e n i z a g a M y t i r u c e S n o i מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 7ינואר 2012 בשער דאטה ביג והקשר שלה לעולם אבטחת המידע סיירת מטכ"ל של אבטחת המידע פינתו של CISO מאפיינים לאבטחת תוכן בענן t a m r o f n I דבר נשיא האיגוד הישראלי לאבטחת מידע ()ISSA חבר\ה יקר\ה דבר העורך לאחר שנה עמוסה אשר חשפה בפנינו פנים חדשות לעולם הסייבר ,אנו מתחילים את השנה החדשה ,עם אתגרים לא פשוטים, כאשר משימתו של מנהל אבטחת המידע נעשית קשה מתמיד. ראשית ,התפוצצות כמויות המידע ,בעידן הביג דאטה ()Big Data שכולל גם מידע עסקי רגיש ,ימשיך להעסיק את הארגונים גם בשנה החדשה. ארגונים יצטרכו להתמודד עם הבעיות מצד אחד ,והספקים נדרשים לספק לשוק פתרונות יצירתיים לניצול וניהול הביג דאטה בצורה נאותה. לאחר שנה עם ריבוי מתקפות בעולם הסייבר ,אני שמח לפתוח את השנה האזרחית החדשה ,במספר בשורות טובות .בקרוב מאוד יעלה לאוויר האתר החדש של האיגוד ,שבו חברי האיגוד יוכלו להנות מספרות וחומר מקצועי במגוון תחומי הקשורים לעולם אבטחת המידע וניהול סיכונים .בנוסף ,אנו נפרסם בקרוב את הלו"ז של כל ההרצאות אשר יתקיימו במהלך שנת 2013 במסגרת פעילות האיגוד .כמו כן ,אנו עובדים נחרצות להרים את הכנס השנתי הבינלאומי שלנו עם מגוון אורחים מכובדים מאוד מחו"ל .פרטים בקרוב. מגמה שנייה היא התרחבות המונית של הצטרכנות ה – IT-תהליך המתמקד בשימוש מתרחב בטלפונים חכמים ומכשירים ניידים בארגונים המאפשרים לעובדים לעבוד עם מכשירים אלה מול מערכות ה IT-הארגוניות .מצב זה מעלה שורת איומי אבטחה בפני מנהלי אבטחת המידע אשר מצד אחד צריכים לאפשר את המשך תפעולו התקין על העסק ,ומצדו השני ,צריכים לדאוג גם לשמור על רמת אבטחה נאותה. עם פתיחת השנה האזרחים החדשה ,אני רוצה להודות שוב לחברי הנהלת האיגוד על תרומתם בניהול ותפעול הפעילויות וכמובן רוצה לברך את החברים החדשים אשר הצטרפו לאיגוד. כמו כן ,יש תחכום הולך וגובר ברמת האיומים .מדי שנה מתגלות אלפי פרצות אבטחה חדשות .לרוב הארגונים נותרים ללא מענה הולם בפני כמות הפרצות ובמרוץ הזמן בניהול טלאים. בברכה, והמגמה הרביעית היא שכל הבעיות נמצאות בכל מקום :ארגונים ממשיכים לעבור לפלטפורמות חדשות ,לרבות מחשוב ענן, וירטואליזציה ,מעבר לעולם הנייד ורשתות חברתיות. דני אברמוביץ נשיא האיגוד מה בגיליון? השפעתם של כלי שיתוף בענן בארגוני האנטרפרייז ניהול סיכונים קל מאוד לפרוץ לסמארטפון פינתו של CISO הוועידה השנתית ה 6 -לאבטחת מידע 2013 מצפה לנו שנה מאוד מעניינת מבחינת אבטחת מידע. ושתהיה שנה בטוחה לכולנו! עורך ראשי :דני אברמוביץ סגן עורך :שלומי מרדכי המערכתTITANS SECURITY GROUP : צלם המערכת :יוסי טובליס דוא"ל[email protected] : האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. 2 גיליון | 7ינואר | 2013 | גיליון | 7ינואר 2013 3 השפעתם של כלי שיתוף בענן בארגוני האנטרפרייז השפעתם הדרמתית של כלי השיתוף בענן ( )Collaboration Toolבארגוני ה Enterprise-משנים ללא ספק את הדרך שבה אנשים מתקשרים ומאיצים בתוך כך את התפשטות המידע בארגון במהירות וביעילות. מאת דוד אלוש ,מנכ"ל ומייסד חברת CloudCom נציגת ,Boxפלטפורמת בינלאומית לשיתוף מידע מאובטח מוצפן בענן. חברת המחקר הבינלאומית McKinseyפרסמה לאחרונה תוצאות מחקר שסקר את השפעתם של כלי שיתוף בארגוני אנטרפרייז .התוצאות מראות בין היתר ש 77% -מבין הנשאלים בארגונים רואים גישה מהירה יותר למידע 60% ,מצאו הפחתה דרמתית בתקשורת/דוא"ל 52% , רואים גישה מהירה יותר למומחים פנימיים/חיצוניים ולמעלה ממחצית הנשאלים מדווחים כי ראו ירידה משמעותית בזמן שלוקח למשתמשים ולצוותים כדי להשלים משימות עסקיות. סקר Forresterעדכני מצא כי 72%ממקבלי החלטות ITאומרים כי המוטיבציה העיקרית שלהם להשתמש בפתרון שיתוף בענן מבוסס SaaSהיא לשפר את הגמישות העסקית על ידי הוספה של תהליכים עסקיים חדשים וחדשניים ליכולות הקיימות של ה.IT - המגמות ברורות :כלי שיתוף בענן משנים ללא ספק את הדרך שבה אנשים מתקשרים ומאיצים בתוך כך את התפשטות המידע במהירות וביעילות .כבר היום אנו עדים לשינוי דרמתי באופן בו אנו מחליפים מידע ומשתפים אותו במקום העבודה. זהו עידן של תקשורת חברתית שמתורגמת מהר מאוד לשורת 4 גיליון | 7ינואר | 2013 הערך התחתונה של הארגון .הדרך בה אנו עובדים היום היא שונה מהאופן בו אנו עבדנו רק לפני שנים ספורות ובתוך כך אנחנו חייבים להתאים את עצמנו למציאות זו. סביבות שיתופיות משופרות מהוות הזדמנות עבור ארגונים לחדד את המודלים העסקיים שלהם. ארגונים צריכים פתרונות ושירותים המאפשרים לאנשי מקצוע ביצוע עבודה טובה יותר בסביבות העסקיות המשתנות של ימינו. כלי השיתוף מעודדים שיתוף של רעיונות שאולי לא היה אפשרי בלעדיהם וזאת להבדיל משיטות התקשורת ארגוניות הקיימות כגון דוא"לFTP, וכונני רשת בהן המידע אינו מובנה ולא מאפשר למצוא במהירות את המידע הנדרש. הכללתם של כלי שיתוף מספקת אפשרויות אינסופיות לשיפור פריון עבודה ,איכות העבודה והחוויה הכוללת בעבודה .עובדים צריכים כל הזמן כלים שיאפשרו להם לנווט בין הגבולות הארגוניים ,לעודד שיתוף של רעיונות ,להתחבר לאנשים הנכונים ולהגביראת קצב ואיכות העבודה שלהם .בתוך כך ,עובדים נוטים יותר להשתתף ביוזמות של חדשנות ,לשאול שאלות ,לשתף ברעיונות ,ולגלות מה אנשים בסביבתם העסקית הקרובה חושבים בזמן אמת על נושאי פעילות משותפים להם. מידע רגיש המועבר מספר פעמים ביום עם אנשים בתוך ומחוץ לחברה מחייב שימוש בפלטפורמות טכנולוגיות חכמות הכוללות גם כלי שיתוף מאובטחים המאפשרים לעסקים להגן על המידע של חברה באופן רציף. החשש למעבר לענן מובן וימשיך להדיר שינה כל עוד נהיה חשופים לפלטפורמות טכנולוגיות/ אינטרנטיות המהוות חלק בלתי נפרד ממערכות התפעול היוםיומיות של כולנו .יחד עם זאת ולשם כך נקבעו תקני אבטחה מחמירים המקובלים בסטנדרטים בהן נבחנות מערכות מסוג זה. יעידו על כך חברות שמגלגלות מיליארדי דולרים כדוגמת ( P&Gפרוקטר&גמבל) עם עשרות אלפי עובדים שסמכו ידם על תקני אבטחה אלו ועברו לשימוש בכלי שיתוף בענן. מערכות השיתוף המתקדמות בענן כוללת למעשה סדרת פתרונות הכוללות בין היתר: Document Management, Online File System, FTP replacement , Deal Room , Project .Management, Manage File Transfer כמו כן מאפשרות שילוב מאובטח של אפליקציות המרחיבות את הפונקציונאליות הארגונית הנדרשת. לסיכום ניתן לומר שלכלי שיתוף בענן יש את היכולת לחולל שיפור בתהליכים העסקיים והחזר השקעה צריך להימדד בסופו של דבר על פי תוצאות של תהליכים עסקיים. • למידע ומאמרים נוספים בתחום www.CloudCom.co.il • לשאלות ניתן לפנות באמצעות הדוא"ל [email protected] • להתייעצות טלפונית אישית 054-4637000 - | גיליון | 7ינואר 2013 5 מאפיינים לאבטחת תוכן בענן בעידן ה- Exo מאת דוד אלוש ,מנכ"ל ומייסד חברת CloudComנציגת Boxבישראל, פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן. החשש למעבר לענן מובן וימשיך להדיר שינה כל עוד נהיה חשופים לפלטפורמות טכנולוגיות המהוות חלק בלתי נפרד ממערכות התפעול היוםיומיות של כולנו. יחד עם זאת ולשם כך נקבעו תקני אבטחה בהן נבחנות מערכות אלו ונסקרות במאמר זה. על מנת להבטיח את אותה שלמות במערך האבטחה ,השרידות והיתירות ושהתוכן בענן יהיה בלתי נגיש לגורמים שאינם מורשיםנ בחין בשבעה מעגלי אבטחה: מעגל ראשון הגדרות אפליקטיביות מעגל זה כולל פרמטרים המוגדרים תחת מדיניות ארגונית ומכיל בין היתר את היכולות הבאות: 1.1אפשרות קביעת חוזק סיסמא ,הגבלת מספר תווים ,שימוש בספרות ,אילוץ שימוש בתווים מיוחדים וכו. 2.2אפשרות אילוץ איפוס סיסמה הן ברמת המשתמש הבודד והן ברמת כוללת כחלק ממדיניות כלל ארגונית. 3.3אפשרות מניעת שימוש חוזר בסיסמא. 4.4משלוח התראות וחסימת גישה אטוטמטית, במעבר סף כשלונות . Login 5.5הגבלה וקביעת פרק זמןמקסימלי מרגע תחילת תהליך הכניסה למערכת. 6.6חסימת גישה מיידית לעובד שסיים עבודתו, 6 גיליון | 7ינואר | 2013 פרוצדורות תואמות ,לאבדן או גניבת מכשיר נייד. 7.7מתן אפשרות אימות כניסת משתמשים בשני שלבים ,באמצעות ערוצים מקבילים גם במכשירים ניידים. 8.8ניהול גישה מבוססת תפקידים וניהול קבוצות משתמשים. 9.9ניהול משתמשים ,קביעת הרשאות גישה בכמה רמות של צפייה ,עריכה ,הורדה, העלאה ,הדפסה וכו' . 1010הגבלת חשיפת תוכן באמצעות סיסמא או קביעת תאריך תפוגה עתידי. 1111מתן אפשרות חסימת שיתוףתוכן או שליחת חומר מחוץ לדומיין האירגוני. 1212מעקב על כל תנועה של קובץ במערכת ,מי יצר ,מי העלה ,מי צפה ,מי הוריד וכו' סיסמא .המשתמש ,לא אמור להידרש לזכור מספר ססמאות רב .התחברות למחשב האירגוני שלו תספק תעודת אוטנטיקציה במעבר שקוף .זכירת מספר גדול של סיסמאות לעיתים מביאה את המשתמש להוריד אותם לכתב (פריצת אבטחה חמורה) ולעיתים מאלצת את המשתמש "למחזר" סיסמא אחת במספר מערכות וחלקן מחוץ לארגון בשרותים אחרים בהם הוא משתמש. Active Directory/LDAP 2.2שילוב במנגנון האירגוני ,תאפשר לאירגון לשלוט בכל מערכות ניהול המשתמשים ממקום אחד מרכזי .בתוך כך יש לוודא שבכל הסרה של משתמש מ Active directoryהאירגוני ינותק גם המשתמש מכל האפליקציות האחרות שלו. 3.3תמיכה בלפחות אחד מפרוטוקולים כדוגמת Markup Languageבכל תקשורת בין הדפדפן לIDP - Identity provider.SAML - הינו פרוטוקול מוכר המאפשר לארגון להעביר באופן מאובטח פרטי אוטנטיקציה ואוטוריזציה ביחסי אמון. SAML 2.0 - Security Assertion מעגל שני - Single Sign-on SSO 1.1שימוש ב SSOמנטרל באופן מיידי פריצות אבטחה מהחמורות בנמצא כגון גנבת SSL 4.4נדרש שינוע של ססמאות מוצפן ב , 256מניעת אחזקתן בחשבון האינטרנטי וחסימת אפשרויות איפוס ב SSOבאמצעות חשבון האינטרנט. 5.5מתן אפשרות זיהוי משתמשבאוטנטיקציה במולטי פאקטור ( out of band ) authenticationבאופן כזה שמשתמש במערכת יקבל איתות בערוץ מקבילי שהוא איננו הערוץ דרכו הוא מנסה להתחבר. 6.6גישה ממכשירי ניידים :בכל גישה למכשיר נייד נדרשת החלתמדיניות SSOומוצפן באמצעות .SSLבכל מקרה של אבדן או גנבת מכשיר נדרשת המערכת לאפשר ניתוק הקשר בזמן אמת בנוסף לאפשרות של חסימה ו/או נעילת גישה מכל סוג שהוא באמצעות קוד נעילה במקרה בו עלול מכשיר נייד ליפול לידיים זרות. מעגל שלישי הרשאות וניהול רישום ()Full Audit Trail 1 .1מעקב -נדרש מעקב מלא על כל תנועה של משתמש וקובץ במערכת ,מי יצר,מי העלה,מי צפה ,מי הוריד וכו'. 2 .2בקרה -נדרשת מערכת של דוחות בקרה ותפעול לאיתור וניתוח כל פעילות ומכל סוג שהוא בחשבון המשתמש בין היתר של מיון וסינון דוחות בפילטרים של קבוצות משתמשים ,תאריכים ,קבצים ,ומשתמשים. 8 .8גישה למסמכים מתוחמת בזמן :נדרשת אפשרות לקבוע תאריך תפוגה לחשיפת מסמך בקישור ,בפקיעת המועד שנקבע, המסמך יחדל להיות זמין . 3 .3אתראות -מתן אתראות מפני פריצה אפשרית ונסיונות חדריה למערכת. 9 .9שיתוף :בכל יצירת תיקיית שיתוף נדרשת אפשרות להזמין שותפים על פי תפקידם לדוגמא :להגביל את שותפיך למסמך או לתיקיה בהנתן להם הרשאות של צפייה בלבד .