בשער - Global Security | מגזין אבטחת מידע

‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 6‬דצמבר ‪2012‬‬
‫בשער‬
‫האויב‬
‫שבפנים‬
‫הישרדות בעידן הביג דאטה‬
‫מגמות אבטחת מידע לשנת ‪2013‬‬
‫תקיפות סייבר ממוקדות‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‪n‬‬
‫‪I‬‬
‫דבר נשיא‬
‫האיגוד‬
‫הישראלי‬
‫לאבטחת מידע‬
‫(‪)ISSA‬‬
‫חבר\ה יקר\ה‬
‫בשנה החולפת כותרות העיתונים מלאות באירועי אבטחת‬
‫מידע ברחבי העולם‪ .‬הפעם מילת הקסם היא סייבר (‪.)Cyber‬‬
‫כבר הרבה זמן התעשייה כולה ועמה מובילי הדעה‪ ,‬המנהיגים‬
‫הלאומיים והעסקיים‪ ,‬ההנהלות‪ ,‬הדירקטוריונים ‪,‬הרגולטורים‬
‫עוסקים בשאלה "מה עלול לקרות לנו בגלל הסייבר?"‪ .‬במצב‬
‫דומה קצת למצב שהיינו בו עם הפיכתה של האינטרנט לרשת‬
‫עסקית באמצע שנות ה‪ 90-‬של המאה הקודמת‪ .‬גם אז כותרות‬
‫העיתונים היו מלאות וכולם חיפשו תשובות והייתה תחושה של‬
‫פאניקה באוויר‪.‬‬
‫מה בגיליון?‬
‫דבר העורך‬
‫אתגרי אבטחת מידע בעולם ה‪BIG DATA-‬‬
‫‬
‫בעידן המודרני‪ ,‬המגמות העיקריות בתחום אבטחת המידע‬
‫משתנות בהרף עין‪ ,‬וקשה לעמוד בקצב המסחרר של השינויים‪.‬‬
‫ראשית‪ ,‬התפוצצות כמויות המידע בעידן ה‪ Big Data-‬שכולל גם‬
‫מידע עסקי רגיש‪ .‬מגמה שנייה היא התרחבות המונית של השימוש‬
‫ב‪ – BYOD-‬אימוץ מכשירי הסלולריים החכמים והטאבלטים אל‬
‫תוך מערכך המחשוב הארגוני‪ .‬עולם מחשוב הענן – שממשיך‬
‫לאתגר את מנהלי מערכות המידע בארגונים‪ ,‬היות והוא מטשטש‬
‫את גבולות הגזרה של הארגון‪ ,‬היות והנחת המוצא‪ ,‬היא מראש‬
‫שהמידע כבר לא נמצא רק בתוך רשת הארגון‪ ,‬אלא גם אצל‬
‫ספק הענן‪ .‬ואם כל זה לא מספיק‪ ,‬יש לנו את האיומים שממשיכים‬
‫להתחכם ולהתרבות בקצב מהיר‪.‬‬
‫ הישרדות בעידן הביג דאטה‬
‫ הראש עדיין‪ ...‬בעננים‬
‫ מגמות אבטחת מידע לשנת ‪2013‬‬
‫ ניהול סיכונים בעולם הסייבר‬
‫ כלי שיתוף מאובטחים ומוצפנים בענן‬
‫בוועידה השנתית בנושא אבטחת מידע של מידע כנסים בשיתוף‬
‫האיגוד העולמי לאבטחת מידע (‪ )ISSA‬אנו הולכים לדון בכל‬
‫הסוגיות שהוזכרו לעיל‪ .‬הוועידה תתקיים בתאריך ‪,17.01.2013‬‬
‫בקסנדו‪ ,‬פ"ת‪.‬‬
‫מאפיינים לאבטחת תוכן בענן בעידן ה‪BYOD-‬‬
‫‬
‫ כיפת ברזל דיגיטלית‬
‫ האויב שבפנים‬
‫ הקשחת מערכות בארגון דינאמי‬
‫להבדיל מהרבה פעילויות וכנסים שנושאם המרכזי היה האיום‬
‫הלאומי – תשתיות לאומיות‪ ,‬לוחמת מידע ועוד‪ ,‬הוועידה השנתית‬
‫של מידע כנסים בשיתוף האיגוד העולמי לאבטחת מידע (‪)ISSA‬‬
‫יעסוק באיומים על העסקים הגדולים במשק‪ ,‬ויתמקד בארגונים‬
‫שמבצעים את הפעילות הפיננסית – העסקית‪ ,‬ובחברות היי‪-‬טק‪,‬‬
‫וטלקום‪ .‬זווית הראייה הפעם תתמקד באבדן כסף‪ ,‬אבדן מידע‬
‫פרטי‪ ,‬אבדן מוניטין ופגיעה משמעותית במחיר המניה או באינטרס‬
‫של בעל המניות‪.‬‬
‫ תקיפות סייבר ממוקדות‬
‫טכנולוגיות הגנה‪ ,‬תהליכי ניהול אבטחת מידע‪ ,‬ניהול סיכונים‪ ,‬בעלי‬
‫תפקידים בארגון ועמידה ברגולציה‪ .‬ההבדל הוא בעוצמת האיום‬
‫ובמורכבותו‪.‬‬
‫בוועידה השנתית לאבטחת מידע‪ ,‬ייוצגו מיטב הטכנולוגיות‬
‫המתקדמות להגנת הסייבר‪ ,‬ויעלו סוגיות המחברות בין עולם‬
‫אבטחת המידע לעולמות מקבילים כמו המשכיות עסקית‬
‫וניהול סיכונים‪ .‬בין המשתתפים‪ ,‬מיטב נציגי הפירמות והחברות‬
‫הבינלאומיות – לצד מיטב התוצרת המקומית של טכנולוגיה‪,‬‬
‫מתודולוגיה ועוצמת השילוב ביניהן‪ .‬כל זאת‪ ,‬נועד לתת תשובות‬
‫למקבלי החלטות בתחום העסקי‪ ,‬העולות בהקשר של איומי‬
‫הסייבר‪.‬‬
‫הוועידה השנתית לאבטחת מידע תכלול את מיטב ההרצאות‬
‫המקצועיות ופאנלים של אנשי מקצוע מהבכירים בתחום‪.‬‬
‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 6‬דצמבר ‪2012‬‬
‫בשער‬
‫האויב‬
‫שבפנים‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‪n‬‬
‫‪I‬‬
‫עורך ראשי‪ :‬דני אברמוביץ‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪TITANS SECURITY GROUP :‬‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫דוא"ל‪[email protected] :‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫נשמח לראותכם בכנס‪.‬‬
‫בברכה‪,‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד‬
‫‪2‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫הישרדות בעידן הביג דאטה‬
‫מגמות אבטחת מידע לשנת ‪2013‬‬
‫תקיפות סייבר ממוקדות‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪3‬‬
‫הבעיה העיקרית בפניה ניצבים מנהלי ה‪ IT-‬היא הצורך‬
‫להטמיע כלי אבטחת מידע מצד אחד‪ ,‬כאשר מנגד‪ ,‬הטמעת‬
‫אותם כלים מביאה לצמצום היעילות התפעולית של ה‪.IT-‬‬
‫ארגונים רבים מטמיעים יותר מדי טכנולוגיות בכלל ויותר‬
‫טכנולוגיות אבטחת מידע בפרט‪ ,‬ולמרות זאת‪ ,‬בסופו של‬
‫יום‪ ,‬הם לא מקבלים רמה גבוהה יותר של אבטחה‪ .‬כך‪ ,‬הם‬
‫רק מייקרים את עלויות ה‪ IT-‬ועושים אותו פחות יעיל ויותר‬
‫איטי‪ ,‬עם ביצועים פחותים‪.‬‬
‫אתגרי אבטחת מידע‬
‫בעולם ה‪BIG DATA-‬‬
‫ה‪ IT-‬הוא כיום ממוקד מערכות‬
‫ועליו להפנות את פניו לעבר‬
‫המידע‪ .‬בתוכו‪ ,‬על האבטחה‬
‫להיות גם היא ממוקדת מידע‪.‬‬
‫המידע גדל בהיקפו מדי שנה‬
‫ומכפיל עצמו מדי שנתיים‪ .‬הוא‬
‫מבוזר‪ ,‬התצורה שלו השתנתה‬
‫וכיום‪ ,‬הוא לא מובנה בחלקו‪.‬‬
‫עולם אבטחת המידע טומן‬
‫כיום בחובו אתגרים ומורכבויות‬
‫חדשות‪ ,‬ונדרש לשלב בתוכו את‬
‫תחום ניהול הסיכונים‪.‬‬
‫הפתרונות אמורים להפחית את הסיכונים ולהעלות את‬
‫היכולות התפעוליות של ה‪ IT-‬במקביל‪ .‬בעידן התחרותי‬
‫של היום‪ ,‬למשמעות של ביצועי ה‪ IT-‬יש חשיבות גדולה‬
‫מבעבר‪ .‬נדרש להטמיע כלי אבטחה שלא מסבים נזק‬
‫לארגון בהיבט העסקי שלו‪ .‬יש לנהל את הסיכונים באופן‬
‫מושכל‪ ,‬יחד עם עוד משימות‪ ,‬מבעבר לאבטחת המידע‬
‫המסורתית‪ :‬להלום את הרגולציות‪ ,‬לקבל זמינות ועמידות‬
‫של מערכות ה‪ IT-‬ו להיות שרידים‪ .‬כל אחת מהמשימות‪,‬‬
‫כוללת בתוכה כמה היבטים‪ .‬כך‪ ,‬בניהול סיכונים יש לטפל‬
‫בפרצות אבטחת מידע‪ ,‬ברגולציות ובזמינות‪ .‬בגידול במידע‪,‬‬
‫יש לטפל בהיקפי המידע ובסוגי המידע שונים – מובנה‬
‫ולא מובנה‪ .‬בתחום תשתיות המידע‪ ,‬נדרש לטפל במגמות‬
‫הווירטואליזציה‪ ,‬המחשוב הנייד ומחשוב הענן‪.‬‬
‫מודל הגנה בשכבות (‪)Layered Defense‬‬
‫השכבה הראשונה היא שכבת תשתיות המידע‪ ,‬לאחריה‬
‫– שכבה הכוללת וירטואליזציה‪ ,‬מחשוב נייד ומחשוב‬
‫ענן‪ ,‬ובהמשך – שכבת אבטחת המידע‪ ,‬שכוללת הגנה‬
‫על נקודות הקצה‪ ,‬גיבוי‪ ,‬אירכוב‪ ,‬ניהול האחסון וזמינות‪.‬‬
‫מעליה נמצאת שכבה חדשה‪ ,‬של בינה על המידע‪ ,‬ה"שכל"‬
‫שבאבטחה‪ ,‬והיא כוללת תעדוף של המידע‪ ,‬מיפוי של‬
‫האיומים‪ ,‬הצפנה‪ ,‬בעלות על המידע‪ ,‬וגילוי וחשיפה‪ .‬השכבה‬
‫האחרונה‪ ,‬היא שכבת ממשל אבטחת המידע שכוללת‬
‫מדיניות אבטחת מידע‪ ,‬רגולציות והלימה להן‪ ,‬ניהול ומיפוי‬
‫זהויות‪ ,‬מרפא לבעיות האבטחה ודיווח‪.‬‬
‫החומות כבר לא מספקות‬
‫ארגונים מאמינים שפתרונות אנטי‪-‬וירוס וגדרות וחומות הם‬
‫בגדר אבטחת מידע מספקת‪ ,‬המגנה על המחשוב הארגוני‬
‫שלהם – אך הם טועים‪ .‬הבעיה היא פנימית‪-‬תרבותית ולא‬
‫טכנולוגית‪ .‬נדרש להבין את רשתות התקשורת והמחושב‬
‫ולספק פתרונות שמאפשרים ניטור פנימי לצד מימוש‬
‫מדיניות אבטחה‪ .‬כל אלה צריכים להתממש לצד מודעות‪,‬‬
‫חינוך ותרגולים‪ .‬אבטחת מידע זה לא משהו שניתן לתת‬
‫למישהו לנהל רק‪ ,‬כי התגלה בארגון שיש לו זמן פנוי‪.‬‬
‫‪4‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪5‬‬
‫הישרדות‬
‫הביג דאטה‬
‫בעידן‬
‫"עקב העלייה בחשיבות המידע הארגוני‪ ,‬הפכו הגיבוי‬
‫והשחזור לקריטיים בהישרדות ארגונים‪ .‬אחד האתגרים‬
‫הגדולים ביותר הניבים בפני המנמ"ר כיום הוא הגנה‬
‫על המידע‪".‬האתגר הגדול שעמדו נדרשים להתמודד‬
‫מנהלי אבטחת המידע בארגונים הוא לפעול בסביבה‬
‫בה האיומים והצרכים גדלים ומנגד תקציביהם קטנים‪".‬‬
‫ע‬
‫פ"י חברות המחקר‪ ,‬גדל המידע‬
‫הארגוני ב‪ 60%-‬מדי שנה‪ .‬במקביל‪ ,‬הוא‬
‫הופך לקריטי יותר לטובת ההתנהלות‬
‫העסקית של הארגונים‪ .‬בשל כך‪ ,‬הפכו תחומי‬
‫הגיבוי והשחזור לקריטיים עבור הצלחתם של‬
‫ארגונים וסיכוייהם לשרוד במקרה של אסון‪.‬‬
‫אחד האתגרים הגדולים ביותר הניצבים בפני‬
‫מנהלי המחשוב כיום הוא הגנה על הנתונים‪.‬‬
‫אתגרים נוספים הניצבים בפני המנמ"רים‪,‬‬
‫לצד הגידול במידע‪ ,‬הם הצורך בטיפול בסוגי‬
‫מידע שונים – מובנים ובלתי מובנים‪ ,‬נתונים קול‬
‫וחוזי‪ ,‬וכל זה לצד הצורך לעמוד בדרישות רמות‬
‫השרות (‪ )SLA‬בהיבטי יכולת השחזור והזמינות‬
‫של הנתונים – דבר שמקשה עליהם עוד יותר‬
‫מבעבר‪.‬‬
‫‪6‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫ממחקר שבוצע לצורך בחינת נהלי הגיבוי של‬
‫ארגונים רבים והיכולת שלהם לשחזר מידע‬
‫במקרה של אסון‪ ,‬עלו ממצאים מדאיגים‪ .‬עיקר‬
‫הממצאים מעלים‪ ,‬כי גישות מסורתיות לגיבוי‬
‫כבר אינן רלבנטיות‪ ,‬ודרושה בדחיפות גישה‬
‫חדשה לתחום‪ .‬המחקר העלה כי כ‪49%-‬‬
‫מהמשיבים אינם יכולים לעמוד בהסכמי רמת‬
‫השירות (‪ )SLA‬של מערכי ה‪ IT-‬שבאחריותם‪,‬‬
‫בשל גודש הנתונים‪ .‬נתון נוסף העלה‪ ,‬כי ‪73%‬‬
‫מהמשיבים אמרו שאם תוכנת הגיבוי תדע‬
‫לבצע פעולות במהירות כפולה‪ ,‬הם יהיו מוכנים‬
‫להחליפה‪.‬‬
‫‪ 30%‬ציינו‪ ,‬כי יש להם יותר מדי כלי גיבוי‪:‬‬
‫לארגונים יש בממוצע ארבעה פתרונות גיבוי‬
‫להגנה על מערכות פיזיות‪ ,‬ושלושה עבור‬
‫תהליך ההתאוששות במקרה אסון‪ ,‬ובכך עוזרים‬
‫ללקוח לממש חסכון משמעותי תוך הגנה טובה‬
‫יותר על המידע העסקי שלהם‪.‬‬
‫סוגי הנתונים ועומסי עובדה‪ .‬זאת‪ ,‬בניגוד לשילוב‬
‫של מספר פתרונות נקודתיים נפרדים‪ ,‬שהוכח‬
‫כיקר וגוזל זמן‪.‬‬
‫כיום‪ ,‬כאשר לקוחות מתמודדים עם היבטי גיבוי‬
‫נתונים והתאוששות בארגוניהם‪ ,‬תהליך שהפך‬
‫למסובך ויקר עם הגידול האקספוננציאלי‬
‫בהיקפי הנתונים‪ ,‬יש צורך בפתרונות חדשניים‬
‫ויעילים לגיבוי והתאוששות‪.‬‬
‫השינוי הדרמטי ביותר הוא הגידול בנתונים‪,‬‬
‫ביישומים ובמכונות הווירטואליות שאינן‬
‫מטופלות על ידי סביבות גיבוי נוכחיות‪ .‬לארגונים‬
‫יש הסכמי רמת שירות מוגברים‪ ,‬ציפיות גבוהות‬
‫לזמינות‪ ,‬וצורך לפעול במודל עסקי של תמיכה‬
‫‪ .24/7‬כשמשלבים את אלה עם הניסיון לשלב‬
‫טכנולוגיות חדשות‪ ,‬מקבלים סביבה בעייתית‪,‬‬
‫עם פגיעה עצומה בצוותי ה‪.IT-‬‬
‫ישנם ארגונים ששומרים יותר מדי נתונים‪ ,‬זמן‬
‫רב מדי‪ ,‬ולכן יש צורך בפתרון שיכול לאפשר‬
‫למחלקת ה‪ IT-‬בארגון להפריד מה שרלבנטי‬
‫לנושאים משפטיים או הלימה לרגולציות‪ ,‬תוך‬
‫שמירה על פעולת שאר תשתית הגיבוי בסבב‬
‫גיבויים של ‪ 60 ,30‬ו‪ 90-‬יום‪ .‬שימור אינסופי הינו‬
‫בזבוז אינסופי עבור ‪ ,IT‬וסיכון אינסופי למחלקת‬
‫המשפטית‪.‬‬
‫על הספקים להציע ללקוחותיהם פתרונות גיבוי‬
‫מהירים‪ ,‬שקל לנהל אותם‪ ,‬ואשר מפשטים את‬
‫ארגונים גדולים כקטנים זקוקים לאסטרטגיית‬
‫הגנה כוללת‪ ,‬עם פתרון יחיד‪ ,‬כדי לטפל במגוון‬
‫האתגר הגדול שעמו נדרשים להתמודד מנהלי‬
‫אבטחת המידע בארגונים הוא לפעול בסביבה‬
‫מערכות וירטואליות‪ .‬עוד העלה המחקר‪ ,‬כי‬
‫כ‪ 40%-‬ממנהלי המחשוב מאמינים כי גיבוי‬
‫הווירטואליזציה שלהם אינו מתאים‪ ,‬או שאינו‬
‫פועל באופן מושלם‪ .‬אבל הנתון החמור מכל‪,‬‬
‫הוא שיותר משליש מהם אינם משוכנעים כי‬
‫‪ 100%‬מנתוניהם המגובים אכן ניתנים לשחזור‪.‬‬
‫בה האיומים והצרכים גדלים ומנגד תקציביהם‬
