הביג דאטה משנה את עולם אבטחת המידע - Global Security | מגזין אבטחת

Transcription

הביג דאטה משנה את עולם אבטחת המידע - Global Security | מגזין אבטחת
‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 11‬ינואר ‪2014‬‬
‫בשער‬
‫הביג דאטה‬
‫משנה את עולם‬
‫אבטחת המידע‬
‫מגמות לשנת ‪2014‬‬
‫מדוע פרויקטי אבטחת מידע נכשלים‬
‫הגנה על תחנות הקצה‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‪n‬‬
‫‪I‬‬
‫דבר נשיא‬
‫האיגוד‬
‫הישראלי‬
‫לאבטחת מידע‬
‫(‪)ISSA‬‬
‫חברי איגוד יקרים‪,‬‬
‫התחלנו שנה אזרחית חדשה‪ ,2014 ,‬ואני רוצה לשתף אתכם‬
‫בעדכונים ובעשייה של האיגוד בחצי השנה האחרונה ל ‪2013‬‬
‫וכמובן תוכניות ל‪.2014‬‬
‫העיתון ימשיך להיות מופץ אחת לחודשיים ויספק לכם הקוראים‬
‫סקירות אודות טכנולוגיות‪ ,‬אירועים וחדשות בעולם אבטחת‬
‫המידע והסייבר‪ .‬כמו כן‪ ,‬אנו נשיק בקרוב אתר חדש‪ ,‬מעין פורטל‬
‫חדשות בעולם הסייבר‪ ,‬בשיתוף עם המגזין ‪.GLOBAL SECURITY‬‬
‫כך תוכלו להנות ממגוון רחב יותר של כתבות‪ ,‬ידיעות וחדשות‬
‫מעולם אבטחת המידע והסייבר מבלי לאלץ להמתין לעיתון‬
‫הדו‪-‬חודשי‪ .‬העיתון הדו‪-‬חודשי‪ ,‬יבצע סקירה מעמיקה של‬
‫כל האירועים והחדשות שמצאנו לנכון לרכז עבורכם במהלך‬
‫התקופה הרלוונטית‪.‬‬
‫כמו כן‪ ,‬בקרוב יעלה לאוויר לוח של האירועים לשנת ‪,2014‬‬
‫ובמסגרת פעילות האיגוד תוכלו השנה ממגוון רחב יותר של ימים‬
‫עיון‪ ,‬כנסים ואף מסלולי הכשרה בעלי הסמכה בינלאומית‪.‬‬
‫השנה הייתה עמוסה ומאתגרת עבור כל העוסק בתחום אבטחת‬
‫המידע בכלל‪ ,‬ועבור מנהלי אבטחת המידע בפרט‪ ,‬ואינני צופה‬
‫להקלות גם בשנה הנוכחית‪.‬‬
‫דבר העורך‬
‫ניהול סיכונים‬
‫הפתרון של היום לבעיות של מחר‬
‫אם מנהלי אבטחת מידע חפצים ביקרם ומעוניינים לשמור על‬
‫המיקום שלהם בדרג ההנהלה ותשומת הלב הניהולית‪ ,‬סיכם אורן‪,‬‬
‫עליהם להרחיב את פעילותם בעולם ניהול הסיכונים"‪ .‬מעמדם‬
‫של מנהלי אבטחת המידע נמצא בפיחות‪ .‬התחום נמצא בפיחות‪.‬‬
‫לכן ‪ -‬המענה הטוב ביותר למצב זה הוא על ידי טיפול בעולם ניהול‬
‫הסיכונים‪ ,‬תוך יצירת ראייה רחבה ‪ -‬לא רק של סיכוני אבטחת‬
‫מידע‪ ,‬כי אם מכלול הסיכונים‪ ,‬והבנה עמוקה של הביזנס‪.‬‬
‫מנהלי אבטחת המידע צברו ידע ומתודולוגיות אותם ניתן להשליך‬
‫על תחומים אחרים‪ ,‬וזה לא נעשה‪,‬וחבל‪ .‬זה היה צריך לקרות לפני‬
‫שנה‪-‬שנתיים וזה לא קורה‪ .‬כולם צריכים לעסוק בכך‪.‬‬
‫עמידה בתקנות‪ ,‬מתקפות סייבר מגוונות‪ ,‬משתמשי קצה‬
‫תמימים‪ ,‬מגמות וטכנולוגיות חדשות (‪ ,BYOD‬ענן‪ ,‬ביג דאטה) ‪-‬‬
‫כיצד מתמודדים עם של האיומים? הדרך היעילה ביותר למקד‬
‫את המאמצים‪ ,‬היא להפסיק לחשוב על פרצות ולהתחיל לאמץ‬
‫מונחים של סיכונים‪ .‬אף ארגון אינו יכול לסתום את כל הפרצות‪,‬‬
‫משום שאין די משאבים ואף פעם לא יהיו‪ .‬אפילו עם תקציבי‬
‫האבטחה היו אינסופיים‪ ,‬הרי שזירת האיומים משתנה בכל העת‪.‬‬
‫אנחנו נהיה כאן ונלווה אתכם בדרככם בתחום אבטחת המידע‪,‬‬
‫בין אם הנכם חדשים בתחום‪ ,‬ובין הנכם מהותיקים‪ ,‬ונחדש ונעשיר‬
‫לכם את הידע בתחומים הרלוונטיים‪.‬‬
‫השנה‪ ,‬אנו צופים להמשכיות במגמות שהחלו לפני כשנתיים‪,‬‬
‫והם רק ילכו ויתפתחו יותר‪ ,‬ואני מדבר על מחשוב ענן‪ ,‬עולם‬
‫הביג דאטה שנכנס יותר ויותר לעולם אבטחת המידע ומודיעין‬
‫העסקי‪ ,‬וכמובן המגמה שמטרידה הכי הרבה את הארגונים‪...‬‬
‫מגמת ה‪.BYOD-‬‬
‫הערכת סיכונים אינה משמשת כמובן‪ ,‬אך ורק לצורכי מחשוב‬
‫ואבטחת מידע‪ .‬חברות עסקיות נעזרות בניתוח סיכונים בכל פעם‬
‫שהן משיקות מוצרים חדשים‪ ,‬מנהלות תקציבי שיווק או משקיעות‬
‫הון‪ .‬מחלקות המחשוב יכולות להיעזר בידע שהצטבר כבר בתחום‬
‫זה בחברה שלהן‪.‬‬
‫וועדת ההכשרות של האיגוד‪ ,‬עמלה וגיבשה תוכנית הכשרות‬
‫והדרכות הכוללת סדנאות מקצועיות‪ ,‬שמתבססות על מגוון רחב‬
‫של נושאים אשר יאתגרו את מנהלי אבטחת המידע גם בשנת‬
‫‪ . 2014‬מטרת הסדנאות היא לספק לכם לכם את כל הכלים‬
‫שנדרשים כיום מנהלי אבטחת המידע‪ ,‬בהתמודדות מול מיתר‬
‫האיומים והאתגרים בעולם אבטחת המידע בכלל‪ ,‬ובתחום הסייבר‬
‫בפרט‪.‬‬
‫ניהול סיכונים משמש בעיקר לגיבוש מדיניות ביחס לצמצום‬
‫סיכונים ותיקון פרצות‪ .‬הוא יכול לתרום לייעול של תהליכים ‪-‬‬
‫דוגמת הסתייעות במסדי נתונים על מנת להקל על ניהול הנתונים‬
‫והעמידה בתקנות‪ .‬הבנת המקור לפרצות ותיקון גורמי השורש‬
‫לתקלות מגבירים את היעילות בכל רחבי החברה‪ .‬גם עמידה‬
‫בתקנות מסייעת בדרך כלל לנהל סיכונים‪ ,‬בין אם באמצעות‬
‫שיפור של תשתיות האבטחה וניהול האחסון ובין אם באמצעות‬
‫שיפור של ניהול הזהויות ותיעוד התהליכים‪.‬‬
‫הנכם מוזמנים ליצור קשר עם האיגוד‪ ,‬ולעקוב אחר הפעילות‬
‫שלנו ברשת ובאתר‪ ,‬בכדי שתוכלו להתעדכן על האירועים שלנו‪.‬‬
‫אני אשמח לראות כל אחד ואחת מכם באירועים של האיגוד‪,‬‬
‫ומאחל לכולכם שנה אזרחית שקטה ומאובטחת‪.‬‬
‫בכבוד רב‪,‬‬
‫השורה התחתונה היא‪ ,‬שהעלות הראשונית של ניהול הסיכונים‬
‫נראית גבוהה‪ ,‬אך בטווח הארוך הוא משפר את היעילות‪ ,‬מקל‬
‫על ניהול הנתונים‪ ,‬מסייע לתעד תהליכים קיימים וכמובן ‪-‬משפר‬
‫בפועל את אבטחת המידע‪ ,‬ומשום כך המחיר מוצדק‪.‬‬
‫בכבוד רב‪ ,‬אלדד משולם‪ ,‬העורך הראשי של המגזין‪.‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד העולמי לאבטחת מידע (‪ - )ISSA‬הציאפטר‬
‫הישראלי‬
‫‪2‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫ ראיונות בלעדיים עם מנהלי ומומחי אבטחת מידע‬
‫ סיכום שנת ‪2013‬‬
‫ מגמות לשנת ‪2014‬‬
‫ מדוע פרויקטי אבטחת מידע נכשלים‬
‫ הגנה על תחנות הקצה‬
‫ הביג דאטה משנה את עולם אבטחת המידע‬
‫סיכון‪ ,‬בהגדרה הפשוטה ביותר‪ ,‬הוא הסבירות שייגרם הפסד או‬
‫אובדן כתוצאה מפעילות מסוימת‪ .‬בתהליך של ניהול הסיכונים‬
‫נעזרים באנשים‪ ,‬תהליכים ומוצרים כדי להפחית את הסבירות‬
‫שיתרחש אירוע בלתי רצוי‪ ,‬וכדי שאם הוא יתרחש בכל זאת‪,‬‬
‫ההפסד או האובדן יהיו מועטים‪.‬‬
‫מנקודת מבט של אנשי מחשוב‪ ,‬אין מדובר אך ורק בקביעה של‬
‫מדיניות אבטחה‪ .‬במקום להתמקד באופן שבו עלולות מתקפות‬
‫להתרחש‪ ,‬על מחלקת המחשוב להתמקד בשווי הנתונים‬
‫ובסבירות שייפגעו‪ .‬חשוב להבין כמובן גם את האופן שבו‬
‫מתרחשות מתקפות‪ ,‬אך לאחר שהנתונים אבדו‪ ,‬כבר לא ניתן‬
‫להשיבם‪.‬‬
‫אני רוצה להודות בהזדמנות זו לכל חברי הנהלת האיגוד‪ ,‬על‬
‫תרומתכם לאיגוד‪ ,‬ועמלתם קשה בכדי להרים את הפעילות‬
‫השנתית‪ ,‬ועל כך אני מודה לכם‪.‬‬
‫מה בגיליון?‬
‫נשמח לקבל הצעות לכתבות‪ ,‬הערות והארות‪.‬‬
‫עורך ראשי‪ :‬אלדד משולם‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪TITANS SECURITY GROUP :‬‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫דוא"ל‪info@issa.org.il :‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫ניתן לשלוח לנו מייל למערכת לכתובת‪.info@titans2.com :‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪3‬‬
‫‪9‬‬
‫אתגרי‬
‫אבטחה‬
‫במחשוב‬
‫ענן‬
‫המונח מחשוב ענן (‪ )Cloud Computing‬מתייחס לרוב לשירותי מחשוב‪ .‬שירותים אלה מתחלקים לסוגים‬
‫שונים‪ .‬המניע העיקרי לעבור לענן היא‪ ,‬לכאורה‪ ,‬חסכון במשאבים (שטח פיזי‪ ,‬שרתים‪ ,‬תוכנות ועוד)‬
‫ומכך חסכון בעלויות‪ .‬שירותי ענן מוצעים בשיטות שונות ומונחים שונים (‪.)SAAS, PAAS, IAAS‬‬
‫להלן ‪ 9‬אתגרי אבטחה בעת עבודה עם מחשוב‬
‫ענן‪ ,‬שכל מנהל אבטחת מידע צריך לקחת‬
‫בחשבון‪:‬‬
‫‪1‬‬
‫מעילה‪/‬גניבה‪ :‬עובד אצל ספקית מחשוב ענן‪,‬‬
‫בעל הרשאות גבוהות (כגון ‪ )Admin‬מסוגל‬
‫להפעיל אפליקציות רגישות או להיכנס לבסיסי‬
‫נתונים רגישים ולבצע מעילה בכספי הארגון או‬
‫לגנוב נתונים רגישים‪ .‬כל זאת‪ ,‬ללא יכולת בקרה‬
‫של הארגון‪.‬‬
‫‪2‬‬
‫תשתית לא מאובטחת‪ :‬אם בארגון יש למנהלי‬
‫הרשת בקרה על הקשחת שרתים‪ ,‬השרתים‬
‫בענן עשויים שלא להיות בשליטת הארגון‪ .‬ניצול‬
‫פרצות בהקשחות השרתים עשוי לאפשר ניצולם‬
‫לרעה‪.‬‬
‫‪3‬‬
‫היעדר אמצעי אבטחה נאותים‪ :‬אם ברשת‬
‫הפנימית אנחנו יכולים להתקין מערכות‬
‫אבטחה כראות עינינו‪ ,‬בענן היכולת שלנו מוגבלת‬
‫עד בלתי‪-‬אפשרית‪ .‬רמת אבטחת המערכות שלנו‬
‫עשויה לרדת באופן משמעותי ביציאה לענן‪.‬‬
‫‪4‬‬
‫ממשק ניהול פרוץ‪ :‬כדי להקל על ארגונים‪ ,‬או‬
‫עקב חוסר מודעות‪ ,‬ספק הענן עשוי לאפשר‬
‫גישה לא מאובטחת כראוי ללקוחות השונים‬
‫לצורך ניהול המערכות‪ .‬סביר להניח שהאקר‬
‫ינסה בראש ובראשונה להשיג גישה לממשק זה‬
‫שיאפשר לו שליטה מלאה לביצוע פעולות זדוניות‪.‬‬
‫‪7‬‬
‫חבות משפטית‪ :‬בשירותי ענן‪ ,‬לא ברור איפה‬
‫השירות נמצא – באיזה מדינה חוות השרתים‬
‫מותקנת‪ .‬ייתכן גם שהשירות ינדוד בין חוות‬
‫שרתים במדינות שונות באופן שקוף לארגון‪.‬‬
‫במקרה של אירוע‪ ,‬מול איזה ישות משפטית ימוצה‬
‫הדין‪ ,‬ולפי חוק של איזה מדינה? האם יש לארגון‬
‫שליטה על בחירת הרשות השופטת?‬
‫‪8‬‬
‫ניהול אירועי אבטחת מידע‪ :‬במערך המחשוב‬
‫בארגון‪ ,‬בעת אירוע אבטחת מידע‪ ,‬הצוות נגיש‬
‫לכלל המערכות‪ ,‬ויכול לנהל את האירוע במלואו‪.‬‬
‫בעת מסירת מערך המחשוב לספקיות הענן‪,‬‬
‫תהיה בעיה לנהל את האירוע‪ ,‬ואנו הופכים להיות‬
‫תלויים באנשים של ספקיות מחשוב הענן‪.‬‬
‫‪9‬‬
‫תחקור דיגיטלי (‪ :)Digital Forensics‬במקרה‬
‫של אירוע אבטחת מידע‪ ,‬כיצד והאם בכלל‬
‫נוכל לבצע תחקור דיגיטלי על מנת לאסוף ראיות‬
‫לביצוע המעילה\הונאה\עבירה פלילית שבגינה‬
‫יש צורך לאסוף את המידע‪.‬‬
‫ישנם עוד סיכונים שלא פורטו‪ .‬יותר מכך‪ ,‬כיום לא‬
‫ברורים עדיין כל הסיכונים‪ .‬בעתיד יתגלו סיכונים‬
