור חברת ייעוץ אשר‬
‫תתאים לדינמיקה ולצורת החשיבה של הארגון‬
‫שלנו‪ ,‬שהוא יוצא דופן מארגונים רבים‪ ,‬על כל‬
‫המשתמע מכך‪ .‬הצוות המקצועי שאני מנהל הינו‬
‫ברמה גבוהה ביותר‪ ,‬ולכן היה מאוד חשובלבחור‬
‫חברה שתוכל לעמוד בקצב שלנו‪ .‬הבחירה‬
‫בסיטאדל ובטיטאנס הוכיחה את עצמה‪ ,‬הדבר‬
‫בא לידי ביטוי במהירות וביעילות של החברות‬
‫ללוות בצורה חלקה את הפרויקט‪ ,‬מתחילתו ועד‬
‫סופו‪ .‬חברת פלייטק הינה ידועה ברמת השקעתה‬
‫מבחינת עמידה בסטנדרטים המחמירים ביותר‬
‫בעולם‪ ,‬וכחברה מובילה בתחום‪ ,‬העמידה לעצמה‬
‫יעדים ומתכוונת להשיגם במלואם‪.‬‬
‫קובי לכנר‪ ,‬מנהל אבטחת המידע בפלייטק‪,‬‬
‫"נכנסנו לתהליך ההסמכה לתקן בעקבות דרישות‬
‫לקוחות רבים בעולם‪ ,‬והזמן היה מרכיב חשוב לא‬
‫פחות מרמת הביצוע‪ .‬אני חייב לציין שאני מרוצה‬
‫מאוד מהבחירה שעשינו בבחירת חברות הייעוץ‬
‫(סיטאדל וטיטנססקיוריטי) לצורך ליווי הפרויקט‪,‬‬
‫והמקצועיות והאחריות האישית של מר מוטי קארו‬
‫(סיטאדל) ומר דני אברמוביץ (טיטנססקיוריטי) בא‬
‫לידי ביטוי בסיום מהיר של הפרויקט והעברה חלקה‬
‫של תהליך ההתעדה מול מכון התקנים‪.‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪17‬‬
‫סייבר ממוקדות‬
‫תקיפות‬
‫מרבית הארגונים עיוורים‬
‫מיכאל מומצ'וגלו‪ CTO ,‬בחברת ‪ Light Cyber‬אשר מתמחה בזיהוי ועצירה של התקפות סייבר ממוקדות ברשת הארגונית‪.‬‬
‫פתרונות מבוססי חוקים כגון ‪ SIEM‬ו‪Forensics -‬‬
‫מצריכים את המשתמש להגדיר מראש מה‬
‫הוא מחפש‪ .‬אם שמענו לדוגמא שארגון מסוים‬
‫הותקף במאפיינים בפרופיל מסויים‪ ,‬נוכל להגדיר‬
‫את הפרופיל בפתרון ה‪ SIEM -‬שלנו ולראות אם‬
‫הפרופיל המסויים הזה מופיע גם אצלנו‪ .‬הפרדוקס‬
‫הוא שאנחנו צריכים לדעת מה אנחנו מחפשים כדי‬
‫למצוא אותו!‬
‫הפתרונות המתוארים למעלה יעצרו כנראה ‪99.9%‬‬
‫מהמתקפות אולם לא יעצרו את התוקף הממוקד‬
‫ההתקפות שבוצעו בשנתיים האחרונות על‬
‫מדינות וארגונים בעולם מצביעים על קפיצת‬
‫מדרגה בתחכום ובפוטנציאל הנזק המשמעותי‬
‫של תקיפות סייבר ממוקדות‪ .‬אם בוחנים את‬
‫ההתקפות הממוקדות כדוגמת אלו שבוצעו על‬
‫‪ RSA, Lockheed Martin‬ו‪Aramco -‬אנו רואים קווי‬
‫דמיון משותפים‪ :‬התקפה שתוכננה בקפדנות‬
‫ובוצעה לאורך זמן רב‪ ,‬שבועות‪ ,‬חודשים וייתכן‬
‫שאף יותר מכך‪ ,‬נזק משמעותי ביותר שנגרם ולא‬
‫פחות חמור הוא שההתקפה נתגלתה רק לאחר‬
‫שהנזק האמיתי נגרם‪.‬‬
‫תפיסת ההגנה של ארגונים מורכבת משני שכבות‬
‫עיקריות‪:‬‬
‫ •שכבת ה‪ Perimeter -‬בכניסות לרשת‬
‫הארגונית‪ :‬בשכבה זו ממקמים פתרונות‬
‫‪ Gateway‬כגון ‪Firewall , IDS / IPS , Anti -‬‬
‫‪.Malware, Anti-Spam‬‬
‫ •שכבת תחנת הקצה‪ :‬בשכבה זו מתקינים‬
‫פתרונות שונים של ‪Anti-Virus/Endpoint‬‬
‫‪ security‬על תחנות הקצה‪.‬‬
‫ארגונים גדולים יותר מיישמים תהליכים נוספים‬
‫על ידי שימוש בפתרונותשאינם מגנים על הארגון‬
‫באופן ישיר אך מאפשרים לנהל ‪SOC–Security‬‬
‫‪OperationsCenter‬וצוותי ‪:Incident Response‬‬
‫ששם לו למטרה לחדור לרשת ארגונית מסוימת‬
‫ללא קשר למשאבים שיידרשו‪ ,‬כספיים או זמן‪.‬‬
‫התוקף הממוקד ימשיך לנסות פעם אחר פעם‬
‫וישכלל את כלי החדירה והאמצעים עד שיגיע‬
‫לרשת הפנימית‪.‬‬
‫מה השתנה בשנתיים‬
‫האחרונות שמניע את גל‬
‫המתקפות הממוקדות?‬
‫•העובדה שזה משתלם‪.‬התוקפים מונעים משני‬
‫גורמים עיקריים‪ :‬השגת מידע רגיש לצורך‬
‫סחר ביתרון כלכלי תחרותי או סחר במידע‬
‫פיננסי רגיש‪ .‬מטרות משנה כוללות אג'נדה‬
‫פוליטית או חברתית‪ .‬תקיפת סייבר היא לרוב‬
‫הדרך הזולה והפחות מסוכנת להשיג את‬
‫המידע‪ .‬קשה מאוד לתפוס את מי שעומד‬
‫מאחורי התקיפה גם כאשר היא מתגלית‪ ,‬וכל‬
‫התהליך נעשה בשלט רחוק מהאינטרנט‪.‬‬
‫•חשיפה של מתקפות ממוקדות מתקדמות‬
‫כדוגמת ‪ Stuxnet‬מחלחלת עד רמת התוקף‬
‫הבודד "שהסתפק" עד כה בתקיפות בסיסיות‬
‫כמו השחתת אתרים או הפעלת ‪.SCRIPTS‬‬
‫חשיפת קוד המקור והטכניקות של מתקפות‬
‫מתקדמות אלו מעלה באופן דרמטי את הרף‬
‫ונותנים בידי תוקפים בסיס ידע לפיתוח כלי‬
‫תקיפה שהיו עד כהבידי מדינות‪.‬‬
‫•בורסות של נוזקות וחולשות לא‬
‫ידועות מאפשרות לתוקפים‬
‫לקנות בכסף‪ ,‬בדרך‬
‫כלל לא גדול כל‬
‫כך‪ ,‬יכולות‬
‫ולשלב אותן‬
‫בהתקפות‬
‫ממוקדות‪.‬‬
‫אנטומיה של‬
‫תקיפת סייבר ממוקדת‬
‫התוקף הממוקד אשר שם ארגון מסוים על הכוונת‬
‫ינסה לחדור את הגנות הארגון מספר רב שלפעמים‬
‫ללא מגבלת משאבים של זמן או כסף‪ .‬התקיפה‬
‫יכולה להתחיל באימייל תמים למחלקת משאבי‬
‫אנוש כמענה לתפקיד פתוח בארגון‪ .‬האימייל יכיל‬
‫קובץ ‪ PDF‬בתוספת נוזקה לא ידועה שתוכל לעבור‬
‫את פתרונות ה‪ Perimeter -‬וה‪ End-point -‬ותצליח‬
‫להתבסס על תחנת העבודה של איש משאבי‬
‫האנוש התמים‪ .‬בנקודה הזו לתוקף יש למעשה‬
‫כבר גישה לרשת הארגונית‪ .‬הוא שולט בתחנת‬
‫העבודה המסוימת הזו ומסוגל לבצע פעולות‬
‫שונות בתוך הרשת כאשר הוא מנצל את הרשאות‬
‫השימוש של משתמש הקצה אשר לא מודע לצל‬
‫שמלווה את הפעילות הרשתית הרגילה שלו‪.‬‬
‫התוקף יבצע בשלב זה סידרת פעולות מתמשכת‬
‫ואיטית כדי להתקרב ליעד התקיפה‪ .‬התוקף יכול‬
‫לשאוב מידע על משתמשי הרשת‪ ,‬לגשת מרחוק‬
‫למחשבים באמצעות ‪ ,Remote Desktop‬לבדוק‬
‫איזה משאבים משותפים זמינים בתחנות הרשת‬
‫וכדומה‪.‬‬
‫לאחר שהיעד אותר יתבצע הנזק הכבד שהוא‬
‫מטרת התקיפה– הזלגת מידע רגיש החוצה‪ ,‬גרימת‬
‫נזק למידע או לציוד‪ ,‬שיבוש שירות וכדומה‪.‬‬
‫במשחק האינסופי של חתול ועכבר‪ ,‬ארגונים מול‬
‫תוקפים‪ ,‬ידו של התוקף היא כרגע על העליונה‪.‬‬
‫תקיפות סייבר ממוקדות מחייבות שינוי מחשבתי‬
‫בנוגע לשכבות ההגנה שארגונים צריכים לפרוס‬
‫כדי להגן על עצמם‪ .‬קו ההגנה האחרון מפני‬
