בשער - Global Security | מגזין אבטחת מידע
Transcription
בשער - Global Security | מגזין אבטחת מידע
e n i z a g a M y t i r u c e S מגזין אבטחת מידע וניהול סיכונים | גיליון מס' | 8פברואר-מרץ 2013 בשער היום היום שאחרי שאחרי מחר... מחר... המימד החדש של האבטחה המלחמה בסייבר מגמות חמות בתחום אבטחת המידע n o i t a m r o f n I דבר נשיא האיגוד הישראלי לאבטחת מידע ()ISSA חברי איגוד יקרים ,שלום רב, הקדשנו את רב הגיליון הזה לנושא כאוב ועכשווי ,שנקרא המשכיות עסקית והתאוששות מאסון .בעידן של היום ,בהם המידע הוא הפך להיות גבולות הגזרה של הארגון ,והוא נמצא בכל מקום ,בכל זמן ,ארגונים צריכים לחשוב יותר מתמיד על המשכיות עסקית ,והתאוששות מאסון. תוסיפו לכך גם את מתקפות הסייבר שממשיכות להכות בארגונים בכל הכוח ,וזה רק מחזק את הצורך בגיבוש תפיסה ומתודולוגיה לניהול המשכיות עסקית והתאוששות מאסון. ואם זה לא די ,אז ניקח כאיום ממשי גם את אסונות הטבע, שבשנים האחרונות פקדו על מספר אתרים בעולם ,והנה לכם – צורך עז בגיבוש פתרון ,ולא מצב שבו הנהלת הארגון מסתתרת מאחורי המשפט"...לי זה לא יקרה". דבר העורך בגיליון הקודם (ינואר) נתנו סקירה על עולם הביג דאטה ,שזהו תחום שהולך ומתפתח מדי יום .הארגונים צריכים לקחת בחשבון את הסכנות הקיימות מעצם קיום הביג דאטה ,וכל המערכות החדשות שאמורות לאסוף ,ולנתח מידע ממספר וקטורים .אני מגדיר זאת כסוף עידן הפרטיות ,שזו חיה בסכנת הכחדה כבר מזה מספר שנים. כיום ,המערכות החדשות בעולם הביג דאטה אוגרות ומנתחות נתונים ,ללא שום פיקוח צד ג' ,על מה שנעשה עם המידע הזה .יש כאן סכנה אמיתי לזליגת מידע ,בייחוד בסביבות בהם המערכות הללו עובדות במחשוב ענן ,מרובות משתמשים (לקוחות). כמו כן ,צריך לקחת בחשבון שבעתיד הקרוב ,יהיו ניסיונות פריצה לבסיסי הנתונים הללו ולא רק מחוץ לארגון ע"י האקרים ,אלא גם מתוכו – ע"י עובדים משוחדים ,וזה רק בגלל הערך הרב של המידע. על הארגונים להפנים את הסכנה הקיימת בעולם הביג דאטה, ולנוקט בכל האמצעים הדרושים ,שזליגת המידע לא תתאפשר בקלות. מה בגיליון? המימד החדש של האבטחה המלחמה בסייבר היום שאחרי מחר המשכיות עסקית -צורך תפעולי באיזה מתודולוגיות לניהול המשכיות עסקית להשתמש? המגמות החמות בתחום אבטחת המידע ב2013- השוק השחור של עידן הסייבר מודל הגנה רב שכבתי מלחמת סייבר סייבר -באז תקשורתי או איום ממשי? צריכים לחשוב שלנו זה כן יקרה ,ומה אני עושה...ביום שאחרי מחר (אחרי האסון). בברכה, דני אברמוביץ נשיא האיגוד עורך ראשי :דני אברמוביץ סגן עורך :שלומי מרדכי המערכתTITANS SECURITY GROUP : צלם המערכת :יוסי טובליס דוא"לinfo@titans2.com : האיגוד אינו אחראי לתוכן המודעות .כל הזכויות שמורות. אין להעתיק רשימות וחלקים בלא היתר. בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת מידע שונים .אין אנו משמשים כגורם ממליץ ,או ממליצים על מוצר כזה או אחר .מטרת הכתבות היא חשיפה טכנולוגית בלבד .כמו כן ,כל הכתבות בגיליון מביאות את חוות דעתם של הכותבים ,ואין זה מביע את כוונת האיגוד. 2 גיליון | 8פברואר-מרץ | 2013 | גיליון | 8פברואר-מרץ 2013 3 המימד החדש של האבטחה סייבר הוא איום משמעותי ובעל אלמנטים חיצוניים ,שרבים מהם כלל אינם תלויים במנהל אבטחת המידע בארגון או באזרחים מהשורה .ההגנה מפני איום זה אינה שונה מהגנה מפני כל איום אחר בארגון :מנהל האבטחה יכול להתגונן מפני הסייבר אם ינקוט שורה של פעולות מוכרות וידועות החל מרענון הנהלים ,שימושביישומים ,פתרונות ותכונות שמגבירות את שכבות ההגנה. כמו כן ,הוא צריך גם להגביר את פעולות ה DR-שלו. תובנה נוספת היא שבכל זאת משהו השתנה. אם בעבר היעדים עליהם הגן מנהל אבטחת המידע היו בקמפוס גיאוגרפי מוגדר פחות או יותר – שהרי הוא ידע בדיוק איזה שרת מספק מה למי – כיום המציאות היא אחרת .בעידן המובייל והענן ,איומי האבטחה עלו לרמה שמנהל אבטחת המידע לא ידע על קיומה קודם לכן. כאשר כל עובד מחזיק ברכיב נייד שעליו הוא מתקין את הסרטים מבר-המצווה של בנו ,לצד נתוני מכירות רגישים מאתמול בערב – מנהל אבטחת המידע צריך להיות להשתמש בכלים אחרים ולנקוט במדיניות חדשה. תובנה נוספת מחזירה אותנו לנושא העיקרי של היום :הסייבר .ישראל היא אולי מעצמת סייבר, אבל הטיפול בו בהיבט הסקטור האזרחי מפגר מאוד ביחס למדינות אחרות .אחת הסיבות לכך ,היא היעדר שקיפות .רשויות הממשלה מדברות הרבה על סייבר ,כמוהן גם הרשויות שאמורות להגן על העורף ,אבל הן לא נותנות לנו את הדברים הבסיסיים ביותר להתמודדות עם הבעיה :מידע ,שקיפות והסברה .הסיבות לא ברורות ומן הראוי שמי שאחראי על זה ייקח זאת לתשומת ליבו. גישות האבטחה המסורתיות מתקשות לנטרולתעדף את הסיכונים בארגון .ארגונים כיום מבינים יותר מתמיד את החשיבות של אסטרטגיית ניהול סיכונים מקיפה ,אם לאבטחת הנכסים לכל רוחב התשתית הארגונית ,ואם למניעת פגיעה במוניטין. ארגונים מתמודדים כיום עם מתקפות מורכבות, וגישות האבטחה המסורתיות מתקשות לנטרולתעדף את הסיכונים בגבולות המורחבים של הארגונים .ארגונים נדרשים לגישה מגובשת יותר לניהול האבטחה והסיכונים. מחקר שנערך הציג תמונה לפיו תחושת הסיכון הגבוהה של המנהלים מלווה בהרגשה ,כי הארגונים אינם מוגנים מספיק .עפ"י המחקר, פחות משליש מהמנהלים בארגונים מאמינים שהם מוגנים .עוד העלה המחקר ,כי הסיכון העיקרי עליו מצביעים מנהלים הוא המצב הכלכלי ,ומיד אחריו – בפער קטן -סיכונים טכנולוגיים .יותר מ 50%-מהמנהלים מאמינים שהיקף פרצות האבטחה בארגון עלה בשנה האחרונה בכ .30%-המשיבים העידו ,כי בשנה החולפת בוצעו כ 80%-חדירות בלתי מורשות שמקורן פנימי וכ 20%-דיווחו על חדירות ממקור חיצוני. היישומים ומכשירי הקצה .מצב זה ,מביא לכך שארגונים נדרשים לגישה מגובשת יותר לניהול האבטחה והסיכונים .ארגונים מבינים כיום יותר מתמיד את החשיבות של אסטרטגיית ניהול סיכונים מקיפה ,אם לאבטחת הנכסים לכל רוחב התשתית הארגונית ,ואם למניעת פגיעה במוניטין .יש לספק את רמת ההגנה הרצויה לארגונים ,תוך שילוב בין מתן גישה מיידי לנכס הארגוני הדרוש לבין שמירה על רמת הסיכון. ההתקפות שינו את פניהן וכעת הן מסוכנות ומתוחכמות יותר .ההתקפות הבאות תהיינה, מן הסתם ,מורכבות יותר ,מתוחכמות יותר, ממוקדות ובעלות יכולת גבוהה יותר לגרימת נזק – הן ברמה העסקית והן ברמה הטכנולוגית. על מנת להתמודד עם ההתקפות החדשות נדרש לשנות את החשיבה ולהוסיף מעגלי הגנה נוספים. מטרת ההתקפות היא לגרום נזק לארגון – הן ברמת המידע והן ברמת זמינות המערכות. המטרה של חלקן האחר היא לגנוב מידע מהארגון .המשותף לכל ההתקפות הללו הוא המשאבים הרבים המושקעים בהן ,חלקם אף בעזרתן של מדינות .בנוסף ,יש מעבר מהתקפות רחבות להתקפות ממוקדות יותר ,שיש להן יכולת לגרום לנזק גבוהה יותר. בינה עסקית לסייבר הקפות סייבר מעין אלה שנחשפו מעין אלה שנחשפנו אליהן בשנה האחרונה ,וניסיונות להתקפות רבות אחרות שמבוצעים באופן שוטף ,תדיר ובכמות גבוהה על אתרים ישראלים, דורשים מאיתנו שינוי מהותי בחשיבה. המשמעות של פוטנציאל הנזק העסקי והטכנולוגי הגבוה ביותר היא שאם ונפרצו מעגלי ההגנה החיצוניים וגורם עוין הצליח לחדור לתוך הארגון ,אזי מאותו רגע ,היכולת להגיע לשליטה מלאה על תשתיות הארגון והיכולת לגנוב מידע או לגרום נזק היא כמעט וודאית ומהירה. וזו בדיוק הסיבה שהתקפות שכאלה דורשות מאיתנו לשנות אל החשיבה ולהוסיף מעגלי הגנה נוספים דוגמת מערכת Cyber Threat ( Intelligenceמעין בינה עסקית לסייבר), שמטרתה היא להתריע בפנינו מבעוד מועד על ניסיונות או רצונות לביצוע תקיפה. הדבר דומה למערכות מודיעין ,שמטרתן לספק לנו מידע על כוונות האויב .יש להעמיק את תחקור האירועים ,וכמובן להרחיב את אמצעי ההגנה הפנימיים ,בתוך הארגון. נקודת החולשה העיקרית ,הינה בפלטפורמות הטכנולוגיות ,ולאחריהן רשתות תקשורת, 4 גיליון | 8פברואר-מרץ | 2013 | גיליון | 8פברואר-מרץ 2013 5 מלחמת הסייבר היא יותר מסוכנת מהמלחמה הקונבנציונאלית. מנהלי אבטחת המידע בארגונים הם בעצם "הקו הראשון" בלוחמת הסייבר שצריכים להפעיל את מערך ההגנה מול מתקפות הסייבר .כלל המפתח הראשון הוא הגדרת מדיניו ארגונית בראייה אסטרטגית ,המבינה את הצורך בהגנה על המערכות הקריטיות לתפקודו של הארגון ,והטמעת מדיניות זו בארגון. האסטרטגיה שעל הארגונים לאמץ היא שילוב של הטמעת מערכות שיכולות לספק לארגון רמה וודאית של זיהוי ,איסוף, ניתוח ושליטה אוטומטית במגוון אירועים מווקטורים שונים, באמצעות כלים טכנולוגיים ,אך גם אנושיים. האסטרטגיה חייבת להתבסס על האנשים ,המידע ,היישומים והתשתיות. (Security המלחמה בסייבר בחודשים האחרונים ,קיבל העולם הצצה נוספת למלחמת הסייבר המתנהלת מאחורי הקלעים מזה תקופה ארוכה בידי האקרים אשר מאתרים ,חושפים ומעבירים מידע רגיש (בין אם מדיני ,צבאי עסקי או פרטי) לידיו של הגורם המזמין. מציאות אפוקליפטית עתידית כזו ,בה אין יותר סודות ולמעשה הכל גלוי וחשוף יכולה לשנות ללא הכר את העולם כפי שאנו מכירים אותו היום. כל אלה מאוחדים תחת סביבת בינה כוללת אחת .)Threat Intelligenceהבינה המשולבת מאפשרת לקבל את הפלט של כל מערכת אבטחה ולהזין אותו לתוך מערכת בינה וניתוח .השילוב הזה מאפשר ,בסופו של דבר ,מיכון של תהליכים. חשוב לשים דגש על שליטה בסיסית ,המתמקדת בהגנה היקפית, שילוב הגנה בתהליכים הארגוניים ומיטוב בעזרת ניתוח אנליטי בזמן אמת של נתוני איומים ופעילות ברשת .ברמת הנתונים ,גובר העניין בניטור פעילות בבסיסי נתונים .בעולם אבטחת היישומים חשוב להתמקד בניתוח אנליטי ודינמי שלהם ובחשיפתם לסיכוני אבטחה. בין האיומים בפניהם ניצב הארגון נמצאים ,ביזור הרשת והתקשורת וכניסת מחשוב הענן ,ערבוב בין המשתמש המורשה והבלתי מורשה ,כאשר 70%-75%מהאיום הוא מהמשתמש הפנימי המורשה ,הצורך בהפרדה בין עולם הידע ועולם התפעול, אבטחה של יישומים שחשופים לאינטרנט ,והתעצמות הרכיב הלא נודע במערכות ה.IT- ככל שחברות אבטחת המידע השונות מפתחות עוד ועוד הגנות קיימות עוד ועוד חומות ,כך גם כמות הנוזקות הולכת וגוברת .על כל טלאי אותן מפתחות חברו האבטחה במטרה לסתום פרצה מפותחים עשרו קודים חדשים שיודעים להיכנס באמצעות פרצה אחרת .הנוזקה ,FLAMEהיא רק דוגמה אחת לנזק או אובדן הפרטיות שיכול להיגרם לכל אחד מאיתנו ,בבית או בארגון. נדרשת חשיבה מחודשת כיצד להגן על המידע הרגיש. במלחמה כמו במלחמה ,ככל שנשים יותר הגנות – כך ירבו וישתכללו ההתקפות .ארגונים חייבים לחשוב מחדש כיצד הם מגנים על רשתות התקשורת שלהם .הגישה המקובלת כיום היא של מתן תרופה לבעיות שצצות או חסימה נקודתית מפני פריצות והתקפות .יש לבחון גישות שונות ,שנותנות פתרון מוכלל ומלא – ולא תלוי ,כזה שיאפשר למשתמשים עבודה שוטפת ,ללא חששות מפרצות עתידיות. 