‫שטרם חשבו עליהם‪ .‬ברור שאם טרם מופו כל‬
‫הסיכונים‪ ,‬טרם נתפרו מנגנוני הגנה מפני סיכונים‬
‫אלה‪ .‬ביום הדין‪ ,‬הארגון עשוי למצוא את עצמו‬
‫בבעיה קשה‪ ,‬ולכן‪ ,‬על מנהל אבטחת המידע לנהל‬
‫היטב את הסיכונים הכרוכים בעבודה במחשוב‬
‫ענן‪ ,‬ולהציג את הממצאים להנהלת הארגון‪ ,‬כדי‬
‫שיהיו מודעים לכך‪ .‬ההחלטה על מעבר לעבודה‬
‫במחשוב ענן‪ ,‬היא של הנהלת הארגון‪ ,‬אך מתוקף‬
‫תפקידנו כמנהלי אבטחת מידע‪ ,‬להציג בפניהם‬
‫את כלל הסיכונים הכרוכים בכך‪.‬‬
‫אומנות‬
‫ניהול‬
‫הסיכונים‬
‫אחד האיומים שמולם ניצבים מנהלי ‪ IT‬הוא‬
‫מנהלים בכירים שעוקפים החלטות אבטחה‬
‫קריטיות‪ .‬לפעמים החלטות לא עומדות בד בבד‬
‫מול היחס של יתרונות לעומת עלויות ומידת‬
‫הסיכון‪ .‬לכן מנהלי ‪ IT‬צריכים לוודא שההחלטות‬
‫שלהם לא כוללות דרישות שהן לא סבירות‬
‫מבחינת צרכי העסק‪ .‬בתקופה האחרונה זה‬
‫הפך לאתגר ממשי לאור הצמיחה של הרשתות‬
‫החברתיות והאפשרויות העסקיות שהן מציעות‪.‬‬
‫קרוב לוודאי שלא כל עובד זקוק לגישה לרשתות‬
‫החברתיות‪ ,‬אך מדיניות גורפת אשר מונעת גישה‬
‫לאתרים אלו יכולה להוריד עסק לעמדה נחותה‬
‫לעומת המתחרים‪.‬‬
‫המניע העיקרי‪ ,‬אם לא היחידי‪ ,‬הוא כסף‪ .‬התוקפים‬
‫מכוונים את התקפותיהם לכל מקום שיש בו כסף‬
‫כמו שנמר מכוון את התקפותיו לכל מקום שיש‬
‫בו אוכל‪ .‬ויש הרבה כסף בריגול עסקי‪ ,‬מדינות‬
‫וממשלות משלמות הרבה כסף להאקרים‬
‫שמועסקים אצלן‪.‬‬
‫איום נוסף שקיים היום הוא חוסר המודעות לצורך‬
‫החיוני בחינוך והדרכה מתמשכת גם למשתמשי‬
‫הקצה עם של המקצוענים בתחום‪ .‬מנהלי ‪IT‬‬
‫מקצועיים צריכים להגיע לכנסים ותערוכות‬
‫על מנת לפתח קשרים עם קולגות בתחום‬
‫שיכולות לחלוק מניסיונם‪ ,‬לשתף ידע‪ ,‬ולהיחשף‬
‫לטכנולוגיות ואפשרויות חדשות‪.‬‬
‫יש כסף גם במגזר העסקי‪-‬פרטי‪ ,‬בעיקר בגניבת‬
‫זהויות‪ .‬יש כסף בגניבת זהויות במשחקי און‪-‬ליין‬
‫ויש כסף בפריצה לחשבונות מדיה חברתית‪.‬‬
‫לא מדובר יותר ב"תהיל"ה" שמניעה בעקבות‬
‫איזו פריצה אלגנטית או וירוס שנכתב בצורה‬
‫מתוחכמת‪ .‬ברוכים הבאים למציאת הטרור‬
‫הקיברנטי!‬
‫הכשרה מקצועית בנושא אבטחת מידע‬
‫למשתמשי הקצה‪ ,‬שלרוב אינם מומחים בתחום‬
‫אבטחת המידע‪ ,‬יכולה להפחית מעומס העבודה‬
‫של מנהלי ה‪ IT-‬ולמנוע טעויות יקרות שניתן‬
‫להימנע מהן בקלות עם חינוך מונע‪.‬‬
‫ניהול סיכונים‬
‫תקלות כלליות‪ :‬תקלה בהגדרות או בתוכנה‬
‫של הספק עשויות לפתוח‪ ,‬באופן זמני‪ ,‬פרצה‬
‫רוחבית לכל המערכות המאוחסנות אצל הספק‪.‬‬
‫לא מזמן פורסם מקרה כזה שאפשר‪ ,‬למשך‬
‫כשעתיים‪ ,‬גישה לכולם ללא סיסמא‪.‬‬
‫הונאות שמתבצעות באמצעות מייל או רשתות‬
‫חברתיות הופכות ליותר ויותר נפוצות וחינוך‬
‫בנושא זה הוא הכרחי אך כמעט שאינו קיים‬
‫במרבית הארגונית‪ .‬מעבר לכך‪ ,‬ברור לנו היום יותר‬
‫מתמיד שאבטחת מידע תלויה גם בטכנולוגיה עם‬
‫אכיפת מדיניות על ידי משתמשים‪ ,‬ואת זה עושים‬
‫דרך הגברת מודעות וחינוך‪.‬‬
‫שיתוף מידע‪ :‬המידע המאוחסן ע"י הספק יושב‬
‫בתשתית ‪ Storage‬משותפת‪ .‬הגדרות לקויות‬
‫עשויות לגרום לזליגת מידע בין לקוחות‪.‬‬
‫ניהול של עדכוני אבטחה במערכות הפעלה‬
‫ותוכנות הוא נושא בעייתי בארגונים רבים‪.‬‬
‫התולעת קונפיקר‪ ,‬שפרצה לראשונה ב‪2007-‬‬
‫‪5‬‬
‫‪6‬‬
‫‪4‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫והדביקה מיליוני מחשבים ורשתות בעולם בתוך‬
‫זמן קצר‪ ,‬הסוסים הטרויאניים פליים‪ ,‬וזאוס‬
‫שהסתתרו במשך שנים רבות בארגונים‪ ,‬מבלי‬
‫שידעו על קיומם‪ ,‬היא ההוכחה לחומרת הבעיה‪.‬‬
‫אם כן‪ ,‬מה מניע את התוקף‪ ,‬ולאן‬
‫הם מכוונים את ההתקפות הבאות?‬
‫ניהול סיכונים הוא המדע והאומנות בקבלת‬
‫ההחלטות של כמה להשקיע ואיפה להשקיע‬
‫כדי למנוע אובדן של מידע או לפחות למזער‬
‫את הנזק כתוצאה ממימוש האיום‪ .‬אם הפתרון‬
‫לאיום מסוים הוא כל כך יקר שהעסק נופל בגללו‪,‬‬
‫סימן שאותו הסיכון לא נוהל כהלכה‪ .‬אם העסק‬
‫נראה שהוא מצליח‪ ,‬אך נאלץ להתמודד עם‬
‫קנסות כבדים שנובעים מאי עמידה בדרישות‬
‫הרגולטור (כמו לדוגמא פרסום באמצעות ספאם‬
‫או שימוש בתוכנות ללא רישיון) סימן שמדיניות‬
‫ניהול הסיכונים לא יושמה בצורה נכונה בארגון‪.‬‬
‫הטובים ביותר בתחום ניהול הסיכונים הם ממש‬
‫אמנים‪ ,‬מעבר להיותם מדענים‪.‬‬
‫יישום מדיניות של ניהול סיכונים‬
‫בארגון‬
‫הנושא הזה משתנה מחברה לחברה‪ ,‬מתחום‬
‫לתחום וממגזר למגזר‪ .‬ניהול סיכונים צריך להיות‬
‫מיושם באופן אחד בחברה למוצרים רפואיים‬
‫ובאופן אחר ברשת של מזון מהיר‪ .‬זה מתייחס‬
‫לרמת החשיפה של מידע על לקוחות‪ ,‬קניין רוחני‪,‬‬
‫מידע משפטי ואיזה נזק תדמיתי עלול להיגרם‪.‬‬
‫לאחר סיכום כל הגורמים הללו‪ ,‬יש ליצור משוואה‬
‫של עלות תועלת שמתחשבנת גם בדברים כמו‬
‫סביבה‪ ,‬משפחה‪ ,‬שימור עובדים וכד' ועל הפתרון‬
‫להתאים לתקציב הארגון‪.‬‬
‫בעת יישום מדיניות ניהול סיכונים‪ ,‬לא צריך לחשוב‬
‫רק על הערך הכספי הישיר של המידע עליך אתה‬
‫מנסה להגן‪ .‬העלות שנחסכת על אבטחת המידע‬
‫לא משתווה לערך הישיר של המידע שנמצא‬
‫בסיכון‪.‬‬
‫במקרים רבים עלות הכשל והנזק עולה בהרבה‬
‫על ערכו הישיר של המידע‪ :‬על העלות הישירה‬
‫צריך להוסיף את הנזק התדמיתי‪ ,‬אובדן של‬
‫עובדים חיוניים‪ ,‬לקוחות‪ ,‬קנסות וכדומה‪.‬‬
‫לסיום‬
‫עצה שימושית לכל מנהל אבטחת מידע הניצב‬
‫בפני איומים שונים ומגוונים‪ :‬אם יש לך רק פתרון‬
‫אחד לבעיה‪ ,‬כנראה שלא הבנת את כל ההשלכות‬
‫של הבעיה‪ .‬כשאני רואה שיש רק פתרון אחד‬
‫לבעיה נתונה‪ ,‬אני לוקח צעד אחורה ושואל את‬
‫עצמי מה פספסתי והאם אכן הגדרתי את הבעיה‬
‫בצורה מדויקת‪ .‬למעשה‪ ,‬זו גם המשמעות‬
‫האמיתית של ניהול סיכונים נכון‪.‬‬
‫הכותב הינו יועץ בכיר לתחום ה‪ GRC-‬בכלל‪,‬‬
‫ובתחום ניהול הסיכונים בפרט‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪5‬‬
‫זהירות‪,‬‬
‫האח הגדול‬
‫צופה‬
‫בך!‬
‫האם חשבת‬
‫פעם שהאח‬
‫הגדול הינה‬
‫תכנית‬
‫ריאליטי‬
‫בטלוויזיה‬
‫בלבד?‬
‫כדאי‬
‫שתחשוב‬
‫פעם נוספת‬
‫לפני עידן האינטרנט ושיתוף המידע‪ ,‬אנשים היו‬
‫מנהלים את המידע שלהם באופן מקומי‪.‬‬
‫סוגי המידע כללו בדרך כך תמונות אישיות‪,‬‬
‫מסמכים אישיים ‪ ,‬וכיוצ"ב‪.‬‬
‫רק לאנשים עצמם הייתה גישה פיזית למידע ברוב‬
‫המקרים‪ ,‬ורק הם יכלו להציג אותו למי שהם שרצו‪.‬‬
‫היום בעידן האינטרנט‪ ,‬כמעט כל המידע מנוהל‬
‫באינטרנט‪.‬‬
‫כל אחד מאיתנו מחזיק תיבת דואר אישית באחד‬
‫הספקים הגדולים כמו ‪ ,Hotmail‬ג'ימייל‪ ,‬וואלה‪ ,‬ועוד‪.‬‬
‫למי מאיתנו אין היום חשבון פייסבוק‪ LinkedIn ,‬או‬
‫כל חשבון רשת חברתי אחר אשר מחזיק פרופיל‬
‫אישי עם פרטים אישיים ? למשל רשימת חברים‬
‫קרובים‪ ,‬קשר משפחתי‪ ,‬סטאטוסים אישיים‪,‬‬
‫תמונות ועוד‪.‬‬
‫אתרי אינטרנט כמו ‪ eBay‬או אתרי מוזיקה כגון‬
‫‪ YouTube‬מאפשרים רישום לאתר שלהם‪ ,‬ולאחר‬
‫מכן יכולים לאסוף ולשמור את טעמי המשתמש‪.‬‬
‫מנועי חיפוש כגון גוגל‪ ,‬מתחזקת ומנהלת מידע‬
‫עצום הנוגע למאפייני החיפוש של הגולשים‪.‬‬
‫תכנית ‪ PRISM‬לחיבור שרתים כמו אפל‪,‬‬
‫גוגל‪ ,‬פייסבוק‪ ,‬מיקרוסופט‪ ,‬יאהו‪ ,‬סקייפ‪ ,‬יוטיוב‪,‬‬
‫‪ AOL‬ו‪ .Paltalk‬התכנית נולדה בשנת ‪,2008‬‬
‫לאחר שעברה את ‪ FISA‬החוק שמגן על חברות‬
‫אמריקניות במקרים שבו שיתפו מידע אישי עם‬
‫פקידים ממשלתיים אישיים מידע‪ .‬התכנית הייתה‬
‫סודית כמובן ורק ה ‪ FBI-‬וה‪ NSA -‬ידעו על קיומו‪.‬‬
‫‪ ,Project Chess‬מיזם סודי שהופעל בחברת‬
‫סקייפ מאפשר לממשל האמריקני להאזין‬
‫לשיחות הסקייפ שלנו‪.‬‬
‫חברת אקסיומה ‪,‬אשר מתמחה באיסוף מידע‬
‫על לקוחות‪ ,‬תפרסם את הפרטים לאנשים‬
‫שנמצאים במאגרי המידע שלהם כדי לאפשר‬
‫להם גישה לחלק מהמידע שנאסף‪.‬‬
‫פרייקט אשלון (‪ , )ECHELON‬אשר מחובר‬
‫לעשרות שרתים בעולם‪.‬‬
‫בעבר לפני עידן הסייבר‪ ,‬האתגר ברוב המקרים היה‬
‫לקבל גישה פיזית על מנת להשיג את המידע הרגיש‪.‬‬
‫דוגמה מפורסמת לכך היא פרשת ווטרגייט בשנות‬
‫ה ‪ -70‬בארה"ב‪.‬‬
‫כיום‪ ,‬הגישה מתבצעת מרחוק‪ ,‬באמצעות רשת‬
‫האינטרנט‪.‬‬
‫גדילה משמעותית בשירותי ענן כמו "אמזון"‪,‬‬
‫שהופכת להיות מאוד פופולרית לניהול משאבי‬
‫הארגון באמצעות האינטרנט‪.‬‬
‫מאחר והרשת הינה גלובלית‪ ,‬אין צורך בגישה‬
‫פיזית לנתונים הרגישים על מנת להשיג אותו‪.‬‬
‫מדינות שונות‪ ,‬כגון מדינת ישראל אשר החלה‬
‫פיילוט לניהול המאגר הביומטרי עבור האזרחים‪.‬‬
‫לפיכך‪ ,‬החשיפה היא הרבה יותר גדולה‪ ,‬ולכן‬
‫האיום לגנוב אותו גדל בהתאם‪.‬‬
‫אזרח אשר יגיע למשרד הפנים‪ ,‬על מנת לחדש‬
‫את הדרכונים ותעודות זהות או לבצע פעולות‬
‫אחרות‪ ,‬יתבקש לספק טביעות אצבע ותמונות‬
‫פנים ‪ ,‬אשר יוכנס למאגר‪.‬‬
‫האתגר המרכזי בעולם אבטחת המידע ‪,‬הינו‬
‫למצוא דרך להגן על המידע והנכסים העסקיים‬
‫של הארגון ‪ ,‬ועדיין להגן על פרטיות המשתמשים‪.‬‬
‫כתוצאה מכך‪ ,‬מידע בעל ערך רב על כל אחד‬
‫מאיתנו נשמר ומנוהל מחוץ לידיים שלנו‪.‬חמור‬
‫מכך‪ ,‬אין לנו יכולת לשלוט בו‪ ,‬לדעת מי יכול לשים‬
‫את הידיים שלו עליו ולשם איזו מטרה‪.‬‬
‫מאת רועי זימון‪ ,‬מומחה אבטחת מידע אפליקטיבי בתחום הסייבר‪.‬‬
‫נביא כאן מספר דוגמאות מהתקשורת העולמית‪:‬‬
‫חברות פרסום משלמות סכומי עתק כדי לשים‬
‫יד על מידע מסוג זה‪,‬כדי לפרסם את מוצריהם‬
‫לקהל היעד בצורה אישית‪.‬‬
‫קהל יעד אשר היה קשה מאוד להגיע אליו בדרך‬
‫אחרת‪ .‬כל אותן חברות משלמות עבור שטח‬
‫פרסום בפייסבוק‪ ,‬גוגל‪ ,‬ועוד‪.‬‬
‫ממשלות בעולם מנסות לשים את ידיהם על מידע‬
‫גם כן לצורכי לריגול או ביטחון‪.‬‬
‫ארגונים שונים מיישמים בקרות שונות כגון ‪DLP‬‬