הרשאה זו תמנע מהם לבצע "הורדה" של המסמך לערוך אותו או לטעון לתיקייה מסמכים אחרים. 4 .4הרשאות -קביעת מערך הרשאות פרטני המאפשר שליטה ברמת קובץ,תיקייה ,משתמש וקבוצה. 5 .5הגנת ססמא :מתן אפשרות לשתף מסמך או קובץ באמצעות סיסמא ,כך שרק משתמש המחזיק בססמא יוכל לעיין במסמך. 6 .6התראות :נדרשת יכולת למתן התראה לדוא"ל באירועי :צפייה ,הורדה ,כתיבת הערה למסמך ,עריכה ,או העלאה של מסמך לתיקיה או לקובץ .בתוך כךרצוי לקבל גם רשימת התראות מסכמת אחת ליום בהתאם להעדפות המשתמש. 7 .7קישורים :אחת הדרכים לשתף מסמך היא לשלוח ליעד כלשהו קישור ,לקישור זה מפתח יחודי ונדרש לקבוע אם מקבל הקישור יוכל לבצע פעולת הדפסה הורדה של המסמך או לצפות בו בלבד. 1010הרשאות גלובליות :נדרשת אפשרות לקבוע מגבלות שיחולו על כל עובדי הארגון לדוגמא: מי יהא רשאי לפתוח תיקיה או "לטעון" קובץ לתוך המערכת.האם משתמשי המערכת רשאים לשתף מסמכים או מידע, האם מקבל קישור למסמך יכול "להוריד" את המסמך למחשבו האישי או למכשיר הנייד (מדיה סלולרית) שברשותו,מי יכול להזמין "שותפים" לתכנים,מהו פרק הזמן המערכתי אשר לאחריו, קישור של מסמך כלשהו שנשלח "יתפוגג" וכן מתן אפשרות לקביעת תאריך מסגרת לפרוייקטים. 1111 | גיליון | 7ינואר 2013 7 סיירת מטכ"ל מעגל רביעי מעגל שישי מעגל שביעי הצפנת Data חוות השרתים משרדי נותן השירות ועובדיו 1.1נדרשת הצפנה אוטומטית של מידע בכל שלב של העלאה והורדה רצוי בסטנדרט של . AES/BIT.256שימוש בסטנדרט של AES -Advanced encryption standard הוא צופן מקובל שאומץ כתקן ההצפנה הסימטרית הרשמי של ממשלת ארה"ב. 2.2גם על מפתחות ההצפנה נדרשת הצפנה ויש לשמרם במספר מיקומים/במסדי במסדי נתונים נפרדים ובתוך כך להבטיח שמיקומי המפתחות יעברו רוטציה בתדירות גבוהה. 3.3על ספק פתרונות להבטיח שגם לעובדיו הבכירים ביותר לא תהיה את היכולת לפענח מסמך כלשהו בשום דרך ובשום צורה שהיא. מעגל חמישי הרשת 1.1על הרשת המאחסנת להיות מנוטרת באופן שוטף בפני איומים ובעלת קישורים מרובים לשדרת האינטרנט על מנת שתוכל להבטיח רמת ביצועים גבוהה ,יתירות וזמינות מקסימאלית. 2.2על כל שרתי הרשת להיות מצויים מאחורי חומת אש איתנה ( )firewallהמאפשרת נגישות סלקטיבית לשרותי המערכת. 3.3באופן שוטף צריכים להתבצע בנוסף גם תהליכים אוטומטים לצורך בדיקות חדירה חיצוניותבכדי לוודא תקינות המערכת ולאבטחה מוגברת. 4.4ביו היתר נדרשות קיומן של מערכות מהסוג של ,IDS -Intrusion Detection System המשמשות כמוניטור לאיתור "פלישות" לרשת בזמן אמת. 8 גיליון | 7ינואר | 2013 1.1על חוות שרתים לעמוד בסטדנרטים ותקנים כאלו שיאפשרו בין היתר רמת יתירות גבוהה ,גיבוי תחת אבטחה פיזית 7\24 ומאויישות בשומרים חמושים והכל תחת מדיניות גישה מחמירה וקפדנית ,הכוללת מערכות לזיהוי ביומטרי ,כספות וכלובים לאכסון מידע "רגיש". האבטחה מתחילה במשרדי נותן השירות עצמו , על פי התקנים יש לוודא קיומם של פרוצדורות עבודה במדיניות החברה .כל עובד צריך לעבור הכשרת בטיחות בה מועברים לו הפרוצדורות וההליכים הנוגעים לענייני אבטחה .קיומו של תקן , SAS-70 audit reportיבטיח כי מתנהל רישום ותעוד מפורט הכולל בין היתר: 2.2על ספק השירות להצהיר על עמידה בתקני ביקורת לספקי שירותים כדוגמת SSAE 16 Type IIוהרחבה של תקן SAS .70תקן המבטיח כי נותן שירות עומד בתקנים חשבונאים מחמירים המאפשרים מתן שירותים לאירגונים מבלי לסכן את פעילותם או את המידע אשר הם מאכסנים ברשותו ,תקן זה כולל ביקורת תשתיות פיזיות ,בדיקות מקצועיות של רמת השרות, זמינות השרתים ,שלמות עיבוד הנתונים, נהלי סודיות ופרטיות ,ביקורת על התהליכי עיבוד מידע רגיש.חברות שירות מבוססות ענן ספורות ביותר ,יכולות להתפאר בתקן זה. 1.1בדיקת היסטורית עובד . 2.2רישום גישה למתקני החברה. 3.3רישום חריגות מ "שימוש מקובל" במתקני החברה. 4.4רישום מדיות ניידות ונתיקות. 5.5הפרדת ססמאות אירגוניות וססמאות יצור. 6.6ניהול הרשאות גישה. 7.7נהלים לרישום "אירוע" בטיחות. 8.8הכשרות בטיחות מידע. 9.9ניהול כל מערכות בהתאם לסטנדרטים עולמיים. 1010קביעת קונפיגורציית מערכת. 1111ניהול שינויים. 1212מערכות לזיהוי פולשים ברשת הפנימית. 1313גישה מרוחקת באמצעות VPNs with multi-factor authentication 1414סריקה ומוניטור רציף און ליין למערכות פנימיות. 1515שימוש בשרותי חברות אבטחה צד שלישי המתמחות באבטחת נתונים לבדיקת פוטנציאל חדירות ונקודות תורפה אפשריות ברשת. 1616יש לוודא קיומן של חסימות עובדי נותן השירות לנתוני הלקוח באופן שלעולם לא יתאפשר למי מעובדי השירות לראות תוכן כל שהוא של לקוח ובכל מקרה של תמיכה בלקוח ינתהל רישום ותיעוד מפורט. 3.3עמידה בביקורת חייבות להיות מבוצעת ע"י גורם צד שלישי מוסמך ובמספר פעמים בשנה. 4.4זמינות המערכות צריכות להתבסס על יתירות של N +1או יותר לכל רכיב קריטי במערכת.המינוח ( )N+1משמעותו כי לכל רכיב קריטי במערכת מוחזק לכל הפחות עותק אחד עודף. 5.5נדרש שכל השרתים יהיו מאוכסנים בכלובים וכספות המוגנים במערכות סריקה ביומטרית .הגישה לציודי החברה צריכה להיות מוגנת ומאובטחת באמצעות שומרים מזויינים 7\24אמצעי זיהוי ביומטרים ומערכות טלויזה במעגל סגור (. )CCTV 6.6לבסוף נדרשת כמובן קיומם של מערכות , UPSמערכות גיבוי ,מערכות מניעת אש והצפה באתרי האחסון. של אבטחת המידע בראיון עם דני אברמוביץ ,מנכ"ל חברת Titans "אבטחת מידע היא הרבה יותר מהטמעה של מערכות חדשות להגנה על הארגון. אבטחת מידע בארגון אנטרפרייז מחייבת את המנמ"ר ומנהל אבטחת המידע להסתכלות מערכתית על צרכי הארגון ,בנייה של ארכיטקטורת אבטחת מידע שתתמוך בצרכים העסקיים של הארגון ,עמידה בסטנדרטים בינלאומיים ורגולציות ,ותהליך של למידה ורענון פונקציות אבטחת המידע בחידושים הטכנולוגיים ובאיומים העדכניים ביותר" ,כך אמר דני אברמוביץ ,מנכ"ל חברת ,Titans Securityבראיון בו הציג את יכולות החברה ,שזכתה בקרב גורמים בשוק לכינוי המחייב "סיירת מטכ"ל של אבטחת המידע בישראל". ,Securityהוא מתאר את פעילות החברה בתחומי ייעוץ ,הדרכה וסטנדטיזציה של דני ,מהם בראייתך האתגרים המרכזיים אבטחת מידע במגזר הארגוני ,ואת הסיבות עימם מתמודדים ארגונים בתחום אבטחת המידע? שבגללן מנמ"רים ומנהלי אבטחת מידע מכנים את החברה כסיירת מטכ"ל של מגזר אבטחת תחום אבטחת המידע הוא אחד הדינאמיים ביותר שקיימים היום בעולם מערכות המידע. המידע החברה הוקמה בשנת 2010על ידי דני אברמוביץ, שמשמש בנוסף לתפקידו העסקי גם כנשיא איגוד ISSAלאבטחת מידע. החברה משמשת כחברת בוטיק המתמחה בייעוץ בתחומי אבטחת מידע ,ניהול סיכונים והמשכיות עסקית במגזר העסקי והציבורי. החברה היא היחידה בעלת הסמכה בינ"ל לביצוע של תקני ISOבתחום אבטחת המידע ,והיא פיתחה מתודולוגיה ייחודית לניהול וביצוע של פרויקטים בתחום אבטחת המידע. הניסיון הרב של יועצי החברה מאפשר לארגון ביצוע של תהליכים באופן שקוף ,במקצועיות וביעילות. לפרטים נוספים: www.titans2.com מצד אחד הארגונים תלויים ברמה שלא ראינו כדוגמתה במערכות המידע שלהם כדי לקיים פעילות עסקית מכול סוג שהוא .ומצד שני אנחנו רואים את מפת איומי אבטחת המידע שצוברת תאוצה ברמה כמעט יומיומית. המטרה היא לאפשר לארגון לממש את ייעודו העסקי גם במציאות מורכבת של איומים חיצוניים ופנימיים על התפקוד התקין של מערכות המידע .לצורך כך ,על המנמ"רים ,ולצידם מנהלי אבטחת המידע, לבצע אינטגרציה של כמה משתנים :הצרכים העסקיים של הארגון ,האיומים על הארגון, והפתרונות שמגשרים בין השניים. כיצד Titans Securityמסייעת למנמ"ר ומנהל אבטחת המידע כדי להתגבר על אתגרים אלו? אנחנו בעצם נוגעים בשתי פעילויות אסטרטגיות .פעילות אחת נוגעת בתחום ייעוץ אבטחת המידע ,שכוללת הן ייעוץ ובנייה של ארכיטקטורה של פתרון אבטחת מידע כולל לארגון ,אך גם הכנה של ארגונים לסטנדרטים בינלאומיים ורגולציות מובילות שמושתות על ארגונים ,בין אם כתוצאה מצורך עסקי לפעילות בינלאומית או כתוצאה מחיוב ממשלתי לרגולציה .פעילות אחרת שלנו נוגעת בתחום ההדרכות וההסמכות שאנו מבצעים לבעלי תפקידים .בתחום ההדרכות אנחנו מכשירים את הדור הבא של מנהלי אבטחת המידע ,והם מקבלים כלים פרקטיים ועיוניים ברמה בינלאומית שמאפשרים להם להתמודד טוב יותר עם האיומים והאתגרים בפניהם הם ניצבים. האם תוכל לתת דוגמא של סטנדרטים שנפוצים בתחום וכיצד אתם מסייעים לארגונים לאמץ אותם? בוודאי .בראש ובראשונה אנחנו מדברים על תקן ,ISO 27001התקן לניהול אבטחת מידע ,שאומץ גם על ידי מכון התקנים הישראלי .התקן מגדיר עקרונות שיטתיים ותכליתיים להקמה ,ניהול ותחזוקה של מערכת אבטחת מידע .התקן בעצם מוכיח שהארגון נוקט באמצעים המתאימים בכדי לממש את מחויבותו לשמירה על המידע. באופן זה יתאפשר לארגון לזהות ולנהל את הסיכונים למידע ,להגדיר תהליכי טיפול ומניעה בצורה עקבית ושיטתית ,להקים בקרות נחוצות לארגון ,להגדיר יעדים לניהול אבטחת המידע ותכנון יזום להשגתו ,ועוד. למעשה ,התקן מטרתו לתת בטחון ללקוחות ולבעלי העניין שהארגון מעמיד את הדאגה לאבטחת מידע בעדיפות גבוהה .המומחים שלנו ב Titans Security-יסייעו לארגונים לזהות אם מערכת ניהול אבטחת המידע של הארגון מתאימה לדרישות ,יאתרו את הנקודות לשיפור ויבנו תהליך פנים ארגוני שבסופו הארגון זוכה בתו התקן. כיצד ההדרכות שאתם מנהלים מסייעות להגן טוב יותר על הארגון? בתחום כול כך דינאמי כמו אבטחת מידע יש צורך אמיתי של בעלי התפקידים להיות מעודכנים בטכנולוגיות החדשות ביותר, באיומים העדכניים ביותר ,ובמתודלוגיות שיכולות לסייע לתפקד ביומיום בתפקיד שנושא בחובו חוסר וודאות ,ופעמים רבות תגובתיות למהלכים חיצוניים שמאיימים על הארגון .לצורך כך אנו מקיימים סמינרים בתוך הארגון לבעלי תפקידים ,שכוללים הסמכות בינלאומיות ברמה הגבוהה ביותר הקיימת היום בשוק .הסמכות אלה כוללות: CISSP, CISM, CISA, CRISC, ISO 270001 Lead Auditor, BS25999 Lead Auditor, Forensics .and Privacy ולסיכום ,מדוע זכיתם בשוק לכינוי המחייב "סיירת מטכ"ל של אבטחת המידע"? קודם ולפני הכול ,זה באמת מחמיא ,אבל אם אני צריך לשים את האצבע על הסיבה מדוע זכינו לכינוי כה מחייב זה בראש ובראשונה מכיוון ואנחנו בוחרים את היועצים שלנו על בסיס הניסיון שלהם .כול היועצים שלנו הם בעלי ניסיון מינימאלי של שבע שנים בתעשייה ולרוב אף יותר .מדובר באנשים המנוסים ביותר בתעשייה שמביאים איתם ניסיון בעשרות פרויקטים ,נמצאים עם היד על הדופק של התחום ומכירים את תחום אבטחת המידע ברמה האינטימית ביותר שיכולה להיות. | גיליון | 7ינואר 2013 9 ניהול סיכונים או כיצד לדבר בשפת הנהלת הארגון מושגים כמו אבטחת מערכות המידע או ניהול הסיכונים במערכות המידע שעד לפני זמן קצר נראו מאוד מבטיחים ,נשמעים כיום לעתים צורמים ,מיושנים ,חסרי מעוף ומאוד לא מתקדמים. מה השתנה במושגים הללו? התשובה הנה כי אבטחת מידע ו\או ניהול הסיכונים במערכות המידע עוסקים בהיבט הצר המתייחס לעולם ה IT-בלבד .