6 גיליון | 8פברואר-מרץ | 2013 אבטחה בשכבת האפליקציה נדרש לאתר פרצות אבטחה ביישומים כבר בשלבי הפיתוח .זו רמה נוספת של אבטחה המתאפשרת באמצעות ניתוח סטטי של קוד המקור של היישומים ,בשלב מוקדם ככל האפשר של פיתוח היישום ,כדי להתריע בפני המפתחים על כל סיכון עתידי אפשרי. פיתוח של יישום כולל הרבה שלבים וכל אחד מהם טומן בחובו פרצות פוטנציאליות של אבטחת מידע .לכן נדרש לאשתר את פרצות האבטחה כבר במהלך שלבי הפיתוח ולא בסיום התהליך. זיהוי פרצות ברמת הפיתוח ,יאפשר למפתחים לבנות יישומים מאובטחים יותר ,ובכך להוריד עלויות אבטחת מידע בארגון באופן משמעותי. חלה התפתחות משמעותית של המתקפות על יישומים במהלך השנים ,החל מהנערים שעשו זאת לשם ההנאה ,עבור בגורמי פשיעה שהבינו את הפוטנציאל הכלכלי הטמון בתחום וכלה בשלב השלישי ,בו אנו נמצאים כיום ,שבו ניתן לעשות דברים מדהימים ,מתקפות מתקדמות המסבות נזק לתהליכים העסקיים בארגון .התוקפים כיום ממוקדי מטרה ההאקר מנסה לפרוץ ,מתעקש ,מתמיד ובסופו של דבר מצליח .הסיבה לכך היא שיש לו יכולת לשלב טכנולוגיות תקיפה שנות ומגוונות. השבתה טוטאלית בנקים הם תשתית לאומית .אם הם יחדלו מלהתקיים ,אנשים ייזרקו לרחוב ,בתי החולים לא יתפקדו ועוד .היכולת של גורם כלשהו בעולם להשבית מדינה קיימת .הבנקים נתונים ללא מעט רגולציות והמפקח על הבנקים מוציא הוראות ממוקדות לנושאים שונים .במהלך שנת ,2012המפקח על הבנקים הוציא חוזר לבנקים לגבי התמודדות עם מתקפות סייבר המציב בפני הבנק אילו יעדים מצופים מהבנקים להשיג בתחום .בנוסף ,יש לבצע בחינה של מערך המחשוב כדי להקשיח את השרתים ,לעדכן את הנהלים הרלוונטיים ולהקים חדר מצב שאמור להתמודד עם אירועי סייבר שונים. התקפה ממוקדת סייבר זה מונח בעייתי ,שם של תקופה שהמאפיין שלה הוא המעבר מגישה של פישינג לגישה של סטיר פישינג .בגישה הקודמת ,ההאקרים ניסו לתקוף את כולם וכיום הם מנסים לתקוף מטרות אישיות וממוקדות .המאפיה ,למשל ,לוקח האקרים ונותנת להם תקציב של עשרה מיליון דולרים כדי למצוא פרצה בבנק ולהוציא ממנו חצי מיליארד דולרים .הסיכון גבוה יותר ,אבל הסבירות להתרחשותו קטנה .לעומת זאת ,הסבירות של האיום הקלאסי מאוד גבוהה ,אבל הנזק שלו נמוך יותר. אי אפשר לייצר מערכת להתמודדות עם שניהם ביחד ,צריך לטפל בהם בנפרד .יש לשים נקוד בסרגל ולקבוע כמה משקיעים בכל אחד מסוגי האיומים. | גיליון | 8פברואר-מרץ 2013 7 היום היום שאחרי שאחרי מחר... מחר... ארגונים רבים מתכוננים למגוון תסריטים שונים של איומים ואסונות, ואף מתרגלים חלק גדול מהם .מה שחסר כיום בכל העולם הזה של ניהול המשכיות עסקית ,היא תרגול ברמת מדינה ,כאשר התסריט הגרוע ביותר זה מספר אסונות בו זמנית ,שיכולים להשבית מדינה. מה יקרה אם יהיה הרס טוטאלי של מערכות המידע ,הנמצאות בבנייני מוסדות ציבור ,פיננסים ,בריאות ועוד ,בהם אגור המידע האזרחי והפיננסי ,הנוגע לכל אחד מאיתנו? יכולת ההתאוששות חייבת להיבחן גם במונחים של זמינות המידע ויכולת האזרח לבצע ב"יום שאחרי" פעולות פשוטות כמו משיכת כסף מכספומט ,זכאות לפנסיה ,קופת גמל או חסכון ,היסטוריה רפואית ,בעלות על נכסים ,ביטוחים ושאר מיני שירותים – לרבות שירותים ציבוריים :ממשלתיים ו\או מוניציפאליים... בפועל ,מרבית הארגונים אינם ערוכים להתמודד בצורה נאותה עם מפת האיומים הנוכחית ,במיוחד כאשר גם הסבירות לרעש אדמה רחב היקף, שיגרום לנזקים מסיביים עולה לאורך ציר זמן. המסקנה :המידע החיוני של גורמים אלו חייב לעבור גם לחו"ל ,אך אז ישנם אתגרים קשים נוספים ,כגון הגנה על פרטיות המידע ,סודיות המידע ,כיצד נמנע גישה של גורמים לא מורשים ועוד .הכל בר ביצוע ,והכל ניתן לפתור, וזו רק שאלה של תקציב. מפת האיומים של ימינו (מלחמה ,אסונות טבע ,ועוד) מאיימת לא רק על הביטחון הפיזי שלנו אלא מהווים סכנה מוחשית גם לכסף של כולנו ,שרובו אינו נמצא פיזית בידי הציבור אלא במערכות המחשוב של המוסדות השונים ובכללם בנקים ,חברות ביטוח ,חברות כרטיסי אשראי וכיו"ב .הדברים נכונים גם למערכות ציבוריות אחרות כגון :שירותי הבריאות ,מערכות שילטון שונות וגם המידע המוחזק בידי חברות פרטיות ,אשר חסרונו הפתאומי עלול להביא אף לקריסתו הכלכלית (קיימות עשרות דוגמאות לכך). כל המידע הקריטי הזה ,מרוכז בתוך מצעי האחסון אלקטרו-מגנטיים שונים, שמטבעם רגישים וחשופים למגוון רחב של תקלות וסיכונים .פגיעה במידע המאוחסן בהם – עלולה להביא לקטסטרופה ולהפסדי ענק ,ולכן אין להפריז בחשיבות שמעניקים ארגונים שונים למאמצים הנעשים במטרה להגן על המידע הזה ועל המערכות המחזיקות בו. אחד האמצעים הנפוצים להגנה מפני אובדן המידע ,הוא הקמת אתר משני של "גיבוי והתאוששות" ,בו משוכפל המידע הנמצא במערכות המידע של הארגון ,לשימוש במקרה של פגיעה או תקלה במערכות הראשיות .הפתרון של גיבוי באמצעות קלטות הוכח ללא אמין ולא ישים כשמדובר בשחזור אתר שלם עם עשרות שרתים .בראייה מערכתית גיבוי קלטות אינו יכול להבטיח שהמידע אכן שלם ,נכון ,אמין וזמין בכל עת. מיתר האיומים בארץ (ביטחוניים ואסונות טבע-בעיקר רעידת אדמה) ,מציבים בפני המוסדות הפיננסיים ,הבריאותיים והציבוריים בארץ סוג של איום "חדש" המאלץ אותם לחשיבה מחודשת בנושא .עד היום המודלים של פתרונות ההתאוששות נשענו על הנחות אסון מקומי דוגמת :שריפה ,הצפה ,תקלת חומרה או תוכנה ,רעידת אדמה ,וכיו"ב ,ולכן אתרי ההתאוששות הוקמו, במרחקים של עד קילומטרים בודדים ממיקומו של "אתר הייצור". ההערכות המודיעיניות הנוכחיות ,והאיום לנזקי רעידת אדמה אפשרית "טורפים את הקלפים" לפתרונות הקיימים ,שכן פגיעה באתר הייצור וגם באתר הגיבוי – במקביל ,עשויה להימצא בטווח ההסתברות הריאלית. אל מול האיומים שצוינו לעיל ,נדרש פתרון אחר .תצורת הפתרון המסתמנת כעונה לאיומים אלה היא העתקה של אתרי ההתאוששות והגיבוי בישראל למקום מאובטח בחו"ל .כבר היום ישנם מספר ארגונים שהעבירו את אתרי הגיבוי שלהם אל מחוץ לגבולות המדינה ,אך רובם טרם עשו זאת .ראוי שהנהלות הארגונית המחזיקים במידע קריטי לציבור או להמשך קיומם כ"עסק חי" יבחנו מחדש את הנחות היסוד הקשורות לאבטחת המידע. יהיה זה חוסר אחריות מצידם להשאיר את המצב כפי שהוא היום .המידע החיוני הנדרש לניהול חיינו בארץ ,נמצא בתוך המערכות הללו וביום האסון, הדירקטוריון והנהלת הארגונים יצטרכו לתת את התשובות. 8 גיליון | 8פברואר-מרץ | 2013 | גיליון | 8פברואר-מרץ 2013 9 המשכיות עסקית צורך תפעולי האם הכנתם את רשתות התקשורת שלכם למקרה של אסון? במקרה של אסון, הארגונים צריכים להתכונן עם מערכות תקשורת חלופיות כדי להגיב לאירועים, ולא להסתמך על רשתות ציבוריות. מה תעשו אם יתרחש אסון ואין לכם אמצעי תקשורת כלשהו עם העולם החיצון? בהנחה שהחברה שלכם נדרשת לתת מענה ללקוחותיה או לשירותי חירום במקרה של אסון ,כדאי שתתכננו. בעת משבר שמשבית את קווי התקשורת בחברה, הטלפונים הסלולריים הם הכלי הנפוץ ביותר לתקשורת עם העולם החיצון .אבל מה יקרה אם גם ספק הסלולר שלכם קרס (ראו מקרה של חברת פלאפון לפני כחודש ימים). מקצועני ניהול סיכונים צריכים לשקול את התוצאות של שירות זה ולסקור את התוכניות שלהם להבטיח את התקנת אמצעי התקשורת הנכונים ,לרבות חלופה לשירותי הטלקום והסלולר ,מוקדם ככל האפשר. המפתח לתכנון משבר תקשורת הוא לחשוב על טווח רחב של אפשרויות .בהגדרה ,משבר הוא אירוע בלתי צפוי בעל סיכון ניכר להשלכות שליליות ,דבר שהופך את ההתכוננות למשבר למשימה מורכבת .העובדה שהמשברים הם אירועים נדירים משמעותה גם ,כי העסקים נדרשים להשקיע בתוכניות זהירות שאינן תמיד ברורות .התוצאות ,שלא כמו בהיבטים אחרים של אבטחה וניהול סיכונים – תחום המשכיות התקשורת לרוב נשכח עד שמתרחש אירוע המעלה אותו לראש סדר העדיפויות. בעקבות מחקרים רבים שנעשו בעבר ,עולים ממצאים מדאיגים ,במיוחד שמרבית הממצאים די חוזרים על עצמם ,דבר המעיד על חוסר תהליך תקין של הפקת לקחים ,ולימוד מהאסונות של האחרים .לרוב ,תקשורת עם בכירים ותקשורת לאחר מעשה – לא בתכנון .רק מעט מהארגונים בעלי תוכנית שכוללת תקשורת שלאחר המשבר או תקשורת עם שירותי העזרה הראשונה והמשטרה. בעוד כמה מהמרכיבים הפחות נפוצים אינם רלוונטיים למרבית המשברים ,הם צריכים לפחות להיות נידונים במהלך התכנון ולתת להם מענה בתוכניות עצמן אם הדבר נדרש. ארגונים צריכים ליצור קשר עם אנשי העזרה הראשונה והשוטרים מיד כאשר נוצר אירוע המהווה סיכון לעובדים או לכל אחד אחר .הצורך 10 גיליון | 8פברואר-מרץ | 2013 ליצור קשר עם נבחרים תלוי בטבע האירוע והענף. בחברות תעופה ,למשל ,יהיה צורך ליצור קשר עם שלטונות הבטיחות בתעופה במקרה של תאונה אווירית. עולם הסלולר הטלפונים הסלולריים הפכו להיות שיטת התקשורת המועדפת כאסטרטגיה למקרי חירום .חברות מסתמכות על אמצעי תקשורת רבים בעת משבר ,אך טלפונים סלולריים ,דוא"ל וטלפונים נייחים הם הגורמים העיקריים שבהם נעשה שימוש. מומחים ממליצים לארגונים לשקול שימוש במערכות קשר דו כיווניות ובתקשורת לוויינים במקרה של אובדן תקשורת .אי אפשר להסתמך גם על רק על ספקי הסלולר ,מכיוון שתמיד יהיו תסריטים (כדוגמת ההוריקן קתרינה) שבהם מגדלי סלולר קרסו. תוכנית להמשכיות עסקית ()BCP תכנון וגיבוש תוכנית להמשכיות עסקית ( )BCPהינה מתודולוגיה בין-תחומית של חונכות המשמשת ליצירת ונתינת תוקף לתוכנית לוגיסטית מנוסה לגבי הדרך בה ארגון יתאושש וישחזר ,חלקית או באופן מלא ,בתוך זמן מוגדר מראש פעולות קריטיות שהופסקו לאחר אסון או הפרעה ממושכת .התוכנית הלוגיסטית נקראת תוכנית המשכיות עסקית (.)BCP במילים פשוטות ,הBCP- היא הדרך בה הארגון מתכונן לאירועים עתידיים העלולים לסכם את המשימה העיקרית של הארגון וחוסנו לאורך זמן. אירועים אלו יכולים לכלול אירועים מקומיים כגון שריפה בבניין ,אירועים אזוריים כגון רעידת אדמה ,או אירועים לאומיים כגון מגפות. ה BCP-יכולה להיות חלק ממאמץ למידה ארגוני המסייע להפחית סיכון תפעולי הקשור לבקרת ניהול רפויה .ניתן לשלב מהלך זה עם שיפור אבטחת המידע וניהול סיכון של מוניטין החברה (לקוחות הם גם משתמשי מערכת מידע בארגון) אותן הארגון מבקש לשמר עבור כל תהליך כנגזרת מהשלכות עסקיות ו\או כלכליות יחסיות לכל תהליך. כמו כל פוליסה ,מטרת התוכנית להגדיר את התמהיל הכלכלי הנכון בין החשיפה של הארגון לסיכון במונחים עסקיים או כלכליים ,לבין גובה עלות תוכנית התאוששות נדרשת (יחס עלות- תועלת) ובכך להגדיר את רמת השירות הנדרש לכל תהליך עסקי בארגון ואופן אבטחת קיומו. מטרת תוכנית התאוששות מאסון ( )DRPהיא לייצר תהליכי עבודה ופעולות מוגדרות מראש שיקטינו את לפיכך חשוב שתהיה אפשרות של שימוש ברדיו דו כיווני או בתקשורת לוויינים עם כמה בכירים שתפקידם לתאם תגובה ,אך לא ככלי לתקשורת המונית. פוליסת ביטוח בשנים האחרונות הופך תחום ההמשכיות העסקית ורציפות המידע רלבנטי וחיוני ביותר. ארגונים רבים נערכים למקרה חירום ומכינים תוכניות לאחסון ,גיבוי מקומי וגיבוי באתר חיצוני. תוכנית התאוששות מאסון ,הינה מעין פוליסת ביטוח חיים עבור הארגון .