‫תקיפות ממוקדות הוא הרשת הארגונית הפנימית‪.‬‬
‫פתרון ‪ :SIEM‬מרכז התרעות מכלל פתרונות‬
‫אבטחת מידע שמותקנים בארגון ומאפשר הגדרת‬
‫קורלציות בין ההתרעות שהתקבלו‪.‬‬
‫פתרון ‪ :Forensics‬מקליט את תעבורת הרשת‬
‫הפנימית ומאפשר לאנאליסט אבטחת מידע‬
‫מומחה לשחזר פעולות שנעשו על ידי המשתמשים‬
‫שונים‪.‬‬
‫הבעיה עם הפתרונות המתוארים ביחס לאיום של‬
‫תקיפות סייבר ממוקדות היא שפתרונות אלו הם‬
‫ברובם המכריע מבוססי חתימות וחוקים‪ .‬פתרונות‬
‫מבוססי חתימות יעצרו התקפות שמתבססות על‬
‫נוזקות ידועות‪ .‬די בשינוי קטן באופן שבו הנוזקה‬
‫כתובה כדי שהיא תצליח לעקוף את השכבות‬
‫ההגנה והפתרונות המתוארים‪ .‬הפתרון היחיד‬
‫שמאפשר תפיסה של נוזקות לא ידועות הוא פתרון‬
‫‪ Anti-Malware‬מתקדם המבצע ‪ ,sandboxing‬אולם‬
‫פתרון זה נמצא רק ב‪Perimeter -‬וישנן דרכים‬
‫ידועות לעקוף אותו ולהגיע לרשת הפנימית– כלומר‬
‫כמו שאר פתרונותה‪Perimeter -‬גם הוא לא יכול‬
‫לתת הגנה הרמטית‪.‬‬
‫‪18‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪19‬‬
‫פינתו של ‪CISO‬‬
‫היכן הן נקודות החולשה שלו ומה הן הפעולות‬
‫שיש לבצע כדי להגיע למצב הגנה מספק‪ .‬ואני‬
‫בכוונה מדגיש את המילה "מספק"‪ ,‬כיוון שהגנה‬
‫אולטימטיבית היא מצב שדורש תחזוקה ושיפור‬
‫מתמידים וההשקעה בו יכולה להגיע לסכומים‬
‫גבוהים ביותר – גבוהים מידי במונחים של ארגונים‬
‫בסדר גודל מקומי‪.‬‬
‫עם אילו אתגרים בתחום‬
‫אבטחת המידע מתמודדים‬
‫הארגונים עתה?‬
‫אני אתחיל את הפינה החודשית‪ ,‬במשפט הידוע‪ ."Breaking Windows, isn’t for kids anymore" :‬ברגע שאנשים‬
‫התחילו להבין שאפשר לעשות כסף גדול מפשיעה באינטרנט‪ ,‬הופקע התחום מידיהם של "ילדי השובבים" ועבר‬
‫לידיים של פושעים מתוחכמים שיודעים להפיק מהחדירות לארגונים ביזנס שמגלגל מיליוני דולרים‪.‬‬
‫האיומים בפניהם ניצב עולם אבטחת המידע השתנו‬
‫בשנים האחרונות עד לבלי היכר‪ .‬אם פעם היה‬
‫מדובר בהאקרים שחיפשו לחבל ולחדור בעיקר‬
‫בשביל הכיף שבדבר‪ ,‬הרי שהיום‪ ,‬ברשת פועלים‬
‫ארגוני פשע מתוחכמים ומסוכנים‪ .‬אל מול אלה‪,‬‬
‫ההגנות הסטנדרטיות שהיו נהוגות עד כה בארגון‬
‫אינן יעילות עוד‪.‬‬
‫יש ארגונים‪ ,‬במיוחד במגזר הפיננסי והבריאות‪,‬‬
‫שמחויבים על ידי הרגולציות להתקין את כל אמצעי‬
‫ההגנה המתקדמים ביותר לצורך התמודדות‬
‫אפקטיבית עם איומים חדשים אלו‪ ,‬אבל כל השאר‬
‫דיי חשופים בפני התקפות מתוחכמות‪.‬‬
‫האם תוכל לספר על דוגמאות‬
‫לפעילות פשע מתוחכמת?‬
‫ארגוני פשע מאתרים נקודות חולשה בארגונים‪,‬‬
‫חודרים פנימה לרשת‪ ,‬גונבים מידע שנמכר אחר‬
‫כך בשוק השחור (‪ .)Black Market‬ידועים מקרים‬
‫בהם חברות מתחרות עושות שימוש בשירותים‬
‫המוצעים על ידי ארגוני פשע מומחים אלו כדי‬
‫להשיג מידע על החברה המתחרה או כדי לחבל‬
‫בפעילותה‪ .‬אין לזלזל עוד ביכולות המצויות בידי‬
‫"האנשים הרעים" ולמעשה‪ ,‬כיום מתבצעות פריצות‬
‫באופן כה מתוחכם שלארגונים שספגו חדירה אין‬
‫כל מושג שזה אכן קרה‪.‬‬
‫תופעה נוספת שהולכת ומתפשטת – גביית‬
‫דמי חסות (‪ .)Ransom Malware‬יש מקרים בהם‬
‫מאיימים ארגוני פשע להפיל אתרי אינטרנט ו\או‬
‫גונבים מידע מהארגון‪ ,‬ומאיימים להשמידו‪ ,‬באם‬
‫‪20‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫הארגונים (הקורבנות) לא ישלמו דמי חסות גבוהים‪.‬‬
‫אם החברה המפעילה את האתר מנסה להתנגד‬
‫לפושעים הם מבצעים הצגת תכלית קטנת היקף‬
‫בפני אנשי החברה העקשנים‪ ,‬ובמקרים לא מעטים‬
‫דמי החסות אכן משולמים בסופו של דבר‪.‬‬
‫כנ"ל במקרים של גניבה מידע ו\או הצפנת מידע‪.‬‬
‫אם החברה מסרבת לשלם דמי כופר‪ ,‬ההאקרים‪,‬‬
‫משמידים את המידע‪.‬‬
‫אבל התופעה שהכי מלחיצה את הארגונים‬
‫לאחרונה‪ ,‬היא מתקפות ה‪ .APT -‬מתקפות‬
‫מתוחכמות אלו‪ ,‬משאירות את רב הארגונים חסרי‬
‫עונים‪ ,‬למרות קיום בקרות אבטחה מותקנות‬
‫בארגון‪.‬‬
‫קשה עד בלתי אפשרי להילחם במתקפות ‪APT‬‬
‫מתוחכמות‪ ,‬ונדרש מהארגון מאמץ רב‪ ,‬והטמעת‬
‫פתרונות אבטחה "חדשים" ‪ ,‬ובתצורת אבטחה‬
‫בשכבות (‪ )Layered Defense‬על מנת להתמודד‬
‫עם המתקפות החדשות‪ ,‬וגם אז‪ ,‬הסיכויים הם‬
‫טובים יותר לטובת התוקף‪.‬‬
‫כיצד ניתן להתמודד עם איומי‬
‫סייבר מתקדמים?‬
‫לנוכח איומי אבטחת המידע ארגונים נדרשים לאמץ‬
‫תפישת סיכונים שונה‪ .‬הנטייה הנפוצה לחשוב‬
‫שכשיש פירוול ואנטי‪-‬וירוס בארגון‪ ,‬אזי המערך‬
‫הארגוני מוגן – אינה תקפה עוד‪ .‬האיומים הניצבים‬
‫כיום בפני רשתות עסקיות התפתחו מעל ומעבר‬
‫ליכולותיהן של מערכות האבטחה המסורתיות‪.‬‬
‫מרבית הארגונים בארץ‪ ,‬עדיין שומרים על המידע‬
‫בתצורה של נקודת גישה‪ .‬הארגון רוכש ומתפעל‬
‫פירוול ומתקין תוכנת אנטי‪-‬וירוס על כלל השרתים‬
‫והתחנות – ובכך מניח שהארגון מוגן‪ .‬כמי שעוסק‬
‫באבטחת מידע שנים רבות‪ ,‬אני יכול להעיד שלא‬
‫כך הדבר‪ .‬כיום‪ ,‬יותר מאי פעם אנו חושפים סוסים‬
‫טרויאנים ווירוסים המוחדרים לארגון לעתים באופן‬
‫תמים על ידי עובדים ולעתים באופן שאינו תמים‪ .‬כך‬
‫או כך‪ ,‬התוצאה היא שמידע יקר ערך זולג החוצה‬
‫מהארגון או שמערכות מושבתות לאורך זמן ובאופן‬
‫שפוגע ביכולת של החברה לשרת את לקוחותיה‪.‬‬
‫אז כיום‪ ,‬הנחת המוצא שכל מנהל אבטחת מידע‬
‫בארגון צריך לאמץ‪ ,‬היא שיתכן שהוא כבר משמש‬
‫כקורבן למתקפת ‪ ,APT‬כזו או אחרת‪ ,‬ושלא ניתן‬
‫למנוע ב‪ 100%-‬את המתקפות‪ ,‬אלא‪ ,‬המטרה היא‬
‫לאתר ולזהות את המתקפות בשלב מוקדם ככל‬
‫האפשר‪.‬‬
‫אחת התובנות‪ ,‬שעל הנהלת הארגון לאמץ‬
‫לעצמה‪ ,‬היא שלא די בהטמעת פתרונות אבטחת‬
‫מידע‪ ,‬אלא‪ ,‬חשוב לבחון את טיב רמת האבטחה‬
‫של הארגון‪ ,‬לאחר הטמעת פתרונות‪ ,‬והקשחת‬
‫הארכיטקטורה‪ ,‬בכדי למצוא "בעיות אבטחה‪,‬‬