כיום ,השתנתה גישה זו ואת מקומה תפסו ראייה ארגונית רחבה וגישה אסטרטגית מקיפה. אז מה זה בעצם אומר? עיון קצר בעיתונות המקצועית ובמאמרים שהתפרסמו בעולם ה IT-לאחרונה יציף לעינינו מושגים כגוןBI (Business Intelligence), BMP : (Business Process Management), ROI (Return on Investment), TCO (Total Cost of Ownership), ,)BCM (Business Continuity Managementוכיו"ב. עיצוב אבטחת המידע הארגוני בהיבט התהליכים כולל במסגרתו 6מהלכים מרכזיים ,כמפורט להלן: עולם ה IT-נדרש כיום להציג "ראייה" מקיפה של התהליך הכולל ( ,)End-to-Endולהכין את תשתיות המחשוב הנדרשות ליצירתו של תהליך רציף המשלים פעילות עסקית או ארגונית מלאה. מה לא מספק בגישה הקיימת כיום לנושא אבטחת מידע? סיכום גישה זו לא תמיד ראתה את התהליך העסקי\ ארגוני הכולל ,ולכן גם ההתייחסות בעת פיתוח המערכות הייתה בעלת אופי נקודתי שיצרה "איים" של תוכנות הפועלות היחידות עצמאיות ולעיתים לחלוטין מבודדות. כיום ,אבטחת המידע נבחנת מההיבט הממוכן בלבד שהינו רק נדבך במכלול האבטחה הנובע מפעילויות הארגון ,ולפיכך היא חסרה "ראייה" אסטרטגית מקיפה ומעלמת מחלקי תהליכים הנעדרים במערך הממוכן. ניהול הסיכונים במערכות המידע ,כמו גם ניהול הסיכונים במערכי התפעול ,בתשתיות התקשורת וכיו"ב – פונה אל ההיבט הצר של אבטחת המידע המתרכז בתחום הממוכן בלבד. כיום גישה זו השתנתה ,ועם התפתחותן של מערכות חוצות ארגון (כגוןERP, CRM, SCM : וכיו"ב) התגבשה מדיניות רחבה יותר ,המתייחסת לנושא פיתוח המערכות מהיבט התהליך הכולל מקצה לקצה. כתוצאה מתהווים מקטעים בתהליכים שאינם "מכוסים" על ידי אבטחת המידע ,ונוצרים מוקדי סיכון וחשיפה המסכנים את פעילויות הארגון, כגון :ממשקים ,תהליכי המרה ,קישורי עיבוד, תהליכי הפצה וכיו"ב. חצייה של תשתיות ופלטפורמות מחשוב שונות וגישור בין-מערכתי על פני ממשקים ותהליכי המרה שונים. מהם היתרונות בגישה לאבטחת המידע בהיבט התהליכים? ניהול תהליכים וראייה תהליכית כוללת בעבר הלא רחוק ,גישת עולם ה IT-לצרכיו של הארגון התבססה על ראייה מערכתית בלבד תוך כדי התייחסות נפרדת לנגזרות שונות בתוך הארגון ,כגון :מערך השכר ,מערך משאבי אנוש, מערך שרות לקוחות ,וכיו"ב. ניקח כדוגמה את תהליך הרכש בארגון – המורכב מציוני הדרך המתוארים להלן: בקשה לרכש ==> אישור הבקשה ==> בחירת ספק ==> הוצאת הזמנה לספק ==> ניפוק וקליטת המוצר ==> ניהול מחסן ==> ניהול ספקים ==> הקמת שובר לתשלום ==> הכנת הצעה לתשלום ==> תשלום לספק. 10 בסוף יכולים להתקיים ממשקים שונים המזינים (קלט) וניזונים (פלט) מתוך התהליך הנ"ל, ותהליכי ביניים המגשרים בין סביבות עבודה שונות (כגון :העברה ידנית של קובץ שעבר תהליך עיבוד במערך הרכש אל המערך הכספי ,תיקון ידני של חריגים\שגויים הנפלטים בתהליכי עיבוד ממוכנים – כמו תשלום לספקים (וכיו"ב). כללים לעיצוב אבטחת המידע מההיבט התהליכי: 1.1אפיון המבנה והאופי הארגוני ומיפוי התהליכים ומערכות המידע הקיימים בארגון 2.2איתור ,זיהוי ומיפוי של הסיכונים וכשלי האבטחה במערכות\תהליכים שנסקרו בארגון 3.3ניתוח הסיכונים והכשלים שאתרו במערכות\תהליכים שנסקרו ודירוגם על פי רמות "חומרה". 4.4קביעת סולם תיעדוף לטיפול בכשלים שדורגו ועיצוב פתרון תואם בהתייחס לממצאים שאותרו 5.5הכנת תוכנית עבודה ליישום הפתרון שעוצב הכוללת אבני דרך לביצוע ולו"ז ליישום בשלבים 6.6הטמעת הפתרון בהתאם לאבני הדרך שהונחו והלו"ז שנקבע ובקרת ישימות ההטמעה. מה המשותף לכל המושגים הללו? בכולם משתקפת הגישה הכלל ארגונית וההתייחסות החדשה של עולם ה IT-למערכי המידע ,המציגה תפיסה חדשנית של ניהול תהליכים כגורם מרכזי בארגון וניתוח צרכים מחשוביים מתוך ראייה תהליכית כוללת .הגישה החדשה נובעת מתוך ההבנה כי מערכות המידע בארגון נועדו לשרת את התהליכים הארגוניים שבו ולא להיפך ,ולפיכך עליהן לתת מענה הולם לצורכי הארגון ויעדיו העסקיים ,האסטרטגיים והלוגיסטיים. גיליון | 7ינואר | 2013 במהלך הדרך הנ"ל התהליך יכול לחלוף דרך תשתיות מחשוב שונות ,סביבות עבודה מגוונות, אפליקציות שלהן אוריינטציות שונות ותשתיות תקשורת מרובות המקשרות בין הקצוות השונים. שיערוך משוקלל המבוסס על מיצוב חשיבות התהליך בארגון וקריטיות נדבכים שונים בו הם המדד אשר לפיו נקבעים "המשקלות" של הסיכונים השונים והתעדוף לטיפול. התהליך יכול להתחיל את דרכו במערך הייצור, לעבור דרך מערך הרכש ,להמשיך הלאה דרך מערך ניהול מצאי המצאי והמחסנים ,ולסיים את דרכו במערך הכספי וניהול הקופות של הארגון. כיצד מגשרת גישת הIT- החדשה לנושא אבטחת המידע? אבטחת המידע – המהווה נדבך חשוב בתוך המכלול של עולם ה – IT-איננה יכולה להתנתק מהמגמה הקיימת לעיצוב מערכי המחשוב בהתייחס לניהול התהליכים בארגון ,ועליה להיערך לקראת השינוי הנדרש בתחום זה. משתמע מכך כי הסיקור ,הניתוח וניהול הסיכונים במערכי המידע יימצאו חסרים בהיעדר ניתוח תהליכי תואם ,ולפיכך על "מעצבי" מדיניות אבטחת המידע בארגון להבטיח כי תחום זה ינוהל בהתבסס על הניתוח הנדרש. סקירת אבטחת המידע מנקודת מבט של התהליך השלם פורשת בפני הארגון "תמונה" נאמנה למצב האבטחה הקיים במערך הארגוני, וממפה באופן מפורט את כל כשלי האבטחה הקיימים במסגרת פסיפס זה. בגישה מההיבט התהליכי ניתן לאתר את מכלול סיכוני האבטחה להם הארגון נחשף בהתייחס אל האיומים הקיימים על רציפות התהליכים השונים, ולקבוע תעדוף לטיפול בהתאם ל"משקלות" הסיכונים. "ראיית" אבטחת המידע מבעד לעיניו של המערך הממוכן בלבד פוגמת ברציפות התהליכית ובגישת האבטחה הכוללת ,ומתייחסת לנושא זה כמורכב מ"איים ריבוניים" של אבטחה שביניהם קורלציה מועטה. הגישה הנכונה היא לראות את נושא אבטחת המידע מבעד לתהליכים ארגוניים רציפים תוך כדי חציית פלטפורמות מחשוב שונות ,סביבות עבודה ,מערכות הפעלה ,אפליקציות ותשתיות תקשורת ,ובחינת רמת האבטחה בהילוך יורק ( )Drill Top Downתוך שימת דגש על סיכונים וכשלים ברצף התהליכי. כלומר ,את נושא אבטחת המידע בארגון יש "לתקוף" מההיבט התהליכי ,תוך כדי איתור ומיפוי הסיכונים והכשלים המאיימים על רציפות התהליך ושלמותו ,ועיצוב פתרון מודרג בהתאם לתיעדוף לטיפול. | גיליון | 7ינואר 2013 11 האיגוד העולמי לאבטחת מידע (– )ISSAהציאפטר הישראלי קורס CISO האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו העיקרית היא קידום נושא אבטחת המידע בישראל ,בכל ההיבטים. אודות גיליון Global Security למה כדאי לחפש מידע במגזין שלנו ולא למשל ב Google-או כל עיתון אחר? חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה ,כגון הרצאות מקצועיות ,ימין עיון ,חומרים מקצועיים ,ועוד .כיום ,חברים באיגוד כמה מאות מקצועני אבטחת מידע ,ואנו שואפים לגייס את כלל קהילת ה IT-בישראל. בנוסף ,חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של –Global Security המגזין המוביל בישראל בתחום אבטחת המידע. e S e c u r i t y M a g a z i n e n i z I n f o r m a t i o n מגזין א בטחת מגזין אב a g a M y t i r u c e S n o i t a m r o f •מיקוד בתחום אבטחת המידע – המגזין עוסק אך ורק בתחום אבטחת המידע וניהול סיכונים. •יותר כתבות מקצועיות ופחות תדמיתיות – רוב המגזינים כיום יותר תדמיתיים, ופחות מקצועיים .אנו שומרים על רמה מקצועית ,וכמות מינימאלית של כתבות תדמית. n מידע וניהול סיכונים | גיליון מס' 4 | אוגוסט 2012 | יולי 2012 גיליון מס' 3 יהול סי כונים | I •השוואתיות – מאפשר השוואה פשוטה ואובייקטיבית בין הספקים והפתרונות. •היקף מידע – תמונה רחבה יותר ,ולא רק התמקדות בנושאים ספציפיים. Identity M anagemen t נתי של האיגוד קור הכנס הש סי בעולם הסייבר מגמות ערכות SIEM מ ערכות IPS מ זהירות בוטנט •תשלום סמלי – מדובר בעלות סמלית, והנכם מנויים למגזין אבטחת המידע המוביל בישראל •מקצועני אבטחת מידע – כל הכותבים שלנו עוסקים בתחום אבטחת המידע למעלה מ 7-שנים ,והם בכירים בתחום, ברמה העולמית. טחת מידע ונ בשער מלחמת בשער ניהול זהויות סייבר האיום החדש בעידן הסייבר מתקפות APT הגנה על מערכות SCADA אחת לרבעון – מוסף מיוחד מה הערך המוסף שלנו? בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם לכמה ספקים בהתאם להוצאת RFI/RFPמהחברה .אנו מרכזים עבורכם את כל המידע המקצועי המקיף ביותר ,ובר השוואה אודות הפתרונות אבטחת המידע השונים, באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי: .1סקירה טכנולוגית רחבה אודות הפתרון שמחפשים .2סקירת הפתרונות בתחום הספציפי. .3מי הם הספקים המובילים בתחום? .5פרטי החברה של היצרן/ספק/האינטרגטור: שם ,מספר עובדים ,שנת הקמה ,יתרונות וחסרונות ,סוגי פעילות בחברה ,נושאים \תחומי פעילות והתמחות ,קישורים ,מידע טכנולוגי, איש קשר ,חוסן כלכלי ,לקוחות בארץ ,לקוחות בחו"ל ,תוכניות הרחבה למוצר ,מספר התקנות 12 גיליון | 7ינואר | 2013 תלמד • תוביל • תצליח! בארץ .6מה הערך המוסף של כל ספק בתחום הפתרון המוצע? .7כיצד מנהלים את הפרויקט? .8מהם נקודות כשל בפרויקט שמהם צריכים להיזהר? .9מה צריכים לדרוש מהספקים בעת יציאה למכרז? הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום ,יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי, שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו. הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, מנכ"ל טיטנס סקיוריטי שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומם בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש למידע ,ייעוץ והרשמה ניתן לפנות לטלפון 077-5150340 דוא"ל [email protected] : www.titans2.co.il | www.ts2.co.il | www.titans2.com | גיליון | 7ינואר 2013 13 לפרוץ קל מאד לסמארטפון חולשות עבור מוצרים שונים (כגון טלפונים חכמים) ועד שלא קיים טלאי אבטחה רשמי – החולשה הקיימת נקראת zero-dayמכיוון שאין אפשרות להתגונן מפניה .לעיתים קרובות ,החולשות הללו יכולות לאפשר להאקרים להשתלט על המכשיר. במידה וגוף כלשהו מעוניין לתקוף אותך וברשותו חולשה מסוג זה ,אתה ב.Game over- מהם האיומים על טלפונים חכמים? התקפות על טלפונים חכמים שונות מעט בגישה שלהן מתקיפות על מחשבים ולכן יש להתמודד אתן בדרכים שונות .לדוגמה ,מחשבים אישיים סובלים מנקודות תורפה בצד של הלקוח ובצד של השרת ומתקיפות מבוססות רשת. וקטורי התקיפה בטלפונים ניידים דומים ,אך קיימות נקודות תורפה נוספות הקשורות לתכונות כמו בלוטות' ,מסרים מיידים ואפילו ברמת התחקות אחר המפעיל הסלולרי .ההתקנים הניידים גם רגישים יותר לאיומים ומניפולציות ברשת האלחוטית .נכון להיום ,נקודות התורפה בצד הלקוח וכאלה הקשורות להורדות של יישומים מהוות איום הרבה יותר משמעותי על הטלפונים החכמים מאשר נקודות התורפה בצד השרת. עם מליוני סמארטפונים הנמכרים מידי שנה בעולם ,הופך הטלפון החכם להיות מוצר צריכה שכיח .אך האם כל מי שמחזיק בידו אייפון או גלקסי מודע לסכנות האורבות לו? האקר ישראלי בשם 'צוק' חושב שהגיע הזמן לשים את הדברים על השולחן חיינו היום תלויים בטלפון נייד שנמצא בכל מקום .