e n i z a g a M y t i r u c e n S o i t a m r o f מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 3יולי 2012 בשער ניהול זהויות Identity Management סיקור הכנס השנתי של האיגוד מגמות בעולם הסייבר מערכות SIEM מערכות IPS זהירות בוטנט n I דבר נשיא האיגוד הישראלי לאבטחת מידע ()ISSA חבר\ה יקר\ה העולם לא ממש השתנה ,וגם כיום ,מנהל אבטחת המידע ,עדיין נלחם מצד אחד בלהשיג תקציבים מהנהלת הארגון ,ומצדו השני, אל מול שלל האיומים שפוקדים על הארגון מדי יום. אל מול שלל האיומים ,קיים כיום היצע גדול של פתרונות טכנולוגיית להצפנה ,למניעת זליגה של מידע החוצה מהארגון בין אם דרך הרשת או דרך אמצעים נתיקים ,לחסימת חדירה של גורמים עוינים למערכות ולמידע הארגוני ,למניעת שיבוש ופגיעה במערכות ובמידע ,כמו גם פתרונות למעקב ובקרת גישה וניהול זהויות. אבל זה לא מספיק ,ולמרות כל שכבות ההגנה שהוזכרו לעיל, ישנו עדיין צורך בשכבת הגנה נוספת ,שהיא השכבה החלשה ביותר בשרשרת ההגנה של הארגון ,והיא השכבה של ההיבט האנושי. הארגונים כיום לא מסתפקים רק ביישום פתרונות טכנולוגיים ומשקיעים רבות בהסברה והדרכה בתוך הארגון ,כמו גם בקביעה של מדיניות ונהלי עבודה ,וסנקציות לאלו שלא ימלאו אחרי הוראות מדיניות אבטחת המידע של הארגון. הגיליון הזה יתמקד בחלקו באבטחת מידע בהיבט האנושי ,שזה ברוב הארגונים ,עקב אכילס ,ומשמש ותמיד ישמש כנקודה חלשה בשרשרת אבטחת המידע בארגון. לא ניתן למנוע לגמרי את הסיכון הנובע מההיבט האנושי ,אבל כן אפשר למזער את מידת ההשפעה שלו על הארגון ,ע"י ניהול הסיכון בצורה חכמה ,ובקרות מפצות בכל אותן האזורים בהן הארגון חשוף. דבר העורך ממשל אבטחת מידע! סיקור הכנס השנתי של האיגוד לאחרונה ,נושא מתקפות הסייבר ,מספק הרבה כותרות לכלל ערוצי התקשורת בעולם ,וארגונים מחפשים אחר פתרונות יעילים בכדי להתמודד עם הנושא .אך לעתים ,הפתרון דווקא אינו נובע מהפן הטכנולוגי ,אלא מהפן התהליכי. מגמות בעולם הסייבר אנו ממליצים לארגונים ,לאמץ וליישם ממשל אבטחת מידע בארגון ,בכדי להתמודד עם מלחמת הסייבר שבפתח. דני אברמוביץ נשיא האיגוד 2 מערכות IPS מערכות EPS סיכונים במיקור חוץ הפשע הקיברנטי הדור החדש של ההאקר כיצד בונים תוכנית להמשכיות עסקית? רגולציה בעולם הפיננסי אבטחת מידע בהיבט האנושי ישנם יתרונות רבים ליישום ממשל אבטחת מידע בארגון ,ואחד מהם זה היכולת של מנהל אבטחת המידע בארגון לאמוד את רמת אבטחת המידע ע"י מדידת האפקטיביות של הבקרות הקיימות ,ו\או תהליכי אבטחת המידע שבוצעו (ארכיטקטורה, הקשחות ,וכו') ע"י קביעת קו מנחה לכל נושא ( )Baselineוקביעת מדדים לצורך שיפור. מעקב ממוחשב אחר עובדים במסגרת הפעילות של ממשל אבטחת המידע ,ניתן למצוא את הפעילויות הבאות: •מיפוי התהליכים העסקיים ודרישות עסקיות •הגדרת היעדים ,המטרות ואמצעי אבטחת המידע בהתאם לדרישות העסקיות הרלוונטיות (אורגולטוריות\חוקיות) •הכנת תוכנית עבודה שנתית או רב-שנתית לעיבוי מערך אבטחת המידע בארגון •בחירת מסגרת לניהול אבטחת המידע והטמעתה בארגון (כגון תקן )ISO 27001 קריאה מהנה! גיליון | 3יולי | 2012 מערכות SIEM זהירות בוטנט יישום ממשל אבטחת מידע דורש הטמעה של תהליכים הקשורים בניהול אבטחת המידע ,בכמה רבדים ,משמע לייצר שליטה ובקרה טובים יותר בכל רכיב ותהליך שמשתנה בארגון בכלל ,ובסביבת המחשוב בפרט ,והקשור לתחום אבטחת המידע. תחום ממשל אבטחת המידע ,כולל בתוכו לרוב היבטים ניהוליים הקשורים לעולם ניהול אבטחת המידע (ממשל) ,.כגון קביעת תוכנית עבודה ,ניהול ביצוע ניהול סיכונים ,קביעת מדדים לצורך שיפור רמת האבטחה ו\או הבקרות ,ועוד .תחום ממשל אבטחת המידע ,יכול לסייע לנו גם בהיבט הטכנולוגי ,למשל ,בקרה וניהול שינויים בהתקנה של טלאי אבטחה (ע"י תהליך מבוקר של ניהול טלאים ,גרסאות ,בדיקות תאימות בסביבת בדיקות וכו') .כל תהליך החל מנוהל עבודה ,וכלה בהטמעת פתרון אבטחת מידע בארגון ,צריך להיות מלווה בהנחיות ונהלי עבודה. •הגדרת מדדי אבטחת מידע לצורך מדידת האפקטיביות של תוכנית אבטחת המידע בברכה, מה בגיליון? M a g a z i n e S e c u r i t y מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 3יולי 2012 בשער ניהול זהויות Identity Management סיקור הכנס השנתי של האיגוד מגמות בעולם הסייבר מערכות SIEM מערכות IPS זהירות בוטנט I n f o r m a t i o n עורך ראשי :דני אברמוביץ סגן עורך :שלומי מרדכי המערכתTITANS SECURITY GROUP : צלם המערכת :יוסי טובליס דוא"ל[email protected] : האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. | גיליון | 3יולי 2012 3 בעיות שכיחות בתחום אבטחת המידע בעידן של היום אבטחת מידע בשכבה 8של מודל ( OSIההיבט האנושי) "אבחון מועמדים באמצעות מיון חקירתי" בחברות שבהן אמינותו ואופיו של המועמד הם קריטיים לחברה, מומלץ מאוד להקצות תקציב נוסף לטובת בדיקת רקע מעמיקה אודותיו. חברות רבות מסתפקות בתהליך אותו עובר מועמד בחברות ההשמה למיניהן .אלא שחברות ההשמה מתרכזות בדרך כלל רק בהתאמתו המקצועית של המועמד .גם במבחנים קבוצתיים תחרותיים ובראיון עם מאבחן פסיכולוגי אין, בדרך כלל ,התייחסות מעמיקה לעניין מהימנותו ואמינותו של המועמד. המועמד מתבקש בדרך כלל להביא מכתבי המלצה או לציין בשאלון של החברה המעסיקה או חברת ההשמה ,מקמות עבודה קודמים או ממליצים .בדיקת מידע מרכזי ומוביל זה מבוצעת, אם בכלל ,על ידי הבודק בשיחה טלפונית המאמתת ,במקרה הטוב ,את נכונות הפרטים וגולשת אך במעט אל מהות הבדיקה .את נכונות הפרטים קשה ולא מומלץ לבצע באמצעות שיחת טלפון .על המאבחן לצאת מנקודת הנחה כי הממליץ קשור למועמד וממילא לא ימסור מידע שלילי ,לבטח לא בשיחת טלפון עם גורם זר. במספר לא גדול של חברות ,נהוג לשלוח את המועמד לבדיקה גרפולוגית או לבדיקת פוליגרף. הדעות באשר לבדיקה גרפולוגית ,ככלי מסייע לבדיקת אופיו ואמינותו של אדם ,חלוקות .אך ההסתייעות בבדיקה הגרפולוגית ככלי תומך החלטה וכמרכיב נוסף בתהליך הבדיקה מקובל ואף מוערך אצל בעלי המקצוע בתחום זה. 4 גיליון | 3יולי | 2012 לאור כל זאת ,המידע המצטבר בחברה לגבי מועמד לעבודה ,רקעו האישי וההתנהגותי ,אופיו ועברו הם בדרך כלל שטחיים למדי ולא אמינים דיים .כתוצאה מכך ,אין זה בלתי סביר שמעסיקים עלולים להיות מופתעים ממעשיהם או מחדליהם של אותם עובדים ,שנבחרו על ידם לעבודה. מכיוון שהמפתח להצלחה טמון בעיקרו באיכות צוות העובדים – התחרות על הגורם האנושי המתאים אינה חדשה ,ותהליך איתור המועמד לתפקידי ניהול בכירים או משרות מפתח בארגון קשה שבעתיים .המאבחן נדרש להתמודד עם השאלה ,מיהו המועמדת ומהם חסרונותיו ויתרונותיו ,מעבר ליכולת המקצועית הפרטנית הנדרשת ,כתנאי להתאמתו לתפקיד המוצע בתוך החברה. הרבה ארגונים סבורים שמיון חקירתי מקצועי הוא שלב שיש לבצע לאחר המיונים המוקדמים של חברות ההשמה ולא כתחליף לו" .המיון החקירתי" רצוי שיתבצע לגבי מועמדים בתפקידים קריטיים בחברה ויתייחס לאישיותם ומהימנותם של המאובחנים. "המיון החקירתי" נעשה על דעת ובהסכמה של המועמדים ומתמקד בנושאים הבאים: •עיבוד נתוני המועמד •איסוף מידע משלים •קיום "ראיון חקירתי" •בדיקות השלמה נוספות (בהתאם לסיווג ודרישות התפקיד) •בניית "פרופיל התנהגותי" למועמד •דוח ניתוח והמלצות כולנו מכירים את המקרה המפורסם ,שבו נהג התקבל לעבודה בברינקס ,ולאחר כמה חודשי עבודה הוא גנב את אחד מרכבי החברה ובו מיליוני דולרים .אותו עובד עבר תהליך שבו מילא פרטים בשאלון כלשהו ,תוך הצגת תעודת זהות מזויפת וכנראה גם מסמכים מזויפים אחרים .אילו היה אותו גנב עובר תהליך של "מיון חקירתי" כמפורט לעיל ,סביר להניח שמזימתו הייתה נכשלת עוד בראשיתה וזהותו הבדויה הייתה מתבררת בשלב מוקדם. לכן ,בחברות שבהן אמינותו ואופיו של המועמד הם קריטיים לחברה ,מומלץ מאוד להקצות תקציב נוסף לטובת בדיקת רקע מעמיקה על המועמד .פועלות בשוק מספר חברות שמתמחות בבדיקות רקע מסוג זה .בדיקת רקע נאותה ומקצועית כמוצע לעיל ,יש בה כדי לחשוף את תכונותיו השליליות של מועמד בכיר או זוטר, עוד בטרם ייקלט בחברה כעובד מהמניין ,שעלול לבצע מעילה ,גניבה ,ו\או העברת מידע למתחרים. סביבת המחשוב כיום – מסוכנת סביבת המחשוב בארגון ,היא סביבה מסוכנת. הסיבה להגדלת פוטנציאל הסיכונים בשנים האחרונות ,היא כי המערכות נהיו מרובות פלטפורמות ,תוכנות ויישומים ,דבר שמגדיל את רמת הפגיעות שלהן. מאפיין בעייתי נוסף ,הוא "פריצת גבולות הגזרה" של הארגון .העבודה מהבית ומרחוק ,מאלצת ארגונים לטפל בהגנה על גישה זו. תחום המובייל והגישה האלחוטית היא בעיה שארגונים לא מקפידים להקדיש לה תשומת לב מספקת ,אבל זה לא יעזור להם ,בסוף המנהלים יצטרכו לקבל החלטה אסטרטגית לטפל בסיכונים אלו. רגולציות עוד סיבה לסיכון היא ,באופן פרדוקסלי ,הופעת הרגולציות והצורך לבצע להן תאימות בארגונים. הצורך להטמיע יישומים המטפלים ברגולציות מהווה עוד סיבה לגידול בכישלונות התפעוליים במערכות ה IT-הארגוניות .הרגולציות הן עוד סוג של סיכון עסקי ,שנדרש לנהל. הופעתן של הרגולציות השונות ,כמו גם חוקים ותקנות שנדרש ליישמן ,היא תופעה שאינה שלילית בהכרח .למרות העלויות הכרוכות ביישומן של הרגולציות ,יש בהם יישום "על הדרך" של היבטי אבטחת מידע ,כמו למשל ,HIPAA ,תקן אבטחה לשמירת סודיות רפואית בארה"ב. מנהלי ארגונים רואים בתקנות השונות כורח עם עלויות ,ומיישמים רק את המינימום ההכרחי ,והם מפספסים את פוטנציאל ההזדמנויות שנקרה בדרכם. הרגולציות ממש לא צריכות לעניין את הארגונים. עליהם לשמור על הנתונים ,הכוללים נתוני לקוחות ,על מנת לשמר את יחסיהם עם הלקוחות ,לא כי הדבר נדרש בחוק .אבדן אמון מצד הלקוחות בשל אבדן נתונים ,או חשיפת מידע דושי-אישי ,הוא הרה-אסון עבור הארגונים. מארגונים נדרשת רמת אבטחת מידע "מספיק טובה" ,ללא קשר לרגולציות. אבטחת מידע כחלק מניהול סיכונים מגמה נוספת שאנו רואים ,היא התייחסות לאבטחת המידע ,כחלק מניהול הסיכונים בארגון. עובדה זו ,משתלבת עם הגישה השולטת בתחום, של התמקדות בהיבטי האבטחה מנקודת מבט עסקית ,ולא טכנולוגית ,יחד עם ניהול ,הטמעה תרבותית ,וגישה כוללנית ,לא נקודתית ,של רכישת מוצר אבטחה ספציפי. ניהול הסיכונים מתקרב לאבטחה" ,מדבר" עימו טוב יותר .לא עוד טיפול בנוזקה יחידה ,עם דגש טכני, אלא עריכת מצאי סיכונים ,תיעדופם וניהולם. על מנהלי אבטחת המידע בארגון לדבר בשפת הנהלת הארגון ,השפה העסקית ,ולא הטכנולוגית. עליהם לברר מהם יעדיהם ,ולשלב את גישות האבטחה ביעדים אלו .ניהול סיכונים הוא דבר טוב עבור עסק ,ובנוסף ,הוא מסייע למלא אחר הוראות החוק והרגולציות השונות. האבטחה לא תיעלם אבטחת המידע הינו ללא ספק התחום החם של השנים האחרונות ,והוא כאן להישאר ,ולא יעלם כל כך מהר .לצד מיתר האיומים ,המשתנה ומתחכם ומשתנה מדי יום ,הארגונים צריכים להתמודד בצורה יעילה ובטוחה. חברות מחקר שונות (גרטנר ,פורסטר ואחרים) מעריכים כי עד שנת ,2013המגמה של הופעת טכנולוגיות חדשות והטמעתן במערכות הIT- הארגוניות ,תוביל בעקבותיה הטמעה של טכנולוגיות אבטחת מידע חדשות ,בשל הגידול בפוטנציאל ההיפגעות הכרוך ביישום הטכנולוגיות החדשות (תחום המובייל -ה ,BYOD-מחשוב הענן ועוד). אבטחת המידע לא תיעלם ,הצורך באבטחת המידע הוא פה ,על מנת להישאר פה .לאור מיתר האיומים החדשים והמתוחכמים יותר שראינו בשנים האחרונות ,רומזים על כך שהתחזית של חברות המחקר יתממשו .ישנם יותר מדי נקודות "כשל" בשרשרת האספקה של שירותי ה IT-בארגונים ,ומנהלי אבטחת המידע יצטרכו להתמודד עם כולן .דוגמה אחת היא תחזוק מערכות ה IT-הארגוניות במיקור-חוץ ,פעולה המסכנת את סודיות נתוני הארגון. היבטי אבטחה נוספים ,שימקדו את תשומת הלב של מנהלי אבטחת המידע ומנהלי ה,IT- הם עליית החשיבות של התוכנות למניעת ריגול, הרוגלות ,האנטי-וירוס ומסנני התוכן המונעים קבלה ושליחה של דואר זבל ,וגם גלישה לאתרים מסוכנים. ארגונים לא יכולים יותר להתעלם מבעיות אלו. נדרש לנהל את הפגיעויות ,יחד עם הכנסת כמה שיותר מרכיבים אוטומטיים לאבטחת המידע. בשנים האחרונות ,אנו עדים לגל חדש של נוזקות, מתוחכמות יותר ,שקטות יותר ,אך מידת הנזק שלהם לא פחות הרסני. | גיליון | 3יולי 2012 5 שלב שני -בחירת אסטרטגיית התאוששות: כיצד בונים תוכנית לניהול המשכיות עסקית? מאת דני אברמוביץ ,מנכ"ל ,TITANS SECURITYוסוקר מוסמך ISO22301 Lead Auditor מהי תוכנית לניהול המשכיות עסקית ( )BCPומהי תוכנית להתאוששות מאסון (?)DRP תוכנית להמשכיות עסקית הינה תהליך המיועד להפחית את הסיכון לשיבוש בלתי צפוי לפעילותיו הקריטיות ,ממוחשבות או ידניות ,ולהבטיח את ההמשכיות של רמת השירותים המינימלית ההכרחית לפעילותיו הקריטיות של הארגון. התוכנית הינה באחריות הנהלת הארגון ,מאחר שזו מופקדת על שמירת הנכסים ועל יכולת הקיום של החברה .התוכנית אמורה לכלול את כל הנכסים והפעילויות הנחוצים לארגון ,על מנת לאפשר לו להמשיך להתקיים .הדבר כולל ,בין היתר ,נהלי המשכיות עסקית הנחוצים לקיום הארגון ולהפחתת השיבוש העסקי. תוכנית להתאוששות מאסון הינה תוכנית המבוצעת על ידי מערכות המידע בארגון ,על מנת לאושש חלק ממערכות המידע הקריטיות, או על ידי היחידות העסקיות ,על מנת לאושש חלק מהמערכות העסקיות בארגון .התוכנית (המבוצעת על ידי מערכות מידע) חייבת להיות עקבית ותומכת בתוכנית הכוללת של ניהול המשכיות עסקית של הארגון .לרוב ,תוכנית להתאוששות מאסון הינה חלק אינטגרלי מתוך תוכנית להמשכיות עסקית. הצורך בד בבד עם הגידול המסחרר בכמויות ובחשיבות המידע הנאגר ומטופל בארגון ,גדלה גם ההכרה בצורך הארגוני להיערך למקרה של כשל במערכות המידע וליכולתו של הארגון להמשיך ולתפקד ברמה סבירה גם כאשר הוא סובל פגיעה כזו או אחרת במערכות המחשוב בפרט ,או במערכות הסובבות את המערך המחשוב בכלל. בנוסף לצורך הברור של כל ארגון לשמור על המוניטין העסקי שלו כארגון אשר מחזיק במידע רגיש וחייב לספק שירותים לקהל לקוחותיו באופן שוטף ,הופיע לאחרונה גורם נוסף המקדם את נושא ההמשכיות העסקית (Business Continuity )Planningוהוא הגדרות הרגולטורים עבור מצבי חירום -תקנים כגון הוראה 357של בנק ישראל, חוזר המפקח על הביטוח בנושא היערכות לאסון, חוק הגנת הפרטיות ,כמו גם תקנים בינלאומיים כגון ,SOX, HIPAA, ISO27001המגדירים תנאי סף לשמירה על המידע הקיים בארגון וזמינותו לציבור .כל אלה מחייבים את הארגון לבנות 6 גיליון | 3יולי | 2012 תוכנית להתמודדות עם מצבים אשר לגרום פגיעה ביכולתו לספק שרות ולאו דווקא להתמודד עם מקרה "אסון" שהסתברותו יכולה להיות נמוכה מאוד. איך בונים תוכנית ?BCP תוכנית להמשכיות עסקית ( )BCPמורכבת מכמה שלבים בסיסיים אותם צריך לבצע תוך שיתוף פעולה עם אנשי הקשר הארגוניים ,כאשר גורם חשוב בביצוע מוצלח של שלבים אלו ,הינו יכולתו של הארגון לשמור על שקיפות המידע המועבר, אמינותו ורמת הפירוט שלו .כל הגורמים האלה באים לידי ביטוי בצורה מאוד מוחשית בקרות אירוע אמת ובמידה רבה יכולים לאפשר הצלחה או לחילופין לגרום לקריסת התוכנית ביום סגריר. השלבים בבניית התוכנית: שלב ראשון– ניתוח השלכות עסקיות ()BIA והכי קריטי בבניית תוכנית להמשכיות עסקית ,הינו שלב ה )BIA (Business Impact Analysis-שזהו בעצם השלב שלפיו ייקבעו תוכניות ה BC-וה- DRבארגון .שלב זה הינו תהליך קביעת הקריטיות של משאבי מערכות המידע בארגון (כגון יישומים, נתונים ,רשתות ,מתקני חומרה וכו') ,אשר תומכים בפעילותו התקינה של הארגון. בתהליך האמור משתתפים נציגי ההנהלה ,אנשי מערכות מידע ומשתמשי הקצה – תמהיל אנושי שיאפשר לכלול את כל סוגי משאבי המידע הקיימים בארגון שלב ה BIA-עוסק בעיקר בסוגיות ,כמפורט להלן: •מיפוי משאבי המידע הקריטיים הקשורים לתהליכים העסקיים הקריטיים בארגון •בניית תרחישי ייחוס ואיום על אותן מערכות קריטיות שנבחרו •מהם אורכי הזמן הקריטיים במסגרתם על הארגון להשיב את פעילות מערכותיו, טרם התרחשותם של נזקים או הפסדים משמעותיים? •חשוב לציין ,ששיבוש במערכות המידע אינו נחשב לאסון ,אלא אם כן ,הוא כרוך בשיבוש של תהליך עסקי קריטי ,לדוגמה :חוסר יכולת למכור מוצר\שרות ,דבר המביא באופן מיידי לאיבוד הכנסות לחברה. •השפעתו של אסון גוברת ככל שהזמן מקרות האסון חולף .כמו כן ,עלותם של מתקני השחזור פוחתת ,אם הם נצרכים בתדירות נמוכה יותר .קיימת נקודת איזון ,בה השפעתו של האסון שווה לעלותו של מתקן השחזור .לדוגמה :אם מרגע קרות האסון ועד להתממשותו עוברים 5ימים ולארגון יש מתקן שחזור הפעיל תוך 5ימים ,הרי שסביר, כי העלות של המתקן תהיה שווה להשפעת האסון. •מהו דירוג הסיכון של מערכת קריטית (בהתאם למידת הנזק שעלול לקרות לארגון)? •דירוג הסיכון מורכב ממידת ההשפעה של השיבוש (המהווה פונקציה של אורך הזמן הקריטי להתאוששות מהשיבוש יחד עם ההסתברות לשיבוש) .ניתוח דירוג הסיכון מאפשר לדרג את המערכות בארגון לצורך קביעת אסטרטגיית ההתאוששות .תהליך דירוג הסיכון אמור להתבצע על ידי אנשי מערכות מידע. עפ"י המלצות ( )Best Practicesמקובל לדרג את הסיכון למספר רמות ,כמפורט להלן: קריטי ( – )Criticalפעילויות אינן יכולות להתבצע, אלא על ידי החלפה במערכת זהה .כמו כן ,לא ניתן להחליף את פעולות המחשב באמצעות שימוש בנהלים ידניים .מידת הסובלנות ( )Toleranceכלפי שיבושים הינה נמוכה מאוד ,וכן עלות שיבושים הינה גבוהה מאוד. חיוני ( – )Vitalניתן להחליף את פעולות המחשב באמצעות נהלים ידניים ,אך לפרק זמן קצר בלבד. מידת הסובלנות לשיבושים גבוהה ביחס לדירוג הקריטי ,ועלות השיבושים – נמוכה יותר. רגיש ( – )Sensitiveפעילויות אלו יכולות להתבצע באופן ידני ,בעלות סבירה ,למשך זמן ארוך יחסית למערכות חיוניות .על פי רוב ,נדרש כח אדם נוסף לאכיפת הנהלים הידניים. לא קריטי ( – )Non-Criticalפעילויות אשר מסוגלות להתבצע (באופן משובש) למשך זמן ארוך יחסית .