הארגון חשוף לסכנות ולאירועים ,אשר אין באפשרותו למנוע ואין ביכולתו לחזות את גובה וחומרת הפגיעה .מטרתה של תוכנית זו הינה צמצום הנזק הישיר והעקיף ,אשר עלול להיגרם כתוצאה מאירוע שכזה בהתנהלות הארגון ועבודתו השוטפת. התוכנית ההתאוששות מאסון ( )DRPבראש ובראשונה מגדירה תרחישי אסון אפשריים כנגזר מהמיקום הפיסי של הארגון ,תחרות ,שירותים המסופקים על ידי הארגון תנאי עבודה ,סביבת חוות השרתים בארגון ועוד .כחלק מהניתוח ההסתברות להתרחשות האירוע כפרמטר בסקר סיכונים .לאחר מכן מנותחים התהליכים העסקיים בארגון ומוגדרות דרישות עמידה של מחויבות הארגון לאספקת רמת שרות ללקוחות הצורך בקבלת החלטות במהלך תהליך ההתאוששות .תוכנית זו הינה מרכיב חיוני בכל תוכנית להמשכיות עסקית. צוות חירום צריך ללוות ולסייע לארגון בהובלת תהליך מובנה להכנת תוכנית התאוששות מאסון, שתכלול נושאים כגון: •תכנון ארכיטקטורת אחסון וניהול אחסון משולב •ניהול תוכנות ומערכי גיבוי מתקדמים •קביעת מדיניות הארגון למניעת אסון מידע •בקרה על מימוש מדיניות גיבוי המידע בארגון •תכנון מערכי המשכיות עסקית והתאוששות מאסון | גיליון | 8פברואר-מרץ 2013 11 האיגוד העולמי לאבטחת מידע (– )ISSAהצ'אפטר הישראלי קורס CISO האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו העיקרית היא קידום נושא אבטחת המידע בישראל ,בכל ההיבטים. אודות גיליון Global Security למה כדאי לחפש מידע במגזין שלנו ולא למשל ב Google-או כל עיתון אחר? חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה ,כגון הרצאות מקצועיות ,ימי עיון ,חומרים מקצועיים ,ועוד .כיום ,חברים באיגוד כמה מאות מקצועני אבטחת מידע ,ואנו שואפים לגייס את כלל קהילת ה IT-בישראל. בנוסף ,חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של –Global Security המגזין המוביל בישראל בתחום אבטחת המידע. e S e c u r i t y M a g a z i n e n i z I n f o r m a t i o n מגזין א בטחת מגזין אב a g a M y t i r u c e S n o i t a m r o f •מיקוד בתחום אבטחת המידע – המגזין עוסק אך ורק בתחום אבטחת המידע וניהול סיכונים. •יותר כתבות מקצועיות ופחות תדמיתיות – רוב המגזינים כיום יותר תדמיתיים, ופחות מקצועיים .אנו שומרים על רמה מקצועית ,וכמות מינימאלית של כתבות תדמית. n מידע וניהול סיכונים | גיליון מס' 4 | אוגוסט 2012 | יולי 2012 גיליון מס' 3 יהול סי כונים | I •השוואתיות – מאפשר השוואה פשוטה ואובייקטיבית בין הספקים והפתרונות. •היקף מידע – תמונה רחבה יותר ,ולא רק התמקדות בנושאים ספציפיים. Identity M anagemen t נתי של האיגוד קור הכנס הש סי בעולם הסייבר מגמות ערכות SIEM מ ערכות IPS מ זהירות בוטנט •תשלום סמלי – מדובר בעלות סמלית, והנכם מנויים למגזין אבטחת המידע המוביל בישראל •מקצועני אבטחת מידע – כל הכותבים שלנו עוסקים בתחום אבטחת המידע למעלה מ 7-שנים ,והם בכירים בתחום, ברמה העולמית. טחת מידע ונ בשער מלחמת בשער ניהול זהויות סייבר האיום החדש בעידן הסייבר מתקפות APT הגנה על מערכות SCADA אחת לרבעון – מוסף מיוחד מה הערך המוסף שלנו? בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם לכמה ספקים בהתאם להוצאת RFI/RFPמהחברה .אנו מרכזים עבורכם את כל המידע המקצועי המקיף ביותר ,ובר השוואה אודות הפתרונות אבטחת המידע השונים, באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי: .1סקירה טכנולוגית רחבה אודות הפתרון שמחפשים .2סקירת הפתרונות בתחום הספציפי. .3מי הם הספקים המובילים בתחום? .5פרטי החברה של היצרן/ספק/האינטרגטור: שם ,מספר עובדים ,שנת הקמה ,יתרונות וחסרונות ,סוגי פעילות בחברה ,נושאים \תחומי פעילות והתמחות ,קישורים ,מידע טכנולוגי, איש קשר ,חוסן כלכלי ,לקוחות בארץ ,לקוחות בחו"ל ,תוכניות הרחבה למוצר ,מספר התקנות 12 גיליון | 8פברואר-מרץ | 2013 תלמד • תוביל • תצליח! בארץ .6מה הערך המוסף של כל ספק בתחום הפתרון המוצע? .7כיצד מנהלים את הפרויקט? .8מהם נקודות כשל בפרויקט שמהם צריכים להיזהר? .9מה צריכים לדרוש מהספקים בעת יציאה למכרז? הטכנולוגיה רצה קדימה ,ההנהלות דורשות החזר השקעה ,הספקים מציעים לנו פתרונות ללא סוף, והלקוחות מצפים לשירות עם אפס תקלות ושמירה על המידע שלהם .זוהי הסביבה שאיתה נאלץ כל מנהל אבטחת מידע להתמודד יום יום כחלק מהעשייה והחיפוש אחר ההצלחה בתפקיד .הקורס שם דגש על החידושים והאתגרים השונים בתחום אבטחת מידע וניהול. במסגרת הקורס נציג את הנושאים החדשים וההתפתחויות בתחום תוך מתן כלים מעשיים למנהל אבטחת המידע לניהול תקין של מערך האבטחה בארגון. נציג בצורה אובייקטיבית את הנושאים השונים תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי העדיפות של הנושא (בהתאם לחומרת העניין ותהליך ניהול סיכונים מובנה) ,וכמובן נצייד את התלמידים בכל הכלים ,הן בפן הטכנולוגי והן בפן העסקי-ניהולי, שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו. הקורס חושף את התלמיד למגוון רחב של נושאים ,הן בפן הטכנולוגי ,והן בפן העסקי-ניהולי .הקורס חובה לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם אבטחת המידע וניהול סיכונים. מנחה ומרצה ראשי דני אברמוביץ, מנכ"ל טיטנס סקיוריטי שיטת הלימוד •הקורס יציג תפיסות טכנולוגיות ,עסקיות וניהוליות ודרך יישומן בארגון •הקורס יכלול הרצאות פרונטאליות משולבות בהצגת וניתוח מקרים (Case )Studies •הקורס כולל הגשת והצגת פרויקט גמר קהל יעד מנהלי אבטחת מידע ,מנהלי תחום ניהול סיכונים ,מנהלי ,ITיועצים היקף הקורס 200שעות פרונטאליות כ 500-שעות תרגול עצמי 50מפגשים של 4שעות כל מפגש למידע ,ייעוץ והרשמה ניתן לפנות לטלפון 077-5150340 דוא"ל info@titans2.com : www.titans2.co.il | www.ts2.co.il | www.titans2.com | גיליון | 8פברואר-מרץ 2013 13 באיזה מתודולוגיות לניהול המשכיות עסקית להשתמש? כבר החלטתם ליישם בארגון שלכם תוכנית להמשכיות עסקית ו\או להתאוששות מאסון .כעת עליכם לבחור בדרך המתאימה ביותר דמיינו את השפעות של כל אחד מהתסריטים שלהלן על העסק או על לקוחותיכם: הבניין שבו שוכן העסק שלכם עולה באש, משבר אנרגיה חדש ,רעידת אדמה ,מלחמה כוללת ,קריסה של כל מערכות אספקת החשמל ותקשורת ,הצפה או תנאי מזג אוויר קשים .כל המקרים לעיל עלולים להוביל לכך שאין אנו מסוגלים לספק את צרכי לקוחותינו. כמה זמן הם צפויים להישאר נאמנים לנו בתנאים שכאלה? ארגונים עם תוכנית פעולה למקרה של אסון ישרדו בסבירות גבוהה יותר בהשוואה לעסקים שאין להם .עסקים שעברו אסון קשה ספק בכלל אם יחזרו לפעילות .נזכיר כי על פי הסטטיסטיקה העולמית ,מבין החברות שספגו פגיעה אקוטית ברשומות המידע שלהם ,כ 45%-לא חוזרות לפעילות כלל ,כ 50%-סוגרות את פעילותן תוך שנתיים ורק 5%ישרדו לאורך זמן. כמה זה עולה לנו? כ 45%-50%-מהחברות מוציאות בין 1%- 8%מתקציבי מרכזי המידע שלהם על נושא ה .DRP-מספרים אלו מדאיגים במיוחד לאור הסטטיסטיקות שלעיל .המלחמות האחרונות ביחד עם האסונות שפקדו עלינו לאחרונה ,לימדו אותנו שלא היינו ערוכים מספקי כדי להתמודד עם ההשבתות ,הן מבחינת תהליכי הגיבוי והן מבחינת המשך עבודה ותפעול התקין של החברה. ומלחמות הן רק אחד הדברים להם יש להיערך. מזג אוויר קיצוני ואסונות טבע קשים צפויים בעתיד הלא רחוק .בנסיבות מסוימות הם עלולים להשפיע על מהלך התקין של חיי הארגון ,על עובדיו ולקוחותיו .כמו גם על מערכות המידע שלו. 14 גיליון | 8פברואר-מרץ | 2013 רוב הארגונים בארץ מעבירים קלטת אחת בשבוע למקום בטוח ,אולם על פי רוב – רק לארגונים פיננסיים וביטחוניים יש תוכניות DRPשיתנו מענה רחב יותר במקרה של אסון. מיקוד כיצד אם כן ,ניתן לתת יתר בתשתיות מענה לצורך? תוכנית רציפות עסקית (Business • – )Continuity Planningשתתמקד בצרכים של עסק על מנת שהוא ימשיך לתפקד ויספק את צרכיי לקוחותיו במקרה של אסון. • תוכנית התאוששות מאסון (Disaster – )Recovery Planningשתעסוק בעיקר בשיקום והחזרה לפעולה של פונקציות מחשוביות בעסק. למעשה תוכנית DRPמוכלת בתוך תוכנית .BCP •תקינה– ניתן לפנות לארגוני תקינה ולרכוש מהם סטנדרט תקינה ,לדוגמה ,התקן העולמי המוביל כיום הינו התקן ( ISO 22301שבגרסתו הקודמת היה ידועה כתקן הבריטי .)BS25999 ניכר כי תקן זה תופס תנופה ,ויש לו כבר אזכורים רבים באתרים שונים באינטרנט .יש לקחת בחשבון שגם במקרים בהם עובדים לפי תקינה יש צורך לבצע התאמות ספציפיות לכל ארגון ,בהתאם לדרישת העסקיות של החברה. •ייעוץ– ניתן לפנות לחברות שמתמחות בתחום ומציעות מגוון פתרונות .יש לשיטה זו יתרונות רבים .כך נהנים מידע ומניסיון של חברה חיצונית. •רתימת הביטוח – מגמה נוספת היא העניין הגובר שמגלות חברות הביטוח בנושא .האחרונות מעודדות חברות להיכנס לפרויקטים של המשכיות עסקית והתאוששות מאסון .האינטרסים שלהם מאוד ברורים בעיקר לאור התחזיות השחורות להישנות אסונות טבע. רוב הארגונים בישראל לא מבינים שיש להרחיב את תוכנית ה DRP-שמתמקדת במשאבי מחשוב לתוכניות רציפות עסקית שאמורה לתת מענה לעסק כולו. באופן כללי הסטנדרטים נחלקים לשני סוגים: לפיתוח תוכניות להמשכיות עסקית ו\או להתאוששות מאסון יש מגוון פתרונות: •תוכנה– יש חברות שמצעיות חבילות תוכנה שמסייעות בפיתוח תוכניות להמשכיות עסקית והתאוששות מאסון .שיטה זו עשויה לעלות פחות מחלק מהחלופות ,אולם יש לנקוט משנה זהירות – ולוודא שיש הלימה בין תכונות התוכנה ואפיון התוכנית לבין צורכי הארגון האמיתיים. המצב בישראל יש כיום מספר מתודולוגיות מתחרות וסטנדרטים רבים ,שמשמשים לצורך בניית תוכניות התאוששות מאסון והמשכיות עסקית .נכון להיום יש סטנדרט מוביל שניתן להצביע עליו כאל הפתרון הטוב ביותר ,וזהו התקן .ISO 22301 קשת הפתרונות בתוכניות המתוארות לעיל המיקוד הוא בדרך כלל סביב התשתיות ופחות סביב הגורם האנושי .במקרה של אסון מגדלי התאומים בניו-יורק כל מערכות המחשב החילופיות נכנסו לפעולה ועבדו באופן תקין .היו כמובן גם תקלות. אף אחד לא חזה שמערכת הטלפוניה הסלולרית תקרוס – בגלל עומד (תופעה שאנו מכירים היטב בישראל לאחר פיגוע קשה) .הפועל היוצא היה שארגונים ,שהסתמכו על תשתית זו להעברת מידע ,לא הצליחו להפעיל באופן מלא תוכניות רציפות עסקית שתוכננו .כמו כן ,לא נלקח בחשבון הגורם האנושי .היו הרוגים ,פצועים והרבה פגועי נפש ,שלא יכלו לחזור לעבודה ולשגרה ללא טיפול פסיכולוגי .