‫(חורים)‪ .‬מטרת הבדיקות הללו‪ ,‬היא לבחון את‬
‫יכולת החדירה לארגון מצד אחד‪ ,‬וגם את היכולת‬
‫תגובה של צוות אבטחת המידע בארגון‪ ,‬מהצד‬
‫השני‪.‬‬
‫כאשר גורם אובייקטיבי מבצע את הבדיקות הללו‪,‬‬
‫הלקוח יכול להיות קצת יותר שקט לגבי אמינות‬
‫המידע המתקבל ביחס לכל ארגון שרוצה לדעת‬
‫כיום‪ ,‬עיקר תשומת הלב מופנית כלפי עולס‬
‫הסייבר טרור‪ ,‬ומתקפות סייבר‪ .‬מתקפות הסייבר‬
‫מתחלקות לשתי קטגוריות עיקריות‪ ,‬וזה מאוד‬
‫תלוי במטרה העיקרית של הצד התוקף‪ ,‬האם‬
‫המטרה היא לגרום נזק (בתצורה של מתקפת‬
‫‪ DDOS‬מתוזמנת היטב) או האם המטרה היא לגנוב‬
‫מידע‪ ,‬או לגרום נזק מתמשך‪ ,‬בצורה שקטה (תחת‬
‫מתקפות ‪ APT‬מתוחכמות)‪.‬‬
‫בעידן הדיגיטלי‪ ,‬ההולך ומשתנה מדי יום‪ ,‬האתגרים‬
‫הינם רבים ומגוונים‪ ,‬היות וכבר אין גבולות גזרה‪,‬‬
‫והמידע שלנו‪ ,‬נמצא גם בתוך הארגון‪ ,‬וגם מחוץ‬
‫לגבולות הארגון‪ ,‬ולכן האתגרים של הגנה על‬
‫המידע‪ ,‬גדולים מאי פעם‪ .‬כיום‪ ,‬מנהל אבטחת‬
‫המידע צריך להתמודד עם דרישות עסקיות‬
‫חדשות‪ ,‬שלא בהכרח מטיבות עם שמירה על‬
‫רמת אבטחת מידע בארגון‪ ,‬כגון מעבר למחשוב‬
‫ענן‪ ,‬עולם ה‪ ,Big Data-‬ותחום המובייל‪ ,‬או יותר נכון‪,‬‬
‫תחום ה‪.BYOD-‬‬
‫אילו פתרונות יכולים לתת‬
‫מענה מפני מתקפות הסייבר ו\‬
‫או מתקפות ה‪ APT-‬החדשות?‬
‫הבאז הנוכחי‪ ,‬הוא סביב מתקפות והגנות מפני‬
‫סייבר‪ ,‬אבל היות ועדיין אין שום מענה הולם‬
‫מפני מתקפת סייבר‪ ,‬מעין כיפת ברזל דיגיטלית‬
‫(‪ ,)Silver Bullet‬אז ארגונים ממשיכים להטמיע את‬
‫הפתרונות המסורתיים‪ ,‬שאנו למדנו להכיר במשך‬
‫השנים האחרונות‪.‬‬
‫מערכת לגילוי ומניעת פריצות‬
‫(‪IPS=Intrusion Prevention‬‬
‫‪)System‬‬
‫המערכת משמשת כבקרה להתמודדות עם איומים‬
‫מהרשת (או מחוצה לה‪ ,‬תלוי בארכיטקטורה)‪ ,‬בזמן‬
‫אמת‪ ,‬ומאפשרת לנטרל התפרצויות של נוזקות‬
‫בין הרשתות ולספק בקרת גישה משופרת מפני‬
‫מתקפות שונות‪ .‬המערכת יכולה לנטר את כל‬
‫התעבורה ברשת‪ ,‬לצורך איתור ניסיונות פריצה‬
‫שונים‪ ,‬ולחסום את התעבורה העוינת‪ .‬מדובר‬
‫במערכת‪ ,‬שנדרשת עבור מרבית הרגולציות‬
‫בעולם‪.‬‬
‫הגנה ובקרה מפני חיבורים לא‬
‫מורשים לרשת הארגון (‪)NAC‬‬
‫כהודעת סמס לטלפון הנייד‪ .‬המשתמש נדרש‬
‫להקיש את המספר‪ ,‬מה שמאפשר לו את החיבור‬
‫לרשת הארגונית‪.‬‬
‫מדובר במערכת לבקרת גישה ברמת הרשת‬
‫(‪ ,)Network Access Control‬אשר תפקידה לזהות‬
‫ולמנוע ניסיונות של חיבורים לא מורשים (תחנות‬
‫לא מזוהות) לרשת הארגונית‪ .‬מוצר זה יעיל עבור‬
‫ארגונים‪ ,‬מפוזרים‪ ,‬בהם יש קבלת קהל (כגון בתי‬
‫חולים‪ ,‬מרפאות‪ ,‬משרדי ממשלה)‪ ,‬ואשר קשה‬
‫להטמיע מדיניות לבקרת גישה מרכזית‪ ,‬בגלל‬
‫מבנה הרשת‪.‬‬
‫מערכת לניהול אירועי אבטחת‬
‫מידע (‪)SIEM‬‬
‫הגנות בשכבת האפליקציה‬
‫דרישה גוברת לכיוון מערכות הגנה בשכבת‬
‫האפליקציה (‪ )Web Application Firewall‬והגנה‬
‫על בסיסי נתונים (‪ .)Database Firewall‬זה כבר‬
‫לא סוד‪ ,‬שמרבית ההאקרים‪ ,‬די הזניחו שאת‬
‫הזירה שבה מרבית המתקפות היו בשכבת הרשת‪,‬‬
‫ועברו לשכבת האפליקציות‪ ,‬שם גם נמצא המידע‬
‫הרגיש‪ .‬קיימים בשוק מגוון פתרונות להגנה בשכבת‬
‫האפליקציה מפני מתקפות כגון הזרקת שאילות‬
‫‪SQL (SQL Injection), XSS (Cross-Site Scripting),‬‬
‫‪ Cookie Tampering‬וכיו"ב‪ .‬הפתרונות מתחלקים‬
‫להגנה על שרתים אפלקיציה\‪ WEB‬והגנה על‬
‫בסיסי נתונים‪.‬‬
‫הגנה מפני מתקפות סייבר‬
‫‪DOS/DDOS‬‬
‫לאחרונה‪ ,‬אנו מזהים מגמה שארגונים החלו‬
‫בחיפוש וזקוקים נואשות לפתרונות חדשים‪,‬‬
‫מתקדמים‪ ,‬אשר יתנו מענה למתקפות הסייבר‬
‫המתוזמנות‪ ,‬כגון ‪ .DDOS‬קיימים מספר פתרונות‬
‫בשוק‪ ,‬אך עדיין‪ ,‬במלחמה נגד מתקפות סייבר‪,‬‬
‫מומלץ לשתף פעולה ולהיעזר גם בספק‬
‫האינטרנט שלכם‪ ,‬לצורך התמודדות יעילה אל מול‬
‫מתקפות הסייבר מסוג ‪ .DOS/DDOS‬למרבית ספקי‬
‫האינטרנט‪ ,‬יש מערכות להגנה מפני מתקפות ‪DOS/‬‬
‫‪ ,DDOS‬אשר מנסות למנוע ולחסום את המתקפות‬
‫עוד בטרם החלה לתפוס תאוצה‪.‬‬
‫פתרון לזיהוי ואימות משתמש ‪-‬‬
‫האם אני‪ ,‬הנני אני?‬
‫לצד מערכות אלו‪ ,‬חשוב גם להטמיע בארגון‬
‫פתרון לזיהוי ואימות משתמשים‪ ,‬במיוחד‪ ,‬לאלו‬
‫שמתחברים מרחוק‪ .‬מדובר במערכת הזדהות‬
‫ליישום ‪ ,Two-Factor Authentication‬המאפשרת‬
‫הנפקה של סיסמה חד פעמים למשתמשים‬
‫(‪ ,)OTP=One Time Password‬כגון עובדים מרחוק‬
‫ושותפים עסקיים‪ .‬המערכת עובדת על העיקרון‬
‫של ‪ "Two-Factor Authentication‬כלומר‪ ,‬משהו‬
‫שיש לך‪ ,‬כגון אמצעי הזיהוי=‪TOKEN (Something‬‬
‫‪ ,)You Have‬ומשהו שאתה יודע‪ ,‬כגון סיסמה‬
‫(‪ .)Something You Know‬ברמת התוכנה ניתן לקבל‬
‫את הפתרון כאפליקציה לנייד או באופן חד פעמי‬
‫פתרון נוסף‪ ,‬שמאוד מומלץ למלחמה במתקפות‬
‫הסייבר‪ ,‬וגם מומלץ בחום באם יש לארגון למעלה‬
‫מ‪ 5-‬מוצרי אבטחת מידע‪ ,‬שצריכים לסנכרן ביניהם‬
‫ולעשות קורלציה בין הלוגים‪ ,‬לצורך איתור דפוסי‬
‫התנהגות שחורגים מהמדיניות אבטחת המידע של‬
‫הארגון‪ .‬המערכת מסייעת בשני תהליכים מאוד‬
‫חשובים לארגון‪ .‬הראשון קשור ברגולציות – כדי‬
‫לעמוד בתקנות ודוחות ביקורת כמו ‪PCI, HIPAA,‬‬
‫‪ ,SOX‬ואחרות‪ ,‬הארגון נדרש לשמור ולנתח לוגים‬
‫הנאספים משרתים ומערכות מסוימות בארגון‪.‬‬
‫השני קשור באבטחת המידע – המערכת מאפשרת‬
‫להבחין ולהתריע למשל‪ ,‬על כך שמשתמש מנסה‬
‫להתחבר לשרת מסוים מספר פעמים ונכשל‪.‬‬
‫הפתרון אף מאפשר ביצוע קורלציות בין ההתקנים‬
‫השונים ברשת‪ ,‬כך שניתן לקשור בין אירועים שונים‬
‫המתרחשים ברחבי הארגון ובשעריו‪.‬‬
‫הגנה על תחנות קצה‬
‫מדובר בפתרונות להגנה על תחנות הקצה‬
‫(‪ )EPS=Endpoint Security‬אשר תפקידן למנוע‬
‫ניסיונות תקיפה ברמת התחנות‪ ,‬ניהול ושליטה על‬