עלותן נמוכה מאוד ,וכן הן דורשות עדכונים ספורים בשלבי ההתאוששות. אסטרטגיית התאוששות מאסון היעילה ביותר נחשבת לזו אשר מתחשבת בעלות של אורך זמן קריטי סביר ,תוך התייחסות להשפעה של השיבוש וההסתברות של השיבוש ,כפי שהוערכו בשלב ה .BIA-ככלל ,לכל מערכת המפעילה יישום התומך בפעולה עסקית קריטית תידרש אסטרטגיית התאוששות (לעתים אסטרטגיות שונות). כחלק מאסטרטגיית ההתאוששות ,נלקחים בחשבון פרמטרים כגון בחירת אתר גיבוי\שחזור (אתר חם ,חמים ,קר ,וכו') ,וכמו כן ,גם הטכנולוגיות אשר אמורות לטפל בהעברה תקינה של בסיסי נתונים ואספקת תקשורת רציפה לארגון. שלב שלישי -גיבוש ויישום של תוכניות להמשכיות עסקית והתאוששות מאסון לאחר בחירת אסטרטגיית התאוששות ,ואישורה ע"י הנהלת החברה ,ניתן לגבש תוכנית עבודה ליישום תוכניות ה BC-וה .DR-תוכנית זו תיקח בחשבון פרמטרים כגון :לו"ז ,משאבים ,אבני דרך, סוגי בדיקות ,תדירות ,וכדומה. חשוב לוודא שיישום התוכנית תתבצע בהתאם לדרישות שעלו בשלב ה ,BIA -ובהתאם לאסטרטגיית ההתאוששות שמתאימה לדרישות העסקיות של הארגון. שלב רביעי -בדיקה ,תרגול ,תחזוקה ועדכון התוכניות לאחר שלב ה ,BIA-השלב השני בחשיבותו, בתהליך ניהול המשכיות עסקית ,הינו שלב התרגול ותחזקה של התוכנית. שלב זה אמור לסייע לארגון לבחון את נאותות וישימות התוכנית ,לתרגל את הכח אדם בגין המשימות שעליהם לבצע בעת אסון ,וכמובן, המשך תחזוקה ועדכון התוכנית בהתאם לשינויים שעלולים להתרחש מדי שנה. אודות חברת TITANS SECURITY חברת TITANS SECURITYמספקת שירותי ייעוץ בתחום זה ,באמצעות יועצים מומחים בעלי הסמכות בינלאומיות (ISO 22301 Lead ,)Auditorולהם ניסיון רב בתכנון ,פיתוח ,בקרה ובחינת תהליכי ה BCM-הארגוניים ,ומסייע לארגונים לעמוד בדרישות תקנים בינלאומיים כגון ISO22301שהינו התקן המוביל כיום בעולם בתחום ניהול המשכיות עסקית. להלן מקבץ פעילויות יכולה לסייע לארגונכם: שTITANS SECURITY- •איסוף מידע מערכתי על מערכות המידע והחומרה הקיימים בארגון •מיפוי סוגי המידע הארגוני על פי חשיבותו, רגישותו ורמת הזמינות הנדרשת עבורו •בחינת תהליכי הגיבוי הקיימים בארגון מגיבוי אמצעי אחסון דרך צילומי מצב מערכת ( )Snapshotועד לסנכרון מלא לאתר חיצוני •קביעת סוגי תרחישי חירום מהקל אל הכבד להם מסוגל הארגון להיערך •כתיבת קובץ נהלי התאוששות מאסון ()DRP שיגדיר את הפעולות הנדרשות לביצוע ,את תחומי האחריות ואת תצורת ניהול האירוע ויתווה את אופי התנהלותו של הארגון בעת אירוע חירום בצורה מרכזית ומאורגנת. •ניתוח הנתונים ומציאת פתרון טכנולוגי ולוגיסטי להערכות הארגון למצב חירום על פי נהלי החירום שהותוו על ידי הצוותים הטכניים והתפעוליים ואושרו על ידי הנהלת הארגון •הצבה ,התקנה ,והפעלה של הפתרונות הטכנולוגיים שנבחרו •ביצוע תרגולים להיערכות לשעת חירום, לצורך בחינת היכולת של הארגון להפעיל את תוכנית להתאוששות מאסון ()DRP •עדכון שוטף של תוכניות ה BCP-וה- DRP- עם כל הכנסת מערכת חדשה והקפדה על בדיקת יכולת השרידות של כל מערכת חדשה ההופכת להיות תפעולית בארגון עוד בשלב בחינתה במערך הבדיקות סיכום סקרנו כאן בגדול ,כיצד בונים תוכנית להמשכיות עסקית .לקבלת המוסף המלא של בניית תוכנית להמשכיות עסקית ,הכוללת מתודולוגיה ,ואבני דרך מפורטים ,ניתן לפנות אלינו בכתובת: [email protected] | גיליון | 3יולי 2012 7 הפשע הקיברנטי האנאלייזר הישראלי יוצא לחופשי אהוד טננבאום ,שנודע בכינויו "האנאלייזר" ,מסכם את פרשת הפריצה למחשבים של בנקים אמריקניים .לפי פרסומים חדשים ,על האנאלייזר נגזר עונש מאסר המסתכם בתקופה שכבר היה תחת מעצר של שרות המרשלים. במילים אחרות ,אין עוד עונש מאסר מרחף מעל ראשו. חופשי טננבאום נודע בזכות פריצות מתוחכמות שעשה עם שותפים מרחבי העולם בשנת ,1998כשהיה רק בן .19על הכוונת של טננבאום ושותפיו היו ,בין היתר, מחשבים של הפנטגון ,כנסת ישראל ובית הנשיא .על חלקו בפרשה הושט עליו עונש של שנה וחצי מאסר בפועל ,כאשר בעקבות שינויי חקיקה באותה תקופה הוא ריצה תקופה קצרה יותר. לאחר דעיכת הפרשה מהמודעות הציבורית ,האנאלייזר חזר אל הכותרות בסוף ,2008כאשר נעצר עם שותפים ,לכאורה ,בקנדה .הפעם ,ההאשמה היתה ניסיון להונות בנקים קנדיים ואמריקניים בשווי של כמיליון דולר .בפרשה הנוכחית ,גורמי אכיפת החוק בקנדה ובארצות הברית גרסו שהאנאלייזר היה חלק מקבוצה בינלאומית שמצאה חולשות במערכות בנקאיות מקוונות וניצלה אותן כדי לשאוב כספים מנקודות שונות בעולם. מאז מעצרו המתוקשר בפרשה והסגרתו מקנדה לארצות הברית ,לא שמענו על הפרשה או על טננבאום .כעת ,מתפרסם לראשונה ב ,Wired-שהשבוע קיבל טננבאום את הפסיקה הסופית לגבי העונש שיוטל עליו במסגרת הפרשה ,והשופטת גזרה עליו עונש מאסר של הזמן שעבר מאז שנעצר ("Time .)"Servedהמשמעות היא שהאנאלייזר חופשי ללכת לדרכו ,בכפוף למגבלות אחרות שייתכן והוטלו ,כגון ערבות ,עונש על-תנאי ,וכולי. זמן רב עבר הזמן הרב שעבר מאז החלה הפרשה שם את האנאלייזר בכף ידם של גורמי אכיפת החוק האמריקניים .למרות שטרם פורסמה התייחסות רשמית לנושא, ייתכן וחלק מהזמן שעבר נוצל על-ידי הצדדים כדי לבצע עבודה משותפת, לבחינת מערכות ההגנה ואבטחת המידע של מערכות בנקאיות אמריקניות נוספות .אם אכן התקיימה עבודה שכזו ,היא בהחלט לא תהיה הפעם הראשונה. לגורמי אכיפת החוק ,בכל מדינה ,יש אינטרס גבוה להבין לא רק כיצד חושבים הפורצים הקיברנטיים כאשר הם מתכננים לפרוץ למטרה מסוימת ,אלא להבין מהן דרכי הפעולות שלהם ,מהם כלי העבודה הייעודיים שהם משתמשים, אלו כלים יום-יומיים הם לקחו והמירו לשימושם ,וכיצד כל אלה נשזרים יחדיו למארג עוצמתי המאפשר לתוקף פוטנציאלי לאתר ולנצל פרצות אבטחה במוסדות פיננסיים ובמוסדות רגישים אחרים. 8 גיליון | 3יולי | 2012 הדור החדש של ההאקר עלות ההונאות המקוונות השנתית גבוהות מתמיד המעבר מתהילה למודל כלכלי משומן ארגונים נדרשים להשקיע יותר משאבים בהגנה על תשתיות המחשוב הארגוני ,ומוסדות פיננסיים נדרשים להגן על הכסף שברשותם .יש להצפין את הנתונים במאגרי הנתונים ,דבר שלא נעשה לרוב במרבית הארגונים .ארגונים ,ולא רק פיננסיים מבינים שהשימוש בסיסמאות הוא לא יעיל מספיק ,ונדרש לטפל בהיבטי אבטחה נוספים ,על מנת להגן על נתוני הארגון ,כגון בקרה על הגישה. ישנו מגוון רחב של פתרונות למניעת גניבה והונאות מקוונות .ההגנה צריכה להיעשות מרמת תשתיות המחשוב ,ועד למשתמשים בתחנות הקצה .הפתרונות צריכים להיות משולבים – תגובתיים ומניעתיים ,כאשר הפתרון המומלץ הוא יצירת תשתית מניעתית ,וזה החלק החשוב ביותר, ובו ארגונים נדרשים להשקיע את מירב המאמצים והמשאבים ,על מנת לצמצם את כמות גניבות המידע וההונאות הכספיות .אמצעי נוסף, "פשוט אבל הכרחי" ,הוא מעקב אחר תנועות כספים חשודות ,למשל הוצאת כספים מכספומטים בשני מקומות שונים ,באותו מועד( .מערכות ,SIEMיכולות לבצע קורלציה ולהתריע על מקרים כאלו). אין כזה דבר אבטחת מידע ארגונית מקצה לקצה ,אין שום טכנולוגיה בעולם שיכולה להגן בצורה מושלמת על מערכות ה IT-הארגוניות. אבטחת המידע כבעבר ,ממשיכה להיות התחום החשוב ,בעל העניין הרב ביותר ,עבור מנהלי ה IT-בארגונים. ארגונים עובדים באופן מתמיד על מנת להגביר את רמת אבטחת המידע שלהם ,עם התקנת טכנולוגיות חדשות .בינתיים ,התקפות קיברנטיות ופריצות חיצוניות לתוך מערכות ה IT-הארגוניות ,ממשיכות לגדול בהתמדה .אחד המאפיינים המרכזיים בתחום אבטחת המידע ,הוא הפשע הקיברנטי .ניתן לאפיין את העולם הווירטואלי ככזה בו גדלה כמות האיומים השונים :וירוסים ,תולעים ,ואיומים משולבים; גדלה היכולת להתחבא ולא להתגלות בהפצת נוזקות; גדלה היכולת לגנוב מידע ארגוני ופרטים אישיים; גדל הפוטנציאל של הפגיעויות ,בשל עבודת המשתמשים מרחוק ,ומהבית. החיבור שנוצר בין ההאקרים לבין רשתות הפשע המאורגן השונות בעולם ,ושנועדו לביצוע הונאות מקוונות ברשת ,הוא כבר להיט כבר במחצית השנייה של העשור .המניע העיקרי להונאות כיום הוא כסף, ותופעת הפשע הקיברנטי מופנית לביצוע גניבת כספים ומידע ממוסדות פיננסיים ומחברות כרטיסי האשראי .שילוב ההאקרים עם מניע כספי מהווה פוטנציאל זהב עבור ארגוני הפשע המאורגן .סיבת ההצלחה של הונאות מקוונות היא כי ארגונים פועלים בעזרת תוכנות ,ולכל תוכנה ניתן לפרוץ ולהיכנס לקרביים שלה. מאת :ניר ולטמן – Chief Security Officerבחברת .CITADEL "נוזקות הן הבעיה החמורה ביותר בעולם אבטחת המידע כיום; כיום ,אף פלטפורמת ITאינה חסינה מפניהן – כך קובעת גרטנר ( ;)Gartnerערכות התקפיה אשר זמינות בשוק השחור ברשת ,המאפשרות לתוקפים ,בסכומים נמוכים יחסית של מאות עד אלף דולרים ,ליצור מתקפות חובקות עולם וירטואלי". נוזקות הן הבעיה החמורה ביותר בעולם אבטחת המידע כיום .המדובר גם ברמת התחכום שלהן וגם בכמותן .בשנים האחרונות חלה עלייה חדה בכמות הנוזקות בכלל ,ובנוזקות הייחודיות בפרט. כיום ,אף פלפורמת ITאינה חסינה מפניהן – כך קובעת גרטנר ( )Gartnerהעולמית. התפשטות הנוזקות הופכת לבעיה עבור כל מנמ"ר וכל מנהל אבטחת מידע בארגון .הסיבה היא ערכות התקפיה אשר זמינות בשוק השחור ברשת ,המאפשרות לתוקפים ,בסכומים נמוכים יחסית של מאות עד אלף דולרים ,ליצור מתקפות חובקות עולם וירטואלי .רבות מהנוזקות כיום הם מבוססות חתימה ,ושינוי החתימה עוקף רבים מכלי האנטי-וירוס ומסנני התוכן ,ובכך במקרים רבים לא ניתן לזהות אותן. מערכות IPSמספקות בין היתר הגנה רציפה על רשת הארגון מפני מתקפות של נוזקות שונות, והתקפות שונות (אפליקטיביות ותשתיתיות). ע"י זיהוי ועצירת ההתקפות ברמת הרשת והאפליקציה ומניעת נזק לארגון ובכך מקטינות את העלות והזמן הדרוש לטיפול בהתקפות. מתהילה למודל כלכלי משומן ההאקרים משנים את פניהם – בעוד שבעבר ,מה שאפיין אותם הוא לפרוץ לארגונים סודיים ,וללכת לספר לחבריהם על ההצלחה בכך ,הרי שכיום כסף רב ,הינו המניע העיקרי .לאחרונה ,אנו עדים לשינוי מעניין בעולם הקיברנטי ,בכך שהתוקפים עברו כבר מזמן ממתקפות רחבות היקף ,רועשות, שלחלקן אין מניע כלכלי ,למתקפות שקטות, ממוקדות ,שכמעט תמיד המניע שלהן הוא פיננסי או מדיני .שלוש דוגמאות מפורסמות לכך הן הפריצה לשרתי גוגל ( )Googleבסין בשנת ,2010 מה שקרה לרשת הפלייסטיישן של סוני (,)Sony וכמובן התולעת סטוקסנט ( )Stuxnetהמפורסמת, אשר פגעה במערך הגרעין האיראני .זה כבר לא משחקי ילדים ,וכיום מדובר על מתקפות ברמה מאוד גבוהה ,ממוקדת ,עם מטרות מדויקות. עקב אכילס של כל ארגון מחקירות המקרים המוזכרים לעיל ,עולה מידע מדאיג שמנציח מצב עגום מצד אחד אך מחויב המציאות מצד שני .חברות פשוט לא מתקינות באופן תדיר עדכוני אבטחת מידע של מערכות הפעלה ותוכנות שונות .הדבר נובע מסיבה עיקרית אחת :מיקרוסופט מוציאה פעם בחודש 10עדכונים אבטחה בממוצע ,הידועים בכינויים ( )Patch Tuesdayשלכל אחד ואחד מהם עלולה להיות השלכה תפעולית של יישומי הליבה של הארגון .הדבר נכון בעיקר לגבי שרתים קריטיים, שלעתים זה מאות שרתים בארגונים גדולים ,אך גם לגבי תחנות עבודה שיכולים להגיע לאלפים. דרך התמודדות יעילה היא לבצע Virtual Patchingלמחשבים אלו דרך הטמעת מערכת IPSברשת הארגונית .הטמעה של מערכת IPSברשת מאפשרת לארגון לעצור איומים המנסים לנצל פגיעויות במערכות ההפעלה ע"י זיהוי מוקדם ועצירתם ברמת הכניסה לרשת ( .)Gatewayכך ניתן זמן נאות ליישום הטלאי במחשבים בארגון (שרתים ,תחנות ,אפליקציות). ארגונים לא יכולים יותר להתעלם מבעיות אלו. נדרש לנהל את הפגיעויות ,יחד עם הכנסת כמה שיותר מרכיבים אוטומטיים לאבטחת המידע. להלן כמה מהטכנולוגיות להן ארגונים נדרשים כיום: הזדהות חזקה ,ניהול זהויות ,סינון תוכן ומניעת דוא"ל ,תוכנית להמשכיות עסקית ,ניהול פגיעויות, הגנה ברמת התשתיות וברמת האפליקציות וכדומה. לסיכום רכשו רק את המוצרים המאובטחים ביותר; העסיקו עובדים שניתן לסמוך עליהם; כפו על הארגון להחליף אמצעי אבטחה ישנים ולא יעילים, בפתרונות חדשים ומאובטחים יותר; הגנו על בעלי המניות של הארגון ,והם יגנו על העסק; אמצו וקבלו את ההוראות לתאימות לרגולציות ,והציגו אותן כהזדמנות ,ולא כמשא מכביד. | גיליון | 3יולי 2012 9 זהירותBotnet... השימוש בטכנולוגיית ה"זומבים" מעניק יכולות מתקדמות לארגוני הפשיעה ברשת ומסייע להם להתחמק מעיניהן הפקוחה של תוכנות האבטחה . רשתות הבוטנט ( )Botnetחוות מעבר מפעילות רועשת לפעילות שקטה וממוקדת יותר .רשתות הבוטנט הן רשתות זומבי שהושתלו בהן תוכנות זדוניות ,ללא ידיעת המשתמש .הן ממשיכות להתפתח ,לשנות צורה ולהתפשט ,בין השאר לעולם הסלולר .גרטנר ,מעריכה כי 4% ,עד 8%מהמחשבים בכל ארגון הם זומבים. עפ"י דיווח של אנסליטים וחברות מחקר ,יותר מ 300,000-מחשבים בישראל הם "זומבים" הנשלטים מרחוק ללא ידיעת בעליהם ,ומופעלים לטובת פעילות פלילית ברשת .השימוש בטכנולוגיית ה"זומבים" מעניק יכולות מתקדמות לארגוני הפשיעה ברשת ומסייע להם להתחמק מעיניהן הפקוחה של תוכנות האבטחה. - Botnetsרובוטים ברשת של קשרים לא חוקיים בין מחשבים ,נחשבת כשיטה מועדפת לגניבות באינטרנט .תופעת ה Botnet-היא הפעלת אסופה של מחשבים בודדים רבים" ,זומבים" ,שבעצם נחטפו בידי פושעים ברשת ,ללא ידיעת בעליהם. כך בעצם ,המשתלטים מרחוק יכולים להפעיל את המחשבים הנתונים לשליטתם הסמויה לצורך גניבת זהויות ,מתקפות של מניעת שרות ,העברת קוד זדוני או דואר זבל המוני. מומחים מעריכים כי עשרות מיליוני מחשבים ברחבי העולם נמצאים בסכנה ומשמשים כיעד לפישינג ,דואר זבל ,הפצת פורנוגרפיה וגניבת סיסמאות. חברות המחקר וחברות האנטי-וירוס בעולם ,חוקרות וסוקרות את התפתחות הנוזקות במהלך השנים ,ומסכמים תופעה לא אופטימית בכלל ,וטוענים כי האיום הגדול והמסוכן ביותר כיום הוא הנוזקות המשולבות .אלו ,הם איומים רב-כיווניים, מרובי רכיבים ,המשתנים במהירות ובאופן לא קבוע .הם רבי צורות ,קשים לניקוי, ובעיקר -שקטים ונחבאים אל הכלים .לכן ,הם כה מסוכנים. הסכנה הגדולה מכיוונם של איומים אלו ,היא מדד ההצלחה שלהם -לא ידועה המכות האמיתית של המחשבים המנוצלים ,זהו נתון שניתן רק להעריך אותו. ממחקרים שונים שנערכו ע"י גופי מחקר שונים בעולם ,עלה כי בין המגמות שהופיעו בשנים אחרונות ומתחזקות בכל שנה ,הן איומי הספאם המשולבים :הודעות ספאם, המצטיירות כהודעות דואר זבל רגילות ,אך בתוכן קישורים לאתרים בעלי פעילות זדונית .הטכניקה החדשה ,מופצת במהירות באמצעות רשתות הבוטים ,משמע -רשת של מחשבי "זומביים" ,תוך התחמקות ממרבית מנועי האנטי-וירוס ,וגורמת להורדה אוטומטית של תוכנה זדונית ולהפעלת התוכנות על מחשבי המשתמשים .כך בעצם, משמשים המחשבים -בארגונים ובבתים -כמחשבים פעילים ,כאשר בפועל ,מבלי דעת של בעליהם ,הם משמשים כשרתים מארחים לאתרים בעלי פעילות זדונית. הרכיב המסוכן ביותר מתוך מכלול הרכיבים הפועלים ברשת אינו המחשב הנייד או תפיסת הניידות לכשעצמה ,כי אם משתמש הקצה .אנו המשתמשים הלא טכנולוגיים, המהווים את רוב המשתמשים בעולם ,חושבים שיש לנו את היכולת להבחין בין הסכנות .אנו מתיימרים לדעת שאנו פועלים במרחב הקיברנטי באופן בטוח ,בזמן שהלכה למעשה -איננו פועלים כך. 10 גיליון | 3יולי | 2012 מגמות חמות בתחום אבטחת המידע קורס CISO רגולציות הרגולציות מקדמות את תחום אבטחת המידע כולל כל נושאי הניטור ובקרה ( ,)AUDITמערכות לניהול זהויות ובקרת גישה (,)IAM הצפנותוכו' .רגולציה הינה מנוף חיובי מבחינת דחיפת הצורך באבטחת מידע בארגון ,היות והיא מפנה את האחריות לנושא אבטחת המידע לדרג הניהולי ,ולכן יש ירידה במעורבות של מנהל המחשוב ועלייה במעורבות של הדרג הניהולי בחברה .בעולם ,המגמתיות היא שמנהל אבטחת המידע מדווח ישירות לדרג הניהולי ,דבר שמקבל מאוד על ביצוע עבודתו .בארץ ,למרות שניתן לראות מגמה של שינוי ,עדיין המצב רחוק מלהיות משביע רצון ,וברוב הארגונים, מנהל אבטחת המידע עדיין כפוף ומדווח ישירות למנמ"ר. מיזוג אבטחה פיזי עם אבטחה לוגית אנו רואים מיזוג בין תחום האבטחה הלוגית ( )ITוהאבטחה הפיזית (אנשי אבטחה ,מחלקת הביטחון וכו') .כיום ,זה לא ממש משנה אם מדובר בגניבת נייר סודי מהמשרד או מידע דיגיטלי מהמחשב, המטרה היא אותה מטרה :לאתר ולזהות את הניסיון כמה שיותר מהר ,ואם אפשר ,עוד בשכבה הפיזית ,ולנסות למנוע או לפחות לאתר את הניסיון בזמן אמת ,ולהתריע למחלקת הביטחון או אבטחת מידע .אנו עדים לאחרונה לפרויקטים של הזדהות חזקה החל מהכניסה לבניין דרך הגישה למחשב וליישומים במחשב ולתאום ביניהם .כך בעצם ,ניתן לשלוט בכל רגע נתון ולאתר עובד, בהתאם לתנועה שלו בתוך הארגון ,החל מהכניסה לארגון ,דרך השער ,כניסה לבניין ,העברת שעון נוכחות בכניסה ,העברת תגי זיהוי כדי להיכנס למשרדים ,והזדהות אל מול המחשב לצורך עבודה .וכנ"ל ,בכיוון ההפוך ,ברגע שעובד מפסיק לעבוד ,אז הפעילות ניטור ,מתחילה שוב לעבוד .ישנם ארגונים ,בהם לקחו את זה שלב אחד קדימה ,והטמיעו מערכות שמציגות על מסך בעת היציאה מהבניין ,כמה עובדים עדיין נשארו בחברה (מי ואיפה הם נמצאים) דבר שיכול לסייע בעת אסון .ברוב הארגונים הגדולים ,שני סוגי האבטחה (לוגית ופיזית) אוחדו תחת גורם אחראי אחד. מנהל אבטחת המידע – טכנולוג או אסטרטג? בעבר ,מנהל אבטחת המידע היה נדרש להיות בקיא בטכנולוגיה, כאשר היום ,מחפשים אנשים עם הכשרה מתאימה לתחום ,הן מבחינה טכנולוגית והן מבחינה ניהולית ושיווקית .הנהלת הארגון הבינה שמלבד הידע הטכנולוגי ,מנהל אבטחת המידע נדרש להיות בעל יכולת ניהול טובה .כמו כן ,חשובה גם היכולת השיווקית של מנהל אבטח המידע להעברת המסר בתוך הארגון ,הן ברמת העובדים ,והן ברמת הדרג הניהולי .מנהל אבטחת המידע ,נדרש כיום לדבר בשפה העסקית ,אל מול הנהלת הארגון ,ולא בשפה הטכנולוגית .מונחים כגון ,ROI, TCOמדדים החליפו מושגים שהיו נפוצים בעבר כגון ,FIREWALL, ANTIVIRUSוכדומה .כיום ,מנהלי אבטחת המידע בארגונים נתפסים כ ,Business Enabler-ורואים בהם כתורמים לעסק ,ולא כגורם מפריע ,כמו שהיה נהוג לראות בהם בעבר. תלמד • תוביל • תצליח! הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום ,יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי, שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו. הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, מנכ"ל טיטנס סקיוריטי שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומם בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש לייעוץ ,מידע מנהלי והרשמה ניתן לפנות למרכז התכנית ,מר דני אברמוביץ ,בטל',050-8266014 : דוא"ל[email protected] : www.titans2.co.il | www.ts2.co.il | www.titans2.com | גיליון | 3יולי 2012 11 מערכות IPS בשנים האחרונות ניכרת בשוק מגמה של פיתוח ציפיות חדשות מתעשיית אבטחת המידע ,במיוחד בתחום מערכות ה ,IPS-על מנת לתת מענה למתקפות הסייבר המתוחכמות החדשות .