אנו לומדים שלבני אדם בארגון לא תמיד ניתן להקים .Mirror Site עקרונות מומלצים לתכנון פרויקט DR •מודעות– ארגון בראש ובראשונה צריך להיות מודע לצורך. •תהליכים עסקיים– צריך לנסח מסמך שמכיל את כל התהליכים העסקיים בארגון. יש לארגן פעילויות אלה לפי חשיבותן ולהזכיר לגבי כל פעילות את התלותיות שלה: במערכות ,אנשים ,תקשורת ומידע. •הכנת הצעה להנהלה–תוכנית פשוטה שמנוסחת בצורה ברורה בה כל אחד יודע בדיוק מה תפקידו .כמו כן חשוב שהמסמך יהיה מגובה בסיבות אמיתיות ,שמתארות את צרכיי הארגון .דוגמא :תיאור הצורך באתר מחשוב חלופי חם מכיוון שכל הפעילויות בארגון תלויות במחשוב. •זיהוי האיומים– חלק עיקרי מתכנון פרויקט DRPטמון ביכולת לזהות איומים ,שעלולים להתפתח למצבי אסון או חירום .לגבי כל מקרה צריך לבדוק את מידת השפעתו על הפעילות העסקית השוטפת – היכולת לספק מוצרים או שירותים ללקוחות החברה. להלן מספר דוגמאות של איומים בחלוקה לפי קטגוריות: אסון סביבתי :רעידת אדמה ,הצפה ,אש ועוד. אסון מתוכנן או מכוון :פעילות טרור, גניבה ,שריפה ,ועוד. תקלות אספקת אנרגיה ותשתיות: הפסקות חשמל ,מים ,גז וכו'. תקלות בציוד :מיזוג אוויר ,קו ייצור, מחשבים תקלות בתוכנה :באגים ,מתקפות וכו'. פגיעה במידע של הארגון: מחיקה ,חשיפה •יידוע– צריך ליידע ולהדריך כל עובד את המצופה ממנו במקרה של אסון. •בדיקות והתאמות לשינויים בארגון– בדיקות תכופות של תוכנית זו והתאמתה לתנאים שמשתנים בארגון. סיכום ארגונים קטנים כגדולים נוטים להיות מאוד דינמיים .כל העת צריך להתאים את תוכניות המשכיות עסקית והתאוששות מאסון לצרכים הארגוניים המשתנים. מעבר לבדיקה השוטפת וההתאמה למציאות המשתנה ,חשוב למצות את בחינת תוכניות אלה עד תום. ארגונים לא מעטים מריצים סימולציות חלקיות בלבד – בין אם בגלל העלות הכרוכה בסימולציה נרחבת ,מפאת חוסר זמן או מחסור בכוח אדם .חברות אלה משלמות על כך בזמן האסון מתרחש .בעבר בחרו חברות רבות לבנות תוכניות להמשכיות עסקית והתאוששות מאסון עם ידע וכוח אדם שמושתת על מיקור חוץ .כאמור ,היום יש מגמה הפוכה של חזרה להסתמכות על גורמים פנים ארגוניים. באשר לבניית תוכנית רצוי להיצמד לסטנדרט וחברת ייעוץ .כך ניתן להנות משני העולמות מתוכנית מסגרת ומידע מצטבר וניסיון בפרויקטים רבים. ככל שהארגון גדול יותר ותלוי יותר במערכות המחשוב לצורך פעילות שוטפת ,הוא צריך להשקיע יותר כסף ולבנות תוכניות תגובה מורכבות יותר .בעניין זה יש לארגונים קטנים יתרון יחסי .הם צריכים לדאוג בעיקר לביצוע גיבויים באופן תדיר ולהעברתם למקום מבטחים. גם במקרה של אסון בו כל התשתיות נפגעות, אפשר להשיב את העסק לתפקוד מלא תוך זמן קצר באמצעות אחזור הגיבויים על ציוד חדש שירכוש העסק. תהליך זה פשוט יחסית .גם הנזק הכספי הישיר יהיה נמוך ,אם החברה דואגת לבטח את עצמה בחברת ביטוח ראויה. | גיליון | 8פברואר-מרץ 2013 15 השוק השחור החמות המגמות בתחום אבטחת המידע האקטיביסטים צרכנות IT ההאקטיביסטים (כינוי המשלב האקרים ואקטיביסטים חברתיים) הם בפירוש אחד האיומים המרכזיים על הארגונים בעידן הסייבר של היום .יש להם מוטיבציה גבוהה ,הם מאורגנים וממומנים היטב וחלק ניכר מניסיונות הפריצה לארגונים בעולם נעשה על ידיהם. מגנה נוספת הינה צרכנות ה ,IT-בעולם הBYOD ביג דאטה במציאות העסקית-טכנולוגית הנוכחית ,כל פיסת מידע רגיש בארגון מעתק בממוצע 20- 3פעמים ומשולבת במסמכים או במערכות ITשונות .כתוצאה מכך ,חברות רבות אינן יודעות היכן בעצם נמצא המידע הרגיש שלהם .כיצד ניתן להבטיח את בטחון הנתונים כאשר אנחנו לא יודעים כלל היכן הם נמצאים ,בפורמט מובנה או בלתי מובנה? הצורך לענות על השאלה הזו ממחיש היטב את היקף האתגר היום-יומי עימו מנהלי אבטחת המידע מתמודדים כיום .ניהול האבטחה מתחיל מהבדלי התפיסות בין אנשי מקצוע בתחום ובין מנהלים בעסקים בכלל .אנשי מקצוע בתחום אבטחת המידע מגדירים אבטחה באמצעות ניסיון לקבוע אינו מתוך 50אלף נקודות התורפה המתועדות והמוכרות כיום אכן מאיימת עליהם .כאשר מדברים עם מנהלים בצד העסקי של הארגון על הבעיה הזאת ,הם מתייחסים לכך מנקודת מבט של שלוש שאלות בלבד :מי נכנס למערכות? מה הוא יכול לעשות שם? והאם ניתן להוכיח שרק האנשים הנכונים נכנסים ועושים את מה שמותר להם לעשות? התפוצצות כמויות המידע בעידן הביג דאטה (Big )Dataשכולל גם מידע עסקי רגיש ימשיך להעסיק את מנהלי אבטחת המידע גם בשנים הבאות. זה המקום לשאול מה אנחנו עושים עם המידע העצום שיש לנו .שורת סקרים מעלים ,כי אחוז גבוה של חברות ( )80%חשפו לפחות במקרה אחד מידע רגיש באופן שחייב אותנו לפרסם הודעה לציבור אודות החשיפה הזאת. 16 גיליון | 8פברואר-מרץ | 2013 )(Bring Your Own DeviceוהBYOP (Bring Your- .)Own Personal Computerמדובר בתהליך המתמקד בעיקר בשימוש המתרחב בטלפונים החכמים ומכשירים ניידים בארגונים המאפשרים לעובדים לעבוד עם מכשירים אלה מול מערכות ה IT-הארגוניות .מצב זה מעלה שורה של איומי אבטחה. תחכום הולך וגובר של האיומים מגמה נוספת היא התחכום ההולך וגובר ברמת האיומים .מדי שנה מתגלות כ 7,000-פרצות אבטחה חדשות .עד לפני שנים אחדות ,רוב הפרצות האלה היו ברמת התשתיות ,אולם לפני כשנתיים עבר מרכז הכובד לרמת היישומים, המרכז עתה 53%מהפרצות – שלושה רבעים מהן ללא טלאי אבטחה .ככל שעסקים מרחיבים את פעילותם ברשת ,מספר ההתקפות גדל .כל הצלחה של התקפה בודדת היא פגיעה אמיתית בעסק. חדשנות בלי סוף מגמה נוספת ,היא שכל הבעיות נמצאות כיום בכל מקום :ארגונים ממשיכים לעבור לפלטפורמות חדשות ,לרבות מחשוב ענן ,וירטואליזציה ,מעבר לעולם הנייד ורשתות חברתיות .כל אלה יוצרים בעיות חדשות שעימן מנהל אבטחת המידע בארגון צריך להתמודד מדי יום. של עידן הסייבר הפשע בעולם הקיברנטי מגלגל מיליארדי דולרים לשנה .לא מדובר בהאקרים בודדים בתעשייה ממוסדת ,ממש כמו ארגון פורמלי – עם היררכיה, בעלי מומחיות ,בעלי תפקידים וכדומה .בשוק השחור של הסייבר נוצרו "איים" אשר מתפקדים כמו חנות, עם שלל מוצרים ,פרטי כרטיסי אשראי ,חשבונות בנק גנובים וזהויות ,פרצות חדשות ()zero-day במחירים שנעים בין דולרים בודדים למאות אלפי דולרים .מדובר בתחום עסקי לכל דבר ועניין ,עם מפיצי מידע ,מחירונים ,כאלה העוסקים בהלבנת הסחורה הגנובה .אף שזו פעילות לא חוקית ,קל להגיע אליה .נוצרו גורמים בתוך תעשיית הפשע הקיברנטי ,היודעים לספק שירותים כמו חנות לרכישת תוכנות זדוניות או שרתים לתפעול פריצה. זו תעשייה מאוד מתקדמת שמתחילה לצבור תאוצה. שתי הפעילויות הכי גדולות כיום בשוק השחור של עולם הסייבר הן משלוח דואר זבל והונאות מקוונות של בנקים .שם הכסף הגדול הרווח .שתי פעילויות נוספות ,שמימדיהן נמוכים יחסית אך צפויים לגדול, הן ה exploits-וריגול עסקי ,משמע – גניבת קניין רוחני .החזר ההשקעה של שתי פעילויות אלה גבוה, כי מדובר בהשקעה נמוכה יחסית עם רווחים גבוהים. בעולם ה"ישן" ניתן היה לקנות zero-daysבאיי-ביי ( .)eBayבהמשך החלו לקום פורומים ובשנתיים האחרונות קמו חברות שעובדיהם הם האקרים וחוקרי פגיעויות לשעבר שהחלו למכור zero-day exploitsמתוך הבנה שבמקום תהילה ,הם יכולים למכור גילויי פרצות ו exploits-ולהרוויח הרבה מאוד כסף .לטענת אותן חברות ,הן מוכרות אותם בעיקר למדינות מערביות ,אבל אין לדעת אילו עוד קונים יש להן כיום ואילו קונים יהיו להן בעתיד. המצב החדש מצריך אותנו לשנות את הנחות היסוד שלנו .עלינו להבין שהחומות שהקמנו מסביבנו חדירות .כדי לאתר התקפות ,תפיסת העובדה שלנו צריכה להיות שהחומות כבר נפרצו .עלינו לחשוב שהכל יכול להיפרץ ועלינו להתמודד עם הנחת יסוד לפיה מערך ה IT-נפרץ ועלינו להתגונן .יש להכיר את הפרצות הפוטנציאליות ,למפות אותן ולממש מנגנוני ניטור. | גיליון | 8פברואר-מרץ 2013 17 מודל הגנה רב שכבתי פתרון יעיל למלחמה בסייבר לאחרונה שומעים כל העת על מתקפות סייבר ,גניבת מידע וזהות ,ופגיעה עסקית ותפעולית בארגונים .כיום נדרשת התייחסות חדשה ושונה לטווח האיום ולאמצעי ההגנה ,היוצרת התאמה בין רמת האיום ולחשיבות הנכס עליו שומרים. האתגר האמיתי שעמד מאז ומתמיד בפני מנהלי מערכות המידע ומנהלי אבטחת המידע היה ועודנו ההגנה הארגונית על משאבי המידע ונכסי המידע. על מנת להתמודד עם יתר איומי הסייבר החדשים, יש צורך לאמץ גישה שונה ,של מודל הגנה רב שכבתי ( )MLP = Multi Layer Protectionהנותן מענה לשדרוג מערכות האבטחה המסורתיות ומתאים אותם לאיום המודרני בעידן הסייבר של היום. תפיסה זו מספקת מענה טכנולוגי ,תפיסתי וארגוני לדילמה שנוצרת כתוצאה מהפער בין הצורך העסקי לחשוף את המידע לצורך בהסתרה ושמירה על סודות מסחריים ועסקיים ומידע רגיש של לקוחות ועובדים. עקרונות מודל הגנה רב שכבתי הגנה רב שכתבית מקנה לארגון את היכולת להתמודד ישירות על שמירה על הנכסים 18 גיליון | 8פברואר-מרץ | 2013 הארגוניים ,על הידע והשירות ,תוך יישום פתרונות טכנולוגיים נאותים לכל אחת משכבות ההתנהלות והתפעול במערכות השונות בארגון .על פי התפיסה הרב שכבתית ,רכיבי ההגנה נפרסים על גבי מודל בן 7שכבות הגנה כך שלמעשה נוצר מיתאם בן שכבות התקשורת ,רמת האיום הנובע ממנה ואמצעי ההגנה הרלוונטי .ומצד שני מתאפשרת ההגנה הייעודית מותאמת לנכס המוגן ,סוג התעבורה והאיום עליו. בתפיסה של מודל הגנה רב שכבתי נוצרו למעשה שלוש שכבות מידע חדשות: –Network Perimeterהצורך בהפצת ידע ושירות גרם למעשה לכך שגבול הרשת ()Perimeter נמצא בכל מקום בו משתמש פוגש באפליקציה. מערך ההגנה נדרש אפוא לאפשר הגנה מול מתקפות לא מאופייניות (עדיין) על ידי משתמשים לא מוכרים מתוך רשתות ומערכות הפעלה לא ידועות .לצורך כך יש ליישם מערכי הזדהות קשיחים ורב מימדים ,לצד איתור פעילויות לא שכיחות ( )Anomaly Behaviorהמצביעות בדרך כלל על איסוף מידע לקראת תקיפה (Pre-Attack .)Protection –Services Layerבעידן הידע והמידע נראה כי ה( DMZ-האזור המפורז ברשת) איבד את היכולת להוות שכבת חציצה ראויה שכן :אחידות הפתרון מייצר מפת דרכים כללית ,המאפשרת לתוקף ידע קדומני ובנוסף – אין "חצי מאובטח" .בנוסף ,כידוע רוב האיום על המידע (כ 75%-עפ"י מחקרים) נובע מתוך הרשת ונוצר על ידי המשתמש המורשה. למעשה אין בתשתית האבטחה המסורתית מענה נאות לאיום שכזה (רוב האבטחה מתרכזת עדיין בשער הכניסה הארגוני ומגינה מול העולם החיצון) .כמענה לכך מכילה שכבה זו את כלל הכלים הנדרשים לצורך הפצת ( )Publishingמידע כמו :שרתי דואר קדמיים ,שרתי פרוקסי ומסנני תוכן .בתצורה זו מתבצעת הסתרה מלאה של השירות החשוף והדרך ממנו לרשת הלגאסי ,וכן מתאפשר להשוות את רמת ההגנה על התוכן מפני משתמשים חיצוניים ופנימיים. פתרונות אבטחת המידע המסורתיים ,מבוססי החתימות – חשובים אך לא מספקים .