אצל חלקנו מצטרף לתמונה גם מחשב הטאבלט .אנחנו נושאים אותם עמנו לכל מקום וחשים אבודים בלעדיהם ,אך רובינו נהנים מהאושר הטמון בכך ואיננו מודעים לרמת הסיכון הגבוהה והאיום שההתקנים הללו מהווים על הפרטיות ,הנתונים והביטחון הכללי שלנו .כאשר מדובר בארגונים ,הסיכונים אף גבוהים יותר כיוון שהאקרים יכולים לפגוע בארגון באמצעות שיבוש השירותים שהוא מספק או באמצעות גישה לנתונים רגישים. כדי להבין לעומק את הסכנות הטמונות בשימוש בהתקנים ניידים ,שוחחתי עם יצחק אברהם ("צוק"), מייסד חברת זימפריום מתל אביב .חברת הסטארט-אפ ייחודית המתמקדת בפיתוח פתרונות אבטחה מקיפים עבור התקנים ניידים .כהאקר מפורסם בעצמו ,מצליח צוק "להיכנס לראש" של האקרים פוטנציאליים .הרקורד שלו כולל פרסום מחקר על בעיות אבטחת מידע בטלפונים חכמים וניצול החולשות הקיימות במכשירים מבוססי מעבדים של ,ARMהופעה בכנסים יוקרתיים בעולם כמו Black hatו DEFCON -ויש לו שפע של ניסיון מעשי במציאת נקודות תורפה של טלפונים חכמים .עם צוות 14 גיליון | 7ינואר | 2013 ראשוני ומצומצם ,פיתחה זימפריום את האמצעי הראשון למניעת חדירה להתקנים ניידים (Mobile )IPSהכולל תכונות של זיהוי ומניעת איומי תקיפה מסוג 0-Dayברמות הגבוהות ביותר. הפתרון מתוכנן לספק הגנה מפני מתקפות סייבר ממוקדות ,תולעים וריגול מקוון ומיועד לארגונים, גופים ממשלתיים וחברות סלולאר .לאחרונה הצטרף להנהלת החברה חוקר האבטחה וההאקר הבין-לאומי קווין מיטניק ,שם מוערך מאוד בקהילת אבטחת המידע הבינלאומית. האם הטלפון החכם שלי נמצא בסיכון היום? האם חדירה לטלפון החכם אטרקטיבית יותר בתחום הריגול המקוון? המודעות לריגול מקוון הולכת וגדלה עם הגילויים החדשים של תוכנות זדוניות כדוגמתStuxnet ו Flame -ועם הגילוי של תקיפות כדוגמת "מתקפת ( "Auroraעל גוגל) .יחד עם זאת ,החדירה למחשבים אישיים נהייתה קשה יותר עם הזמן ועם ריבוי הגרסאות של מערכות ההפעלה ולכן, התוקפים מחפשים נקודות כניסה נוספות אל הארגון. הטלפון החכם עם תכונות כמו גישת VPNהוא יעד תקיפה נפלא וישנן תקיפות אקטיביות היום כנגד טלפונים חכמים .החדירה לטלפונים חכמים נהייתה שכיחה ואני סבור שזו רק שאלה של זמן עד שנראה מתקפה כמו Auroraגם על טלפונים חכמים. בהחלט .העניין הוא שמרבית האנשים ואפילו הארגונים עדיין אינם מבינים לאשורן את הסכנות. על כן ,אחת המטרות המרכזיות שלנו היא להעלות את המודעות לגבי אבטחת התקנים ניידים. קח למשל סוג מתקפה מסוג ,Zero-Dayכמה משתמשים מכירים אותה? כיצד משתמשים בהתקפות ממוקדות בריגול המקוון? זו מתקפה המנצלת חולשה או איום קיים עבור מוצר ועדיין לא ידועה ברבים .לעיתים מתפרסמות מרבית התוקפים בוחרים בתקיפת הצד של הלקוח. תוקפים מתוחכמים עם תקציבים שמנים יותר ועם יותר ידע ,מסוגלים לזייף את תחנת הבסיס של המפעיל (למשל :אורנג'/סלקום) באמצעות ציוד זמין ומשבשי תדרים .וכאשר זה קורה ,אין למשתמש שום דרך להגן על עצמו .לפרוץ היום לטלפון נייד זה כנראה אחד הדברים היותר פשוטים לביצוע כיום. האם תולעים מסוכנות יותר בטלפונים הסלולריים? כן ,בגלל טבעם של ההתקנים הניידים .הם נוסעים ממקום למקום בכל זמן ומאפשרים להתקן ה"נגוע" להדביק התקנים אחרים בקלות ,פשוט על-ידי "התעלקות" על המיקום שלהם .תוקף יכול לתכנת תולעת להתפשט באמצעות כמה וכמה וקטורי תקשורת של הטלפון החכם .הנה כמה תרחישים אפשריים :תולעת יכולה לפתוח נקודת גישה אלחוטית ולהדביק כל אחד שמתחבר לאותה נקודת גישה תוך ניצול נקודת התורפה בצד הלקוח .התוקף יכול גם להשתמש במספרי הקשר השמורים בטלפון, בכתובות דואר אלקטרוני וברשתות חברתיות כדי ליצור אינטראקציה עם החברים של המנוי בשמו. פעולה שעלולה לחשוף את המנוי לנקודת תורפה בצד הלקוח או להנדסה חברתית והורדת יישום זדוני. תולעת יכולה גם לחפש באופן אקטיבי רשתות פתוחות ,להתחבר לרשתות כאלה ולתקוף כל התקן שמחובר אליהן .בשילוב עם העובדה שטלפונים חכמים הם ניידים והולכים לכל מקום ,התוצאות עלולות להיות הרות אסון .שילוב של כל שלושת הוקטורים המתוארים לעיל יכול ללא ספק להיות "האמא של כל התולעים" – התולעת בעלת שיעור ההתפשטות המהיר ביותר שנוצרה אי פעם. מהם הסיכונים בטלפון פרוץ? התקנים פרוצים חושפים את הארגון לכמה וכמה סיכונים .אלה כוללים אובדן של נתוני לקוחות, שיבוש השירות ,גניבה של קניין רוחני ,סודות מסחריים ושל מידע עסקי רגיש .לרבות תוכניות אסטרטגיות ונתוני תמחור .כל זה יכול כמובן להזיק למוניטין של המותג וייתכן אפילו ריגול עסקי באמצעות המיקרופון והמצלמה של הטלפון החכם .עבור משתמשים פרטיים הסיכונים שונים. בדרך כלל הם כוללים אובדן של חשבונות מדיה חברתית או כתובות דואר אלקטרוני ,אובדן של תמונות ונתונים אחרים. בנוסף ,המצלמה של הטלפון עלולה להידלק וטלפון יכול לשמש כחלק מ"צבא" של רשתות ּבֹוטנט. | גיליון | 7ינואר 2013 15 Press Release האם ה iOS-של אפל בטוחה יותר מאנדרואיד? לא .מה שיש לאפל הוא רק שוק יישומים בטוח יותר שנבדק יותר בקפידה .במונחים של אבטחת מידע, שתי הפלטפורמות זקוקות לשיפורים משמעותיים. פריצה לiOS-הוכחה כאפשרית עם שלושה סוגים של פריצות להתקנים ( )jailbreaksעם קוד מרחוק. אחד הסוגים הללו אפילו איפשר הרצת קוד קרנל מרחוק – הפגיעה החמורה ביותר שקיימת במתקפות צד לקוח .כל פריצת jailbreakמנצלת כמה נקודות תורפה והזמן שנדרש כדי לתקן את נקודות התורפה הללו עם טלאים אינו קצר במיוחד. לכן ,אני אומר שאייפונים ואייפדים אינם בטוחים יותר מהתקני אנדרואיד. אם כך ,האם אנדרואיד בטוח יותר מ?iOS- תצורות מסוימות יכולות להיות בטוחות יותר, אך נכון להיום התשובה היא לא .שתי מערכות ההפעלה פגיעות באותה מידה. וקטורים נוספים כמו מתקפות מבוססות תחנת בסיס אינם תחום ההתמקדות עבור מרבית המוצרים .תוקף ששואף להתקין את התוכנה הזדונית שלו על כמה שיותר התקנים ,ינסה לייצר יישום מתוך תקווה שאנשי רבים יורידו אותו בצורה כזו שתגרום להתפשטות האיום .אני משתדל שלא להתקין יישומים שלא קיבלו בסיס משתמשים נרחב וזה מנמיך את הסיכויים להדבקת הטלפון שלי .אך מה שמפחיד יותר היא התפשטות האיומים של תולעים. ישנם איומים נוספים שהפתרונות הקיימים אינם מכסים .אני בספק אם ( APTמתקפת סייבר ממוקדת) תחכה שמישהו יוריד את היישום שלהם – במיוחד כאשר לארגונים היום יש פתרונות MDM עם "רשימה שחורה/רשימה לבנה" לאפליקציות מורשות .סביר יותר להניח שהתוקפים יבחרו להשתמש בשיטות אחרות ולתקוף דרכי כניסה אחרות כגון הודעות טקסט ,תקיפות מבוססות רשת ואפילו ניצול של נקודות תורפה בצד של הלקוח. בעיות שלא מקבלות ייחוס בפתרונות האבטחה הקיימים – אך דרגת הסכנה שלהם גבוהה בהרבה. מה זה בדיוק ?jailbreak jailbreakהוא השם שהעניקו פורצי הiOS-ליכולת לפרוץ התקן ולשנות את תכונותיו .כדי לבצע משימות כאלה עליהם למצוא נקודת תורפה או שרשרת של נקודות תורפה שיאפשרו להם לבצע קוד ברמת הקרנל בהתקן ולפרוץ ולשחרר אותו ממגבלות מערכת ההפעלה .באופן עקרוני ,כל jailbreakהיא נקודת תורפה קריטית באבטחה של הטלפון .את אותן נקודות תורפה יוכלו התוקפים לנצל ולהשתמש בהן כדי להתקין סוס טרויאני על ההתקן או לפרוץ אותו מרחוק. שלושה סוגי פריצות מבוססות רשת מוכרים היום לרבים ומאפשרים להאקרים לפרוץ מרחוק להתקני הiOS-הלא מעודכנים בקלות ,כאשר נכנסים לאתר רשת זדוני. אילו פתרונות קיימים היום כדי לספק אבטחת התקנים ניידים ולסכל מתקפות זדוניות? השכיחים ביותר היום הם הפתרונות ברמת היישום ותוכנות – MDMתוכנות לניהול התקנים ניידים .פתרונות ברמת היישום כדוגמת תוכנות אנטי וירוס ,מגנות מפני תוכנות זדוניות ברמת האפליקציה .כלומר ,אם מורידים משחק מזויף עם כוונות זדוניות ,תוכנית אנטי וירוס תוכל לאתר זאת ולמנוע מהיישום לפעול .הגנה כזו הופכת את ההתקן לבטוח יותר אך אנו מדברים על הגנה רק מפני וקטור תקיפה אפשרי אחד. 16 גיליון | 7ינואר | 2013 האם מערכת הMDM- מספקת פתרונות אבטחה מפני תקיפות ממוקדות או איומים שכיחים? מערכת MDMהיא קונסולה לניהול התקנים ניידים המאפשרת לנהל את ההתקנים הניידים של הארגון .מוצרי MDMקיימים מאפשרים מגוון רחב של פתרונות עבור ניהול הטלפונים בארגון, כגון :מחיקה מרוחקת של מידע במידה והמכשיר אבד ,איתור מרוחק של המכשיר הנייד וגישת VPN לארגון .קיימים מוצרי MDMשמספקים אבטחה מפני סוגים מוגבלים של תקיפות ,אך זהו לא פתרון אבטחה. תקיפות ממוקדות יכולות לעקוף בקלות את ה"ההגבלות" שמציבה .MDMבנוסף ,יש לזכור כי המטרה המקורית של ה MDM-היא לנהל את ההתקנים ,לא לספק הגנה על המכשירים הניידים. לכן ,התשובה לשאלה היא לא .במידה מסוימת עלולה מערכת ה MDM-אף להזיק לאבטחת הארגון כיוון שהיא מעודדת הוספה של פתרונות VPNעל אף שההתקן עדיין חשוף לליקויי אבטחה קריטיים ביותר .זה פותח פתח לתוקפים להסתנן להתקנים ולמחשבים של עובדים מתוך טלפון חכם פרוץ ומשמעות הדבר שהתוקפים יצליחו ליהנות מגישה אל הרשת הארגונית הפנימית של הארגון. פלייטק הוסמכה לתקן ISO 27001בינלאומי לאבטחת מידע האם אפשר להימנע מכניסה לאתרי אינטרנט זדוניים? כאן בדיוק שורש הבעיה .לאחרונה פרסמה מיקרוסופט אזהרה לגבי חורי אבטחה מסוג "יום אפס" ( )zero-day – CVE-2012-1889שאומרת כך" :הפרצה יכולה לאפשר ביצוע קוד מרחוק אם משתמש צפה באתר אינטרנט שהוקם במיוחד לשם כך ועשה זאת עם אינטרנט אקספלורר. לתוקף לא תהיה דרך לאלץ משתמשים לבקר באתר אינטרנט כזה .יחד עם זאת ,התוקף מנסה לשכנע את המשתמשים לבקר באתר הנגוע ,בדרך כלל על-ידי כך שהוא גורם להם ללחוץ על קישור המשובץ בתוך הודעת דואר אלקטרוני או הודעת טקסט .הקישור לוקח אותם בעל כורחם אל אתר האינטרנט של התוקף". ובכן ,חוקרי אבטחה יודעים שזה לא מדויק .תוקף שנמצא על אותה רשת LANשל המשתמש ,יכול בקלות לשנות את התעבורה ברשת כדי לכוון מחדש את התנועה באמצעות הכנסת סקריפט לתוך הדפדפן שלו .כך שאפילו אם המשתמש ינסה להיכנס למשל ל ,yahoo.com-הדפדפן יראה לו את אותו URLבשעה שלמעשה הוא מריץ את הקוד של התוקף .הטכניקה הזאת יכולה לשמש כדי לפרוץ למחשב או לטלפון .כאשר צוות פריצתiOSמגלה שלוש פרצות לביצוע קוד מרחוק ,פירוש הדבר ששלוש פעמים מישהו אולי השתמש בפרצות הללו כדי לפרוץ מרחוק לטלפון ,פשוט על-ידי כך שאילץ את המשתמש להיכנס לאתר אינטרנט המכיל את הפרצה או נקודת התורפה הזו .ניצול פרצות מרחוק עבור אנדרואיד אוiOSאינו תופעה נדירה במיוחד. אילו בעיות שכיחות נוספות קיימות עם הטלפונים החכמים? בעיה שכיחה היא מחזור חייו של ה"טלאי" .אדבר על שתי מערכות הפעלה עיקריותiOS :ואנדרואיד. ב ,iOS-העדכון המיועד לפרצות jailbreakחדשות לא התייחס לכולן .כתוצאה מכך הפורצים עדיין מסוגלים להשתמש באותן פקודות כדי ליהנות מאותה גישה להרצת הקוד שלהם בהרשאות גבוהות .הפורצים הבאים כבר לא ישתמשו ביישום כדי לפרוץ להתקן. יחד עם זאת ,סביר להניח שהם יריצו התקפה באמצעות הדואר האלקטרוני ,הרשת או אפילו תחנת בסיס מזויפת של המפעילה הסלולרית. פירוש הדבר שחשוב לטפל בבעיה בכללותה ,על כל היבטיה .