‫(מניעת דליפת נתונים)‪ ,‬אשר נועדו לפקח ולוודא‬
‫שמידע רגיש של החברה לא יגיע לידיים הלא נכונות‪.‬‬
‫מסיבה זו יש צורך למצוא את האיזון הנכון בין‬
‫הגנה על הפרטיות של המשתמש‪ ,‬ועדיין לשמור‬
‫על האינטרסים של הארגון‪.‬‬
‫לכן חיוני מאוד ‪,‬לעשות הבחנה בין נתונים אישיים‬
‫של עובדים ‪ ,‬לנתונים לא אישיים‪ ,‬ולדאוג שמידע‬
‫אישי ופרטי של העובד אינו במעקב‪.‬‬
‫כמו כן חשוב מאוד ליידע את העובד על הבקרות‬
‫השונות אשר מופעלות ובאילו תנאים הם‬
‫מופעלים‪.‬‬
‫צריך לקחת בחשבון שרק קומץ של בעלי תפקידים‬
‫מוגדר‪ ,‬יקבלו גישה לבקרות עם המידע הרגיש‪.‬‬
‫לסיכום‪ ,‬יש לזכור שברגע שהמידע עולה לרשת‪,‬‬
‫הוא אינו בשליטתנו יותר‪.‬‬
‫לכן כדאי לחשוב פעמיים לפני שעושים זאת‪.‬‬
‫‪6‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪7‬‬
‫האיגוד העולמי לאבטחת מידע‬
‫(‪– )ISSA‬הצ'אפטר הישראלי‬
‫קורס ‪CISO‬‬
‫האיגוד הינו גוף מלכ"ר (ללא מטרות רווח) כאשר מטרתו‬
‫העיקרית היא קידום נושא אבטחת המידע בישראל‪ ,‬בכל ההיבטים‪.‬‬
‫אודות גיליון ‪Global Security‬‬
‫למה כדאי לחפש מידע במגזין שלנו‬
‫ולא למשל ב‪ Google-‬או כל עיתון אחר?‬
‫חברי האיגוד נהנים מהטבות ייחודיות במהלך כל השנה‪ ,‬כגון הרצאות‬
‫מקצועיות‪ ,‬ימי עיון‪ ,‬חומרים מקצועיים‪ ,‬ועוד‪ .‬כיום‪ ,‬חברים באיגוד כמה מאות‬
‫מקצועני אבטחת מידע‪ ,‬ואנו שואפים לגייס את כלל קהילת ה‪ IT-‬בישראל‪.‬‬
‫בנוסף‪ ,‬חברי האיגוד נהנים ממהדורה ייחודית ובלעדית של ‪–Global Security‬‬
‫המגזין המוביל בישראל בתחום אבטחת המידע‪.‬‬
‫‪e‬‬
‫‪S e c‬‬
‫‪u r i‬‬
‫‪t y‬‬
‫‪M a g‬‬
‫‪a z i‬‬
‫‪n e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪I n f‬‬
‫‪o r m‬‬
‫‪a t i‬‬
‫‪o n‬‬
‫מגזין א בטחת‬
‫מגזין אב‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪S‬‬
‫‪n‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫‬
‫•מיקוד בתחום אבטחת המידע – המגזין‬
‫עוסק אך ורק בתחום אבטחת המידע‬
‫וניהול סיכונים‪.‬‬
‫‬
‫•יותר כתבות מקצועיות ופחות תדמיתיות‬
‫– רוב המגזינים כיום יותר תדמיתיים‪,‬‬
‫ופחות מקצועיים‪ .‬אנו שומרים על רמה‬
‫מקצועית‪ ,‬וכמות מינימאלית של כתבות‬
‫תדמית‪.‬‬
‫‪n‬‬
‫מידע וניהול‬
‫סיכונים | גיליון מס' ‪4‬‬
‫| אוגוסט ‪2012‬‬
‫| יולי ‪2012‬‬
‫גיליון מס' ‪3‬‬
‫יהול סי כונים |‬
‫‪I‬‬
‫‬
‫•השוואתיות – מאפשר השוואה פשוטה‬
‫ואובייקטיבית בין הספקים והפתרונות‪.‬‬
‫‬
‫•היקף מידע – תמונה רחבה יותר‪ ,‬ולא רק‬
‫התמקדות בנושאים ספציפיים‪.‬‬
‫‪Identity M‬‬
‫‪anagemen‬‬
‫‪t‬‬
‫‬
‫נתי של האיגוד‬
‫קור הכנס הש‬
‫סי‬
‫בעולם הסייבר‬
‫מגמות‬
‫ערכות ‪SIEM‬‬
‫מ‬
‫ערכות ‪IPS‬‬
‫מ‬
‫זהירות בוטנט‬
‫•תשלום סמלי – מדובר בעלות סמלית‪,‬‬
‫והנכם מנויים למגזין אבטחת המידע‬
‫המוביל בישראל‬
‫‬
‫•מקצועני אבטחת מידע – כל הכותבים‬
‫שלנו עוסקים בתחום אבטחת המידע‬
‫למעלה מ‪ 7-‬שנים‪ ,‬והם בכירים בתחום‪,‬‬
‫ברמה העולמית‪.‬‬
‫טחת מידע ונ‬
‫בשער‬
‫מלחמת‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫תלמד • תוביל • תצליח!‬
‫סייבר‬
‫האיום‬
‫החדש בעידן הסייבר‬
‫מתקפות ‪APT‬‬
‫הגנה על מערכות‬
‫‪SCADA‬‬
‫אחת לרבעון – מוסף מיוחד‬
‫מה הערך המוסף שלנו?‬
‫בעת בחירת ספק (מערכת\מוצר) תהליך מכרז או בקשה למידע מתחיל בפנייה שלכם‬
‫לכמה ספקים בהתאם להוצאת ‪ RFI/RFP‬מהחברה‪ .‬אנו מרכזים עבורכם את כל‬
‫המידע המקצועי המקיף ביותר‪ ,‬ובר השוואה אודות הפתרונות אבטחת המידע השונים‪,‬‬
‫באופן שזה מכסה את כל השאלות המרכזיות הנשאלות בנוגע לפתרון אפשרי‪:‬‬
‫‪ .1‬סקירה טכנולוגית רחבה אודות הפתרון‬
‫שמחפשים‬
‫‪ .2‬סקירת הפתרונות בתחום הספציפי‪.‬‬
‫‪ .3‬מי הם הספקים המובילים בתחום?‬
‫‪ .5‬פרטי החברה של היצרן‪/‬ספק‪/‬האינטרגטור‪:‬‬
‫שם‪ ,‬מספר עובדים‪ ,‬שנת הקמה‪ ,‬יתרונות‬
‫וחסרונות‪ ,‬סוגי פעילות בחברה‪ ,‬נושאים \תחומי‬
‫פעילות והתמחות‪ ,‬קישורים‪ ,‬מידע טכנולוגי‪ ,‬איש‬
‫קשר‪ ,‬חוסן כלכלי‪ ,‬לקוחות בארץ‪ ,‬לקוחות בחו"ל‪,‬‬
‫תוכניות הרחבה למוצר‪ ,‬מספר התקנות בארץ‬
‫‪ .6‬מה הערך המוסף של כל ספק בתחום‬
‫הפתרון המוצע?‬
‫‪ .7‬כיצד מנהלים את הפרויקט?‬
‫‪ .8‬מהם נקודות כשל בפרויקט שמהם צריכים‬
‫להיזהר?‬
‫‪ .9‬מה צריכים לדרוש מהספקים בעת יציאה‬
‫למכרז?‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את הנושאים השונים‬
‫תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי‬
‫העדיפות של הנושא (בהתאם לחומרת העניין ותהליך‬
‫ניהול סיכונים מובנה)‪ ,‬וכמובן נצייד את התלמידים‬
‫בכל הכלים‪ ,‬הן בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪,‬‬
‫שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו‪.‬‬
‫הקורס חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן‬
‫בפן הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה‬
‫לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה‬
‫שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם‬
‫אבטחת המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫שיטת הלימוד‬
‫‬
‫‬
‫‬
‫•הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומן בארגון‬
‫•הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫•הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫למידע‪ ,‬ייעוץ והרשמה‬
‫ניתן לפנות לטלפון ‪077-5150340‬‬
‫דוא"ל‪Ts-Academy@titans2.com :‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬
‫הביג‬
‫דאטה‬
‫משנה את‬
‫עולם האבטחה‬
‫תופעת הביג דאטה תיצור‬
‫בשנים הקרובות שינויים‬
‫משמעותיים בתעשיית אבטחת‬
‫המידע ותניע את פיתוחם‬
‫של מודלים חדשים להגנה‬
‫על נתונים‪ .‬ההערכה היא כי‬
‫לתהליכי ניתוח ביג דאטה‬
‫תהיה השפעה מכרעת על‬
‫רוב קטגוריות המוצרים בשוק‬
‫אבטחת המידע בעשור השנים‬
‫הקרוב‪ ,‬ובהן מערכות ‪,SIEM‬‬
‫ניטור רשת‪ ,‬אימות משתמשים‬
‫והרשאות‪ ,‬ניהול זהויות‪ ,‬גילוי‬
‫הונאות‪ ,‬סריקת מחשבים וניהול‬
‫סיכונים‪.‬‬
‫‪10‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫בכנס השנתי של ‪ , RSA‬שהתקיים בסוף פברואר‬
‫‪ ,2013‬טען ארט קוביילו‪ ,‬נשיא החברה‪ ,‬כי הביג‬
‫דאטה יאפשר סוף סוף "לחבר'ה הטובים" לגבור‬
‫על "הרעים"‪ ,‬כאשר הביג דאטה‪ ,‬המשלב יכולות‬
‫מעולמות הרשתות החברתיות‪ ,‬הטכנולוגיות‬
‫הניידות ומחשוב הענן‪ ,‬יספק עושר של מידע‬
‫שאותו ניתן לפלח ולנתח – ולהפיק תובנות‬
‫שיניעו מערכות אבטחה מבוססות אינטיליגנציה‪.‬‬
‫מערכות שכאלה יכולות להיות עמידות גם‬
‫לשינויים עתידיים‪ ,‬כיוון שהן מתפתחות ולומדות‬
‫כל העת‪ ,‬ומגיבות לאותם שינויים‪.‬‬
‫כבר בשנה הקרובה נראה חברות אבטחת מידע‬
‫שמציעות פתרונות ביג דאטה מסחריים‪ .‬אם‬
‫בעבר‪ ,‬כלים מתקדמים לניתוח מידע שהוטמעו‬
‫במוקדי אבטחת המידע‪ ,‬נבנו לפי הזמנה‪ ,‬ב‪2014-‬‬
‫יחל תהליך מסחור של טכנולוגיות ביג דאטה‬
‫הנכללות במוצרי אבטחה‪ ,‬מגמה שתעצב מחדש‬
‫גישות אבטחה ופתרונות תוכנה ותייצר הוצאות‬
‫כספיות בשנים הקרובות‪ .‬בטווח הארוך יותר‪,‬‬
‫ישנה הביג דאטה את טיבם של מנגנוני האבטחה‬
‫הקונבנציונליים הפועלים כנגד תוכנות זדוניות‪,‬‬
‫מונעים אובדן מידע ויוצרים "חומות אש" למיניהן‪.‬‬
‫במהלך שלוש עד חמש השנים הקרובות‪ ,‬נראה‬
‫המשך פיתוח של כלים לניתוח נתונים אשר‬
‫יאפשרו מגוון של יכולות חיזוי מתקדמות ובקרות‬
‫הגנה בזמן אמת‪.‬‬
‫העולם העסקי של ימינו‪ ,‬הגדוש במידע ומבוסס על‬
‫מחשוב ענן ומכשירים ניידים‪ ,‬הפך למיושנים את‬
‫נהלי האבטחה התלויים במערכות הגנה היקפית‬
‫ואבטחה סטטית‪ ,‬שלצורך פעולתן התקינה‬
‫נדרש ידע מוקדם על איומים‪ .‬זאת הסיבה לכך‬
‫שמנהלי אבטחה בוחרים לעבור למודל המבוסס‬
‫על מודיעין – מודל גמיש‪ ,‬חוקר הקשרים ומודע‬
‫לסיכונים אשר מסייע לארגונים להתגונן מפני‬
‫איומים ידועים‪ .‬מדובר בגישת אבטחה מושכלת‬
‫הנתמכת בידי כלים לניתוח ביג דאטה ומשלבת‬
‫הערכות סיכון דינמיות ושיתוף מידע אודות איומים‬
‫וטכניקות התקפה‪.‬‬
‫להלן הנחיות לארגונים המבקשים לתכנן מעבר‬
‫להגנה מבוססת ביג דאטה‪ ,‬כחלק מתוכנית כוללת‬
‫לאבטחה מבוססת מודיעין‪:‬‬
‫‪1‬‬
‫אסטרטגיה הוליסטית לאבטחת‬
‫סייבר – יש לתכנן את ההגנה בהתאם‬
‫לדרישות‪ ,‬לסיכונים ולאיומים‬
‫הספציפיים של הארגון‪.‬‬
‫ארכיטקטורה למידע המשותף –‬
‫מכיוון שניתוח הביג דאטה מתבסס‬
‫על איסוף מידע ממקורות שונים‬
‫בפורמטים רבים‪ ,‬יש להקים‬
‫ארכיטקטורה אחת המאפשרת ביצוע תהליכי‬
‫איסוף‪ ,‬מדידה‪ ,‬ניתוח ושיתוף המידע‪.‬‬
‫‪2‬‬
‫ארכיטקטורת אבטחה מאוחדת –‬
‫ארגונים צריכים להחליט באיזה‬
‫מוצרי אבטחה הם ימשיכו לתמוך‬
‫ולהשתמש בשנים הקרובות‪ .‬זאת‬
‫מאחר וכל מוצר מציע מבנה נתונים משלו‪,‬‬
‫שבעתיד הקרוב יצטרך להשתלב במסגרת‬
‫מאוחדת לניתוח נתונים‪.‬‬
‫‪3‬‬
‫כלי אבטחה פתוחים וניתנים להרחבה‬
‫עבור הביג דאטה – ארגונים נדרשים‬
‫להבטיח שהשקעות שוטפות במוצרי‬
‫אבטחה יתמקדו בטכנולוגיות‬
‫המשתמשות בגישות גמישות לניתוח נתונים ולא‬
‫בכלים סטטיים המתייחסים לגבולות הרשת‬
‫ולאיומים המוכרים‪ .‬על כלי הניתוח החדשים להציע‬
‫גמישות מבנית שתאפשר שינויים ככל שהעסק‪,‬‬
‫טכנולוגיית המידע או איומי האבטחה‪ ,‬ילכו ויתפתחו‪.‬‬
‫‪4‬‬
‫חיזוק המיומנויות המדעיות של צוות‬
‫האבטחה – פתרונות אבטחה לביג‬
‫דאטה יסופקו ודאי בזמן‪ ,‬אך צוותי‬
‫האבטחה בארגונים עלולים שלא‬
‫להיות מוכנים כהלכה לשינויים‪ .‬מדעני מידע עם‬
‫ידע מקצועי בתחום האבטחה הם מצרך נדיר‬
‫והביקוש להעסקתם ימשיך להיות גבוה‪ .‬זאת‬
‫הסיבה לכך שארגונים רבים נוטים להיעזר‬