אחת המגמות המאתגרות ביותר היא הדרישה לכך שהמוצרים המיועדים לאתר ולמנוע ניסיונות חדירה יהיו מסוגלים לזהות מתקפות חדשות, שטרם קיימות חתימות לזיהוי (.)Day Attacks 0 יכולות אלו יתבססו על זיהוי אנומאליות ,ומחייב את היצרנים לפתח באופן מוגבר את האי-תלות בגורם האנושי (כגון הצורך בעדכון חתימות תמידי) .פירושו של דבר הוא ,שאותן פעולות שהיו בעבר נחלתו של מומחה אבטחת מידע ,צריכות להתבצע כיום באופן אוטומטי ע"י המערכות עצמן, עם מינימום התערבות של אדם. המערכות IPSנוצרו כדי לתת מענה רשתי למתקפות ופרצות אשר טכנולוגיות הFirewall- אדישה להן .מערכות אלה מבצעות ניתוח של תעבורת הרשת עד לרמת האפליקציה ,מבצעות ניתוח של התעבורה בכדי לזהות מתקפות, וחוסמות את המתקפה לאחר שזוהתה. מערכות ה IPS-מבצעות ניתוח של התעבורה בשלושה אופנים: .1ניתוח התעבורה לזיהוי חתימות של מתקפות ידועות ()Signature Based .2זיהוי חריגה (אנומליה) בפרוטוקולים מוכרים, באופן שיכול להצביע על תעבורה זדונית ( - )Anomaly-basedיעיל נגד מתקפות חדשות ()Zero Day attacks .3זיהוי מתקפות )Denial of Service) DoSעל שרתי החברה. פתרונות ה IPS-מרחיבים איפוא את יכולות הזיהוי והסינון הקיימות במערכות ה Firewall-ומספקים רמה גבוהה יותר של הגנה. ישנם 2סוגי מערכות IPSעיקריים: .1 מערכת Intrusion Prevention System NIPS – Network •מערכת שנותנת מענה ברמת הרשת מבחינת זיהוי וחסימה של מתקפות שונות. .2מערכתHIPS–Host Intrusion Prevention System 12 גיליון | 3יולי | 2012 •מערכת שנותנת מענה ברמת התחנה\שרת מבחינת זיהוי וחסימה של ניסיונות תקיפה. מבחינת מנועי הזיהוי של המתקפות ,מערכת ה IPS-גם כן מתחלקות ל 2-קטגוריות עיקריות: אשר מחפשים תקיפות ברשת על בסיס זיהוי החתימות הידועות שלהן וללא קשר ישיר למודל ה TRUST-ברשת .הקושי שנוצר נובע מכך שהתוקפים הבינו זה מכבר כי יעילות ההתקפה תגבר אם יוכלו לפעול ברשת בתוך הסתרה של חתימתם ,ובאופן דינמי ,מכוון ,ומהיר תשתנה פעילות ההתקפה ובכך יימנע ממערכות זיהוי החתימות לזהות את ההתקפה. .4זיהוי מתקפות ע"י איתור התנהגות אנומלית ברשת ( )Anomaly-based שיטת זיהוי חתימות מיישמת את השלבים הבאים: .3זיהוי מתקפות מבוסס חתימות ()Signature-based מעבר משיטות זיהוי מבוססות "חתימה" לשיטות זיהוי מבוססות "התנהגות" במערכות IPS כנגד מיתר האיומים המשתנה ומשתפר מיום ליום ,עולם אבטחת המידע נאלץ לפתח ולהטמיע מערכות פתרונות מורכבים ביותר במטרה להתמודד עם האתגרים החדשים .פתרונות אלו מתחלקים למספר גדול של קטגוריות שונות, אך אנו נתרכז בכתבה זו בפתרון ,IPSויכולות ההתמודדות שלו עם זיהוי וחסימת התקפות. זיהוי חדירות לרשת הארגונית בזמן הקרוב ביותר לזמן אמת האפשרי הפך לאחת האסטרטגיות החשובות והנדרשות כיום בכל רשתות המחשבים המשמעותיות זיהוי ההתקפות מבוסס ברובו על עקרון של גילוי "חתימות" ידועות של התוכנה (הכוונה לזיהוי רצפי פקודות מכונה ומבני מידע המאפיינים את כלי התוקף) .בשיטה זו זיהוי ההתקפות תלוי למעשה בידיעת נתונים על צורת הקוד. שיטת זיהוי חתימה ומגבלותיה ()Signature Based Identification מדיניות אבטחת המידע מהווה את הבסיס על פיו פועלים הכלים שתעשיית האבטחה שוקדת על פיתוחם .אכיפה שלמגבלות ה( TRUST-או מדדי ה"אמון") כלים אילו מטפלים בבעיות אבטחת המידע על ידי יישום והגדרות המדיניות ברשת (מוצרי שו"ב וכו') וכן על ידי אכיפה וניטור של המדיניות באמצעי אבטחה שונים. מוצרי האבטחה כוללים מוצרים לחיפוש תקיפה מנסים לזהות הפרות של יחסי ה TRUST-בין האובייקטים המוגדרים ברשת. כיום ישנם כלים שונים (המפורסם בהם - ,SNORTשהוא תוכנת קוד פתוח לזיהוי חדירות) IPS סקירה טכנולוגית •הגדרת מדיניות •הפעלת מערכת סינון על בסיס המדיניות •זיהוי חדירות ותוכנות עוינות שמבוססת על סט של חתימות ידועות לפיהן מזהים את קוד ההפעלה של תוכנת התקיפה (.)Payload בשנים האחרונות התפתחו אצל התוקפים שיטות שונות של התחמקות מניטור ,ושיטות אלו כוללות בין היתר: •הסוואה של סוג המידע (שימוש בהצפנה בתקשורת ,ובגוף המידע התוקף) •יישום טכניקות של דחיסה חוזרת של המידע •החלפת צורת המידע של תוכנות על ידי תהליך שנקרא ( Isomorphismהכוונה בהידור – )Re-compilationעם תוספות של קוד שמטרתו לשנות את תוצאת תהליכי החתימה האפשריים על הקוד ,שזה בעצם שינוי הPayload- •שימוש בטכניקות של ערבול תוכנות ,ועוד. הבעיה העקרונית של זיהוי חתימות הינה שצריך להכיר את החתימות בעת הפעלת מערכות ה .IPS-באין חתימה ,משמע שאין זיהוי וחסימה של ההתקפה ,ומכאן ,ששיטות ההסתרה וההסוואה שתוארו וכן התקפות חדשות שאינן ידועות ומוכרות ( )0-Day Attacksמביסות על פי רוב את הפתרון של זיהוי על בסיס חתימות. במקור תחום ה"חתימות" לזיהוי בעיות באבטחת מידע החל את דרכו בהקשר של זיהוי וירוסים, למעשה ,עד היום עקרונות הפעולה של מערכות האנטי וירוס נשארו כשהיו (למעט תחום היוריסטיקות) .המודל הבסיסי של מערכות האנטי-וירוס הינו מודל של חיסון כנגד התפשטות ויראלית דמויות מחלה :התפרצות של וירוס > שמוביל לבידוד גורם המחלה לצורך בדיקות ( > )Quarantineשמוביל לתהליך של ניתוח מבני של הגורם למחלה ע"י "הנדסה לאחור" ( ,)Reverse Engineeringולבסוף ,יצירת קובץ "חתימות" לצורך חיסון > ואז הפצת החתימות במהירות ללקוחות כדי לחסן אותם בפני גורם המחלה שהתגלתה לפני שידבקו. במהלך השנים עלתה מאוד מהירות ההתפשטות וההדבקה של הנוזקות השונות ,וחברות האנטי- וירוס נאלצו לפרוס רשתות ענק לזיהוי מוקדם ולניתוח התוכנות המפגעות .נושא ההפצה המהירה של החתימות ללקוחות הפך אף הוא לבעייתי .לרוב חברות האנטי-וירוס הגדולות יש מספר מרכזים באזורי זמן שונים על פני כדור הארץ במטרה להקטין ככל האפשר את הזמן עד לזיהוי והפקת קובץ החתימות. מערכות זיהוי ומניעת חדירות לרשת הארגונית ( )IPSפועלות לפי היגיון דומה :גם כאן מנסים לזהות חתימות המאפיינות את ההתקפות על הרשת .נקודות קריטיות (כגון בכניסה לרשת הארגון מכיוון האינטרנט) מנוטרות ברמת תעבורת התקשורת ומתבצע חיפוש אחר חתימות של ההתקפות הידועות. הבעיה שאיתה מתמודדים היום הינה שהשינויים בצורתן של התקפות המידע ויכולות ההסוואה וההתחמקות של התוקפים מגילוי ,מקשים על מלאכת זיהוי ההתקפות על בסיס החתימות המוכרות ומנטרלים את יעילות השיטה בהתקפות הבלתי מוכרות מראש (.)0-Day Attacks שיטת ניטור מבוססת התנהגות ()Behavior Analysis בשנים האחרונות הולכת ומתפתחת הגישה והטכנולוגיות של זיהוי ההתנהגות הסטטיסטית של הרשת ושל משתמשי הרשת (כולל אובייקטים טכנולוגיים ומשתמשים אנושיים) במטרה לזהות את חריגות ההתנהגותיות בפרופיל הפעילות ברשת בעת ביצועה של חדירה\התקפה כנגדה. הטכנולוגיה האמורה מקורה בתחום מערכות הלומדות והאינטליגנציה המלאכותית, ובפרט ביישום מגוון טכניקות של כריי מידע ( )Data Miningאשר רבים מהאלגוריתמים שלה הבשילו לכלל המערכות המוצעות כיום בשוק, בשנים האחרונות. טכנולוגיית כריית מידע משמשת ככלי במגוון אפליקציות ומנסה למצות מתוך התכונות הסטטיסטיות של המידע אתו מזינים למערכת את הידע האגור בו בצורת דפוסי התנהגות סטטיסטית ( .)Patternsבשימוש אחר לאחר גילוי דפוסים התנהגותיים שכיחים במידע מזהים חריגה מדפוסים אילו והדבר מצביע על אירועים חריגים מסוגים שונים. הטכנולוגיה של כריית מידע מורכבת מתת- דיסציפלינות רבות ,אך במבט על ניתנת לחלוקה ל 2-קטגוריות עיקריות: .1מערכות לומדות על בסיס דוגמאות מוכרות (לימוד המערכת על פי בסיסי מידע מסומנים )LABELED .2מערכות המסווגות את המידע אוטומטית על בסיס הסטטיסטיקה בלבד ()Clustering בשתי הגישות המערכות הינן לומדות וממשיכות לשפר את הביצועים של הגילוי לאורך זמן על בסיס סגירת חוג עם מומחה-יישום הבוחן את התפוקות של המערכת. תחילת השימוש בכריית מידע לזיהוי חדירות למערכות מחשוב על סמך חריגות סטטיסטיות הינו בשנות ה 90-עם פרויקט של .DARPA הביצועים שהושגו בתחילה לא ענו לקריטריונים המבצעיים הנדרשים (בעיקר מבחינת מספר התרעות השווא = –False Positiveקריטריון בעייתי במערכות מחשוב מרובות אירועים עקב עלות הפרכת חשד של אירוע שווא כזה שהינה גבוהה יחסית) אולם המערכות אשר הוצעו סללו את הדרך להמשך פיתוח פתרונות ושיפורים כאשר בשנים האחרונות אנו עדים יותר ויותר לבשלות היצרנים לפתח מוצרי אבטחה מבוססי על תפיסת ה.Behavior Analysis- עם הזמן ,למעשה נוצרה "נישת שוק" (המכונה על פי חברת גרטנר NBA-Network Behavior )Analysisואשר מאמינים בתעשייה שזהו הפתרון הנכון מבחינה עקרונית להתמודדות בפני התקפות סייבר לא מוכרות (.)Day Attacks 0 בפועל איכות הביצועים של מערכות גילוי התקפות תלויים בפונקציית הלימוד ובבסיסי המידע (כמות ואיכות) ובהתקפות על פיהם מאמנים את המערכת וסוגרים את יכולות הלימוד שלה במהלך חייה בפועל. סוגים שונים של התקפות ויריבים שונים עימם נדרש להתמודד מחייבים אם כן פיתוח מודלים ,בסיס מידע ,ומערכות לומדות ייעודיות להתמודדות עימם .ולכן אין די במערכת אחת על מנת לספק מענה לאיומים בפניהם נרצה להתגונן. מה לבדוק לפני שקונים מערכת ?IPS •קלות התקנה– חברות שעובדות ,24x7לא יכולות לאפשר לעצמן השבתה של הרשת בזמן ביצוע אינטגרציה של רכיב .IPSהמערכת חייבת להיות "שקופה" לתעבורת רשת רגילה, ומצד שני למנוע מתקפות וניסיונות פריצה. •לספק יכולות קונפיגורציה לרשתות מורכבות– כל חברה שמערכת ה IPS-שלה תתפקד בצורה שונה .חלק ירצו שרכיב ה IPS-יהיה פאסיבי – יתריע על התקפות ולא יבצע חסימה, וחברות אחרות ירצו דווקא שהרכיב IPSיהיה אקטיבי – שיחסום ברגע שיזהה התקפה .על רכיב ה IPS-להיות מודולרי ולהשתנות בהתאם לדרישות הלקוח. •הגנה מפני מגוון התקפות– מאחר ומערכת IPSסורקת את תעבורת הרשת ,עליה להיות מסוגלת להגן מפני סוגי התקפות והתנהגויות רשת מגוונות ,כגון :סריקות רשת ,קוד זדוני (תולעים ,סוסים טרויאניים ,ווירוסים) תעבורת רשת אנומאלית IPv6 ,והגנה מפני התקפות לא ידועות ( ,)Zero Day Attacksוניצול נקודות תורפה של מערכות קצה. •ביצועים– מיקומו של רכיב ה IPS-הוא בדרך כלל בתוך הרשת הארגונית ,ועליו מוטל לנתח חלק גדול מתעבורת הרשת הפנימית .לכן, רכיב שיתאים לרשת של 200משתמשים לא יתאים לארגון עם אלפי משתמשים ,מכאן שיש להתאים את רכיב ה IPS-בהתאם לתעבורת הרשת הפנימית של הארגון. •ניהול– ברשתות ארגוניות סביר להניח שיותקנו מספר מערכות , IPSולכן יש צורך במערכת ניהול מרכזית שתאפשר לנהל את רכיבי הIPS- בפשטות ,במהירות ודרך מערכת ניהול ודיווח מרכזית. סיכום להלן סקירה במבט על יכולות מערכת .IPS לקבלת המוסף המלא ,הכולל סקירה של פתרונות ,יתרונות וחסרונות ,שחקנים מובילים בשוק ועוד ,ניתן לפנות אלינו לכתובת: [email protected] | גיליון | 3יולי 2012 13 סיקור כנס הסייבר השנתי לאמץ אבטחה בשכבות; המעבר מאבטחת מידע להגנה בסייבר; שיטות להתמודדות עם איומי הסייבר השונים, אלו רק חלק ממגוון הנושאים אשר עלו בכנס השנתי של האיגוד ( ISSAהציאפטר הישראלי) .בכנס הוצגו האיומים הרבים והמשולבים בתחום הסייבר (מתקפות ומגמות) שארגונים נאלצים להתמודד עמם – וכן הוצג המענה עבורם; כאשר עוסקים ברמה הלאומית ,מושג ההגנה על מערכות ממוחשבות מתרחב ,וניתן לכנותו "הגנה במרחב הסייבר" אמר מר רמי אפרתי, ראש אגף בכיר האחראי למגזר פרטי-אזרחי במטה הסייבר ,משרד ראש הממשלה .רמי פתח את הכנס השנתי הבינלאומי של האיגוד ISSA (הציאפטר הישראלי) ,בהשתתפות 550איש, שהופק ע"י מידע-כנסים וחברת טיטנס סקיוריטי והתקיים במלון שרתון סיטי טאוור ברמת גן .את הכנס הנחה אריאל פלד ,הנשיא היוצא של האיגוד ( ISSAהציאפטר הישראלי) ,שאמר כי המטרה היא להמשיך עם המסורת שהתחלנו לפני שנתיים ,לקיים כנס שנתי בינלאומי, עם אורחים בכירים מהארץ ומהעולם. הארגון להתאוששות מהירה מתקרית ,ועוד. בהרצאתו ,רמי העלה מספר סוגיות מרכזיות, המתעוררות כאשר באים לדון בהגנה קיברנטית ברמה המדינית .סוגיות אלו רחוקות מלהיות היחידות שיש לדון בהן" אמר בהרצאתו מר אפרתי" ,אבל הן באות להמחיש את הקושי בתרגום תפיסות ההגנה ופיתוחים טכנולוגיים, אשר קיימים ברמה הארגונית והסקטוריאלית, לכדי תפיסה כוללת ברמת מדינה. מר רמי אפרתי, ראש אגף בכיר האחראי למגזר הפרטי-אזרחי במטה הסייבר ,משרד ראש הממשלה. X-Force Trend Report מאבטחת מידע להגנה בסייבר משך זמן רב נהוג היה לקרוא לתחום ההגנה על מערכות המחשוב" ,אבטחת מידע" ,וזאת עקב התפיסה ,כי הדבר המרכזי עליו יש להגן הינו מידע רגיש (בין אם מידע מסווג ,או מידע חסוי עסקית) .עם השנים ,התפתחה גישה זו והקיפה איומים נוספים מלבד פגיעה במידע – מניעת שרות ( ,)DOSהשבתת תהליכים חיוניים מבוססי תשתיות מחשוב ,ועוד .כאשר עוסקים ברמה הלאומית ,מושג ההגנה על מערכות ממוחשבות מתרחב ,וניתן לכנותו "הגנה במרחב הסייבר". מבלי להיכנס להגדרה מדויקת ,ניתן לומר, כי במושג זה הכוונה הינה למכלול הפעולות הצריכות להתבצע כחלק מתפיסת הגנה כוללת במרחב הקיברנטי .בין הפעולות אלו ניתן לכלול, בנוסף לאבטחה ,גם מודיעין מוקדם ,ניטור בזמן אמת ,פעולות למניעה ,פיתוח אמצעים טכנולוגיים ייעודיים ,הגברת המודעות ,יכולות לזיהוי ובידוק מהיר של האזורים המותקפים בארגון ,יכולות 14 גיליון | 3יולי | 2012 2011 ההיבט האנושי ,הטכנולוגי ,והתהליכי .על גישה זו להיות גמישה ונוחה לשינוי ,ימינה ושמאלה ,על מנת להסתגל במהרה אל מול איומים ומתקפות חדשות .מגמה נוספת שאיתרנו ,וזה גם המסר ב ,IBM-שאנחנו מנסים להעביר ללקוחותינו ,זה שהעולם כפי שאנחנו מכירים אותו ,איננו עוד. העולם הופך להיות ממוחשב ודיגיטלי יותר, וכמעט ואין דבר בעולם כיום ,שאינו מתבסס על הפן הטכנולוגי .המורכבות של האיומים מתפתח מדי יום ,ויחד איתם גם התחכום של המתקפות. ולכן ,יש צורך באימוץ גישה הוליסטית ,כוללת, המבוססת של שכבות אבטחה .חברת ,IBM משקיעה המון בחקר איומים ומגמות אבטחת מידע בעולם ,ויש לה מרכזי מחקר פרוסים ברחבי העולם. Cyber Threats Prevention מר אופיר אגסי - מהנדס אבטחת מידעEMEA , (תמונה) "ארגונים כיום ,נמצאים בחזית המתקפות ,ולכן, הנחת העבודה שארגונים נדרשים לעבוד על פיה היא שכל המידע שברשותם מצוי תחת שרשרת בלתי פוסקת של מתקפות. Martin Borret, Director of the IBM Institute for Advanced Security in Europe מרטין ,נתן סקירה מעמיקה על האיומים בעידן הדיגיטלי,וציין את הממצאים של הדוח שפורסם ע"י IBMבשנת ,2011שמרכז את המגמות והטרנדים החמים בעולם המתקפות בעולם הסייבר .לדבריו ,ההגנות המסורתיות ,שחשבנו שהן חזקות ,ומגנות עלינו בצורה יעילה ,הן כבר לא כל כך יעילות בעידן הסייבר ,ויש צורך באימוץ גישה שונה ,גישה הוליסטית ,על מנת להתמודד עם מתקפות הסייבר .הוא השתמש בדימוי של טירה ,שבזמנו ,היא הייתה קו ההגנה הטוב ביותר, בלתי חדיר ,בלתי מנצח...עד שהמציאו את אבק השריפה ,ותותחים...ואז ,הכל השתנה .כנ"ל ,גם בעולם המודרני .לא ניתן יותר להתבסס רק על ההגנות ה"ישנות" (הקלאסיות) ,בהתמודדות אל מול מתקפות הסייבר .המשמעות לכך ,שתחום הגנת הסייבר לא נח לעולם ,ואנחנו נמצאים במרדף אחר הזמן בזיהוי מתקפות חדשות ,ובניית מערכי אבטחה להתמודד עימן בצורה יעילה. לדבריו "There is no Silver Bullet" ,בהתמודדות מול איומים חדשים שצצים מדי יום ,אבל ,ניתן לאמץ גישה הוליסטית ,המשלבת בתוכה ,את ישירות אל בסיסי נתונים וכדומה ,וגם אם לא נגנבת הסיסמה ,התוקף יכול לנצל את החיבור עצמו כדי לגנוב מידע .אבל עם בקרה מרכזית זה נמנע .והתוקף לא יכול לגשת ישירות לאף חלק במערכת המחשוב ,כי מבוצע ניטור על החיבור בלבד ולא על המערכת כולה" ,אמר אייל. Privileged Identity Management Don't Give Cyber Attackers the Privileges מר אייל גורביץ ,מנהל פרויקטים בכיר, Cyber-Ark מר אייל גורביץ ,מנהל פרויקטים בכירCyber- , ,Arkדיבר על הפתרונות של החברה ,שמונעים חיבורים לרשת עם הרשאות שמבוצעות על ידי אנשים לא מורשים שהשיגו את המידע. לדבריו" ,אחת הדרכים היא לא לתת לסיסמאות להגיע לתחנות הקצה .העובד מזוהה לפי פרופיל, פותחים בשבילו סשן שמתאים להגדרות העבודה שלו ועוקבים בזמן אמת כדי לראות אם הוא מבצע את מה שהוא אמור לבצע". "בלי נקודת בקרה מרכזית ,המשתמש מתחבר לארגונים וחורי האבטחה בארגונים שמאפשרים זאת ,וניסה לענות על השאלה :כיצד נוזקות מתוחכמות נמצאות צעד אחד לפני פתרונות אבטחת המידע הארגוניים ומצליחות לפגוע במשתמש הבודד וכך מסכנות את כלל הארגון. אל לכם ,מנמ"רים ומנהלי אבטחת המידע, לחשוב ,ואילו לרגע שאתם מוגנים .אם תעשו זאת, אתם טועים ומטעים" ,אמר אופיר אגסי מהנדס אבטחת מידע בכיר .המתקפות אינן מבדילות בין סוגי המידע. מידע מובנה ובלתי מובנה ,מסווג ובלתי מסווג, קניין רוחני ומידע אישי -הכל פגיע .היבט נוסף הכרוך במתקפות הוא שאין להעריך את הנזק הבל ישוער עקב אובדן המידע או גניבתו ,אלא להניח שהנזק מצוי במגמת עלייה. עולם הסייבר משתנה באופן מהיר והאקרים מנסים השכם והערב למצוא דרכים חדשות לתקוף ארגונים ומדינות .התקפות כמו Rustock מוכיחות ,כי גם חברות המיישמות את כל פתרונות האבטחה המסורתיים בקפידה נפרצות על ידי האקרים שרמת התחכום שלהם עולה בהתמדה. במסגרת הרצאתו בכנס ,הוא סיקר את סגנונות ההתקפה והאיומים האחרונים ,ודיבר על פתרונות שחברות יכולות ליישם כדי להגן על עצמן מפניהם .בנוסף ,הוא סיקר את פריצות ההאקרים IPv6 - What is Your Real ?Threat )Marc Heuse (Van Hauser "השימוש ברשתות ,IPv6הוא בלתי נמנע ,וזה עניין של זמן עד שכל הארגונים יהיו חייבים ליישם זאת בארגון .בקיץ הזה יגמרו לארגון ה( RIPE-הארגון שאחראי על חלוקת כתובות IPבאירופה( הטווחים ונצטרך לחיות עם מה שקיים .מה שיזרז את החברות לאמץ את רשתות ה ,"IPv6-אמר מארק בהרצאתו בכנס. הוא ציין ,ש"המודעות לבעיות האבטחה ברשתות ,IPv6עלתה בשנתיים האחרונות ,וארגונים מתחילים להבין שאין ברירה אלא להתחיל להתמודד עם האתגרים באימוץ פרוטוקול זה". הוא הוסיף ,ש"ההתמודדות עם מתקפות DDos בעידן הרשתות IPv6עדיין יהיה קשה ,וזהו קרב אבוד .