אנדרואיד סובלת מבעיות של ריבוי יצרנים ושל טלאים עם מחזור חיים ארוך ,רק עכשיו פורסם שכ 93%-מהמכשירים עדיין מריצים את הגרסאות 2.3ומטה ,מערכת הפעלה המעודכנת נכון לשנת 2010בלבד .עדכוני אבטחה מתוקנים על ספרייה ראשית ,אך לוקח כשנה-שנתיים עד שהם מגיעים לטלפון ועד אז המשתמשים נותרים חשופים. חברת פלייטק הוסמכה לתקן אבטחת מידע ISO 27001בינלאומי בזמן שיא ,בזכות המקצועיות של הצוות המוביל בארגון בראשות המנמ"ר מר יוחנן זומרפלד ,וצוות אבטחת המידע בראשותו של מנהל אבטחת המידע בארגון ,מר קובי לכנר. תהליך ההסמכה לתקן נמשך כשלושה חודשים בלבד ,והחל בקיום תהליך של מיפוי הדרישות העסקיות ,הגדרת התכולה ,ביצוע הערכת סיכונים והטמעת מתודולוגיה לניהול סיכונים בארגון. בנוסף ,הוכנה לארגון מערכת לניהול אבטחת מידע (מנא"מ) הכוללת את כל המסמכים הנדרשים לעמידה בדרישות התקן. החברה קיבלה הסמכה על כלל תהליך הפיתוח הן בסניף הישראלי והן בסניפים בחו"ל. מי שהוביל את הפרויקט מטעם החברה ,הינו מנהל אבטחת המידע בארגון ,מר קובי לכנר, שקיבל תמיכה מלאה מהנהלת הארגון .לטובת סיוע מקצועי בתהליך נבחרו שתי חברות מובילות בתחומן חברת סיטאדל ייעוץ וחברת טיטנססקיוריטי .ההסמכה בוצע ע"י מר אבי רושט– סוקר מוביל ממכון התקנים. הטמעת התקן בארגון כלל בין היתר הגדרת ושיפור תהליכים בנושא אבטחת המידע ושילוב תהליכי ניהול סיכונים ברמה הכלל ארגונית. דני אברמוביץ ,מנכ"ל חברת טיטנססקיוריטי, "למרות היותי בתחום למעלה מ 15-שנה ,טרם ראיתי ארגון בו קיימת רמה מקצועית גבוהה כמו זו שקיימת בחברת פלייטק ,וזה בזכות הצוות המקצועי שקיים בארגון ,ובראשם מר יוחנן זומרפלד(המנמ"ר) ומר קובי לכנר (מנהל אבטחת המידע) .החברה האלה עשו עבודה מצויינת, ובזכותם ,סיימנו את הפרויקט בזמן שיא. מוטי קארו ,מנכ"ל חברת הייעוץ סיטאדל ",לא בכדי ארגונים רבים מכוונים את עצמם לעמידה בסטנדרטים בינלאומיים בנושא אבטחת מידע, מהלך שכזה לא רק שיוצר הליך סדור של ניהול אבטחת המידע בארגון אלא ולפני הכול יוצר מחויבות של הארגון לנושא הכל כך אקוטי הנקרא "אבטחת מידע" .בחברת פלייטק זיהינו כבר בשלבים הראשונים של הפרויקט את הרמה המקצועית והמהירות שבה הנהלת הארגון והצוות המקצועי הפגינו .כמי שמסתובב בקרב עשרות רבות שללקוחות בכל שנה אני חייב לציין לטובה את הרמה המקצועית של הצוות וכן את התמיכה הרבה מצד הנהלת הארגון .כל אלו ,סייעו לנו לקדם את הפרויקט בצורה חלקה ומהירה". יוחנן זומרפלד ,מנמ"רפלייטק " לפני הכניסה לפרויקט ,היה חשוב לנו לבחור חברת ייעוץ אשר תתאים לדינמיקה ולצורת החשיבה של הארגון שלנו ,שהוא יוצא דופן מארגונים רבים ,על כל המשתמע מכך .הצוות המקצועי שאני מנהל הינו ברמה גבוהה ביותר ,ולכן היה מאוד חשובלבחור חברה שתוכל לעמוד בקצב שלנו .הבחירה בסיטאדל ובטיטאנס הוכיחה את עצמה ,הדבר בא לידי ביטוי במהירות וביעילות של החברות ללוות בצורה חלקה את הפרויקט ,מתחילתו ועד סופו .חברת פלייטק הינה ידועה ברמת השקעתה מבחינת עמידה בסטנדרטים המחמירים ביותר בעולם ,וכחברה מובילה בתחום ,העמידה לעצמה יעדים ומתכוונת להשיגם במלואם. קובי לכנר ,מנהל אבטחת המידע בפלייטק, "נכנסנו לתהליך ההסמכה לתקן בעקבות דרישות לקוחות רבים בעולם ,והזמן היה מרכיב חשוב לא פחות מרמת הביצוע .אני חייב לציין שאני מרוצה מאוד מהבחירה שעשינו בבחירת חברות הייעוץ (סיטאדל וטיטנססקיוריטי) לצורך ליווי הפרויקט, והמקצועיות והאחריות האישית של מר מוטי קארו (סיטאדל) ומר דני אברמוביץ (טיטנססקיוריטי) בא לידי ביטוי בסיום מהיר של הפרויקט והעברה חלקה של תהליך ההתעדה מול מכון התקנים. | גיליון | 7ינואר 2013 17 סייבר ממוקדות תקיפות מרבית הארגונים עיוורים מיכאל מומצ'וגלו CTO ,בחברת Light Cyberאשר מתמחה בזיהוי ועצירה של התקפות סייבר ממוקדות ברשת הארגונית. פתרונות מבוססי חוקים כגון SIEMוForensics - מצריכים את המשתמש להגדיר מראש מה הוא מחפש .אם שמענו לדוגמא שארגון מסוים הותקף במאפיינים בפרופיל מסויים ,נוכל להגדיר את הפרופיל בפתרון ה SIEM -שלנו ולראות אם הפרופיל המסויים הזה מופיע גם אצלנו .הפרדוקס הוא שאנחנו צריכים לדעת מה אנחנו מחפשים כדי למצוא אותו! הפתרונות המתוארים למעלה יעצרו כנראה 99.9% מהמתקפות אולם לא יעצרו את התוקף הממוקד ההתקפות שבוצעו בשנתיים האחרונות על מדינות וארגונים בעולם מצביעים על קפיצת מדרגה בתחכום ובפוטנציאל הנזק המשמעותי של תקיפות סייבר ממוקדות .אם בוחנים את ההתקפות הממוקדות כדוגמת אלו שבוצעו על RSA, Lockheed MartinוAramco -אנו רואים קווי דמיון משותפים :התקפה שתוכננה בקפדנות ובוצעה לאורך זמן רב ,שבועות ,חודשים וייתכן שאף יותר מכך ,נזק משמעותי ביותר שנגרם ולא פחות חמור הוא שההתקפה נתגלתה רק לאחר שהנזק האמיתי נגרם. תפיסת ההגנה של ארגונים מורכבת משני שכבות עיקריות: •שכבת ה Perimeter -בכניסות לרשת הארגונית :בשכבה זו ממקמים פתרונות Gatewayכגון Firewall , IDS / IPS , Anti - .Malware, Anti-Spam •שכבת תחנת הקצה :בשכבה זו מתקינים פתרונות שונים של Anti-Virus/Endpoint securityעל תחנות הקצה. ארגונים גדולים יותר מיישמים תהליכים נוספים על ידי שימוש בפתרונותשאינם מגנים על הארגון באופן ישיר אך מאפשרים לנהל SOC–Security OperationsCenterוצוותי :Incident Response ששם לו למטרה לחדור לרשת ארגונית מסוימת ללא קשר למשאבים שיידרשו ,כספיים או זמן. התוקף הממוקד ימשיך לנסות פעם אחר פעם וישכלל את כלי החדירה והאמצעים עד שיגיע לרשת הפנימית. מה השתנה בשנתיים האחרונות שמניע את גל המתקפות הממוקדות? •העובדה שזה משתלם.התוקפים מונעים משני גורמים עיקריים :השגת מידע רגיש לצורך סחר ביתרון כלכלי תחרותי או סחר במידע פיננסי רגיש .מטרות משנה כוללות אג'נדה פוליטית או חברתית .תקיפת סייבר היא לרוב הדרך הזולה והפחות מסוכנת להשיג את המידע .קשה מאוד לתפוס את מי שעומד מאחורי התקיפה גם כאשר היא מתגלית ,וכל התהליך נעשה בשלט רחוק מהאינטרנט. •חשיפה של מתקפות ממוקדות מתקדמות כדוגמת Stuxnetמחלחלת עד רמת התוקף הבודד "שהסתפק" עד כה בתקיפות בסיסיות כמו השחתת אתרים או הפעלת .SCRIPTS חשיפת קוד המקור והטכניקות של מתקפות מתקדמות אלו מעלה באופן דרמטי את הרף ונותנים בידי תוקפים בסיס ידע לפיתוח כלי תקיפה שהיו עד כהבידי מדינות. •בורסות של נוזקות וחולשות לא ידועות מאפשרות לתוקפים לקנות בכסף ,בדרך כלל לא גדול כל כך ,יכולות ולשלב אותן בהתקפות ממוקדות. אנטומיה של תקיפת סייבר ממוקדת התוקף הממוקד אשר שם ארגון מסוים על הכוונת ינסה לחדור את הגנות הארגון מספר רב שלפעמים ללא מגבלת משאבים של זמן או כסף .התקיפה יכולה להתחיל באימייל תמים למחלקת משאבי אנוש כמענה לתפקיד פתוח בארגון .האימייל יכיל קובץ PDFבתוספת נוזקה לא ידועה שתוכל לעבור את פתרונות ה Perimeter -וה End-point -ותצליח להתבסס על תחנת העבודה של איש משאבי האנוש התמים .בנקודה הזו לתוקף יש למעשה כבר גישה לרשת הארגונית .הוא שולט בתחנת העבודה המסוימת הזו ומסוגל לבצע פעולות שונות בתוך הרשת כאשר הוא מנצל את הרשאות השימוש של משתמש הקצה אשר לא מודע לצל שמלווה את הפעילות הרשתית הרגילה שלו. התוקף יבצע בשלב זה סידרת פעולות מתמשכת ואיטית כדי להתקרב ליעד התקיפה .התוקף יכול לשאוב מידע על משתמשי הרשת ,לגשת מרחוק למחשבים באמצעות ,Remote Desktopלבדוק איזה משאבים משותפים זמינים בתחנות הרשת וכדומה. לאחר שהיעד אותר יתבצע הנזק הכבד שהוא מטרת התקיפה– הזלגת מידע רגיש החוצה ,גרימת נזק למידע או לציוד ,שיבוש שירות וכדומה. במשחק האינסופי של חתול ועכבר ,ארגונים מול תוקפים ,ידו של התוקף היא כרגע על העליונה. תקיפות סייבר ממוקדות מחייבות שינוי מחשבתי בנוגע לשכבות ההגנה שארגונים צריכים לפרוס כדי להגן על עצמם .קו ההגנה האחרון מפני תקיפות ממוקדות הוא הרשת הארגונית הפנימית. פתרון :SIEMמרכז התרעות מכלל פתרונות אבטחת מידע שמותקנים בארגון ומאפשר הגדרת קורלציות בין ההתרעות שהתקבלו. פתרון :Forensicsמקליט את תעבורת הרשת הפנימית ומאפשר לאנאליסט אבטחת מידע מומחה לשחזר פעולות שנעשו על ידי המשתמשים שונים. הבעיה עם הפתרונות המתוארים ביחס לאיום של תקיפות סייבר ממוקדות היא שפתרונות אלו הם ברובם המכריע מבוססי חתימות וחוקים .פתרונות מבוססי חתימות יעצרו התקפות שמתבססות על נוזקות ידועות .די בשינוי קטן באופן שבו הנוזקה כתובה כדי שהיא תצליח לעקוף את השכבות ההגנה והפתרונות המתוארים .הפתרון היחיד שמאפשר תפיסה של נוזקות לא ידועות הוא פתרון Anti-Malwareמתקדם המבצע ,sandboxingאולם פתרון זה נמצא רק בPerimeter -וישנן דרכים ידועות לעקוף אותו ולהגיע לרשת הפנימית– כלומר כמו שאר פתרונותהPerimeter -גם הוא לא יכול לתת הגנה הרמטית. 18 גיליון | 7ינואר | 2013 | גיליון | 7ינואר 2013 19 פינתו של CISO היכן הן נקודות החולשה שלו ומה הן הפעולות שיש לבצע כדי להגיע למצב הגנה מספק .ואני בכוונה מדגיש את המילה "מספק" ,כיוון שהגנה אולטימטיבית היא מצב שדורש תחזוקה ושיפור מתמידים וההשקעה בו יכולה להגיע לסכומים גבוהים ביותר – גבוהים מידי במונחים של ארגונים בסדר גודל מקומי. עם אילו אתגרים בתחום אבטחת המידע מתמודדים הארגונים עתה? אני אתחיל את הפינה החודשית ,במשפט הידוע ."Breaking Windows, isn’t for kids anymore" :ברגע שאנשים התחילו להבין שאפשר לעשות כסף גדול מפשיעה באינטרנט ,הופקע התחום מידיהם של "ילדי השובבים" ועבר לידיים של פושעים מתוחכמים שיודעים להפיק מהחדירות לארגונים ביזנס שמגלגל מיליוני דולרים. האיומים בפניהם ניצב עולם אבטחת המידע השתנו בשנים האחרונות עד לבלי היכר .אם פעם היה מדובר בהאקרים שחיפשו לחבל ולחדור בעיקר בשביל הכיף שבדבר ,הרי שהיום ,ברשת פועלים ארגוני פשע מתוחכמים ומסוכנים .אל מול אלה, ההגנות הסטנדרטיות שהיו נהוגות עד כה בארגון אינן יעילות עוד. יש ארגונים ,במיוחד במגזר הפיננסי והבריאות, שמחויבים על ידי הרגולציות להתקין את כל אמצעי ההגנה המתקדמים ביותר לצורך התמודדות אפקטיבית עם איומים חדשים אלו ,אבל כל השאר דיי חשופים בפני התקפות מתוחכמות. האם תוכל לספר על דוגמאות לפעילות פשע מתוחכמת? ארגוני פשע מאתרים נקודות חולשה בארגונים, חודרים פנימה לרשת ,גונבים מידע שנמכר אחר כך בשוק השחור ( .)Black Marketידועים מקרים בהם חברות מתחרות עושות שימוש בשירותים המוצעים על ידי ארגוני פשע מומחים אלו כדי להשיג מידע על החברה המתחרה או כדי לחבל בפעילותה .