‫בגורמים חיצוניים בכדי להוסיף על היכולת‬
‫העצמית לניתוח אבטחה‪.‬‬
‫‪5‬‬
‫מודיעין על איומים חיצוניים – יש‬
‫להרחיב תכניות פנימיות לניתוח‬
‫אבטחה באמצעות הכללת מודיעין‬
‫על איומים חיצוניים‪ .‬יש לבצע הערכה‬
‫של מידע המגיע רק ממקורות מהימנים‬
‫ורלוונטיים‪.‬‬
‫‪6‬‬
‫שילוב הביג דאטה בנוהלי האבטחה יספק תמונה‬
‫ברורה יותר של סביבת ה‪ , IT-‬ישפר את היכולת‬
‫להבחין בין פעולות חשודות לרגילות‪ ,‬יגביר את‬
‫האמון במערכות ויעצים באופן משמעותי את‬
‫היכולת להגיב לאירועים‪ .‬המשחק משתנה אל מול‬
‫עינינו‪ :‬יותר ויותר נתונים מוכנסים לאינטרנט באופן‬
‫אוטומטי‪ ,‬ומגמה זאת תמשיך ותצבור תאוצה‪ .‬כלי‬
‫ניתוח אבטחה שעבד באופן נפלא לפני שנתיים או‬
‫שלוש‪ ,‬כבר לא ממלא היום את תפקידו‪ .‬ארגונים‬
‫כיום צריכים לעבור על הרבה יותר נתונים‪ ,‬בזמן‬
‫שהאיומים הופכים למרומזים מאי פעם‪.‬‬
‫הביג דאטה משנה את טיבם ומתייחס למוגבלותם‬
‫של תחומי האבטחה הקונבנציונליים‪ ,‬כמו חומות‬
‫אש ומאבק בתוכנות זדוניות‪ ,‬כמו גם הליכי‬
‫זיהוי והיתרי גישה‪ .‬הוא מיושם בדרכים חדשות‬
‫המאפשרות למיומנויות המתאפיינת בתאימות‪,‬‬
‫למידה עצמית והתבססות על ניתוח סיכונים‪,‬‬
‫להשיג הערכה מתמדת של האבטחה ולהתאים‬
‫את רמת ההגנה לשינויים הסביבתיים ולתנאי‬
‫הסיכון‪ .‬את גילוי האיומים ומעשי המרמה ניתן‬
‫יהיה לחזות מראש‪ ,‬ככל שיתקיים מאגר עשיר‬
‫יותר של פרטי המשתמש וניתן יהיה להרכיב‬
‫מהמידע המורכב שהשגנו תמונת עולם לגבי מה‬
‫נחשב לנורמאלי לעומת מה נראה כסוטה מהתקן‪.‬‬
‫אין ספק כי כבר בשנה הקרובה‪ ,‬ארגונים מהשורה‬
‫הראשונה עם יכולות אבטחה מתקדמות יאמצו‬
‫מודלים לאבטחה מודיעינית המבוססת על ניתוחי‬
‫ביג דאטה‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪11‬‬
‫הגנה‬
‫על תחנות‬
‫הקצה‬
‫אחת הסיבות לגידול בדרישה על ההגנה ברמת‬
‫תחנות הקצה היא בשל הוספת עוד שכבת‬
‫מתחברים לארגון ‪ -‬השותפים העסקיים והספקים‪,‬‬
‫כמו גם העובדים הפנימיים שעובדים מרחוק‬
‫ובייחוד עם הצמיחה במגמת ה‪.BYOD-‬‬
‫צמצום הנזק הפוטנציאלי‬
‫הגורם האנושי הוא זה שיכול להוביל לקריסת‬
‫ההגנה על מערכות ה‪ IT-‬הארגוניות‪ ,‬וההגנה‬
‫על תחנות הקצה יכולה לצמצם את מידת הנזק‬
‫והחשיפה הפוטנציאלית אליו‪ .‬עפ"י אנליסטים‬
‫מחברות מחקר‪ ,‬שיעור הנזק הנגרם ממכלול‬
‫הנוזקות הוא רב‪ :‬למרות ש‪ 70%-‬מהארגונים‬
‫מתקינים תוכנות אנטי‪-‬וירוס ופירוולים ‪ -‬הם עדיין‬
‫מותקפים‪.‬ככל שהארגון גדול יותר = כך גדלה‬
‫מידת פגיעותו וכמות ההתקפות עליו‪.‬‬
‫בהגנה על תחנות הקצה מדובר על ישות מרכזית‬
‫אחת‪ ,‬המנוהלת ממקום אחד‪ ,‬ומבצעת את‬
‫מדיניות אבטחת מהידע שנקבעה‪ ,‬תוך שהיא‬
‫שולטת על כל החיבורים ‪ -‬הפנימיים והחיצוניים‪.‬‬
‫מכיוון שמיתר האיומים גדול‪ ,‬ופוטנציאל הנזק‬
‫עצום‪.‬‬
‫התחום הזה זכה לפופולאריות רבה בשנים‬
‫האחרונות‪ ,‬בעקבות הגידול במספר העובדים‬
‫הניידים המתחברים לרשת הארגונית מחוץ‬
‫למשרד ‪ -‬מהבית וממרכזים ציבוריים אחרים‪.‬‬
‫בשל צורת עבודה זו‪ ,‬נולד חשש‪ ,‬לפיו הם ייצרו‬
‫חורי אבטחה‪ ,‬או יחדירו קוד זדוני לרשת הארגונית‪.‬‬
‫יש היום אוסף לא קטן של מוצרים‪ ,‬אשר יודעים‬
‫להגן על תחנות קצה בארגונים‪ .‬ה"כוכב" שביניהם‬
‫הוא האנטי‪-‬וירוס‪ ,‬אולם ישנן גם לא מעט תוכנות‬
‫נוספות שמגינות‪ ,‬מעבר לאנטי‪-‬וירוס‪ :‬יש‬
‫פירוול אישי‪ ,‬תוכנות לזיהוי התקפות‪ ,‬תוכנות‬
‫הבודקות אביזרים המתחברים למחשב‪ ,‬וכן יש‬
‫תוכנות הבודקות טלאי אבטחה‪ .‬כל אלו רכיבים‬
‫המותקנים על המחשב‪.‬‬
‫היבט נוסף שנדרש לטפל בו‪ ,‬הוא האיום הפנימי‬
‫ עובדים שלא מעדכנים את המחשבים שלהם‪,‬‬‫כמו גם נזקים הנעשים בזדון על ידי עובדים‬
‫ממורמרים‪.‬‬
‫הבעיה הי ישמור על השומרים‪ ,‬כלומר‪ ,‬איך יודעים‬
‫שהתוכנות הללו עובדות בצורה תקינה ושהכל‬
‫מתפקד במאה אחוזים‪ .‬מה שמחמיר את הבעיה‬
‫הם המחשבים הנישאים והטלפונים החכמים‪.‬‬
‫זאת כאשר הם לא מחוברים לרשת הארגונית‪,‬‬
‫והם מתחברים לכל מיני רשתות ‪ -‬כגון מודמים‬
‫בבתי מלון‪ ,‬רשתות אלחוטיות בבתי קפה‪ ,‬רשתות‬
‫בבית שהילדים עובדים עליהן‪ ,‬ועוד‪.‬‬
‫סיבות נוספות‪ ,‬הן ריבוי יישומים ווביים‪ ,‬מורכבות‬
‫שכבות ה‪ ,IT-‬והשימוש הגובר והולך ברכיבים‬
‫הניידים (מגמת ה‪.)BYOD-‬‬
‫אחר כך‪ ,‬כל ה"זבל" שהתחנות קצה הללו צברו‬
‫מגיע לרשת הארגונית‪ ,‬כאשר תחנות הקצה האלו‬
‫בדרך כלל אינן מעודכנות בהיבט האבטחתי‪.‬‬
‫סקרים העלו כי כ‪ 80%-‬מהארגונים כבר הטמיעו‬
‫פתרונות כאלה‪ ,‬או נמצאים בשלבי ההטמעה‪ ,‬וכי‬
‫‪ 90%‬מהם ‪ -‬מרוצים מההטמעה‪.‬‬
‫פן נוסף של הבעיה‪ ,‬הוא מתן אפשרות לעובדים‬
‫להכינס לרשת מהמחשבים הביתיים שלהם‪ ,‬או‬
‫מעמדות קיוסק ‪ ,‬שם המדובר בתחנות שאין לנו‬
‫מושג מה קורה בהן בהיבט האבטחה‪ .‬השאיפה‬
‫היא להיכנס לרשת הארגונית בצורה מאובטחת‪,‬‬
‫דרך מערכת ‪ ,SSL VPN‬המאפשרת להגיע לכל‬
‫יישום ארגוני דרך הדפדפן‪ .‬זאת ניתן לעשות בכל‬
‫תחום אבטחת נקודות הקצה בארגון ‪ -‬מחשבים‬
‫שולחניים‪ ,‬מחשבים ניידים‪ ,‬התקנים אלחוטיים‬
‫למיניהם‪ ,‬כמו טאבלטים‪ ,‬וטלפונים חכמים ‪ -‬הינו‬
‫אחד מהתחומים החמים בעולם אבטחת המידע‪,‬‬
‫‪12‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫‪ 99%‬מהארגונים התקינו‬
‫אנטי וירוס ‪ -‬אך ‪78%‬‬
‫מהם עדיין מותקפים‪,‬‬
‫כך העלה מחקר בתחום‬
‫אבטחת המידע‪ .‬לדברי‬
‫האנליסטים‪ ,‬בין הסיבות‬
‫להמשך ההתקפות‪,‬‬
‫העדר יכולת לממש את‬
‫אכיפת מדיניות אבטחת‬
‫המידע הארגונית‪.‬‬
‫מעבר לכך‪ ,‬ישנן תוכנות המאפשרות לכל ארגון‬
‫להיכנס לעולם שבו מאובטחות נקודות הקצה‪,‬‬
‫בלי "לברוח" מתקן ‪ ,802.1x‬אבל בלי לכפות על‬
‫הארגון ליישם אותו באופן כולל מיידי‪ .‬המדובר‬
‫בתקן‪ ,‬המאפשר מניעה של תחנות שלא הזדהו‬
‫כראוי ‪ -‬מלהיכנס לרשת הארגונית‪ .‬זאת‪ ,‬על ידי‬
‫עצירתן של התחנות כבר בשלב ההתחברות‬
‫למתג‪.‬‬
‫יישום פתרון כזה דורש עבודה עם מתגים‬
‫התומכים בפתרון‪ ,‬דבר שברוב הארגונים אינו‬
‫ישים במאה אחוז‪ .‬ולכן חשוב לבחור בפתרון‬
‫המאפשר להיכנס לעולם אבטחת תחנות הקצה‬
‫גם כאשר סביבת המתגים שלהם הטרוגנית‪,‬‬
‫מעורבת‪ ,‬גם כאשר לא כולם תומכים בתקן‬
‫האמור‪ ,‬ותוך הרחבה של התקן להגנה ‪ -‬לא‬
‫רק בנושא ההזדהות ‪ ,‬אלא גם בנושא מדיניות‬
‫אבטחת המידע הארגונית‪.‬‬
‫האכיפה של הכניסה לרשת יכולה להיעשות‬
‫בעזרת כלים שונים‪ ,‬כגון שימוש בתקן ‪,802.1x‬‬
‫חלוקת כתובות ‪ ,DHCP‬שימוש ב‪ ,Gateway-‬או‬
‫אכיפה בעזרת פירוול אישי‪.‬‬
‫חיבור מרחוק מאובטח‬
‫ישנם פתרונות אבטחה שמספקות רכיב‬
‫מבוסס ‪ ,Java‬הבודק את תחנת הקצה‪ ,‬מייצר‬
‫שולחן עבודה וירטואלי‪ ,‬ודואג לכך שכל החומר‬
‫המועבר בין הארגון לבין תחנת הקצה ‪ -‬ייכתב‬
‫בסביבה הווירטואלית בצורה מוצפנת‪ .‬עם סיום‬
‫ההתקשרות‪ ,‬נסגר שולחן העבודה הוירטואלי‪ ,‬וכל‬
‫החומר השייך לארגון ‪ -‬נעלם‪ .‬כך‪ ,‬ניתן לאפשר‬
‫לעובדים להיכנס ממחשבים מרוחקים‪ ,‬תוך‬
‫שמירה על מדיניות אבטחת מידע ‪ -‬גם הקיוסק‬
‫יהיה חייב להריץ תוכנות הגנה כגון אנטי‪-‬וירוס וכו'‬
‫לפני הכניסה לרשת‪ ,‬ובלי להשאיר שום שאריות‬
‫של חומר פרטי על מחשב ציבורי‪.‬‬
‫יישום אבטחת תחנות הקצה הייתה אחת‬
‫מהמגמות המובילות ביותר בשנים האחרונות‪,‬‬
‫שכן אחרי כל ההשקעות הגדולות באבטחת שער‬
‫הכניסה לארגון‪ ,‬מנהלי אבטחת המידע הבינו כי‬
‫עליהם לאבטח גם את הצד השני ‪ -‬תחנות הקצה‪.‬‬
‫מקום‪.‬‬
‫לפני מתן הגישה לרשת הארגונית‪ ,‬על המערכת‬
‫לבדוק כי כל המחשבים השולחניים והניידים‬
‫המתחברים לרשת הארגונית מצוידים בכל כלי‬
‫האבטחה שהארגון קבע (אנטי‪-‬וירוס‪ ,‬פירוול אישי‪,‬‬
‫מניעת פרצות ועוד) ושאותם כלי אבטחה מצוידים‬
‫גם בעדכוני האבטחה החדשים ביותר ותואמים‬
‫למדיניות האבטחה הארגונית‪.‬‬
‫על המערכת לבדוק לפני הכניסה לרשת‬
‫הארגונית‪ ,‬כי כל תוכנות האבטחה על המחשב‬
‫בעמדת הקצה ‪ -‬אכן עומדות במדיניות האבטחה‪,‬‬
‫כפי שנקבעה על ידי הארגון‪ .‬כך‪ ,‬התוכנה בודקת‪,‬‬
‫לדוגמא‪ ,‬האם טלאי האבטחה החיוניים הותקנו‬
‫גם הם‪ ,‬האם תוכנות קריטיות נמצאות בגרסאות‬
‫הנכונות ועוד‪.‬‬
‫ניתוק זמני מהרשת‬
‫אם אחד מהתנאים הללו לא מתקיים ‪ -‬ניתן‬
‫לנתק באופן זמני (בהתאם למדיניות אבטחת‬
‫המידע של הארגון) את התחנה מהרשת ולחבר‬
‫אותה לרשת חלופית (זמנית ומבודדת)‪ .‬ברשת‬
‫החלופית זו מתבצע תהליך אוטומטי של תיקון‪,‬‬
‫הורדת חתימות אנטי וירוס‪ ,‬הורדת טלאי האבטחה‬
‫הקריטיים‪ ,‬וכל מה שנדרש על פי מדיניות אבטחת‬
‫המידע הארגונית‪ .‬מיד עם סיום שלב התיקון ‪-‬‬
‫התחנה מחוברת לרשת הארגונית‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪13‬‬
‫ראיון בלעדי עם מר אבי רושט‬
‫סוקר בכיר של מכון התקנים הישראלי‬
‫האיומים הפיסיים והקיברנטיים שמדינת ישראל נתונה בהם‪ ,‬לצד תסריטי תקלות וכשלים שיכולים‬
‫לגרום להשבתת מערכות קריטיות‪ ,‬מעלים שוב ושוב לסדר היום את הנושא של התאוששות מאסון‬
‫והמשכיות עסקית‪ .‬חשיבות ההיערכות לשעת חירום ידועה לכל‪ :‬בלעדיה פגיעה בנתונים ומידע‬
‫בעת אסון עלולה לגרום נזק כבד לחברות‪ .‬בעולם קיימים סטנדרטים ומסגרות לבניית תוכנית‬
‫להמשכיות עסקית והתאוששות מאסון‪ ,‬המוביל מביניהם התקן העולמי ‪.ISO 22301‬‬
‫כדי ללמוד יותר על הערך של ניהול המשכיות עסקית בכלל‪ ,‬ועל התקן המוביל בעולם בנושא זה‬
‫(‪ )ISO 22301‬שוחחנו עם מר אבי רושט‪ ,‬סוקר בכיר של מכון התקנים הישראלי‪.‬‬
‫ראיון עם מר אסף גל‬
‫מנהל אבטחת המידע של חברת דוראד אנרגיה‬
‫כיצד אתה רואה את המוכנות‬
‫והמודעות של ארגונים בישראל‬
‫מבחינת עמידה מפני איומי סייבר?‬