‫קטנים‪ .‬לצד אתגר זה‪ ,‬נדרש עליהם להיות‬
‫מעודכנים בהיבט הטכנולוגי‪ .‬עליהם להישאר‬
‫ערניים לחידושים ולהתקדמות הטכנולוגיות‬
‫המהירה‪.‬‬
‫איומי אבטחת המידע‪ ,‬הולכים וגדלים‪ ,‬ואף נהיים‬
‫מורכבים יותר‪ .‬נוצר מצב שבו בעוד שארגוני‬
‫אנטרפרייז מוגנים פחות או יותר‪ ,‬הרי שארגוני‬
‫‪ SMB‬מצויים בסכנה חמורה‪ .‬בקרב ארגונים‬
‫אלה חלה הפנמה והכרה בצורך להגן על‬
‫המידע שלהם‪ .‬בכל מסעדה יש "קניין רוחני" של‬
‫תפריטים ולכל בית עסק קטן יש רשימת לקוחות‬
‫שנדרש להגן עליה‪ .‬החיבור בין האנשים למידע‬
‫הוא חוצה את כל המגזרים‪ .‬הערך האמיתי של‬
‫הארגונים השונים הוא במידע שיש להם‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪7‬‬
‫הראש עדיין‪ ...‬בעננים‬
‫מחשוב ענן יוצר עולם חדש של דרישות אבטחה‪ ,‬בעיקר‬
‫בתחומי ניהול ובקרת הגישה‪ ,‬ניהול זהויות והזדהות ואימות‪.‬‬
‫למשל‪ ,‬יש להעלות את רמת הוודאות שהמשתמש‬
‫הוא אכן המשתמש‪ ,‬ומנגד – לצמצם לאחת את כמות‬
‫הפעמים שהגישה שלו נבדקת‪ .‬מה שמאפיין את עולם‬
‫האבטחה בכללותו הוא שהאקרים הפכו להיות "טובים"‬
‫יותר‪ ,‬משמע יעילים ומוכשרים טכנולוגית – ועלינו לספק‬
‫פתרונות אבטחה טובים יותר‪.‬‬
‫מבחינת הצד ההתקפי‬
‫בוטנטים בענן ומתקפות על הענן‬
‫הענן ישנה את המודל העסקי שארגונים עובדים לפיו‪.‬‬
‫כיום‪ ,‬מחשוב הענן אינו עוד גחמה שיווקית או באז‬
‫פרסומי‪ .‬מדובר בתפיסה חשובה‪ ,‬שמתחילה לצבור‬
‫תאוצה בקרב ארגונים‪ ,‬מייעלת תהליכים ומשנה את‬
‫המודל העסקי שבו הם עובדים‪.‬‬
‫הרעלת מנועי החיפוש (‪SEO‬‬
‫‪)Hacking‬‬
‫נושא מטרות תקיפה ממוקדות‬
‫ימשיך לעסוק את הארגונים\‬
‫ממשלות‬
‫בהגדרה של התפיסה מדובר ביכולת לקבל שירותי‬
‫‪ IT‬לפי דרישה‪ ,‬כל אימת שרוצים‪ ,‬עם מדידה ובקרה‬
‫על הצריכה‪ .‬המודל הזה מהווה הזדמנות‪ ,‬הן ביכולת‬
‫לצמצום תקציבי עלויות המשאבים המוצאים על‬
‫התשתיות והן ביכולת לשדרוג טכנולוגי‪ ,‬מיטוב נכסי‬
‫ה‪ IT-‬וקבלת אספקת שירותים טובים ומהירים יותר‪.‬‬
‫מחשוב הענן הוא תפיסה שבהכרח תשפיע על‬
‫ההיבטים העסקיים והתהליכים בארגונים‪.‬‬
‫התפתחות הפעילות בצל‬
‫ההאקטיביזם‬
‫החרפת תקיפות במימון ממשלות‬
‫ושימוש במשאביה‬
‫לא מדובר בעוד באז תקשורתי‪ ,‬והענן כאן כדי להישאר‪,‬‬
‫כי יש לו הצדקה כלכלית והגיון טכנולוגי‪ .‬עלויות‬
‫התשתיות תמיד הטרידו את המנמ"רים‪ ,‬בוודאי לאחר‬
‫השנים הקשים שעברו לאחרונה‪ .‬כעת יש להם יכולת‬
‫להוריד ולצמצם את העלויות הללו‪ ,‬במסגרת פתרון‬
‫בשל‪.‬‬
‫נהיה עדים לשימוש בכלי "ניטור"‬
‫במרחב הסייבר ע"י הממשלות‬
‫הענן יביא את המנמ"ר למצב שבו תהיה לו בקרה טובה‬
‫יותר על השירותים שאותם הוא יקבל‪ ,‬ימדוד‪ ,‬ינהל‪,‬‬
‫ותהיה לו בקרה על רמת האבטחה‪ .‬לצד המעבר לענן‪,‬‬
‫על המנמ"ר לממש ניהול חכם של תשתיות המחשוב‬
‫"על מנת לצמצם סיכונים ולהפחית עלויות‪ .‬כך יתקבל‬
‫פישוט מערכות ה‪ IT-‬הנדרש‪.‬‬
‫"‬
‫‪8‬‬
‫לא מדובר בעוד באז תקשורתי‪,‬‬
‫והענן כאן כדי להישאר‪ ,‬כי יש לו‬
‫הצדקה כלכלית והגיון טכנולוגי‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫"‬
‫מדובר בהזדמנות עסקית וטכנולוגית‪ .‬על המנמ"ר‬
‫נדרש לממש את תפיסת מחשוב הענן בחוכמה‪.‬‬
‫הוא יצטרך להיות עם יד על הדופק‪ ,‬לוודא מה קורה‬
‫ולבקר את השירותים המסופקים‪ ,‬לצד טיפול בהיבטי‬
‫האבטחה‪ .‬בסופו של יום‪ ,‬כל מנמ"ר מעוניין לממש את‬
‫היעד של צמצום ההוצאות‪ ,‬הפחתת הסיכונים ושיפור‬
‫התהליכים העסקיים והשירותים‪.‬‬
‫ניתן לראות שבהמלך השנתיים האחרונות היו יותר‬
‫ניסיונות של מנמ"רים לממש פרויקטי‪ IT‬ותשתיות‪.‬‬
‫במסגרת הפעילות של מערכי ה‪ IT-‬בארגונים‪ ,‬ניתן‬
‫לראות שנושא הענן מתחיל לצבור כיוון משמעותי‬
‫יותר‪ .‬מומחים מעריכים שבשנים הבאות הלחץ לעבור‬
‫למחשוב ענן יגיע לא רק מצד המנמ"ר‪ ,‬אלא גם‬
‫מצד סמנכ"ל הכספים בארגון‪ .‬זאת‪ ,‬בשל התועלות‬
‫התקציביות הנובעות ממנו‪.‬‬
‫‪2013‬‬
‫מגמות אבטחת מידע לשנת ‪2013‬‬
‫גידול בכמות אירועים שקשורים‬
‫לפגיעה בפרטיות‬
‫גידול בנוזקות למערכות ‪MAC OS X‬‬
‫גידול בנוזקות לטלפונים החכמים‬
‫‪20‬‬
‫‪13‬‬
‫גידול בכמות תקיפות‬
‫שמטרותן לסחוט את הקורבן‬
‫(‪)Ransomware&Cryptoextortion‬‬
‫הסקירה באדיבות ענקית האבטחה –קספרסקי‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪9‬‬
‫ניהול‬
‫ם‬
‫י‬
‫נ‬
‫ו‬
‫כ‬
‫סי‬
‫ייבר‬
‫עולם הס‬
‫ב‬
‫ניתן לראות מגמה חיובית‪ ,‬שבה מנהלי אבטחת מידע רבים‬
‫עוברים מהתמקדות בטכנולוגיה לטיפול נרחב בפעילות‬
‫עסקית וניהול סיכונים‪.‬‬
‫חל שינוי מהותי בתפקידו של מנהל אבטחת המידע‬
‫בארגונים‪ ,‬וניתן לראות תופעה שבה רוב מנהלי‬
‫אבטחת המידע בארגונים עוברים מהתמקדות‬
‫בתחום הטכנולוגי להתמקדות בהובלה רחבה יותר‬
‫של פעילות ניהול הסיכונים והתהליכים העסקיים‪.‬‬
‫כיום‪ ,‬תחום ניהול אבטחת המידע בעולם מתחלק‬
‫ל‪ 3-‬סוגים של מנהלים‪:‬‬
‫ •מנהל "משפיע עסקית" (‪- )Business Influencer‬‬
‫משמע‪ ,‬מנהל שנמצא בדרג ניהולי בכיר (כפוף‬
‫להנהלת המשרד) והוא בד"כ משפיע גם על‬
‫האסטרטגיות העסקיות של הארגון בו הוא פועל‬
‫ •מנהל "מונע" (‪ - )Preventive‬מנהל אבטחת מידע‬
‫שעוסק כל היום בפן הטכנולוגי‪ ,‬וכיצד למנוע‬
‫מתקפות שונות על הארגון‬
‫‪10‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫מנהלי אבטחת המידע בארגונים אשר מוערכים‬
‫כמנהלים שמשפיעים גם ברמה העסקית‪ ,‬הינם‬
‫מנהלים בכירים‪ ,‬הכפופים להנהלה הבכירה‬
‫בארגון‪ ,‬והמשפיעים בדרך כלל גם על האסטרטגיות‬
‫העסקיות של הארגונים בהם עם עובדים‪ .‬קבוצה‬
‫זו של מנהלים מציגה גם רמת מובנות גבוהה יותר‬
‫בפן העסקי‪ ,‬בהשוואה לעמיתיהם‪ ,‬הנמנים עם‬
‫קבוצת ה"מגנים" או ה"מגיבים"‪.‬‬
‫כל מנהלי אבטחת המידע‪ ,‬ללא יוצא דופן‪ ,‬עומדים‬
‫תחת לחץ כבד להגן ולשמור על הנכסים הארגוניים‬
‫היקרים ביותר‪ :‬כסף‪ ,‬מידע אודות לקוחות‪ ,‬קניין‬
‫רוחני וערך המותג‪.‬‬
‫ •מנהל "מגיב" (‪ - )Reactive‬מנהל שעסוק כל‬
‫היום בלהגיב ולהתגונן מפני מתקפות חיצוניות‬
‫ופנימיות‪ ,‬ודרישות עסקיות חדשות‬
‫הנהלת החברה מקדישה כיום לנושא אבטחת‬
‫המידע‪ ,‬יותר תשומת לב מאשר זו שניתנה לה לפני‬
‫שנתיים‪ .‬זאת‪ ,‬לאחר שסדרה של מתקפות סייבר‬
‫מקוונות ודליפות של נתונים רגישים שזכו לחשיפה‬
‫תקשורתית גבוהה שכנעה את ההנהלות בדבר‬
‫מקומה המרכזי של אבטחת המידע בארגון המודרני‪.‬‬
‫המאפיין הבולט בהבדלים של כל סוג‪ ,‬הוא מידת‬
‫עומק המוכנות שלהם ורמת הבגרות הן של מנהלי‬
‫אבטחת המידע בארגון ‪ ,‬והן של תשתיות האבטחה‬
‫המסורות לניהולם‪.‬‬
‫בעידן הדיגיטלי של היום‪ ,‬הנושאים החמים שעולים‬
‫על הפרק הינם אבטחת מכשירי קצה ויישומים‬
‫ניידים‪ ,‬והם כנראה ימשיכו להוות כמוקד מרכזי‬
‫לתשומת לב ולדאגה בשנתיים הקרובות‪.‬‬
‫ניהול טכנולוגיות אבטחה ‪OUT -‬‬
‫ניהול סיכונים ‪IN -‬‬
‫כיום‪ ,‬מנהלי אבטחת המידע בארגונים נדרשים‬
‫לראייה כוללת של ניהול סיכונים‪ ,‬ולא הסתכלות‬
‫על חלקי הפאזל בנפרד‪ .‬במקום להסתפק בתגובה‬
‫לאירועי אבטחת מידע‪ ,‬הולך תפקיד ניהול אבטחת‬
‫המידע ומשתנה לכיוון של ראייה הוליסטית של‬
‫מכלול הסיכונים‪ ,‬תוך חתירה לניהול ולמזעור‬
‫הסיכונים הללו עוד בטרם התרחש האירוע‬
‫הבעייתי‪ .‬מנהלי אבטחת מידע המסווגים בקטגוריה‬
‫המתקדמת ביותר ‪ -‬המשפיעים עסקית ‪ -‬מביאים‬
‫עימם מאפיינים ייחודיים‪.‬‬
‫ההתייחסות לנושא אבטחת המידע עבר שינוי‬
‫מהותי‪ ,‬וכיום מתייחסים לאבטחת מידע כאל‬
‫מרכיב עסקי חיוני ולא רק כאל עניין טכנולוגי‪.‬‬
‫אבטחת מידע אינה יכולה להתנהל במתכונת אד‪-‬‬
‫הוק‪ ,‬אלא כחלק יום‪-‬יומי של הדיון העסקי והתרבות‬
‫הארגונית‪ .‬ישנה חשיבות עליונה‪ ,‬להביא לפרק את‬
‫סוגיית אבטחת המידע בכל הדיונים של הנהלת‬
‫החברה‪ .‬ניתן לעשות זאת ע"י קמת פורומים‬
‫וועדות היגוי לנושאי אבטחת מידע ולעודד גישות‬
‫מערכתיות הכוללות התייחסות להיבטים חוקיים‪,‬‬
‫תפעול עסקי‪ ,‬כספים ומשאבי אנוש‪ .‬ועדות אלו‪,‬‬
‫ידונו גם בסוגיית ניהול הסיכונים בעידן הסייבר‪.‬‬
‫לצערנו‪ ,‬יש עוד הרבה עבודה לפנינו‪ ,‬ולמרות שניתן‬
‫לראות שינוי ניכר בהתייחסות הנהלת החברה‬
‫לנושא אבטחת המידע‪ ,‬מרבית הארגונים כיום עדיין‬
‫לא עושים שימוש בכלי מדידה ובמדדים מוגדרים‬
‫לניטור רמת אבטחת המידע בארגון (משתנים‬
‫הנוגעים להיבטי אבטחת מידע כגון מודעות‬
‫המשתמשים‪ ,‬הדרכת עובדים‪ ,‬מוכנות לטיפול‬
‫באיומים עתידיים‪,‬מדידת אפקטיביות הבקרות‬
‫הקיימות‪ ,‬וכו')‪.‬‬
‫מומלץ לאמץ וליישם מתודולוגיה לניהול סיכונים‪,‬‬
‫אשר תעשה שימשו במדדים‪ ,‬לצורך בקרה ושיפור‬
‫התהליכים‪ .‬חייבים להגדיר מראש מה מאבטחים‬
‫ומפני מה‪ .‬אין שני ארגונים שצרכי האבטחה שלהם‬
‫זהים לחלוטין‪ .‬הדרך להתאים את אבטחת המידע‬
‫היא להעריך ולנהל סיכונים‪ .‬סיכון הוא מצב בו‬
‫יש איום שמנצל חולשה כדי לגרום נזק‪ .‬האיום‬
‫עצמו הוא רצף נסיבות‪ ,‬שבהן עלול להתרחש‬
‫נזק פוטנציאלי‪ .‬גם לאחר שנקטנו בכל אמצעי‬
‫צמצום הסיכון‪ ,‬תמיד נשאר סיכון מסוים (הסיכון‬
‫השיעורי)‪ .‬אי אפשר לצמצם את הסיכון לאפס‪ .‬לכן‪,‬‬
‫את הסיכון שנותר יש לנהל‪.‬‬
‫לשם כך‪ ,‬יש לנתח את מבנה הארגון ולהגדיר מהם‬
‫בעלי התפקידים והגופים הרלוונטיים‪ .‬תהליך ניתוח‬
‫הסיכונים כולל את רמת הסבירות שהסיכון יתממש‬
‫לעומת רמת ההשפעה שלו‪ .‬במקביל‪ ,‬מגדירים‬
‫את אזורי האיום ואת סוגי הסיכונים‪ ,‬כולל יישומים‬
‫רגישים‪ ,‬ואיומים מצד שותפים וספקים‪ .‬לאחר מכן‬
‫יש לארגן את הסיכונים לפי סדר עדיפויות‪ ,‬המסודר‬
‫על פי רמת האפקטיביות ורמת היעילות הפיננסית‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪11‬‬
‫מלחמת‬
‫הסייבר‬
‫המלחמה הקרה שהתרחשה בין ארצות הברית‬
‫וברית המועצות בשנות ה‪ ,50-‬ה‪ 60-‬וה‪ 70-‬של‬
‫המאה הקודמת הייתה בסך הכל משחק ילדים‬
‫לעומת המצב כיום‪ ,‬בעידן הדיגיטלי‪ .‬בעידן שלנו‪,‬‬
‫בשל התפתחות המרחב הקיברנטי‪ ,‬מדינות‬
‫מתמודדות מול אתגרי אבטחה קשים בהרבה‪,‬‬
‫עם מגוון איומים נרחב ומסוכן‪ ,‬בעל השלכות‬
‫מרחיקות לכת‪ .‬זה קיים בכל היבט‬
‫של חיי היום יום‪ ,‬עבור‬
‫הפרט‪ ,‬הארגון‬
‫והמדינה‪.‬‬
‫ת ח ו ם‬
‫התשתיות‬
‫הלאומיות הקריטיות‬
‫הוא נושא חשוב מדי מכדי להשאיר‬
‫את הטיפול בהגנה עליו רק לממשלות‪ .‬דרוש‬
‫שיתוף פעולה נרחב ועמוק בין מדינות בעולם‪,‬‬
‫ובכל מדינה – בין המגזר הממשלתי למגזר‬
‫התעשייתי‪ ,‬על מנת להגביר את רמת האבטחה‬
‫הנדרשת ליצירת שכבות אבטחה רבות וכוללות‬
‫עבור התשתיות הלאומיות הקריטיות‪ .‬רק שיתוף‬
‫פעולה שכזה יספק מענה לאתגרים הרבים‬
‫מולם ניצב העולם כיום‪.‬‬
‫ניתן לדמות את מצב האבטחה בארגונים כיום‬
‫לקרחון‪ ,‬שרק ‪ 10%‬העליונים שלו גלויים‪ .‬אין ספק‬
‫שניתן לאתר חלק מהפעילות הבלתי חוקית של‬
‫האקרים‪ ,‬פריצות וניסיונות פריצה‪ ,‬הזרקת‬
‫נוזקות למערכי מחשוב ארגוניים וממשלתיים‪,‬‬
‫גניבה ודלף מידע‪ .‬אבל השאלה המרכזית היא‬
‫‪12‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫מלחמת הסייבר גורמת למודעות גדולה‪ ,‬מה שיגרום‬
‫להקצות תקציבים גדולים לעניין ולהתמודד עם‬
‫האתגרים החדשים שעומדים בפתח‪ .‬מלחמת‬
‫הסייבר גורמת נזקים לחברות‪ ,‬פוגעת במוניטין‬
‫החברה שיכולה להגיע לפגיעה עסקית‪ .‬אף על פי כן‪,‬‬
‫ההתקפות בתקופה האחרונה על החברות במשק‪ ,‬לא‬
‫פגעו במערכות הליבה של חברות אלו‪ ,‬אבל נזק נגרם‪.‬‬