‫ההתקנים שניתן לחבר בתחנה‪ ,‬איזה מידע ניתן‬
‫להעתיק אל מדיה חיצונית ועוד‪.‬‬
‫איסוף מידע ואכיפת מניעת דלף‬
‫מידע‬
‫(‪DLP=Data Loss‬‬
‫פתרון למניעת דלף מידע‬
‫‪ )Prevention‬מבצע איתור של מידע רגיש לפי ניתוח‬
‫תוכן מוגדר מראש‪ ,‬ואוכף את מדיניות אבטחת‬
‫המידע של הארגון במטרה להגן על הארגון מזליגת‬
‫המידע וחשיפתו לנזקים הנובעים מכך‪ .‬כיום‪,‬‬
‫מרבית הספקים מציעים פתרונות בעלי שלושה‬
‫מודולים‪ ,‬המספקים מענה שלם עבור תחנות‬
‫הקצה (כולל תחנות ניידות)‪ ,‬שער היציאה מהארגון‬
‫(‪ )Gateway‬וכמובן‪ ,‬תחום המובייל‪ .‬כל המודולים‬
‫הללו‪ ,‬מנוהלים דרך ממשק מרכזי אחד‪ .‬מעבר‬
‫לסריקה של המידע הרגיש‪ ,‬הפתרונות כוללות‬
‫יכולות אכיפה מובנות וחסימה של מידע רגיש‬
‫דרך מספר ערוצים‪ ,‬לרבות‪ :‬הספדה‪ ,‬שליחת דוא"ל‪,‬‬
‫העתקה למדיה חיצונית (‪ ,CD, DVD‬מדיה נתיקה)‪,‬‬
‫שימוש בערוצי תקשורת כגון ‪.FTP, HTTP, HTTPS‬‬
‫ראוי לציין‪ ,‬שפתרון ‪ DLP‬מציב בעצמו‪ ,‬אתגר גדול‬
‫בפני הארגונים‪ ,‬אשר נדרשים לבחון באופן עמוק‬
‫את הצורך שלהם בפתרון‪ ,‬כיוון שמדובר בפתרון‬
‫שיישומו מאתגר וההשקעה הנדרשת עבורו אינה‬
‫מתאימה לכל ארגון‪.‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪21‬‬
‫הכשרת מנהלי אבטחת מידע (‪)CISO‬‬
‫‪Knowledge to People‬‬
‫חברת ‪ TITANS SECURITY‬גאה להציג את המסלול המקצועי‪ ,‬האיכותי‬
‫והמקיף ביותר להכשרת מנהלי אבטחת מידע (‪ )Certified CISO‬וגם‬
‫היחידי שכולל הסמכה בינלאומית –‪ CISM‬מבית ‪ .ISACA‬מדובר בקורס‬
‫בן ‪ 200‬שעות פרונטאליות‪ ,‬ועוד כ‪ 500-‬שעות תרגול עצמאי‪ ,‬כאשר ישנה‬
‫התייחסות לכל עולמות אבטחת המידע‪.‬‬
‫בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון‬
‫רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי‬
‫אבטחת מידע ברמה גבוהה מאוד‪ .‬הקורס נוצר כתוצאה מדרישת השוק‬
‫למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע‬
‫על כל שכבותיה‪ .‬בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם‬
‫ו\או לארגון בהם מועסקים על‪-‬ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש‬
‫מהם‪.‬‬
‫שלנו‬
‫‪Bringing‬‬
‫המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע‬
‫בהיבט העסקי ועם העולם הרגולטורי\חוקי‪ .‬המודול השני עוסק ברק‬
‫הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת‬
‫המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים‪.‬‬
‫המודול השלישי עוסק בתחום ניהול אבטחת המידע‪ ,‬מסגרות לניהול‬
‫אבטחת מידע וניהול סיכונים‪ .‬המודול הרביעי דן כולו בהיבטים של‬
‫אבטחת מידע פיזי וסביבתי‪ ,‬והמודול החמישי עוסק בהיבט האנושי‬
‫מבחינת אבטחת מידע‪.‬‬
‫הקורס עובר עדכונים שוטפים‪ ,‬כדי להתאימו לעולם הדינאמי של‬
‫השוק‪ ,‬והתוקפים\התקפות השונות‪ ,‬וסוקר בצורה מאלה את כל עולם‬
‫אבטחת המידע על כל רבדיו‪ .‬בכל רובד אנו מתרגלים ודנים בתפיסות‪,‬‬
‫מתודולוגיות ובטכנולוגיות הקיימות‪ ,‬ובחולשות הרבות הנסתרות בהן‪.‬‬
‫חושות‪ ,‬אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה‪ .‬כמו‬
‫כן‪ ,‬אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף‪ ,‬כנגד‬
‫החולשות שלנו‪ ,‬על מנת לדעת ולהכיר היטב את האויב‪.‬‬
‫כפי שהספר המפורסם "אומנות המלחמה" אומר‪:‬‬
‫‪If you know the enemy and know yourself, you need‬‬
‫‪not fear the result of a hundred battles. If you know‬‬
‫‪yourself but not the enemy, for every victory gained‬‬
‫‪you will also suffer a defeat. If you know neither the‬‬
‫"‪enemy nor yourself, you will succumb in every battle‬‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫או בדוא"ל‪:‬‬
‫‪22‬‬
‫שלך‬
‫העבודה‬
‫זהו מסלול חדש‪ ,‬העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל‬
‫בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים‪.‬‬
‫המסלול מחולק לשני חלקים עיקריים‪ ,‬כאשר החלק הראשון הינו החלק‬
‫המעשי של הקורס‪ ,‬והחלק השני מכין את התלמיד לבחינת ההסמכה‬
‫הבינלאומית של ‪ CISM‬מבית ‪ .ISACA‬החלק הראשון בנוי מ‪ 5-‬מודולים‬
‫עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע‬
‫על פניהם השונים‪.‬‬
‫כחלק מערכת הלימוד‪ ,‬התלמידים מקבלים ספר לימוד‪ ,‬ספרי תרגול‬
‫(בכיתה ובבית)‪ ,‬ועוד ‪ DVD‬הכולל כלי עזר רבים של מנהל אבטחת מידע‪.‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫הביטחון‬
‫‪danny @ titans 2. com‬‬
‫או בדוא"ל‪:‬‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫‪danny @ titans 2. com‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪23‬‬
‫הוועידה השנתית ה‪6 -‬‬
‫לאבטחת מידע ‪2013‬‬
‫סיקור הוועידה השנתית לאבטחת מידע וסייבר – בשיתוף מידע כנסים והאיגוד העולמי לאבטחת מידע (‪.)ISSA‬‬
‫אבטחת המידע והסייבר תופסת מקום הולך וגובר בתחומי העניין של ארגונים ועסקים בכל העולם‪ .‬מה ניתן לעשות‬
‫ובמה ישראל יכולה להתמקד בתחומים אלו? בעיקר לעודד חברות הזנק חדשות לעסוק בעולם הסייבר‪ ,‬במקום‬
‫בפיתוח יישומים למכשירי סלולר‪.‬‬
‫דלף באזור החברתי‪ ,‬מפגעים בעולם ה‪,SCADA -‬‬
‫קוד זדוני שיודע לעשות מוטציות בלי חתימות‪,‬‬
‫פגיעות מרחוק במכשירי סלולר‪ .‬אין לכל אלה‬
‫פתרונות טובים או בכלל‪ .‬כל הפתרונות שמכירים‬
‫הם של האתמול‪ .‬משלמים עליהם הון רק בשביל‬
‫הכסת”ח‪.‬‬
‫דר נמרוד קוזלובסקי מייסד משותף סייברס‬
‫“עולם אבטחת המידע‪ ,‬שכיום נקרא עולם הסייבר‪,‬‬
‫הוא עולם של מכירת שירותי אבטחת מידע בלי‬
‫כל חשבון‪ .‬הכל כסת”ח‪ .‬אלו לא באמת מערכות‬
‫שמונעות התקפות סייבר”‪ ,‬מסביר ומנתח ד”ר‬
‫נמרוד קוזלובסקי (עו”ד)‪ ,‬מייסד משותף‪ ,‬סייברס‪.‬‬