‫מוכנות הארגונים בישראל הולכת וגוברת משנה‬
‫לשנה‪ ,‬וניתן לראות שיתוף‪-‬פעולה בין השוק הפרטי‬
‫לבין משרדי הממשלה באימוץ מתודלוגיות מקובלות‬
‫ואף בהטמעות טכנולוגיות‪.‬‬
‫דיוני סייבר כיום הינם חלק בלתי נפרד מדיונים של‬
‫אסטרטגיה ובטחון לאומיים‪ ,‬בהם לוקחים חלק‬
‫חברי כנסת‪ ,‬חברי אקדמיה ומנהלים בכירים במשק‬
‫הישראלי‪.‬‬
‫חברות ציבוריות או קריטיות למדינה הינן מונחות‬
‫רגולציה‪ ,‬ולכן רוב החברות בארץ נוגעות בדרך זו‬
‫או אחרת בנושא‪.‬‬
‫שאלה ‪ :2‬האם לדעתך מדינת‬
‫ישראל ערוכה בעצמה למלחמת‬
‫סייבר כוללת? האם היא מוכנה‬
‫להגן על הארגונים ואזרחיה?‬
‫לאחרונה התקן בנושא ניהול‬
‫אבי שלום‪ ,‬תספר קצת על‬
‫עצמך‪ ,‬ותפקידך במכון התקנים‪ .‬המשכיות עסקית‪ ,‬הפך להיות‬
‫מהנדס תוכנה (תדיראן) כ ‪ 15‬שנים‪ ,‬מנמ"ר תקן ‪ ISO‬רשמי (‪ – )22301‬האם‬
‫(אלקטל) כ ‪ 7‬שנים‪ ,‬סוקר בכיר (במכון התקנים) תוכל לפרט מהם ההבדלים‬
‫כ‪ 8-‬שנים‪.‬‬
‫העיקריים בין שני התקנים?‬
‫במסגרת תפקידי במכון התקנים אני אחראי מוצר‬
‫לתקני‪ :‬אבטחת מידע‪ ,‬המשכיות עסקית‪ ,‬וניהול‬
‫ידע‪.‬‬
‫לעניות דעתך‪ ,‬מהן המגמות‬
‫בתחום התקינה בעולם אבטחת‬
‫המידע?‬
‫אחת המגמות שאני רואה היא התפתחות תקנים‬
‫נוספים בתחומים ספציפיים כמו איומי סייבר‪ ,‬סיכוני‬
‫א"מ בעולם התוכן הרפואי‪.‬‬
‫מגמה נוספת היא שילוב עם תחומי אחרים כמו‬
‫ניהול ‪( IT‬על פי מתודולוגית ‪ , )ITIL‬וניהול המשכיות‬
‫עסקית ‪ -‬דוגמה‪ :‬תהליך ניהול קיבולת( ‪)Capacity‬‬
‫שהוא אחד התהליכים ב ‪( ITSM‬ניהול השרות) נכנס‬
‫כבקרה חדשה בגרסת תקן החדשה‪.‬‬
‫‪14‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫האימוץ של התקן הבריטי ‪ 25999‬כתקן של ‪ISO‬‬
‫חייב התאמה למסגרת האחידה של תקני מערכות‬
‫הניהול ולמעשה היה התקן הראשון שנכתב כך ‪.‬‬
‫בנוסף הושם דגש על‪ :‬זיהוי הגורמים שאיתם‬
‫מתממשק הארגון והתקשרות איתם‪ ,‬מחויבות‬
‫פעילה של הנהלה‪,‬הגדרת מטרות ברות מדידה של‬
‫מערכת הניהול‪,‬ניהול סיכונים‪ ,‬בקרת מסמכים‪ ,‬מתן‬
‫סמכות בנוסף לאחריות לבעל תפקיד‪,‬תקשורת‬
‫פנים וחוץ ארגונית‪ ,‬רמת השירות הנדרשת בזמן‬
‫מצב של אירוע‪ ,‬ועוד ועוד‪.‬‬
‫מהם האתגרים העיקריים‬
‫שעימם מתמודדים ארגונים‬
‫ביישום התקן ‪?22301‬‬
‫נחוצה הבנה טובה של תהליכי הארגון – מומלץ‬
‫במידת האפשר להכין את הארגון לעבודה על פי‬
‫תקן האיכות המפורסם ‪ ISO 9001‬כתהליך מקדים‬
‫להתעדה לתקן המשכיות עסקית‪.‬‬
‫בנוסף נחוצה מעורבות חזקה של שכבת ההנהלה‬
‫כבעלי תפקיד בצוות ניהול האירוע‪.‬‬
‫מהן ההמלצות לפי ניסיונך‪,‬‬
‫לארגונים שרוצים להטמיע את‬
‫התקן בארגון?‬
‫לא ללמוד לבד! עקומת הלמידה של תקנים‬
‫מורכבים ותובעניים כמו ‪ISO 270001‬ו ‪,ISO 22301‬‬
‫גבוהה‪ ,‬ודורשת הכשרה מוקדמת של האחראים‬
‫בארגון או שיתוף חברות ייעוץ בעלי ניסיון מוכח‪.‬‬
‫מהם הכיוונים והמגמות של‬
‫עולם התקינה בהקשר התקן‬
‫הנ"ל?‬
‫גם פה נמצאים בתהליך פיתוח תקנים תומכים‬
‫(כמו התקן ‪ ISO 22398‬לעריכת תרגילי המשכיות‬
‫עסקית)‪.‬‬
‫המדינה משקיעה משאבים נרחבים ופיקוח צמוד על‬
‫כל תשתית אשר מוגדרת קריטית למדינת ישראל‪.‬‬
‫ההנחיות החלות על תשתיות קריטיות בישראל כוללות‬
‫פיקוח הדוק של הרשות הממלכתית לאבטחת מידע‬
‫להפרדה גלוונית מוחלטת של רשתות קריטיות מכל‬
‫רשת אחרת‪ ,‬הקשחות ואמצעים טכנולוגיים מובילים‬
‫בתחומם למניעה וגילוי של אירועי סייבר‪.‬‬
‫חברת דוראד אנרגיה אשר מסיימת בימים אלו את‬
‫הקמתה של תחנת‪-‬הכח הפרטית הגדולה בישראל‪,‬‬
‫הינה גוף מונחה של משרד האנרגיה והמים‪.‬‬
‫משרד האנרגיה והמים מנחה את החברה באופן‬
‫שוטף‪ ,‬ומספק מודיעין והתראות בפני ארועים מכוונים‬
‫על תשתיות ישראליות‪ .‬בכוונת המשרד להקים מטה‬
‫סייבר לאומי‪ ,‬בעל רשת מאובטחת לקליטת דיווחים‬
‫מכלל הגופים המונחים במטרה להתריע ולהנחות‬
‫בזמן‪-‬אמת על אירועי סייבר‪.‬‬
‫מהיכרות עם תשתיות ורשתות מחשוב קריטיות בארץ‬
‫ובמקומות אחרים‪ ,‬ניתן לאמר בודאות כי מדינת ישראל‬
‫הינה מעצמה מובילה בתחום‪.‬‬
‫מה דעתך על האכיפה של חוק‬
‫הגנת הפרטיות בישראל?‬
‫ישנו מקום רב לשיפור בנושא‪ .‬אולם‪ ,‬המדינה מודעת‬
‫לכשלים הקיימים בשמירה על מידע הקיים בבסיסי‬
‫נתונים רגישים‪ ,‬ופועלת לסגור אותם‪.‬‬
‫‪Big Data‬‬
‫טכנולוגית בסיסי הנתונים בעולם של‬
‫ופתרונות ‪ BI‬וחיזוי מתקדמים‪ ,‬הינה טכנולוגיה אשר‬
‫רצה ומתקדמת בקצב מאוד מהיר‪ .‬בניית רגולציה‬
‫אשר תתאים בצורה רחבית להכיל מגזרים שלמים‪,‬‬
‫טכנולוגיות רבות ומגוונות ואכיפתה באופן גורף‪ ,‬אינו‬
‫עניין של זבנג וגמרנו‪ ...‬אלא מצריך פינג‪-‬פונגים רבים‬
‫של תשאול והתאמה לשוק‪ ,‬ולכן הבשלת הנושא‬
‫מתקדמת אך לוקחת זמן‪.‬‬
‫דוגמא טובה לפעילות מבורכת הנעשית בימים‬
‫אלו בנושא‪ ,‬הינה הגנת משרד הבריאות על המידע‬
‫במערכות ממוחשבות במערכת הבריאות ע"י בנייה‬
‫ואימוץ של "תקן ‪ 27799‬לניהול בטחון המידע בתחום‬
‫הבריאות"‪.‬‬
‫כיצד אתה רואה את תפקידו של‬
‫מנהל אבטחת המידע בעידן הסייבר?‬
‫תפקידו של מנהל אבטחת המידע בעידן הסייבר הינו‬
‫להציף את החולשות והסיכונים בהם נמצא הארגון‪,‬‬
‫ולהציע פתרונות מתאימים אשר יביאו לרמת אבטחה‬
‫נאותה ומיקסום הרווחים של הארגון‪.‬‬
‫מה לדעתך הידע הנדרש היום‬
‫ממנהל אבטחת המידע?‬
‫להתבסס על מודל הגנה בשכבות‪ ,‬כאשר בכל‬
‫שכבה נמצאים פתרונות אבטחה הולמים‪,‬‬
‫והמוכנות של צוות אבטחת המידע כשירים‬
‫ויודעים מה צריכים לבצע בזמן המתאים‪.‬‬
‫היכרות עם מתודולוגיות מקובלות לניהול סיכונים‬
‫ואבטחת‪-‬מידע‪ ,‬רגולציות החלות על החברה‪,‬‬
‫והפתרונות הקיימים בשוק‪.‬‬
‫במידה והותקפת – כיצד ניתן‬
‫להתאושש ביעילות?‬
‫אך יותר חשוב מכך ‪ -‬היכרות עם המנגנון העסקי‬
‫והתפעולי של החברה‪ ,‬על‪-‬מנת להתאים פתרונות‬
‫נכונים לארגון אשר לא יפגעו בתפעוליות החברה‪.‬‬
‫כמו במלחמה‪ ...‬קשה באימונים קל בקרב‪ .‬ארגון אשר‬
‫ייבנה מראש תהליכים להתאוששות מאסון ויתרגל‬
‫התמודדות עם מתקפות רלוונטיות‪ ,‬יידע לצמצם את‬
‫זמני התגובה בזמן אמת‪.‬‬
‫זוהי גם הדרך היחידה לקבלת רוח גבית‬
‫מההנהלה לאישור פרויקטים המתאימים לחזון‬
‫העסקי ולאסטרטגיה של החברה‪ .‬ללא היכרות‬
‫מעמיקה של המנגנון התפעולי‪ ,‬מנהל אבטחת‬
‫המידע יישוחח בשפה אחרת משאר הנוכחים‬
‫בדיון ויהווה גורם זר‪...‬‬
‫מהם איומי הסייבר המשמעותיים‬
‫ביותר שארגונים נאלצו‬
‫להתמודד איתם במהלך ‪?2013‬‬
‫בעיתונות הגדירו כאיום משמעותי ל‪- 2013-‬‬
‫אירגונים כמו אנונימוס ודומיו‪ ,‬פרסום כרטיסי‬
‫אשראי ברשת‪ ,‬והשחתת אתרי‪-‬אינטרנט עם דגלי‬
‫פלסטין או צלבי קרס‪.‬‬
‫אלו הן כמובן אי‪-‬נעימויות‪ ,‬אך לא אירועי סייבר‬
‫משמעותיים‪ ,‬והסיבה לחשיפתם הציבורית היתה‬
‫מטרת התוקף – פירסום‪ ,‬מוניטין וקבלת אהדה‬
‫עולמית‪.‬‬
‫אירועי סייבר משמעותיים אשר נעשים במטרה‬
‫לביצוע נזק מהותי של שיבוש מידע והשבתה‬
‫של ארגון ‪ -‬מטרתם אינה להתגלות‪ .‬לכן גם אם‬
‫הארגון יתמודד מולם‪ ,‬כנראה שאינו ידווח על‪-‬כך‬
‫לעיתונות מחשש לנזק תדמיתי (בדומה להונאות‬
‫ופשעים אחרים תוך‪-‬ארגוניים)‪.‬‬
‫אירועים אלו הינם איומים עקביים מתקדמים‬
‫(‪ )APT‬אשר נעשים בזדון ובצורה ממוקדת על‬
‫ארגונים‪.‬‬
‫מהם איומי הסייבר שמצפים לנו‬
‫ב‪?2014-‬‬
‫להערכתי יחמיר האיום על מכשירי הסלולר‪.‬‬
‫מהי הדרך הטובה ביותר להימנע‬
‫ממתקפות סייבר?‬
‫לחתוך את כבל‪-‬הרשת התת‪-‬ימי‪ .‬אבל אם זה‬
‫לא אפשרי‪ ,‬אז המוכנות של הארגונים צריכה‬
‫על התהליכים לכלול אינדיקטורים לזיהוי אירועי‬
‫סייבר‪ ,‬תרחישים לקבלת החלטות הנהלה בזמן אמת‬
‫עבור תגובות אפשריות לפתרון האירוע‪ ,‬והבאת דו"ח‬
‫תחקיר אירוע והפקת לקחים להנהלה‪.‬‬
‫מהן המגמות החמות של ‪?2014‬‬
‫עד לאחרונה פתרונות אבטחת המידע‬
‫הטכנולוגיים הוטמעו ועיבדו את הנתונים בתוך‬
‫הארגון‪ ,‬ורק מאגרי החתימות והאינדיקציה שלהם‬
‫התעדכנו מהענן‪.‬‬
‫מגמה חמה הינה שימוש באמצעי אבטחת מידע‬
‫הנמצאים ככללותם בענן‪.‬‬
‫דוגמאות לכך ניתן לראות מערכות ‪ ,SIEM‬מערכות‬
‫‪ ,IPS‬ומערכות לניטור אנומליה‪ ,‬אשר כוללות‬
‫בתוך רשת הארגון הטמעה של חיישנים בלבד‪.‬‬
‫החיישנים מוציאים את המידע החוצה מהארגון‪,‬‬
‫לניתוח ועיבוד נתונים בזמן‪-‬אמת ע"י מחשבי‪-‬על‬
‫הנמצאים בענן של ספק הפתרון‪.‬‬
‫היתרונות והחסרונות הינם כמו כל ענן‪ ...‬יתרונות‬
‫של יכולות עיבוד חזקות‪ ,‬וניהול החוסך בכח‪-‬אדם‪,‬‬
‫וחסרונות של תלות בחברה צד ג'‪ ,‬והוצאת ניהול‬
‫של מידע קריטי מתוך הארגון‪.‬‬
‫אילו טכנולוגיות לדעתך יעניינו‬
‫את ה‪ ,CISO‬במהלך ‪?2014‬‬
‫כולי תקווה שהטכנולוגיות אשר יעניינו את ה‪CISO-‬‬
‫הינן טכנולוגיות כחול‪-‬לבן‪ ,‬התורמות לנסיקת‬
‫האיכות הישראלית בתחום‪.‬‬
‫מה דעתך על האיגוד ועל‬
‫תרומתו לפיתוח תחום אבטחת‬
‫המידע בישראל?‬
‫החפצים בידע‬
‫בית עשיר במידע‪ ,‬המחבר בין כל ֵ‬
‫מקצועי ועדכני בתחום אבטחת המידע בישראל‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪15‬‬
‫הכשרת מנהלי אבטחת מידע (‪)CISO‬‬
‫‪Knowledge to People‬‬
‫חברת ‪ TITANS SECURITY‬גאה להציג את המסלול המקצועי‪ ,‬האיכותי‬
‫והמקיף ביותר להכשרת מנהלי אבטחת מידע (‪ )Certified CISO‬וגם‬
‫היחידי שכולל הסמכה בינלאומית –‪ CISM‬מבית ‪ .ISACA‬מדובר בקורס‬
‫בן ‪ 200‬שעות פרונטאליות‪ ,‬ועוד כ‪ 500-‬שעות תרגול עצמאי‪ ,‬כאשר ישנה‬
‫התייחסות לכל עולמות אבטחת המידע‪.‬‬
‫בעידן טכנולוגיות המידע הצורך להגן על מערכות המחשוב של הארגון‬
‫רק הולך וגובר וישנם לקוחות פוטנציאליים רבים הדורשים שירותי‬
‫אבטחת מידע ברמה גבוהה מאוד‪ .‬הקורס נוצר כתוצאה מדרישת השוק‬