על מנת להילחם עם הדור הבא של המתקפות נדרש לספק משהו מעבר לפתרונות אבטחת המידע המסורתיים .נדרשת שכבת הגנה אל מול איומים של zero dayללא חתימות ,שכבת הגנה שיודעת לזהות חתימות באופן יוריסטי (אנומאליות). התפתחות בתקיפה, מחייבת התפתחות ברמת ההגנה חלה התפתחות מהותית ברשת לאורך השנים האחרונות .בתחילה ,המניע של התוקפים היה המתברברות וגאווה .לאחר מכן הגיעו מתקפות מצד ההאקטיביסטיים פעלים בעלי מניע חברתי, פוליטי או אידיאולוגי .לפני כמה שנים ,החלו מתקפות מקוונות ,שהמניע שלהן הוא כלכלי – פריצה לצורך איסוף מידע בעל ערך עסקי ומכירתו. להרכיב את הפאזל כיום ,יש שני סוגי מתקפות שבולטות :האחד הוא מתקפות מניעת שרות ( ,)DOSשאלו מתקפות פשוטות יחסית ,אך מידת הנזק שלהם גדול יחסית .הסוג השני הן מתקפות APT (Advanced )Persistent Threatשאלו מתקפות מתקדמות ומתמשכות .אלה מתקפות על ארגון עסקי שמתמקדות במטרה מוגדרת והמניע שלהן הוא עסקי או פוליטי ,אם הן מבוצעות על ידי ממשלה או שלוחיה. כדי להרכיב את כל החלקים בפאזל ,יש צורך במימוש מערכת לניהול אירועי אבטחת מידע ( .)SIEMמערכת זו תתממשק לכל הרכיבים בארגון ,בכל שכבה ושכבה ,ותאסוף את הלוגים, תנתח אותם ותתריע בזמן אמת על כל חריגה (אנומאליות) או מגמות של תקיפה. מה שנדרש ממנהלי אבטחת המידע בארגון הוא לעבור מגישה של אבטחה תגובתית לאבטחה צופה פני עתיד ,פרו-אקטיבית .ארגונים מצאו עצמם מלאים בטכנולוגיות אבטחה שונות .איחוד של פונקציות האבטחה השונות למערכת אחת מאפשר לצמצם משמעותית את העלות שלהן ומפשט את הצורך בניהולן המורכב. מימוש מודל הגנה בשכבות הינו חיוני בעידן של מתקפת סייבר ,כאשר מרבית המתקפות כלל לא ידועות ,ואין להם חתימות זיהוי. קיימים נושאים רבים שנדרש להתייחס אליהם בתחום הסייבר לפני שרוכשים כלים .נדרש ליישר קו בהיבט מדיניות האבטחה ועשיית סדר במגוון נושאים ,שלכאורה אינם מתקשרים ישירות לעולם הסייבר ,אך יכולים לעשות "רעש" ,להשרות חוסר ודאות ואף להוות פרצת אבטחה ,אם הם לא מנוהלים ולא נשלטים. | גיליון | 8פברואר-מרץ 2013 19 מלחמת סייבר עולה השאלה האם התשתיות הקריטיות למדינה ,כגון מערך הבריאות ,החשמל, הרמזורים ,הרכבות או התעופה ,מסוגלות להתמודד עם שיתוק אמצעי התקשורת ו\או הטלפוניה ,בעקבות מתקפת סייבר מתוחכמת וכוללת? האם ארגונים במשק הישראלי נערכים כהלכה להתמודדות עם שיתוק שכזה? העולם השתנה בעשרים השנים האחרונות בסדר גודל העולה באלפי מונים על השינויים שנערכו בו באלפי השנים האחרונות .המידע הפך להיות זמין יותר ,נגיש יותר ,מרוכז יותר ומהותי יותר לכל ארגון .מתקפת סייבר אלימה עלולה להוביל לקריסה של ארגונים וחמור מכך ,לאובדן חיי אדם. חדירה של האקר למאגר המידע של בנק הדם, לדוגמא ,עלולה להוביל להרג של מאות אם לא אלפי אזרחים שיקבלו עירוי דם מסוג שגוי .או אם נחשוב ,על משהו בסדר גודל רחב יותר ,האקר שיפרוץ למאגרי המידע של חברות כמו אוסם, וישנו את המרכיבים כך שיגרמו להרעלה המונית לכלל אזרחי המדינה .נזקים לתשתיות המידע עלולים לנבוע גם מחדירה פיזית בלתי מורשית לשטחי הארגון הרגישים ,פגיעה בזדון או בשוגג על-ידי גורמי צד ג' הנכנסים לחברה ,הדלפה מכוונת של מידע על-ידי עובדים ממורמרים ועד שורה ארוכה של תרחישים. מנהל אבטחת המידע אינו יכול עוד למקד את פעילותו סביב סיכונים בהיבטים הלוגיים (המחשוב והתקשורת) אלא עליו לנתח את התרחישים בכל קשת הסיכונים ,הפרוסים על פני כל מעגלי האבטחה .המורכבות בניהול מקביל של הסיכונים והתרחישים בכל מעגלי האבטחה, מחייבת כיום שימוש בסרגל אחיד שירכז תחתיו את כל בקרות ההגנה. 20 גיליון | 8פברואר-מרץ | 2013 באנלוגיה לכך ,משמשים רגולציות ותקנים בתחום אבטחת המידע ,כסרגל זה. ניהול סיכונים יעיל ונכון ,מהווה כיום את הבסיס לצמצום אמיתי של סיכוני האבטחה בארגון .הדרך האופטימאלית לניהול מקביל של כלל הסיכונים, הינה באמצעות מערך ממוחשב לניהול בקרות מרוכז. תחום הסייבר מטופל בשתי רמות עיקריות – הלאומית והעסקית .בתוך המגזר העסקי ,המגזר הפיננסי הוא החשוף ביותר למתקפות סייבר והוא זה שעלול להיפגע מהן באופן החמור ביותר. מחקר שבוצע ע"י חברת ,PWCציין שהפשע הקיברנטי הולך וגובר ,והוא השני בגודלו מבין הפשעים הכלכליים 40% .מהפשיעה הכלכלית בעולם נעשית כיום באמצעות הרשת .המחקר אף הציג כי התעשייה הפיננסית היא המגזר הרגיש ביותר למתקפות סייבר .למרות זאת, שליש מהעובדים בתעשייה הפיננסית לא עברו הכשרה בנושא. המסקנות העולות מהדו"ח הם שאבטחת מידע קיברנטית צריכה להיות חלק בלתי נפרד מהמערך העסקי וחלק בלתי נפרד מתהליך ניהול הסיכונים בארגון .כל ארגון ,בכל מגזר, ובדגש על המגזר הפיננסי ,נדרש להכין תוכנית בחלק מהבנקים בארץ נוסף תרחיש ייחוס לסייבר למערך התרחישים של ההמשכיות העסקית ,אולן אין הכוונה מסודרת של גופי ממשל לנושא. עלולה לפגוע ישירות בפעילות העסקית של חברות גדולות וקטנות ,מתחילה לחלחל מעלה- מעלה ,אל קומת ההנהלה. הרגולטור האמריקאי הנפיק למנהלי אבטחת המידע תוכנית אבטחה מפורטת ומעמיקה .צד זאת ,המשרד להגנת המולדת הנחה באופן פרטני את הגופים הפיננסיים במדינה .בהשוואה לתקנה ,357אותה הנפיק המפקח על הבנקים בישראל, התקנה בארצות הברית הרבה יותר מפורטת ומתמודדת עם מגוון סוגיות רלוונטיות. נדרש להחליט ברמה הלאומית על טיפול בהיבטים העסקיים של הסייבר .יש להאיץ הטמעה של תוכנית הגנה בסייבר ולהביא ליצירת שקיפות ציבורית גבוהה יותר בתחום .קיים הצורך ליצור שיתופי פעולה בין גורמי ממשל וביטחון לגופים העסקיים .שיתוף הפעולה הקיים אינו מספיק. נדרש ליצור תשתית לשיתוף מידע בין הגופים העסקיים והפיננסיים לתחום הסייבר. סקר שנערך לאחרונה באוניברסיטת קרנגי-מלון שבפנסילבניה ,בשיתוף חברת האבטחה ,RSA מגלה שהמודעות לסכנות הסייבר מגיעה בהחלט גם אל קומת הדירקטוריון של החברות הציבוריות. כך ,מעלים הממצאים ,כי חברי מועצות המנהלים מתחילים להבין שקריסת מערכות מידע ומחשוב כתוצאה ממתקפת סייבר ,תתגלגל מהר מאוד לפתחם ,ותטיל עליהם את האחריות. אחריות דירקטורים לנזקי סייבר בארץ ,נושא הסייבר כמעט שאינו נדון .הנושא מאוד טרי כאן והיה צריך להתחיל לטפל בו ברמה המערכתית-לאומית לפני זמן .אין אליו התייחסות ספציפית במסגרת ההנחיות הניתנות לגופים פיננסיים .מה שכן יש הוא שיתוף פעולה עם רא"ם שמנחה ,את הגופים המוגדרים כתשתית לאומית קריטית .ובנוסף ,יש שיתופי פעולה עם הרגולטור הפיננסי ,המפקח על הבנקים בבנק ישראל. תהליך הגדלת המודעות בקרב דירקטורים לאיומי הסייבר ,למרות שעלול ליצור לחצים ודרישות שיופנו לחדרו של מנהל אבטחת המידע ,יסייע לו בעקיפין .הדו-שיח של המנמ"ר עם ההנהלה יהיה ברור יותר ,המנכ"ל יידע היטב כי עליו לדווח לממונים איזה משאבים בדיוק הפקיד בידי מנהל אבטחת המידע לביצוע המשימות – וכך האחריות לא תהיה רכושו הבלעדי של ה.CISO- מסתמנת מהסקר תופעה לפיה ביותר ויותר מועצות מנהלים קיימים כיום גורמים שמתחילים לבדוק את העניין של איומי הסייבר .יש אפילו ועדות מיוחדות שעוסקות בפרטיות ובסיכוני אבטחה .על פי הסקר ,בשנת ,2012חל גידול של 48%במספר החברות שמינו ועדות כאלו. על פי סקר אחר ,שנערך על ידי הכלכלי פורבס ( ,)Forbesשני-שליש מאותן חברות מעסיקות מומחי סייבר במשרה מלאה .לעומת זאת, בחברות עצמן עדיין אל קיימת הפרדה מוחלטת בין תפקיד המנמ"ר או מנהל אבטחת המידע, לתפקיד מנהל הסייבר או הפרטיות – והמשימה מוטלת על כתפיהם של בעלי תפקידים אלו. תגובה לאירועי סייבר .תוכנית שכזו צריכה לענות על דרישות הרגולציה בין היתר .קיים חשש של הגופים הממשלתיים מכישלון מערכתי כולל של התשתית הפיננסית של העברת כספים. התשתיות הללו חייבות להיות ברמות הגבוהות ביותר של שרידות ,אמינות וזמינות. המפקח הנפיק בשנת 2012מסמך קצר שדורש לחזק את רמת האבטחה ,להתקין חדר מצב, לעדכן את הנהלים ,להגדיר נהלי דיווח ולבצע הערכת סיכונים. איומי הסייבר והנזקים שהם יכולים לגרום למערכו מחשוב בסקטור האזרחי ,חורגים מזמם מגבולות חדרו הצר של מנהל אבטחת המידע או המנמ"ר. העובדה ששיבוש מערכות המחשוב בארגון גם בישראל המצב דומה ,וגם פה קיים פער גדול בהבנת הקשר שבין סיכוני האבטחה והסייבר למערכות ה ,IT-לבין הסיכון הנשקף להנהלת החברה .אבל גם בארץ ,כמו בחו"ל ,יש גם צד אופטימי :ככל שדירקטורים יגלו עניין רב יותר בנושא הסייבר – ישאלו שאלות ויבקשו לדעת כיצד הארגון נערך להתקפות מן הסוג הזה – כך תגדל רמת האבטחה בארגון. כל ההמלצות של מומחי אבטחה ,מצביעות על כך שיש צורך דחוף בהפרדה בין תפקיד מנהל אבטחת המידע לתפקיד המנמ"ר ,שבאופן עקיף אחראי על הגנה מפני מתקפות סייבר .מומלץ לכל הדירקטוריונים להקים ועדות מקצועיות, שתתכנסנה באופן דחוף לפגישות עם נציגים מתחומי הביטחון ועם חטיבות הליבה המקצועיות בארגון .הפעילות הזו ,תביא לרענון ולסקירת כל נהלי האבטחה בחברה ,בדיקתם אל מול האיומים הקיימים וסריקה של כל הדופים שמספקים פתרונות לארגון. והשלב האחרון הוא כמובן כתיבת נהלים תרגול קבוע ומסודר – פעולה שלא מתבצעת מספיק. ברגע שהנושא יעמוד על סדר היום של מועצות המנהלים ,והן תדרושנה דיווחים שוטפים ,נוכל לראות הרבה יותר פעילות בתחום הזה. | גיליון | 8פברואר-מרץ 2013 21 הכשרת מנהלי אבטחת מידע ()CISO Knowledge to People חברת TITANS SECURITYגאה להציג את המסלול המקצועי ,האיכותי והמקיף ביותר להכשרת מנהלי אבטחת מידע ( )Certified CISOוגם היחידי שכולל הסמכה בינלאומית – CISMמבית .ISACAמדובר בקורס בן 200שעות פרונטאליות ,ועוד כ 500-שעות תרגול עצמאי ,כאשר ישנה התייחסות לכל עולמות אבטחת המידע. בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי אבטחת מידע ברמה גבוהה מאוד .הקורס נוצר כתוצאה מדרישת השוק למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע על כל שכבותיה .בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם ו\או לארגון בהם מועסקים על-ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש מהם. שלנו Bringing המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע בהיבט העסקי ועם העולם הרגולטורי\חוקי .המודול השני עוסק ברק הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים. המודול השלישי עוסק בתחום ניהול אבטחת המידע ,מסגרות לניהול אבטחת מידע וניהול סיכונים .המודול הרביעי דן כולו בהיבטים של אבטחת מידע פיזי וסביבתי ,והמודול החמישי עוסק בפן האנושי מבחינת אבטחת מידע. הקורס עובר עדכונים שוטפים ,כדי להתאימו לעולם הדינאמי של השוק ,והתוקפים\התקפות השונות ,וסוקר בצורה מלאה את כל עולם אבטחת המידע על כל רבדיו .בכל רובד אנו מתרגלים ודנים בתפיסות, מתודולוגיות ובטכנולוגיות הקיימות ,ובחולשות הרבות הנסתרות בהן. חולשות ,אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה .כמו כן ,אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף ,כנגד החולשות שלנו ,על מנת לדעת ולהכיר היטב את האויב. כפי שהספר המפורסם "אומנות המלחמה" אומר: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the "enemy nor yourself, you will succumb in every battle חברת ייעוץ אובייקטיבית מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע הגדרת אסטרטגיה הכנת הארגון ותפיסת ממשל לעמידה בדרישות אבטחת מידע רגולציה שונות בארגון אפיון דרישות מערכת ,כתיבה וליווי במכרזים לתיאום פגישות וקבלת פרטים נוספים: לתיאום פגישות וקבלת פרטים נוספים: חייגו :דני – 050-8266014 חייגו :דני – 050-8266014 או בדוא"ל: 22 שלך העבודה זהו מסלול חדש ,העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים. המסלול מחולק לשני חלקים עיקריים ,כאשר החלק הראשון הינו החלק המעשי של הקורס ,והחלק השני מכין את התלמיד לבחינת ההסמכה הבינלאומית של CISMמבית .ISACAהחלק הראשון בנוי מ 5-מודולים עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע על פניהם השונים. כחלק מערכת הלימוד ,התלמידים מקבלים ספרי לימוד ,ספרי תרגול (בכיתה ובבית) ,ועוד DVDהכולל כלי עזר רבים של מנהל אבטחת מידע. גיליון | 8פברואר-מרץ | 2013 הביטחון danny @ titans 2. com או בדוא"ל: בחירת טכנולוגיה המתאימה ביותר לארגון בתהליך RFPמסודר ושיטתי ניהולי פרויקטים אבטחת מידע מורכבים danny @ titans 2. com | גיליון | 8פברואר-מרץ 2013 23 ענן מחשוב ושירותי התאוששות סייבר באז תקשורתי או איום ממשי? מאסון אבטחת סייבר היא באאז ואינה מהווה תחליף לאבטחת המידע המסורתית .עם זאת ,לא ניתן להתעלם ממה שקורה בעולם המידע ,שמצריך מענה אבטחתי הולם. בעולם של ביזור והחצנת שירותים ,הארגון המודרני נדרש להגן על שלושה נכסים עיקריים: המידע ,המוניטין הארגוני ועצם היכולת להחצין את השירות .לצד אלה יש רגולציה שמנסה לתחום ולייצר סטנדרטים להגנה ארגונית .יש לוודא שהמידע סודי ,שלם וזמין. ונותני השירותים ,כדי לוודא שהם לא יפתחו פרצה שבעקבותיה ייגרם נזק לארגון .יש בנוסף לקבוע נהלים לביצוע מיידי כשמתרחשת פריצה למערכת ולא פחות חשוב – על הארגון לבחון האם הוא מכוסה מבחינת ביטוח של אירוע אבטחת מידע ,מאחר שהוא עלול להיתבע. נדרשת מעורבת הנהלת הארגון אין טכנולוגיה שהיא כולם חושבים שהם יודעים מה זה סייבר ,אבל המצב לא באמת כך .כדי לטפל בנושא באופן מיידי ,על החברות להקים ועדה מיוחדת כדי לבחון מהם סיכוני האבטחה בארגון ,לבצע התאמה לאבטחת הסייבר אצל כל הספקים ונותני השירותים ,ובנוסף לקבוע נהלים לביצוע מיידי כשמתרחשת פריצה למערכת ולא פחות חשוב – לבחון האם הארגון מכוסה מבחינת ביטוח במקרה של אירוע אבטחת מידע ,מאחר שהוא עלול להיתבע. אין כיום טכנולוגיה שמבטיחה אבטחת מידע מלאה .אי אפשר לאבטח ולא ניתן למנוע התקפה באופן מוחלט .מה שניתן לעשות הוא להקשיח את סביבת האמולציה ,ההדמייה ,החיקוי. Bulltet-Proof חברות וארגונים סובלים מהתקפות סייבר בכל יום ,כולל בישראל .יש חברות שאיבדו קניין רוחני בערכים של מיליוני דולרים .כולם חושבים שהם יודעים מה זה סייבר ,אבל בחברות גדולות, מתברר שהבאז אולי הגיע לכל מנהלי ה ,IT-אולם לא להנהלות. רוב הארגונים בישראל שאינם מונחי רגולציה, ביטחונית או עסקית 0פיננסית) ,מחוברים כיום לגלישה ישירה באינטרנט .כלומר ,העובד גולש באינטרנט ישירות מתחנת העובדה האישית שלו ברשת הפנימית של הארגון .גלישה מעין זו מייצרת סיכון רב יותר לארגון .אם קיים יישום זדוני מסוג דלת אחורית ( )Backdoorעל התחנה (רוגלה או סוס טרויאני) ,הקישור הישיר לאינטרנט מאפשר לאותה תוכנה לתקשר ישירות עם התקוף ,לשמש כשלוח שלו וכמנוף להשתלטות על הרשת ,ועלול לאפשר חשיפה או פגיעה ברשת ובמידע המאוחסן בה. צריך להבין שקיים פער מאוד גדול בין הבנת סיכוני הסייבר במרחב ה –IT-לבין ההבנה מה צריך לעשות ומי צריך לעשות .צריכה להיווצר פונקציה חדשה בכל חברה בעולם ,תפקיד של –CPOמנהל פרטיות מידע ראשי ,שאמור לשמור על הפרטיות של הנתונים ששמורים בחברה. החלק מראשית שנות ה ,2000-גופי הבנקאות, ואחריהם גופי הביטוח ,ההון והחיסכון ,מחויבים לבצע הפרדה של רשתות הגלישה באינטרנט מהרשתות הפנימיות .רשתות אלה יכולות להיות רשתות פיזיות והן יכולות להיות מופרדות באמצעות יישומי אמולציית מסוף. לצערי ,יש מעט מדי שמירה כזאת בישראל. בנוסף ,מנהל אבטחת המידע לא צריך להיות כפוף למנמ"ר אלא רק ישירות למנכ"ל .חיבור בין אבטחת מידע ל –IT-הוא לא טוב ולא נכון ניהולית. יישומי מסוף מבוססים על גישה באמצעות אמולציית מסכים ( )RDP/ICAמהרשת הפנימית לשרתי גלישה – ומשם לגלישה באינטרנט .בדרך זו ,גם אם הייתה השתלטות של התוקף על סביבת שרתי הגלישה ,הוא לא נגיש לתחנות ברשת הפנימית ,שכן הפורט היחיד הפתוח הוא זה של יישום אמולציית המסוף. חברות צריכות לפעול בעניין זה באופן מיידי, ולהקים ועדה מיוחדת מתוך הדירקטוריון כדי לבחון מהם סיכוני האבטחה בארגון .צריך לבצע התאמה לאבטחת הסייבר אצל כל הספקים 24 גיליון | 8פברואר-מרץ | 2013 בעידן מחשוב ענן ,שכבר הפך לנחלתם של מרבית מנהלי מערכות המידע בעולם ,נשאלת השאלה כיצד המעבר לסביבת עבודה במחשוב ענן תשנה את שירותי ההתאוששות מאסון. בלי קשר לגודל החברה או לענף שבה היא פועלת, העסקים אינם יכולים היום להרשות לעצמם זמן השבתה ,אך קשה להצדיק השקעה רק ביכולות ה DR-כאשר נמצאים תחת לחץ להפחית את הוצאות ה IT-וכאשר ה DR-נראה כמו תוכנית ביטוח יקרה. במשך זמן רב ,ספקים אלה חסרו אפשרות לשירות במחירים סבירים ,שיספק אחזור בשמונה שעות או פחות ,עם אובדן נתונים מינימאלי .כתוצאה מכך, ארגונים גדולים החלו להחזיר את השירות לתוך הבית, ואולם חברות קטנות נתקעות .הודות לענני המחשוב, הדבר משתנה כעת. קיים קשר ישיר בתוכנית להתאוששות מאסון ()DRP בין מהירות השחזור לבין העלות .ככל שרוצים לשחזר את הנתונים העסקיים מהר יותר ,הדבר יעלה הרבה יותר כסף ,ואולם מערכות השירותים מבוססות הענן מצליחות להשיג יכולות אחזור מהירות של שירותי DR מתקדמים במחיר שכל ארגון יכול להרשות לעצמו בתעריפים מבוססי מנוי. חברת המחקר פורסטר מגדירה מחשוב ענן בהגדרה הבאה" :קיבולת ITסטנדרטית (שירות ,תוכנה או תשתית) ,שנמסר ללקוח דרך האינטרנט בשירות עצמי ובתשלום לפי שימוש. באמצעות אפשרויות כגון "אחסון כשירות" (" ,)Storage-as-a-Serviceגיבוי כשירות" ( )Backup-as-a-Serviceו"שכפול כשירות", מסוגלים מקצועני ה IT-לשלב בחוזי הDRP- אפשרויות שונות כדי לענות על מגוון דרישות של שחזור יישומים בכל חלקי הארגון .בשילוב עם וירטואליזציה ,פתרונות אלה שוברים את הקשר בין עלות לערך ומבטיחים עידן חדש של יכולות התאוששות מאסון ()Disaster Recovery במחירים סבירים. אחסון בענן ארגונים קטנים ובינוניים רבים מוצאים את עצמם במלכוד ,22כאשר הדבר נוגע ליכולות ההתאוששות מאסון ( )DRשלהם .הם לא יכולים להרשות לעצמם לתכנן ,לבנות ולתחזק את תוכניות ההתאוששות מאסון ( )DRPשלהם ,אך גם אינם יכולים להרשות לעצמם שירותי DRהמוצעים על ידי ספקים גלובליים כגון ,HP, IBMואחרים. הספקים מציעים אחזור מבוסס טייפים בקצה אחד של הספקטרום ושירותי אחזור מתקדמים ,המבוססים על מערכות תשתית ITושכפול מבוסס אחסון בקצה השני .שחזור מבוסס טייפים הוא זול ,אך במקרה הטוב ניתן לשחזר את הנתונים בתוך 24עד 48שעות. שירותי אחזור מתקדמים מביאים אותך חזרה לאפס אובדן מידע או לאובדן מידע מינימאלי ,אך הם יקרים מאוד. בהגדרה ,ספק השירות משחזר את השרתים שלכם כשרתים וירטואליים ,המאוחסנים בסביבה שלו. עם שירותים אלה ,ניתן לשחזר את המערכות בתוך מספר שעות עם אובדן מידע של דקות או שעות מועטות בלא עלות תשתיות ITייעודיות ,או שחזור מבוסס שכפול ,וברוחב פס גבוה ,בקישוריות עם שיהוי נמוך בין מרכז הנתונים של הארגון לבין ספק השירות. בנוסף לעלויות הנמוכות הן לארגון והן לספק השירות וליכולות השחזור הטובות יותר ,ספקים אלה עונים על הדרישות החשובות ביותר שיש לארגון ממערכות ה:DR- • תמחור שקוף ומבוסס מנוי– התמחור כולל את כל התוכנה ,התשתית והשירותים לאספקת הפתרון. החיוב הוא לפי צריכת הנתונים לפי גיגה-בייט ,לפי שרת או שילוב של השניים .העלות היחידה שאינה כלולה היא עלות החיבוריות של הרשת .אתם משלמים רק עבור השרתים שאתם רוצים להגן עליהם. •התקנה קלה ומהירה– מרבית תצורות השחזור יכולות להיעשות און-ליין משום שאין צורך בשמירת חומרה זהה ,הקצאת קישורים ייעודיים ,או מו"מ על רמת שירות ( )SLAספציפית .מכיוון שהגיבוי נעשה לכוננים ולשרתים וירטואליים ,צריך רק להבטיח את שכבות הווירטואליזציה הנכונות .ואולם שירותים אלה מוגבלים בדרך כלל לסביבת שרתי .X86 • מזעור הסיכון לרישוי יתר– במערכות DR מסורתיות ,הספקים מזמינים רישיון לכמה לקוחות על אותם משאבי ,ITוהם מנוהלים לפי יחס של רישוי יתר בכך שהם מונעים מלקוחות מאותו אזור להשתמש באותה תשתית .ואולם יש סיכון, שאם יוכרזו אסונות המוניים לא תהיה גישה לציוד ה ,IT-ולכן ארגונים עלולים לשלם אלפי דולרים כדי להחזיק רזרבות .בעוד הדבר נכון גם לשירותי DRבענן ,הסיכון במקרה זה הוא מינימאלי ,משום שהרבה יותר לקוחות יכולים להיכנס לאותה תשתית ITפיסית. •העונש על תרגולים מופחת– מה הטעם בתוכנית DRאם לא עורכים חזרות כדי לבחון שהיא אכן עומדת במבחן המציאות ועובדת כראוי? ספקי שירותי DRמסורתיים מכירים בכך שהם חייבים לערוך תרגולים תקופתיים ,לשמור עתודות ציוד, וצריכים לתת שירות ללקוחות גם בזמן התרגיל. כל עלויות ההכנה הללו הם בנוסף ומעבר לכתוב בחוזה שירות ה .DR-בשירותי ה DR-בענן ,אין צורך בהכנות ,דבר שיאפשר לבצע תרגולים בקלות ובעלות נמוכה בהרבה. שירותי אחזור באמצעות מחשוב ענן קיימים כמה שירותים של אחזור מבוסס ענן ,המציעים מגוון רחב של יכולות אחזור .כמו בכל אסטרטגיית התאוששות ( ,)DRהשירות שצריך להיבחר הוא המתאים ביותר למערכות הקריטיות ביותר שאותן רוצים לשחזר. צריכים להבין שגיבוי בפני עצמו איננו מערכת התאוששות מאסון – חשוב לציין כי ישנם שירותים שלא מציעים את כל ה DR-אלא רק שחזור נתונים. הדבר נכון ברבים משירותי ה"אחסון כשירות" ( )Storage-as-a-Serviceהמוצעים כיום בשוק .הם מגבים נתונים באתר שלהם ,אך אין להם גיבוי של תמונת המערכת ( )Imageאו את היכולת לשמור אותה באתר שלהם .כמה ספקי שירותים, יכולים לשמש כשירותי גיבוי וכתשתית להציע DR גדול יותר .