‫מה קורה בחלק הגדול‪ ,‬הבלתי נראה לעין‪ ,‬של‬
‫הקרחון‪ .‬ישנם פעילויות פריצה ואנטי‪-‬אבטחה‬
‫מידע רבות שסמויות מן העין‪.‬‬
‫ואם זה לא מספיק‪ ,‬אז הטכנולוגיות החדשות‬
‫רק מחריפות את הביעה‪ .‬כל עולם ה‪,BIG DATA-‬‬
‫ה‪ ,BYOD-‬והמחשוב ענן רק מחריפים את הבעיות‬
‫הללו‪ .‬תפקידם של דור העתיד בתעשיית ההי‪-‬‬
‫טק הוא לאבטח את פעילות מערכי הארגונים‬
‫במסגרת הטמעת הטכנולוגיות החדשות‪.‬‬
‫כעת‪ ,‬האתגר של אבטחת המידע בכל הארגונים‬
‫– הממשלתיים והמסחריים גדול יותר‪ .‬תפקיד‬
‫המנמ"רים כיום הוא לאבטח את כלל פעילות‬
‫המחשוב המבוצעת‪ ,‬וליצור את סביבת עבודה‬
‫יעילה אך מאובטחת‪ .‬זהו האתגר‪ ,‬בה"א הידיעה‪,‬‬
‫של המאה ה‪.21-‬‬
‫הפתרון – שילוב כוחות‬
‫רק שיתוף פעולה בין תעשיות האבטחה‬
‫הממשלתיות והמסחריות יניב את רמת האבטחה‬
‫הנדרש‪ .‬האתגר גדול ונרחב ביותר‪ ,‬יש טכנולוגיות‬
‫שלא ניתן לאבטח‪ ,‬יהיה קונפליקט בארגונים –‬
‫מה לאבטח‪ ,‬איך וכו'‪ .‬צריך לבנות תשתיות הגנה‬
‫בהיבט האבטחה בצד המסחרי‪ ,‬כאלו שיגנו‬
‫על כלל התשתיות‪ .‬הרי בסופו של דבר‪ ,‬כולנו‬
‫ניזוקים מאותן נוזקות ויש לנו אותן פגיעויות‪.‬‬
‫הישויות הפוגעות בתשתיות‬
‫המסחריות‬
‫ובתשתיות‬
‫הממשלתיות – ציבוריות‬
‫הן זהות‪ .‬אלה אותם האקרים‪ .‬לכן‪,‬‬
‫נדרשת אותה אסטרטגיית הגנה‪ .‬יש להבטיח‬
‫שכל תהליך עסקי יהיה מאובטח כמו כל תהליך‬
‫ממשלתי‪ .‬אם נאבטח בצורה נכונה וכוללת –‬
‫נוכל לבחון בצורה נכונה את מה שקרה‪ ,‬ולהיערך‬
‫בצורה פרו‪-‬אקטיבית לקראת האיומים הבאים‪.‬‬
‫אם נלמד מהאמריקאים‪ ,‬כשהם המציאו את‬
‫נושא הגנת המולדת (‪,)Homeland Security‬‬
‫האו נתפס כביטוי אמריקני של תגובה לטרור‬
‫במגדלי התאומים‪ .‬אבל "מולדת" היא הסביבה‬
‫הכוללת של איפה שאנו חיים ועובדים‪ .‬תשתיות‬
‫ה‪ IT-‬הללו הן כלל עולמיות‪ .‬מדובר בבעיה‬
‫כלל עולמית שתבטיח שנוכל להמשיך לחיות‬
‫ולעבוד‪ ,‬מבלי שלמערכות ה‪ IT-‬תהיינה בעיות והן‬
‫תותקפנה על ידי נוזקות שתפסקנה את פעולתן‪.‬‬
‫קורס ‪CISO‬‬
‫תלמד • תוביל • תצליח!‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום‪ ,‬יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את הנושאים השונים‬
‫תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי‬
‫העדיפות של הנושא (בהתאם לחומרת העניין ותהליך‬
‫ניהול סיכונים מובנה)‪ ,‬וכמובן נצייד את התלמידים‬
‫בכל הכלים‪ ,‬הן בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪,‬‬
‫שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו‪.‬‬
‫הקורס חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן‬
‫בפן הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה‬
‫לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה‬
‫שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם‬
‫אבטחת המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫שיטת הלימוד‬
‫‬
‫‬
‫‬
‫•הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומם בארגון‬
‫•הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫•הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫למידע‪ ,‬ייעוץ והרשמה‬
‫ניתן לפנות לטלפון ‪077-5150340‬‬
‫דוא"ל ‪[email protected] :‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪13‬‬
‫האיגוד העולמי לאבטחת מידע‬
‫(‪– )ISSA‬הציאפטר הישראלי‬
‫האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו‬
‫העיקרית היא קידום נושא אבטחת המידע בישראל‪ ,‬בכל ההיבטים‪.‬‬
‫אודות גיליון ‪Global Security‬‬
‫למה כדאי לחפש מידע במגזין שלנו‬
‫ולא למשל ב‪ Google-‬או כל עיתון אחר?‬
‫חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה‪ ,‬כגון הרצאות‬
‫מקצועיות‪ ,‬ימין עיון‪ ,‬חומרים מקצועיים‪ ,‬ועוד‪ .‬כיום‪ ,‬חברים באיגוד כמה מאות‬
‫מקצועני אבטחת מידע‪ ,‬ואנו שואפים לגייס את כלל קהילת ה‪ IT-‬בישראל‪.‬‬
‫בנוסף‪ ,‬חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של ‪–Global Security‬‬
‫המגזין המוביל בישראל בתחום אבטחת המידע‪.‬‬
‫‪e‬‬
‫‪S e c‬‬
‫‪u r i‬‬
‫‪t y‬‬
‫‪M a g‬‬
‫‪a z i‬‬
‫‪n e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪I n f‬‬
‫‪o r m‬‬
‫‪a t i‬‬
‫‪o n‬‬
‫מגזין א בטחת‬
‫מגזין אב‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‬
‫•מיקוד בתחום אבטחת המידע – המגזין‬
‫עוסק אך ורק בתחום אבטחת המידע‬
‫וניהול סיכונים‪.‬‬
‫‬
‫•יותר כתבות מקצועיות ופחות תדמיתיות‬
‫– רוב המגזינים כיום יותר תדמיתיים‪,‬‬
‫ופחות מקצועיים‪ .‬אנו שומרים על רמה‬
‫מקצועית‪ ,‬וכמות מינימאלית של כתבות‬
‫תדמית‪.‬‬
‫‪n‬‬
‫מידע וניהול‬
‫סיכונים | גיליון מס' ‪4‬‬
‫| אוגוסט ‪2012‬‬
‫| יולי ‪2012‬‬
‫גיליון מס' ‪3‬‬
‫יהול סי כונים |‬
‫‪I‬‬
‫‬
‫•השוואתיות – מאפשר השוואה פשוטה‬
‫ואובייקטיבית בין הספקים והפתרונות‪.‬‬
‫‬
‫•היקף מידע – תמונה רחבה יותר‪ ,‬ולא רק‬
‫התמקדות בנושאים ספציפיים‪.‬‬
‫‪Identity M‬‬
‫‪anagemen‬‬
‫‪t‬‬
‫‬
‫נתי של האיגוד‬
‫קור הכנס הש‬
‫סי‬
‫בעולם הסייבר‬
‫מגמות‬
‫ערכות ‪SIEM‬‬
‫מ‬
‫ערכות ‪IPS‬‬
‫מ‬
‫זהירות בוטנט‬
‫•תשלום סמלי – מדובר בעלות סמלית‪,‬‬
‫והנכם מנויים למגזין אבטחת המידע‬
‫המוביל בישראל‬
‫‬
‫•מקצועני אבטחת מידע – כל הכותבים‬
‫שלנו עוסקים בתחום אבטחת המידע‬
‫למעלה מ‪ 7-‬שנים‪ ,‬והם בכירים בתחום‪,‬‬
‫ברמה העולמית‪.‬‬
‫טחת מידע ונ‬
‫בשער‬
‫מלחמת‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫סייבר‬
‫האיום‬
‫החדש בעידן הסייבר‬
‫מתקפות ‪APT‬‬
‫הגנה על מערכות‬
‫‪SCADA‬‬
‫אחת לרבעון – מוסף מיוחד‬
‫מה הערך המוסף שלנו?‬
‫בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם‬
‫לכמה ספקים בהתאם להוצאת ‪ RFI/RFP‬מהחברה‪ .‬אנו מרכזים עבורכם את כל‬
‫המידע המקצועי המקיף ביותר‪ ,‬ובר השוואה אודות הפתרונות אבטחת המידע השונים‪,‬‬
‫באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי‪:‬‬
‫‪ .1‬סקירה טכנולוגית רחבה אודות הפתרון‬
‫שמחפשים‬
‫‪ .2‬סקירת הפתרונות בתחום הספציפי‪.‬‬
‫‪ .3‬מי הם הספקים המובילים בתחום?‬
‫‪ .5‬פרטי החברה של היצרן‪/‬ספק‪/‬האינטרגטור‪:‬‬
‫שם‪ ,‬מספר עובדים‪ ,‬שנת הקמה‪ ,‬יתרונות‬
‫וחסרונות‪ ,‬סוגי פעילות בחברה‪ ,‬נושאים \תחומי‬
‫פעילות והתמחות‪ ,‬קישורים‪ ,‬מידע טכנולוגי‪,‬‬
‫איש קשר‪ ,‬חוסן כלכלי‪ ,‬לקוחות בארץ‪ ,‬לקוחות‬
‫בחו"ל‪ ,‬תוכניות הרחבה למוצר‪ ,‬מספר התקנות‬
‫‪14‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫בארץ‬
‫‪ .6‬מה הערך המוסף של כל ספק בתחום‬
‫הפתרון המוצע?‬
‫‪ .7‬כיצד מנהלים את הפרויקט?‬
‫‪ .8‬מהם נקודות כשל בפרויקט שמהם צריכים‬
‫להיזהר?‬
‫‪ .9‬מה צריכים לדרוש מהספקים בעת יציאה‬
‫למכרז?‬
‫מדדים‬
‫זו לא מילה גסה‬
‫דני אברמוביץ‪ ,‬נשיא האיגוד ‪( ISSA‬הציאפטר הישראלי) ומנכ"ל קבוצת ‪ ,TITANS SECURITY‬הרצה‬
‫במפגש החודשי על יישום מתודולוגיות למדידת האפקטיביות של רמת אבטחת המידע בארגון‪.‬‬
‫"רוב מנהלי אבטחת המידע בארגון מתקשים סביב האופן שיש לדווח על פעולות המבוצעות בתחום‬
‫אבטחת המידע ולהציג את הערך של מה שבוצע"‪ ,‬אמר דני‪" .‬זה שלא אירע שום דבר‪ ,‬זה לא אומר‬
‫שלא צריך למדוד את האפקטיביות של הבקרות‪ .‬וגם‪ ,‬כיצד ניתן לדעת האם האירוע קרה מאחר‬
‫שמנהל אבטחת המידע עשה או לא עשה משהו?"‪ ,‬מה שנקרא בשפה המקצועית ‪ -‬הפקת לקחים‪.‬‬
‫יחידת אבטחת המידע נחשבת בארגון כמרכז‬
‫הוצאה ‪ -‬יחידה שמבקשת כסף מההנהלה‪ ,‬אולם‬
‫לא ממש ברור מה נעשה איתו‪.‬‬
‫נדרשת הכנסת שפה וסטנדרטיזציה לעולם‬
‫אבטחת המידע בארגון‪ .‬מנהלי אבטחת המידע‬
‫צריכים לאמץ וליישם בארגון מתודולוגיה ברורה‬
‫שמסדירה מה יש לדווח ובאיזו שפה לעשות‬
‫זאת‪.‬‬
‫המידע‪ ,‬ולמדוד את האפקטיביות שלהם‪,‬‬
‫ולאפשר מקצה שיפורים‪.‬‬
‫פיתחנו מודל שמציג נוסחה המאפשרת לקשר‬
‫בין הבקרות לבין רמות הסיכון השונות‪ ,‬וכך‬
‫מתאפשרת תפירת חליפת אבטחה לארגון‪,‬‬
‫שמשקפת נאמנה את רמת הסיכון‪ ,‬ללא תלות‬
‫בעוד נתונים לא רלוונטיים או מגמות שוק‬
‫חולפות"‪ ,‬אמר דני‪.‬‬
‫בהרצאתו‪ ,‬הציד דני מספר מתודולוגיות‬
‫המאפשרות בקלות לקשור בין הסיכון של‬
‫הארגון‪ ,‬מאמצי פעילות אבטחת המידע‪,‬‬
‫ההשקעה הנדרשת וההון המוקצה לכך‪ .‬זאת‪,‬‬
‫במטרה שניתן יהיה להצדיק את הפעולות של‬
‫מנהל אבטחת המידע בתוכניות הארגון לשנה‬
‫הבאה ולטווח רחוק יותר‪.‬‬
‫דני הדגיש את הצורך של מנהלי אבטחת‬
‫המידע להציג בפני מקבלי ההחלטות בארגון‬
‫נתונים ברורים‪" .‬לנהל עסקים זה לנהל סיכונים‪,‬‬
‫וכשהמנהלים הבכירים מבינים את הנתונים זה‬
‫נותן להם תשתית טובה לקבלת החלטה נכונה‬
‫יותר"‪ ,‬ציין דני‪" .‬הם אלה שמנהלים בסופו של‬
‫דבר את הסיכון עבור הארגון בכללותו"‪.‬‬
‫בנוסף‪ ,‬הציג דני כיצד בקלות ניתן להגדיר מדדים‬
‫לכל בקרה או תהליך עבודה בתחום אבטחת‬
‫מחקרים מראים כי בנושא קבלת ההחלטות‬
‫וניהול על בסיס מידע‪ ,‬עולים הממצאים הבאים‪:‬‬
‫כ‪ 60%-‬מהארגונים המובילים‪ ,‬לעומת ‪30%‬‬
‫בלבד בארגונים האחרים‪ ,‬משתמשים בכלי‬
‫מדידה ובמדדים מוגדרים לניטור משתנים‬
‫הנודעים לתחום אבטחת המידע‪ ,‬בהם מודעות‬
‫משתמשים‪ ,‬הדרכת עובדים‪ ,‬מוכנות לטיפול‬
‫באיומים עתידיים‪ ,‬מדידת אפקטיביות הבקרות‬
‫הקיימות‪ ,‬ושילוב טכנולוגיות חדשות‪.‬‬
‫לסיום‪ ,‬אני ממליץ שהנהלת הארגון תוביל‬
‫את תחום אבטחת המידע‪ ,‬ע"י כך שתגדיר‬
‫תוכנית פעולה המבוססת על היכולות הקיימות‬
‫בארגוניהם וזו תתמקד בצרכים הבוערים‬
‫ביותר‪ .‬כך יוכלו מנהלי אבטחת המידע בארגון‪,‬‬
‫להתקדם באמצעות קיום וועדות היגוי לאבטחת‬
‫מידע‪ ,‬וקידום חשיבות אבטחת המידע בארגון‪,‬‬
‫לצד ניהול סיכונים יעיל‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪15‬‬
‫‪Cloud‬‬
‫כלי שיתוף‬
‫מאובטחים ומוצפנים בענן‬
‫השפעתם הדרמתית של כלי השיתוף בענן (‪ )Collaboration Tools‬בארגוני‬
‫ה‪ Enterprise-‬משנים ללא ספק את הדרך שבה אנשים מתקשרים ומאיצים‬
‫בתוך כך את התפשטות המידע בארגון במהירות וביעילות‪.‬‬
‫חברת המחקר הבינלאומית ‪ McKinsey‬פרסמה‬
‫לאחרונה תוצאות מחקר שסקר את השפעתם‬
‫של כלי שיתוף בארגוני אנטרפרייז‪ .‬התוצאות‬
‫מראות בין היתר ש‪ 77%-‬מבין הנשאלים‬
‫בארגונים רואים גישה מהירה יותר למידע‪60% ,‬‬
‫מצאו הפחתה דרמתית בתקשורת‪/‬דוא"ל ‪52% ,‬‬
‫רואים גישה מהירה יותר למומחים פנימיים‪/‬‬
‫חיצוניים ולמעלה ממחצית הנשאלים מדווחים כי‬
‫ראו ירידה משמעותית בזמן שלוקח למשתמשים‬
‫ולצוותים כדי להשלים משימות עסקיות‪.‬‬
‫סקר ‪ Forrester‬עדכני מצא כי ‪ 72%‬ממקבלי‬
‫החלטות ‪ IT‬אומרים כי המוטיבציה העיקרית‬
‫שלהם להשתמש בפתרון שיתוף בענן מבוסס‬
‫‪ SaaS‬היא לשפר את הגמישות העסקית על ידי‬
‫הוספה של תהליכים עסקיים חדשים וחדשניים‬
‫ליכולות הקיימות של ה‪.IT-‬‬
‫המגמות ברורות‪ :‬כלי שיתוף בענן משנים‬
‫ללא ספק את הדרך שבה אנשים מתקשרים‬
‫ומאיצים בתוך כך את התפשטות המידע‬
‫במהירות וביעילות‪ .‬כבר היום אנו עדים לשינוי‬
‫דרמתי באופן בו אנו מחליפים מידע ומשתפים‬
‫אותו במקום העבודה‪ .‬זהו עידן של תקשורת‬
‫חברתית שמתורגמת מהר מאוד לשורת הערך‬
‫התחתונה של הארגון‪ .‬הדרך בה אנו עובדים היום‬
‫היא שונה מהאופן בו אנו עבדנו רק לפני שנים‬
‫ספורות ובתוך כך אנחנו חייבים להתאיםאת‬