‫“יש פער אדיר בין המגן לתוקף‪ .‬המגן לא יודע להגן‬
‫נכון על המערכות שלו‪.‬‬
‫מדינת ישראל‪ ,‬שהייתה חלוצה בעולם בתחום‬
‫היזמות כבר בשנות ה‪ 90 -‬של המאה הקודמת‪,‬‬
‫מתעסקת כיום בשטויות‪ .‬רוב השוק של היזמות‬
‫ב’מדינת היזמות’ עוסק באפליקציות בעיקר‬
‫לסלולר‪ .‬זה בזבוז זמן מוחלט‪ .‬אין לישראל‬
‫וליזמיה שום יתרון עולמי בתחום ואין לנו שום‬
‫יתרון טכנולוגי או תחרותי בתחום‪ .‬אולם‪ ,‬נוצר‬
‫בישראל ‪ System-Echo‬של ‘איך עושים יזמות’‪.‬‬
‫איך הופכים את המדינה למדינת יזמות – ‪Startup‬‬
‫‪ .Nation‬בגלל שההון בהון סיכון די נגמר‪ ,‬משקיעים‬
‫בעיקר בשטויות‪.‬‬
‫יש כאן רגע של הזדמנות יוצאת דופן למדינה‪.‬‬
‫יש לישראל יתרון אדיר בתחום הסייבר‪ .‬הסיבות‪:‬‬
‫ההכשרה העמוקה‪ ,‬הניסיון האדיר‪ ,‬האיום המתמיד‬
‫‪24‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫וההתקפות הרבות עלינו‪ .‬נצבר ניסיון וידע שאין‬
‫בעולם‪ .‬לכן‪ ,‬ניתן ליצור כאן תעשייה חדשה בעולם‬
‫הסייבר‪ ,‬במקום תעשיית היישומים לסלולר‪ .‬אולם‪,‬‬
‫היזמים‪ ,‬גם בתחום זה‪ ,‬הולכים בעיקר למכור‬
‫שירותים ברחבי העולם ולא מייצרים מוצרים‪ .‬אין‬
‫לנו שום יתרון בשירותים‪ .‬אנחנו מדינת חדשנות‪.‬‬
‫זה הכוח שלנו‪ .‬יש הזדמנויות בכל העולם‪ ,‬כי כל‬
‫המערכות בעולם חשופות לסייבר‪ .‬אנחנו לא‬
‫מכירים את כל מגוון והיקף התקפות הסייבר בגלל‬
‫קשר השתיקה העולמי‪.‬‬
‫יש כשל מובנה במערכות ה‪ ,IT -‬כי קרתה‬
‫כאן מהפכה‪ :‬התוכנה עברה לרשת‪ ,‬למובייל‪,‬‬
‫לתשתיות משותפות ולמכשירי קצה פרטיים‬
‫( ‪ ,)BYOD‬שנכנסים לרשת הארגונית‪ .‬עברנו‬
‫לסביבת ענן‪ ,‬שמערכות ההגנה שלה שונות‬
‫מהמוכר בעבר‪ .‬מידע רב עובר במערכות המכונות‬
‫‪ ,Data Big‬שנשלטות ע”י גורמים עלומי שם בכל‬
‫העולם‪ .‬רוב המידע העולמי‪ ,‬לרבות המידע‬
‫העסקי‪ ,‬נמצא שם‪.‬‬
‫אין קשר בין מערכות ההגנה לבין הארגונים‪ .‬וקטור‬
‫ההתקפה עבר להחדרות של התקפות בחומרה‪,‬‬
‫תפיסת ההגנה קרסה‪ .‬הנחות המוצא של עולם‬
‫האבטחה פשוט קרסו‪ ,‬כי לא התאימו עצמן‬
‫למציאות המתפתחת כה מהר‪ .‬לכן‪ ,‬מערכות‬
‫שאינן פרואקטיביות כבר לא רלבנטיות‪ .‬שיתוף‬
‫מידע והערכת מידע הם בסיס חיוני להצלחה‪.‬‬
‫הדרך הנכונה היא מערכת אבטחה מרכזית‪,‬‬
‫מערכת כלל מדינתית מבוססת מודיעין‪ .‬יש כל‬
‫הזמן הכנות להתקפות‪ .‬צריך מודיעין כדי לדעת‬
‫על זה‪ .‬אין כיום דבר כזה בשום מקום בתחום‬
‫האזרחי‪.‬‬
‫בהתייחס לדבריו של ד”ר נמרוד קוזלובסקי‬
‫בעניין הסתרת רוב המידע על התקפות סייבר‪,‬‬
‫תחום זה עובר שינוי רגולטורי משמעותי‪ .‬נציבת‬
‫השוק האירופאי לנושאים דיגיטליים הגישה‬
‫הצעת החלטה כלל אירופאית‪ ,‬שתטיל על חברות‬
‫המחזיקות או מנהלות מידע ברשת‪ ,‬חובה לדווח‬
‫במקרים של דליפת מידע או אבדן מידע‪ ,‬בכל‬
‫המקרים‪ .‬עד היום‪ ,‬חובת הדיווח באירופה הייתה‬
‫חלה רק על מקצת מהמדינות (כמו גרמניה‬
‫וספרד) והיקף הדיווח הושאר לשיקול דעת של‬
‫בעלי מאגרי המידע‪ .‬בהצעה החדשה‪ ,‬יש חובת‬
‫דיווח בכל המדינות‪ ,‬על כל נותני השירותים‬
‫המקוונים‪ ,‬כל פלטפורמות מסחר מקוונות מכל‬
‫סוג‪ ,‬רשתות חברתיות‪ ,‬מנועי חיפוש‪ ,‬ספקי שירותי‬
‫ענן ועוד‪ .‬ב‪ 2009 -‬הוטלה חובת דיווח על ספקי‬
‫“תשתיות תקשורת”‪ ,‬שהתייחס לחברות טלפוניה‬
‫בלבד‪ .‬כעת‪ ,‬חובה זו תורחב כל ספקי ומחזיקי‬
‫המידע‪ .‬האם ישראל תלך בעקבות הנציבות‬
‫האירופאית בתחום זה? סביר להניח שכן‪.‬‬
‫לפני המבצע‪ ,‬הייתה עלייה משמעותית בפריצות‪.‬‬
‫רוב הפריצות הן לאתרים עם סיומת ‪( il.co‬יותר‬
‫מ‪ 11 -‬אלף אתרים מתוך ה‪ 12 -‬אלף שנפרצו)‪.‬‬
‫‪ 635‬פריצות היו לאתרי ‪ ,il.org‬לאתרי ‪ il.ac‬היו ‪135‬‬
‫פריצות‪ ,‬לאתרי ‪ il.gov‬היו ‪ 18‬פריצות‪ ,‬שזה מאוד‬
‫נמוך‪ .‬לשאר הסיומות ‪ -‬במספרים מאוד קטנים‪.‬‬
‫האתרים הממשלתיים שנפרצו היו בעיקר אלו‬
‫ששוכנים מחוץ ל’תהילה’‪.‬‬
‫רוב האתרים שנפרצו הם אתרים יחסית קטנים‪.‬‬
‫אין הבדל בפריצות בין אתרים המבוססים על‬
‫חלונות לבין אלו המבוססים על לינוקס‪ .‬כיום‪,‬‬
‫נפרצים יותר אתרי לינוקס מאתרי חלונות‪.‬‬
‫ב‪ 2012 -‬הייתה עלייה משמעותית אצלנו‬
‫ב’חקירות מחשב’‪ ,‬עבור חברות שהפסידו כסף‬
‫במערכות המחשוב שלהן‪ .‬זו עלייה משמעותית‬
‫מ‪ .2011 -‬מדובר בעשרות חקירות לשנה‪ .‬מצאנו‪,‬‬
‫שרוב הפריצות בישראל הן ברמת תחכום‬
‫נמוכה‪ .‬ההצלחות בפריצות נובעות בעיקר‬
‫מהזנחה והשארת פרצות במערכות המחשוב‪.‬‬
‫רמת התחכום בפריצות לא הייתה גבוהה למרות‬
‫הנזקים המשמעותיים‪ .‬על פי החקירות הללו‪ ,‬יש‬
‫כיום הרבה פריצות בתחום האפליקציות ופחות‬
‫בתשתיות‪.‬‬
‫רוב אתרי האינטרנט שנפגעו‪ ,‬השתקמו די‬
‫מהר‪ .‬לא יותר מ‪ 2 -‬עד ‪ 3‬ימים‪ .‬רוב הפריצות ב‪-‬‬
‫בתחום לוחמת הסייבר אומר שי בליצבלאו‪,‬‬
‫מנכ”ל מגלן – טכנולוגיות הגנת מידע‪“ :‬ב‪2012 -‬‬
‫נפרצו הרבה יותר אתרים בישראל מאשר ב‪-‬‬
‫‪ .2011‬כמעט כפליים‪ .‬ב‪ ,2012 -‬לפי הספירה‬
‫שלנו‪ ,‬נפרצו יותר מ‪ 12 -‬אלף אתרים‪ .‬בממוצע‬
‫נפרצו ‪ 1,250‬אתרים בחודש‪ .‬זה המון‪ .‬מבצע‬
‫‘עמוד ענן’ היה שיא‪ ,‬אבל גם באוגוסט‪ ,‬הרבה‬
‫לכן‪ ,‬יש כאן חלון הזדמנויות לישראל‪ .‬הגיעה העת‬
‫להגיד את האמת ולהפסיק לרמות את עצמנו‪.‬‬
‫אנחנו לא באמת מעודדים יצירת תעשיית היי‪-‬טק‬
‫בריאה‪ .‬יש כמה תנאים כדי שלתעשיית ההי‪-‬טק‬
‫יהיה עתיד‪ .‬ברור שזה כסף והשחקנים הגדולים‬
‫בעולם רוכשים כל הזמן חברות קטנות‪ ,‬בכמויות‪.‬‬
‫המדינה היום‪ ,‬על פי ההצהרות‪ ,‬מתעדפת יזמי‬
‫סייבר וחובה על כולנו לנצל זאת‪ .‬הצבא הוא‬
‫בי”ס מצוין להכשרה בתחום הסייבר‪ .‬צריך לתת‬
‫לזה שכבת עידוד מקיפה‪ :‬מרכזי ידע אקדמיים‪,‬‬
‫השקעות הון סיכון ומהממשלה‪ ,‬מעבדות לאומיות‪,‬‬