אין לזלזל עוד ביכולות המצויות בידי "האנשים הרעים" ולמעשה ,כיום מתבצעות פריצות באופן כה מתוחכם שלארגונים שספגו חדירה אין כל מושג שזה אכן קרה. תופעה נוספת שהולכת ומתפשטת – גביית דמי חסות ( .)Ransom Malwareיש מקרים בהם מאיימים ארגוני פשע להפיל אתרי אינטרנט ו\או גונבים מידע מהארגון ,ומאיימים להשמידו ,באם 20 גיליון | 7ינואר | 2013 הארגונים (הקורבנות) לא ישלמו דמי חסות גבוהים. אם החברה המפעילה את האתר מנסה להתנגד לפושעים הם מבצעים הצגת תכלית קטנת היקף בפני אנשי החברה העקשנים ,ובמקרים לא מעטים דמי החסות אכן משולמים בסופו של דבר. כנ"ל במקרים של גניבה מידע ו\או הצפנת מידע. אם החברה מסרבת לשלם דמי כופר ,ההאקרים, משמידים את המידע. אבל התופעה שהכי מלחיצה את הארגונים לאחרונה ,היא מתקפות ה .APT -מתקפות מתוחכמות אלו ,משאירות את רב הארגונים חסרי עונים ,למרות קיום בקרות אבטחה מותקנות בארגון. קשה עד בלתי אפשרי להילחם במתקפות APT מתוחכמות ,ונדרש מהארגון מאמץ רב ,והטמעת פתרונות אבטחה "חדשים" ,ובתצורת אבטחה בשכבות ( )Layered Defenseעל מנת להתמודד עם המתקפות החדשות ,וגם אז ,הסיכויים הם טובים יותר לטובת התוקף. כיצד ניתן להתמודד עם איומי סייבר מתקדמים? לנוכח איומי אבטחת המידע ארגונים נדרשים לאמץ תפישת סיכונים שונה .הנטייה הנפוצה לחשוב שכשיש פירוול ואנטי-וירוס בארגון ,אזי המערך הארגוני מוגן – אינה תקפה עוד .האיומים הניצבים כיום בפני רשתות עסקיות התפתחו מעל ומעבר ליכולותיהן של מערכות האבטחה המסורתיות. מרבית הארגונים בארץ ,עדיין שומרים על המידע בתצורה של נקודת גישה .הארגון רוכש ומתפעל פירוול ומתקין תוכנת אנטי-וירוס על כלל השרתים והתחנות – ובכך מניח שהארגון מוגן .כמי שעוסק באבטחת מידע שנים רבות ,אני יכול להעיד שלא כך הדבר .כיום ,יותר מאי פעם אנו חושפים סוסים טרויאנים ווירוסים המוחדרים לארגון לעתים באופן תמים על ידי עובדים ולעתים באופן שאינו תמים .כך או כך ,התוצאה היא שמידע יקר ערך זולג החוצה מהארגון או שמערכות מושבתות לאורך זמן ובאופן שפוגע ביכולת של החברה לשרת את לקוחותיה. אז כיום ,הנחת המוצא שכל מנהל אבטחת מידע בארגון צריך לאמץ ,היא שיתכן שהוא כבר משמש כקורבן למתקפת ,APTכזו או אחרת ,ושלא ניתן למנוע ב 100%-את המתקפות ,אלא ,המטרה היא לאתר ולזהות את המתקפות בשלב מוקדם ככל האפשר. אחת התובנות ,שעל הנהלת הארגון לאמץ לעצמה ,היא שלא די בהטמעת פתרונות אבטחת מידע ,אלא ,חשוב לבחון את טיב רמת האבטחה של הארגון ,לאחר הטמעת פתרונות ,והקשחת הארכיטקטורה ,בכדי למצוא "בעיות אבטחה, (חורים) .מטרת הבדיקות הללו ,היא לבחון את יכולת החדירה לארגון מצד אחד ,וגם את היכולת תגובה של צוות אבטחת המידע בארגון ,מהצד השני. כאשר גורם אובייקטיבי מבצע את הבדיקות הללו, הלקוח יכול להיות קצת יותר שקט לגבי אמינות המידע המתקבל ביחס לכל ארגון שרוצה לדעת כיום ,עיקר תשומת הלב מופנית כלפי עולס הסייבר טרור ,ומתקפות סייבר .מתקפות הסייבר מתחלקות לשתי קטגוריות עיקריות ,וזה מאוד תלוי במטרה העיקרית של הצד התוקף ,האם המטרה היא לגרום נזק (בתצורה של מתקפת DDOSמתוזמנת היטב) או האם המטרה היא לגנוב מידע ,או לגרום נזק מתמשך ,בצורה שקטה (תחת מתקפות APTמתוחכמות). בעידן הדיגיטלי ,ההולך ומשתנה מדי יום ,האתגרים הינם רבים ומגוונים ,היות וכבר אין גבולות גזרה, והמידע שלנו ,נמצא גם בתוך הארגון ,וגם מחוץ לגבולות הארגון ,ולכן האתגרים של הגנה על המידע ,גדולים מאי פעם .כיום ,מנהל אבטחת המידע צריך להתמודד עם דרישות עסקיות חדשות ,שלא בהכרח מטיבות עם שמירה על רמת אבטחת מידע בארגון ,כגון מעבר למחשוב ענן ,עולם ה ,Big Data-ותחום המובייל ,או יותר נכון, תחום ה.BYOD- אילו פתרונות יכולים לתת מענה מפני מתקפות הסייבר ו\ או מתקפות ה APT-החדשות? הבאז הנוכחי ,הוא סביב מתקפות והגנות מפני סייבר ,אבל היות ועדיין אין שום מענה הולם מפני מתקפת סייבר ,מעין כיפת ברזל דיגיטלית ( ,)Silver Bulletאז ארגונים ממשיכים להטמיע את הפתרונות המסורתיים ,שאנו למדנו להכיר במשך השנים האחרונות. מערכת לגילוי ומניעת פריצות (IPS=Intrusion Prevention )System המערכת משמשת כבקרה להתמודדות עם איומים מהרשת (או מחוצה לה ,תלוי בארכיטקטורה) ,בזמן אמת ,ומאפשרת לנטרל התפרצויות של נוזקות בין הרשתות ולספק בקרת גישה משופרת מפני מתקפות שונות .המערכת יכולה לנטר את כל התעבורה ברשת ,לצורך איתור ניסיונות פריצה שונים ,ולחסום את התעבורה העוינת .מדובר במערכת ,שנדרשת עבור מרבית הרגולציות בעולם. הגנה ובקרה מפני חיבורים לא מורשים לרשת הארגון ()NAC כהודעת סמס לטלפון הנייד .המשתמש נדרש להקיש את המספר ,מה שמאפשר לו את החיבור לרשת הארגונית. מדובר במערכת לבקרת גישה ברמת הרשת ( ,)Network Access Controlאשר תפקידה לזהות ולמנוע ניסיונות של חיבורים לא מורשים (תחנות לא מזוהות) לרשת הארגונית .מוצר זה יעיל עבור ארגונים ,מפוזרים ,בהם יש קבלת קהל (כגון בתי חולים ,מרפאות ,משרדי ממשלה) ,ואשר קשה להטמיע מדיניות לבקרת גישה מרכזית ,בגלל מבנה הרשת. מערכת לניהול אירועי אבטחת מידע ()SIEM הגנות בשכבת האפליקציה דרישה גוברת לכיוון מערכות הגנה בשכבת האפליקציה ( )Web Application Firewallוהגנה על בסיסי נתונים ( .)Database Firewallזה כבר לא סוד ,שמרבית ההאקרים ,די הזניחו שאת הזירה שבה מרבית המתקפות היו בשכבת הרשת, ועברו לשכבת האפליקציות ,שם גם נמצא המידע הרגיש .קיימים בשוק מגוון פתרונות להגנה בשכבת האפליקציה מפני מתקפות כגון הזרקת שאילות SQL (SQL Injection), XSS (Cross-Site Scripting), Cookie Tamperingוכיו"ב .הפתרונות מתחלקים להגנה על שרתים אפלקיציה\ WEBוהגנה על בסיסי נתונים. הגנה מפני מתקפות סייבר DOS/DDOS לאחרונה ,אנו מזהים מגמה שארגונים החלו בחיפוש וזקוקים נואשות לפתרונות חדשים, מתקדמים ,אשר יתנו מענה למתקפות הסייבר המתוזמנות ,כגון .DDOSקיימים מספר פתרונות בשוק ,אך עדיין ,במלחמה נגד מתקפות סייבר, מומלץ לשתף פעולה ולהיעזר גם בספק האינטרנט שלכם ,לצורך התמודדות יעילה אל מול מתקפות הסייבר מסוג .DOS/DDOSלמרבית ספקי האינטרנט ,יש מערכות להגנה מפני מתקפות DOS/ ,DDOSאשר מנסות למנוע ולחסום את המתקפות עוד בטרם החלה לתפוס תאוצה. פתרון לזיהוי ואימות משתמש - האם אני ,הנני אני? לצד מערכות אלו ,חשוב גם להטמיע בארגון פתרון לזיהוי ואימות משתמשים ,במיוחד ,לאלו שמתחברים מרחוק .מדובר במערכת הזדהות ליישום ,Two-Factor Authenticationהמאפשרת הנפקה של סיסמה חד פעמים למשתמשים ( ,)OTP=One Time Passwordכגון עובדים מרחוק ושותפים עסקיים .המערכת עובדת על העיקרון של "Two-Factor Authenticationכלומר ,משהו שיש לך ,כגון אמצעי הזיהוי=TOKEN (Something ,)You Haveומשהו שאתה יודע ,כגון סיסמה ( .)Something You Knowברמת התוכנה ניתן לקבל את הפתרון כאפליקציה לנייד או באופן חד פעמי פתרון נוסף ,שמאוד מומלץ למלחמה במתקפות הסייבר ,וגם מומלץ בחום באם יש לארגון למעלה מ 5-מוצרי אבטחת מידע ,שצריכים לסנכרן ביניהם ולעשות קורלציה בין הלוגים ,לצורך איתור דפוסי התנהגות שחורגים מהמדיניות אבטחת המידע של הארגון .המערכת מסייעת בשני תהליכים מאוד חשובים לארגון .הראשון קשור ברגולציות – כדי לעמוד בתקנות ודוחות ביקורת כמו PCI, HIPAA, ,SOXואחרות ,הארגון נדרש לשמור ולנתח לוגים הנאספים משרתים ומערכות מסוימות בארגון. השני קשור באבטחת המידע – המערכת מאפשרת להבחין ולהתריע למשל ,על כך שמשתמש מנסה להתחבר לשרת מסוים מספר פעמים ונכשל. הפתרון אף מאפשר ביצוע קורלציות בין ההתקנים השונים ברשת ,כך שניתן לקשור בין אירועים שונים המתרחשים ברחבי הארגון ובשעריו. הגנה על תחנות קצה מדובר בפתרונות להגנה על תחנות הקצה ( )EPS=Endpoint Securityאשר תפקידן למנוע ניסיונות תקיפה ברמת התחנות ,ניהול ושליטה על ההתקנים שניתן לחבר בתחנה ,איזה מידע ניתן להעתיק אל מדיה חיצונית ועוד. איסוף מידע ואכיפת מניעת דלף מידע (DLP=Data Loss פתרון למניעת דלף מידע )Preventionמבצע איתור של מידע רגיש לפי ניתוח תוכן מוגדר מראש ,ואוכף את מדיניות אבטחת המידע של הארגון במטרה להגן על הארגון מזליגת המידע וחשיפתו לנזקים הנובעים מכך .כיום, מרבית הספקים מציעים פתרונות בעלי שלושה מודולים ,המספקים מענה שלם עבור תחנות הקצה (כולל תחנות ניידות) ,שער היציאה מהארגון ( )Gatewayוכמובן ,תחום המובייל .כל המודולים הללו ,מנוהלים דרך ממשק מרכזי אחד .מעבר לסריקה של המידע הרגיש ,הפתרונות כוללות יכולות אכיפה מובנות וחסימה של מידע רגיש דרך מספר ערוצים ,לרבות :הספדה ,שליחת דוא"ל, העתקה למדיה חיצונית ( ,CD, DVDמדיה נתיקה), שימוש בערוצי תקשורת כגון .FTP, HTTP, HTTPS ראוי לציין ,שפתרון DLPמציב בעצמו ,אתגר גדול בפני הארגונים ,אשר נדרשים לבחון באופן עמוק את הצורך שלהם בפתרון ,כיוון שמדובר בפתרון שיישומו מאתגר וההשקעה הנדרשת עבורו אינה מתאימה לכל ארגון. | גיליון | 7ינואר 2013 21 הכשרת מנהלי אבטחת מידע ()CISO Knowledge to People חברת TITANS SECURITYגאה להציג את המסלול המקצועי ,האיכותי והמקיף ביותר להכשרת מנהלי אבטחת מידע ( )Certified CISOוגם היחידי שכולל הסמכה בינלאומית – CISMמבית .ISACAמדובר בקורס בן 200שעות פרונטאליות ,ועוד כ 500-שעות תרגול עצמאי ,כאשר ישנה התייחסות לכל עולמות אבטחת המידע. בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי אבטחת מידע ברמה גבוהה מאוד .הקורס נוצר כתוצאה מדרישת השוק למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע על כל שכבותיה .בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם ו\או לארגון בהם מועסקים על-ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש מהם. שלנו Bringing המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע בהיבט העסקי ועם העולם הרגולטורי\חוקי .המודול השני עוסק ברק הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים. המודול השלישי עוסק בתחום ניהול אבטחת המידע ,מסגרות לניהול אבטחת מידע וניהול סיכונים .המודול הרביעי דן כולו בהיבטים של אבטחת מידע פיזי וסביבתי ,והמודול החמישי עוסק בהיבט האנושי מבחינת אבטחת מידע. הקורס עובר עדכונים שוטפים ,כדי להתאימו לעולם הדינאמי של השוק ,והתוקפים\התקפות השונות ,וסוקר בצורה מאלה את כל עולם אבטחת המידע על כל רבדיו .בכל רובד אנו מתרגלים ודנים בתפיסות, מתודולוגיות ובטכנולוגיות הקיימות ,ובחולשות הרבות הנסתרות בהן. חושות ,אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה .כמו כן ,אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף ,כנגד החולשות שלנו ,על מנת לדעת ולהכיר היטב את האויב. כפי שהספר המפורסם "אומנות המלחמה" אומר: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the "enemy nor yourself, you will succumb in every battle חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים לתיאום פגישות וקבלת פרטים נוספים: לתיאום פגישות וקבלת פרטים נוספים: חייגו :דני – 050-8266014 חייגו :דני – 050-8266014 או בדוא"ל: 22 שלך העבודה זהו מסלול חדש ,העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים. המסלול מחולק לשני חלקים עיקריים ,כאשר החלק הראשון הינו החלק המעשי של הקורס ,והחלק השני מכין את התלמיד לבחינת ההסמכה הבינלאומית של CISMמבית .ISACAהחלק הראשון בנוי מ 5-מודולים עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע על פניהם השונים. כחלק מערכת הלימוד ,התלמידים מקבלים ספר לימוד ,ספרי תרגול (בכיתה ובבית) ,ועוד DVDהכולל כלי עזר רבים של מנהל אבטחת מידע. גיליון | 7ינואר | 2013 הביטחון danny @ titans 2. com או בדוא"ל: בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים danny @ titans 2. com | גיליון | 7ינואר 2013 23 הוועידה השנתית ה6 - לאבטחת מידע 2013 סיקור הוועידה השנתית לאבטחת מידע וסייבר – בשיתוף מידע כנסים והאיגוד העולמי לאבטחת מידע (.)ISSA אבטחת המידע והסייבר תופסת מקום הולך וגובר בתחומי העניין של ארגונים ועסקים בכל העולם .