‫למנהלי אבטחת מידע המבינים ומכירים היטב את תחום אבטחת המידע‬
‫על כל שכבותיה‪ .‬בוגרי הקורס יוכלו לתת ערך מוסף אמיתי ללקוחותיהם‬
‫ו\או לארגון בהם מועסקים על‪-‬ידי מתן ייעוץ מקצועי ואיכותי כפי שנדרש‬
‫מהם‪.‬‬
‫זהו מסלול חדש‪ ,‬העדכני והמקיף ביותר למנהלי אבטחת מידע וכולל‬
‫בתוכו מגוון נושאים הנוגעים לתחום אבטחת מידע וניהול סיכונים‪.‬‬
‫המסלול מחולק לשני חלקים עיקריים‪ ,‬כאשר החלק הראשון הינו החלק‬
‫המעשי של הקורס‪ ,‬והחלק השני מכין את התלמיד לבחינת ההסמכה‬
‫הבינלאומית של ‪ CISM‬מבית ‪ .ISACA‬החלק הראשון בנוי מ‪ 5-‬מודולים‬
‫עיקריים המכינים את התלמיד להתמודד עם כל נושאי אבטחת המידע‬
‫על פניהם השונים‪.‬‬
‫הביטחון‬
‫שלך‬
‫העבודה‬
‫שלנו‬
‫‪Bringing‬‬
‫המודול הראשון מפגיש את תלמידי הקורס עם תחום אבטחת המידע‬
‫בהיבט העסקי ועם העולם הרגולטורי\חוקי‪ .‬המודול השני עוסק ברק‬
‫הטכנולוגי ומכין את תלמידי הקורס להתמודד עם כלל היבטי אבטחת‬
‫המידע הן בהיבט התשתיתי והן במישור האפליקטיבי על כל ההיבטים‪.‬‬
‫המודול השלישי עוסק בתחום ניהול אבטחת המידע‪ ,‬מסגרות לניהול‬
‫אבטחת מידע וניהול סיכונים‪ .‬המודול הרביעי דן כולו בהיבטים של‬
‫אבטחת מידע פיזי וסביבתי‪ ,‬והמודול החמישי עוסק בפן האנושי מבחינת‬
‫אבטחת מידע‪.‬‬
‫הקורס עובר עדכונים שוטפים‪ ,‬כדי להתאימו לעולם הדינאמי של‬
‫השוק‪ ,‬והתוקפים\התקפות השונות‪ ,‬וסוקר בצורה מלאה את כל עולם‬
‫אבטחת המידע על כל רבדיו‪ .‬בכל רובד אנו מתרגלים ודנים בתפיסות‪,‬‬
‫מתודולוגיות ובטכנולוגיות הקיימות‪ ,‬ובחולשות הרבות הנסתרות בהן‪.‬‬
‫חולשות‪ ,‬אשר בידיים הלא נכונות הופכות לכלי תקיפה רבי עוצמה‪ .‬כמו‬
‫כן‪ ,‬אנו לומדים את המוטיבציה ואת דרכי הפעולה של התוקף‪ ,‬כנגד‬
‫החולשות שלנו‪ ,‬על מנת לדעת ולהכיר היטב את האויב‪.‬‬
‫כחלק מערכת הלימוד‪ ,‬התלמידים מקבלים ספרי לימוד‪ ,‬ספרי תרגול‬
‫(בכיתה ובבית)‪ ,‬ועוד ‪ DVD‬הכולל כלי עזר רבים של מנהל אבטחת מידע‪.‬‬
‫כפי שהספר המפורסם "אומנות המלחמה" אומר‪:‬‬
‫‪If you know the enemy and know yourself, you need‬‬
‫‪not fear the result of a hundred battles. If you know‬‬
‫‪yourself but not the enemy, for every victory gained‬‬
‫‪you will also suffer a defeat. If you know neither the‬‬
‫"‪enemy nor yourself, you will succumb in every battle‬‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫טלפון‪077-5150340 :‬‬
‫טלפון‪077-5150340 :‬‬
‫או בדוא"ל‪Ts-Academy@titans2.com :‬‬
‫או בדוא"ל‪Ts-Academy@titans2.com :‬‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫צריכים לבצע מבדקי חוסן‬
‫על מה חשוב לשים לב?‬
‫מבדק חוסן (‪ )Penetration Testing‬הינו תהליך שבו נבדקת יעילותו של מערך האבטחה בארגון באמצעות‬
‫פריצה יזומה אל רשתות ומשאבי המחשוב של הארגון‪ .‬הלקוח (מנהל אבטחת המידע בארגון) מבקש‬
‫לאתר חולשות ופרצות המאפשרות חדירה אל המערכות הקריטיות בארגון לפני שגורם עוין אחר יעשה‬
‫זאת‪ ,‬וזאת תוך ניצול מכוון של נקודות תורפה ושימוש בטכניקות פריצה המבוססות על ידע טכני מובהק‪.‬‬
‫העלייה ברמת הפגיעויות של מערכות מחשב‬
‫ורשתות התקשורת‪ ,‬וריבוי אירועי הסייבר (כולל‬
‫התקפות של האקרים מבחוץ ומתוך הרשת‬
‫הפנימית) למערכות אלה‪ ,‬מחייבים את מנהלי‬
‫אבטחת המידע להיות מעודכנים ברזי ההתקפות‬
‫והטכנולוגיות ולהקדים תרופה למכה‪.‬‬
‫בדית העמידות בפני פריצות מחשב היא תהליך‬
‫בקרה המאפשר להתבונן בארגון מעיניו של‬
‫התוקף (האקר)‪ .‬אך ישנו גם צד שלישי בעניין‬
‫בדיקה זו‪ .‬שימוש בהאקרים "בדימוס" (‪White Hat‬‬
‫‪ )Hacker‬לצורכי שירותי ייעוץ רגישים כגון מבדקי‬
‫חוסן עלול לחשוף את הארגון לסיכונים רבים‪.‬‬
‫רבים מאותם האקרים "לבנים" נכנסו לעסקי‬
‫הייעוץ בתחום אבטחת המידע וסייבר‪ .‬לעיתים‬
‫הם אף מתפארים בהיותם האקרים לשעבר או‬
‫אפילו לא לשעבר‪ .‬מצב זה גורם למבוכה ומעורר‬
‫חששות בקרב ארגונים‪ ,‬המתחבטים אל מי עליהם‬
‫לפנות לקבלת שירותי ייעוץ בתחומים רגישים ורבי‬
‫חשיבות אלה‪.‬‬
‫רמת הידע הכוללת של היועץ אינה השיקול‬
‫הבלעדי והמכריע‪ ,‬מכיוון שייעוץ בתחום אבטחת‬
‫המידע מחייב יותר מאשר כישורים טכניים גרידא‪.‬‬
‫ייעוץ בתחום זה‪ ,‬הוא למעשה שילוב ואינטגרציה‬
‫של ניתוח תהליכים עסקיים‪ ,‬נהלים ומדיניות‬
‫עסקית יחד עם ניסיון רב‪-‬תחומי מצטבר בתחום‬
‫אבטחת המידע והסייבר‪ .‬לרבים מבין ההאקרים‬
‫לשעבר אין כלל הבנה של הנושאים והשיקולים‬
‫העסקיים המורכבים אשר נלווים לאינטגרציה של‬
‫פתרונות אבטחת מידע במסגרת עסקית גלובליים‬
‫ובזירת העסקים האלקטרוניים‪.‬‬
‫ביצוע מבדקי חוסן‬
‫(‪)Penetration Testing‬‬
‫בביצוע מבדקי חוסן‪ ,‬יש לשים דגש על הסיכון בו‬
‫הארגון נמצא במהלך הבדיקה כגון הסיכון לאובדן‬
‫שירותים עסקיים לא במכוון (כתוצאה מהתקפות‬
‫מניעת שירות = ‪ )Denial of Service‬או להפלת‬
‫מערכות עסקיות קריטיות שיגרמו נזק גדול מערך‬
‫מניעת הפריצה שלה כיוונו‪.‬‬
‫‪18‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫תחום אבטחת המידע הוא התגלמות התפיסה‬
‫של "תאמין אבל תבדוק ותאמת"‬
‫‪ .)Verify‬הנהלת הארגון צריכה לשאול את עצמה‪:‬‬
‫"האם אני יכול להקפיד בידי אדם זה את הטיפול‬
‫במשאבים הרגישים ביותר שלנו?"‪.‬‬
‫(‪Trust but‬‬
‫תרבות ה"סמוך" הנפוצה בישראל‪ ,‬אשר‬
‫מתאפיינת לרוב בחוסר שימוש במתודולוגיות‬
‫ובנהלים נאותים‪ ,‬מתירה שימוש בהאקרים‬
‫לשעבר ללא שום פיקוח ובקרה‪ .‬מחסור בכח אדם‬
‫מקצועי בתחום אבטחת המידע מחד וזמינותם‬
‫ועלותם הנמוכה של האקרים מתחילים (המוכרים‬
‫בכינוי של ‪ )Script Kiddies‬מאידך מביאים ארגונים‬
‫לשימוש בכוח אדם לא מומלץ זה ועשוי להוביל‬
‫לתוצאות המפורטות לעיל‪.‬‬
‫כללי זהירות‬
‫בעת הזמנת עבודה מחברת ייעוץ לצורך ביצוע‬
‫בדיקות חוסן‪ ,‬יש ליישם ארבעה קריטריונים‬
‫מנחים על מנת להבטיח את האמינות והמהימנות‬
‫של צוות ייעוץ בתחום מאבטחת המידע‪:‬‬
‫‪1.1‬שימוש במתודולוגיה מוכרת ‪ -‬הצוות צריך‬
‫להשתמש במתודולוגיה מובנית‪ ,‬המתוכננת‬
‫למנוע הרס של נתונים‪ ,‬השבתת מערכות‬
‫או כל פגיעה אחרת בתהליכי עיבוד המידע‪.‬‬
‫הפרוטוקול המיושם (נוהל הפעולה המוגדר)‬
‫צריך לכלול מנגנונים שיבטיחו דיווח מיידי‬
‫ללקוח על אודות נקודות רגישות (פגיעויות)‬
‫מהותיות שנתגלו‪ ,‬וכן העברה משמעותית‬
‫של הידע הנדרש‪ .‬בנוסף‪ ,‬הצוות חייב להגדיר‬
‫וליישם מתודולוגיה שתבטיח את אמינות‬
‫והמהימנות של כל כלי התקיפה שייעשה‬
‫בהם שימוש במהלך ההתקשרות‪.‬‬
‫‪2.2‬בדיקות רקע (אמינות‪ ,‬מהימנות) ‪ -‬רמת‬
‫המקצוענות‪ ,‬הרקע והיושר של כל חברי‬
‫הצוות חייבים להיות ללא רבב‪ .‬חברי הצוות‬
‫חייבים לעבור בהצלחה מערך מקיף ויסודי‬
‫של בדיקות רקע לפני תחילת ההתקשרות‪.‬‬
‫‪3.3‬רמה מקצועית גבוהה ‪ -‬הצוות חייב להיות‬
‫בעל ידע וכישורים טכניים גבוהים ביותר‪.‬‬
‫חברי הצוות חייבים להכיר היטב את שיטות‬
‫התקיפה וכלי התקיפה החדישים ביותר‪,‬‬
‫וכמו כן‪ ,‬עליהם להבין באופן מלא את כל‬
‫ההשפעות והסיכונים הנלווים לשימוש‬
‫בכלים או בהרצת התוכנות‪.‬‬
‫‪4.4‬ניסיון מוכח ‪ -‬לצוות חייב להיות ניסיון רב‬
‫בתחום התעשייה הרלוונטי‪ .‬חברי הצוות‬
‫חייבים להבין שבכל תחום תעשייה קיימות‬
‫דרישות אבטחה שונות‪ ,‬ועליהם להיות‬
‫מסוגלים להציע הצעות להתמודדות עם‬
‫נקודות חולשה אשר יתאימו לרמת הסיכון‬
‫הקבילות והמקובלות בארגון שלו הם‬
‫מייעצים‪.‬‬
‫ניתן להניח במידה רבה של ודאות כי כל יועץ אשר‬
‫עונה על ארבעת הקריטריונים הנ"ל הוא מקור‬
‫אמין ומהימן של שירותי ייעוץ‪ ,‬והוא יצליח לעמוד‬
‫במשימת הייעוץ באופן משביע רצון‪.‬‬
‫תקן אבטחת מידע ‪ISO 27001‬‬
‫‪ -‬ככלי בקרה‬
‫התקן אבטחת מידע העולמי ‪ ,ISO 27001‬מכתיב‬
‫ומספק הנחיות בגין נושא זה‪ ,‬וניתן בהחלט‬
‫להיעזר בו לצורך פיקוח ובקרה על כלל תהליכי‬
‫הערכת הסיכונים בכלל‪ ,‬ומבדקי החוסן בפרט‪.‬‬
‫להלן מספר פרקים בתקן‪ ,‬שניתן להיעזר בהם‬
‫לצורך בקרה נאותה על תהליכי מבדקי החוסן‬
‫בארגון‪.‬‬
‫הגדרת תחולת עבודה‬
‫)‪SOW (Statement of Work‬‬
‫ראשית כל‪ ,‬יש להגדיר היטב את התחולה (‪)Scope‬‬
‫של המבדק‪ ,‬על מנת לייעל את תהליך המבדק‪,‬‬
‫ולמזער את הסיכון בחשיפת מידע\מערכות‬
‫רגישות נוספות‪.‬‬
‫שלב שני‪ ,‬יש לבחור במתודולוגיה (ביחד עם‬
‫הספק) לביצוע המבדקים‪ ,‬ולהגדיר מהם הכלים‬
‫ושיטות הבדיקה שניתן לעשות בהם שימוש‬
‫במהלך המבדק‪ ,‬ומה אסור לחלוטין לבצע (למשל‬
‫ניסיונות תקיפה של מניעת שירות)‪.‬‬
‫בתחולת המבדק‪ ,‬ו\או מזעור הסיכון בגרימת נזק‬
‫למערכות אחרות‪.‬‬
‫לאחר אישור קו לשני הסעיפים הנ"ל‪ ,‬יש‬
‫לקבל אישור בכתב‪ ,‬על תכולת העבודה‬
‫‪ )(Statement of Work‬ואין לסטות ממנה בשום‬
‫אופן‪ ,‬למעט מקרים חריגים של בקשת הלקוח‬
‫בלבד‪ .‬האישור לביצוע המבדק על כל תחולתו‬
‫(‪ ,)SOW‬יינתן ע"י הנהלת הארגון‪ ,‬בכדי למנוע‬
‫מצב שבו יתבצע מבדק ללא ידיעתם ואישורם‬
‫של הנהלת הארגון‪.‬‬
‫פרק ‪.8‬א‪ - 1.‬מתייחס לבדיקות מהימנות ואמינות‬
‫של עובדים‪ ,‬עובדי חוזה או משתמשים צד שלישי‬
‫לפני קליטתם לארגון‪ ,‬ולכן ניתן להיעזר באותם‬
‫קריטריונים ובקרות לצורך בחינת האמינות‬
‫והמהימנות של צוות התקיפה שתשמש לצורך‬
‫ביצוע מבדקי החוסן‪.‬‬
‫‪SOW‬‬
‫פרק ‪.6.1.5‬א‪ :‬הסכמי חיסיון ‪ -‬חשוב מאוד לחתום‬
‫הסכמי חיסיון מול החברה שתספק את השירותים‪,‬‬
‫אך גם מול כל יועץ (ניתן להגדיר מול הספק‬
‫מיהם האנשים שיאושרו לבצע את המבדק‪ ,‬להלן‬
‫"הצוות") שיבצע את המבדק ו\או יהיה מעורב‬
‫בתהליך‪ .‬ישנה חשיבות רבה לנושא הזה‪ ,‬בייחוד‬