ארגונים יצטרכו לאמץ טכנולוגיות חדשות ולעבוד קשה מאוד על מנת להתמודד עם מתקפות מסוג זה .והבעיה העיקרית היא הרחבת רוחב הפס הן אצל ספקי האינטרנט והן אצל משתמשים בבית ,כך שבעצם ,כל רשת ,BOT מקבלת שדרוג ליכולות ההפצה שלה מבחינת רוחב הפס". מארק ציין ש" באיומי סייבר ,אחד האתגרים הוא לדעת מי האחראי להתקפה .אתה יכול לעשות הנחות אבל זה מאוד קשה לדעת .אם מישהו פורץ לך לבית אתה יכול לתפוס את הפורץ ולחקור אותו בשאלות כמו מי שלח אותך ,וכו' .עם ההאקר, אתה לא ממש יכול לעשות זאת .אם ניקח למשל, את וירוס ה ,Flame-אתה יכול לעשות הנחות מי עומד מאחוריו .אתה יכול להניח כי ארה"ב עומדת מאחורי הווירוס ולא ישראל .אם אתה בודק זאת לפי האינטרסים ,אז יש רק שתי מדינות שאתה מגיע אליהן -ארה"ב וישראל .אם רואים איך הווירוס עובד ,מבינים שזו לו ישראל כי גם היא הותקפה .הווירוס תוקף כל מי שנמצא באזור זמן מסוים שכולל גם את ישראל .אם אתרים בישראל מותקפים גם ,לא אכפת להם" .הוא ממשיך בטיעונו .ש"זה לא נראה כמו משהו שנעשה ע"י צוות מומחים פנימיים ,משהו שישראל הייתה עושה זאת ,אלא זה נראה כמו משה ו שנכתב על בסיס מכרז שמישהו כתב לקבלני משנה ביטחוניים שאמור "טוב ,רוצים לשחזר בסיסי נתונים וכמה יכולות ריגול .אנחנו יכולים לעשות זאת" .ואז אתה מקבל חתיכת תוכנה ענקית שאף אחד לא דמיין שתגיע למימדים כאלו. בנוסף ,ציין מארק ש"רכיבי האבטחה הקלאסיים, הם חסרי אונים כנגד המתקפות המתוחכמות שראינו לאחרונה ,אבל זה עדיין לא אומר שלא צריך להשתמש בהם .לא כל המתקפות הן מתקפות מתוחכמות ,וחשוב שהארגון יהיה מוגן כל הזמן ,מפני כל האיומים .ומה בכל זהת ניתן לעשות? אחד הפתרונות למשל ,הוא ליישם גישה מבוססת מחשב (Remote Computer .)Browsingזאת אומרת שיש לך חלון של דפדפן במחשב שלך ,אבל הוא העתק של חלון שפועל על מחשב אחר .אתה יכול לגלוש באינטרנט, אבל זו לא המכונה שלך שגולשת ואז אין בעיה אם פורצים למכונה שמריצה את הדפדפן .זה מה שעושים היום למשל במשרדי הממשלה בגרמניה בגלל שהם נפגעו מהאקרים סיניים .המערכות שמריצות את הדפדפן נמצאות בסביבה סגורה ומבוקרת ולכן אין בעיה אם פורצים אותן .הבעיה היחידה עם פתרון זה ,זה שחווית המשתמש נפגעת .מכיוון שזה מאט את הגלישה שלו ,ולא ניתן להוריד ולשמור קבצים. כדי להגן בפני האקרים עם הרבה מימון ,צריך להפריד רשתות בצורה פיזית ולאבטח את נקודות הממשק ביניהן .אפשרות נוספת היא שחברות האנטי וירוס יטמיעו בתוכנות שלהן מספר מנגנוני גילוי ויפעילו שילוב שלהם בצורה רנדומאלית על | גיליון | 3יולי 2012 15 או להשבית אותה באופן מוחלט" ,ציין" .ניתן גם להעביר את השיחות שנכנסות למקום אחר, למנוע מהן להגיע ליעד האמיתי שלהן .אפשר גם לחשוף מה שנאמר בשיחות .אין כל ספק שזו סכנה אמיתית .ה'-פרס' של הפורץ יכול להיות מאוד גדול .חישבו מה קורה אם גונבים שיחות ברמת פרימיום ,שעולות הרבה כסף. מחשבי הלקוחות .כלומר ,פעם המנגנון יפעל ופעם לא .כמובן שבחלק מהמקרים יכנס קוד זדוני למחשב הלקוח ,אבל זה סיכון שצריך לקחת. פתרונות אבטחה שמבוססים על חתימות ,אינם יעילים ,וניתן לראות עפ"י הנוזקות שנמצאו לאחרונה...שזה לא היה ממש יעיל נגדם .אם נסתכל למשל על ,Flameמדברים על כך שלא מדובר בנוזקה חדשה ,אלא היא כבר בת כמה שנים ,וזה מראה שהאיומים מסוגו לא חדשים, אלא הם רק עכשיו מתגלים. אח שלי חבר שלי מר גיל קייני ,מנכ"ל טריניטי תוכנה ומעבר התקפות על תשתית קריטיות - מנקודת מבטו של התוקף מר גיא Security כרסנטי ,מנכ"ל PREVISION Data הגנת תשתיות קריטיות אינה רק בעיה ממשלתית. במדינות בהן מרבית התשתיות הקריטיות הן בבעלות של תאגידים פרטיים ,ורבים מהם הנם עסקים קטנים עם פחות מ 100 -עובדים", אומר גיא כרסנטי ,מנכ"ל PREVISIONהמתמחה בשירותי ייעוץ בתחום תשתיות קריטיות. "אבטחה לבדה אינה מספיקה עבור ספקי תשתיות קריטיות מכל הגדלים על מנת לעמוד בתקיפות הסייבר של ימינו ,אמר גיא" .תולעת Stuxnetאשר פגעה בחברות אנרגיה ברחבי העולם ,מייצגת זן המתקדם של איומים הדורשים פתרונות אבטחה ,אחסון וגיבוי ,לצד קיומם של תהליכי אימות זהויות ובקרת גישה להבטחת שרידות אמיתית" .הוסיף. גיא התייחס בהרצאתו במתקפות על תשתיות קריטיות -מנקודת מבטו של התוקף ,והעלה נקודות חשובות ,שכל ספק תשתיות קריטיות צריך לבחון אותם לעומק .הוא תיאר את הפרופיל של התוקף -מי בעצם עומד בראש תקיפת מערכות מסוג זה? ,כיצד מתארגנים לתקיפת מערכת ,?SCADAמדוע אבטחת רשתות SCADA שונה מאבטחת מערכת ITסטנדרטיות כדוגמת בנקים? אילו 5דרכי תקיפה מרכזיים קיימות לתקוף מערכת תשתית לאומית קריטית? מדוע אין להסתפק ולהסתמך אך ורק על טכנולוגיות קלאסיות ,כגון Firewallוטכנולוגיות דומות? ועוד נושאים רבים אחרים. 16 גיליון | 3יולי | 2012 האיומים העומדים בפני רשתות עסקיות התפתחו מעבר ליכולתיהן של מערכות האבטחה המסורתיות" ,אמר גיל קייני ,מנכ"ל טריניטי תוכנה ומעבר" .כיום ,וירוסים ,נוזקות ,תוכנות פרסום ( ,)Adwareרוגלות ( ,)Spywareפורצים מתוחכמים ,ותכנים בלתי הולמים – כל אלו חודרים לרשתות הנתונים במגוון דרכים" .הוא ציין כי החדירות מתבצעות לרוב דרך הודעות דוא"ל, תוכנות העברת מסרים מידיים ,תוכנות לשיתוף קבצים ,דפי רשת ,וכן על גבי רשתות .VPN לדבריו ,הפירוול המסורתי חסר אונים בעומדו מול מרבית האיומים מבוססי-התוכן ,שכן "הוא פשוט לא תוכנן לנתח את התנועה ברשת ברמת היישום" .מנגד ,ציין ,פתרונות אבטחה ברמת התוכנה הם מסובכים ,יקרים ,בעלי מערכות ניהול שונות ,ואיטיים מדי לתקשורת בזמן אמת כיום. יש להתעסק עם אותם סיכונים ,לבחון ולמפות אותם ,ולנהל אותם בצורה אפקטיבית .מה שחשוב להבין ,אמר גיל ,זה שאין פתרון נקודתי .נדרש לאמץ גישת אבטחה רב-שכבתית ,כזו שמשלבת בתוכה מספר שכבות אבטחה ,אשר נותנות מענה למגוון רחב של איומים .אנחנו מתקינים בארגון מגוון פתרונות אבטחת מידע ,אבל העניין אינו נוגע למערכת אחת ,אלא נדרשת סביבה כוללת בנויה באופן מאובטח מההתחלה" .גיל אמר ,שתפיסת אבטחת המידע הכוללת שעל ארגונים לנקוט מורכבת מאסטרטגיה ,ממשל ,תפעול ומפעילים, מסגרות עבודה והגנת הליבה העיסקית. ניתן לראות הרבה מגמות חדשות שמסייעות כחלק ממתקפת סייבר כוללת. מגמה המסייעת למתקפות סייבר היא השיתופית זו שבתוך הארגונים וזו שבין הארגון ללקוחותולשותפים העסקיים שמחוצה לו .כולם רוצים גישה למידע ,ולכן אי אפשר לסגור ולהגן על המידע בצורה הרמטית. מגמה נוספת ,אף היא קשורה לנושא השיתופיות, היא הרשתות החברתיות ,שמהוות מקור מהימן ויעיל לצורך איסוף מידע מודיעיני לקראת מתקפת סייבר מתוחכמת. איך ניתן לעבוד ולתקשר ב VOIP-ולישון טוב בלילה? מר אייל אלון ,מנכ"ל GAMA Operations האם וירוס יכול לחייג אליך למשרד? כמה רחוק יכולה להגיע שיחת טלפון? וירוסים ,טרויאנים ותוכנות מזיקות אחריות יכולות להשתמש ברשתות VOIPכדי לתקשר עם מחשבים מודבקים בתוך הארגון ,לשלוט בהם ולהוציא מהם מידע. טלפוניית VoIPהיא טלפוניית הדור החדש, שפועלת על תשתית האינטרנט .בעזרת VoIP אפשר לקיים שיחות טלפון רגילות על גבי חיבור האינטרנט במקום שיחת טלפון קווית רגילה באמצעות ספקי שירות סלולרי וקווי. בעיות אבטחת מידע ב VoIP-לא מסתכמות רק בהאקרים שמנסים לפרוץ למרכזיה או לטלפון IPבארגון. אייל אלון ,מנכ"ל ,Gama Operationsהתייחס לתחום חדש שלדבריו חייבים לאבטח -פריצה למרכזיות שמבוססות " . VOIPהאם אנחנו מודעים לפריצות הללו? כנראה שרובנו לא" ,אמר .לדבריו, "יש מגוון גדול מאוד של אירועים שקורים בתחום זה ,והם לא תמיד קורים כשהעסק פתוח .לקוחות צריכים לשים לב טוב מאוד לכל מה שקשור להגנה על מרכזיות ה IP-בהן הם משתמשים או על הסיב האופטי שהם רוכשים מחברת אספקת שירותים". הוא ציין ,כי "בשנה האחרונה חל גידול משמעותי בתקיפת מרכזיות ,בגניבת שיחות ובציתות לשיחות .יש עלייה של עשרות אחוזים משנה לשנה ,ומדובר בסכומים גדולים .לצערנו הרב, אנחנו לא יודעים בדיוק את ההיקף של התופעה וההתקפות ,מאחר שלפעמים ,עקב המוניטין של הארגון או הלקוח ,יש להם אינטרס לא לדווח בכלל שהוא חווה התקפה". Smartphone Insecurity גב' גיורגיאנה Security ווידמן ,מנכ"לי חברת על מנת לחקור את התנהגות האפליקציותהמותקנות על המכשיר ,על אופן שמירת המידע, אופן התקשורת עם העולם החיצון וכדומה. להלן כמה טיפים להגנה מפני איומי מובייל ,אשר הועלו בהרצאתה בכנס: נעילת המכשיר עם ,PINיכולת של הארגון למחיקת תוכן המכשיר אוטומטית (Automatic )Wipeלאחר שטועים כמה פעמים בהקשת ה ,PIN-אפשרות למחיקה מרחוק במקרה של דיווח על גניבה או איבוד המכשיר ,תווך תקשורת מוצפן בין המכשיר לשרת ,אימות המכשיר ע"י תעודה דיגיטלית המותקנת עליו ,הצפנת המידע שבו (כולל הודעות ,)SMSאפשרויות לסינון בעת הסנכרון מול הארגון (אשר יגביל מה מותר לעבור ומה לא) ,סינון תכנים בעת גלישה ,ועוד. Bulp נגנב מהן ,ליידע את הציבור בכך .זה כמובן מוביל לבעיה תדמיתית קשה ,בעיקר אם מדובר בחברות מהמגזר הפיננסי ולכן על החברות לנקוט בכל דרך אפשרית כדי להימנע מפריצה ואם קרתה -לגלות אותה מהר ככל שניתן" ,אומרת אן. "התוקפים נהיו מתוחכמים יותר ,ומאורגנים יותר ,וזה הוביל לתוצאה שהמתקפות הן יותר מתוחכמות וממוקדות .במציאות ,אנו יודעים רק על ההתקפות שפורסמו באמצעי התקשורת ולא על התקפות אחרות שאינן נוגעות לאתרים ציבוריים .לדעתי אנו רואים רק את ההתחלה של מלחמת סייבר וזה לא יפתיע אותי אם במקביל להתקפות DDoSכאלה ואחרות ,יתנהלו מתקפות מזיקות בהרבה ,אשר הציבור טרם נחשף אליהן .בשורה התחתונה -ההאקרים נעשים יותר מתוחכמים והמתקפות נגד אתרים וגופים ישראליים לדעתי רק יכלו ויתגברו .אני מציעה להתייחס לעניין בכובד ראש ולהכין עצמנו לקראת מתקפות נוספות" ,ציינה אן. המסר העיקרי אותו העבירה גב' גיורגיאנה ווידמן, מנכ"לית חברת ,Bulp Securityזה שטלפונים חכמים הם איום סייבר חמור. מהפכת המובייל והשימוש באפליקציות המותקנות על מכשירי הטלפון החכמים שינתה לחלוטין את חיינו ואת הצורה בה אנו משתמשים במכשיר ,אשר עד לאחרונה שימושו היחיד היה רק טלפון ...אנו משתמשים באפליקציות אשר נוגעות בהיבטים הכי אישיים ורגישים בחיינו – שיחות הטלפון שלנו ,תכתובות ,SMSמיקומנו הגיאוגרפי ,מידע רגיש (כגון נתונים פיננסים), גלישה באינטרנט וכדומה. טלפונים חכמים (סמארטפון) משמשים כיום כמחשב נייד לכל דבר ,דרכם ניתן לגלוש באינטרנט ,להתחבר למערכות בעבודה ,לצלם, להאזין ,להקליט ועוד. השימוש בטלפונים חכמים רק הולך וגובר, במדינות רבות כ 50-אחוז מהטלפונים הניידים הם סמארטפונים .את הטלפונים האלה ניתן לנצל גם לאיסוף מידע וגם לתקיפה מרחוק" אומר וייסברג, "פעם זה היה רק טלפון ,היום יש בו חיבור ישיר למייל ולאינטרנט ,אנשי קשר ,סיסמאות ואסמסים, מצלמה ,מיקרופון ומכשיר הקלטה,Bluetooth , אופציה לאיתור אדם באמצעות ג'י.פי .אס ,ועוד. כבר קרו מקרים שחוקרים פרטיים הפעילו מיקרופון והקלטה מרחוק ובעצם עשו האזנת סתר ,כך שהדבר בהחלט מהווה סיכון ממשי כיום לדברי אלון" ,כמות המתקפות האפשרויות גדולה ויש תרחישים שונים שיכולים לגרום לפגיעה בעסק .לכן ,צריך להגן על מרכזיות הVoIP- בדיוק כמו שמגנים על הרשת .מדובר בתחום של אבטחת מידע לכל דבר ועניין". השאלה הנשאלת -האם אנו באמת יודעים מהי רמת האבטחה של האפליקציות האלו? מי מבטיח לנו שהן לא מרגלות אחרינו ?..או שהן נכתבו בצורה תקינה ואין בהן בעיות אבטחה?... "דוגמא אופיינית לחדירה למרכזייה היא הצפה של המרכזייה ,כדי לגרום לה שלא לקבל שיחות גיורגיה ציינה מספר דרכים כיצד נוכל לענות על שאלות אלו -באמצעות כלים ושיטות בהם נעזרים בביצוע בדיקות חוסן לאפליקציות מובייל From Hacker, to Cybercriminal, to "Hacktivist", to "Cyberterrorist": ?So Why Are We Surprised גב' אן רוגירס ,מנהלת אבטחת המידע לשעבר של חברת Waste Management "התוקפים של היום ,בעידן הסייבר ,החליפו צורה, וניתן לראות שינוי שהתחולל על פני מספר שנים, שההאקר הפשוט עבר היפוך מההאקר הפשוט, המחפש אחר תהיל"ה בלבד ,להאקר המתוחכם, שהוא חלק מקבוצה מאורגנת היטב ,כאשר המטרה העיקרית היא כסף .ההאקרים של העידן המודרני ,אימצו את שיטת הזאבים,והם כבר לא זאב בודד ,אלא פועלים כקבוצות מאורגנות היטב, וזה מקשה על הארגונים להתמודד מפניהם", אמרה גב' אן רוגירס ,לשעבר מנהלת אבטחת המידע של חברת "Waste Managementוכיום בעלת חברת ייעוץ פרטית. "אסור לנו להיות מופתעים במלחמת סייבר .כל ארגון במגזר העסקי-פרטי חייב לבדוק האם הוא מועד לתקיפה ואם כן ,לנקוט בכל האמצעים להגן על עצמו .מתקיפים טיפוסיים עלולים להיות מתחרים אשר מחפשים מידע עסקי ותוכניות עבודה ,או פורצים לאתרים על מנת לסחור כסף מהבעלים .לארגונים ישראלים יש בעייה נוספת, כיוון שהם עלולים להיות מותקפים מסיבה פוליטית ולא עסקית ,כפי שאנו רואים לאחרונה. כיום ,בארה"ב ,החוק מחייב חברות אשר מידע Cyber-Proofing your Data from Application Attacks גב' איירין .Security אבזגאוז ,מנהלת מוצר, Seeker "פיתחנו כלי שנועד לשפר את מערך הבדיקות האוטומטיות של אבטחת היישומים באמצעות מבדקים חכמים ,המבוססים על ניסיון רב שלנו שנצבר בתחום זה" ,אומרת איירן אבזגאוז, מנהלת מוצר .Seekerהמדובר בכלי אבטחת מידע המיועד לאתר פרצות אבטחה עוד בשלב המוקדם של כתיבת התוכנה על ידי הלקוח. המוצר ( )Seekerמאתר פרצות ,מאמת אותן ומתעד את תהליך ההתקפה בווידיאו באופן אוטומטי" ,היא מוסיפה. "הפתרון נועד להקל על מערך ה IT-בארגון ואנשי אבטחת המידע באיתור פרצות ביישומים ולהפחית את התלות בגורם פנימי או חיצוני אנושי שיבצע את הבדיקות .היכולת לזהות פרצות וכשלים כבר בשלב הפיתוח מפחית באופן ניכר את השעות הדרושות לתיקון הכשלים הללו אם היו מתגלות בשלבים מאוחרים יותר של מחזור חיי המוצר" .פורת אף מתחייב ,כי הפתרון העתידי של הקטיקס יפחית את כמות התראות השווא על פרצות שלא קיימות ,לעומת מערכות אחרות שמספקים כלים מתחרים. | גיליון | 3יולי 2012 17 המומחים של חברת PREVISION הגורו העולמי -ואן האוסר מחזיק בגיליון השני שלנו מר רמי אפרתי ומר גיל קייני ,בהצצה ראשונית לגיליון השני של GLOBAL SECURITY מימין -שרון כהן ,מחברת ספיידר ,מחליף חוויות עם המנמר של הקריה האקדמית ,מר שלומי מרדכי (משמאל) מר דני אברמוביץ מקבל בשמחה את השותפות עם גיל קייני ,מנכל חברת טריניטי האנשים מאחורי הכספת הוירטואלית המומחים של חברת סייקר, מציגים את יכולות המוצר המומחים של טלדור, גאים אחרי הצלחה של שנים מימין לשמאל :מר אריק וולובסקי -מנהל אבטחת מידע בפלאפון ,יוסף לוי -יועץ אבטחת מידע בכיר ,שרון כהן -מחברת ספיידר ,והדס שני -ראש צוות CERTבתהילה מימין לשמאל -מר אריאל פלד ,יחד עם ואן האוסר ,ומר דני אברמוביץ מימין לשמאל -מר דני אברמוביץ -הנשיא הנכנס ,ליאור עטר -יועץ אבטחת מידע במשרד המשפטים ,ומר איציק אשכנזי -יועץ אבטחת מידע מימין לשמאל -חברים ותיקים ,ולקוח יקר - המנמר של פלייטק -מר יוחנן סומרפלד ,ומר דני אברמוביץ ,מנכל חברת טיטנס סקיוריטי מימין -מר גיל קייני -מחברת טריניטי - ושלושת המוסקטריות הנשיא היוצא ,מר אריאל פלד ,מחליף חוויות עם המשנה לנשיא האיגוד ,מר אלדד משולם מימין לשמאל :מר תומר שמש ,מנהל אבטחת המידע באקסיליבריס ,מר אריק וולובסקי מנהל אבטחת מיעד בפלאפון ,יוסי טלי -יועץ אבטחת מידע בכיר בחברת ,IBMומר דני אברמוביץ נשיא האיגוד תפוסה מלאה -למעלה מ 500-איש השתתפו בכנס השנתי של האיגוד ISSA שותפות ארוכת שנים -מימין -מר אריאל פלד הנשיא היוצא ,ומשמאל מר דני אבמרמוביץ, הנשיא הנכנס מר אריק אסייג -מנהל מכירות של חברת ורוניס מקבל אותנו תמיד בחיוך 18 גיליון | 3יולי | 2012 | גיליון | 3יולי 2012 19 סיקור פאנל מומחים העידן החדש של אבטחת המידע עידן הסייבר האם אנו עדים לזן חדש של מתקפות? של תוקפים? מה מאפיין את התוקף של היום? "מה שונה בעידן הדיגיטלי של היום ,מבחינת מלחמת הסייבר"? כיצד ארגונים יכולים להתמודד עם האיום החדש? "מה מצבנו מבחינת מלחמת הסייבר"? "עד כמה מדינת ישראל מוכנה למתקפות סייבר"? האם המדינה צריכה להתערב בהגנה על המגזר העסקי? ומה לגבי הציבור הרחב ,המשתמש הפרטי? אלו חלק מהשאלות שעלו בפאנל מומחים בכנס השנתי של האיגוד ( ISSAהציאפטר הישראלי) ,בהנחייתו של דני אברמוביץ ,נשיא האיגוד ,ומנכ"ל קבוצת TITANS .SECURITY דני אברמוביץ ,נשיא האיגוד ( ISSAהציאפטר הישראלי) התייחס לכמה נושאים ביניהם להשלכות פרשיית חשיפת כרטיסי האשראי, הגנה על המידע הפרטי של המשתמשים ,והגנה מפני מגוון איומי הסייבר ,שעוד ירבו לבוא. "אין חסינות או הגנה מוחלטת מפני דליפת מידע, זה ברור לכולנו ,וחשוב שגם האזרחים הפשוטים יהיו מודעים לכך ,ושידעו שהם צריכים להגן על עצמם .צריך לחייב עסקים להגן על האתרים שלהם וחשוב שיהיה גוף ממשלתי שאחראי לכך. המסר שצריך לצאת מכאן הוא שאנחנו כאנשי מקצוע חייבים לחנך" ,אמר דני. לדבריו" ,המשתמשים חייבים להיות מודעים לאפשרות שהאתר שבו הם מבצעים רכישות ,לא מאובטח ,אבל במקביל המגזר הממשלתי צריך להתערב בלקיחת אחריות כרגולטור ולהסמיך אתרים .אם תהיה הסמכה לאתרי האינטרנט, אני כמשתמש פשוט ,יכול להבין שמדובר באתר מאובטח ושאני יכול להשתמש בו ללא פחד שיגנבו לי את כרטיס האשראי או כל פרט אישי אחר .אם אין הסמכה ,ואני בכל זאת משתמש באתר ,אז האחריות תהיה עלי". 20 גיליון | 3יולי | 2012 ניר ,הוסיף " ,אין אני מתרשם מהצהרות גורפות שכוללות מונחים כגון "מלחמת סייבר" .אני חושב שהמצב שאליו נחשפנו לאחרונה ,יכול להוות מטרד רציני אבך לא יותר ממטרד .המדינה לא באמת תלויה על שירותי OnLineוכן קיימות לנו הגנות בחזיתות שונות .מצד שני ,התקפות אלו שירתו היטב את האזרחים ואת המגזר העסקי, בכך שהגבירו את הערנות והמודעות של כולנו לסיכונים הקיימים ברשת האינטרנט .בנוסף, המתקפות חידדו את הסיכונים הישנים -חדשים במערכות המידע .התקפות על אתרי תדמית של ארגונים יכולות להגיע בכל עת ומכל מקום. התקפות אלו הן יחסית קלות וזולות לסיכול ,גם במחיר של מניעה כוללת של הגישה לאתר .עם זאת ,נקודות התורפה העיקריות של ארגונים ורשויות הן מערכות הליבה הארגוניות .