כדי לעשות זאת ,הם שומרים עותקים של ה Image-במרכזי המחשוב שלהם ,ובמקרה של הכרזה של אסון ,הם משחזרים את הנתונים מהגיבוי לשרתים של החברה. חשוב לבחון מהם הדרישות העסקיות של הארגון, ובהתאם לכך ,לבחור את הספק ,ואת השירותים שהוא מציע. | גיליון | 8פברואר-מרץ 2013 25 עקרונות ביישום מערכות SIEM מערכות ( SIEM (Security Information Event Managementהופכות להיות כיום בעידן המלחמה במתקפות הסייבר ,לחלק אינטגראלי ממערך אבטחת המידע בארגונים שונים .מערכות אלה משמשות לאיסוף לוגים מפלטפורמות שונות ,אפליקציות ומוצרים שונים למקום מרכזי שבו ניתן לנתח את המידע שהתקבל לאחר שעבר תהליך נרמול (העברה לפורמט אחיד). דור מערכות ה SIEM-צמח מתוך צורך של עולם אבטחת המידע לעשות סדר בבלגן .במציעות של ריבוי מערכות אבטחה שונות ,המייצרות סוגים שונים של התרעות ,עמוד הארגונים במבוכה רבה מאחר ולא השתלטו על שטף האינפורמציה שהתקבל מהן ולא הצליחו לזהות את המוקדים אליהם יש להפנות את תשומת הלב. מערכות SIEMמספקות כלים שונים להשבת הסדר על קנו ,הבולטים שביניהם: •אגריגציה ( – )Aggregationלשם צמצום כמות ההתרעות מכל מקור מידע מתאפשר לאחד רצף התרעות זהות להתרעה אחת. •קורלציה ( – )Correlationהצלבת אינפורמציה ממקורות מידע שונים וזיהוי רצפי אירועים חשודים לשם צמצום התרעות השווא בהתבסס על התפיסה שכל אירוע בפני עצמו עשוי להיראות תמים ,אך התמונה השלמה של רצף אירועים מסוים יכולה להעיד על משמעות אחרת ,שאינה בהכרח תמימה. ואכן ,קורלציה היא המילה שקופצת לראש של רבים מאיתנו כשמוזכרות מערכות .SIEMקורצליה היא אכן כלי חשוב וחזק שמספקות מערכות .SIEMקיימים סוגים שונים של קורלציות .בדומה למערכות ,IPSגם קורלציות יכולים להיות מונחות חוקים מוגדרים מראש מחד ,או מבוססות זיהוי אנומליות מאידך. החסרונות והיתרונות של גישות אלה נידונו רבות סביב נושא זיהוי התקפות אבטחת מידע – חוקים וחתימות הם מוגבלים למה שידוע מראש ולכן לא יזהו התקפות חדשות ( )Day Attacks 0או 26 גיליון | 8פברואר-מרץ | 2013 וריאציות של התקפות ישנות ,אך הם ממוקדים יותר ומדויקים יותר .זיהוי אנומליות אינו מוגבל למה שמוכר ומוגדר מראש ,אך אמינותו מוטלת בספק – אנומליה אינה מעידה בהכרח על פעילות פוגענית. אך חשוב לזכור שאיכות תהליך הקורלציה מותנה, בראש ובראשונה ,באיכות החומר המנותח – אם מערכות הקצה המזינות את מערכת הSIEM- הוגדרו נכון (מבחינת הקונפיגורציה) ,והן מייצרות ריבוי התרעות שווא ,המידע שינותח לא יהיה אמין וכך גם התוצאות. עניין נוסף שדורש התייחסות – תהיה ההתרעה שתיווצר כתוצאה מתהליך קורלציה ממוקדת ככל שתהיה ,היא תמיד תישאר התרעה .התרעה שעל האיש האמון על הנושא בארגון להגדיר כיצד לטפל בה. דוגמאות אלו מצביעות על נקודת מפתח באשר להצלחת הטמעת מערכות :SIEMהשגת היעדים ופתרון הבעיות שהוזכרו לעיל לשם העלאת רמת אבטחת המידע בארגון מותנה למעשה באופן ההטמעה והתפעול של מערכת הSIEM- בארגון ,המערכות המהוות מקור מידע והמערכות והגורמים מולם יטופלו ההתרעות ,ולא רק באיכות מערכת ה.SIEM- תהליך הקורלציה היא שלב מתקדם יחסית ביישום מערכות .SIEMמערכות אלה ,כפי ששמן מעיד עליהן מהוות למעשה כלי לניהול מערך אבטחת המידע בארגון .על בסיס עקרון זה ,הרבה לפני שמדברים על קורלציה ניתן להשתמש במערכות SIEMלצרכי שיקוף אירועים חשובים במערכות הקצה שעד כה לא ניתן היה לתת להן את תשומת הלב בשל ביזור המידע וריבוי ההתרעות .הקונסולודציה מאפשרת לנהל את בקרת אבטחת המידע מנקודה מרכזית אחת המספקת חיוויים מהמערך הכולל .ניהול נאות של מערך אבטחת מידע ,מעמיד מוקד אבטחת מידע כבסיס אשר משתמש במערכת SIEMכתשתית מרכזית .מוקדי אבטחת מידע כיום נוטים להיות ריאקטיביים–זיהוי פגיעה כלשהי בארגון גורמת להם לתחקר את התקרית ( )incidentלשם הבנה כיצד ניתן להתמודד עימה .באמצעות יישום נכון של שימוש המוקד ביכולות מערכת – SIEMניתן להפוך את המוקד לפרואקטיבי שוב ,הדגש כאן הוא על אופן השימוש במערכת מצד הארגון. ניתן ואף רצוי להרחיב את מערך מקורות המידע מהם אוספים לוגים למערכת ה .SIEM-לא רק מערכות ההגנה אלא המערכות העסקיות עליהן מנסים להגן צריכות להוות מקור לוגים לניתוח במערכת זו .במערכת ה SIEM-יש להגדיר חוקים לזיהוי סיכונים במערכות עסקיות וכך ליצור מוקד פרואקטיבי ודינאמי מונחה סיכונים עסקיים. מוקד פרואקטיבי עוסק בזיהוי מגמות התנהגות חריגות המהווה בסיס לתחקור (,)Forensics מבצע פעילות מניעתית ומתערב בתהליכים בזמן התהוותם .המוקד מבצע פעילויות שונות על מנת לאתר את המוקדים אליהם יש להפנות את תשומת הלב: •בקרות מפצות המבוצעות ע"י המוקד על מערכות עסקיות – פעילות זו מרחיבה את פעילות המוקד אל מעבר לגבולות מערכת ה.SIEM- שונות ותחקור חריגה ממגמות אלו •טיוב המערכת לאחר תחקור וטיפול בהתרעות השונות יישום מוקד כמתואר לעיל משמעותו יצירת יישות מרכזית שמהווה את מרכז האבטחה של הארגון .תהליך האפיון וההקמה של המוקד כרוך בהקצאת כח אדם מקצועי ומנוסה בתחום אבטחת המידע לתפעול המוקד ,והגדרת פעילויות בקרה דינאמית מבוססות כלים שונים לביצוע פעילויות כגון בדיקת תאימות למדיניות (Policy )Complianceוסקירת פגיעויות (Vulnerability ,)Scanningהגדרת מקורות מידע שונים מהם יתקבלו עדכונים בנושא אבטחת מידע ותהליכי המעקב והעדכון ממקורות מידע אלה. כמובן שיש צורך לאפיין את תהליך העבודה של המוקד עם מערכת ה SIEM-באמצעות הגדרת נהלי תגובה להתרעות המתקבלות במערכת. נהלים אלה מגדירים את תהליכי התחקור והאסקלציה שיש לבצע בהתאם לתוכן ההתרעה. לדוגמה ,בהתאם להתרעה העוסקת בחולשה במערכת הפעלה המהווה תשתית רוחבית בארגון, יבוצע ניתוח מגמות פעילות על פרמטרים שונים במערכות המתבססות על תשתית זו .כתוצאה מתהליך הניתוח ייקבע האם החולשה שזוהתה נוצלה לרעה ,האם נגרם נזק וכדומה. נושא נוסף ו ח ש ו ב שיש לטפל בו ברמת אפיון השימוש במערכת הוא תהליך טיוב מתמיד .תהליך זה מתבסס על כך שאין טוב ממבחן המציאות על מנת להעריך איכות של חוק או מדד שנקבע במערכת .אי לכך ,יש להגדיר את האופן בו תינתן אינדיקציה על איכותו לאחר תחקור וטיפול במוקד ,על מנת לטייבו אם יש בכך צורך .כך למעשה המערכת הופכת להיות חלק מתהליך דינאמי של שיפור וייעול. לסיכום ,מערכות SIEMנועדו לספק את הכלים לניטור ,בקרה וניהול מערך אבטחת המידע בארגון .על מנת להשתמש בכלים אלה על הארגון להקצות משאבים רבים מעבר לאלה הכרוכים ברכישת המערכת ובפריסת הסוכנים שלה .הצלחת יישום מערכת SIEMבארגון טמונה באפיון השימוש במערכת תוך עיגון עקרונות ייעול ושיפור מתמיד בתהליכי העבודה. •התבססות על תצוגות של מגמות פעילות | גיליון | 8פברואר-מרץ 2013 27 תקן אבטחת מידע לעולם הרפואי ISO27799 סקירהטכנולוגית (חלק א') מדובר בתקן בינלאומי ,שמנחה ארגוני שירותי בריאות ,וישויות אחרות השומרות על מידע בריאות אישי ,באשר לדרך המיטבית להגנה על סודיותו, שלמותו וזמינותו של אותו המידע על ידי היישום של התקן אבטחת מידע .ISO27001/2התקן בעצם מהווה הרחבה של התקן הבסיסי ,ISO27001עם התייחסות לדרישות ספציפיות להגנה על המידע בעולם הרפואי. DataCha0s/2.0 ZmEu מדובר בכלי סריקה אפליקטיבי לזיהוי חולשות באתרי אינטרנט .הכלי נכתב ע"י קבוצה של האקרים ברזילאיים, ב 2007-וניתן להורדה בחינם באתרי Warezופורומים סגורים של האקרים. מדובר בכלי סריקה שמטרתו לאתר פרצות אבטחה בשרתי .Webכלי זה מנצל פרצת אבטחה נפוצה בשרתים שלא עברו הקשחה .עיקר פעילותו של הלכי הוא באיתור אופציה לגישה מרחוק לתיקיות בשם Scripts, PHPMyAdmin, Adminורבות נוספות ,באמצעותן יוכל לבצע שינויים או לתפוס שליטה על שרת הקורבן. מעבר לסריקה הסטנדרטית המחפשת קבצי סיסמאות ,גישה לקבצי ניהול וסטטיסטיקות ואיתור פרצות אבטחה ידועות נוספות ,לכלי זה ישנן יכולות איתור של פרצות אבטחה פחות מוכרות ב PHP-ולכן הוא ופופולארי בקרב גורמים זדוניים. הכלי ניתן להורדה באתרים שונים .רוב הסריקות המבוצעות באמצעות כלי זה מגיעות מסין. שהUser Agent- הכלי ניתן לאיתור בקלות יחסית ,מכיוון שבאמצעותו הוא מזהה ,מכיל את שמו ולכן רוב מערכות ההגנה כבר מכילות חתימות לחסימתו. מידע נוסף ניתן למצוא בקישור הבא: http://eromang.zataz/2011/05/23/suc026-datacha0sweb-scannerrobot באופן ספציפי מטפל תקן זה בצרכי ניהול אבטחת המידע במגזר הרפואי ושל סביבותיו התפעוליות הייחודיות .בעוד שההגנה על המידע האישי וביטחונם חשובים לכל אדם ,חברה ,ישות וממשלה ,במגזר שירותי הבריאות קיימים צרכים ייחודיים החייבים למצוא מענה על מנת שיובטחו הסודיות ,השלמות, יכולת הבקרה והזמינות של מידע הבריאות האישי. ההגנה על המידע דלעיל היא חיונית אם אנו שואפים לשמר את פרטיותם של המטופלים בהם מערכת הבריאות מטפלת .שלמותו של המידע הרפואי חייבת להישמר כדי להבטיח להבטיח את בטיחותו של המטופל ,ומרכיב חשוב של הגנה זו הוא היכולת להבטיח כי מחזור החיים השלם של המידע שנמצא ברשות מוסד בריאותי ,ניתן לבקרה בשלמותו. זמינותו של המידע במערכות הבריאות הינו קריטי גם מן ההיבט של האספקה היעילה של מתן שירותי בריאות לציבור .מגוון מערכות המידע בתחומי שירותי הבריאות חייבות לתת מענה לדרישות ייחודיות ,כגון שרידות במקרים של אסונות טבע ,כשלים מערכתיים, והתקפות מניעת שירות יזומות על מאגרי במידע. ההגנה על הסודיות ,השלמות והזמינות של מידע זה דורשת ,אם כן ,כי תתקיים מומחיות ספציפית למגזר שירותי הבריאות. הצורך בניהול ביטחון יעיל של מערכות המידע בתחום שירותי הבריאות הופך לדחוף יותר לנוכח השימוש ההולך וגובר בטכנולוגיות אלחוטיות ומבוססות אינטרנט באספקת שירותי הבריאות .אם אל מיישמים אותן כהלכה ,טכנולוגיות מורכבות אלה יגבירו את 28 גיליון | 8פברואר-מרץ | 2013 הסיכון הקיים לסודיותו ,שלמותו וזמינותו של מידע רפואי במערכות הבריאות השונות. היתרונות הכרוכים בשימוש בתקן ISO 27799 ללא קשר לגודלן ,מיקומן ומודל אספקת השירות שהן מאמצות ,חייבות כלל ישויות שירותי הבריאות ליישם ביקורות קפדניות על מנת להגן על המידע הרפואי המופקד בידיהן .עם זאת ,גורמים מקצועיים רבים בתחומי הבריאות פועלים כספקי בריאות עצמאיים, או במסגרת קליניקות קטנות שאינן מייעדות משאבי טכנולוגיות מידע לניהול ביטחון המידע שברשותן. תקן זה מאפשר ליישם מסגרת נאותה של ניהול אבטחת המידע הרפואי במערכות הבריאות באופן עקבי ,תוך תשומת לב מיוחדת לאתגרים המיוחדים המאפיינים את התעשייה הזו .ארגון המאמץ את התקן מסייע להבטיח כי נשמרות סודיותו ושלמותו של המידע המוחזק על ידו ,כי מערכות המידע קריטיות שמספקות שירותי בריאות לציבור ממשיכות להיות זמינות לציבור ,וכי הנשיאה באחריות למידע הרפואי נשמרת אף היא .יישומן של הנחיות אלה על ידי ארגוני שירותי בריאות ,הן בתוך מדיניות ,ובמישור הבין- מדינתי ,יסייע בתפעול ההדדי ובאימוץ הבטוח של טכנולוגיות שיתוף פעולה חדשות הזמינות באספקת שירותי הבריאות .