‫בתעשיות מיוחדות כגון מערכת הבריאות‪ ,‬שם‬
‫חשוב לציין ולהזכיר לספק (וליועציו) שההסכם‬
‫חתימה על שמירת סודיות הינו ללא תפוגה‬
‫במקרה שמדובר על חשיפה למידע רפואי‪.‬‬
‫פרק ‪.6.2.1‬א‪ :‬זיהוי סיכונים הקשורים לגורמים‬
‫חיצוניים ‪ -‬לפני שמאשרים גישה לצוות הבדיקה‬
‫(מבדקי חוסן)‪ ,‬יש לזהות את כלל הסיכונים‬
‫הכרוכים בכך‪ ,‬ולוודא שיישמנו בקרות נאותות‬
‫במטרה למזער את הסיכונים הללו‪ .‬כפי שהזכרנו‪,‬‬
‫במבדקי חוסן‪ ,‬אנו מפקידים את הנכסים הכי‬
‫רגישים (קריטיים) שלנו בידי צוות הבדיקה‪ ,‬ולכן‬
‫חשוב לוודא שחישבנו את כלל הסיכונים‪ ,‬וזה‬
‫מקובל ומאושר ע"י הנהלת הארגון‪ .‬אחת הבקרות‬
‫למשל‪ ,‬הינה הגדרת תיחום מוגדר של הבדיקה‬
‫(מערכות ספציפיות‪ ,‬תשתית ספציפית‪ ,‬אתר‬
‫מסוים וכו')‪ ,‬ומהו סט הכלים שבהם ניתן לעשות‬
‫שימוש במהלך הבדיקה‪ ,‬כל זה במטרה כמובן‬
‫למזער את הסיכון בחשיפת מידע רגיש שלא‬
‫פרק ‪ :5.1.9.5‬עבודה באזורים מאובטחים ‪ -‬לעתים‬
‫קרובות‪ ,‬המבדק מתבצע הן מבחוץ‪ ,‬והן מתוך‬
‫הארגון‪ .‬אם עולה הצורך לאפשר גישה לצוות‬
‫התקיפה לאזורים מאובטחים (רגישים) ‪ ,‬יש לנקוט‬
‫באמצעי זהירות‪ ,‬ולוודא שהגישה מבוקרת ותחת‬
‫פיקוח‪ .‬יש לגבש נהלי עבודה באזורים מאובטחים‪,‬‬
‫ולוודא אכיפתם‪.‬‬
‫פרק ‪.10.2‬א‪ :‬ניהול שירותים המסופקים ע"י צד‬
‫שלישי ‪ -‬היות ומדובר על תהליך רגיש‪ ,‬שבו ניתנת‬
‫גישה או אפשרות לגישה לגורם חיצוני "עוין" (צוות‬
‫התקיפה)‪ ,‬לצורך מבדק רמת האבטחה בארגון‪,‬‬
‫חשוב לגבש תהליכי בקרה ופיקוח על הספק\‬
‫חברה שתספק את השירותים הנ"ל‪ .‬דוגמא אחת‬
‫יכולה להיות סט הנחיות ‪ ,‬שבו ניתן להגדיר לספק‬
‫את צורת העבודה מול הלקוח‪ ,‬למשל‪ ,‬חל איסור‬
‫להוציא מידע מהארגון (הלקוח) החוצה‪ ,‬ואם כן יש‬
‫צורך‪ ,‬והדבר מתאפשר‪ ,‬אז מהי רמת האבטחה‬
‫בחברה (הספק) שנדרשת לצורך אבטחת המידע‬
‫של הלקוח‪ .‬דוגמא נוספת (וזה חייב להיכלל בתוך‬
‫חוזה העבודה)‪ ,‬היא שהלקוח ראשי לבצע ביקורת‬
‫אבטחה אצל הספק‪ ,‬על מנת לוודא כיצד הוא‬
‫שומר על המידע הרגיש שלו‪ ,‬באתר החברה‪.‬‬
‫פרק ‪.10.8.2‬א‪ :‬הסכמי החלפת מידע ‪ -‬על הלקוח‬
‫להגדיר בבירור מהם שיטות הדיווח‪ ,‬לצורך‬
‫העברת המידע בין הספק ללקוח‪ .‬היות ומדובר‬
‫ככל הנראה במידע רגיש (חולשות ופרצות של‬
‫מערכות הארגון‪ ,‬או שרטוטי רשת‪ ,‬מיפוי נכסים‬
‫קריטיים של הארגון ועוד) חשוב להגדיר בקרות‬
‫נאותות על תהליך העברת המידע‪ .‬למשל‪ ,‬הלקוח‬
‫יכול להגדיר שהעברת המידע תתבצע באופן ידני‬
‫או באמצעות כספת (אמצעי להעברת מידע באופן‬
‫מאובטח)‪.‬‬
‫פרק ‪.10.10‬א‪ :‬ניטור ‪ -‬ישנה חשיבות לצוות‬
‫אבטחת המידע בארגון (הלקוח) ‪,‬לנטר ולבקר את‬
‫הפעילות של צוות התקיפה‪ ,‬בייחוד כשמדובר על‬
‫ניסיונות פריצה לארגון‪ .‬הניטור יכול לשרת מספר‬
‫מטרות‪ ,‬כגון לימוד אודות שיטת התקיפה לצורך‬
‫הפקת לקחים ליישום בקרות נאותות בעתיד‪,‬‬
‫וגם לבחון את המוכנות של צוות אבטחת המידע‬
‫שאמון על ניטור ובקרת המערכות‪.‬‬
‫פרק ‪.11‬א‪ :‬בקרת גישה ‪ -‬לעתים‪ ,‬יש צורך לספק‬
‫אמצעי לבקרת גישה (כגון כרטיס חכם) על מנת‬
‫לבצע את המבדקים‪ .‬יש לנקוט בכללי זהירות‬
‫בעת מתן ההרשאות ו\או אמצעי הזיהוי‪ ,‬ולוודא‬
‫שאלו מוחזרים בתום המבדק‪.‬‬
‫פרק ‪.15.3‬א ‪ -‬מתייחס לשיקולי מבדק מערכות‬
‫מידע ‪,‬ומספק הנחיות ובקרות נאותות שחשוב‬
‫ליישם בכל תהליך של מבדקים (הערת סיכונים‬
‫ו\או מבדקי חוסן) וגם מהן הבקרות שחשוב‬
‫ליישם על כלי המבדק של מערכות המידע‪ ,‬על‬
‫מנת למנוע מגורמים שאינם מורשים‪ ,‬מלעשות‬
‫שימוש בהן או למנוע מגורמים מורשים מלעשות‬
‫שימוש לרעה‪.‬‬
‫הכותב הינו סמנכ"ל תפעול בקבוצת‬
‫טיטנס סקיוריטי‪ ,‬ויועץ בכיר לתחום הסייבר‬
‫ואבטחת המידע‪ .‬ניתן לפנות אליו בכתובת‬
‫‪eldad@titans2.com‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪19‬‬
‫ראיון אבטחה עם מר קובי לכנר‪ ,‬מנהל אבטחת המידע בחברת ‪PLAYTECH‬‬
‫מגמות‬
‫אבטחת מידע‬
‫לשנת ‪2014‬‬
‫ר‬
‫א‬
‫י‬
‫ו‬
‫ן‬
‫בלעדי‬
‫מהן המגמות‬
‫המרכזיות בעולם‬
‫אבטחת המידע?‬
‫עולם ה‪ IT-‬מורכב מארבעה חלקים‪ :‬נקודות‬
‫הקצה‪ ,‬הרשת‪ ,‬היישומים והנתונים עצמם‪ .‬עולם‬
‫אבטחת המידע גילה‪ ,‬כי בכל אחד מהתחומים‬
‫הללו יש אזור תורפה‪ ,‬וזו דורשת אבטחה שונה‪.‬‬
‫בתחנות הקצה האבטחה היא על‪-‬ידי חסימה או‬
‫הצפנה‪ ,‬או טיפול מחמיר באכיפת מדיניות ואכיפה‪.‬‬
‫ברשת האבטחה היא בסינון התעבורה‪ ,‬מה מותר‬
‫ומה אסור להוציא חוצה‪ ,‬מה מותר להכניס לארגון‬
‫ועוד‪.‬ברמת היישומים ההגנה היא ברמת מניעת‬
‫מתקפות אפליקטיביות‪ .‬אולם אין ספק‪ ,‬שבעידן‬
‫החדש‪ ,‬שבו עולם מחשוב הענן והמובייל (‪)BYOD‬‬
‫מתפתחים‪ ,‬ההתמקדות תהיה בהגנה על המידע‬
‫(נתונים) עצמם‪.‬‬
‫עולם האבטחה צריך ללמוד לשמור על הנתונים‬
‫הנמצאים בארגון ‪ -‬אם בתצורת מידע ואם בהיותם‬
‫נתונים‪ ,‬וכמובן לדאוג לכך שלא ייגעו בהם‪ ,‬או‬
‫חמור מכך ‪ -‬ישנו אותם‪.‬‬
‫הרי אם אתה הולך לבנק‪ ,‬מרגע שאתה מושך‬
‫כסף אצל הכספר‪ ,‬ובוודאי כאשר אתה יורד לחדר‬
‫הכספות ‪ -‬אתה מוקף במצלמות‪ .‬תהליך זהה אינו‬
‫קורה בעולם המידע והנתונים‪ .‬אין בקרה מספקת‪,‬‬
‫אין מצלמות על הדטה‪ .‬לא רואים מי השתמש‬
‫בנתונים ‪ -‬ובאיזה אופן‪ .‬איננו יודעים מספיק מי‬
‫חדר מבחוץ‪ ,‬ובוודאי שאין לנו מספיק נתונים על‬
‫דפוסי ההתנהגות של המשתמשים הפנימיים‪.‬‬
‫זה צריך לקרות בכל מקום בו יש נתונים ארגוניים‪,‬‬
‫ועל ספקיות האבטחה ללמוד כיצד מפקחים על‬
‫אמינות הנתונים‪ ,‬לאחר שחסמנו את הרשתות‬
‫הארגוניות מפני אותם איומים חיצוניים ופנימיים‪.‬‬
‫לא טיפלנו מספיק ב"אוצר הפנימי" של הארגונים‪.‬‬
‫מה לגבי התפרצות‬
‫האם ארגונים‬
‫מודעים למשמעות מגמת הניידות‬
‫האמיתית של ההגנה (‪?)BYOD‬‬
‫על המידע?‬
‫כמעט שלא‪ .‬השאלה צריכה להישאל לא בהיבט‬
‫אבטחת המידע‪ ,‬אלא ברמה העסקית ‪ -‬שכל‬
‫משתמש יקבל תשובה לשאלה‪" :‬מי נגע בנתונים שלי‬
‫ב‪ 30-‬הימים האחרונים‪ ,‬האם משהו השתנה בנתונים‬
‫אלו ולהיכן שונע המידע הרגיש שלי?‬
‫עדיין אין טכנולוגיה שתענה על השאלות החשובות‬
‫הללו‪.‬‬
‫המגזר הפיננסי רגיש דיו לנושא‪ ,‬בעיקר בגלל‬
‫הרגולציות החמורות שכופות עליו‪ .‬מעבר לכך ‪-‬‬
‫שאר המגזרים אינם יכולים לספק תשובה לשאלה‪.‬‬
‫רק לאחרונה אנחנו מבחינים בניצנים של מועדות‬
‫בעולם הבריאות לתחום‪ .‬קופות החולים ובתי החולים‬
‫התחילו לקלוט את מה שהם סירבו להפנים במשך‬
‫שנים ‪ -‬שהחולים הם הבעלים של המידע אודותיהם‪,‬‬
‫ולא המוסדות המארכבים את התיקים‪.‬‬
‫הבעיה יכולה להיות במגוון דרכים ‪ -‬עובדים לא‬
‫מסווגים שמטפלים במידע מסווג אישית‪ ,‬דליפת מידע‬
‫רפואי חסוי ועוד‪ .‬המוסדות הרפואיים צריכים לעשות‬
‫את מה שבעבר עשו הבנקים עבור לקוחות ה‪VIP-‬‬
‫העשירים שלהם‪ :‬טיפול במידע על אודותיהם כאילו‬
‫היה אתרוג‪ .‬זה‪ ,‬לצערי עדיין לא קורה ברוב המגזרים‪.‬‬
‫הם רק מחריפים את הבעיה של שמירה על המידע‪.‬‬
‫כל עובד רוצה להראות שהוא יעיל יותר‪ ,‬עובד‬
‫מהבית בסופי שבוע ובערבים‪ ,‬ולשם כך מוציא מידע‬
‫ארגוני‪ ,‬מסווג בחלקו‪ ,‬ומוריד אותו למחשב הנייד או‬
‫הטאבלט שלו‪ .‬מנגד‪ ,‬לא מבוצעים מספיק תהליכי‬
‫אכיפה של מדיניות אבטחת המידע הארגונית‪ ,‬וזה‬
‫קורה סדרך כלל ללא בקרה‪.‬‬
‫והתוצאה יכולה להיות הרסנית‪ ,‬כמו שאירעו‬
‫מקרים בארץ ובעולם‪ ,‬למשל איש מנהלה‬
‫בשלישות של המארינס איבד מחשב נייד ובו קובץ‬
‫עם פרטים על עשרות אלפי מילואימניקים‪ ,‬או‬
‫בארץ מקרה שבו קצינת מבחן במשרד ממשלתי‬
‫השאירה מחשב נייד באוטו‪ ,‬וזה נגנב‪ ,‬יחד עם‬
‫המידע הרגיש שהיה עליו‪.‬‬
‫אבל מעבר לפתרונות למניעת זליגת מידע‬
‫שקיימים‪ ,‬יש לערוך רביזיה ברמה הארגונית‪.‬‬
‫ארגונים צריכים להסתכל על השולחן‪ ,‬על‬
‫החומר שנשלח‪ ,‬ולעשות הצפנה על מה שנמצא‬
‫על המחשב הנייד‪ .‬אסור להיות מצב שבו מידע‬
‫ינוע מבסיס הנתונים לעבר המשתמשים מבלי‬
‫שמשיהו במערך אבטחת המידע הארגוני יידע‬
‫על כך‪ .‬אני מעריך כי ‪ 2014‬תהיה השנה שבה‬
‫ארגונים יכירו בכך שמדובר בפוטנציאל חמור‬
‫לדליפת מידע‪ ,‬ויתחילן לקחת אחריות על הנושא‬
‫ובשל כך‪ ,‬יטמיעו פתרונות לתחום‪ ,‬כולל קביעת‬
‫מדיניות ונהלי אבטחה ואכיפתם כראוי‪.‬‬
‫השירותים המאובטחים צריכים להיות גם‬
‫בעולם הנייד ‪ -‬הסלולר הפך להיות פלטפורמה‬
‫מחשובית לכל דבר‪ .‬זו חלק מהתפיסה שעולם‬
‫אבטחת המידע צריך לעבור‪ :‬מהתפיסה הנוקשה‬
‫המאפיינת אותו כיום לתפיסה גמישה יותר ‪ -‬של‬
‫אבטחת היישומים‪.‬‬
‫מה לגבי‬
‫גניבת זהויות?‬
‫האיום הגדול שעמד וימשיך לעמוד מול השימוש‬
‫הנרחב ברשת הוא גניבת זהויות‪ .‬הבעיה בה"א‬
‫הידיעה של האינטרנט היא המשתמשים‪ .‬כיום‬
‫יש מאות מיליוני משתמשים ברשת‪ .‬לכל חברה‬
‫יש מאות ואלפי משתמשים‪ .‬בכל חברה יש‬
‫מאות יישומים‪ .‬הבעיה‪ ,‬כפי שאני רואה אותה‪,‬‬
‫והיא זו שתהיה במוקד הפתרונות שספקיות‬
‫אבטחת המידע תספקנה לתעשייה בשנתיים‬
‫הקרובות היא המשתמשים ‪ -‬ניהול הזהויות‪ ,‬ניהול‬
‫המשתמשים‪ ,‬הרשאות‪ ,‬הרחבת וניטור ובקרה על‬
‫ההרשאות‪ .‬ובקיצור ‪ -‬כיצד לדעת שהאדם הנכון‬
‫נמצא ביישום הנכון ומשתמש במידע המותר לו‪,‬‬
‫ורק במידע זה ולא מעבר לכך‪.‬‬
‫למרות שהתחומים של ניהול הזהויות ונושא‬
‫ההרשאות אינם חדשים‪ ,‬למה הם הפכו להיות‬
‫פתאום אקוטיים?‬
‫מכיוון שכמות הזהויות גדלה מצד אחד‪ ,‬והנפיצות‬
‫של השימוש ברשת גדלה מצד שני‪.‬‬
‫למשל‪ ,‬אם ניקח לדוגמא משתמש בארגון גלובלי‪,‬‬
‫קודם הוא סמנכ"ל שיווק בסניף הישראלי‪ ,‬לאחר‬
‫מכן מקודם להיות עוזרו של מנכ"ל הסניף‬
‫הישראלי בחברה‪ ,‬לאחר מכן הוא הופך להיות‬