‫עצמנו למציאות זו‪.‬‬
‫סביבות שיתופיות משופרות מהוות הזדמנות‬
‫עבור ארגונים לחדד את המודלים העסקיים‬
‫שלהם‪ .‬ארגונים צריכים פתרונות ושירותים‬
‫המאפשרים לאנשי מקצוע ביצוע עבודה טובה‬
‫יותר בסביבות העסקיות המשתנות של ימינו‪.‬‬
‫כלי השיתוף מעודדים שיתוף של רעיונות שאולי‬
‫לא היה אפשרי בלעדיהם וזאת להבדיל משיטות‬
‫התקשורת ארגוניות הקיימות כגון דוא"ל‪FTP,‬‬
‫וכונני רשת בהן המידע אינומובנהולא מאפשר‬
‫למצוא במהירותאת המידע הנדרש ‪.‬‬
‫הכללתם שלכלי שיתוף מספקת אפשרויות‬
‫אינסופיות לשיפור פריון עבודה‪ ,‬איכות העבודה‬
‫והחוויה הכוללת בעבודה‪ .‬עובדים צריכים כל‬
‫הזמן כלים שיאפשרו להם לנווט בין הגבולות‬
‫הארגוניים‪ ,‬לעודד שיתוף של רעיונות ‪,‬להתחבר‬
‫לאנשים הנכונים ולהגביר את קצב ואיכות‬
‫העבודה שלהם‪ .‬בתוך כך‪ ,‬עובדים נוטים יותר‬
‫‪16‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫להשתתף ביוזמות של חדשנות‪ ,‬לשאול שאלות‪,‬‬
‫לשתף ברעיונות‪ ,‬ולגלות מה אנשים בסביבתם‬
‫העסקית הקרובה חושבים בזמן אמת על נושאי‬
‫פעילות משותפים להם‪.‬‬
‫מידע רגיש המועבר מספר פעמים ביום עם‬
‫אנשים בתוך ומחוץ לחברה מחייב שימוש‬
‫בפלטפורמות טכנולוגיות חכמות הכוללות גם‬
‫כלי שיתוף מאובטחים המאפשרים לעסקים‬
‫להגן על המידע של חברה באופן רציף‪.‬‬
‫החשש למעבר לענן מובן וימשיך להדיר שינה‬
‫כל עוד נהיה חשופים לפלטפורמות טכנולוגיות‪/‬‬
‫אינטרנטיות המהוות חלק בלתי נפרד ממערכות‬
‫התפעול היום יומיות של כולנו‪ .‬יחד עם זאת ולשם‬
‫כך נקבעות קני אבטחה מחמירים המקובלים‬
‫בסטנדרטים בהן נבחנות מערכות מסוג זה‪.‬‬
‫יעידו על כך חברות שמגלגלות מיליארדי דולרים‬
‫כדוגמת ‪(P&G‬פרוקטר&גמבל)עם עשרות אלפי‬
‫עובדים שסמכו ידם על תקני אבטחה אלו ועברו‬
‫לשימוש בכלי שיתוף בענן‪.‬‬
‫מערכות השיתוף המתקדמות בענן כוללת‬
‫למעשה סדרת פתרונות הכוללות בין היתר‪:‬‬
‫‪Document Management, Online File System,‬‬
‫‪FTP replacement , Deal Room , Project‬‬
‫‪.Management, Manage File Transfer‬‬
‫כמו כן מאפשרות שילוב מאובטח של אפליקציות‬
‫המרחיבות את הפונקציונאליות הארגונית‬
‫הנדרשת‪.‬‬
‫‪Computing‬‬
‫מאפיינים‬
‫לאבטחת‬
‫תוכן בענן‬
‫בעידן ה‪BYOD-‬‬
‫מאת דוד אלוש‪ ,‬מנכ"ל ומייסד חברת‬
‫‪ CloudCom‬נציגת ‪ Box‬בישראל‪ ,‬פלטפורמת‬
‫בינלאומית לניהול ושיתוף תוכן מאובטח‬
‫מוצפן בענן‪.‬‬
‫החשש למעבר לענן מובןו ימשיך להדיר שינה כל עוד נהיה‬
‫חשופים לפלטפורמות טכנולוגיות המהוות חלק בלתי נפרד‬
‫ממערכות התפעול היום יומיות של כולנו‪ .‬יחד עם זאת ולשם‬
‫כך נקבעו תקני אבטחה בהן נבחנות מערכות אלו ונסקרות‬
‫במאמר זה‪.‬‬
‫על מנת להבטיח את אותה שלמות במערך האבטחה‪ ,‬השרידות‬
‫והיתירות ושהתוכן בענן יהיה בלתי נגיש לגורמים שאינם‬
‫מורשים נבחין בשבעה מעגלי אבטחה ‪:‬‬
‫לסיכום ניתן לומר שלכלי שיתוף בענן יש את‬
‫היכולת לחולל שיפור בתהליכים העסקיים‬
‫והחזר השקעה צריך להימדד בסופו של דבר‬
‫על פי תוצאות של תהליכים עסקיים‪.‬‬
‫הכותב הינו דוד אלוש‪ ,‬מנכ"ל ומייסד חברת‬
‫‪ CloudCom‬נציגת ‪ Box‬בישראל‪ ,‬פלטפורמת‬
‫בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן‬
‫בענן‪.‬‬
‫• למידע ומאמרים נוספים בתחום‬
‫‪www.CloudCom.co.il‬‬
‫• לשאלות ניתן לפנות באמצעות הדוא"ל ‪-‬‬
‫‪[email protected]‬‬
‫• להתייעצות טלפונית אישית ‪054-4637000 -‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪17‬‬
‫‪6.6‬התראות‪ :‬נדרשת יכולת למתן התראה‬
‫לדוא"ל באירועי‪ :‬צפייה‪ ,‬הורדה‪ ,‬כתיבת‬
‫הערה למסמך‪ ,‬עריכה‪ ,‬או העלאה של‬
‫מסמך לתיקיה או לקובץ‪ .‬בתוך כךרצוי‬
‫לקבל גם רשימת התראות מסכמת אחת‬
‫ליום בהתאם להעדפות המשתמש‪.‬‬
‫‪7.7‬קישורים‪ :‬אחת הדרכים לשתף מסמך‬
‫היא לשלוח ליעד כלשהו קישור ‪ ,‬לקישור‬
‫זה מפתח יחודי ונדרש לקבוע אם מקבל‬
‫הקישור יוכל לבצע פעולת הדפסה הורדה‬
‫של המסמך או לצפות בו בלבד‪.‬‬
‫‪8.8‬גישה למסמכים מתוחמת בזמן‪ :‬נדרשת‬
‫אפשרות לקבוע תאריך תפוגה לחשיפת‬
‫מסמך בקישור ‪ ,‬בפקיעת המועד שנקבע‪,‬‬
‫המסמך יחדל להיות זמין ‪.‬‬
‫‪9.9‬שיתוף‪ :‬בכל יצירת תיקיית שיתוף נדרשת‬
‫אפשרות להזמין שותפים על פי תפקידם‬
‫לדוגמא ‪ :‬להגביל את שותפיך למסמך או‬
‫לתיקיה בהנתן להם הרשאות של צפייה‬
‫בלבד ‪ .‬הרשאה זו תמנע מהם לבצע‬
‫"הורדה" של המסמך לערוך אותו או לטעון‬
‫לתיקייה מסמכים אחרים‪.‬‬
‫‪1212‬מעקב על כל תנועה של קובץ במערכת‪ ,‬מי‬
‫יצר‪,‬מי העלה‪,‬מי צפה‪ ,‬מי הוריד וכו'‬
‫מעגל זה כולל פרמטרים המוגדרים תחת מדיניות‬
‫ארגונית ומכיל בין היתר את היכולות הבאות‪::‬‬
‫‪- Single Sign-on‬‬
‫‪5.5‬מתן אפשרות זיהוי משתמש באוטנטיקציה‬
‫במולטי פאקטור ( ‪out of band‬‬
‫‪ ) authentication‬באופן כזה שמשתמש‬
‫במערכת יקבל איתות בערוץ מקבילי שהוא‬
‫איננו הערוץ דרכו הוא מנסה להתחבר‪.‬‬
‫‪1010‬הרשאות גלובליות‪ :‬נדרשת אפשרות לקבוע‬
‫מגבלות שיחולו על כל עובדי הארגון לדוגמא‪:‬‬
‫מי יהא רשאי לפתוח תיקיה או "לטעון" קובץ‬
‫לתוך המערכת‪.‬האם משתמשי המערכת‬
‫רשאים לשתף מסמכים או מידע‪,‬‬
‫‪1.1‬אפשרות קביעת חוזק סיסמא ‪,‬הגבלת‬
‫מספר תווים‪ ,‬שימוש בספרות‪ ,‬אילוץ שימוש‬
‫בתווים מיוחדים וכו‪.‬‬
‫‪1.1‬שימוש ב ‪SSO‬מנטרל באופן מיידי פריצות‬
‫אבטחה מהחמורות בנמצא כגון גנבת‬
‫סיסמא‪ .‬המשתמש‪ ,‬לא אמור להידרש לזכור‬
‫מספר ססמאות רב‪ .‬התחברות למחשב‬
‫האירגוני שלו תספק תעודת אוטנטיקציה‬
‫במעבר שקוף‪ .‬זכירת מספר גדול של‬
‫סיסמאות לעיתים מביאה את המשתמש‬
‫להוריד אותם לכתב (פריצת אבטחה‬
‫חמורה) ולעיתים מאלצת את המשתמש‬
‫"למחזר" סיסמא אחת במספר מערכות‬
‫וחלקן מחוץ לארגון בשרותים אחרים בהם‬
‫הוא משתמש‪.‬‬
‫‪6.6‬גישה ממכשירי ניידים‪ :‬בכל גישה למכשיר‬
‫נייד נדרשת החלתמדיניות ‪ SSO‬ומוצפן‬
‫באמצעות ‪ .SSL‬בכל מקרה של אבדן או‬
‫גנבת מכשיר נדרשת המערכת לאפשר‬
‫ניתוק הקשר בזמן אמת בנוסף לאפשרות‬
‫של חסימה ו‪/‬או נעילת גישה מכל סוג שהוא‬
‫באמצעות קוד נעילה במקרה בו עלול‬
‫מכשיר נייד ליפול לידיים זרות‪.‬‬
‫האם מקבל קישור למסמך יכול "להוריד" את‬
‫המסמך למחשבו האישי או למכשיר הנייד (מדיה‬
‫סלולרית) שברשותו‪ ,‬מי יכול להזמין "שותפים"‬
‫לתכנים‪ ,‬מהו פרק הזמן המערכתי אשר לאחריו‪,‬‬
‫קישור של מסמך כלשהו שנשלח "יתפוגג" וכן מתן‬
‫אפשרות לקביעת תאריך מסגרת לפרוייקטים‪.‬‬
‫מעגל ראשון‬
‫הגדרות אפליקטיביות‬
‫‪2.2‬אפשרות אילוץ איפוס סיסמה הן ברמת‬
‫המשתמש הבודד והן ברמת כוללת כחלק‬
‫ממדיניות כלל ארגונית‪.‬‬
‫‪3.3‬אפשרות מניעת שימוש חוזר בסיסמא‪.‬‬
‫‪4.4‬משלוח התראות וחסימת גישה אטוטמטית‪,‬‬
‫במעבר סף כשלונות ‪. Login‬‬
‫‪5.5‬הגבלה וקביעת פרק זמןמקסימלי מרגע‬
‫תחילת תהליך הכניסה למערכת‪.‬‬
‫‪6.6‬חסימת גישה מיידית לעובד שסיים עבודתו‪,‬‬
‫פרוצדורות תואמות‪ ,‬לאבדן או גניבת מכשיר‬
‫נייד‪.‬‬
‫‪7.7‬מתן אפשרות אימות כניסת משתמשים‬
‫בשני שלבים‪ ,‬באמצעות ערוצים מקבילים‬
‫גם במכשירים ניידים‪.‬‬
‫‪8.8‬ניהול גישה מבוססת תפקידים וניהול‬
‫קבוצות משתמשים‪.‬‬
‫‪9.9‬ניהול משתמשים‪ ,‬קביעת הרשאות גישה‬
‫בכמה רמות של צפייה‪ ,‬עריכה‪ ,‬הורדה‪,‬‬
‫העלאה ‪,‬הדפסה וכו' ‪.‬‬
‫‪1010‬הגבלת חשיפת תוכן באמצעות סיסמא או‬
‫קביעת תאריך תפוגה עתידי‪.‬‬
‫‪1111‬מתן אפשרות חסימת שיתוףתוכן או שליחת‬
‫חומר מחוץ לדומיין האירגוני‪.‬‬
‫‪18‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫מעגל שני‬
‫‪SSO‬‬
‫‪Active Directory/LDAP‬‬
‫‪2.2‬שילוב במנגנון‬
‫האירגוני ‪ ,‬תאפשר לאירגון לשלוט בכל‬
‫מערכות ניהול המשתמשים ממקום אחד‬
‫מרכזי ‪ .‬בתוך כך יש לוודא שבכל הסרה של‬
‫משתמש מ ‪ Active directory‬האירגוני ינותק‬
‫גם המשתמש מכל האפליקציות האחרות‬
‫שלו‪.‬‬
‫‪3.3‬תמיכה בלפחות אחד מפרוטוקולים כדוגמת‬
‫‪SAML 2.0 - Security Assertion Markup‬‬
‫‪ Language‬בכל תקשורת בין הדפדפן ל‪-‬‬
‫‪ IDP - Identity provider.SAML‬הינו פרוטוקול‬
‫מוכר המאפשר לארגון להעביר באופן‬
‫מאובטח פרטי אוטנטיקציה ואוטוריזציה‬
‫ביחסי אמון‪.‬‬
‫‪4.4‬נדרש שינוע של ססמאות מוצפן ב ‪SSL 256‬‬
‫‪,‬מניעת אחזקתן בחשבון האינטרנטי וחסימת‬
‫אפשרויות איפוס ב ‪ SSO‬באמצעות חשבון‬
‫האינטרנט‪.‬‬
‫מעגלי שלישי‬
‫הרשאות וניהול רישום‬
‫מעגל רביעי‬
‫הצפנת ‪Data‬‬
‫לשדרת האינטרנט על מנת שתוכל להבטיח‬
‫רמת ביצועים גבוהה‪ ,‬יתירות וזמינות‬
‫מקסימאלית‪.‬‬
‫‪2.2‬על כל שרתי הרשת להיות מצויים מאחורי‬
‫חומת אש איתנה (‪ )firewall‬המאפשרת‬
‫נגישות סלקטיבית לשרותי המערכת‪.‬‬
‫‪3.3‬באופן שוטף צריכים להתבצע בנוסף גם‬
‫תהליכים אוטומטים לצורך בדיקות חדירה‬
‫חיצוניותבכדי לוודא תקינות המערכת‬
‫ולאבטחה מוגברת‪.‬‬
‫‪4.4‬ביו היתר נדרשות קיומן של מערכות מהסוג‬
‫של ‪,IDS -Intrusion Detection System‬‬
‫המשמשות כמוניטור לאיתור "פלישות"‬
‫לרשת בזמן אמת‪.‬‬
‫מעגל שישי‬
‫חוות השרתים‬
‫‪1.1‬על חוות שרתים לעמוד בסטדנרטים ותקנים‬
‫כאלו שיאפשרו בין היתר רמת יתירות‬
‫גבוהה‪ ,‬גיבוי תחת אבטחה פיזית ‪7\24‬‬
‫ומאויישות בשומרים חמושים והכל תחת‬
‫מדיניות גישה מחמירה וקפדנית‪ ,‬הכוללת‬
‫מערכות לזיהוי ביומטרי ‪ ,‬כספות וכלובים‬
‫לאכסון מידע "רגיש"‪.‬‬
‫‪2.2‬על ספק השירות להצהיר על עמידה‬
‫בתקני ביקורת לספקי שירותים כדוגמת‬
‫‪SSAE 16 Type II‬והרחבה של תקן ‪SAS‬‬
‫‪.70‬תקן המבטיח כי נותן שירות עומד‬
‫בתקנים חשבונאים מחמירים המאפשרים‬
‫מתן שירותים לאירגונים מבלי לסכן את‬
‫פעילותם או את המידע אשר הם מאכסנים‬
‫ברשותו ‪ ,‬תקן זה כולל ביקורת תשתיות‬
‫פיזיות‪ ,‬בדיקות מקצועיות של רמת השרות‪,‬‬
‫זמינות השרתים‪ ,‬שלמות עיבוד הנתונים‪,‬‬
‫נהלי סודיות ופרטיות‪ ,‬ביקורת על התהליכי‬
‫עיבוד מידע רגיש‪.‬חברות שירות מבוססות‬
‫ענן ספורות ביותר‪ ,‬יכולות להתפאר בתקן‬
‫זה‪.‬‬
‫‪1.1‬מעקב ‪ -‬נדרשמעקב מלא על כל תנועה‬
‫של משתמש וקובץ במערכת‪ ,‬מי יצר‪,‬מי‬
‫העלה‪,‬מי צפה‪ ,‬מי הוריד וכו'‪.‬‬
‫‪1.1‬נדרשת הצפנה אוטומטית של מידע בכל‬
‫שלב של העלאה והורדהרצוי בסטנדרט של‬
‫‪. AES/BIT.256‬שימוש בסטנדרט של ‪AES‬‬
‫‪ -Advanced encryption standard‬הוא צופן‬
‫מקובל שאומץ כתקן ההצפנה הסימטרית‬
‫הרשמי של ממשלת ארה"ב‪.‬‬
‫‪3.3‬עמידה בביקורת חייבות להיות מבוצעת ע"י‬
‫גורם צד שלישי מוסמך ובמספר פעמים‬
‫בשנה‪.‬‬
‫‪2.2‬בקרה ‪ -‬נדרשת מערכת של דוחות בקרה‬
‫ותפעול לאיתור וניתוח כל פעילות ומכל‬
‫סוג שהוא בחשבון המשתמש בין היתר של‬
‫מיון וסינון דוחות בפילטרים של קבוצות‬
‫משתמשים‪ ,‬תאריכים‪ ,‬קבצים‪ ,‬ומשתמשים‪.‬‬
‫‪2.2‬גם על מפתחות ההצפנה נדרשת הצפנה‬
‫ויש לשמרם במספר מיקומים‪/‬במסדי‬
‫במסדי נתונים נפרדים ובתוך כך להבטיח‬
‫שמיקומי המפתחות יעברו רוטציה בתדירות‬
‫גבוהה‪.‬‬
‫‪4.4‬זמינות המערכות צריכות להתבסס על‬
‫יתירות של ‪ N +1‬או יותר לכל רכיב קריטי‬
‫במערכת‪.‬המינוח (‪ )N+1‬משמעותו כי לכל‬
‫רכיב קריטי במערכת מוחזק לכל הפחות‬
‫עותק אחד עודף‪.‬‬
‫‪3.3‬אתראות ‪ -‬מתן אתראות מפני פריצה‬
‫אפשרית ונסיונות חדריה למערכת‪.‬‬
‫‪3.3‬על ספק פתרונות להבטיח שגם לעובדיו‬
‫הבכירים ביותר לא תהיה את היכולת לפענח‬
‫מסמך כלשהו בשום דרך ובשום צורה שהיא‪.‬‬
‫‪5.5‬נדרש שכל השרתים יהיו מאוכסנים‬
‫בכלובים וכספות המוגנים במערכות סריקה‬