מה ניתן לעשות ובמה ישראל יכולה להתמקד בתחומים אלו? בעיקר לעודד חברות הזנק חדשות לעסוק בעולם הסייבר ,במקום בפיתוח יישומים למכשירי סלולר. דלף באזור החברתי ,מפגעים בעולם ה,SCADA - קוד זדוני שיודע לעשות מוטציות בלי חתימות, פגיעות מרחוק במכשירי סלולר .אין לכל אלה פתרונות טובים או בכלל .כל הפתרונות שמכירים הם של האתמול .משלמים עליהם הון רק בשביל הכסת”ח. דר נמרוד קוזלובסקי מייסד משותף סייברס “עולם אבטחת המידע ,שכיום נקרא עולם הסייבר, הוא עולם של מכירת שירותי אבטחת מידע בלי כל חשבון .הכל כסת”ח .אלו לא באמת מערכות שמונעות התקפות סייבר” ,מסביר ומנתח ד”ר נמרוד קוזלובסקי (עו”ד) ,מייסד משותף ,סייברס. “יש פער אדיר בין המגן לתוקף .המגן לא יודע להגן נכון על המערכות שלו. מדינת ישראל ,שהייתה חלוצה בעולם בתחום היזמות כבר בשנות ה 90 -של המאה הקודמת, מתעסקת כיום בשטויות .רוב השוק של היזמות ב’מדינת היזמות’ עוסק באפליקציות בעיקר לסלולר .זה בזבוז זמן מוחלט .אין לישראל וליזמיה שום יתרון עולמי בתחום ואין לנו שום יתרון טכנולוגי או תחרותי בתחום .אולם ,נוצר בישראל System-Echoשל ‘איך עושים יזמות’. איך הופכים את המדינה למדינת יזמות – Startup .Nationבגלל שההון בהון סיכון די נגמר ,משקיעים בעיקר בשטויות. יש כאן רגע של הזדמנות יוצאת דופן למדינה. יש לישראל יתרון אדיר בתחום הסייבר .הסיבות: ההכשרה העמוקה ,הניסיון האדיר ,האיום המתמיד 24 גיליון | 7ינואר | 2013 וההתקפות הרבות עלינו .נצבר ניסיון וידע שאין בעולם .לכן ,ניתן ליצור כאן תעשייה חדשה בעולם הסייבר ,במקום תעשיית היישומים לסלולר .אולם, היזמים ,גם בתחום זה ,הולכים בעיקר למכור שירותים ברחבי העולם ולא מייצרים מוצרים .אין לנו שום יתרון בשירותים .אנחנו מדינת חדשנות. זה הכוח שלנו .יש הזדמנויות בכל העולם ,כי כל המערכות בעולם חשופות לסייבר .אנחנו לא מכירים את כל מגוון והיקף התקפות הסייבר בגלל קשר השתיקה העולמי. יש כשל מובנה במערכות ה ,IT -כי קרתה כאן מהפכה :התוכנה עברה לרשת ,למובייל, לתשתיות משותפות ולמכשירי קצה פרטיים ( ,)BYODשנכנסים לרשת הארגונית .עברנו לסביבת ענן ,שמערכות ההגנה שלה שונות מהמוכר בעבר .מידע רב עובר במערכות המכונות ,Data Bigשנשלטות ע”י גורמים עלומי שם בכל העולם .רוב המידע העולמי ,לרבות המידע העסקי ,נמצא שם. אין קשר בין מערכות ההגנה לבין הארגונים .וקטור ההתקפה עבר להחדרות של התקפות בחומרה, תפיסת ההגנה קרסה .הנחות המוצא של עולם האבטחה פשוט קרסו ,כי לא התאימו עצמן למציאות המתפתחת כה מהר .לכן ,מערכות שאינן פרואקטיביות כבר לא רלבנטיות .שיתוף מידע והערכת מידע הם בסיס חיוני להצלחה. הדרך הנכונה היא מערכת אבטחה מרכזית, מערכת כלל מדינתית מבוססת מודיעין .יש כל הזמן הכנות להתקפות .צריך מודיעין כדי לדעת על זה .אין כיום דבר כזה בשום מקום בתחום האזרחי. בהתייחס לדבריו של ד”ר נמרוד קוזלובסקי בעניין הסתרת רוב המידע על התקפות סייבר, תחום זה עובר שינוי רגולטורי משמעותי .נציבת השוק האירופאי לנושאים דיגיטליים הגישה הצעת החלטה כלל אירופאית ,שתטיל על חברות המחזיקות או מנהלות מידע ברשת ,חובה לדווח במקרים של דליפת מידע או אבדן מידע ,בכל המקרים .עד היום ,חובת הדיווח באירופה הייתה חלה רק על מקצת מהמדינות (כמו גרמניה וספרד) והיקף הדיווח הושאר לשיקול דעת של בעלי מאגרי המידע .בהצעה החדשה ,יש חובת דיווח בכל המדינות ,על כל נותני השירותים המקוונים ,כל פלטפורמות מסחר מקוונות מכל סוג ,רשתות חברתיות ,מנועי חיפוש ,ספקי שירותי ענן ועוד .ב 2009 -הוטלה חובת דיווח על ספקי “תשתיות תקשורת” ,שהתייחס לחברות טלפוניה בלבד .כעת ,חובה זו תורחב כל ספקי ומחזיקי המידע .האם ישראל תלך בעקבות הנציבות האירופאית בתחום זה? סביר להניח שכן. לפני המבצע ,הייתה עלייה משמעותית בפריצות. רוב הפריצות הן לאתרים עם סיומת ( il.coיותר מ 11 -אלף אתרים מתוך ה 12 -אלף שנפרצו). 635פריצות היו לאתרי ,il.orgלאתרי il.acהיו 135 פריצות ,לאתרי il.govהיו 18פריצות ,שזה מאוד נמוך .לשאר הסיומות -במספרים מאוד קטנים. האתרים הממשלתיים שנפרצו היו בעיקר אלו ששוכנים מחוץ ל’תהילה’. רוב האתרים שנפרצו הם אתרים יחסית קטנים. אין הבדל בפריצות בין אתרים המבוססים על חלונות לבין אלו המבוססים על לינוקס .כיום, נפרצים יותר אתרי לינוקס מאתרי חלונות. ב 2012 -הייתה עלייה משמעותית אצלנו ב’חקירות מחשב’ ,עבור חברות שהפסידו כסף במערכות המחשוב שלהן .זו עלייה משמעותית מ .2011 -מדובר בעשרות חקירות לשנה .מצאנו, שרוב הפריצות בישראל הן ברמת תחכום נמוכה .ההצלחות בפריצות נובעות בעיקר מהזנחה והשארת פרצות במערכות המחשוב. רמת התחכום בפריצות לא הייתה גבוהה למרות הנזקים המשמעותיים .על פי החקירות הללו ,יש כיום הרבה פריצות בתחום האפליקציות ופחות בתשתיות. רוב אתרי האינטרנט שנפגעו ,השתקמו די מהר .לא יותר מ 2 -עד 3ימים .רוב הפריצות ב- בתחום לוחמת הסייבר אומר שי בליצבלאו, מנכ”ל מגלן – טכנולוגיות הגנת מידע“ :ב2012 - נפרצו הרבה יותר אתרים בישראל מאשר ב- .2011כמעט כפליים .ב ,2012 -לפי הספירה שלנו ,נפרצו יותר מ 12 -אלף אתרים .בממוצע נפרצו 1,250אתרים בחודש .זה המון .מבצע ‘עמוד ענן’ היה שיא ,אבל גם באוגוסט ,הרבה לכן ,יש כאן חלון הזדמנויות לישראל .הגיעה העת להגיד את האמת ולהפסיק לרמות את עצמנו. אנחנו לא באמת מעודדים יצירת תעשיית היי-טק בריאה .יש כמה תנאים כדי שלתעשיית ההי-טק יהיה עתיד .ברור שזה כסף והשחקנים הגדולים בעולם רוכשים כל הזמן חברות קטנות ,בכמויות. המדינה היום ,על פי ההצהרות ,מתעדפת יזמי סייבר וחובה על כולנו לנצל זאת .הצבא הוא בי”ס מצוין להכשרה בתחום הסייבר .צריך לתת לזה שכבת עידוד מקיפה :מרכזי ידע אקדמיים, השקעות הון סיכון ומהממשלה ,מעבדות לאומיות, תמריצים לחברות שירותים לעבור לתחום הפיתוח וייצור מוצרים במקום שירותים .היזמות בתחום זה דורשת ‘כסף חכם’ .זה גם דורש הרבה כסף .יש כאן צורך בהרבה D&Rוהרבה ניסיונות כדי להצליח .זה לא הורדה של אפליקציות מהמרקט הסלולרי .צריך גם לעמוד ברגולציה קשוחה של כמה מדינות. שפורסמו ,אבל לא פורסם ,שליד כל פריצה כזו היו ‘פריצות משנה’ ,שגרמו לנזקים שלא נראו כלפי חוץ .הבעיות המרכזיות ,שיש בישראל ,הן בתחום התיכנות של הפורטלים .חסרים בישראל חוקרי לוחמת סייבר מיומנים ,ואני מקווה שתחום ההכשרה יזכה לעדיפות”. צריך להקים כאן דור של ‘מנטורים’ לעולם הסייבר .כמו שיש דור של ‘מנטורים’ לעולם האינטרנט .צריך לשנות את הדיסקט בראש של כולנו”. בתחום זה ,מדווח אופיר בן אבי ,מנהל ממשל זמין, משרד האוצר“ :אימצנו את הסלוגן ‘כיפת ברזל’ כדי לתאר את פעילות ‘ממשל זמין’ בהגנה על המערכות של התקשוב הממשלתי מפני התקפות אופיר בן אבי ,מנהל ממשל זמין ,משרד האוצר 2012לא פורסמו .יש פריצות של Defacement שי בליצבלאו ,מנכ"ל מגלן | גיליון | 7ינואר 2013 25 הוועידה השנתית ה6 - לאבטחת מידע 2013 הסייבר .אנו למעשה ה ISP -הממשלתי ומארחים את אתרי הממשלה ועוסקים בהגנה עליהם. אנחנו פיתחנו יישום בתוך הבית בשם ,Table Multi יישום שאוסף את כל המידע במערכות ,מאפשר תגובה אינטראקטיבית וממוקדת לאירועים בזמן אמת ומסוגל לעצור מתקפות .אנו עובדים מול שני ספקים חיצוניים :נטוויז’ן ובזק בינלאומי ,שלהם יש יכולות טובות משל עצמם להגנה מפני התקפות סייבר .הם פועלים במעגלים החיצוניים ,כאשר יש עוד שני מעגלים פנימיים ,בנוסף למעגל בינלאומי, שנעשה בשת”פ של גופי תקשורת ואבטחה בינלאומיים. כיום ,ההתקפות הן בעיקר לא של האקרים ,אלא של מדינות .ההתקפות מגיעות אלינו ממחשבים בכל רחבי העולם ,בלי כל קשר למקור ולמקום אייל צפריר ,סמנכ”ל פתרונות לעסקים ,בזק בינלאומי מטשטש הגבול היכן מתחיל ונגמר הארגון והיכן מתחיל ונגמר הספק .יש טשטוש גבולות מאוד חריף .לכן ,שיתוף מידע ועזרה הדדית ,הם תנאי חשוב להצלחה ולהיערכות נכונה להגנה בעולם החדש הזה .צריך לשתף את מנהלי האבטחה הפיזית עם מנהלי אבטחת המידע הדיגיטלי, שהיום היא יותר ויותר וירטואלית .הדבר המרכזי שנדרש הוא לבנות אסטרטגיה לניטור ולאבטחת מידע .לזהות זה יותר קל וצריך להשקיע יותר בניטור מאשר במניעה ובחומות הגנה”. מני ברזילי ,מנהל מחלקת ביקורת מערכות מידע ,בנק הפועלים ממנו הן יצאו .אני מאמין ,שיש צורך לצאת מגישת האבטחה ולעבור לגישת ההגנה שהיא יותר אקטיבית .המשמעות :יותר ביזור של שרתים, אבטחת השירותים החיוניים לאזרח והחלטה על מה חשוב להגן וכדאי להגן .לא כל האתרים הממשלתיים הם באמת באותה רמת חשיבות לאבטחה. 26 גיליון | 7ינואר | 2013 רוב סוגי ההתקפות עלינו מהן מסוג ,DDOS כאשר כיום יש סוגי התקפות מורכבות ביותר, עם התגברות של סביבת ה( Defacement -שינוי פני האתר) .אנו חוקרים את סוגי המתקפות כדי ללמוד על המגמות החדשות בתחום”. מני ברזילי ,מנהל מחלקת ביקורת מערכות מידע, בנק הפועלים ,סבור“ :כשמחשוב ענן נכנס לארגון, אייל צפריר ,סמנכ”ל פתרונות לעסקים ,בזק בינלאומי ,טוען“ :עם למעלה ממיליון לקוחות (כ 40% -נתח שוק) עם כ 2,500 -עובדים ,אנו מספקים פתרונות בכל התחומים לכל רבדי השוק .היום יש סיכונים רבים בגלל היקפי התוכן המיוצרים ע”י כל אחד ברשתות חברתיות .אנו מגנים על עננים ענקיים ,למשל הענן החדש שהולך וגדל של מנב”ס – משרד החינוך ,שכבר יש בו כ 400 -בתי ספר .השקענו במערכות חדישות ובעת האחרונה התקנו אצלנו מערכת חדישה של ,Networks Arborשהפך להיות רכיב מרכזי ברשת ההגנה שלנו .זו שכבה של מערכת, שהוכיחה את עצמה כטובה בהגנה על מערכות מורכבות ,כולל אלו של ‘ממשל זמין’ ועמדה בכל העומסים שנוצרו בעת האחרונה”. דוד אלוש ,מנכ”ל ומייסד ,CloudComנציגת Boxבישראל דוד אלוש ,מנכ”ל ומייסד ,CloudComנציגת Box הארגונית ואכיפתה”. בישראל ,מפרט“ :יש 7טבעות אבטחה ,שחייבות להתקיים בכל ארגון ,אחרת אין כל טעם במערכות האבטחה: .1אבטחה אפליקטיבית (כולל .)In-Log .2אבטחת ה.On-Sign Single( SSO( - .3הרשאות וניהול רישום – .Trail Audit .4הצפנת התנועה והמידע ,באחסון ובתנועה. .5אבטחת הרשת .כולל IDS\IPSו.FW - .6אבטחת חוות שרתים. .7אבטחה פנים ארגונית .קשור לקביעת המדיניות עידו גנור ,מנכ”ל ,Security IPVמוסיף לנושא: “לפני שמתקינים מוצרי אבטחת מידע ,טלאי על טלאי ,יש צורך לתכנן את אסטרטגיית אבטחת המידע ולתכנן בקפידה את ארכיטקטורת אבטחת המידע .ארכיטקטורת אבטחת המידע היא ‘חשיבה מחוץ לקופסה’ ופעילות פרואקטיבית ,בראייה הוליסטית של אנשים ,תהליכים וטכנולוגיות .