מלחמת סייבר שתכוון נגד מערכות אלו תגרור נזקים משמעותיים ,ישירים ועקיפים ,שיכולים להגיע עד רמה של פגיעה בשרידות הפיננסית של הארגון. כמו כן ,התקיפות שעלו לאחרונה לכותרות הן דווקא התקיפות המתוחכמות פחות והמפחידות פחות .על המתקפות החמורות באמת -אלה המתרחשות בתוך תוכן של רשתות קריטיות - בדרך כלל לא מדברים הרבה למרות שהן קורות בשטח .התקיפות של התקופה האחרונה צריכות לשמש כנורת הזהרה לתקיפות המתקדמות באמת המאיימות לפגוע בלב הארגונים הגדולים ובתשתיות לאומיות קריטיות". שאלה :2 חברי הפאנל מתמודדים עם שאלות בנושא סייבר .מימין לשמאל -מר ארז מטולה ,מר יוחנן סומרפלד ,מר מני ברזילי ,מר ניר ולטמן שאלה :1 לאחרונה אנו עדים ליותר ויותר התקפות סייבר מתוחכמות ,שמטרתן לפגוע במטרות ממוקדות ,וגם הנזק בהתאם. האם אפשר לומר שאנו עדים לזן חדש של התקפות? ושל תוקפים? יוחנן ,בתגובה " ,עולם הסייבר טרור עמוק ומגוון כמו המערכות המשמשות כמטרה להאקרים. התקפות על אתרי תדמית של ארגונים יכולות להגיע בכל עת ובכל מקום .התקפות אלו הן יחסית קלות וזולות לסיכול ,גם במחיר של מניעה כוללת של הגישה לאתר .עם זאת ,נקודות התורפה העיקריות של ארגונים ורשויות הן מערכות הליבה הארגוניות .מלחמת סייבר שתכוון נגד מערכות אלו תגרור נזקים משמעותיים ,ישירים ועקיפים, שיכולים להגיע עד רמה של פגיעה בשרידות הפיננסית של הארגון .תקיפות אלה התבצעו על ידי קבוצות האקרים אידיאולוגיים (אקטיביסטים) שקבוצות רבות דוגמתן פועלות היום בכל העולם לקידום מטרות אידיאולוגיות (אנונימוס מהווה קבוצה מעין זו). מני ,הוסיף בתגובה כי "עולם הסייבר טרור עמוד לאור המתקפות סייבר החדשות ,עד כמה הציבור בישראל צריך להיות מודאג? ומגוון לפחות כמו המערכות המשמשות כמטרה להאקרים .מתקפות הטרור שחווינו בתקופה האחרונה הן תמרור אזהרה וסימן ראשון למה שמצפה לנו .המוטיבציה של קבוצות ההאקרים בעולם והגיבוי שהם מקבלים ,לעיתים ,מהגופים הרשמיים במדינתם ,מחדדים את הנקודה שאנו נמצאים תחת איום עיקרי ומתפתח. ארז ,הוסיף בתגובתו " ,לדעתי מדובר כאן על מקרים שונים ,מקרה חשיפת פרטים אישיים וחשיפות פרטי כרטיסי האשראי ,ובנפרד ,נפילות אתרי הבורסה ואל-על .כל אלה מעידים בראש ובראשונה על המוטיבציה הגבוהה של גורמי האיום בין אם אלה ארגוני טרור ,מדינות או סתם המון מוסט .המוטיבציה גבוהה וזה דומה לחבית חומר נפץ שממתינה רק לניצוץ .ניכר שהחזית חמה והאיום אמיתי .התמודדות עם תרחישי סייבר מורכבים מצריכה היערכות מראש ואינה יכולה להתבצע בצורה ריאקטיבית .יש להיות ערוכים למצבים בהם התקפות סייבר חדרו לארגון אחר עימו קיימים קשרים בין מערכתיים, והיקף החדירה אינו ברור .במקרה כזה ,יש לבחון אפשרות של ניתוק הקשרים בין המערכת לבין הארגון שהותקף. מני " ,ארגונים חייבים לבצע תהליכי הערכת וניהול הסיכונים בצורה מתמדת .ההנהלה צריכה להבין את ההבדלים הין האיומים הקלאסיים ובין האיום הסייבר -ולנהל את הסיכון באמצעות בקרות שונות מעולם אבטחת המידע המוכר והטוב. קיימים תרחישים אליהם קשה או בלתי אפשרי להתכונן באופן ספציפי ושם הארגון צריך להיות מוכן להתמודדות עם תרחישי קיצון באמצעות מערך המשכיות עסקית ומערכים תומכים אחרים .חברות וארגונים בישראל צריכים להיערך למתקפות סייבר בדיוק כפי שהם בונים היום מערך אבטחה פיזי על משרדי החברה שלהם. משרדי החברה הוירטואליים כוללים סניפי שרות לאינטרנט ,סניפי שרות מקומיים ובנייני הנהלה. ההגנה על כל אחד מסניפים אלה מחייבת עריכת סקר סיכוני סייבר ,החלטה על תוכנית עבודה הכוללת תיעדוף המערכות הקריטיות להגנה והקצאת משאבים לבניית מערך הגנה זה .תקיפות סייבר מהוות היום סיכון ממשי על רבות מהחברות בישראל ואל להם להמתין להקמת מעגלי הגנה סייבר מדינתיים על מנת לייצר את מנגנוני הגנת הסייבר על ליבת הפעילות העסקית שלהן". יוחנן " ,חברות צריכות להבין כי משבר אינו אירוע חריג ,אלא אנחנו חשופים אליו בכל רגע נתון ,ומה שיעשה את ההבדל הוא איך אנחנו מבצעים את ניהול הסיכונים .היעדר ניהול סיכונים נכון יכול להוביל לאסון .יש הרבה סוגים של מתקפות ורק אמת אחת :אין מקום שיש בו בני אדם שהוא לא חשוף להתקפות .ההתקפות שהתבצעו נועדו בעיקר לגנוב מידע ולשבש מידע מאתרי האינטרנט .התקפות אלה מהוות סימן אזהרה לכל חברה וארגון שעליהם לשמור היטב על נכסי המידע שברשותם ,מעיקר אלו החשופים לסביבת האינטרנט .ישנם מספר רב של דרכים להתגונן מפני תקיפות על אתרי אינטרנט ,רובם דרך אגב פותחו על ידי חברות תוכנה ישראליות .אני ממליץ לכל ארגון וחברה לבדוק את מידת החשיפה שלה לסיכוני תקיפה באינטרנט ,ולנהל את הסיכון בצורה נכונה ,ע"י טיפול מיידי בגורמי הסיכון". עיקר פועלו של הארגון צריך להיות בבחינה יזומה של מידת החדירות של הארגון ומידול סיכונים של תרחישי איום שרלוונטיים אליו .התהליך חייב להיות בידי גורם הנהלה המרכז את איומי הסייבר כחלק ממתווה הסיכונים הכולל ולא להישאר בידי אנשי מקצוע טכניים .הארגון נדרש לבקרה חיצונית על תפיסת האבטחה וארכיטקטורת האבטחה ולהימנע מללכת שבי אחר תפיסת אבטחה המוכתבת על ידי גורמים פנימיים המוטים אחר תובנות קיימות בארגון .נדרש מעבר לחשיבה של הנהלה על תהליכים וחשיפה של הארגון ברמה התפקודית והמנהלתית ולא לחשיבה על טכנולוגיה ורכש מערכות כפתרון לבעיית האבטחה .נדרש מערך תחקור מקיף של אירועי אבטחה והקמת צוותי ניהול אירועי אבטחה ותרגולם .במקביל נדרשת תשתית סקטוריאלית לשיתוף מידע ולניתוח ריכוזי של אירועי אבטחה ומידע על איומים. ניר ,ציין ש"ההתקפות של התקופה האחרונה לא היו אירוע לוחמת סייבר כנגד ישראל אלא כשל אבטחת מידע במגזר הפרטי .ההתקפות של התקופה האחרונה הינן בעיקר התקפות לא מתוחכמות שנערכו על ידי גורמים עם מיומנויות מוגבלות תוך שימוש בכלי מדף קיימים ברשת. ואולם ,בעוד שכלי התקיפה ומתודת ההתקפה הייתה פשטנית ,הרי שהיא חשפה את חולשתה המרכזית של ישראל במיגון התשתית האזרחית ואת רצונם של גורמים עוינים למקד תקיפה למול האוכלוסייה האזרחית .ההתקפה הייתה תולדה של רשלנות חמורה במיגון אתרים עסקיים הפועלים בישראל והיעדר תשתית בסיסית להגנת מידע אישי רגיש הנאגר בהם .ההתקפה היא קראית אזהרה לגבי המערך החסר של חקיקה ,אכיפה ופיקוח על רמת האבטחה של אתרים בישראל" ,אמר ניר .על מנת להתמודד עם תקיפות ממוקדת יעד ( )APTיש להתקדם אל מעבר לפתרונות מבוססי חתימות וחוקים ולעבור להיכרות מעמיקה של הרשת ושל פעילויות המשתמשים בה .היערכות נכונה היא יכולת שליטה ובקרה על מה שקורה ברשת הפנימית. ניתוח ידני אינו אפקטיבי מפני שהרשתות מהירות וכמות המידע גדולה מדי ומגוונת מדי ,ולכן דרושה אוטומציה -מערכות מומחה שיכולות ללמוד את המשתמשים והרשת ומתוך כך למצוא חריגות ואנומליות. ארז " ,דליפת כרטיסי האשראי שאירעה לאחרונה מהווה מקרה שחדר לתודעה הציבורית .כמוהו מתרחשים אלפי מקרים מדי שנה ,המזינים את תעשיית הונאות הזהות המשמשת האקרים וגורמי פשיעה מזה שנים רבות .היקף הנזק מהונאות גניבת זהות אלו לחברות האשראי ברחבי העולם נאמד בעשרות מיליארדי דולרים מדי שנה, וזה יכול למוטט מדינות .נזק זה הוא הסיבה העיקרית ליצירת תקן PCIולאכיפה של תקן זה על ידי חברות האשראי .הלכה למעשה ,חלק מהארגונים מצליחים לפעול "מתחמת לרדאר" של חברות האשראי ולאחסן נתוני לקוחות ונתוני אשראי של לקוחות באופן לא מאובטח ,והם אלו המאפשרים את גניבת המידע וההונאות כנגד מחזיקי כרטיסי האשראי .מספרם של ארגונים כאלה הולך ופוחת וחשיפה של אירועי אבטחה כגון דלף כרטיסי האשראי תוביל בסופו של דבר לסגירת פרצות האבטחה הקיימות .ההתקפות על אתרי הבורסה ,קבוצת הבינלאומי ואל על בוצעו במתווה של התקפות מבוזרות של מניעת שרות ( ,)DDOSומתקפות אלו קשות עד בלתי ניתנות למניעה .ניתן להפחיתן משמעותית על ידי איתור וחיסול של ,Botnetsאך מהלך זה מסובך לביצוע. לפי כך ,יש להיערך להגן על אתרים החשופים לאינטרנט ,ובפרט אתרים של ארגונים ציבוריים הנמצאים בחשיפה גבוהה .אפשר ללמוד מכך שההתקפות בוצעו כנגד אתרי תדמית וגרמו לנזק מינורי בלבד ,,שמטרת ההאקרים הייתה לגרום למבוכה ולהד ציבורי יותר מאשר גרימה של נזק פיננסי או נזק משמעותי אחר .למזלנו לא הותקפו מערכות חיוניות של ארגונים ציבוריים. שאלה :3 מה מאפיין את התוקף בעידן של היום? אם בעבר היינו עדים לוירוס פשוט שמטרתו למחוק קבצים במחשב האישי שלנו, והתוקף לא היה יותר מסתם ,Script Kiddie כיום אנו רואים התקפות יותר מאורגנות, ויותר ממוקדות ,כאשר מספר התוקפים אף עלה וברובו הגדול ,מדובר בקבוצות מאורגנות (למשל ?)Anonymous ניר ":המשפט דע את האויב ודע את עצמך ולא תובס גם במאה קרבות (מתוך ספר "אומנות | גיליון | 3יולי 2012 21 שאלה :5 סיקור פאנל מומחים -המשך המלחמה") ,מייצג את התפיסה שלי האישית, לפיה הדרך להתמודדות עם האיומים של השנתיים האחרונות היא זיהוי המתקפות כשהן מתרחשות ברשת שלנו .התוקפים נהיים יותר ויותר מתוחכמים ,אבל אסור לנו לוותר ,ואנחנו צריכים להגיע לעליונות ידע ,כי ידע הוא כוח והוא עוזר לזהות תקיפות ולהתמודד עם האיומים השונים. יוחנן " ,כיום ,הפורצים כבר לא צריכים דוקטורט. הם רק צריכים נגישות ובעיקר זמן .הם מחפשים באגים ,וכשיש 100אלף מחפשים -זו בעיה. הפורץ בודק אילו באגים היצרן יודע שטרם נחשפו לציבור ,הוא עושה מחקר של חולשות ,ומפתח כלי פריצה מתאימים .המתקפות שקרו בשנים האחרונות ,מעידות על כך שמדובר בתופעה אחרת לגמרי ,על קבוצות מאורגנות היטב ,ולא על האקר בודד אחד ,הפועל כאינדיבידואל .וניתן לראות עפ"י המתקפות שבוצעו בשנים האחרונות, ביניהן מתקפת מניעת שירות ( )DOSע"י יצירת עומס ,השחתת אתרים ,גניבת כרטיס אשראי והשתלטות על מערכי ניתוב ,מה שגורם לשיתוק התעבורה ברשת .וזה מעיד על התארגנות של קבוצות ,הפועלות ממניעים כספיים או פוליטיים, ולא אישיים .אם ניקח את המתקפה שקרתה על אסטוניה ,שהיא מדינה מבוססת מחשוב ,בשנת .2007לאחר שהוחלט להזיז את פסל החייל האלמוני ממרכז הבירה ,טאלין ,למקום צדדי, חוותה אסטוניה מתקפות סייבר בלתי פוסקות מצד רוסיה -מה שהביא לשיתוק החיים בה במשך שבועות. מני " ,עולם הסייבר החל בשנות ה .80-הווירוסים הראשונים הופיעו במקביל לכך שהתאגידים, בעיקר אלה הפיננסיים ,הבינו שביכולתם להגדיל את הכנסותיהם על ידי הקמת אתר אינטרנט, ובכך האתרים הפכו להיות מוקד לאיומים. בתחילת שנות ה ,2000-עיקר ההשקעות של קרנות ותאגידים בעולם האבטחה היה תוצאה של פעילות האקרים ושיתוף הפעולה שלהם עם ארגוני פשע .כך זה גם עד היום .על מנת להוזיל עלויות ,מדינות עברו מהתבססות על טכנולוגיות ייחודיות להתבססות על טכנולוגיות מיינסטרים .או אז ,בעיות האבטחה חדלו להיות בעיות של תאגידים והפכו להיות בעיית המדינה". עולם הסייבר הוא עולם שטוח .הרבה מימדים בו אינם רלוונטיים ,בהם המימד הפיזי ומימד המרחק .האינטרנט נתפס כנשק פוליטי .סין היא המעצמה מספר 1בעולם בתחום הסייבר ויש לה צבא האקרים הגדול ביותר בעולם .למרות זאת, יש קושי לחבר ולעשות את הזיהוי של התוקפים עם מדינות. ארז " ,ההתנהגות של גוגל ( )Googleבשנת 22 גיליון | 3יולי | 2012 ,2010בעקבות הפריצה לשרתיה בסין ,מעידה שהכסף מדבר .המניע העיקרי כיום של התוקף היא כסף בלבד ,ולא תהיל"ה .ולכן ,זה כבר לא תפקידם של ה ,Script Kiddies-אלא הם פינו מקום ,למומחי אבטחה ,האקרים אשר מבצעים מחקר מקצועי וארוך ,מוצאים באגים ובפרצות אבטחה ,מפתחים כלים ,ורק אז תוקפים .הכל מנוהל בצורה מושלמת ,והכל מנגן כמו תזמורת. והאשמים העיקריים בבעיות האבטחה כיום ,זה אנחנו ,הצרכנים הפרטיים והעובדים הארגוניים, אשמים ברוב הבעיות האבטחה הקיימות בעולם. כמשתמשים ,אנחנו רוצים הכל מהר ,יעיל ,זול וקטן .כך נוצר מצב שבו התוכנה יוצאת לאחר בדיקה מינימאלית ולא מעמיקה (אם בכלל), דבר שגורם לבאגים ,ואף חמור מכך ,פרצותבאבטחה .תוכנה עם מאה הסתעפויות דורשת טריליוני שנות בדיקה .המסקנה הנובעת מכך היא שהתוכנות לא נבדקות לעומק ,הן מוצר שלא ניתן לקבוע שהוא תקין. שאלה :4 האם מדינת ישראל ערוכה למתקפת סייבר ממוקדת ,בהיקפים גדולים? יוחנן ,אמר בתגובה "לדעתי מדינת ישראל נערכת היטב בבחינה מערכתית של סוגי האיומים במרחבי הסייבר והגדרת האיום בסקטורים השונים :הצבאי ,הביטחוני ותשתיות קריטיות .כמו כן ,יש היערכות מרשימה לגיבוש רמת האבטחה בתשתיות חיוניות .ברמה המוסדית נעשית עבודה ניכרת לגיבוש תפיסה ולהכנת התשתית המוסדית והטכנולוגית להתמגנות .ואולם ,דומה כי תרחישי האיום הנדונים מתמקדים ב"אפקט הדומינו" של קריסת תשתיות ולא נותנים משקל לאיום המרכזי של ריגול שיטתי וחילוץ מודיעין לצד הטמנות יכולות שיבוש .תפיסת האבטחה נבנית על יסוד תרחיש איום חלקי ולא ממצה ודורשת בחינה מחדש .גם בחזית המוסדית נדרשת הבהרה של הסמכויות של הגופים השונים והגדרת גזרת אחריות ברורה .טרם ישנו טיפול ראוי בסיכון הקיים על התשתיות האזרחיות והעסקיות ,אך אני מאמין שזה יבוא לידי ביטוי בהמשך". ארז ,הוסיף "מדינת ישראל הינה יעד לתקיפה בייחוד בתקופה הנוכחית .מעבר לתקיפות שקרו לאחרונה ,פוטנציאל הנזק גבוה הרבה יותר (למשל פגיעה בתשתיות קריטיות כגון חשמל ומים) ,ועל המדינה למגן את המערכות הרלוונטיות ולשפר את הניטור של המערכות הקריטיות .לאחרונה ניתן הרבה פוקוס בנושא, אך דרושים עוד צעדים טכנולוגיים בשטח" .מתוך היכרותי עם גורמים בממשלה ,המודעות לנושא הסייבר גבוה ואף המאמצים לרב מראים תוצאות בשטח .תמיד ניתן לעשות עוד .לדעתי ,מה שקורה היום אינו עונה על ההגדרה מלחמת סייבר ומתוך תשובתי כבר אפשר להבין שיש פה הרבה עניין של הגדרות ותפישה .לדעתי קיימות חזיתות שבהן מדינת ישראל ערוכה היטב ואף מובילה בנושא ואחרות בהן המדינה אינה ערוכה מספיק ,אך היא פועלת בנידון. מני ,אמר בתגובה" ,מדינת ישראל נערכה בשנים האחרונות להגנה על התשתיות הקריטיות שלה מפני מתקפות סייבר .קיים עדיין פער גדול בין היערכות זו לבין קיומה של מטריית הגנה כלל מדינתית למלחמת סייבר כוללת .כיום ,היכולת לבצע תקיפת סייבר קלה ופשוטה יותר מהיכולת להגן על ארגון\חברה מפני תקיפה מעין זו .בשנים הקרובות ייסגר אט אט הפער כשכלי הגנה חדשים יאפשרו לחברות ולארגונים להגן על עצמם בצורה טובה יותר מפני תקיפות סייבר .במהלך פרק זמן זה מוטל על המדינה להשלים את היערכותה במעגלים שבהם עדיין לא הושלמה היערכות זו. היערכות זו כוללת הרחבת מעגלי ההגנה ,הרחבת המודעות בקרב הציבור הרחב בנושא וקביעת נהלי טיפול באירועי סייבר". ניר ,אף הוסיף " מדינת ישראל לא ערוכה להתמודד עם מלחמת סייבר באופן מלא .בחינה של רמת האבטחה ומנגנוני האבטחה המיושמים במערכות הליבה ובמערכות החיוניות לארגון מגלה לרוב כי שכבת התצוגה של המערכות החשופות לאינטרנט מוגנת ברמה טובה ,אך השכבות הפנימיות של המערכות בארגון אינן מאובטחות כלל או מאובטחות ברמה נמוכה מאוד. הזרז העיקרי במשק להגברת רמת האבטחה במערכות מגיע דווקא מהסקטור הפרטי ,למשל רגולציית .PCIזרז עיקרי נוסף מגיע מהממשל האמריקאי ,תחת החוק הפדרלי .SOXזרז נוסף, יהיה אימוץ חובה של תקני אבטחה אחרים כגון תקן .ISO27001הבעיה עם הרגולציות ותקנים מסוג זה ,היא החלקיות האינהרנטית שלהם (למשל בתקן )PCIאשר נובעת מאבטחה נקודתית של מידע ורכיבים הרלוונטיים לרגולציה עצמה, גורמת הלכה למעשה לארגונים לנקוט בצעדי אבטחה חלקיים לטובת הרגולציה בלבד ,תוך חשיפת אזורים רגישים של מערכות הליבה בארגון". ומה לגבי המגזר בעסקי-פרטי? האם למדינה יש בשרוול "כיפת ברזל" אשר תגן היטב על המגזר העסקי? כיצד על המגזר העסקי-פרטי להיערך למתקפת סייבר? יוחנן ,ציין ש"יש להיערך למתקפת סייבר במספר רמות.ראשית ,יש ליישם את מירב שכבות האבטחה על כלל המערכות בארגון ,במיוחד אלו החשופות לרשת האינטרנט ,ואף להכין תוכניות מגירה למצבים בהם תידרש סגירת מערכת או מניעת הגישה אל מערכת נתונה .שנית ,יש לאבטח את כל המערכות הליבה של הארגון באופן מלא ,במתודולוגיית .In-Depth Security שלישית ,יש להיות ערוכים למצבים בהם התקפות סייבר חדרו לארגון אחר עימו קיימים קשרים בין מערכתיים ,והיקף החדירה אינו ברור .יש להבין כי ניתוק או סגירה של מערכת ליבה אינו מעשי במצבים רבים .לפיכך יש לנקוט באמצעי אבטחה פנימיים במערכת עצמה ,ואמצעי הגנה היקפיים שמטרתם למנוע צורך בסגירה של מערכת הליבה עצמה .מרבית המערכות אינן מכילות מנגנונים להבטחת שלמות המידע במערכת ושלמות התהליכים הלוגיים של המערכת .פגיעה בשלמות המידע במערכת יכולה במצבי קיצון לגרום לנזקים בהיקף קיצוני לארגון ,עד רמה של סיכון השרידות של המידע במערכות הארגון או אף השרידות הפיננסית של הארגון בכלל .יש ליישם באופן מדוקדק אמצעים להבטיח שלמות המידע במערכות הליבה של הארגון" ,הוסיף יוחנן. ניר ,הוסיף כי "חברות צריכות לבצע ניהול סיכונים לא רק כשאומרים להן לעשות זאת ,אלא באופן תקופתי .הן צריכות להבין ,כי משבר הוא אינו אירוע חריג ,אלא אנחנו חשופים אליו בכל רגע נתון ,ומה שישעה את ההבדל הוא איך אנחנו מגיבים לאירועים .היעדר ניהול סיכונים נכון יכול להוביל לאסון ,כשלפעמים הנזק בלתי הפיך .אסור לחברות להיות מופתעות .זה צריך להטריד אותנו שיש עוד חברות שמופתעות ממשברים ומכך שמתקיפים אותן .צריך להבין שתוקפים אותנו כל הזמן ולפעמים מצליחים ולפעמים לא ,והשאלה היא איך אנחנו מתכוננים לכך" ,הוא אמר. מני ,ציין ש"חייבים לעשות הבחנה ברורה בין סייבר ואבטחת מערכות מידע .סייבר זה לא אבטחת מידע .במלחמת סייבר ,ישנם היבטים נוספים ,כגון המרחב הפיזי ,וההיבט האנושי, וגם מידת הנזק יכולה להיות רחבה יותר .דמיינו לעצמכם תקלה במערכת הטלפוניה הארצית שהיא תוצאה מתקיפת סייבר שמביאה להשבתת המערכת .במקביל ,דמיינו אירוע נוסף ,רב נפגעים, כגון פיגוע ,או הצתה .התקלה הגדולה בסלקום התרחשה יום אחד לפני השריפה בכרמל .חישבו איך היו כוחות הביטחון מטפלים בשריפה כאשר שליש מהטלפונים מושבתים .חשוב להבין שעולם הסייבר הוא אמיתי ,הוא לא המצאה של אנשי שיווק ומכירות של ספקיות אבטחת מידע. הוא חיבור של עולם אבטחת המידע ולהיבט של יצירת איום על תאגידים ,על גופי תשתיות לאומיות קריטיות ועל המדינה כולה .סייבר זה לא מימד ,זו פלטפורמת לחימה .