‫ביומטרית‪ .‬הגישה לציודי החברה צריכה‬
‫להיות מוגנת ומאובטחת באמצעות שומרים‬
‫מזויינים ‪ 7\24‬אמצעי זיהוי ביומטרים‬
‫ומערכות טלויזה במעגל סגור (‪. )CCTV‬‬
‫(‪)Full Audit Trail‬‬
‫‪4.4‬הרשאות ‪ -‬קביעת מערך הרשאות פרטני‬
‫המאפשר שליטה ברמת קובץ‪,‬תיקייה‬
‫‪,‬משתמש וקבוצה‪.‬‬
‫‪5.5‬הגנת ססמא ‪ :‬מתן אפשרות לשתף מסמך או‬
‫קובץ באמצעות סיסמא‪ ,‬כך שרק משתמש‬
‫המחזיק בססמא יוכל לעיין במסמך‪.‬‬
‫מעגל חמישי‬
‫הרשת‬
‫‪1.1‬על הרשת המאחסנת להיות מנוטרת באופן‬
‫שוטף בפני איומים ובעלת קישורים מרובים‬
‫מעגל שביעי‬
‫משרדי נותן השירות ועובדיו‬
‫האבטחה מתחילה במשרדי נותן השירות עצמו ‪,‬‬
‫על פי התקנים יש לוודא קיומם של פרוצדורות‬
‫עבודה במדיניות החברה‪ .‬כל עובד צריך לעבור‬
‫הכשרת בטיחות בה מועברים לו הפרוצדורות‬
‫וההליכים הנוגעים לענייני אבטחה‪ .‬קיומו של תקן‬
‫‪ , SAS-70 audit report‬יבטיח כי מתנהל רישום‬
‫ותעוד מפורט הכולל בין היתר‪:‬‬
‫‪1.1‬בדיקת היסטורית עובד ‪.‬‬
‫‪2.2‬רישום גישה למתקני החברה‪.‬‬
‫‪3.3‬רישום חריגות מ "שימוש מקובל" במתקני‬
‫החברה‪.‬‬
‫‪4.4‬רישום מדיות ניידות ונתיקות‪.‬‬
‫‪5.5‬הפרדת ססמאות אירגוניות וססמאות יצור‪.‬‬
‫‪6.6‬ניהול הרשאות גישה‪.‬‬
‫‪7.7‬נהלים לרישום "אירוע" בטיחות‪.‬‬
‫‪8.8‬הכשרות בטיחות מידע‪.‬‬
‫‪9.9‬ניהול כל מערכות בהתאם לסטנדרטים‬
‫עולמיים‪.‬‬
‫‪1010‬קביעת קונפיגורציית מערכת‪.‬‬
‫‪1111‬ניהול שינויים‪.‬‬
‫‪1212‬מערכות לזיהוי פולשים ברשת הפנימית‪.‬‬
‫‪1313‬גישה מרוחקת באמצעות ‪VPNs with multi-‬‬
‫‪factor authentication‬‬
‫‪1414‬סריקה ומוניטור רציף און ליין למערכות‬
‫פנימיות‪.‬‬
‫‪1515‬שימוש בשרותי חברות אבטחה צד שלישי‬
‫המתמחות באבטחת נתונים לבדיקת‬
‫פוטנציאל חדירות ונקודות תורפה אפשריות‬
‫ברשת‪.‬‬
‫‪1616‬יש לוודא קיומן של חסימות עובדי נותן‬
‫השירות לנתוני הלקוח באופן שלעולם לא‬
‫יתאפשר למי מעובדי השירות לראות תוכן‬
‫כל שהוא של לקוח ובכל מקרה של תמיכה‬
‫בלקוח ינתהל רישום ותיעוד מפורט‪.‬‬
‫הכותב הינו דוד אלוש‪ ,‬מנכ"ל ומייסד חברת‬
‫‪ CloudCom‬נציגת ‪Box‬בישראל‪ ,‬פלטפורמת‬
‫בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן‬
‫בענן‪.‬‬
‫• למידע ומאמרים נוספים בתחום‬
‫‪www.CloudCom.co.il‬‬
‫• לשאלות ניתן לפנות באמצעות הדוא"ל‬
‫‪[email protected]‬‬
‫• להתייעצות טלפונית אישית ‪054-4637000 -‬‬
‫‪6.6‬לבסוף נדרשת כמובן קיומם של מערכות‬
‫‪, UPS‬מערכות גיבוי‪ ,‬מערכות מניעת אש‬
‫והצפה באתרי האחסון‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪19‬‬
‫כיפת ברזל דיגיטלית‬
‫‪DefensePro‬‬
‫של חברת רודוור‬
‫לצורך כך‪ ,‬אנו רוצים להציג בפניכם את המוצר‬
‫של חברת רדוור‪ ,‬שבמלחמת עמוד ענן האחרון‪,‬‬
‫הוא סייע לארגונים רבים להתמודד היטב אל מול‬
‫המתקפות שפקדו על האתרים הישראלים‪.‬‬
‫ארגונים אינם ערוכים למלחמה מול‬
‫ההקטיביסטים (שילוב של המילים האקרים‬
‫ואקטיביסטים‪ ,‬פעילים חברתיים)‪ .‬מדי חודש‬
‫כמה וכמה מתקפות כאלה מצליחות לזעזע את‬
‫העולם‪ ,‬ולהעלות לכותרות את ההצלחה של‬
‫ההאקטיביסטים‪.‬‬
‫(מתקפות לצורך הסחה)‬
‫פעילות‬
‫תוך כדי המתקפה‬
‫בשנתיים האחרונות היינו עדים ליותר מדי מקרים‬
‫שבהם חברות ענק‪ ,‬דוגמת לוקהיד‪-‬מרטין‪ ,‬סוני‪,‬‬
‫‪ ,RSA‬הבורסה לניירות ערך בניו‪-‬יורק ואחרות‪,‬‬
‫הותקפו‪ ,‬נפרצו‪ ,‬נגנב מהם מידע והאתרים שלהם‬
‫הופלו‪.‬‬
‫מרכיב מפתח בעת המתקפות הוא פעולת‬
‫ההסחה‪ .‬במקרה של המתקפה על חברת סוני‪,‬‬
‫היא החלה כמתקפת ‪( DDoS‬מתקפת מניעת‬
‫שרות מבוזרת)‪ .‬התוקפים הפילו את אתר החברה‬
‫למשך יומיים‪-‬שלושה‪ ,‬ובדיעבד‪ ,‬לאחר כמה ימים‬
‫התברר כי הפלת האתר הייתה פעילות הסחה‪,‬‬
‫שנועדה להסתיר את העובדה שבעצם הם גונבים‬
‫מידע מבסיס הנתונים של החברה המותקפת‪.‬‬
‫ככלל‪ ,‬ארגונים משקיעים בשני מקומות‪ :‬האיד‪,‬‬
‫היערכות בטרם מתקפה – ניטור‪ ,‬בקרה‪ ,‬מציאת‬
‫חולשות‪ ,‬ועל בסיסן בניית מנגנוני הגנה פנימיים‪.‬‬
‫המקום השני בעולם האבטחה שארגונים‬
‫משקיעים בו הוא לאחר המתקפה‪ .‬אז הם יודעים‬
‫לערוך ניתוח תחקור (‪ ,)Forensics‬ומפיקים‬
‫בעקבותיו לקחים ונערכים לקראת המתקפה‬
‫הבאה‪.‬‬
‫ההאקטיביסטים תוקפים כיום בצורה חדשה‬
‫יחסית‪ :‬הם מנתחים את ארגון היעד אותו הם‬
‫מתכננים לתקוף‪ ,‬בדרך כלל הם גם מבצעים‬
‫"ניסוי‪-‬כלים"‪ ,‬ואז תוקפים כמה נקודות ברשת‪,‬‬
‫באופן בו‪-‬זמני‪ ,‬בשיטה המכונה ‪Multi-Vector‬‬
‫‪ ,Attack‬התקפות הנמשכות בדרך כלל יומיים‪-‬‬
‫שלושה בממוצע‪ .‬המתקפות מבוצעות בשיטות‬
‫שונות ומטרתן משולשת – הפלת האתר‪ ,‬השחתתו‬
‫וגניבת מידע‪.‬‬
‫מדובר בפעולת הסחה קלאסית‪ .‬מנהלי ה‪ IT-‬היו‬
‫עסוקים בהחזרת השרתים לפעילות ולא שמו לב‬
‫לכך שהתוקפים גונבים מידע בזמן זה‪ .‬מנהלי‬
‫המידע בארגונים אינם ערוכים לסוג כזה של‬
‫מתקפות‪ .‬בכלל יש ריבוי מתקפות‪ ,‬ובתוך שלל‬
‫המתקפות‪ ,‬קל יותר לבצע את פעילות ההסחה‬
‫לטובת גניבת מידע‪ ,‬כי מנהלי התשתיות‪ ,‬מנהלי‬
‫התקשורת‪ ,‬ומנהלי אבטחת המידע טרודים‬
‫בעלייה חזרה לאוויר‪.‬‬
‫הבעיה המרכזית של ארגונים‪ ,‬היא שהם אינם‬
‫ערוכים לפעול בזמן אמת‪ ,‬בעת שהמתקפה‬
‫מתרחשת‪ ,‬אין להם את הניסיון הדרוש לפעילות‬
‫בזמן זה‪.‬‬
‫ההאקטיביסטים תוקפים שוב ושוב‪ ,‬במגוון‬
‫אופנים‪ ,‬עד שהם מצליחים להגיע לאחת משכבות‬
‫המחשוב הארגוני ומשם חודרים הלאה‪ ,‬פנימה‪.‬‬
‫מערכי ההגנה בארגונים בנויים בצורה כזו שיש‬
‫להם טכנולוגיות הגנה שונות לטוב סוגים שונים‬
‫של איומים‪ .‬פעמים רבות אין סינכרון טוב בן מוצרי‬
‫האבטחה השונים‪ ,‬דבר היוצר פערים ביניהם ופוגע‬
‫בצורך ליצר מעטפת הגנה מוכללת‪.‬‬
‫‪20‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫זאב‪ ,‬זאב‪...‬‬
‫נדרש להם צוות של אנשים עם טכנולוגיות‬
‫מתאימות‪ ,‬על מנת לנתח את ההתקפה‪ ,‬להגן‬
‫מפניה באופן אוטומטי‪ ,‬וליצור התקפות נגד‬
‫מתאימות בזמן אמת‪ .‬כיוון שהמתקפה המבוצעת‬
‫נגדם היא עקבית ודומיננטית‪ ,‬היא דורשת‬
‫היערכות מתאימה וייחודית‪.‬‬
‫מסקרים עולה כי ‪ 99%‬ממנהלי אבטחת מידע‬
‫שנשאלו בנושא‪ ,‬השיבו כי הם יודעים כיצד עליהם‬
‫לפעול לפני המתקפה ולאחריה‪ ,‬אולם הודו שאינם‬
‫ערוכים לפעילות במהלכה‪.‬‬
‫דרוש פתרון‬
‫של כיפת ברזל‬
‫דיגיטלית‬
‫לחברת רדוור יש מוצרים מבוססי טכנולוגית‬
‫מערכת "מומחה" לומדת‪,‬‬
‫אשר מאפשרת ניתוח‬
‫התנהגות רשתית והתנהגות‬
‫היישומים ברשת‪ .‬המערכת‬
‫יודעת לנטר בזמן אמת את‬
‫התעבורה‪ ,‬לזהות פעילויות‬
‫חריגות ברשת‪ ,‬לנתח באופן‬
‫אוטומטי את המתקפות‪,‬‬
‫וליצור חתימות המתארות‬
‫את ההתנהגות החריגה בזמן‬
‫אמת (‪,)Real Time Signature‬‬
‫כך הלקוח הארגוני המותקף מקבל מעין "‪"SOC‬‬
‫(מרכז תפעול אבטחה) בקופסה‪.‬‬
‫הפתרונות הוא ‪AppWall (WAF=Web Application‬‬
‫‪ )Firewall‬שפותח על ידי רדוור כמענה להתקפות‬
‫מול שרתי ‪ WEB‬ארגוניים‪ .‬הוא עונה לשלל סוגי‬
‫התקפות‪ ,‬השחתת פני אתר‪ ,‬גניבת מידע‪ ,‬ניצול‬
‫של חולשות אבטחה במסדי הנתונים (כדוגמת‬
‫‪ ,)SQL Injection‬מתקפות מניעת שירות (‪)DoS‬‬
‫ועוד‪.‬‬
‫במהלך מבצע "עמוד ענן"‪ ,‬המוצר הוכיח את עצמו‪,‬‬
‫כשהגן על עשרות לקוחות בארץ בצורה נאותה‪.‬‬
‫הרבה ארגונים בארץ חוו מתקפות רציניות ע"י‬
‫קבוצות האקרים שונות‪ ,‬ביניהם גם אנונימוס‪ .‬חלק‬
‫לחברת רדוור יש גוף תמיכה נגד מתקפות סייבר‬
‫( ‪ .)ERT=Emergency Response Team‬אנשיו‬
‫מתמחים בפעילות תמיכה בזמן אמת באנשי‬
‫אבטחת המידע של הארגון המותקף‪ .‬הם מוודאים‬
‫כי המערכות הותקנו עם התצורה המתאימה‪,‬‬
‫ומחכים למתקפה‪.‬‬
‫עם בואה של המתקפה‪ ,‬המערכות מתחילות‬
‫להגן באופן אוטומטי מפניה‪ .‬במקביל‪ ,‬נפתח "חדר‬
‫מלחמה"‪ ,‬שבמסגרתו אנשי רדוור מתחברים‬
‫למערכו ה‪ IT-‬של הלקוח הארגוני המותקף‪.‬‬
‫הם מוודאים כי המערכת של רדוור חוסמת‬
‫את ההתקפות הצורה יעילה‪,‬‬
‫והם מנתחים ומזהים את הסוגים‬
‫השונים של המתקפות‪ .‬פעילות‬
‫נוספת הנעשית אף היא במקביל‪,‬‬
‫היא ברמה המודיעינית‪ .‬אנשי רדוור‬
‫נכנסים לפורומים ולציטים של‬
‫האקרים‪ ,‬מנסים לגלות את זהותם‬
‫לברר מהי הפעולה ההתקפית‬
‫הבאה שבכוונתם לערוך‪ ,‬או מיהו‬
‫יעד המתקפה הבא‪ .‬פעילות‬
‫מודיעינית זו מטרתה להשיג מידע‬
‫בזמן אמת ולהקדים מבחינת לוחות זמנים את‬
‫התוקפים‪.‬‬
‫הבעיה המרכזית של ארגונים‪ ,‬היא‬
‫שהם אינם ערוכים לפעול בזמן אמת‪,‬‬
‫בעת שהמתקפה מתרחשת‪ ,‬אין להם‬
‫את הניסיון הדרוש לפעילות בזמן זה‪.‬‬
‫בעזרת טכנולוגיה זו‪ ,‬ניתן לדמות את תהליך‬
‫החשיבה של מומחה אבטחת המידע הארגוני‪,‬‬
‫ועל בסיסה לזהות וליצור בזמן אמת תבני של‬
‫הפעילות החריגה שבוצעה‪ .‬זה נעשה ע"י המוצר‬
‫‪ ,DefensePro‬מוצר שהוא חלק ממשפחת‬
‫הפתרונות ‪ AMS‬של חברת רדוור (ראשי תיבות‬
‫של ‪ ,)Attack Mitigation System‬מערכת למניעת‬
‫התקפות‪ .‬לצד ‪ ,DefensePro‬מוצר נוסף ממשפחת‬
‫מהמתקפות היו ממושכות‪ ,‬ונערכו כשלושה ימים‬
‫וכללו סוגי תקיפות‪ ,‬בהם ניסיונות חדירה ומניעת‬
‫שירות‪ .‬כחלק מהשירות של רדוור‪ ,‬לקוחות‬
‫החברה‪ ,‬קיבלו התרעות ממוקדות‪ ,‬ואף סיוע של‬
‫מומחי החברה בקינפוג קבצי החתימות‪ ,‬וטיוב‬
‫(‪ )Fine Tuning‬של המוצר בכדי להתמודד אל מול‬
‫המתקפות‪.‬‬
‫הפתרון הוכיח את עצמו‪ ,‬והוא הוגדר רשמית‪,‬‬
‫ככיפת הברזל הדיגיטלית‪ ,‬של שנת ‪.2012‬‬
‫ברוב המתקפות‪ ,‬אם התוקפים נכשלים‬
‫במלאכתם והמתקפה לא צולחת‪ ,‬הם מגבירים‬
‫את חומרת המתקפה או משנים את הסוג שלה‪.‬‬
‫במקרים מתקדמים של ההתקפות‪ ,‬צוות ה‪ERT-‬‬
‫של רדוור נדרש בזמן אמת ליצור הגנות חדשות‬
‫ולעדכן את תצורת ה‪ AMS-‬בהתאם – הצוות‬
‫מתאמן ונבחן על הצלחותיו במשימות אלו‪ ,‬ובזמן‬
‫אמת‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪21‬‬
‫הכשרת מנהלי אבטחת מידע (‪)CISO‬‬
‫‪Knowledge to People‬‬
‫חברת ‪ TITANS SECURITY‬גאה להציג את המסלול המקצועי‪ ,‬האיכותי‬
‫והמקיף ביותר להכשרת מנהלי אבטחת מידע (‪ )Certified CISO‬וגם‬
‫היחידי שכולל הסמכה בינלאומית –‪ CISM‬מבית ‪ .ISACA‬מדובר בקורס‬
‫בן ‪ 200‬שעות פרונטאליות‪ ,‬ועוד כ‪ 500-‬שעות תרגול עצמאי‪ ,‬כאשר ישנה‬
‫התייחסות לכל עולמות אבטחת המידע‪.‬‬
‫בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון‬
‫רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי‬
‫אבטחת מידע ברמה גבוהה מאוד‪ .‬הקורס נוצר כתוצאה מדרישת השוק‬
‫למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע‬
‫על כל שכבותיה‪ .‬בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם‬
‫ו\או לארגון בהם מועסקים על‪-‬ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש‬
‫מהם‪.‬‬
‫שלנו‬
‫‪Bringing‬‬
‫המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע‬
‫בהיבט העסקי ועם העולם הרגולטורי\חוקי‪ .‬המודול השני עוסק ברק‬
‫הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת‬
‫המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים‪.‬‬
‫המודול השלישי עוסק בתחום ניהול אבטחת המידע‪ ,‬מסגרות לניהול‬
‫אבטחת מידע וניהול סיכונים‪ .‬המודול הרביעי דן כולו בהיבטים של‬
‫אבטחת מידע פיזי וסביבתי‪ ,‬והמודול החמישי עוסק בהיבט האנושי‬
‫מבחינת אבטחת מידע‪.‬‬
‫הקורס עובר עדכונים שוטפים‪ ,‬כדי להתאימו לעולם הדינאמי של‬