הרוב מתעסקים בטכנולוגיות וזו טעות חמורה”. עידו גנור ,מנכ”ל IPV Security | גיליון | 7ינואר 2013 27 תופעת ה Big Data-עשויה לסייע בטיפול במצב זה על ידי מומחי אבטחת המידע ,תוך הדגשת הצורך של הארגונים לבחון מחדש את מגוון הפתרונות של אבטחת מידע הנבחרים עבור הארגון שלהם .שילוב אבטחת מידע עתירת-בינה עם ניתוחי מידע מסוג Big Dataיוצר פוטנציאל למתן סיוע לארגונים בפתרון הבעיות המורכבות של איומים מתקדמים ,ועל ידי כך מספק מענה לדרישה משמעותית הקיימת כיום בשוק עבור נושא זה. בעידן הביג דאטה ,הגיקים ישלטו בעולם .העידן הזה טומן בחובו סכנות אבטחת מידע וחשיפת פרטיות – אבל גם הזדמנויות לשיפור טכנולוגי ולשיפור היבטים שונים בעולם .עידן הביג דאטה הוא בעל פוטנציאל והזדמנות חשובה ביותר לשנות את חיינו ,לשפר את איכותם ,ובעיקר לעשות זאת בעולם ה IT-הבריאותי ,שם לטיפול במידע רחב היקף יש משמעויות של חיים ומוות. כיום ,יותר מדי ארגונים מקבלים החלטות מבוססות הנחות ,בעוד שהן צריכות להיות מבוססות מידע ונתונים ,כמו בעולם המודיעין. אבל זה לא עובד ככה ,צריך לדעת לשאול את השאלות הנכונות .ההערכה היא שבקרוב ,יהיה מקצוע חדש – מדעני מידע ,שיסייעו לטיפול בתחום הצומח הזה של מסת מידע ,שממשיך לגדול ללא הרף. שבחשיפת פרטיות והיבטי "האח הגדול" ,אולם יש להביט על הצדדים החיוביים גם כן :התועלות הטכנולוגיות שיכולות לשנות מגגון היבטים בחיי האנושות ולקדם תחומי חיים רבים ,ובראשם הIT- בעולם הבריאות. העולם מקושר וממוכשר ,ולכן חשיבות היבט אבטחת המידע הולכת וגדלה .פתחנו את עצמנו לפני עשור ומאז אנו חשופים לבעיות אבטחת מידע ופרטיות קשות .קיים חוסר יעילות גלובלי של ממשלות ומשטרות וחוסר קשר ביניהן לטובת תפיסת ההאקרים. האנושות במרביתה הולכת להיות גיקית ,ואבטחת המידע תהיה קשה ,ולא נצליח לפתור את כל הבעיות של הפשע הקיברנטי ,כמו שלא פתרנו את הבעיות בעולם הפשע הפיסי – אבל תמיד נצטרך להילחם באי-הוודאות .על מנת לצמצם מימד זה ,נבנה מודל אבטחת מידע מבוסס בינה, עם ניהול סיכונים מובנה ,אג'ילי ( ,)Agileבתוך הקשר פרואקטיבי .במודל זה ,לביג דאטה יהיה מרכיב מפתח .הטכנולוגיה החדשה אומנם עוזרת לנו בהיבטים רבים ,אבל טומנת בחובה בעיות רבות – ועליהן יש לתת מענה. טיפול אסטרטגי ביג דאטה והקשר שלה לעולם אבטחת המידע עולם המחשוב בעידן הביג דאטה והמחשוב הנייד בעידן ה BYOD-הן המגמות החשובות ביותר בעולם ה IT-כיום ,והעולם טרם הבין לעומקו את המשמעויות הגלומות בניצול הטכנולוגי שלהן. בתחילת שנות ה ,2000-כמות המידע המאוחסן בעולם עמדה על אקסה-בייט ,ואילו כיום הכמות עומדת על זטה-בייט .לפני יותר מעשור כמות משתמשים האינטרנט עמדה על 513מיליון ,ואילו כיום הנתון עומד על 2.1מיליארד .לפני כעשור היו בעולם 940מיליון טלפונים ניידים ,ואילו כיום יש כ 6-מיליארד .אז העבירו מסרים מיידיים עם תוכנות כדון ,AOLוכיום הפייסבוק היא המדינה השלישית בגודלה בעולם ,אחרי הודו. יתרון לביג דאטה הביג דאטה זה יותר מאשר הרבה מידע .זו היכולת לפשט משמעויות ,למצוא דפוסים נסתרים ,לקבל הקשרים מפתיעים ,ליצור קשרים לא ידועים. עולם הביג דאטה מפחיד בשל הפוטנציאל 28 גיליון | 7ינואר | 2013 הטיפול בביג דאטה בארגונים חייב להיות מטופל ברמת האסטרטגיה ולא כפרויקט .ITהמידע שבביג דאטה הארגוני הוא יקר ערך וחשוב לאבטח אותו ,מפני שהוא יכול להכיל נתונים על אנשים שאפילו הם לא יודעים אותם על עצמם. כיום מוקמות מערכות הביג דאטה ללא אבטחה ראויה ,והדבר יכול להוביל לאי נעימויות ובעיות פרטיות שכבר צצות ועולות כל הזמן .חברות צריכות להבין שהן חייבות להגן על פרטיות לקוחותיהן בחירוף נפש. כבר היום נכתבות נוזקות למוצרים חדשים ולבסיסי נתונים NoSQLשנמצאים בבסיס של תחום הביג דאטה ושהערך שלהם הוא עצום. צריך להיכנס לתחום הזה עם ראייה של יותר מ 10-דקות קדימה ,לתכנן נכון את האסטרטגיה ולשאול הרבה פעמים "למה"? .יש מספק שאלות יסוד שכל לקוח צריך לענות עליהן עוד בשלב התכנון ויש נושאים שחייבים להתחשב בהם, כמו עלויות ,זמינות ומהירות הגישה לנתונים. צריך בנוסף לקחת בחשבון שבעתיד הקרוב יהיו ניסיונות פריצה לבסיסי הנתונים הללו ולא רק מחוץ לארגון ,אלא גם מתוכו – בגלל הערך הרב של המידע. מצא את המטמון... בתוך הביג דאטה הדרך למציאת המטמון ,הערך העסקי ,עוברת דרך הסתכלות על כלל מרכיבי ההצלחה :המידע, הטכנולוגיה ,התהליכים ,ההיבטים הארגוניים והאנשים .היכולת למצוא את המטמון באמצעות הביג דאטה מחייבת לבצע את הצעדים הנכונים: חשוב להבין את האסטרטגיה של הארגון ,לאן הוא רוצה ללכת ,מהם היעדים העסקיים שלו – ודרך זה להביא את השינוי והערך העסקי .בדרך חשוב גם לשאול איזה מידע נכון לנו ומשרת אותנו, איזו טכנולוגיה רלוונטית ומתאימה לצורך ,האם אותם אנשים שהיו עד עכשיו רלוונטיים הם עדיין כאלה בעולם החדש של הביג דאטה ,והאם צריך להיערך אחרת. מדובר בשינוי מהותי בתפיסה ,והשינוי הזה לא אמור להתרחש בבת אחת ,אלא יש להסתכל על כל מרחב הצרכים ולטפל בדברים שיביאו הצלחה בטווח המיידי ואז ההצלחה תזין את עצמה .יש שלוש סיבות עיקריות לכך שכל זה קורה עכשיו .הראשונה היא שאנחנו נמצאים כיום בעולם דיגיטלי ,בזירת האינטרנט .אם עד היום כל ארגון היה מסתפק במידע הקיים בתוכו ,כללי המשחק כיום השתנו. הזירה המעניינת והמשפיעה נמצאת באינטרנט. בנוסף ,קיימת בשלות טכנולוגית שמאפשרת לנטר כל דבר ויש הרבה פתרונות אחסון חדשים .ההיבט השלישי מכונה Nexus of Forcesוהוא החיבור של ארבע כוחות :רשתות חברתיות ,ניידות ,ענן ומידע .מערכת היחסים והקשרים ביניהם מייצרת הזדמנויות עסקיות חדשות. לקחים בעידן הביג דאטה הלקח הראשון הוא שההתמודדות עם הביג דאטה הופכת למיינסטרים .מנהלי מערכות מידע שהשקיעו בשנת 2012בהוכחת יכולות ולימוד הטכנולוגיה יחלו בשנת 2013לקלוט את המערכות לתוך תהליכי הייצור וכך להשפיע ישירות על רווחיות הארגון .מי שהתכונן ב,2012- יתחיל עכשיו לקצור פירות. הלקח השני מתייחס לאימוץ טכנולוגיות הביג דאטה .זה מתחיל בדרך כלל כתרגיל הנדסי, ללימוד טכנולוגי ללא התייחסות לאיכות התשתית, ובעת המעבר ליישום ולרצפת הייצור בחדרי ה,IT- דורש התייחסות לתרחישים שעומדים בכללים המחמירים הנהוגים בכל ארגון. כלקח שלישי ,חשוב למנות דווקא את יכולות הריפוי עצמי שכלולות בטכנולוגיות הללו .אולם שילוב עם תשתית טכנולוגית מתאימה מאפשר האצת ביצועים על חשבון התעסקות עם ריפוי עצמי. | גיליון | 7ינואר 2013 29 בגיליון הבא •האיום שבפנים סקירהטכנולוגית •כיפת ברזל דיגיטלית – חלום או מציאות? RIPS •באיזה מתודולוגיית BCM נשתמש? מדובר בכלי סריקה אפליקטיבי לאפליקציות .PHPיצא לראשונה במאי 2010ועודכן בגסרתו הנוכחית במרץ .2012מבוסס קוד פתוח ובעל ממשק משתמש מבוסס ,WEBקל ונוח לתפעול. הכלי מספק בין היתר מענה ל: • ,XSSהזרקת שאילות )SQL (SQL Injectionופגיעויות אבטחה ידועות נוספות •סימון השורות הבעייתיות בהן נמצאו ליקויי אבטחה •מדגיש משתנים בCode Viewer- •תצוגה גראפית נוחה ונגישה •מספק למשתמש הסבר לגבי כל רגישות אבטחה שנתגלתה בסריקה ,ופתרונה. הכלי מיועד לביצוע בדיקות קוד לאנשי אבטחת מידע ומתכנתים אולם עלול לשמש גם תוקפים לאיתור פרצות אבטחה בקוד באתרים מבוססי .PHPהכלי ניתן להורדה חינם. Nikto Web Scanner •ניהול סיכונים בעולם הDRP- •מלחמת הסייבר ממשיכה להכות דרגת סיכון :כשלעצמו ,הסיכון אפסי ,אולם עקב התחכום הרב שלו והיכולות הגבוהות שהוא מציג יש להתייחס אליו כאל כלי ל"מודיעין לפני מבצע" או ככלי מסייע בזמן תקיפה ממש ,ולכן יש להתייחס אליו כאל כלי בעל רמת סיכון גבוהה ביותר. בין הכותבים שלנו: ניר ולטמן CISO -בחברת RETALIX .Perlהכלי תומך ב .SSL, HTTP PROXY-הכלי גם בודק קבצי אינדקס מרובים ואפשרויות של שרתי .HTTPאחת הסריקות של הכלי ,מנסות לזהות גרסאות של שרתים ואת התוכנות המותקנות עליהם. לתוכנה יש תוספות רבות ( )Plug-insשניתן לעדכן בקלות. דרכי התמודדות :הכלי רב עוצמה אולם נועד לבדיקה מהירה ויסודית ולא לבדיקה חשאית ,ולכן כל כלי IDS/IPSיזהו אותו בקלות .יש לחסום בדיקות מסוג של שהן לא רצויות (שלא בוצעו כחלק מהבדיקות אבטחה של הארגון על המערכות שלו) הפרטים אודות כלי האבטחה שמפורטים בכל גיליון ,נועדו לצורך הרחבת הידע בלבד .חל איסור שימוש בכלים אלה ,הן בתוך הארגון ,והן על ארגונים חיצוניים ללא קבלת אישור בכתב מגורם מאשר בתוך הארגון .אין הנהלת האיגוד או המערכת של העיתון אחראים על נזק שעלול להיגרם כתוצאה משימוש מזיד בתוכנות אלה. 30 •כיצד לבנות תוכניתBCP/DRP הולמת מדובר בכלי שמבוסס קוד פתוח ,המשמש לסריקת נקודות תורפה בשרתי .WEB הגרסה האחרונה הינה ,2.1.4וככלי קוד פתוח הוא מאוד פופולרי ,ויש לו אלפים רבים של ואריאציות שונות. אופן פעולה :כדי להריץ את הכלי ,יש צורך בהתקנה של Perl, OpenSSL, ActiveState גיליון | 7ינואר | 2013 •היום שאחרי... האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. מערכות פגיעות :הכלי בודק למעלה מ 6400-בדיקות על כ 1200-גרסאות שרתים שונים ובודק נקודות תורפה ידועות על 270גרסאות שרים. הערות: •מצב ה DRP-בישראל דני אברמוביץ -מנכ“ל חברת TITANS SECURITY שלומי מרדכי -מנמ“ר הקריה האקדמית הדס שני -ראש צוות CERTבתהיל“ה אלי כזום -מנהל אבטחת מידע אגף המכס והגבייה מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT אם גם אתם רוצים לכתוב כתבות, נא לפנות אלינו בכתובת: [email protected] למתן חסות לאיגוד ,ניתן לפנות אלינו | גיליון | 7ינואר 2013 31 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע שם הקורס תיאור הקורס מסלול משך הקורס תאריך פתיחה תעודה מסלול להכשרת מנהלי אבטחת מידע ( )CISOמוסמכים מסלול ייחודי להכשרת מנהלי אבטחת מידע בעל 2הסמכות בינלאומיות. 200שעות ערב 25.03.2013 בינלאומית CISSP מסלול ייחודי להכנה לבחינת ההסמכה 56שעות ערב 24.03.2013 בינלאומית CISSP מסלול ייחודי ארוך במיוחד להכנה לבחינת ההסמכה 100שעות ערב 24.03.2013 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 19.05.2013 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 19.05.2013 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 בינלאומית מסלול להכשרת מנהלי ניהול סיכונים ( )CROמסלול ייחודי להכנה לבחינת ההסמכה 200שעות ערב 24.03.2013 בינלאומית Mobile Forensics מסלול ייחודי להכשרת מומחי ניתוח ממצאים בפלאפונים חכמים, מכשירי ,GPS וטאבלטים. 40שעות ערב 14.04.2013 CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 Cyber Security and Incident Handling מסלול טכנולוגי ייחודי ובלעדי 40שעות ערב 19.05.2013 בינלאומית לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת [email protected] :או לטלפון077-5150340 : לתיאום פגישה וקבלת פרטים נוספים 077-5150340 חייגו: אקדמיה :דוא"ל [email protected] מכירות 054-9844855 :דוא"ל [email protected] www.titans2.co.il | www.ts2.co.il | www.titans2.com
© Copyright 2024