הוא יכול לעמוד בפני עצמו או כחלק ממכלול רחב יותר של התקפות שלא במימד בסייבר. ארז ,הוסיף כי "לתוקפים מספיק סדק אחד על מנת לתקוף ,ואילו למותקפים נדרשת הרמטיות מוחלטת ,על מנת להתמודד עם מתקפות סייבר. על מנת להדביק את הפערים הללו יש לפעול לא רק בהיבט הטכנולוגי אלא גם בתחומי ההדרכה, החינוך ושינוי התרבות" .דע את עצמך" ,אני מצטרף למה שניר אמר ,שכל ארגון צריך ללמוד ולהכיר את הרשת שלו על מנת שיוכל לזהות פעילות חריגה בו ובכך לזהות תקיפות סייבר מתקדמות .כלי ההגנה הסטנדרטיים שמגנים על הכניסות והיציאות מהארגון עיוורים לפעילות השקטה של תקיפות APTברשת הפנימית ולכן לא ניתן להשתמש בהם לצורך זיהוי מתקפות .APTבנוסף ,גישה של חוקים וחתימות אינה תופסת לתקיפות ייעודיות שתפוצתן ממוקדת .אין ספק ,חברות קטנות כגדולות חשופות היום כפי שראינו לאחרונה .הדרך היחידה להבטיח רמת אבטחה נאותה היא לקיחת אחריות של הנהלת החברה .ככל שההנחיות יהיו ברורות יותר לגבי אופן ההתמודדות (וההצטיידות בהתאם) כך החברה תפעל בנחישות לאבטח את עצמה ולהיות ערוכה למתקפות סייבר השונות". שאלה :6 הצהרה לחוד -ומעשים לחוד .מדברי ראש הממשלה ,מר בנימין נתניהו ,שציין בכנס סייר האחרון ,שישראל תהפוך להיות מעצמת סייבר בעולם...האם לא מדובר באמרה שעלולה למשוך אש לכיוון של ישראל? ארז" ,ישראל תמיד הותקפה ,או לפחות היו ניסיונות תקיפה נגדה ,והיא תמיד תהיה יעד מרכזי לתקיפות ,בעיקר בשל סוגיות פוליטיות. הכוונה של הממשלה ,היא טובה ,ובתקווה שזה ישפר את רמת אבטחת המידע ,לכלל הארגונים במדינה ,ולא רק לתשתיות הקריטיות ,כי לכולם ידועה ,שחוזק השרשרת היא כפי חוזק החוליה החלשה שבה. יוחנן" ,אני דווקא שמח שכל האירועים האחרונים קרו ,זה הדליק לכולנו נורית אזהרה והעלה למודעות שאכן כנראה יקרו דברים כאלה ואולי גרועים מזה גם בעתיד .בין אם אנחנו אזרחים מהשורה שצריכים להיזהר יותר במידע שאנחנו מעבירים ובים אם אנחנו אנשי מקצוע או מקבלי החלטות בתחום המידע האלקטרוני ,יש לתת על כך את הדעת ולפעול כדי להיות מוכנים לבאות". מני ,ציין ש"ישראל הייתה ,ותמשיך להיות מעצמה בתחום אבטחת המידע ,ואף תוביל את ענף הסייבר בעולם .יש לנו יתרון מהותי בשל מיקומנו הגיאוגרפי ,המאלץ אותנו לחשוב ולהיות יצירתיים, ולבנות פתרונות ייחודיים. יוחנן ,אף הוסיף כי "למדינה כמו ישראל ,חשוב מאוד להפוך להיות מעצמת סייבר בעולם ,וזה יביא מסר חשוב לשאר המדינות .יש לנו את היכולת מבחינת מוחות ,והייחודיות של הישראלי, היא יתרון מהותי בתחום הזה". הידעת? מנמ"רים רואים באבטחת מידע כמרכיב שלא ניתן לוותר עליו במחקר שנערך בקרב מנמ"רים דורגה אבטחת המידע ראשונה בחשיבותה על פני נושאים אחרים .כעת ,כשמערכות המידע נעשות פתוחות יותר ,מקושרות יותר ומספקות שירותים וחיבורים לרשת הארגון בצורה קלה ,מקבלת אבטחת המידע משנה חשיבות .כמובן ,שגם גל המתקפות שפקד עלינו לאחרונה ,סייע במשימה. יותר מבעבר עלינו לוודא שרק גורמים מורשים ישתמשו בשירותים שהמערכת מספקת ,שמידע חסוי יעבור בצורה מוצפנת וכו' .כל זה נכון עבור משתמשים ומערכות בתוך הארגון כמו גם עבור אלו שמחוץ לו. ללא אבטחת מידע גמישה ושקופה ,כלומר כזו שניתן להלביש על כל שירות ולשנותו לפי הצורך מבלי לשנות את המבנה הפנימי שלו ,נפספס את משמעות הארכיטקטורה החדשה .את הזמן והמאמצים שנחסוך על אינטגרציית מידע ,נשקיע באינטגרציית אבטחת המידע. | גיליון | 3יולי 2012 23 מגמות בעולם הסייבר לשנים הקרובות מאת :ניר ולטמן ,ארכיטקט אבטחת המידע של חברת .Citadel Consulting הקדמה עולם הסייבר יצר הד תקשורתי רב בתקופה האחרונה .אם נשאל מומחי אבטחת מידע מה הוא עולם הסייבר ,סביר להניח שנקבל תשובות שונות. הסיבה העיקרית לכך היא שהמונח סייבר מתחבר למונחים רבים כדוגמת :קיברנטיקה (תחום מחקר במתמטיקה שימושית העוסק בתהליכים מגוונים בין בני אדם ,ארגונים ומכונות) ,סייבר טרור (שימוש ברשת האינטרנט לביצוע פעולות טרור), מרחב קיברנטי (אנשים המשתמשים באינטרנט, קוד המפעיל מערכות ,מערכות מחשוב) ועוד. ברמת החומרה .עם השנים פותחו כלים רבים אשר סייעו לבצע מתקפות תוכנתיות ,דבר אשר גרר ילדים ( )Script Kiddiesלתוך עולם אבטחת המידע .כיום ,על מנת לפתח מתקפות סייבר יצירתיות נדרש ידע נרחב ,אולם לא רק מהנדסים הם קהל היעד לפיתוח המתקפות הללו ,אלא גם אנשים יצירתיים ללא השכלה פורמאלית ,אשר למדו בעיקר מהניסיון ,מהספרים ומהאינטרנט. להלן גרף הממחיש את הערכת עולם אבטחת המידע בשנים הקרובות בהיבטי מורכבות המתקפות והידע הנדרש עבורן: עולם הסייבר כיום עולם אבטחת המידע משתנה באופן דינאמי בתחומי התוכנה והחומרה ,כפועל יוצא מכך יש פיתוח של מתקפות חדשות בתדירות גבוהה במטרה לנצל את נקודות החולשה של הטכנולוגיות החדשות ,אשר בחלק מהמקרים נפרצות מהר יותר מטכנולוגיות שנבדקו פעמים רבות .כאנלוגיה לכך ,מדינה שהשתתפה במלחמות רבות תהיה חזקה יותר במלחמות עתידיות אל מול מדינות שאין להן ניסיון בלוחמה. כמו כן ,בעשור האחרון השתלבו רגולציות ותקנים רבים בשוק אשר מחייבים ארגונים לשמור על המידע הרגיש שלהם ושל עובדיהם .כחלק מהשתלבות זו ,ניתן לראות כי מסמכים חדשים יותר נוטים להיות טכנולוגיים וקשוחים יותר, כדוגמת תקן ,PCIאשר מחייב עמידה בתנאים נוקשים במיוחד .חשוב לציין כי עמידה בתקנים וברגולציות אכן מסייעת בהגנה על הארגונים מפני מתקפות רבות ,אולם לעיתים הארגונים צריכים לעשות קצר מעבר לנדרש ,לדוגמה רכישת כלים נגד מתקפות DDoS(Distributed Denial )of Serviceאשר נחשבות לנפוצות כיום. יכולות התוקפים בתקופה זו אנו עדים לכך שהידע הנדרש מגורמים המבצעים פעולות סייבר מתהפך שנית בהיסטוריה .בשנות ה – 80תוקפים היו צריכים לדעת כיצד המחשב עובד ,הן ברמת התוכנה והן 24 גיליון | 3יולי | 2012 נושא נוסף שחשוב לשים עליו דגש בתחום האינטרנט הוא מתקפות ה – .DDoSכאמור מתקפות אלו נפוצות כיום ובעיקר מנוהלות ברשת הנקראת ,Botnetאשר שולטת על מחשבים ( )botsעל ידי שרתי ניהול (נקראים גם C&C, .)Bot operators, Bot herdersכיום רשתות ה – Botnetנבנות בעיקר על מחשבים ,אולם חשוב לציין שני וקטורי תקיפה שצפויים להתממש או שמתממשים באופן מצומצם יחסית: 1.1השתלטות על מכשירי .Mobileלצורך פעולה זו ניתן להטמיע קוד זדוני בשוק האפליקציות, לבצע הנדסה חברתית ואף להשתמש בטכנולוגיות "מגניבות" ,כדוגמת ,QR Code במטרה להדביק את מכשירי ה –.Mobile להלן קישור ל PoC-בנושא זה (QRbot שפותח על ידי). יחד עם זאת ,כל פעילות זדונית המבוצעת כיום באינטרנט משוייכת באופן אוטומאטי לקטגוריית הסייבר ,החל משינוי פני אתר אינטרנט (התקפה הנקראת )Defacementועד גניבת פרטים אישיים של משתמשים באמצעות מגוון מתקפות (כדוגמת Injectionsוגניבת )Sessionשמשתמשים בהן שנים רבות. אם כך ,בכל זאת יש סיבה לקיומו של עולם הסייבר וההד התקשורתי סביבו ,מאחר ופגיעה בתשתיות לאומיות עלולה להגיע לכדי הכרעת מלחמות וסכנת חיי אדם. ביטחוניות ואף לפעול באופן שיטעה את האויב. _www.citadel.co.il/userfiles/files/PenTest StarterKit_02_2011.pdf חזון הפשע הקיברנטי ()Cyber Crime הפשע הקיברנטי צובר תאוצה בעיקר בשני רבדים :האינטרנט ושוק מוצרי ה –.Embedded בתחום האינטרנט קיימות קבוצות שונות שפועלות עבור מטרות שונות ,כדוגמת Anonymousשהיא קבוצת ( Hacktivistsבעיקר פועלת על פי דחפים פוליטיים) .מאחר והאנונימיות כיום הפכה לנפוצה, כדוגמת ה ,Darknet -ההערכה היא שתיווצרנה קבוצות נוספות ואף מתוחכמות יותר ,לדוגמה: הקמת קבוצה גדולה שמטרתה לחקור ולפצח מפתחות ואלגוריתמי הצפנה .יחד עם זאת ,חשוב לציין שהאנונימיות כבר נמצאת בכל מקום ,לא רק במחשבים אלא גם במובייל .להלן תצלום מסך של תוכנת האנונימיות TOR (The Onion ,)Routingאשר נמכרת ב –:AppStore כיום רשת ה –\Onion Darknetמכילה תשתית מלאה לפשע, החל מהקמת קבוצות כאמור ועד להשכרת רוצחים ,מכירת סמים ועוד .אם נחשוב צעד קדימה ,יתכן מצב שבו ניתן יהיה לרכוש גם מטוסי קרב .האם אי פעם חשבתם האם קיים תסריט שבו ניתן יהיה לרכוש מטוס קרב מתוך האייפון שלכם? לסיכום נושא האינטרנט ,ההערכה היא שהרשת האנונימית תשמש גופים ביטחוניים בביצוע הנדסה חברתית במטרה לאתר הדלפות מידע 2.2מאחר ושרתי ניהול ה – Botnetsאחראים על פעולותיהם של ה – ,Botsשרתים אלו ישמשו כיעד תקיפה אטרקטיבי מאחר והשתלטות על השרתים הללו תגרור שליטה ב –.Botnets להלן קישור למאמר המפרט מתקפה זו, valtman-nir.blogspot.co.il/2012/06/ recursive-bot-herder-attack.html לה Recursive bot herder attack קראתי ופרסמתי אותה בבלוג שלי. מוצרי ה – Embeddedכיום צוברים תאוצה מדאיגה .מוצרים אלו משמשים אותנו בתחומים מגוונים ,החל מיצירת רובוטים עבורנו וכלה בהשתלת שבבים בתוך גוף האדם עבור מטרות רפואיות .על מנת לשלוט על מוצרים אלו ,נדרשת תקשורת אלחוטית ,כדוגמת WiFi, RFID, Bluetoothועוד .לאור ההנחה שפרוטוקולי האלחוט ישמשו כגישת ניהול מוצרי ה – ,Embeddedקיים סיכון להרחבת מחקרים בנושא זה על מנת להשתלט על רכיבים אלו ,וכך גם על חיינו. חזון בלוחמה הקיברנטית ()Cyber Warfare כאשר מדובר בלוחמה קיברנטית ,צריך לדעת שלאויב אין מגבלות .על פי הגדרת המושג ,APT לכל אות בראשי התיבות יש משמעות אמיתית ללוחמה קיברנטית –Advanced :לאויב יש את כל האמצעים המתקדמים לביצוע המתקפה, –Persistentלאויב יש את האנשים והזמן לכתיבת המתקפה–Threat ,האויב מאיים מעצם העובדה שיש לו משאבים וכוונות זדוניות. החזון למתקפות בעולם בלוחמה הקיברנטית מורכב יותר מעולם הפשע הקיברנטי .ישנם מספר תסריטים אשר חשוב לשים עליהם דגש: 1 .1כיום לא קיימות הגנות מספקות על מערכות ,SCADAאשר תשתיותיהן של המדינות מבוססות עליהן .ההערכה היא שיפותחו כלי הגנה על המערכות הללו ,הן על ידי יצרני החומרה והן על ידי צד ג'. 2 .2הפרדת רשתות באופן פיזי כבר לא מספקות הגנה כנגד החדרת מידע או זליגתו ,מעצם העובדה שגורם זדוני יכול לחבר בין הרשת המסווגת לרשת הבלמ"סית .לפיכך ,יפותחו מוצרי נלווים להפרדת הרשתות אשר ימנעו פעולה זוואף יזעיקו את גורמי הביטחון בעת חיבור בין הרשתות הנפרדות. 3 .3מרבית רכיבי החומרה מיובאים לארץ ממדינות שאין לנו כמדינה פיקוח על הייצור שלהן ,לפיכך ההערכה היא שתבוצענה בדיקות מדגמיות על הפונקציונאליות של רכבי החומרה המיובאים ,החל ממחשבים אישיים ועד מערכות SCADAואף מערכות לחימה. 4 .4לוחמת מידע לא מצליחה ללא איסוף מידע .כיום ניתן לאסוף מידע יחסית בקלות מרשתות חברתיות ובאופן כללי מהאינטרנט .מאחר ונושא הגנת הפרטיות נפגע כיום במרחב הקיברנטי ,ההערכה היא שארגונים יוכלו לצוטט לשיחות של העובדים ,לקרוא את הדוא"ל שלהם ולהיות חשופים למידע נוסף אודותיהם ,כמובן באישור פרטני של כל עובד .כנגזרת מכך ,יוכלו ארגונים בטחוניים לשלוט טוב יותר על המרחב הקיברנטי של המדינה. לסיכום ,עולם הסייבר ממחיש סיכונים חדשים ואף גורם לנו לדמיין מה הוא וקטור התקיפה הבא נגדינו .מאחר והעולם הטכנולוגי מתקדם מהר, אנו נדרשים לחקור כל טכנולוגיה חדשה במטרה לאתר את חולשותיה בטרם אויבנו יאתרו אותן. האח הגדול צורך עסקי או פגיעה בפרטיות העובד? מעקב ממוחשב אחר עובדים שימוש של עובדים במשאבי הארגון גם לשם ענייניהם הפרטיים ,הוא תופעה נפוצה שמתקבלת במידה מסוימת של הבנה מצד מעבידים רבים. אולם ההתפתחות הטכנולוגית של השנים האחרונות מספקת למעבידים כלים חדשים ויעילים ,למעקב אחר עובדיהם. השוק מוצף בכלים מסוג זה ,החל מתוכנות שמקליטות את ההקשות של המקלדת שביצע העובד ,ועד למערכות שיכולות להקליט ,לבחון ולנתח ,ולהציג באופן מדויק מה נצפה במחשבו. כמו כן ,יש כיום גם מערכות לניהול טלפוניה בארגון שמנתחות את דפוסי השימוש בטלפונים ומצלמות מיניאטוריות ותגי זיהוי חכמים שיכולים לנטר בכל רגע נתון את התנהגות העובד ואת מיקומו. ניטור עובד – כרוך באופן בלתי נמנע באיסוף פרטיו האישיים ,לעתים אף פרטים רגישים .אין ספק כי מעביד זכאי להגן על זכויותיו הקנייניות והאחרות, אך האם הפלישה לענייניו הפרטיים של העובד איננה פוגעת שלא כדין בזכויותיו? כיום נענית שאלה זו בחיוב במדינות רבות בעולם והנימוק הוא שעובד איננו משאיר את זכותו לפרטיותו מחוץ למפתן דלתו של המעביד ,והוא זכאי למידה מסוימת של פרטיות גם במקום עבודתו. הממונה על הגנת הפרטיות וחופש המידע באנגליה פרסם קוד רחב היקף שמפרט כיצד ניתן לנטר את פעילותם של עובדים תוך שמירה על כבודם ופרטיותם .קוד זה מצטרף לדברי חקיקה ומסמכים מנחים נוספים בתחום ,כגון הקוד של ארגון העבודה הבינלאומי בעניין הגנה על מידע אישי של עובדים ומסמך העבודה של האיחוד האירופאי בעניין ניטור תקשורת אלקטרונית במקום העבודה. על פי רוב ייחשב ניטור פעולות של עובדים כחדירה לפרטיותם .הניטור אף עלול לבזות ולהשפיל את העובד ובכך לפגוע גם בזכויותיו היסודיות לכבוד וליחס הוגן .ניטור העובדים עשוי להזיק גם למעביד משום שהוא עשוי להצטייר כאמצעי מדכא ומשפיל ,המעכיר את יחסי העבודה ופוגע באמון של העובדים בהנהלה. הניטור אף עשוי להביא לחשיפת מידע אישי רגיש ושיחות חסויות בפני עובדים אחרים בארגון. לפני שמעביד מחליט לעקוב אחר עובדיו, על המעביד לבדוק חלופות פולשניות פחות לאיסוף מידע – כגון שיטות מסורתיות של פיקוח ,הדרכה יעילה ומיסוד תקשורת טובה בין העובדים למנהלים .אם המעביד בחר לאסוף מידע על עובדיו באמצעות ניטור פעולותיהם, עליו לוודא כי הפגיעה בפרטיותם אינה עולה על הנדרש ,שהניטור מבוצע לצורך מטרות ברורות והכרחיות ולהעריך תחילה את הישגי הניטור בהשוואה להשפעה שתהיה לו על העובדים .כמו כן יש להעדיף ניטור נקודתי ומוגבל בזמן ,במיקום ובזהות העובדים המנוטרים ,על פני ניטור גורף ושיטתי. הסכמה .לאמור, אדם יכול להסכים, בין במפורש ובין במשתמע ,לפגיעה בפרטיותו .במערכת יחסים בין עובד למעביד קיים החשש כי הסכמת העובד ניתנה מכורח ולא מרצונו החופשי .עמד על כך בית הדין הארצי לעבודה בדונו בזכותה של אוניברסיטה לחייב עובדים הניגשים למכרזים פנימיים לעמוד במבחני התאמה ,החודרים לפרטיותם. הרציונל שעומד ביסוד פסיקה זו ,נראה כתקף גם לעניין ניטור פעולותיהם של עובדים ,שהרי בשני המקרים מדובר בפעולה של המעביד ,החודרת לענייניו הפרטיים של העובד .כך לא כל הסכמה של עובד לניטור פעולותיו – תיחשב כהסכמה שניתנה מרצונו החופשי .המבחן לתקפות פגיעה, לאור פסק הדין האמור ,היא" :האם החדירה לפרטיותו של העובד משרתת תכלית ראויה והאם איננה פוגעת בפרטיותו של העובד במידה העולה על הנדרש?" ראוי לקבוע בדבר חקיקה או מכוחו ,הסדרים מפורשים וברורים כדוגמת הקוד הבריטי ,שיאזנו את זכויות המעביד עם אלה של עובדיו וללוותם בכלים ממשיים לאכיפתם. דיני הגנת הפרטיות בישראל – מושתתים על | גיליון | 3יולי 2012 25 סיכונים במיקור חוץ רגולציה בשוק הפיננסי ופתרונות אבטחה יעילים והדרכים להתמודד איתם כיום ,ארגונים רבים מוצאים לנכון לבצע מיקור חוץ של תהליכי מחשוב ועיבוד נתונים, ולחסוך בעלויות התפעוליות השוטפות הכרוכות בהחזקת מערכות מחשוב מורכבות "בתוך הבית" .האופציות למיקור חוץ הן רבות ומגוונות ,ומאפשרות לארגונים לחיות בסביבה עתירת מידע ומשאבי מחשוב ,אך לא להידרש לדאוג לתפעול השוטף של המערכות הנ"ל – מעין "ללכת עם ולהרגיש בלי". מיקור חוץ של מוקדי תמיכה ומענה טלפוני ללקוחות הפך כבר מזמן לנוהג נפוץ בקרב ארגונים גדולים ובין לאומיים ,וכמעט לא תמצאו היום חברה המאחסנת את אתר האינטרנט שלה על גבי שרת האינטרנט הנמצא בשרתי החברה. גם עיבוד נתוני המשכורות והתשלומים לעובדים ולספקים מבוצע לעתים קרובות על ידי חברות וספקי שירותים המתמחים בכך ,המבצעים את העבידו וסליקת הנתונים הפיננסיים עבור החברות. לצד היתרונות המובנים במיקור חוץ ,ניתן לזהות מספר איומים וסיכונים עימם צריכים להתמודד הארגונים הסומכים את ידיהם על הוצאה החוצה של פעילויות מחשוב ועיבוד מידע .בכתבה זו ננסה להצביע על תרחישי מיקור חוץ והאיומים שבהם, וכיצד ניתן להתמודד ולמזער את הסיכון. הרגולציה ,ועדת בכר ,שינוי מבני של שוק ההון ,המהפך שעובר על מגזרי הביטוח והבנקאות ,כל אלו העמידו בפני חברות ה IT-אתגר :לתפור פתרונות טכנולוגיים שיאפשרו לגופים אלו לעמוד בתקנות ובחוקים וגם לייצר במהירות רבה יותר כלים פיננסיים חדשים. נאותים להגנה על המידע של לקוחותיו. אין בכך לומר שבמקרה הנ"ל לא ננקטו אמצעים אלו ,אך ישנן מספר דרכי פעולה המאפשרות לבתי העסק העושים שימוש בשירותי מיקור החוץ להבטיח כי יקבלו את התמורה המלאה לכספם ,ובכל זאת יחסכו בעלויות התפעול (הסיבה המקורית לפנייה לשירותי מיקור חוץ). באופן עקרוני ניתן לומר כי ברגע שהספק נמצא "רחוק מהעין" ,סביר להניח שהשירות המסופק יבוצע תוך השקעה מינימאלית מצידו של ספק השירותים ,במטרה ברורה להגדלת נתח הרווחים. להגנה על המידע הארגוני המועבר לספק השירות וכיצד הספק צריך להתנהל מול הלקוח. גם המפקח על הבנקים בבנק ישראל ,מנחה את הבנקים לקבוע SLAברור בעת מיקור חוץ של מערכות מידע (במסגרת הנחיה .)357מומלץ לקבוע מסגרת בקרה כלשהי על הדרישות הנ"ל, כך שהלקוח יכול לקבל אינדיקציה ברורה לגבי ההקפדה והאכיפה של התנאים אותם הציב לעסקה .לעתים ,הפרה של תנאי החוזה או ה SLA-המלווה בפגיעה עסקית (כמו במקרה של פריצה לאתר ,למשל) יכולה להוות עילה מספקת לביטול ההתקשרות העסקית כולה. איום נוסף שיכול להשפיע הינו חוסר במחויבות מצד עובדי ספק שירות מיקור החוץ למטרות העסקיות של הארגון – השכירים העובדים עבור ספק שירותי מיקור החוץ אינם מרגישים הזדהות עם לקוחות הספק ,ולכן לא תמיד יש להם מחויבות לשמור על כללי אבטחה מינימליים נאותים. •האם קיימת מדיניות אבטחת מידע? 1 .1אחסון אתרי אינטרנט ומערכות מחשוב ארגוניות "לא-קריטיות". התמודדות עם הסיכונים ודרכים למזער נזקים שנעשו •האם קיימת תוכנית להמשכיות עסקית ו\או התאוששות מאסון לחברה? •מתי לאחרונה התוכנית נבדקה ואושרה? 2 .2עיבוד משכורות או נתוני חיוב לקוחות ( )Billingבידי גורמים מקצועיים (חשב שכר, רו"ח ,ספק שירותי סליקה) גם במקרה זה ,נכונה האמרה "סוף מעשה במחשבה תחילה" .על ידי זיהוי של הסיכונים, ניתוח תהליכי מיקור החוץ וחשיבה עסקית בריאה, ניתן למזער את הנזקים והאיומים שבמיקור חוץ. חשוב כבר בשלב הראשון בו חושבים לפנות לספק חיצוני ,לזהות בצורה ברורה מהי המחויבות החוקית של ספק השירותים ,ומהי המחויבות העסקית שלו מול לקוחותיו .