‫תמריצים לחברות שירותים לעבור לתחום‬
‫הפיתוח וייצור מוצרים במקום שירותים‪ .‬היזמות‬
‫בתחום זה דורשת ‘כסף חכם’‪ .‬זה גם דורש הרבה‬
‫כסף‪ .‬יש כאן צורך בהרבה ‪ D&R‬והרבה ניסיונות‬
‫כדי להצליח‪ .‬זה לא הורדה של אפליקציות‬
‫מהמרקט הסלולרי‪ .‬צריך גם לעמוד ברגולציה‬
‫קשוחה של כמה מדינות‪.‬‬
‫שפורסמו‪ ,‬אבל לא פורסם‪ ,‬שליד כל פריצה כזו‬
‫היו ‘פריצות משנה’‪ ,‬שגרמו לנזקים שלא נראו‬
‫כלפי חוץ‪ .‬הבעיות המרכזיות‪ ,‬שיש בישראל‪ ,‬הן‬
‫בתחום התיכנות של הפורטלים‪ .‬חסרים בישראל‬
‫חוקרי לוחמת סייבר מיומנים‪ ,‬ואני מקווה שתחום‬
‫ההכשרה יזכה לעדיפות”‪.‬‬
‫צריך להקים כאן דור של ‘מנטורים’ לעולם‬
‫הסייבר‪ .‬כמו שיש דור של ‘מנטורים’ לעולם‬
‫האינטרנט‪ .‬צריך לשנות את הדיסקט בראש של‬
‫כולנו”‪.‬‬
‫בתחום זה‪ ,‬מדווח אופיר בן אבי‪ ,‬מנהל ממשל זמין‪,‬‬
‫משרד האוצר‪“ :‬אימצנו את הסלוגן ‘כיפת ברזל’‬
‫כדי לתאר את פעילות ‘ממשל זמין’ בהגנה על‬
‫המערכות של התקשוב הממשלתי מפני התקפות‬
‫אופיר בן אבי‪ ,‬מנהל ממשל זמין‪ ,‬משרד האוצר‬
‫‪ 2012‬לא פורסמו‪ .‬יש פריצות של ‪Defacement‬‬
‫שי בליצבלאו‪ ,‬מנכ"ל מגלן‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪25‬‬
‫הוועידה השנתית ה‪6 -‬‬
‫לאבטחת מידע ‪2013‬‬
‫הסייבר‪ .‬אנו למעשה ה‪ ISP -‬הממשלתי ומארחים‬
‫את אתרי הממשלה ועוסקים בהגנה עליהם‪.‬‬
‫אנחנו פיתחנו יישום בתוך הבית בשם ‪,Table Multi‬‬
‫יישום שאוסף את כל המידע במערכות‪ ,‬מאפשר‬
‫תגובה אינטראקטיבית וממוקדת לאירועים בזמן‬
‫אמת ומסוגל לעצור מתקפות‪ .‬אנו עובדים מול שני‬
‫ספקים חיצוניים‪ :‬נטוויז’ן ובזק בינלאומי‪ ,‬שלהם יש‬
‫יכולות טובות משל עצמם להגנה מפני התקפות‬
‫סייבר‪ .‬הם פועלים במעגלים החיצוניים‪ ,‬כאשר יש‬
‫עוד שני מעגלים פנימיים‪ ,‬בנוסף למעגל בינלאומי‪,‬‬
‫שנעשה בשת”פ של גופי תקשורת ואבטחה‬
‫בינלאומיים‪.‬‬
‫כיום‪ ,‬ההתקפות הן בעיקר לא של האקרים‪ ,‬אלא‬
‫של מדינות‪ .‬ההתקפות מגיעות אלינו ממחשבים‬
‫בכל רחבי העולם‪ ,‬בלי כל קשר למקור ולמקום‬
‫אייל צפריר‪ ,‬סמנכ”ל פתרונות לעסקים‪ ,‬בזק בינלאומי‬
‫מטשטש הגבול היכן מתחיל ונגמר הארגון והיכן‬
‫מתחיל ונגמר הספק‪ .‬יש טשטוש גבולות מאוד‬
‫חריף‪ .‬לכן‪ ,‬שיתוף מידע ועזרה הדדית‪ ,‬הם תנאי‬
‫חשוב להצלחה ולהיערכות נכונה להגנה בעולם‬
‫החדש הזה‪ .‬צריך לשתף את מנהלי האבטחה‬
‫הפיזית עם מנהלי אבטחת המידע הדיגיטלי‪,‬‬
‫שהיום היא יותר ויותר וירטואלית‪ .‬הדבר המרכזי‬
‫שנדרש הוא לבנות אסטרטגיה לניטור ולאבטחת‬
‫מידע‪ .‬לזהות זה יותר קל וצריך להשקיע יותר‬
‫בניטור מאשר במניעה ובחומות הגנה”‪.‬‬
‫מני ברזילי‪ ,‬מנהל מחלקת ביקורת מערכות מידע‪ ,‬בנק הפועלים‬
‫ממנו הן יצאו‪ .‬אני מאמין‪ ,‬שיש צורך לצאת מגישת‬
‫האבטחה ולעבור לגישת ההגנה שהיא יותר‬
‫אקטיבית‪ .‬המשמעות‪ :‬יותר ביזור של שרתים‪,‬‬
‫אבטחת השירותים החיוניים לאזרח והחלטה‬
‫על מה חשוב להגן וכדאי להגן‪ .‬לא כל האתרים‬
‫הממשלתיים הם באמת באותה רמת חשיבות‬
‫לאבטחה‪.‬‬
‫‪26‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫רוב סוגי ההתקפות עלינו מהן מסוג ‪,DDOS‬‬
‫כאשר כיום יש סוגי התקפות מורכבות ביותר‪,‬‬
‫עם התגברות של סביבת ה‪( Defacement -‬שינוי‬
‫פני האתר)‪ .‬אנו חוקרים את סוגי המתקפות כדי‬
‫ללמוד על המגמות החדשות בתחום”‪.‬‬
‫מני ברזילי‪ ,‬מנהל מחלקת ביקורת מערכות מידע‪,‬‬
‫בנק הפועלים‪ ,‬סבור‪“ :‬כשמחשוב ענן נכנס לארגון‪,‬‬
‫אייל צפריר‪ ,‬סמנכ”ל פתרונות לעסקים‪ ,‬בזק‬
‫בינלאומי‪ ,‬טוען‪“ :‬עם למעלה ממיליון לקוחות‬
‫(כ‪ 40% -‬נתח שוק) עם כ‪ 2,500 -‬עובדים‪ ,‬אנו‬
‫מספקים פתרונות בכל התחומים לכל רבדי‬
‫השוק‪ .‬היום יש סיכונים רבים בגלל היקפי התוכן‬
‫המיוצרים ע”י כל אחד ברשתות חברתיות‪ .‬אנו‬
‫מגנים על עננים ענקיים‪ ,‬למשל הענן החדש‬
‫שהולך וגדל של מנב”ס – משרד החינוך‪ ,‬שכבר‬
‫יש בו כ‪ 400 -‬בתי ספר‪ .‬השקענו במערכות‬
‫חדישות ובעת האחרונה התקנו אצלנו מערכת‬
‫חדישה של ‪ ,Networks Arbor‬שהפך להיות רכיב‬
‫מרכזי ברשת ההגנה שלנו‪ .‬זו שכבה של מערכת‪,‬‬
‫שהוכיחה את עצמה כטובה בהגנה על מערכות‬
‫מורכבות‪ ,‬כולל אלו של ‘ממשל זמין’ ועמדה בכל‬
‫העומסים שנוצרו בעת האחרונה”‪.‬‬
‫דוד אלוש‪ ,‬מנכ”ל ומייסד ‪ ,CloudCom‬נציגת ‪ Box‬בישראל‬
‫דוד אלוש‪ ,‬מנכ”ל ומייסד ‪ ,CloudCom‬נציגת ‪Box‬‬
‫הארגונית ואכיפתה”‪.‬‬
‫בישראל‪ ,‬מפרט‪“ :‬יש ‪ 7‬טבעות אבטחה‪ ,‬שחייבות‬
‫להתקיים בכל ארגון‪ ,‬אחרת אין כל טעם במערכות‬
‫האבטחה‪:‬‬
‫‪ .1‬אבטחה אפליקטיבית (כולל ‪.)In-Log‬‬
‫‪ .2‬אבטחת ה‪.On-Sign Single( SSO( -‬‬
‫‪ .3‬הרשאות וניהול רישום – ‪.Trail Audit‬‬
‫‪ .4‬הצפנת התנועה והמידע‪ ,‬באחסון ובתנועה‪.‬‬
‫‪ .5‬אבטחת הרשת‪ .‬כולל ‪ IDS\IPS‬ו‪.FW -‬‬
‫‪ .6‬אבטחת חוות שרתים‪.‬‬
‫‪ .7‬אבטחה פנים ארגונית‪ .‬קשור לקביעת המדיניות‬
‫עידו גנור‪ ,‬מנכ”ל ‪ ,Security IPV‬מוסיף לנושא‪:‬‬
‫“לפני שמתקינים מוצרי אבטחת מידע‪ ,‬טלאי על‬
‫טלאי‪ ,‬יש צורך לתכנן את אסטרטגיית אבטחת‬
‫המידע ולתכנן בקפידה את ארכיטקטורת אבטחת‬
‫המידע‪ .‬ארכיטקטורת אבטחת המידע היא ‘חשיבה‬
‫מחוץ לקופסה’ ופעילות פרואקטיבית‪ ,‬בראייה‬
‫הוליסטית של אנשים‪ ,‬תהליכים וטכנולוגיות‪ .‬הרוב‬
‫מתעסקים בטכנולוגיות וזו טעות חמורה”‪.‬‬
‫עידו גנור‪ ,‬מנכ”ל ‪IPV Security‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪27‬‬
‫תופעת ה‪ Big Data-‬עשויה לסייע בטיפול במצב זה על ידי מומחי‬
‫אבטחת המידע‪ ,‬תוך הדגשת הצורך של הארגונים לבחון מחדש‬
‫את מגוון הפתרונות של אבטחת מידע הנבחרים עבור הארגון‬
‫שלהם‪ .‬שילוב אבטחת מידע עתירת‪-‬בינה עם ניתוחי מידע מסוג‬
‫‪ Big Data‬יוצר פוטנציאל למתן סיוע לארגונים בפתרון הבעיות‬