‫השוק‪ ,‬והתוקפים\התקפות השונות‪ ,‬וסוקר בצורה מאלה את כל עולם‬
‫אבטחת המידע על כל רבדיו‪ .‬בכל רובד אנו מתרגלים ודנים בתפיסות‪,‬‬
‫מתודולוגיות ובטכנולוגיות הקיימות‪ ,‬ובחולשות הרבות הנסתרות בהן‪.‬‬
‫חושות‪ ,‬אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה‪ .‬כמו‬
‫כן‪ ,‬אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף‪ ,‬כנגד‬
‫החולשות שלנו‪ ,‬על מנת לדעת ולהכיר היטב את האויב‪.‬‬
‫כפי שהספר המפורסם "אומנות המלחמה" אומר‪:‬‬
‫‪If you know the enemy and know yourself, you need‬‬
‫‪not fear the result of a hundred battles. If you know‬‬
‫‪yourself but not the enemy, for every victory gained‬‬
‫‪you will also suffer a defeat. If you know neither the‬‬
‫"‪enemy nor yourself, you will succumb in every battle‬‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫או בדוא"ל‪:‬‬
‫‪22‬‬
‫שלך‬
‫העבודה‬
‫זהו מסלול חדש‪ ,‬העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל‬
‫בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים‪.‬‬
‫המסלול מחולק לשני חלקים עיקריים‪ ,‬כאשר החלק הראשון הינו החלק‬
‫המעשי של הקורס‪ ,‬והחלק השני מכין את התלמיד לבחינת ההסמכה‬
‫הבינלאומית של ‪ CISM‬מבית ‪ .ISACA‬החלק הראשון בנוי מ‪ 5-‬מודולים‬
‫עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע‬
‫על פניהם השונים‪.‬‬
‫כחלק מערכת הלימוד‪ ,‬התלמידים מקבלים ספר לימוד‪ ,‬ספרי תרגול‬
‫(בכיתה ובבית)‪ ,‬ועוד ‪ DVD‬הכולל כלי עזר רבים של מנהל אבטחת מידע‪.‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫הביטחון‬
‫‪danny @ titans 2. com‬‬
‫או בדוא"ל‪:‬‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫‪danny @ titans 2. com‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪23‬‬
‫האויב‬
‫שבפנים‬
‫"האיום האמיתי על אבטחת המידע אורב לו דווקא מתוך‬
‫הארגון‪ ,‬ברשת הפנימית‪ .‬האפליקציות הפנימיות של הארגון‬
‫מכילות את המידע העסקי הרגיש ביותר; אחת השכבות‬
‫החשובות ביותר באבטחת המידע‪ ,‬היא שכבת האפליקציה‪".‬‬
‫מרבית הארגונים הגדולים מוגנים כיום‪ ,‬ברמה‬
‫כזו או אחרת‪ ,‬מפני הסכנות הטמונות בעולם‬
‫האינטרנט‪ ,‬או כך לפחות הם נוטים לחשוב‪.‬‬
‫העובדה שהאינטרנט מהווה כיום את הנדבך‬
‫המרכזי בתחום אבטחת המידע נהירה לכל‬
‫ארגון‪ ,‬אלא שמעטים הם הארגונים שהבינו‪ ,‬ולא‬
‫פחות חשב מכך הפנימו‪ ,‬שהאיום האמיתי על‬
‫אבטחת המידע אורב לו דווקא מהארגון‪ ,‬ברשת‬
‫הפנימית‪ .‬עפ"י נתוני חברות מחקר שונות‪ ,‬כמות‬
‫ההתקפות בתוך הרשת נאמדת כיום בכ‪80%-‬‬
‫מסך כל ההתקפות ברשת‪ ,‬כשחלקן מתבצעות‬
‫במזיד וחלקן בשוגג‪.‬‬
‫האגונים הגדולים‪ ,‬אף שהם מתחילים להבין את‬
‫השינוי ואת הצורך להיערכות לאבטחה אחרת‬
‫ברשת הפנימית‪ ,‬עדיין רחוקים ממימוש אפקטיבי‬
‫של מערך אבטחת המידע הנדרש‪ .‬עם זאת‪,‬‬
‫העתיד‪ ,‬ככל הנראה‪ ,‬לא ישאיר להם ברירה‪ ,‬אלא‬
‫לאמץ את מהפכת כלי האבטחה הנהוגים ברשת‬
‫הפנימית של הארגון‪ .‬מערך האבטחה של ארגון‬
‫מושתת כיום‪ ,‬יותר מתמיד‪ ,‬על יכולת שליטה‬
‫ובקרה מלאה בכל אחת מרמות הארגון‪ .‬אם‬
‫בעבר הספיקה השליטה מרמת הניהול הגבוהה‬
‫בארגון‪ ,‬הרי שמרבית כוח האבטחה נדרש כיום‬
‫במערכות התקשורת ברמת העובדים ובכלי‬
‫העבודה האישיים‪.‬‬
‫מערכות אבטחת המידע החדישות בנויות בהתאם‬
‫לתפיסה ארגונית חדשה זו ומאפשרות למנהלים‬
‫בארגונים הגדולים לשלוט ולעשות שימוש מושכל‬
‫ביכולות האבטחה באופן אפקטיבי בהרבה‪ ,‬גורף‬
‫על כל חלקי הארגון ובשיטתיות‪ .‬יותר מכך‪ ,‬גם‬
‫‪24‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫הלקוחות כופים כיום על הארגונים הגדולים‬
‫לחזק ולבצר את מערך אבטחת המידע בכל רמות‬
‫הניהול בארגון בהתאם לדרישה חדשה זו‪.‬‬
‫הצורך בהפרדה‬
‫בין חוות השרתים‬
‫לבין המשתמשים‬
‫האפליקציות הפנימיות של הארגון מכילות את‬
‫המידע העסקי הרגיש ביותר‪ :‬פרטים על לקוחות‪,‬‬
‫ספקים ועובדים‪ ,‬התקשרויות עסקיות‪ ,‬חוזים‪,‬‬
‫הצעות מחיר‪ ,‬דוחות פנימיים‪ ,‬והיד עוד נטויה‪.‬‬
‫הפוטנציאל ההרסני של גניבת מידע כזה ברור‬
‫לחלוטין‪ ,‬ומדאיג עוד יותר לאור ההשקעה הנמוכה‬
‫יחסית של ארגונים בהגנה על האפליקציות‬
‫הפנימיות שלהם‪ .‬בעולם העסקים המרושת של‬
‫היום‪ ,‬משתמשים רבים מקבלים גישה למערכות‬
‫הארגוניות‪ ,‬כגון ‪ CRM‬או ‪ .ERP‬משתמשים פנימיים‬
‫יכולים להציב איום ספציפי מאוד‪ ,‬כיוון שהם‬
‫מכירים את המערכת טוב יותר ויכולים למקד‬
‫את ניסיונות הפריצה בחיפוש או שינוי של מידע‬
‫נקודתי‪.‬‬
‫אחת השכבות החשובות ביותר באבטחת המידע‪,‬‬
‫היא שכבת האפליקציה‪ .‬בעולם אידיאלי כל תוכנה‬
‫שהארגון משתמש בה הייתה חופשית מבאגים‬
‫ומחורי האבטחה‪ ,‬אבל ברור שבעולם האמיתי‬
‫המצב שונה‪ .‬הבעיה חמורה במיוחד לגבי חורי‬
‫האבטחה‪ ,‬כיוון שהקשחת האפליקציות דורשת‬
‫מומחיות גבוהה באבטחת מידע‪ ,‬שלא תמיד‬
‫קיימת אצל המפתחים‪ ,‬שמטבע הדברים תחום‬
‫התמחותם הוא שונה‪.‬‬
‫הסיכון באבטחה אפליקטיבית מתרכז באפשרות‬
‫שפורץ יצליח לנצל את התוכנה לקבלת מידע‬
‫חסוי‪ ,‬או ביצוע פעולות לא מורשות‪ .‬לדוגמא‪,‬‬
‫ישתמש בגישה מרוחקת לשרת הדואר הארגוני‬
‫כדי לקרוא את ההודעות של אנשים בתוך הארגון‪,‬‬
‫המכילות לעתים קרובות מידע עסקי רגיש‪.‬‬
‫בשונה מהתפקות שמשחיתות אתרים‪ ,‬או מפילות‬
‫רשתות‪ ,‬התקפות בתחום האפליקטיבי נועדו‬
‫להשיג מידע‪ .‬מטבע הדברים‪ ,‬פעמים רבות הארגון‬
‫לא מודע לזליגת המידע דרך התקפות מסוג זה‪,‬‬
‫למרות שהן יכולות להיות ההרסניות ביותר‪.‬‬
‫מדיניות בקרת גישה‬
‫חוות השרתים בארגון מהווה בדרך כלל את ליבת‬
‫הארגון ומכילה את כל החומר הארגוני‪ ,‬החל‬
‫משרתי בסיסי נתונים (‪ )Database‬ושרתי קבצים‬
‫וכלה בשרתי אפליקציה שונים‪ .‬כיום המידע הפנים‬
‫ארגוני חשוף לעובדים השונים בכל המחלקות‪,‬‬
‫ללא יכולת מידור וניטור‪ ,‬כך שכל עובד יכול להגיע‬
‫לכל שרת ברשת ולבצע בו ככל העולה על רוחו‪.‬‬
‫בעקבות איום זה‪ ,‬נוצר הצורך לבצע הפרדה בין‬
‫חוות השרתים לבין המשתמש ולאפשר גישה אך‬
‫ורק למשתמשים המורשים‪ .‬כל זאת בשילוב עם‬
‫הקמת הגנה לחוות השרתים בכמה שכבות‪ ,‬כך‬
‫לדוגמא מידע על משכורות העובדים יהיה נגיש‬
‫אך ורק לחשב ולמנכ"ל הארגון‪ ,‬מתוך הבנה‬
‫ברורה כי נגישות של אנשים שאינם מורשים‬
‫למידע זה יכולה לסכן ולפגוע בארגון‪.‬‬
‫דרוש שומר סף‬
‫אתגר נוסף מצוי בריבוי האפליקציות והשייכות‬
‫שלהם לפרוטוקולי תעבורת המידע בפורטים‬
‫‪ .TCP/UDP‬לרוב האפליקציות כיום לא ניתן‬
‫לקשר פורט ‪ TCP/UDP‬באופן חד חד ערכי‪ .‬כמו‬
‫כן ברוב האפליקציות ניתן לשנות את הפורט‪ ,‬ולכן‬
‫קשה מאוד לזהות את האפליקציה על פי ה‪TCP-‬‬
‫‪ Header‬בלבד‪ .‬לצורך כך נדרש מנגנון שיזהה‬
‫את האפליקציה על פי התוכן של המידע ולא‬
‫עפ"י ה‪ .TCP Header-‬קיימים כיום מספר יצרנים‬
‫שהשכילו להטמיע את היכולת הזו במוצרים‬
‫שלהם ועל ידי כך ליצור פירוול אפליקטיבי‬
‫(‪ )Application Firewall‬שמזהה את האפליקציות‬
‫עצמם ולא רק את הפורט איתו הם משתמשים‪.‬‬
‫על מנת לתת מענה מפני מתקפות מבפנים‪ ,‬בתוך‬
‫הרשת‪ ,‬הפתרון המתבקש הוא ליישם מערכות‬
‫פירוול אפליקטיבי (‪ )Application Firewall‬בתוך‬
‫הרשת הארגונית‪ ,‬בכניסה ל‪ ,Data Center-‬תוך‬
‫יצירת סגמנטציה בין רשת המשתמשים לחוות‬
‫השרתים‪ .‬פתרון זה יספק שכבת הגנה בין‬
‫הרשתות וימנע גישה לא רצויה לשרתים‪ .‬סוד‬
‫ההצלחה בתחום אבטחת המידע לרשתות הוא‬
‫בזיהוי מוקדם של מגמת הלכידות בין אבטחת‬
‫מידע ורשתות התקשורת‪.‬‬
‫תקן אבטחת המידע ‪ ISO 27001‬מתייחס לנושא‬
‫בקרת הגישה הן ברמת הרשת‪ ,‬והן ברמת‬
‫האפליקציה‪ .‬יישום פירוול אפליקטיבי יכול לספק‬
‫מענה הולם לדרישות התקן המופיעים בסעיפים‬
‫‪.11.4.5‬א –הפרדת רשתות (תהיה ברשתות‬
‫הפרדה בין קבוצות שירותי מידע‪ ,‬משתמשים‬
‫ומערכות מידע)‪.11.4.6 ,‬א –בקרת חיבורים‬
‫לרשת (עבור רשתות משותפות‪ ,‬במיוחד רשתות‬
‫החורגות אל מעבר לגבולות הארגון‪ ,‬תוגבל יכולת‬
‫המשתמשים להתחבר לרשת‪ ,‬לפי מדיניות‬
‫בקרת הגישה ולפי דרישות היישומים העסקיים)‪,‬‬
‫‪.11.4.7‬א –בקרת ניתוב לרשת (ייושמו אמצעים‬
‫לבקרת ניתוב לרשתות‪ ,‬שיבטיחו שחיבורי‬
‫מחשבים וזרימת מידע אינם מפרים את מדיניות‬
‫בקרת הגישה של יישומי העסק)‪.11.6.1 ,‬א –‬
‫הגבלת גישה למידע (גישת משתמשים ועובדי‬
‫תמיכה‪ ,‬למידע ולפונקציות של מערכות יישומים‪,‬‬
‫תוגבל לפי המדיניות המוגדרת של בקרת הגישה)‬
‫‪.11.6.2 ,‬א –בידוד מערכות רגישות (למערכות‬
‫רגישות תהיה סביבת מחשוב מבודדת ייחודית)‪.‬‬
‫דוגמא לפירוול אפליקטיבי שיכול לספק מענה‬
‫לדרישות הנ"ל הינו ‪ ,Palo Alto‬המיוצג בישראל‬
‫ע"י חברת ‪.Innocom‬‬
‫בקרת גישה לרשת‬
‫אחד האתגרים הנוספים כיום הינו זיהוי ואימות‬
‫המחשבים ברשת‪ ,‬אלא שהמצב כיום הוא‬
‫שבמרבית החברות לא קיים עדיין מנגנון‬
‫המזהה ומאמת את המחשבים ויחידות המחשוב‬
‫במתחברים לרשת הפנימית‪ .‬ללא מנגנון שכזה‪,‬‬
‫מימוש התקפה מתוך הארגון על ידי מחשב שאיננו‬
‫שייך לארגון הוא תהליך אפשרי ובר ביצוע המסכן‬
‫את הארגון‪ .‬הפתרון המתבקש הוא הגנה על‬
‫הרשת מפני משתמשים ומחשבים לא מורשים‪,‬‬
‫או בשמו המקוצר ‪NAC (Network Access‬‬
‫‪ .)Control‬השילוב בין פתרונות ‪ NAC‬לבין מערכות‬
‫ה‪ Application Firewall -‬מעניק את ההגנה‬
‫המרבית על משאבי הרשת הן מצד המשתמשים‬
‫המורשים ברשת והן מצד משתמשים ומחשבים‬
‫שאינם מורשים‪.‬‬
‫גם כאן תקן אבטחת המידע ‪ ,ISO 27001‬נותן‬
‫מענה בפרק ‪( 11.4‬בקרת גישה לרשת הארגון)‪.‬‬
‫בקרת הגישה לרשת הארגון תתבצע בהתאם‬
‫למדיניות בקרת הגישה של הארגון‪ ,‬ובתקן ישנם‬
‫מספר תתי‪-‬סעיפים שמתייחסים לנושא זה‪ ,‬כגון‬
‫סעיף ‪.11.4.3‬א –זיהוי ציוד ברשתות (זיהוי אוטומטי‬
‫של ציוד ייחשב אמצעי לאימות‪-‬זהות של חיבורים‬
‫ממקומות ומציוד ספציפיים) וסעיף ‪.11.4.6‬א –‬
‫בקרת חיבורים לרשת (עבור רשתות משותפות‪,‬‬
‫במיוחד רשתות החורגות אל מעבר לגבולות‬
‫הארגון‪ ,‬תוגבל יכולת המשתמשים להתחבר‬
‫לרשת‪ ,‬לפי מדיניות בקרת הגישה לפי דרישות‬
‫היישומים העסקיים)‪.‬‬
‫מהפכת ה‪ IP-‬קיצרה ללא הכר את פערי הזמן‬
‫והמקום‪ ,‬והמחישה את הקושי הרב בשליטה‬
‫באבטחת המידע בארגון מרמת המנהלים‬
‫ולאורך כל רמות הניהול והביצוע של העובדים‪.‬‬
‫לצד היתרונות הגדולים בפיזור הידע בין כל רמות‬
‫הניהול בארגון‪ ,‬הרי שאמצעי המחשוב והתקשורת‬
‫הארגוניים מביאים עמם גם איומים משמעותיים‬
‫על שליטת הארגון בידע שנצבר בו ועל מניעת‬
‫הזליגה שלו החוצה‪ .‬השליטה בידע היא קריטית‬
‫לעסקים‪ ,‬ועל מנהל אבטחת המידע להפנים זאת‪,‬‬
‫בעת בחירת פתרונות אבטחת מידע והטמעתם‬
‫בארגון‪ .‬ע"י שימוש נכון ומדויק בכלי אבטחת‬
‫המידע בארגון‪ ,‬ניתן בקלות להתאים את פתרונות‬
‫אבטחת המידע לדרישות העסקיות‪ ,‬ובכך לתרום‬
‫לארגון‪.‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪25‬‬
‫הקשחת מערכות בארגון דינאמי‬
‫האתגר‪ :‬בסביבה עסקית הנעשית פחות ופחות בטוחה‪ ,‬חייבים מנהלי אבטחת המידע‪ ,‬מנהלי מערכות מידע‪ ,‬ומנהלי טכנולוגיות המידע לחתור‬
‫ללא הרף להגיע לצמיחה בהיקף ההכנסות הכולל‪ ,‬להגביר את פריון העבודה ולהפחית עלויות‪ ,‬תוך אבטחת מערכות התקשו"ב החיוניים‬
‫בארגון ושמירה על חשאיותם‪ .‬לאבטחת מידע בפני עצמה‪ ,‬אין הצדקה עסקית‪ ,‬היות ולא מדובר בהליך עסקי‪ ,‬אלא בהליך תומך‪ ,‬ולכן‪ ,‬על‬