שיתוף מידע בטוח ,וכזה המגן על פרטיותו ,יכול לשפר במידה ניכרת את תוצאותיהם של שירותי הבריאות בעולם. כתוצאה מיישומן של הנחיות אלה ,יכולים ארגוני שירותי הבריאות לצפות להקטנה משמעותית במספרן ובחומרתן של תקריות אבטחת המידע שלהם ,מה שיאפשר את הפנייתם של משאבים לפעילות יצרנית אחרת .ביטחון מערכות המידע יאפשר על ידי כך את השימוש היעיל מבחינת עלויות, והיצרני ,של משאבי הבריאות העומדים לרשות הארגון. לבסוף ,גישה עקבית לנושא אבטחת מערכות המידע הממוחשבות בארגון ,המובנות לכלל המעורבים בהענקת שירותי הבריאות ,תשפר את מוראל העובדים ואת אמון הציבור במערכות השונות המנהלות את המידע הרפואי האישי של הציבור. ארגוני שירותי בריאות חייבים ,על כן ,לקבל הנחיות ברורות ,תמציתיות וספציפיות באשר לבחירתן ויישומן של בקרות אלה .קובץ הנחיות זה חייב להיות גמיש די הצורך כדי להיות בר-יישום בעבור קשת רחבה של גדלים ,אתרי פעילות ומודלים של שירות בהם אנו נתקלים במגזר שירותי הבריאות .לבסוף ,לנוכח החלפת מידע רפואי באופן דיגיטלי ההולכת ותופסת תאוצה גם בקרב אנשי מקצועי בתחום הבריאות ,קיים יתרון ברור באימוצו של מפתח התייחסויות משותף לניהול אבטחת המידע בתעשיית שירותי הבריאות. מי צריך את התקן הזה? תקן זה מיועד בעבור אלה הנושאים באחריות לפיקוח על ביטחון המידע הרפואי שברשותם ,לארגוני שירותי בריאות ,וגם עבור ישויות אחרות המחזיקות בקרבן מידע רפואי והמבקשות לקבל הנחיות בנושא זה, לרבות ספקים וצדדים שלישיים המהווים ספקי שירותי. Morfeus Scanner מדובר בכלי סריקה אוטומטי המחפש חולשות מסוג Remote הכלי נוצר ע"י קבוצת האקרים רומנים ושמו לקוח מהמיתולוגיה הרומנית ZMEU :היה מפלצת יורקת אש שהתאוותה להתחתן עם נערות צעירות. W3af מדובר בכלי לסריקה וערכית אפליקציות .Webהכלי הופץ בראשית ,2011כאמצעי לאיתור פרצות אבטחת מידע באתרי אינטרנט אולם בודקי קוד משתמשים בו לעתים לשם איתור פרצות אבטחה בקוד שלהם לפני העלאת אתרם לאוויר. ,File Inclusionלרוב בשרתים מבוססים PHPלמרות שניתן להריצו על כל סוג של שרת אינטרנט .הסריקה מתמקדת באיתור קובץ .soapCaller.bs •הכלי יציב ואמין וכמעט ואינו קורס. הפניה תיראה כך: •מתעדכן אוטומטית מהרשת .מאחר והכלי הוא קוד פתוח ,כל המשתמשים בו יכולים לעדכן ולשפר אותו. •דוח הממצאים שהכלי מספק הוא מקיף מספיק כדי ללמוד מתוכו על האופן המדוייק בו ניתן לנצל את פרצת האבטחה הרלוונטית שנבדקה. •מתאים לכל סוגי האתרים ,במיוחד לאתרים מבוססי .PHP לכלי זה ישנן מספר איכויות חשובות: "GET/user/soapCaller.bs HTTP/1.1 "403 345 "-" "Morfeus "Fucking Scanner ניתן לחסום את פעילות הכלי אם חוסמים בשרת את הUser- Agentהנושא את שמו .לא נמצאו קישורים בהם ניתן להוריד את הכלי ,יתכן שבאתרי תוכנות לא חוקיות ופורומים סגורים של האקרים ניתן להשיגו בחינם. מידע נוסף ניתן למצוא בקישור הבא: http://stateofsecurity.com/?p=467 הכלי ניתן להורדה בחינם למשתמשי GNU General Public .License V2 מידע נוסף ניתן למצוא בקישורhttp://w2af.sourceforge.net : הערות: הפרטים אודות כלי האבטחה שמפורטים בכל גיליון ,נועדו לצורך הרחבת הידע בלבד .חל איסור שימוש בכלים אלה ,הן בתוך הארגון ,והן על ארגונים חיצוניים ללא קבלת אישור בכתב מגורם מאשר בתוך הארגון .אין הנהלת האיגוד או המערכת של העיתון אחראים על נזק שעלול להיגרם כתוצאה משימוש מזיד בתוכנות אלה. | גיליון | 8פברואר-מרץ 2013 29 ל שכ של הא רג כל כ ונ י ם ה ל י ים ת הת או ם בגיליון הבא הוועידה הלאומית לרציפות תפקודית והמשכיות עסקית במצבי חירום ואסון 10לאפריל | 2013מרכז הירידים ,גני התערוכה ,ביתן | 10בין השעות 08:00-17:00 מנחה ויו"ר צוות ההיגוי :אל"מ )מיל'( אילן רובין 09:00-11:00מושב מליאה #ברכות אל"מ )מיל'( אילן רובין -יו"ר צוות ההיגוי #רציפות תפקודית של המשק החיוני בשעת חרום אלוף )מיל'( גבי אופיר – מנכ"ל המשרד להגנת העורף #רציפות תפקודית תחת אש בעורף ובחזית -איך בונים יכולת? אלוף קובי ברק -ראש אגף הטכנולוגיה והלוגיסטיקה בצה"ל #רציפות תפקודית :המימד הטכנולוגי אלוף )מיל'( פרופ' יצחק בן ישראל ,סדנת יובל נאמן למדע ,טכנולוגיה וביטחון ,אוניברסיטת ת"א #כיצד יפן ,ארה"ב ומדינות נוספות ,נערכו ופעלו ב"אפר"ן )אסון פתע רב נפגעים ( ד"ר אפרים לאור ,יועץ ומומחה בינ"ל לאירועי אפר"ן 11:00-11:30הפסקה מסלול A 11:30-13:30מושב - 1.0ניהול המשק במצבי חירום ואסון # # # # כיצד על הרשות המקומית להיערך לשעת חירום מר אבי נעים ,יו"ר וועדת הביטחון במרכז שלטון המקומי וראש מועצה בית אריה -עופרים "עיר במבחן אש" -כיצד שומרים על החוסן העירוני וממשיכים לקיים שיגרת חיים? ד"ר יחיאל לסרי ,ראש עיריית אשדוד מערכות התרעה משלימה להבטחת רציפות תפקודית מר אילן פרידלנד ,מנכ"ל קבוצת ביפר תקשורת אחריות מנהלים וניתוח סיכונים כבסיס להישרדות עסקית מר ניר רן ,מנכ"ל אקסיום אבטחה וניהול ,וראש בית הספר לניהול אבטחה וחירום במכללה האקדמית בווינגייט •איומי סייבר ודרכי התמודדות יעילים מסלול Bהמשכיות עסקית במצבי חירום ואסון מסלול Cיישומים טכנולוגיים 11:30-13:30מושב TO BE OR NOT TO BE - 3.0 11:30-13:30מושב - 5.0שימור יכולת הרציפות והמשכיות # # # # מרציפות תפקודית בשדה הקרב ,לרציפות במצבי חירום ואסון תת אלוף )מיל'( ד"ר אביאם סלע ,נשיא חטיבת הביטחון והייעוץ האסטרטגי בחברת מטריקס – ISO-22301תפיסה ניהולית ולא רק המשכיות עסקית מנכ"ל חברת מעוף ,BSמר דורון טמיר ייצירת יתרון עסקי לקראת ובעת מצב חירום בסביבת עבודה תחרותית מר שלומי אדר ,מנכ"ל חברת שלומי אדר ניהול סיכונים כבסיס למעבר משיגרה לתפקוד במצבי חירום ואסון מר חיים כהן ,יו"ר ארגון מנהלי סיכונים # ניהול סיכונים והמשכיות עסקית בעידן הסייבר מר דני אברמוביץ ,נשיא האיגוד העולמי לאבטחת מידע "לא עוצרים בשעת חירום" -המשכיות עסקית בשעת חירום מר ארז בטיש ,ארכיטקט פתרונות המשכיות עסקיתIBM , איומי הייחוס על הDATA CENER - או למה הארגון עלול להפסיק את תפקודו? מר יגאל שניידר ,מנכ"ל חברת אלכסנדר שניידר # "שרות ללא הפסקה" – שילוב טכנולוגיות חדישות להמשכיות עסקית ומניעת אסון ,כחלק מהתפעול השוטף מר יוחאי גל ,מנהל טכנולוגיות ו CTO-אזוריEMC , # # 13:30-14:15ארוחת צהריים 13:30-14:15ארוחת צהריים 13:30-14:15ארוחת צהריים 14:15-16:15מושב – 2.0ניהול ארגונים תחת אש 14:15-16:15מושב – 4.0המשכיות עסקית ושרשרת האספקה 14:15-16:15מושב – 6.0שימור יכולת הרציפות והמשכיות # # # # מלחמה ושלום – עיקרון הרצף ד"ר בועז לב ,המשנה למנכ"ל משרד הבריאות מרגולציה קפדנית באמצע המאה הקודמת, להתפתחותם של תקנים וולונטריים להערכות לחרום אל"מ )מיל( יחיאל קופר האם אנו מנהלים או מתנהלים במצבי חרום ואסון? פרופסור קובי פלג ,ראש החוג לניהול מצבי חרום ואסון באוניברסיטת תל אביב הפעלת בית חולים תחת מתקפת טילים ד"ר חזי לוי ,מנהל ביה"ח ברזילאי # # # # # פיקוח ורגולציה על רציפות והמשכיות עסקית של שוק ההון מר אליאור גבאי ,סגן בכיר הממונה על שוק ההון -משרד האוצר שימור התהליכים העסקיים הקריטיים – איך עושים זאת? מר שלמה אבידן ,סמנכ"ל תפעול בנק דיסקונט ניהול סחר חוץ מנקודת המבט של נמל אשדוד מר שוקי סגיס ,מנכ"ל נמל אשדוד כיצד מבטיחה חברת ס.ל.א .אספקת תרופות וציוד רפואי בצורה רציפה גם במצבי חירום מר אביעד בוסי ,מנכ"ל חברת ס.ל.א מקבוצת טבע איך מבטיחים את תפקוד שרשרת האספקה במצבי משבר? מר משה ריעני ,סמנכ"ל שרשרת ההספקה בקבוצת שטראוס # # # # כיצד איומי הסייבר משפיעים על הרציפות וההמשכיות? ד"ר נמרוד קוזלובסקי ,המסלול ללימודי סייבר בבית הספר למינהל עסקים בתל-אביב ,יו"ר חברת אלטל אבטחת מידע מאיסוף מידע ועד מתקפת סייבר מתוחכמת מר ניר ולטמן ,יו"ר הועדה המקצועית של האיגוד ISSA הצגת CASE STUDY הצגת CASE STUDY מחיר רגיל 440 -ש"ח למשלמים בהמחאה או עלויות: חברי הארגונים בהעברה בנקאית או לקוחות נותני החסות* 380 -ש"ח למשלמים כרטיס אשראי •בניית מרכז SOC •מתודולוגיה להתמודדות עם סייבר עפ"י תקן ISO 27032 האיגוד הישראלי לאבטחת מידע ( )ISSAרוצה לברך ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה. בין הכותבים שלנו: ניר ולטמן CISO -בחברת RETALIX דני אברמוביץ -מנכ“ל חברת TITANS SECURITY שלומי מרדכי -מנמ“ר הקריה האקדמית הדס שני -ראש צוות CERTבתהיל“ה אלי כזום -מנהל אבטחת מידע אגף המכס והגבייה מוטי מאירמן – יועץ אבטחת מידע בכיר ארז מטולה – מנכ"ל ומייסד חברת Appse-Labs אורן הדר – מנכ"ל חברת KnowIT 16:20-17:00ההרצאה המבוקשת ביותר בישראל -מר אלון אולמן" ,איש הברזל" רציפות תפקודית וניהול משברים מחיר רגיל 375 -ש"ח חברי הארגונים או לקוחות נותני החסות* 330 -ש"ח •מוקד התרעות סייבר •מגמות בעולם אבטחת המידע 08:00-09:00התכנסות רציפות תפקודית והגנה אזרחית •המשכיות עסקית עפ"י תקן ISO 22301 להרשמה לחץ כאן או על המודעה אם גם אתם רוצים לכתוב כתבות, נא לפנות אלינו בכתובת: info@issa.org.il למתן חסות לאיגוד ,ניתן לפנות אלינו בחסות: 30 גיליון | 8פברואר-מרץ | 2013 | גיליון | 8פברואר-מרץ 2013 31 האבטחה שלך להצלחה בטוחה! מנהלי אבטחת מידע בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע שם הקורס תיאור הקורס מסלול משך הקורס תאריך פתיחה תעודה מסלול להכשרת מנהלי אבטחת מידע ( )CISOמוסמכים מסלול ייחודי להכשרת מנהלי אבטחת מידע בעל 2הסמכות בינלאומיות. 200שעות ערב 29.04.2013 בינלאומית CISSP מסלול ייחודי להכנה לבחינת ההסמכה 56שעות ערב 29.04.2013 בינלאומית CISSP מסלול ייחודי ארוך במיוחד להכנה לבחינת ההסמכה 100שעות ערב 29.04.2013 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 19.05.2013 בינלאומית CISM מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות בוקר 19.05.2013 בינלאומית CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 בינלאומית מסלול להכשרת מנהלי ניהול סיכונים ( )CROמסלול ייחודי להכנה לבחינת ההסמכה 200שעות ערב 24.03.2013 בינלאומית Mobile Forensics מסלול ייחודי להכשרת מומחי ניתוח ממצאים בפלאפונים חכמים, מכשירי ,GPS וטאבלטים. 40שעות ערב 14.04.2013 CRISC מסלול ייחודי להכנה לבחינת ההסמכה 40שעות ערב 19.05.2013 Cyber Security and Incident Handling מסלול טכנולוגי ייחודי ובלעדי 40שעות ערב 19.05.2013 בינלאומית לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת info@titans2.com :או לטלפון077-5150340 : לתיאום פגישה וקבלת פרטים נוספים 077-5150340 חייגו: אקדמיה :דוא"ל Ts-Academy@titans2.com מכירות 054-9844855 :דוא"ל Sales@titans2.com www.titans2.co.il | www.ts2.co.il | www.titans2.com