אם ספק השירותים אינו מחויב בקיום מנגנוני אבטחת מידע על פי חוק, עדיין יש מקום להגדיר בחוזה ההתקשרות מולו את הדרישות המינימליות מבחינת ניהול תקין של המידע וההגנה עליו ,להם מצפה הלקוח. •האם נלקחה בחשבון האפשרות של תקריות אבטחה ו\או אסונות? •מהי מדיניות הגיבויים של הספק. •מה סדר העדיפויות במקרה של שיקום השירות והפעילות העסקית? •האם יש אתר פעילות תחליפי? אם כן ,מהי רמת התאמתו לאתר המרכזי? התשתיות בו (חשמל ,תקשורת?)... להלן תרחישי מיקור חוץ נפוצים: 3 .3מיקור חוץ של מוקדי מענה טלפוניים ומוקדי תמיכה הסיכונים במיקור חוץ של פעילויות שונות בארגון IT במקרה שפורסם לאחרונה ,נפרצו שרתי אחסון האינטרנט של אחד מהספקים הגדולים בישראל. הפריצה המתוחכמת יחסית אפשרה לפורצים להשחית פני מאות אתרים ,וגרמה למאות בתי עסק להפסדים ו"בושות" לא מעטות. ובכן ,אחד ההיבטים הנכונים לגבי כל סוג של מיקור חוץ ,הוא כי למרות שהספק הנותן את שירותי מיקור החוץ נשען מבחינה עסקית על נאמנות ושביעות רצון לקוחותיו ,לרוב יעדיף הספק להוזיל את עלויות השירותים המסופקים ולא לטייב אותם, ובכלל זאת לדאוג למימוש אמצעי אבטחת מידע 26 גיליון | 3יולי | 2012 במקרים רבים ,ראוי ואף נדרש חתימה הדדית על הסכם רמת השירות ( )SLAהמגדיר בצורה מדויקת את החובות והמחויבויות העסקיות בין הצדדים השוהים במיקור החוץ .כמו גם לוחות זמנים לתגובה בעת אירוע אבטחת מידע ,תנאים מינימאליים להמשך קיום ההתקשרות העסקית וכן הלאה בהתאם לצורך .ה SLA-יכול לשמש כלי משמעותי עבור הארגון ,בקביעת קנה המידה ודרישות הסף להלן מספר שאלות שכדאי לשאול את ספק השירותים: לסיכום ,אמנם ניתן להטיל אחריות רבה על ספק השירותים (ואכן כך עושים רוב הארגונים ברגע האמת ,כשנגרם ללקוחות נזק עסקי או כלכלי) אך גם במקרה זה נכונה האמרה "סוף מעשה במחשבה תחילה" .על הארגונים המוציאים תהליכים עסקיים לספקים חיצוניים ,מוטלת האחריות וודא כי ההתקשרות מול הספק מבוצעת בצורה חכמה ,המיועדת למזער את הנזקים אליהם ייחשף הארגון .באין אכיפה ובקרה מצד הארגון (ברמת החוזים העסקיים) ,ספקי השירותים אינם מחויבים לשמור על רמות שירות מוגדרות ,ויכולים לפעול על פי שיקול דעתם ומזעור ההוצאות. הפיתוחים הטכנולוגיים של השנים האחרונות יצרו כלים חדשניים למתן שירותים פיננסיים מתקדמים ,שלא התאפשר לספקם בעבר .בשל כך ,לקוחות פרטיים ומוסדיים ,חברות ביטוח, חברות השקעות וקרנות פנסיה – יכולים להציע שירותים פיננסיים ופלטפורמות פיננסיות חדשות, כמו גם לשנות ולייעל את תהליכי העבודה שלהם. ההתפתחות החוקתית בעולם הפיננסי נועדו להבטיח את זרימת המידע הפיננסי שזורם ברשת ,ואת האפשרות להבטיח עבודה חשבונאית מסודרת ועקבית .זאת ,כיוון שבעידן הדיגיטלי ,יש להדק את הפיקוח ,כדי שתהליכים שונים לא יצאו מכלל שליטה. החקיקה החשובה בין שלל החוקים והתקנות היא חוק )Sarbanes-Oxley (SOXהאמריקני, אשר חוקק בעקבות פרשיות פיננסיות שהגיעו לבית המשפט .אחדות מהפרשיות נבעו מהיעדר פיקוח חשבונאי מספיק ואחרות – בגלל זליגת מידע מרשתות של בנקים ,חברות ביטוח ואף חברות השקעה .החקיקה הזאת הקשתה בסופו של דבר ,על הפעילות הפיננסית השוטפת ,אך היא גם יעילה כלפי הציבור (לקוחות) ,מבחינת היבטי אבטחת המידע. התפתחות זו מחייבת בין היתר פיתוח של טכנולוגיות חדשות ,כדי לסייע לחברות להתמודד עם הבעיות הללו .מנהלי החברות בארה"ב הם אלה שהכי להוטים לרכוש טכנולוגיות חדשות, אשר יסייעו להם למלא אחרי התקנות של חוק .SOXבמסגרת התקנות ,נקבעו קנסות כבדים למנהלי החברות ולמנהלי הכספים שאינם מיישמים אותן הלכה למעשה. ההתפתחויות הללו יוצרות מידה מסוימת של חוסר יציבות .אין זה מפתיע שהמוסדות הפיננסיים בוחנים בצורה מעמיקה ובלתי פוסקת כיצד להיערך למצב שבו הסביבה משתנה בצורה מהירה יותר ממה שהורגלנו בעבר ,והם מחפשים טכנולוגיות שיסייעו להם להתמודד עם אילוצי היום יום. כספות ווירטואליות ריבוי המכשירים והכלים הפיננסיים דורש מערכות גיבוי ואבטחה מקיפות וכן כלים לניהול וניתוח המידע שמשתנה ללא הרף .הגידול בפעילות הפיננסית מחייב העברת מידע בין הארגונים השונים על הרשת ומחייב לאבטח אותו .אחת הטכנולוגיות שבאה לתת מענה לכך היא הכספת הווירטואלית של סייבר-ארק" .זוכרים את כל הסיפורים על מרגלים ,שמשאירים מעטפה על עץ ביער ובא איש הקשר ולוקח אותה? הכספת של סייבר-ארק עובדת על העיקרון הזה .יש מקום מסוים במערכת המידע בארגון ,שמבודד משאר התעבורה ,ממש כמו כספת ,שבו "מפקידים" מידע עבור משתמשים מחוץ לארגון שרשאים לראות את המידע". מדובר בטכנולוגיה שמדמה כספת מהעולם הפיזי האמיתי ,והופכת אותו לווירטואלי ,ובדרך זו נוצר אזור "סטרילי" ובטוח לאחסון קבצים וסיסמאות ארגוניות .לסייבר-ארק יש תפיסה ייחודית להגנה על המידע הארגוני :במקום לנסות ולהגן על כל הרשת מפני אינסוף האיומים שיש בחוץ ,היא בחרה להתמקד במידע הרגיש והיקר לארגון ולשמור עליו. מבחינת המחוקק ,על כל מי שמנהל מאגר מידע ,או אתר סחר אלקטרוני ,אתר פיננסי או אתר בנקאי ,חלה החובה לאבטח את הנתונים במאגר שהוא מופקד עליו .החובה הזאת חלה על בעלי מאגר המידע ,וכל אחד מהם אחראי לאבטחת המידע שברשותו .הבנק ,למשל ,חייב, לפי חוק ,למנות אדם בעל הכשרה מתאימה, שיהיה ממונה על אבטחת המידע .בשנת 2003 המפקח על הבנקים הוציא הוראה בדבר ניהול טכנולוגיית המידע בתאגיד בנקאי .ההוראה באה על רקע החשיבות המיוחסת לפיקוח על טכנולוגיות המידע והצורך לקביעת סטנדרטים גבוהים ,שכן מדובר באמצעי שבא לתת שירות ללקוח .המפקח ראה בכך חשיבות רבה גם לנוכח ההתפתחויות המהירות בתחום הטכנולוגי בשנים האחרונות והשלכותיה על פעילות התאגידים הבנקאיים .הוראת המפקח על הבנקים עוסקת באבטחת מידע ושרידות מערך המידע של הבנק בעת חירום. התקנות בארץ ,שהתרחבו בינתיים גם לתחום הביטוח ,דומות לחוקי SOXבארה"ב ,המחייבים חברות לכללים נוקדים מאוד של שימור ותיעוד של כל פעילותם הפיננסית. החוק חוקק כדי לשפר את איכות הדיווח ,והוא גם חוק דינמי ,כי הוא מסמיך את ה( SEC-הרשות האמריקנית לניירות ערך) להתקין תקנות בעת הצורך .סעיף בתוך החוק מדבר על נושא האבטחה של המידע השמור ושל הדו"חות מפני זליגה לידיים לא רצויות .השערוריות של אנרון וורלדקום גרמו לזעזוע ומשבר גדול בשוקי ההון של ארה"ב בשנת ,2001וערערו את אמון הציבור בדו"חות הכספיים ,ובלי אמון בדו"חות כספיים – כל שוק ההון נידון לאנרכיה. כמענה לצורך זה ,כמו לרגולציות נוספות המחייבות היערכות מקיפה ,יצרה סייבר-ארק פלטפורמה שדואגת לשמר את המידע בצורה מאובטחת ,ומאפשרת להעביר את הדו"חות לגורמים הנכונים. פרצה קוראת לגנב הסכנות הכרוכות בקבלת דוא"ל או בגלישה של עובדי החברה לרשת האינטרנט הן מהדברים שהחברות הפיננסיות מנסות להתמודד עמם ,שכן דרך הפורטל של הדואר ,או האינטרנט ,יכולים גורמים עוינים לגלו חורים שדרכם הם יכולים לחדור למערכות המידע של הארגון ולגרום נזק רב. כדי להתמודד עם בעיות אלו ,מומלץ ליישם בארגון פתרון של הגנה ברמת השימוש בדוא"ל, וברמת הגלישה באינטרנט ,ע"י סינון תוכן זדוני. חשוב לבחור בפתרון שיכול לבצע סינון תוכן דינמי ,כלומר זיהוי וקטלוג מיידי של תוכנם של אתרי אינטרנט ברגע שהגלישה אליהם (למשל פורנוגרפיה ,הימורים ,חדשות ,וכו') ובהתאם למדיניות שהוגדרה מראש – לחסום או לאפשר את הגישה אליהם. | גיליון | 3יולי 2012 27 אבטחת תחנות הקצה ברשת הארגונית EPS EPS לנוף האיומים הרבים ,מומחי אבטחה מאמינים שאבטחת תחנות הקצה ()End Point Security היא רכיב חיוני באסטרטגית האבטחה התאגידית הכוללת .אבטחת תחנות הקצה משתמשת במערכות הגנה מרובות וחופפות התומכות זו בזו .מערכות אלו מגינות כנגד כשלים נקודתיים בכל טכנולוגיה או שיטת הגנה ספציפית .אבטחת תחנות הקצה עוסקת בעיקר בפריסת תוכנות אנטי-וירוס ,פירוול ,תוכנות לזיהוי חדירה ,ומערכות להגנה מפני חדירה למחשבי הלקוח. הטכנולוגיה העכשווית מאפשרת קישוריות בכל מקום ובכל עת ,באמצעות מחשבים ניידים, מכשירי כף יד ,וטלפונים סלולריים חכמים המצויים בשימוש עובדי הארגון .כמו כן ,אל משאבי הארגון מתחברים באופן תדיר גם מחשבים שאינם שייכים לארגון (כגון מחשבי ספקים ושותפים עסקיים) .כל פגיעה באחת מתחנות הקצה מייצרת סכנה כפולה :מחד ,סכנה למשאבי הארגון בהתפשטות הווירוס ,וזליגת המידע מתחנת הקצה אל מחוץ לארגון מאידך. לכן ,מעבר למניעת מתקפות ווירוסים ברמת הרשת ,נדרשת יכולת לזהות ,לבודד ולטפל בתחנות שנחשפו למתקפה. אבטחת רכיבי הקצה מאפשר להתמודד עם איומים שונים שמקורם הן מחוץ לרשת הארגונית והן מתוכה. EPS כשמדברים על פתרון (End-Point ,)Securityצריכים להתייחס למכלול רכיבי אבטחת מידע ,כגון: • –Anti-Malware/ Antivirusרכיב המסייע במניעת נזקי ווירוסים בתחנות הקצה ובשרתים בעת שאינם מחוברים לשרתי העדכונים בחברה. 28 גיליון | 3יולי | 2012 • –Host-based IPSמימוש רכיב IPSלהגנה על תחנת הקצה שיאפשר זיהוי פוגעניים דם בתקשורת מוצפנת ,הגנה על תחנות הקצה מפני תחנות קצה אחרות או גורמים עוינים בתוך הארגון. • –Application Managementרכיב שמאפשר הגדרת הרשאות לעבודה על אפליקציות, בתחנות קצה ובשרתים • –Device Managementרכיב שמאפשר ניהול התקנים נתיקים המתחברים ליחידות הקצה או לשרת ,כגון מדיה נתיקה (Disk on Key), CD/ ,DVDוהתקני .Wireless • –Full Disk Encryptionרכיב שמאפשר הצפנת הדיסק במחשב הנייד לשם הגנה על המידע למקרים של אובדן או גניבה. • –Personal Firewallרכיב שמאפשר הגדרת הרשאות לכניסה דרת הרשת למשאבים שונים ולשימוש שיעשה בהם. פתרונות לאבטחת תחנות הקצה הארגוניות מאפשרים לארגונים להעריך ,להגן ולתקן מערכות מנוהלות ולא מנוהלות בעת שהן מתחברות לנכסים התאגידיים .הדייקנות בהקשר זה חיונית כיוון שמדיניות האבטחה והעמידה בדרישות האבטחה יעילה רק אם היא נאכפת ב100%- מהזמן .אם בודקים את העמידה בדרישות האבטחה רק לאחר שמתירים גישה לרשת ,יתכן וכבר יהיה מאוחר מדי .אבטחת תחנות הקצה יוצרת מתחם שמטרתו לוודא שבכל ההתקנים קיימת תוכנת האבטחה העדכנית ביותר ,וזאת לפני שמאושרת להם כניסה לרשת התאגידית. גישת אבטחה "מתמדת" זו מאפשרת לאנשי מערכות המידע לטפל במטלות חיוניות של הגנה על הארגון מפני חשיפת קניין רוחני ,השבתות יקרות של הרשת הארגונית ,וכנגד קנסות אפשריים שעלולים לערער את שלמות המותג של החברה. הביטחון שלך העבודה אין פלא איפה ,שמיסוד פתרונות האבטחה מקיפים לתחנות הקצה אינה משימה פשוטה. מספר גורמים ,כמו הטיפול בצמתים לא מנוהלים, עלולים להגביר את היקף האתגרים הניצבים בפני מנהלי אבטחת המידע בארגון .עם זאת ,פתרון אבטחת תחנות הקצה יאפשר למנהלי רשתות ולמנהלי אבטחת מידע להגן על תחנות הקצה המנוהלות כנגד התקפות מוכרות ולא מוכרות .בד בבד ,באפשרותם של מנהלי המערכות לאבטח רשתות מפני התקני קצה שאינם עומדים בדירות האבטחה ,ולאכוף את דרישות האבטחה בעת יצירת הקשר אתם. השורה התחתונה היא שהפתרונות לאבטחת תחנות הקצה מסייעים לוודא שכל ההתקנים המחוברים עומדים בדרישות האבטחה לפני שמעניקים להם גישה לרשת ,תוך חסימה או תיקון של התקנים שאינם עומדים בדירות בעזרת תוכנה אוטומטית או טלאיי האבטחה העדכניים ביותר. פתרונות כאלו גורמים למערכות לא מוגנות או נגועות לציית לדרישות האבטחה ,כך שכלל המידע ומערכות ה IT-של הארגון יהיו מוגנים מפני גניבה ,פגיעה או שיבוש. לסיכום פתרונות העמידה בדרישות האבטחה המיועדים להתקני הקצה ברשת הארגונית מסייעים לארגונים לאכוף את מדיניות האבטחה בכך שהם מוודאים שכל ההתקנים המחוברים לרשת משתמשים בפתרונות אבטחה מתאימים ,שהם מוגדרים כהלכה ,ושמותקנים בהם טלאיי אבטחה מעודכנים .אבטחת תחנות הקצה היא נושא חיוני בסביבה העסקית המרושתת של ימינו ,בה ארגונים חייבים לספק גישה בטוחה לנכסי המידע לצורך שיתוף פעולה בין בעלי עניין שונים. שלנו חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים לתיאום פגישות וקבלת פרטים נוספים: חייגו :דני – 050-8266014 או בדוא"ל: danny @ titans 2. com | גיליון | 3יולי 2012 29 מערכות לאיסוף וניהול אירועי אבטחת מידע SIEM קורלציה מדויקים ,העונים בדיוק רב לצרכים העסקיים של הלקוח. •הצגת הנתונים– על המערכת להיות בעלת מגוון עצום של תצוגות ,דוחות ,יכולות ניתוח ואפשרויות העברת הנתונים באמצעות הודעות ,SMSדוא"ל ,התרעות למסך (צוות ,)CERT ואפשרויות דיווח נוספות. •דוחות– על המערכת לכלול מגוון רחב של חתכים של דוחות ,אשר יאפשרו גמישות בבחירת והתאמת סוג ומבנה הדוח .בנוסף, על הדוחות לספק מענה הולם לצרכי התאמה לרגולציות שונות ,כגון,SOX, PCI, ISO 27001 : ותקנים נוספים. •יכולות ניתוח מידע– על המערכת לכלול ממשק מובנה לניתוח מעמיק של המידע ,המאפשר כריית מידע ( )Data Miningשל בסיס הנתונים של המערכת באופן קל ופשוט. •ממשק מובנה לניהול אירועים– על המערכת לספק ממשק מובנה לניהול אירועי אבטחת מידע אשר אתרו על-ידי המערכת .ממשק זה הינו למעשה מערכת Ticketingמובנית לניהול אירועי אבטחת מידע ,המאפשרת מעקב אחר כלל האירועים. מתכון להצלחת הפרויקט – אפיון נכון של דרישות המערכת מערכות )SIEM (Security Information Event Managementמספקות תמונת מצב מקיפה ,בזמן אמת ,של סטאטוס אבטחת המידע בארגון .מערכות אלו מסייעות לארגון לזהות אירועי אבטחת מידע בעת התרחשותם (בזמן אמת). מערכת SIEMבארגון מהווה פלטפורמה לאיסוף אירועי אבטחת מידע וניהולם .ככזו ,מאפשרת המערכת איסוף נתונים מכל מקור מידע ,ניתוח בזמן אמת והתרעה על אירועי אבטחת מידע כמו גם תצוגה אחידה ומרכזית לסטאטוס אבטחת המידע ברשת. מערכות SIEMמסוגלות להתמודד עם קבצי מידע אדירים ממספר רב של מקורות מידע במקביל (כגון התקני אבטחת מידע ,התקני תקשורת, מערכות הפעלה ,אפליקציות וכו'). לאחר איסוף המידע ,המערכת מאפשרת ניתוח אנליטי מתקדם של האירועים ,סימון והצפה של אירועי אבטחת מידע ,לפי רמת חומרה וחשיבות הנקבעת מראש על-ידי הלקוח .המערכת מאפשרת ניטור אירועים ממספר מקורות מידע בהתאם לחוקיות ויחסיות בין האירועים .יכולת זו עם השילוב להתחבר לכל מערכת ,מעניקה לארגון ניטור תהליכים עסקיים מלאים ,מתחילתם ועד סופם ,והצבעה על ליקויים בתהליך עצמו או ניסיונות של משתמשים לעקוף את התהליך. 30 גיליון | 3יולי | 2012 המערכת יוצרת פרופיל עבור כל מקור מידע ( ,)Baselineומצביעה על חריגות מפרופיל זה (אנומליה) ,כל זאת באופן שקוף למשתמש. המטרות העיקריות של מערכות אלו הן: •איסוף כלל התראות אבטחת המידע המופקים מן המערכות השונות בארגון ,אל מערכת אחת מרכזית •זיהוי חולשות ופרצות במערכות בארגון בטרם נוצלו לרעה •זיהוי פגיעה במערכות בארגון בעת שהיא מתרחשת (בזמן אמת) •יכולות תחקור לאחר אירוע ()Post-Mortem מערכות ה SIEM-אוספות מידע גולמי ממערכות מנוטרות בארגון (כגון רכיבי אבטחת מידע ,התקני תקשורת ,מערכות הפעלה ,יישומים ואפליקציות), מעבדות מידע זה ומנתחות אותו עפ"י חוקים שתפקידם לזהות אירועי אבטחת מידע. יכולות מערכת SIEM אז ,אילו תכונות או מאפיינים חשוב לבחון ולבדוק לפני שרוכשים מערכת ?SIEM להלן מספר קריטריונים ו\או יכולות שעל חשוב לקבל מהמערכת SIEMשבחרנו להטמיע בארגון: •יכולת גידול ( – )Scalabilityעל המערכת לאפשר גדילה לקבצים אדירים של איסוף מידע ,ולמעשה רצוי שלא תהיה מגבלה כזו למערכת. •תמיכה במספר רב של מקורות מידע– על המערכת לתמוך out-of-the-boxבמגוון רחב של מקורות מידע שונים ,הכוללים את כל מערכות ה IT-הסטנדרטיות ונוספות .איסוף הנתונים יעשה על-ידי פרוטוקולים סטנדרטיים הנתמכים על-ידי היצרניות. •איסוף בתצורת –Agent-Lessעל איסוף הנתונים במערכת להתבצע ללא התקנת סוכן ( )Agentעל המערכות המנוטרות. •גמישות– על המערכת לאפשר יצירת חוקי מערכות ה ,SIEM-אינן תורמות לארגון דבר ללא ביצוע תהליך ההופך אוסף גדול של התרעות בדידות לאירועים ( )Incidentsבעלי משמעות עסקית לארגון .על מנת ליישם תהליך זה יש לאפיין ולהגדיר את חוקי העיבוד של המערכת, בהתאם לדרישות העסקיות של הארגון. לצורך ביצוע פרויקט ,SIEMבצורה מהירה ומוצלחת ,חשוב לבחור ספק ,אשר בעל ניסיון רב בהטמעת מערכות ,SIEMבארגונים גדולים ומסורבלים. למרות שכל חברה מגיעה עם המתודולוגיה שלה, לאפיון והטמעת מערכת ,SIEMלהלן מתודולוגיה בסיסית וכללית מאוד ,של 3שלבים עיקריים, שיכולים לסייע לכם בבחירת מערכת ,בחירת ספק ,והטמעה מוצלחת של המערכת הארגון. שלב א' – אפיון נכון בשלב זה מתבצע אפיון מפורט של כלל הפרויקט ומרכיביו כולל מגוון החוקים שעל בסיסם תפיק מערכת ה SIEM-התרעות ותיאור כללי של תהליכי התחקור והטיפול בהתאמות אלו .האפיון יכלול בין היתר הגדרה של הפונקציונאליות שתידרש מן המערכת והאינטגרציה בינה לבין מערכות הקיימות בארגון ,כולל מערכות אבטחה (פירוולים ,אנטי-וירוס ,)IPS ,התקני תקשורת, מערכות הפעלה ויישומים .כנגזרת של תהליך האפיון ,יופק מסמך אפיון של תהליך ה POC-של המערכת שנרצה לבחון אותה. מסמך זה יגדיר בעצם את שלבי העבודה אשר יידרשו כל הספקים לבצע בשלב זה ואת הבדיקות שעל בסיסן יבחנו הספקים\המערכות. במסגרת שלב זה יבוצעו ראיונות עם אנשי מפתח שונים בארגון ,ניתוח האיומים והסיכונים בהיבטי אבטחת מידע בארגון ,יקבעו חוקים בסיסיים ליישום במערכות ובאפליקציות השונות שינוטרו וייקבעו חוקים קורלטיביים וסטטיסטיים מתקדמים. שלב ב' – ניטור רכיבים בשלב זה יבוצע ניטור של מוצרי אבטחת המידע ואפליקציות סטנדרטיות בארגון (כגון פירוולים, אנטי-וירוס ,IPS ,מערכות הפעלה וכו) ,בהיבט של כתיבה ללוג ,תוך יישום החוקים שנקבעו בשלב האפיון (שלב א') .בתום שלב זה ,הארגון כבר יוכל לקבל תמונת מצב של המתרחש ברשת הארגון, ולקבל בזמן אמת התרעות על התרחשות אירועי אבטחת מידע בסביבות הטכנולוגיות הקיימות בארגון. שלב ג' – ניטור רכיבים לא סטנדרטיים בשלב זה ,מנוטרים בעצם על המוצרים והאפליקציות שאינם כותבים ללוג בצורה סטנדרטית ,מוצרים ואפליקציות אלו יכולים להיות – פיתוחים פנימיים של אפליקציות בתוך הארגון, פיתוחים חיצוניים למערכות ייעודיות שנכתבו במיוחד עבור הארגון ע"י חברות צד ג' (בתי תוכנה) וכדומה .