‫תחום אבטחת המידע לתמוך בתהליכים העסקיים‪ ,‬ולאפשר המשך תפעול תקין של כל התהליכים העסקיים הקריטיים בארגון‪ ,‬תוך שמירה‬
‫על רמת אבטחת מידע נאותה‪.‬‬
‫כדי לדאוג לאבטחה מתאימה לפעולות החיוניות‬
‫ביותר של החברה‪ ,‬חייבת טכנולוגיית המידע‬
‫לעמוד באתגר בשלוש רמות עיקריות‪ .‬ברמה‬
‫הראשונה‪ ,‬יש לזהות בכל סביבות ה‪ IT-‬את‬
‫הפגיעיות שמורכבותן הולכות ומתגברת‪ ,‬ולתקן‬
‫את המצב‪ .‬ברמה השנייה‪ ,‬יש להתמודד בזמן‬
‫אמת עם האיומים הפנים‪-‬ארגוניים והחוץ‪-‬‬
‫ארגוניים כאחד כדי למזער חשיפה ולהקטין‬
‫את רמת הסיכון‪ .‬וברמה השלישית‪ ,‬יש לאכוף‬
‫את מדיניות האבטחה בכל הארגון כדי לעמוד‬
‫בדרישות הנוהל ובביקורות הפנימיות והחיצוניות‬
‫השונות‪.‬‬
‫ממחקר שבוצע ע"י חברות מחקר שונות‪,‬‬
‫דווח‪ 90% :‬מהחברות דיווחו כי נחשו לפריצות‬
‫(פנימיות וחיצוניות) למערכות מחשוב שנגרמו‬
‫כתוצאה מניהול או הגדרות לא נכונות של‬
‫השרתים הנפרצים‪ .‬בכדי להגיע לרמת האבטחה‬
‫המקסימאלית במערכו המידע בארגון‪ ,‬יש‬
‫להתייחס לכך שלא די בהתקנות הטכנולוגיה‬
‫המתאימה לביצוע המשימה‪ ,‬אלא שיש להגדיר‬
‫נוהלי אבטחה‪ ,‬מדיניות אבטחה ארגונית ובה‬
‫הגדרות להקשחת שרתים ואפליקציות ויש‬
‫להקפיד על ידע עדכני של מנהלי המחשוב ‪.‬כך‬
‫שתהליך הטמעת הטכנולוגיה יתבצע כראוי‬
‫ובהתאם למדיניות החברה‪.‬‬
‫לפני מספר שנים‪ ,‬בעקבות יציאתן של מספר‬
‫רגולציות בשוק הפרטי‪ ,‬פרסם משרד ההגנה‬
‫האמריקאי בשיתוף עם ה‪,Homeland Security-‬‬
‫מסמך עם ‪ 7‬סעיפים אשר המדיניות אבטחת‬
‫המידע הארגונית חייבת לכלול בכדי להגן מפני‬
‫פרצות‪:‬‬
‫‪"1.1‬תאימות ארגונית" נוצרה בכדי להשיג רמת‬
‫מדיניות בסיסית לכולם ולא רק בכדי לענות‬
‫על צורך אשר הרגולציה מבקשת‪.‬‬
‫‪26‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫‪2.2‬רמת המדיניות הבסיסית צריכה להיות‬
‫מותאמת למציאות הארגונית בשטח ולא‬
‫רק לנהלים או רגולציות‪.‬‬
‫‪3.3‬החוק או הרגולציה יכולים להגדיר כי כל‬
‫המידע האישי צריך להיות מוצפן אולם הם‬
‫לא טעונים איזה מוצר צריך לבצע זאת או‬
‫חשוב יותר הצעדים אותם יש לבצע בכדי‬
‫להבטיח כי פעולה זו בוצעה כמתבקש‪.‬‬
‫‪4.4‬החוק והרגולציה יגדירו ויפרטו שיש מדיניות‬
‫ארגונית‪ ,‬תהליכים והנחיות ליישום המדיניות‬
‫בארגון אולם הם לא מציינים כיצד ליישם‬
‫זאת‪.‬‬
‫‪5.5‬מרבית הרגולציות מבקשות מדדי תאימות‬
‫למדיניות ארגונית ובכללם הקשחה‪ .‬בין‬
‫הרגולציות הדורשות זאת‪ ,‬ניתן למצוא את‪:‬‬
‫‪ ,HIPAA, GLBA, SOX, FISMA‬ועוד‪.‬‬
‫‪6.6‬בכל הרגולציות והחוקים הללו ישנם הנחיות‬
‫לתאימות מדיניות אבטחת המידע הארגוניות‬
‫ושמירתה וכוללת הקשחות‪ ,‬דוחות תאימות‪,‬‬
‫ניהול גישה לאובייקטים‪ ,‬ושמירה על קבצי‬
‫הדיווח (‪.)Logs‬‬
‫‪7.7‬חובה להגן על המדיניות הארגונית גם‬
‫מבעלי ההרשאות‪ .‬המשמעות הינה כי רק‬
‫בעלי תפקיד מסוימים יוכלו לגשת או לשנות‬
‫את המדיניות הארגונית כל שבמידת הצורך‬
‫יש לאפשר אולם לתעד כל שינוי הרשאות‪.‬‬
‫דבר נוסף אותו יש לציין‪ ,‬שקיים קשר הדוק מאוד‬
‫בין מנהלי הרשת ואנשי הסיסטם בארגון לבין‬
‫מפתחי המערכת‪ .‬מנהלי הרשת ואנשי הסיסטם‬
‫יכולים לבצע הקשחה מקסימאלית ובכך למנוע‬
‫מאפליקציות קריטיות בארגון לעבוד או לחלופין‬
‫לבצע הקשחה מדוייקת לצרכי הארגון ולהתקין‬
‫שרתי הגנה נוספת כגון ‪ Application Firewall‬ובכל‬
‫זאת‪ ,‬החברה ואתריה יהיו פריצים מאחר שכותבי‬
‫הקוד לא דאגו לחסום פונקציות מסויימות‪ ,‬לא‬
‫ניהלו הרשאות נכון או לצורך תפעול נוח יותר‬
‫"פרצו" לאחר ההקשחה את המדיניות הארגונית‪.‬‬
‫ארגונים אשר למדו והחלו ליישם את המדיניות‬
‫הארגונית עפ"י דרישות הרגולציה והחוק החלו‬
‫להיתקל בבעיות ולשאול שאלות כיצד ליישם את‬
‫המדיניות הארגונית ולא רק להקשיח את השרת‬
‫על ידי תבניות הקשחה מוגבלות‪ .‬מבין הבעיות‬
‫שעלו ניתן למצוא‪:‬‬
‫‬
‫•תבניות ההקשחה המסופקות על ידי‬
‫היצרנים אינם עונים בצורה מלאה על הרצון‬
‫להקשיח‪.‬‬
‫‬
‫•אין יכולות לימוד טרם ההקשחה בכדי למנוע‬
‫עצירת פונקציות קריטיות באפליקציה על ידי‬
‫מנגנון ההקשחה‪ .‬וכן אין יכולת חזרה לאחור‬
‫לאחר הקשחה לא מוצלחת‪.‬‬
‫‬
‫•ההקשחה כוללת נעילת מערכות הפעלה‬
‫ואפליקציות ויש קושי בניהול ההקשחה‬
‫מסוג זה‪ ,‬על כן ארגונים בוחרים להקשיח‬
‫את המכנה המשותף לכלל השרתים ולא‬
‫שרת יחיד או קבוצת שרתים בעלי מכנה‬
‫משותף (שרתי ‪.)Web‬‬
‫‬
‫( ‪Access‬‬
‫•אין יכולת עצירה בזמן אמת‬
‫‪ )Control‬לשינוי האובייקטים או תהליכים‬
‫מוקשחים על ידי משתמשים לא מורשים‬
‫למרות שהם בעלי הרשאות‪.‬‬
‫‬
‫•בנוסף הארגונים ביקשו לסנן תהליכי ניהול‬
‫טבעיים של המערכות דוגמא לכך ניתן‬
‫למצוא במערכת דואר האלקטרוני אשר‬
‫בעלי הרשאות יכולים להיכנס לכל תא‬
‫דואר ולקרוא את הדואר ללא בקשת רשות‬
‫מהמשתמש וללא תיעוד מתאים‪ .‬במקרה זה‬
‫ביקשו הארגונים לאפשר פעולה זו רק לזמן‬
‫קצוב ולמשתמשים מסויימים וגם אז לתעד‬
‫את פעולותיהם‪.‬‬
‫הפתרון‪:‬‬
‫ניהול המדיניות הארגונית בצורה‬
‫יעילה וגמישה‬
‫הפתרון הוא הטמעת פתרון אשר יאפשר לארגון‬
‫לנהל את מדיניות אבטחת המידע בצורה נאותה‪.‬‬
‫על הפתרון לאפשר הקנה מקיפה רחבה וכוללת‪.‬‬
‫לצערנו‪ ,‬אין כאן ‪ .Silver Bullet‬אין פתרון אחד‪ ,‬אשר‬
‫יכול לספק לנו מענה הולם לכל בעיות האבטחה‬
‫בארגון‪ ,‬ונדרש כאן שילוב של מספר פתרונות‬
‫אבטחה‪ .‬על ידי שילוב בין מערכת לאיתור וניהול‬
‫אירועי אבטחה‪ ,‬מניעת הפעולה למשתמשים לא‬
‫מורשים וחיבורים לא מורשים לרשת הארגון‪ ,‬בין‬
‫ניהול פגיעויות וטלאים לבין פתרונות אבטחת‬
‫תוכן‪ ,‬פירוול רשתי‪ ,‬פירוול אפליקטיבי ומניעת‬
‫זליגת מידע; שילוב זה מאפשר אבטחה והגנה‬
‫אוטומטית לרוחב הארגון ולעומקו‪.‬‬
‫יישום מערך אבטחה כולל‪ ,‬המתבסס על הגנה‬
‫בשכבות (‪ ,)Layered Defense‬מסייע למנהל‬
‫אבטחת המידע בארגן להתפתח ממנהל מגיב‬
‫לאירועים למנהל גמיש בעל יכולות גבוהות‬
‫בעסקים המבטיח מראש את ביצועיהן וזמינותן‬
‫של מערכות ה‪ IT-‬בארגון‪ .‬פתרונות אלו מאפשרים‬
‫למנהל אבטחת המידע להגיע לרמה הגבוהה‬
‫ביותר של בשלות בניהול האבטחה‪ ,‬כך שהארגון‬
‫יוכל להשקיע בהזדמנויות עסקיות חדשות בצורה‬
‫בטוחה ויעילה וכן לעמוד בתאימות הארגונית עפ"י‬
‫הגדרת רגולציה‪ ,‬חוק או חוזיות‪.‬‬
‫בארגונים בישראל ובעולם קיימים מסמכים רבים‬
‫המתעדים את מדיניות (‪ )Policy‬אבטחת המידע‬
‫הארגונית בהקשרים שונים‪ ,‬וביניהם תיעוד לגבי‬
‫הקשחת שרתים וחומרה‪ .‬מחשבה רבה והרבה‬
‫שעות אדם הושקעו כדי לכתוב את המסמכים‬
‫הללו‪ .‬אולם הבעיה איננה הכתיבה או כמויות‬
‫התיעוד אלא דווקא הפעולה עצמה – הקשחת‬
‫השרתים ואכיפתה של המדיניות על שרתי הארגון‬
‫השונים‪.‬‬
‫הרבה מאוד ארגונים ישמו או מיישמים אכיפה‬
‫וביקורות תקופתיות (‪ )Periodic Audits‬של מדיניות‬
‫אבטחת המידע‪ ,‬כך שתהליכי אכיפה אלו מייצגים‬
‫בצורה הטובה ביותר את מדיניות אבטחת המידע‬
‫מול סביבת העבודה‪.‬‬
‫מכיוון שהמדיניות הארגונית מיושמת בתקופות‬
‫קבועות‪ ,‬השרתים המקבלים הגדרות אלו‪ ,‬לכאורה‬
‫מוקשחים עפ"י המדיניות הארגונית בנקודת זמן‬
‫מסוימת‪ .‬הבעיה הגדולה ביותר הינה ניהול ואכיפת‬
‫המדיניות הארגונית בין התקופות בהם כופים את‬
‫ההקשחה על השרתים השונים‪ .‬הארגון יכול להיות‬
‫בטוח כי הוא מוגן ברמת המדיניות הארגונית אולם‬
‫למעשה הוא מוגן רק בתקופות בהם מתבצע‬
‫העדכון‪ .‬בין התקופות השרתים למעשה פרוצים‬
‫מכיוון שלא מתבצעת האכיפה על השרתים אלו‪.‬‬
‫למעשה ייתכן כי התוצאה מפריצת אבטחת מידע\‬
‫פריצת השרת יאבד מידע חשוב ותיתכן פריצת‬
‫המדיניות הארגונית‪ ,‬שיוצרת בעיה נוספת והיא‬
‫מעקב והפעלת תהליכים כתוצאה מפריצה‬
‫במדיניות אבטחת המידע‪.‬‬
‫חלק מהמוצרים הקיימים כיום בשוק מאפשרים‬
‫להחיל את המדיניות הארגונית של אבטחת‬
‫המידע על משאבים מנוהלים כגון שרתים‪,‬‬
‫מדפסות‪ ,‬תחנות עבודה ועוד‪ ,‬אולם רק מספר‬
‫מצומצם של מערכות מאפשר זיהוי של סטייה‬
‫או פריצה מהמדיניות הארגונית ובתגובה לחולל‬
‫תהליכים אוטומטיים המונעים את הפירצה‪.‬‬
‫רוב המערכות הקשחה מגיעות עם עשרות‬
‫תבניות לסביבות עבודה ואפליקציות שונות‬
‫המבוססות על המלצות והתממשקות אל ‪CIS‬‬
‫‪(Center of Internet Security), CERT, AUSCERT,‬‬
‫‪ ,HIPAA, FDA, ISO, NSA, NIST‬והיצרנים השונים‪.‬‬
‫התממשקות זו מאפשרת למערכת להפיץ בצורה‬
‫אוטומטית את מדיניות אבטחת המידע הארגונית‬
‫עפ"י קבוצות שירותים הקיימות במערכת וכן‬
‫מאפשרת בתדירות גבוהה לבחון את ההבדלים‬
‫בין המשאב המנוהל לבין המדיניות המתבקשת‪.‬‬
‫לרוב‪ ,‬המערכות מאפשרות ניהול תהליך‬
‫ההקשחה של קבוצות שרתים וגם ניהול מדיניות‬
‫של שרתים בודדים בשני אופנים‪:‬‬
‫‪1.1‬קליטת אירוע על שינוי רכיב והפעלת תרחיש‬
‫בדיקה ותגובה בהמשך לאותו אירוע‪.‬‬
‫‪2.2‬עצירת האירוע טרם ביצועו על ידי קליטת‬
‫המידע בזמן אמת‪.‬‬
‫בצורה זו‪ ,‬המערכת עונה כמעט על כל תרחיש‬
‫ואובייקט עליו רוצים להגן במסגרת המדיניות‬
‫הארגונית‪.‬‬
‫בין דרישות המדיניות הארגונית להקשחה בהם‬
‫מטפלת המערכת ניתן למצוא את הנקודות‬
‫הבאות‪:‬‬
‫ב‪Registry-‬‬
‫‬
‫•מניעת שינויים‬
‫ומתבצע;‬
‫‬
‫•שינוי הרשאות לשירות (‪)Service‬מסוים‬
‫ודיווח במידה ונעשה;‬
‫‬
‫•טיפול בהרשאות –‪ File System‬וכן טיפול‬
‫מתקדם בנושא‪NTFS‬‬
‫ודיווח במידה‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪27‬‬
‫‬
‫•הורדת יכולות של משתמשים בעלי התרים‬
‫מיוחדים (‪ Power User‬ו‪;)Administrator-‬‬
‫‬
‫‪Administrator Local‬‬
‫•הורדת יכולות של‬
‫‪Account‬‬
‫‬
‫•מעקב אחר התנהגות ופעולות של‬
‫‪Administrator‬‬
‫‬
‫•קישור בין כתובת ‪ IP‬לבין כניסה למחשב‬
‫מורשה ודיווח על כניסה לא חוקית‬
‫‬
‫•הקשחה בכלל הרמות החל ממערכת ההפעלה‬
‫ועד לאפליקציה כולל בתוך האפליקציה‪.‬‬
‫שלבי ההקשחה‪:‬‬
‫לרוב‪ ,‬המערכות מחלקות את שלב ההקשחה לשני‬
‫חלקים עיקריים‪:‬‬
‫‪1 .1‬שלב לימוד המערכות והאפליקציות טרם‬
‫ההקשחה – מצב סימולציה‬
‫‪2 .2‬שלב ההקשחה וניטור – מצב אכיפה בפועל‬
‫השלב הראשון‪ ,‬שלב הסימולציה הינו שלב הכרחי‬
‫ביישום מערכת מסוג זה‪ .‬המלצות ההקשחה‬
‫של היצרנים וגופי אבטחת המידע הינם המלצות‬
‫מחמירות העלולות לעיתים לגרום להשבתת השרת‬
‫והמערכות המופעלות עליו‪ ,‬ולכן‪ ,‬רצוי קודם לכן‪,‬‬
‫להריץ תהליך של סימולציה‪ ,‬שבו המערכת לומדת‬
‫את המצב הקיים‪ ,‬בכדי שתהיה יכולת לחזור אחורה‬
‫במקרה של כשל במערכות‪.‬‬
‫למעשה‪ ,‬מרבית ההמלצות מתייחסות אך ורק‬
‫למערכת אחת עליה הם נכתבו ולא על שילוב בין‬
‫המערכות כגון מערכת הפעלה ומערכת הדוא"ל‪.‬‬
‫הצורך בשלב זה הינו הכרחי‪ ,‬לימוד המצב הקיים של‬
‫תצורת מדיניות אבטחת המידע בשרת מול המצב‬
‫הרצוי‪ ,‬וכן תיעוד גישה לאובייקטים העתידיים להיות‬
‫מוקשחים‪.‬‬
‫בסיום תהליך הלימוד‪ ,‬המערכת מוציאה בצורה‬
‫אוטומטית דוח על המצב המצוי בשרת מול המצב‬
‫הרצוי וכן הזהרות והמלצות להקשחה‪ ,‬לאחר סימון‬
‫האובייקטים הרצויים להקשחה‪ ,‬תייצר המערכת את‬
‫קובץ ההקשחה‪ .‬בנוסף‪ ,‬המערכת בשלב זה טרם‬
‫ההקשחה שומרת את כלל תצורת מדיניות ההקשחה‬
‫לצורך ביצוע חזרה לאחור (‪ )Undo‬בעת הצורך‪.‬‬
‫השלב השני‪ ,‬שלב ההקשחה וניטור חייב להתבצע‬
‫לאחר שתהליך ההקשחה נבדק היטב‪ .‬העברה‬