‫המורכבות של איומים מתקדמים‪ ,‬ועל ידי כך מספק מענה‬
‫לדרישה משמעותית הקיימת כיום בשוק עבור נושא זה‪.‬‬
‫בעידן הביג דאטה‪ ,‬הגיקים ישלטו בעולם‪ .‬העידן‬
‫הזה טומן בחובו סכנות אבטחת מידע וחשיפת‬
‫פרטיות – אבל גם הזדמנויות לשיפור טכנולוגי‬
‫ולשיפור היבטים שונים בעולם‪ .‬עידן הביג דאטה‬
‫הוא בעל פוטנציאל והזדמנות חשובה ביותר‬
‫לשנות את חיינו‪ ,‬לשפר את איכותם‪ ,‬ובעיקר‬
‫לעשות זאת בעולם ה‪ IT-‬הבריאותי‪ ,‬שם לטיפול‬
‫במידע רחב היקף יש משמעויות של חיים ומוות‪.‬‬
‫כיום‪ ,‬יותר מדי ארגונים מקבלים החלטות‬
‫מבוססות הנחות‪ ,‬בעוד שהן צריכות להיות‬
‫מבוססות מידע ונתונים ‪ ,‬כמו בעולם המודיעין‪.‬‬
‫אבל זה לא עובד ככה‪ ,‬צריך לדעת לשאול את‬
‫השאלות הנכונות‪ .‬ההערכה היא שבקרוב‪ ,‬יהיה‬
‫מקצוע חדש – מדעני מידע‪ ,‬שיסייעו לטיפול‬
‫בתחום הצומח הזה של מסת מידע‪ ,‬שממשיך‬
‫לגדול ללא הרף‪.‬‬
‫שבחשיפת פרטיות והיבטי "האח הגדול"‪ ,‬אולם‬
‫יש להביט על הצדדים החיוביים גם כן‪ :‬התועלות‬
‫הטכנולוגיות שיכולות לשנות מגגון היבטים בחיי‬
‫האנושות ולקדם תחומי חיים רבים‪ ,‬ובראשם ה‪IT-‬‬
‫בעולם הבריאות‪.‬‬
‫העולם מקושר וממוכשר‪ ,‬ולכן חשיבות היבט‬
‫אבטחת המידע הולכת וגדלה‪ .‬פתחנו את עצמנו‬
‫לפני עשור ומאז אנו חשופים לבעיות אבטחת‬
‫מידע ופרטיות קשות‪ .‬קיים חוסר יעילות גלובלי‬
‫של ממשלות ומשטרות וחוסר קשר ביניהן לטובת‬
‫תפיסת ההאקרים‪.‬‬
‫האנושות במרביתה הולכת להיות גיקית‪ ,‬ואבטחת‬
‫המידע תהיה קשה‪ ,‬ולא נצליח לפתור את כל‬
‫הבעיות של הפשע הקיברנטי‪ ,‬כמו שלא פתרנו‬
‫את הבעיות בעולם הפשע הפיסי – אבל תמיד‬
‫נצטרך להילחם באי‪-‬הוודאות‪ .‬על מנת לצמצם‬
‫מימד זה‪ ,‬נבנה מודל אבטחת מידע מבוסס בינה‪,‬‬
‫עם ניהול סיכונים מובנה‪ ,‬אג'ילי (‪ ,)Agile‬בתוך‬
‫הקשר פרואקטיבי‪ .‬במודל זה‪ ,‬לביג דאטה יהיה‬
‫מרכיב מפתח‪ .‬הטכנולוגיה החדשה אומנם עוזרת‬
‫לנו בהיבטים רבים‪ ,‬אבל טומנת בחובה בעיות‬
‫רבות – ועליהן יש לתת מענה‪.‬‬
‫טיפול אסטרטגי‬
‫ביג דאטה והקשר שלה‬
‫לעולם אבטחת המידע‬
‫עולם המחשוב בעידן הביג דאטה והמחשוב הנייד‬
‫בעידן ה‪ BYOD-‬הן המגמות החשובות ביותר‬
‫בעולם ה‪ IT-‬כיום‪ ,‬והעולם טרם הבין לעומקו את‬
‫המשמעויות הגלומות בניצול הטכנולוגי שלהן‪.‬‬
‫בתחילת שנות ה‪ ,2000-‬כמות המידע המאוחסן‬
‫בעולם עמדה על אקסה‪-‬בייט‪ ,‬ואילו כיום הכמות‬
‫עומדת על זטה‪-‬בייט‪ .‬לפני יותר מעשור כמות‬
‫משתמשים האינטרנט עמדה על ‪ 513‬מיליון‪ ,‬ואילו‬
‫כיום הנתון עומד על ‪ 2.1‬מיליארד‪ .‬לפני כעשור‬
‫היו בעולם ‪ 940‬מיליון טלפונים ניידים‪ ,‬ואילו כיום‬
‫יש כ‪ 6-‬מיליארד‪ .‬אז העבירו מסרים מיידיים עם‬
‫תוכנות כדון ‪ ,AOL‬וכיום הפייסבוק היא המדינה‬
‫השלישית בגודלה בעולם‪ ,‬אחרי הודו‪.‬‬
‫יתרון לביג דאטה‬
‫הביג דאטה זה יותר מאשר הרבה מידע‪ .‬זו היכולת‬
‫לפשט משמעויות‪ ,‬למצוא דפוסים נסתרים‪ ,‬לקבל‬
‫הקשרים מפתיעים‪ ,‬ליצור קשרים לא ידועים‪.‬‬
‫עולם הביג דאטה מפחיד בשל הפוטנציאל‬
‫‪28‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫הטיפול בביג דאטה בארגונים חייב להיות מטופל‬
‫ברמת האסטרטגיה ולא כפרויקט ‪ .IT‬המידע‬
‫שבביג דאטה הארגוני הוא יקר ערך וחשוב‬
‫לאבטח אותו‪ ,‬מפני שהוא יכול להכיל נתונים על‬
‫אנשים שאפילו הם לא יודעים אותם על עצמם‪.‬‬
‫כיום מוקמות מערכות הביג דאטה ללא אבטחה‬
‫ראויה‪ ,‬והדבר יכול להוביל לאי נעימויות ובעיות‬
‫פרטיות שכבר צצות ועולות כל הזמן‪ .‬חברות‬
‫צריכות להבין שהן חייבות להגן על פרטיות‬
‫לקוחותיהן בחירוף נפש‪.‬‬
‫כבר היום נכתבות נוזקות למוצרים חדשים‬
‫ולבסיסי נתונים ‪ NoSQL‬שנמצאים בבסיס של‬
‫תחום הביג דאטה ושהערך שלהם הוא עצום‪.‬‬
‫צריך להיכנס לתחום הזה עם ראייה של יותר‬
‫מ‪ 10-‬דקות קדימה‪ ,‬לתכנן נכון את האסטרטגיה‬
‫ולשאול הרבה פעמים "למה"?‪ .‬יש מספק שאלות‬
‫יסוד שכל לקוח צריך לענות עליהן עוד בשלב‬
‫התכנון ויש נושאים שחייבים להתחשב בהם‪,‬‬
‫כמו עלויות‪ ,‬זמינות ומהירות הגישה לנתונים‪.‬‬
‫צריך בנוסף לקחת בחשבון שבעתיד הקרוב יהיו‬
‫ניסיונות פריצה לבסיסי הנתונים הללו ולא רק‬
‫מחוץ לארגון‪ ,‬אלא גם מתוכו – בגלל הערך הרב‬
‫של המידע‪.‬‬
‫מצא את המטמון‪...‬‬
‫בתוך הביג דאטה‬
‫הדרך למציאת המטמון‪ ,‬הערך העסקי‪ ,‬עוברת‬
‫דרך הסתכלות על כלל מרכיבי ההצלחה‪ :‬המידע‪,‬‬
‫הטכנולוגיה‪ ,‬התהליכים‪ ,‬ההיבטים הארגוניים‬
‫והאנשים‪ .‬היכולת למצוא את המטמון באמצעות‬
‫הביג דאטה מחייבת לבצע את הצעדים הנכונים‪:‬‬
‫חשוב להבין את האסטרטגיה של הארגון‪ ,‬לאן‬
‫הוא רוצה ללכת‪ ,‬מהם היעדים העסקיים שלו –‬
‫ודרך זה להביא את השינוי והערך העסקי‪ .‬בדרך‬
‫חשוב גם לשאול איזה מידע נכון לנו ומשרת אותנו‪,‬‬
‫איזו טכנולוגיה רלוונטית ומתאימה לצורך‪ ,‬האם‬
‫אותם אנשים שהיו עד עכשיו רלוונטיים הם עדיין‬
‫כאלה בעולם החדש של הביג דאטה‪ ,‬והאם צריך‬
‫להיערך אחרת‪.‬‬
‫מדובר בשינוי מהותי בתפיסה‪ ,‬והשינוי הזה לא‬
‫אמור להתרחש בבת אחת‪ ,‬אלא יש להסתכל על‬
‫כל מרחב הצרכים ולטפל בדברים שיביאו הצלחה‬
‫בטווח המיידי ואז ההצלחה תזין את עצמה‪ .‬יש שלוש‬
‫סיבות עיקריות לכך שכל זה קורה עכשיו‪ .‬הראשונה‬
‫היא שאנחנו נמצאים כיום בעולם דיגיטלי‪ ,‬בזירת‬
‫האינטרנט‪ .‬אם עד היום כל ארגון היה מסתפק‬
‫במידע הקיים בתוכו‪ ,‬כללי המשחק כיום השתנו‪.‬‬
‫הזירה המעניינת והמשפיעה נמצאת באינטרנט‪.‬‬
‫בנוסף‪ ,‬קיימת בשלות טכנולוגית שמאפשרת לנטר‬
‫כל דבר ויש הרבה פתרונות אחסון חדשים‪ .‬ההיבט‬
‫השלישי מכונה ‪ Nexus of Forces‬והוא החיבור‬
‫של ארבע כוחות‪ :‬רשתות חברתיות‪ ,‬ניידות‪ ,‬ענן‬
‫ומידע‪ .‬מערכת היחסים והקשרים ביניהם מייצרת‬