במקביל ,ייושמו הנושאים הבאים: oטיוב חוקים וכתיבת חוקים חדשים, מדויקים יותר– וזאת על פי הניסיון והאילוצים ו\או הדרישות העסקיות שנצברו עד עתה (אותו שלב בפרויקט) במהלך הפרויקט. oהדרכה– ליווי אנשי אבטחת המידע ואני ה IT-ו\או צוות ( CERTתגובה לאירועי אבטחת מידע) בכל נושא ההכשרה לעבודה עם המוצר שנבחר תוך מתן דגש על ראיה נכונה לאור הסיכונים העסקיים\ביטחוניים הניצבים אל מול הארגון. חיצונית" ,מעטפת שתגדיר ,תנהל ,תקבע ,תרכז ותבקר את הפעולות הנדרשות לביצוע על ידי אנשי אבטחת המידע בהתאם להתרעות השונות שמתקבלות מהמערכות השונות בארגון. למעטפת זו ,או בשמה המקצועי –SOC (Security ,)Operation Centerישנם מספר תפקידים ברורים ובלתי ניתנים למיכון ממוחשב ,שזו אחת מהסיבות העיקריות לכך נעוצה בעובדה כי שיקול הדעת ו"ההרגשה הפנימית" חסרה במכונות וקיימת בבני האדם. מטרת ה SOC-אם כך ,היא להוות מרכז ארגוני לטיפול באירועי אבטחת המידע שמתרחשים במערכות הטכנולוגיות השונות הפזורות ברחבי הארגון. מובאות כאן מספר דוגמאות לתפקידיו העיקריים של מרכז :SOC •הגדרה– כתיבה ויישום נהלים שונים לטיפול בתרחישים שונים תוך ביצוע טיוב מתמיד ועדכון לנהלים קיימים. •ניהול– ניהול ותגובה בזמן אמת לכלל אירועי המידע שמגיעים מהמערכות השונות תוך מתן קדימויות על פי משקולות מדידה ידועים ומוגדרים מראש. •קביעת דרגת חומרה– קביעת דרגת החומרה של אירוע על פי סט נהלים ידוע ומוגדר מראש, ותוך בחינה קונסיסטנטית בהתאם למדיניות אבטחת המידע של הארגון. •ריכוז– ריכוז כלל אירועי אבטחת המידע המתקבלים מהמערכות השונות בארגון אל מרכז אחד שמטפל בכלל האירועים. •בקרה– בקרה על הטיפול באירועי אבטחת המידע על ידי המחלקות השונות בארגון. לסיקור המלא ,אודות מערכות ,SIEMוהקמת מרכזי ,SOCניתן לפנות אלינו לכתובת [email protected] oתיעוד–יתבצע תיעוד מלא וכתיבת נהלים בסיסיים בעת השימוש במערכת (ע"י החברה שמטמיעה את המערכת בארגון) כמובן ,המלצות אלו הן המלצות בלבד ,ומומלץ להסתייע בגורם המתמחה ביישום פרויקטים מסוג זה .כמו כן ,בעת יישום מערכת SIEMבארגון, מומלץ גם ליישם מרכז בקרה –SOC (Security ,)Operation Centerאשר יאפשר ניטור ותגובה ,24/7או בהתאם לדרישות העסקיות של הארגון. מה זה בעצם ?SOC למערכות ,SIEMתרומה רבה ומכריעה להעלאת רמת אבטחת המידע בארגון ,אך תרומה זו איננה מלאה וסופית ללא מימושה של "מעטפת ניהול | גיליון | 3יולי 2012 31 ניהולזהויות IdentityManagement ארגונים רבים מתמודדים עם הצורך ההולך וגדל של עובדים ,לקוחות ואפילו שותפים עסקיים בגישה אל מקורות המידע הארגוניים .יחד עם זאת ,ברור לכולם כי הצורך לאפשר גישה למשתמשים רבים יותר ,מבלי להתפשר על רמת האבטחה ,מחייב התייחסות מעמיקה ביותר .ניהול זהויות משתמש באופן יעיל ובו בעת מאובטח, הפך להיות חלק בלתי נפרד מהתפעול היומי של כל ארגון גדול .תחום ניהול הזהויות הינו תחום דינאמי ומבוקש הנמצא היום בצמחיה .ספקי פתרונות בתחום ממשיכים לשנות ולשפר את תמהיל המוצרים שלהם במטרה להגיע לפתרונות יעילים ואמינים. פרויקט לניהול זהויות ( )IDMהינו חוצה ארגון באופייו ולרוב כולל תחומים גדולים וחשובים כמו ניהול ,אבטחת מידע ,ביטחון ,משאבי אנוש ורגולציה .תחום מוצרי ניהול הזהויות הינו רחב מאוד ומרבית המוצרים נותנים מענה כולל לצרכים הטכנולוגיים שהארגון מציג. יתרונות המערכת: פתרונות לניהול זהויות מאפשרים לארגון לשמור על רמת האבטחה ולתת מענה למספר אתגרים מבחינה תפעולית .להלן חלוקה של יתרונות הן ברמה התפעולית והן ברמת שיפור אבטחת המידע: יתרונות ברמה התפעולית: •יעילות ארגונית וקיצוץ בעלויות •הורדת עומס הפניות לצוותי התמיכה (Help )Desk •מיכון תהליכים איטיים וידניים אשר גורמים לטעויות אנוש •ניהול אוטומטי של זהויות •שרות עצמי של איפוס סיסמא •קיצור זמן ההמתנה למתן הרשאות לעובדי הארגון •פישוט תהליכי קליטת עובדים חדשים מאת :ניב לב ,יועץ אבטחת מידע חברת SQLINK וסנכרון פרטים •סנכרון סיסמאות בין המערכות השונות בארגון •מתן אפשרויות ניהול נוחות למנהלי מערכות במקום מרכזי אחד •מתן גישה למשתמשי קצה למשימות כגון בקשת הרשאות ,איפוס סיסמאות ,מענה על שאלות הזדהות ועוד... •איחוד זהויות ()Federation Identity .2בקרת זהויות ( – )Identity Auditingמעקב כולל אחר פעולות המשתמש ,רישום אירועים, הפקת דו"חות וחיבור למערכות SIEM/SOC, BI ארגוניות. .3ניהול גישה והרשאות ()Access Management –ניהול גישה במערכות Webומערכות רשת ארגוניות .ניהול גישה לתוכן כולל פיקוח ובקרה. .4כניסה אחידה וסנכרון סיסמאות (Single Sign- – )Onביצוע כניסה למערכות ( )Log Inאוטומטית לכלל המערכות בארגון ,ע"י הזדהות אחידה. כלומר ,לכל עובד יש סיסמה אחת אחידה, לצורך כניסה לכל שאר המערכות. דרישות רגולציה יתרונות ברמת אבטחת מידע: בהרבה ארגונים קיים הצורך למתן גישה למשתמש למערכות שונות בארגון .עם זאת, על הארגון לוודא כי ההרשאות שניתנו לעובד עומדות בתקנים ורגולציות שונות ,אומנם ,מכיוון שמרבית המערכות אינן מתקשרות זו עם זו ,קיים החשש לאי-תאימות בין הרשאות העובד לתפקידו הנוכחי ( ,)Authorization Creepלזהויות כפולות, להשראות פתוחות לעובדים שעזבו ועוד... •הפחתת סיכונים •בקרת זהויות •מתן מידע עדכני ועכשווי לגבי המשתמשים והרשאות הגישה שלהם •מדיניות ארגונית אחידה לחשבונות וסיסמאות המשתמשים •מעקב מלא על תהליכים הקשורים לניהול זהויות •סגירה מיידית של חשבונות אחידים בכל המערכות הארגוניות •נתוני משתמש אחידים בכל המערכות הארגוניות •בקרת ניהול חשבונות אחידה עבור צוותי תמיכה אסטרטגיית הטמעת פתרון לניהול זהויות לרוב כוללת את השלבים הבאים: יכולות מרכזיות של מערכת :IDM שלב – 1אפיון דרישות הארגון מערכת לניהול זהויות ( )IDMנותנת פתרון למצבים אלו על ידי מיפוי התפקידים )Miningבארגון וחלוקת ההרשאות לעובדים על פי תפקידם הנוכחי ,ובהתאם לעקרונות בקרת גישה ( Need-to-Knowו.)Least Privileges- המערכת מוודאת שהארגון עומד בכל התקנים והרגולציות הנדרשות. (Role אתגרים ונקודות כשל: •אפיון כושל של הדרישות העסקיות •התמקדות בטכנולוגיה במקום בתהליכים העסקיים •פוליטיקה ארגונית •היעדר תמיכה מהנהלת הארגון •היעדר ביצוע POCלפני רכישת מערכת •התממשקות קלה ונוחה לשאר המערכות •פשטות וקלות ניהול 32 גיליון | 3יולי | 2012 .1ניהול זהויות ( – )User Provisioningמערכת ה IDM-מקשרת בין הזהות הפיזית של העובד לבין חשבונות המשתמש במערכות השונות. יכול זו ,מאפשרת: •ניהול מלא של מחזור חיי העובד בארגון •ניהול הרשאות מבוססי תפקידים ()Roles •הקצאה וביטול הרשאות (Provisioning and )De-Provisioning •פישוט התהליכים – אוטומציה של תהליכים ארגוניים ( )Workflowכגון תהליכי אישורים, תהליכי בקשת הרשאות ,תהליכי עדכון .5ניהול תפקידים ()Role-based Access Control – הגדרת תפקידים ברמת הארגון, •שיוך תפקידים לעובדי הארגון •חלוקת הרשאות לעובדים על פי תפקידיהם. •המערכת מוודאת שהארגון עומד בכל התקנים הדרושים. שלבי פרויקט הטמעת מערכת IDM שלב זה הינו אחד השלבים הקריטיים ביותר בפרויקט ולרוב יכלול הגדרה של מחזור חיי העובד בארגון ,אפיון ממשק משתמשים, בחירת מערכות מנוהלות וחלוקת תהליך הטמעת הפרויקט לאבני דרך .ניתן כאן גם לבצע תהליך של ,RFIלצורך קבלת מידע חיוני אודות טכנולוגיות ומערכות הקיימות בשוק, ולהתאימן לצרכי העסקיים של הארגון. מנת לבחון שהמוצר אכן תואם לדרישות העסקיות של הארגון. בשלב זה ,על הלקוח לבחור את הספק שיטמיע את הפתרון שנבחר .חשוב לציין שעל פי אנליסטיים – מתודולוגיה וניסיון מהווים 80%מהצלחת הפרויקט. שלב – 3יישום הפתרון שנרכש שלב זה כולל את שלב היישום הראשוני של הפתרון שנרכש. שלב – 4הטמעה מלאה של הפתרון שנרכש שלב זה יכלול הטמעה מלאה של הפתרון בכלל הארגון ,בין היתר סנכרון מול מערכת כל האדם הארגונית ,כתיבת תהליכי עובד בסיסיים (יצירה ,עדכון ,מחיקה ,וכדומה) וקישור למערכות מנוהלות. שלב – 5תמיכה ותחזוקת המוצר ייצוב המערכת והכשרת מנהלי המערכת ומשתמשי הקצה. שלב – 6שלבי הטמעה מתקדמים הוספת מערכות \שירותים חדשים\ות לפיתוח תהליכים מורכבים ,מיפוי תפקידי העובדים ,מעקב אחרי הרשאות העובדים, הטמעת ניהול גישה והרשאות ,הטמעת .Single Sign-On האופי המיוחד של הפרויקט ניהול זהויות מצריך ידע וניסיון רב .פרויקט זה דורש מעורבות של גופים רבים בארגון ,הסכמה ארגונית ומחויבות הנהלה גבוהה .פרויקט ניהול זהויות משנה ומטייב ,לעיתים קרובות את דרכי העבודה בארגון ,ומאפשר החזר על ההשקעה לגופים רבים בארגון ,מתן שירותים ללקוחות ושיפור התהליכים הארגוניים. ספקים בתחום הIDM- עפ"י חברות המחקר ( Gartnerו,)Forester- הספקים המובילים בתחום הינםCA, SUN, : ORACLE, IBMו.BMC- שלב + POC– 2רכישה כאן אנו מתחילים בבחירת ספקים (מוצרים) שאותם נרצה לבחון בתהליך POCמסודר ,על | גיליון | 3יולי 2012 33 בגיליון הבא | 257רגולציה לענף הביטוח פרשות אנרון (בשנת )2001וורלדקום (בשנת )2002שהיכו חזק בכלכלת ארה"ב ,זעזעו את המערכת הפיננסית והביאו עמם תקנות קפדניות שיצרו מהפכה באופן בו גופים עסקיים עושים עסקים .תקנות אלו מתחלחלות בהדרגה גם לישראל והגופים הראשונים שנדרשו לאמץ אותם הינם גופי הביטוח ,הבנקאות והפיננסים .בראיית המחוקק ,התפתחות המערך הטכנולוגי התומך בפעילות העסקית בתחום הביטוח ,יוצר מחד הזדמנויות עסקיות חדשות ומאידך טומן בחובו סיכונים לא מעטים למידע האגור בו. לפיכך ,נדרשות הנהלות ארגונים אילו לפעול באופן נמרץ להגנה על המידע אותו הן מחזיקות ולהקצות משאבים כספיים ,אנושיים וטכנולוגיים לצורך יישום בקרות ומנגנוני אבטחת מידע .מהלך הביצוע אינו פשוט כלל ועיקר ועשוי במקרה של יישום לא מקצועי ,לגרור את אותם הארגונים להוצאות כבדות ומיותרות .לעומת זאת יישום התקנות בצורה מתודולוגית ,יעילה ונכונה ,עשוי להביא לשיפר ניכר ביעילותם של ארגונים אילו ואף לגידול ברמת ה"-שורה התחתונה" של פעילותן. רגולציה...מכשול או יתרון הסיבה העיקרית להתעוררות וריבוי הרגולציות בשנים האחרונות ,היא בעיקר ההגנה על המידע, ומניעת ניסיונות הונאה שונים. בסוף שנת ,2011מעט אחרי אירועי ה11- בספטמבר ,הכתה בארה"ב שערורייה בעוצמה אדירה ,אלא שהפעם בשוק העסקים – חברת אנרון ,ענקית אנרגיה שדורגה במקום השביעי ברשימת 500החברות הגדולות בארה"ב ,קרסה בקול רעש אדיר תוך שהיא גרמה ל 4000-עובדים ב 40-מדינות בעולם ,לאבד את מקום עבודתם, לקריסתה של פירמת רואי החשבון הענקית ארתור אנדרסון ולנזקים של מיליארדי דולרים. פרשה זו ופרשת וורלדקום שבאה שנה אחריה, הביאו לעלייתן של מספר הצעות חוק שעניינן ביקורת קפדנית יותר על מגוון התהליכים העסקיים בהם מעורב התאגיד העסקי ופיקוח הדוק על פעולותיו .דוגמא לתקנה מסוג זה והידועה שבהן הינה סרבנסאוקסלי (Sarbanes ,)Oxleyהדנה באפקטיביות הבקרות הפנימיות בארגון הנוגעות לדוחות הכספיים. שילוב מערך ה IT-ברגולציה הרגולציות בתחום הביטוח נודעות באספקטים שונים (ברובם עסקיים) .תכליתן של רובן הינה הגנה על הצרכן .אולם מתוך ההכרה בחשיבות מערך ה IT-בארגונים לצורך תפעול ,ניהול ודיווח ,הגדיר המחוקק את "התקנה לניהול סיכוני אבטחת מידע בענף הביטוח" המתייחסת לעולם בקרות ה IT-ותחום אבטחת המידע .בראיית המחוקק ,התפתחות המערך הטכנולוגי התומך בפעילות העסקית בתחום הביטוח ,יוצר מחד הזדמנויות עסקיות חדשות ומאידך טומן בחובו 34 גיליון | 3יולי | 2012 סיכונים לא מעטים למידע האגור בו .לכן ,על הנהלת הארגון וגורמים אחרים להקצות משאבים (כספיים ,אנושיים וטכנולוגיים) ליישום בקרות ומנגנוני אבטחת מידע. ההוראה לניהול אבטחת מידע בענף הביטוח, מתווה את העקרונות לצמצום הסיכונים הנובעים משימוש במערכות המידע. מגמת הרגולציה הינה עולמית ובהתאם לכך החליט הגוף הרלוונטי המפקח בישראל על ההון ביטוח וחיסכון לאמץ חלקים מסוימים מתקינות מקבילות בעולם ,הן מאירופה והן מארה"ב. ההוראה הנוכחית מתבססת על עקרונות אבטחת מידע מקובלים והסתייעה ברגולציות שהותוו ע"י גופים כמו :ארגון התקינה הבריטי ,ועדת באזל לפיקוח בנקאי ,HIPAA ,והמפקח על הבנקים בישראל – ניהול בנקאי תקין ,ניהול טכנולוגיות המידע ,הוראה .357 מה כולל מבנה ההוראה? מבנה ההוראה כולל שלושה תחומים עיקריים: דרישות בנושא ניהול אבטחת המידע בארגון, דרישות כלליות ליישום בקרות אבטחת מידע ואופן הטיפול בנושאים הדורשים תשומת לב מיוחדת. בעיקרון ,על הארגון להגדיר עקרונות שימוש מאובטח במערכות המידע שלו .עקרונות אלה יגדירו את אופן השימוש בשרתים ,מחשבים נייחים ,מחשבים ניידים ,ציוד תקשורת וכל ציוד מחשובי אחר המשמש את הארגון לצורכי עיבוד או שמירת מידע .בקרות ומנגנוני אבטחת מידע יטפלו בגילוי ,מניעה ,תיעוד והתרעה של חשיפת אירועי אבטחת מידע .אבטחת המידע תטפל בנושאי זמינות ( ,)Availabilityאמינות ו\או שלמות ( )Integrityוסודיות (.)Confidentialityעל עקרונות אלו להתייחס לפחות לנושאים כגון :שימוש ברשת האינטרנט ,שימוש בדוא"ל ,שמירה וטיפול במידע, הרשאות גישה לוגיות ופיזיות ,שמירה ושימוש בסיסמאות ,נעילת המחשב בפני גישה כאשר אינו בשימוש וכדומה. דרישות ליישום החוק יישום ההוראה הינו תהליך מורכב הדורש תכנון קפדני בהתאם לאופי הארגון .הוראה זו אינה מבחינה בשונות בין מבטחים .היקף הפעילות הנדרשת ביישום ההוראה ייגזר בהתאם לפעילות העסקית של הארגון ולמידת מוכנותו לדרישות ההוראה .לשם יישום ההוראה ,נדרש הארגון ל: •הקמה והטמעה של נושאי ניהול אבטחת המידע •בניית תוכנית עבודה ליישום ההוראה וכתיבת נהלים •הגדרת מדיניות אבטחת מידע •סיווג וסימון נכסים •ביצוע הערכת סיכונים •תכנון אופן יישום בקרות אבטחת המידע •יישום בקרות ומנגנוני אבטחת מידע •בקרה מתמשכת רב שנתית מטרת המחוקק – כפי שהוגדרה בתוכנית האסטרטגית של אגף שוק ההון הביטוח והחיסכון, מאי – 2005הינה להבטיח רמה אופטימלית של ביטחון פיננסי לצרכנים של השירותים הפיננסיים המפוקחים על ידי אגף שוק ההון ביטוח וחיסכון בישראל .תקנה אבטחת המידע החדשה הינה נדבך נוסף במכלול ההוראות והתקנות אשר נועדו להבטיח את המבוטח. קשר בין הרגולציות קיים קשר בין רגולציית של החברות הביטוח, לבין .SOXבסוף שנת 2005פרסם המפקח על הביטוח חוזר ,בעניין הצהרה לגבי מילוי בדוחות תקופתיים ושנתיים של חברות ביטוח (סעיף 302לתקנות )SOXהדורשת ממנכ"ל וסמנכ"ל כספים של חברת ביטוח להצהיר כי הם אחראים לקביעתם וקיומן של בקרות ונהלים בכל הקשור לגילוי הנדרש בדוח הכספי של חברת הביטוח, ובכלל זה כי הם :אחראים על קביעת בקרות ונהלים ,העריכו את יעילות הבקרות והציגו את מסקנותיהם לגורמים הנדרשים וגילו בדוח כל שינוי בבקרה הפנימית. בהקשר זה ,סעיף 404לתקנות ,SOXמחייב את המנכ"ל ואת סמנכ"ל הכספים להצהיר יחד עם הדוחות הכספיים ,כי קיימות בקרות על הדיווח הכספי בחברה וכי הם האחראים לבקרות על הדיווח הכספי והבקרות נבדקו ונמצאו אפקטיביות .במידה והבקרות אינן אפקטיביות, הועבר דיווח לוועדת הביקורת ולרו"ח המבקר של החברה. ראיון בלעדי עם דניאל כהן – RSA עולם הסייבר סקירהטכנולוגית דרכי התמודדות Nexpose מלחמת הסייבר כלי לבדיקת פגיעויות אבטחה בתשתיות מחשוב כגון אפליקציות ,בסיס נתונים ,רשתות תקשורת ,מערכות הפעלה וכו' .הכלי מיועד לשימוש ברשתות גדולות .הכלי פותח ע"י חברת Rapid7ומשווק ע"י החברה בגרסת Communityמצומצמת וחינמית או בגרסת ה Enterprize-בתשלום (מסחרית) .בארץ המוצר משווק בלעדית ע"י חברת .TRINITY לכלי ישנו בסיס נתונים המכיל בתוכו מידע אודות מעל 14,000פגיעויות אבטחה שונות ,והוא מתעדכן על בסיס קבוע ,מתעדף עדכוני אבטחה לפי דרגת חומרתם ,מכיר את תקני הרגולציה המקובלים בעולם ונותן תמונת מצב לגבי העמידה בתקנים אלה ברשת הארגונית ,מפיק דוחות ויזואליים, מפורטים ואינפורמטיביים המכילים קישורים לבסיס המידע הרלוונטי. הכלי מאפשר הטמעה של עדכונים וטלאי אבטחה בקלות ובמהירות, ומאפשר מעקב אחר משימות ומשלב את בסיס המידע הנרחב של .Metasploitהכלי אינו מיועד לתוקפים "מזדמנים" אלא לבודקי חדירות מיומנים. להורדת גרסת ניסיון: האם בפתח? מוכנות המדינה למלחמת סייבר מטה הסייבר הלאומי האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. בין הכותבים שלנו: ניר ולטמן Chief Security Architect -בחברת סיטדל דני אברמוביץ -מנכ“ל חברת TITANS SECURITY שלומי מרדכי -מנמ“ר הקריה האקדמית www.rapid7.com/vulnerability-scanner.jsp הדס שני -ראש צוות CERTבתהיל“ה לצפייה בהדגמה של המוצר: אלי כזום -מנהל אבטחת מידע אגף המכס והגבייה youtube.com/watch?v=bfEj8AsXCF4 Silent DDoS מדובר בכלי לביצוע מתקפות מניעת שירות ( .)DOSהכלי כתוב בVisual- ,Basicומיועד לביצוע מתקפות מסוג .HTTP, UDP, SYNהכלי מכיל פונקציות של הצפנה ,תמיכה ברשתות ,IPv6ושליפת סיסמאות. הכלי ניתן לעיצוב והגדרה לפי צרכי התוקף ,ברוב המקרים אינו מזדהה ע"י מערכות ההגנה של האתר\ השירות המותקף. הכלי ניתן להורדה בקישור: מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT אם גם אתם רוצים לכתוב כתבות, נא לפנות אלינו בכתובת[email protected] : למתן חסות לאיגוד ,ניתן לפנות אלינו megaupload.com/?d=8IL0WMWH ניתן לצפות בפעולתו בקישור: youtube.be/DwNtcfTV4ql | גיליון | 3יולי 2012 35 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע יום ותאריך שם הסמינר א' 11.11.2012 -קורס CISO א' 11.11.2012 -קורס ( CISMהכנה לבחינה) א' 11.11.2012 -קורס CISSP א' 18.11.2012 -קורס ניהול סיכונים ()ISO31000, ISO 31010 א' 18.11.2012 -קורס ISO 27001 Lead Auditor א' 25.11.2012 -קורס Cyber Security and Incident Handling א' 16.12.2012 -קורס ( CISAמסלול של 200שעות כולל הכנה לבחינת ההסמכה הבינלאומית )CISA א' 16.12.2012 -קורס ( CROניהול סיכוני ITכולל הסמכה בינלאומית של )CRISC רשימת קורסים מלאה מופיעה באתר החברה. לתיאום פגישה וקבלת פרטים נוספים חייגו077-5150340 : יועץ אקדמי (דני) – 050-8266014דוא"ל[email protected] : מכירות (סיוון) – ,0549844855דוא"ל[email protected] : www.titans2.co.il | www.ts2.co.il | www.titans2.com
© Copyright 2024