‫אוטומטית של קבצי המדיניות לשרת (מערכת‬
‫ההפעלה‪ ,‬והאפליקציות) והפעלת תהליכי ההקשחה‪.‬‬
‫מיד לאחר מכן מתחילה המערכת לבצע האזנה‬
‫לאירועי אבטחת מידע הקשורים לפריצת מדיניות‬
‫אבטחת המידע הקשורה לאובייקטים המוקשחים‪.‬‬
‫במידה ותתבצע פריצת המדיניות על ידי גורם לא‬
‫מורשה תיעצר הפעולה ויתקבל דיווח על ניסיון‬
‫הפריצה‪ .‬במידה והפעולה מורשית יתועד השינוי‬
‫לצורך תחקור בשלבים מאוחרים‪.‬‬
‫מומחי אבטחה‪ ,‬מהארגון ‪ ,SANS‬פרסמו מאמר‬
‫שתיאר מצב שבו המשוואה לצמצום האיום ועמידה‬
‫ברגולציה הינה פשוטה‪ :‬ככל שגילוי האיום מהיר יותר‬
‫וזמן התגובה לשינוי יהיה מידי כך זמן החשיפה לאיום‬
‫קטנה ותאימות הארגון תשמר‪.‬‬
‫‪28‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫תקיפות סייבר ממוקדות‬
‫מרבית הארגונים עיוורים‬
‫מיכאל מומצ'וגלו‪CTO, Light Cyber ,‬‬
‫ההתקפות שבוצעו בשנתיים האחרונות על‬
‫מדינות וארגונים בעולם מצביעים על קפיצת‬
‫מדרגה בתחכום ובפוטנציאל הנזק המשמעותי‬
‫של תקיפות סייבר ממוקדות‪ .‬אם בוחנים את‬
‫ההתקפות הממוקדות כדוגמת אלו שבוצעו על‬
‫‪ RSA, Lockheed Martin‬ו‪Aramco -‬אנו רואים קווי‬
‫דמיון משותפים‪ :‬התקפה שתוכננה בקפדנות‬
‫ובוצעה לאורך זמן רב‪ ,‬שבועות‪ ,‬חודשים וייתכן‬
‫שאף יותר מכך‪ ,‬נזק משמעותי ביותר שנגרם ולא‬
‫פחות חמור הוא שההתקפה נתגלתה רק לאחר‬
‫שהנזק האמיתי נגרם‪.‬‬
‫תפיסת ההגנה של ארגונים מורכבת משני שכבות‬
‫עיקריות‪:‬‬
‫שכבת ה‪ Perimeter -‬בכניסות לרשת הארגונית‪:‬‬
‫בשכבה זו ממקמים פתרונות ‪ Gateway‬כגון‬
‫‪.Firewall, IDS/IPS, Anti-Malware, Anti-Spam‬‬
‫שכבת תחנת הקצה‪ :‬בשכבה זו מתקינים פתרונות‬
‫שונים של ‪ Anti-Virus/Endpoint security‬על‬
‫תחנות הקצה‪.‬‬
‫ארגונים גדולים יותר מיישמים תהליכים נוספים‬
‫על ידי שימוש בפתרונותשאינם מגנים על הארגון‬
‫באופן ישיר אך מאפשרים לנהל ‪SOC–Security‬‬
‫‪OperationsCenter‬וצוותי ‪:Incident Response‬‬
‫פתרון‪ :SIEM‬מרכז התרעות מכלל פתרונות‬
‫אבטחת מידע שמותקנים בארגון ומאפשר הגדרת‬
‫קורלציות בין ההתרעות שהתקבלו‪.‬‬
‫פתרון‪ :Forensics‬מקליט את תעבורת הרשת‬
‫הפנימית ומאפשר לאנאליסט אבטחת‬
‫מידע מומחה לשחזר פעולות שנעשו על ידי‬
‫המשתמשים שונים‪.‬‬
‫הבעיה עם הפתרונות המתוארים ביחס לאיום של‬
‫תקיפות סייבר ממוקדות היא שפתרונות אלו הם‬
‫ברובם המכריע מבוססי חתימות וחוקים‪ .‬פתרונות‬
‫מבוססי חתימות יעצרו התקפות שמתבססות‬
‫על נוזקות ידועות‪ .‬די בשינוי קטן באופן שבו‬
‫הנוזקה כתובה כדי שהיא תצליח לעקוף את‬
‫השכבות ההגנה והפתרונות המתוארים‪ .‬הפתרון‬
‫היחיד שמאפשר תפיסה של נוזקות לא ידועות‬
‫הוא פתרון ‪ Anti-Malware‬מתקדם המבצע‬
‫‪ ,sandboxing‬אולם פתרון זה נמצא רק ב‪-‬‬
‫‪Perimeter‬וישנן דרכים ידועות לעקוף אותו ולהגיע‬
‫לרשת הפנימית– כלומר כמו שאר פתרונותה‪-‬‬
‫‪Perimeter‬גם הוא לא יכול לתת הגנה הרמטית‪.‬‬
‫פתרונות מבוססי חוקים כגון ‪ SIEM‬ו‪Forensics -‬‬
‫מצריכים את המשתמש להגדיר מראש מה‬
‫הוא מחפש‪ .‬אם שמענו לדוגמא שארגון מסוים‬
‫הותקף במאפיינים בפרופיל מסויים‪ ,‬נוכל להגדיר‬
‫את הפרופיל בפתרון ה‪ SIEM -‬שלנו ולראות‬
‫אם הפרופיל המסויים הזה מופיע גם אצלנו‪.‬‬
‫הפרדוקס הוא שאנחנו צריכים לדעת מה אנחנו‬
‫מחפשים כדי למצוא אותו!‬
‫הפתרונות המתוארים למעלה יעצרו כנראה‬
‫‪ 99.9%‬מהמתקפות אולם לא יעצרו את התוקף‬
‫הממוקד ששם לו למטרה לחדור לרשת ארגונית‬
‫מסוימת ללא קשר למשאבים שיידרשו‪ ,‬כספיים‬
‫או זמן‪.‬‬
‫התוקף הממוקד ימשיך לנסות פעם אחר פעם‬
‫וישכלל את כלי החדירה והאמצעים עד שיגיע‬
‫לרשת הפנימית‪.‬‬
‫מה השתנה בשנתיים האחרונות שמניע את גל‬
‫המתקפות הממוקדות?‬
‫‪1.1‬העובדה שזה משתלם‪.‬התוקפים מונעים‬
‫משני גורמים עיקריים‪ :‬השגת מידע רגיש‬
‫לצורך סחר ביתרון כלכלי תחרותי או סחר‬
‫במידע פיננסי רגיש‪ .‬מטרות משנה כוללות‬
‫אג'נדה פוליטית או חברתית‪ .‬תקיפת סייבר‬
‫היא לרוב הדרך הזולה והפחות מסוכנת‬
‫להשיג את המידע‪ .‬קשה מאוד לתפוס את‬
‫מי שעומד מאחורי התקיפה גם כאשר היא‬
‫מתגלית‪ ,‬וכל התהליך נעשה בשלט רחוק‬
‫מהאינטרנט‪.‬‬
‫‪2.2‬חשיפה של מתקפות ממוקדות מתקדמות‬
‫כדוגמת ‪ Stuxnet‬מחלחלת עד רמת התוקף‬
‫הבודד "שהסתפק" עד כה בתקיפות‬
‫בסיסיות כמו השחתת אתרים או הפעלת‬
‫‪ .SCRIPTS‬חשיפת קוד המקור והטכניקות‬
‫של מתקפות מתקדמות אלו מעלה באופן‬
‫דרמטי את הרף ונותנים בידי תוקפים בסיס‬
‫ידע לפיתוח כלי תקיפה שהיו עד כהבידי‬
‫מדינות‪.‬‬
‫‪3.3‬בורסות של נוזקות וחולשות לא ידועות‬
‫מאפשרות לתוקפים לקנות בכסף‪ ,‬בדרך‬
‫כלל לא גדול כל כך‪ ,‬יכולות ולשלב אותן‬
‫בהתקפות ממוקדות‪.‬‬
‫אנטומיה של תקיפת‬
‫סייבר ממוקדת‬
‫התוקף הממוקד‬
‫אשר שם ארגון מסוים על הכוונת ינסה לחדור‬
‫את הגנות הארגון מספר רב של פעמים ללא‬
‫מגבלת משאבים של זמן או כסף‪ .‬התקיפה יכולה‬
‫להתחיל באימייל תמים למחלקת משאבי אנוש‬
‫כמענה לתפקיד פתוח בארגון‪ .‬האימייל יכיל קובץ‬
‫‪PDF‬בתוספתנוזקה לא ידועה שתוכל לעבור את‬
‫פתרונות ה‪ Perimeter -‬וה‪ End-point -‬ותצליח‬
‫להתבסס על תחנת העבודה של איש משאבי‬
‫האנוש התמים‪ .‬בנקודה הזו לתוקף יש למעשה‬
‫כבר גישה לרשת הארגונית‪ .‬הוא שולט בתחנת‬
‫העבודה המסוימת הזו ומסוגל לבצע פעולות‬
‫שונות בתוך הרשת כאשר הוא מנצל את הרשאות‬
‫השימוש של משתמש הקצה אשר לא מודע לצל‬
‫שמלווה את הפעילות הרשתית הרגילה שלו‪.‬‬
‫התוקף יבצע בשלב זה סידרת פעולות מתמשכת‬
‫ואיטית כדי להתקרב ליעד התקיפה‪ .‬התוקף יכול‬
‫לשאוב מידע על משתמשי הרשת‪ ,‬לגשת מרחוק‬
‫למחשבים באמצעות ‪ ,Remote Desktop‬לבדוק‬
‫איזה משאבים משותפים זמינים בתחנות הרשת‬
‫וכדומה‪.‬‬
‫לאחר שהיעד אותר יתבצע הנזק הכבד שהוא‬
‫מטרת התקיפה– הזלגת מידע רגיש החוצה‪,‬‬
‫גרימת נזק למידע או לציוד‪ ,‬שיבוש שירות וכדומה‪.‬‬
‫סיכום‬
‫במשחק האינסופי של חתול ועכבר‪ ,‬ארגונים מול‬
‫תוקפים‪ ,‬ידו של התוקף היא כרגע על העליונה‪.‬‬
‫תקיפות סייבר ממוקדות מחייבות שינוי מחשבתי‬
‫בנוגע לשכבות ההגנה שארגונים צריכים לפרוס‬
‫כדי להגן על עצמם‪ .‬קו ההגנה האחרון מפני‬
‫תקיפות ממוקדות הוא הרשת הארגונית הפנימית‪.‬‬
‫‪Light Cyber‬‬
‫מיכאל מומצ'וגלו‪ CTO ,‬בחברת‬
‫אשר מתמחה בזיהוי ועצירה של התקפות סייבר‬
‫ממוקדות ברשת הארגונית‪.‬‬
‫מיכאל מומצ'וגלו ייתן הרצאה בנושא בוועידה‬
‫השנתית ה‪ 6 -‬לאבטחת מידע בתאריך ‪.17/1/2013‬‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪29‬‬
‫בגיליון הבא‬
‫סקירהטכנולוגית‬
‫ •מפת האיומים של ‪2013‬‬
‫‪HTTP Bog‬‬
‫ •האיומים הבולטים של ‪2012‬‬
‫מדובר בכלי לביצוע מתקפות מניעת שירות (‪ )DOS‬ברמת –‪ .HTTP‬ייחודו של הכלי הוא‬
‫קריאת התגובות מהשרת באופן איטי ועל ידי כך שמירה על מספר גבוה של ‪sockets‬‬
‫פתוחים (וזאת בניגוד לכלי תקיפה קלאסיים העושים שימוש בפקודות \‪GET\HEAD‬‬
‫‪ POST‬ו וכו')‪.‬‬
‫ •מלחמת סייבר ממשיכה‬
‫ניתן להוריד את הכלי בחינם מהאתר‪:‬‬
‫‪sourceforge.net/projects/httpbog/files‬‬
‫ •כיצד נלחמים במלחמת סייבר‬
‫‪SQLIer‬‬
‫ •פתרונות אבטחה מסורתיים –‬
‫פג תוקפן?‬
‫מדובר בכלי סריקה לאיתור פרצת אבטחה מסוג הזרקת שאילתות ‪(SQL‬‬
‫‪SQL‬‬
‫‪ )Injection‬באפליקציות אינטרנטיות‪ .‬הכלי קל ונוח לתפעול‪ :‬המשתמש מכניס ‪URL‬‬
‫והכלי מבצע את כל ניסיונות התקיפה האפשריים‬
‫בסיום הסריקה דוח לגבי הממצאים‪.‬‬
‫ע"י הזרקת שאילתות ‪SQL‬‬
‫ומייצר‬
‫הכלי שימושי גם למשתמשי מערכות הפעלה של לינוקס‪ .‬ניתן להוריד את הכלי‬
‫מהכתובת הבא‪:‬‬
‫‪www.brothersoft.com/sqlier-download-372337.html‬‬
‫‪Ill Logger‬‬
‫מדובר בלי שהוא למעשה מעין רוגלה (‪ )Spyware‬המוטמע בדפי האינטרנט שאינם‬
‫מאובטחים‪ .‬מדובר בקטע קוד קצר היורד באופן נסתר אוטומטית למחשב באמצעות‬
‫הדפדפן עם הגלישה לאתר הבעייתי‪ .‬הכלי מתקין עצמו במיקומים שונים במחשב‬
‫כך שיהיה קשה להסירו‪ ,‬ומעביר לכתובת דוא"ל שהוגדרה בו מראש את כל הקשות‬
‫המקלדת שהמשתמש הנפגע (הקורבן) מבצע בעת השימוש בדפדפן‪ ,‬כגון שמות‬
‫משתמש וסיסמאות‪ ,‬כתובות אתרים‪ ,‬מספרי כרטיסי אשראי ולמעשה כל מידע אישי‬
‫של המשתמש‪ .‬מידע זה עלול לשמש את התוקף למטרת סחיטה או גניבה‪ .‬כלי זה‬
‫דומה מאוד לכלים רבים נוספים שפועלים באותה השיטה‪ ,‬חלקם אפילו מהווים אחוז‬
‫מסויים מתוך קטע קוד זדוני גדול יותר‪.‬‬
‫כדי להתגונן מפני כלי זה ודומיו‪ ,‬מומלץ לגלוש לאתרים "בטוחים" בלבד (כלומר‪ ,‬אם‬
‫הדפדפן מתריע מפני אתר לא מאובטח כדאי לסמוך עליו ולא להמשיך את הגלישה‬
‫לאתר זה)‪ ,‬ולעדכן את תוכנת האנטי‪-‬וירוס על בסיס יומיומי ולהקשיח ככל הניתן את‬
‫הגדרות האבטחה של הדפדפן‪.‬‬
‫מידע נוסף על כלי זה והנחיות להסרתו ניתן למצוא בכתובת הבא‪:‬‬
‫‪http://www.exterminate-it.com/malpedia/remove-ill-logger‬‬
‫הערות‪:‬‬
‫הפרטים אודות כלי האבטחה שמפורטים בכל גיליון‪ ,‬נועדו לצורך הרחבת הידע בלבד‪ .‬חל איסור שימוש בכלים אלה‪ ,‬הן בתוך הארגון‪ ,‬והן על ארגונים חיצוניים ללא קבלת‬
‫אישור בכתב מגורם מאשר בתוך הארגון‪ .‬אין הנהלת האיגוד או המערכת של העיתון אחראים על נזק שעלול להיגרם כתוצאה משימוש מזיד בתוכנות אלה‪.‬‬
‫‪30‬‬
‫גיליון ‪ | 6‬דצמבר ‪| 2012‬‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫בין הכותבים שלנו‪:‬‬
‫ניר ולטמן ‪ CISO -‬בחברת ‪RETALIX‬‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫הדס שני ‪ -‬ראש צוות ‪ CERT‬בתהיל“ה‬
‫אלי כזום ‪ -‬מנהל אבטחת מידע אגף המכס והגבייה‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫נא לפנות אלינו בכתובת‪[email protected] :‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫| גיליון ‪ | 6‬דצמבר ‪2012‬‬
‫‪31‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫שם הקורס‬
‫תיאור הקורס‬
‫מסלול‬
‫משך הקורס‬
‫תאריך פתיחה תעודה‬
‫מסלול להכשרת מנהלי אבטחת מידע‬
‫(‪ )CISO‬מוסמכים‬
‫מסלול ייחודי להכשרת מנהלי אבטחת‬
‫מידע בעל ‪ 2‬הסמכות בינלאומיות‪.‬‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪25.03.2013‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 56‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי ארוך במיוחד להכנה‬
‫לבחינת ההסמכה‬
‫‪ 100‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫מסלול להכשרת מנהלי ניהול סיכונים (‪ )CRO‬מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪24.03.2013‬‬
‫בינלאומית‬
‫‪Mobile Forensics‬‬
‫מסלול ייחודי להכשרת מומחי‬
‫ניתוח ממצאים בפלאפונים חכמים‪,‬‬
‫מכשירי‪ ,GPS ‬וטאבלטים‪.‬‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪14.04.2013‬‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫‪Cyber Security and Incident Handling‬‬
‫מסלול טכנולוגי ייחודי ובלעדי‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪19.05.2013‬‬
‫בינלאומית‬
‫לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת‪ [email protected] :‬או לטלפון‪077-5150340 :‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫‪077-5150340‬‬
‫חייגו‪:‬‬
‫אקדמיה‪ :‬דוא"ל‬
‫‪[email protected]‬‬
‫מכירות‪ 054-9844855 :‬דוא"ל ‪[email protected]‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