‫הזדמנויות עסקיות חדשות‪.‬‬
‫לקחים בעידן‬
‫הביג דאטה‬
‫הלקח הראשון הוא שההתמודדות עם הביג‬
‫דאטה הופכת למיינסטרים‪ .‬מנהלי מערכות‬
‫מידע שהשקיעו בשנת ‪ 2012‬בהוכחת יכולות‬
‫ולימוד הטכנולוגיה יחלו בשנת ‪ 2013‬לקלוט את‬
‫המערכות לתוך תהליכי הייצור וכך להשפיע‬
‫ישירות על רווחיות הארגון‪ .‬מי שהתכונן ב‪,2012-‬‬
‫יתחיל עכשיו לקצור פירות‪.‬‬
‫הלקח השני מתייחס לאימוץ טכנולוגיות הביג‬
‫דאטה‪ .‬זה מתחיל בדרך כלל כתרגיל הנדסי‪,‬‬
‫ללימוד טכנולוגי ללא התייחסות לאיכות התשתית‪,‬‬
‫ובעת המעבר ליישום ולרצפת הייצור בחדרי ה‪,IT-‬‬
‫דורש התייחסות לתרחישים שעומדים בכללים‬
‫המחמירים הנהוגים בכל ארגון‪.‬‬
‫כלקח שלישי‪ ,‬חשוב למנות דווקא את יכולות‬
‫הריפוי עצמי שכלולות בטכנולוגיות הללו‪ .‬אולם‬
‫שילוב עם תשתית טכנולוגית מתאימה מאפשר‬
‫האצת ביצועים על חשבון התעסקות עם ריפוי‬
‫עצמי‪.‬‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪29‬‬
‫בגיליון הבא‬
‫ •האיום שבפנים‬
‫סקירהטכנולוגית‬
‫ •כיפת ברזל דיגיטלית – חלום או‬
‫מציאות?‬
‫‪RIPS‬‬
‫ •באיזה מתודולוגיית ‪BCM‬‬
‫נשתמש?‬
‫מדובר בכלי סריקה אפליקטיבי לאפליקציות ‪ .PHP‬יצא לראשונה במאי ‪ 2010‬ועודכן‬
‫בגסרתו הנוכחית במרץ ‪ .2012‬מבוסס קוד פתוח ובעל ממשק משתמש מבוסס‬
‫‪ ,WEB‬קל ונוח לתפעול‪.‬‬
‫הכלי מספק בין היתר מענה ל‪:‬‬
‫•‪ ,XSS‬הזרקת שאילות ‪ )SQL (SQL Injection‬ופגיעויות אבטחה ידועות נוספות‬
‫•סימון השורות הבעייתיות בהן נמצאו ליקויי אבטחה‬
‫•מדגיש משתנים ב‪Code Viewer-‬‬
‫•תצוגה גראפית נוחה ונגישה‬
‫•מספק למשתמש הסבר לגבי כל רגישות אבטחה שנתגלתה בסריקה‪ ,‬ופתרונה‪.‬‬
‫הכלי מיועד לביצוע בדיקות קוד לאנשי אבטחת מידע ומתכנתים אולם עלול לשמש‬
‫גם תוקפים לאיתור פרצות אבטחה בקוד באתרים מבוססי ‪ .PHP‬הכלי ניתן להורדה‬
‫חינם‪.‬‬
‫‪Nikto Web Scanner‬‬
‫ •ניהול סיכונים בעולם ה‪DRP-‬‬
‫ •מלחמת הסייבר ממשיכה להכות‬
‫דרגת סיכון‪ :‬כשלעצמו‪ ,‬הסיכון אפסי‪ ,‬אולם עקב התחכום הרב שלו והיכולות‬
‫הגבוהות שהוא מציג יש להתייחס אליו כאל כלי ל"מודיעין לפני מבצע" או ככלי מסייע‬
‫בזמן תקיפה ממש‪ ,‬ולכן יש להתייחס אליו כאל כלי בעל רמת סיכון גבוהה ביותר‪.‬‬
‫בין הכותבים שלנו‪:‬‬
‫ניר ולטמן ‪ CISO -‬בחברת ‪RETALIX‬‬
‫‪ .Perl‬הכלי תומך ב‪ .SSL, HTTP PROXY-‬הכלי גם בודק קבצי אינדקס מרובים‬
‫ואפשרויות של שרתי ‪ .HTTP‬אחת הסריקות של הכלי‪ ,‬מנסות לזהות גרסאות של‬
‫שרתים ואת התוכנות המותקנות עליהם‪.‬‬
‫לתוכנה יש תוספות רבות (‪ )Plug-ins‬שניתן לעדכן בקלות‪.‬‬
‫דרכי התמודדות‪ :‬הכלי רב עוצמה אולם נועד לבדיקה מהירה ויסודית ולא לבדיקה‬
‫חשאית‪ ,‬ולכן כל כלי ‪ IDS/IPS‬יזהו אותו בקלות‪ .‬יש לחסום בדיקות מסוג של שהן לא‬
‫רצויות (שלא בוצעו כחלק מהבדיקות אבטחה של הארגון על המערכות שלו)‬
‫הפרטים אודות כלי האבטחה שמפורטים בכל גיליון‪ ,‬נועדו לצורך הרחבת הידע בלבד‪ .‬חל איסור שימוש בכלים אלה‪ ,‬הן בתוך הארגון‪ ,‬והן על ארגונים חיצוניים ללא קבלת‬
‫אישור בכתב מגורם מאשר בתוך הארגון‪ .‬אין הנהלת האיגוד או המערכת של העיתון אחראים על נזק שעלול להיגרם כתוצאה משימוש מזיד בתוכנות אלה‪.‬‬
‫‪30‬‬
‫ •כיצד לבנות תוכנית‪BCP/DRP‬‬
‫הולמת‬
‫מדובר בכלי שמבוסס קוד פתוח‪ ,‬המשמש לסריקת נקודות תורפה בשרתי ‪.WEB‬‬
‫הגרסה האחרונה הינה ‪ ,2.1.4‬וככלי קוד פתוח הוא מאוד פופולרי‪ ,‬ויש לו אלפים רבים‬
‫של ואריאציות שונות‪.‬‬
‫אופן פעולה‪ :‬כדי להריץ את הכלי‪ ,‬יש צורך בהתקנה של ‪Perl, OpenSSL, ActiveState‬‬
‫גיליון ‪ | 7‬ינואר ‪| 2013‬‬
‫ •היום שאחרי‪...‬‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫מערכות פגיעות‪ :‬הכלי בודק למעלה מ‪ 6400-‬בדיקות על כ‪ 1200-‬גרסאות שרתים‬
‫שונים ובודק נקודות תורפה ידועות על ‪ 270‬גרסאות שרים‪.‬‬
‫הערות‪:‬‬
‫ •מצב ה‪ DRP-‬בישראל‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫הדס שני ‪ -‬ראש צוות ‪ CERT‬בתהיל“ה‬
‫אלי כזום ‪ -‬מנהל אבטחת מידע אגף המכס והגבייה‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫נא לפנות אלינו בכתובת‪:‬‬
‫‪[email protected]‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫| גיליון ‪ | 7‬ינואר ‪2013‬‬
‫‪31‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫שם הקורס‬
‫תיאור הקורס‬
‫מסלול‬
‫משך הקורס‬
‫תאריך פתיחה תעודה‬
‫מסלול להכשרת מנהלי אבטחת מידע‬
‫(‪ )CISO‬מוסמכים‬
‫מסלול ייחודי להכשרת מנהלי אבטחת‬
‫מידע בעל ‪ 2‬הסמכות בינלאומיות‪.‬‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪25.03.2013‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 56‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי ארוך במיוחד להכנה‬
‫לבחינת ההסמכה‬
‫‪ 100‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫מסלול להכשרת מנהלי ניהול סיכונים (‪ )CRO‬מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪Mobile Forensics‬‬
‫מסלול ייחודי להכשרת מומחי‬
‫ניתוח ממצאים בפלאפונים חכמים‪,‬‬
‫מכשירי‪ ,GPS ‬וטאבלטים‪.‬‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪14.04.2013‬‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫‪Cyber Security and Incident Handling‬‬
‫מסלול טכנולוגי ייחודי ובלעדי‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת‪ [email protected] :‬או לטלפון‪077-5150340 :‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫‪077-5150340‬‬
‫חייגו‪:‬‬
‫אקדמיה‪ :‬דוא"ל‬
‫‪[email protected]‬‬
‫מכירות‪ 054-9844855 :‬דוא"ל ‪[email protected]‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