‫סמנכ"ל טכנולוגיות המידע‪ ,‬ולאחר מכן הוא הופך‬
‫להיות ‪ CTO‬בחברה הגלובלית‪ .‬המדובר בארבע‬
‫תפקידים שונים‪ ,‬שבגינם הוא נכנס למערכות‬
‫שונות‪ ,‬על מנת שיוכל לתפקד כיאות בחברה‪.‬‬
‫אף אחד לא בודק את "מחזור חיי המשתמש"‬
‫בעבודתו מול היישומים ‪ -‬בפנים החברה וכלפי‬
‫חוץ‪ .‬זה מה שעלול להרוס את השימוש בנרחב‬
‫ברשת ‪ -‬העובדה שהאנונימיות הופכת להיות‬
‫לאבן נגף בשימוש הארגוני‪.‬‬
‫אני רואה את הסיכונים הללו כאיומי אבטחה‬
‫משמעותיים מאוד‪ ,‬הן ברמה הארגונית‪ ,‬הם כגן‬
‫עדן לגנבי זהויות והן ברמה של השימוש הפרטי‪.‬‬
‫מה שדרוש הוא ניהול זהויות קפדני של כל‬
‫האנשים שעימם אני נמצא בקשר ברשת‪ .‬עם‬
‫כל הכבוד למימד השמירה על הפרטיות‪ ,‬הרי‬
‫ההגנה על המידע והגנה מפני גנבים ומפני‬
‫הונאות ורמאויות ‪ -‬חשובה יותר‪ .‬המימד העסקי‬
‫בפעילות המקוונת גדל ללא הרף‪ ,‬ולכן נדרש‬
‫אימות של נתונים שעוברים‪ ,‬כמו גם אימות של‬
‫האנשים שמסרו את הנתונים הללו‪ .‬אחרת‪ ,‬איזה‬
‫משמעות יש לקבלת החלטות של מנהלים‪ ,‬אם‬
‫היא מבוססת על נתונים כוזבים?‪.‬‬
‫אז מה הפתרון‬
‫לבעיה?‬
‫לטפל ביישומים ובשירותים המסופקים ‪ -‬ולא‬
‫‪20‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫במשתמשים‪ .‬קח לדוגמא‪ ,‬את ענף השכרות‬
‫כלי הרכב‪.‬לכל חברת השכרה יש שירותים‬
‫ועסקאות שונות ומגוונות‪ ,‬שאותם היא מספקת‬
‫לסוכני הנסיעות‪ .‬אתה‪ ,‬בבואך לניו‪-‬יורק ‪ -‬לא יוצר‬
‫קשר ישיר עם סוכנות השכרת הרכב‪ ,‬אלא עם‬
‫סוכן הנסיעות‪ .‬זה מתחייב לתת לך את העסקה‬
‫הטובה ביותר‪ .‬נוצר מצב של סיבוכיות בשימוש‬
‫ביישומים‪ ,‬ובתוכה ‪ -‬מובנית בעיית אבטחת‬
‫המידע ובכלל בעיית אימות הזהויות בפרט‪ .‬על‬
‫מנהלי ה‪ IT-‬בסוכנות להשכרת רכב ליצור תשתית‬
‫חזקה מספיק מבחינת היישומים המאובטחים‪,‬‬
‫כך שלא ייווצרו מצבים של התחזויות‪ ,‬הונאות‪,‬‬
‫גניבת זהויות‪ ,‬פישינג ו"הנדסה אנושית"‪ .‬כבר לא‬
‫מדובר בתחזוקת אתרים קלאסית‪ ,‬כבעבר‪ ,‬אלא‬
‫במיליארדי יישומים‪ ,‬שחלק ניכר מהם יכול להיות‬
‫גנוב‪ .‬נדרש לקשר בין היישומים‪ ,‬לוודא שהיישומים‬
‫אמינים ומאובטחים‪ ,‬ונדרש שהקישוריות הזאת‬
‫תהיה מאובטח‪.‬‬
‫ובטיפול במידע עצמו‪.‬‬
‫מה לגבי הטיפול‬
‫במידע?‬
‫ישנם מוסדות ממשלתיים רבים בארה"ב‪,‬‬
‫שמפירים את הפרטיות בכך שהם אוספים‬
‫מידע‪ ,‬עם מטרה נכונה לכשעצמה‪ ,‬אבל קיים‬
‫חשש שבשל שיתוף פעולה ביניהם והגדלים של‬
‫בסיסי הנתונים ‪ -‬תיווצרנה בעיות של אבטחת‬
‫מידע‪ ,‬מעבר להפרת זכויות האזרח והפרטיות‪.‬‬
‫היו כבר ניסיונות בשנים קודמות לקדם חוקים‬
‫בנושא‪ ,‬והם כשלו‪ ,‬אני מעריך כי העולם של‬
‫החוקים והסטנדרטיזציה ילך ויתפתח מה שיחייב‬
‫ארגונים רבים להקדיש יותר תשומת לב לנתונים‬
‫ולמשמעות של היותם אגורים בארגונים‪.‬‬
‫ברמה הטכנולוגית‪ ,‬אני מעריך כי הפתרון יהיה‬
‫בחלוקתו הווירטואלית של המידע‪ .‬המדובר‬
‫בטכניקה של "ערפול" מידע‪" ,‬הלבנת" חומר מסווג‬
‫ אישי‪ ,‬ביטחוני‪ ,‬או עסקי‪.‬‬‫למשל‪ ,‬מוסד רפואי אוסף נתונים על נשאי איידס‪.‬‬
‫התיק הרפואי "יחולק" לשניים ‪ -‬באחד פרטיו‬
‫הרפואיים של הנשא‪ ,‬ובשני ‪ -‬פרטי האישיים‬
‫(לזיהוי)‪ .‬כך‪ ,‬ניתן יהיה לעשות חיבורים לצורכי‬
‫בינה עסקית ‪ -‬חלוקה בין נתונים כספיים של‬
‫חשבון שתהיה מסווגת בלמ"ס‪ ,‬ובעל החשבון ‪-‬‬
‫שפרטיו יהיו סודיים‪ .‬כך‪ ,‬ניתן יהיה לפעול בצורות‬
‫שונות‪ ,‬מבלי לפגוע בפרטיות המטופלים‪.‬‬
‫ומה צפוי לנו בעתיד?‬
‫כמו תחומים רבים בעולם ה‪ ,IT-‬גם האבטחה‬
‫תנוע מכיוון המוצרים לכיוון אספקת שירותים‪.‬‬
‫המשמעות ‪ -‬תהיה ארכיטקטורה מוכוונת‬
‫שירותים לאבטחת מידע ‪)SSOA (Security SOA -‬‬
‫ בעוד כשנתיים‪-‬שלוש מהיום‪ .‬זה יבלוט במיוחד‬‫בארגונים שירכשו‪ ,‬או ימזגו‪ ,‬עם ארגונים אחרים‪.‬‬
‫בעת המיזוג בין שני מערכי ה‪ IT-‬הארגוניים הללו‪,‬‬
‫מערת ה‪ IT-‬של הארגון שנקנה יצטרך להיכנס‬
‫למערך ה‪ IT-‬של החברה הרוכשת‪ ,‬כשהוא כבר‬
‫מאובטח‪ .‬זה מסובך מאוד‪ .‬איך תפתור זאת?‬
‫ע"י יצירת "חוט שדרה" מאובטח‪ ,‬שלתוכו ייכנסו‬
‫היישומים והמוצרים‪ .‬חוט שדרה זה יכיל היבטי‬
‫ניהול זהויות‪ ,‬סטנדרטיזציה בגישה למידע‪ ,‬כולל‬
‫הרשאות‪ ,‬וגישה לתהליכי עבודה‪ ,‬כך שניתן יהיה‬
‫לאשר את כל המשתמשים החדשים בקלות‪.‬‬
‫את אותו טריק ניתן לעשות‪ ,‬כמובן‪ ,‬בסוגי מידע‬
‫אחרים‪ .‬מובן שגם פה ‪ -‬ניהול הזהויות הוא מרכיב‬
‫קריטי בפתרון‪.‬‬
‫אני מוטרד למדי מרמת האבטחה של הנתונים‬
‫הפרטיים שלנו‪ ,‬אלו שקיימים במוסדות השונים ‪-‬‬
‫הפיננסיים והרפואיים ‪ -‬ובמוסדות הממשלתיים‪,‬‬
‫אך יש לי יסוד סביר להניח כי בתוך כמה שנים‬
‫המצב ישתנה והפעולות שאותן נבצע ברשת‬
‫תהיינה מאובטחות יותר‪.‬‬
‫הפתרון‪ ,‬אם כן‪ ,‬הוא‪ ,‬להערכתי‪ ,‬שתוך שנים‬
‫ספורות יהיו כלי ניהול אבטחה מבוססי סטנדרטים‪,‬‬
‫שיהיו חשופים לווב‪ ,‬והם יטפלו בכל הבעיות‬
‫שפירטתי בעזרת ממשקים‪ .‬יתקבל חוט שדרה‬
‫של אבטחת מידע ‪ -‬ארגוני ובין‪-‬ארגוני‪ ,‬אשר לפיו‬
‫כולם פועלים על בסיס סטנדרטים‪ ,‬ומעבירים‬
‫ביניהם פרטי אבטחת מידע‪ .‬חוט השדרה הזה‬
‫יתפקד כמעין "תווך אבטחה"‪ .‬האבטחה תמומש‬
‫בכל אחת מהשכבות ‪ -‬בתשתיות‪ ,‬ביישומים‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪21‬‬
‫הערכת‬
‫סיכונים‬
‫מיפוי ותיעוד תהליכים‬
‫במרבית תקני אבטחת המידע העולמיים‪ ,‬כגון ‪( ISO 27001‬וכמובן‬
‫ההרחבות שלו ‪ ,27011 ,27799‬וכו')‪ ,‬נדרש לבצע מיפוי ותיעוד‬
‫של כלל התהליכים העסקיים\תפעוליים בארגון‪ ,‬כחלק מהערכה‬
‫וניהול הסיכונים של הארגון‪.‬‬
‫אם ניקח רגע לדוגמא ארגון גדול‪ ,‬ארגון שכזה‬
‫מתאפיין באוסף גדול של כלי בקרה טכנולוגיים‬
‫תשתיתיים‪ ,‬תוכנות אבטחת מידע מסוגים שונים‬
‫ועובדים בעלי הכשרה טכנולוגית מתאימה‬
‫שלכל אחד מהם מטען של ידע מקצועי וניסיון‬
‫אישי רלוונטי‪ ,‬המבצעים משימות שונות תוך‬
‫יישום כלי תוכנה מתאימים‪ .‬חלק מהעובדים‬
‫הללו הם עובדי הארגון‪ ,‬וחלקם שייכים לחברות‬
‫מיקור חוץ (‪.)Outsourcing‬‬
‫הארגון שואף כמובן לשמר את הידע המקצועי‬
‫בתחומו ומודע לכל שעובדי חברות חיצוניות‬
‫עלולים להיות ניידים יותר ובעלי מחויבות יתר‬
‫לחברות האם שלהם‪.‬‬
‫כל עובד העוזב את יחידת אבטחת המידע‬
‫או ה‪ IT-‬עלול להותיר חלל ריק ולקחת עימו‬
‫ידע מקצועי ומידע שצבר בהקשר לפעילויות‬
‫ולתהליכי עבודה שונים מבלי שהונחל לעובדים‬
‫אחרים‪ .‬כדי למלא חלל ריק זה יצטרכו עובדי‬
‫היחידה שימלאו את מקומו‪ ,‬או עובד חדש שהגיע‬
‫לא מכבר‪ ,‬להזיע לא מעט‪ ,‬לשחזר תהליכים‬
‫ושיטות עבודה ולהגיע בסופו של דבר לרמת‬
‫התפעול הנדרשת‪.‬‬
‫שימור ידע‪,‬‬
‫סדר ויעילות‬
‫אינטואיטיבית‪ ,‬זה המניע הראשוני לתיעוד‬
‫תהליכים תפעוליים ביחידת אבטחת המידע‬
‫ובכל יחידה ארגונית אחרת‪ .‬הסיבה העיקרית‬
‫לתיעוד‪ ,‬היא בכדי לעשות סדר בארגון‪ ,‬לקצר‬
‫ולייעל תהליכי עבודה‪ ,‬וכמובן לשמר את הידע‬
‫שנצבר בארגון גם אם מקור הידע יעזוב את‬
‫הארגון‪.‬‬
‫אבל היריעה רחבה הרבה יותר‪ .‬לתיעוד חשיבות‬
‫רבה והשלכות כבדות על תפקוד עובדי היחידה‬
‫והנהלתה‪ .‬תיעוד נכון‪ ,‬פירושו סדר‪ ,‬סדר פירושו‬
‫שיטתיות בביצוע‪ ,‬כך שפרטים אינם הולכים‬
‫‪22‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫לאיבוד וניתן לבצע בקרת תהליכים נאותה‪.‬‬
‫ומכאן קצרה הדרך לבניית מתודולוגיה שאחד‬
‫מיתרונותיה הבולטים בכך שהיא מאפשרת‬
‫עבודה מובנית‪ ,‬שיטתית וניתנת לבקרה הולמת‪.‬‬
‫עובדים רבים ביחידות אבטחת המידע מבצעים‬
‫לא רק את משימותיהם האנכיות‪ ,‬אלא משימות‬
‫רוחביות רחבות חוצות תהליכים‪ ,‬החייבות להיות‬
‫ברורות ומוגדרות לחלוטין‪ ,‬כדי להתבצע ברמה‬
‫הטכנולוגית הראויה‪.‬‬
‫משימות אלה כל עוד לא יתועדו‪ ,‬לא יבוצעו לכל‬
‫הרוחב הדרוש ולא יהיו ברורות לכלל העובדים‬
‫האמורים לבצען או להתממשק אליהן‪.‬‬
‫ולבסוף‪ ,‬תיעוד מאפשר ביצוע נכון ונאות של‬
‫תהליכי עבודה מסוימים‪ .‬אי ביצוע נכון עלול‬
‫להיות בעל השלכות קריטיות על הפעילות‬
‫התפעולית והעסקית של הארגון‪ .‬על מנת‬
‫להימנע מ"כאוס" תפעולי‪ ,‬רצוי לוודא שקיים‬
‫תיעוד נאות לכל דבר‪.‬‬
‫תיעוד הוא הפתרון לחוסר עקביות בביצוע‪ ,‬ריכוז‬
‫ידע חיוני בידי מתי מעט‪ ,‬חוסר יכולת לבקר‬
‫פעילויות של אחרים‪ ,‬חוסר יכולת לשלוט ולנהל‬
‫ולעתים גם חוסר יכולת לתכנן כראוי‪.‬‬
‫האתגר‬
‫לאנשי יחידת ה‪ IT-‬בארגון מגוון רב של מטלות‪.‬‬
‫מהן שגרתיות יומיומיות‪ ,‬מהן מטלות מתוכננות‪,‬‬
‫ויש גם פרויקטים שונים‪ ,‬מהם פנימיים ומהם‬
‫חיצוניים‪ ,‬בחלקם כאלה היזומים ע"י עובדי‬
‫הארגון ודורשים שילוב בקרות אבטחת מידע‬
‫ביישומים ובתהליכים‪.‬‬
‫ויש גם מטלות בלתי צפויות הנובעות מאירועים‬
‫והתרחשויות הנוגעים בנושאי אבטחת המידע‬
‫והדורשות טיפול מהיר ויעיל‪.‬‬
‫העובדים העוסקים במגוון מטלות אבטחת‬
‫המידע‪ ,‬הם בעלי רקע טכני עשיר במחשוב‬
‫ובעלי יכולת ומיומנויות ליישם טכנולוגיות מחשוב‬
‫ממוקדות אבטחת מידע‪ .‬יישום טכנולוגיות כגון‬
‫אלה‪ ,‬מתבסס בדרך כלל על כלי תוכנה מתאימים‬
‫ועל חומרה ייעודית ודורש מומחיות לא מבוטלת‪.‬‬
‫על פי רב‪ ,‬בלהט העיסוק במטלותיהם‬
‫ובמשימותיהם השונות‪ ,‬אין העובדים מתעכבים‬
‫ומנסים להשליט סדר כלשהו בתהליכי עבודתם‪.‬‬
‫הזמן קצר‪ ,‬המלאכה מרובה והפועלים אומנם‬
‫חרוצים‪ ,‬אך הס מלהזכיר את המילה תיעוד (רובנו‬
‫לא כל כך נוטים לעשות זאת)‪.‬‬
‫בדרך כלל‪ ,‬כולם עושים את העבודה אך אי‬
‫מהעושים את המלאכה אינו אוהב לתעד‪ .‬כשם‬
‫שאיש אינו אוהב לכתוב וליישם נהלי אבטחת‬
‫מידע‪ ,‬ולפי כך קשה לדרוש מעובד יחידת ה‪IT-‬‬
‫לתעד את תהליכי עבודתו ולהשאיר משהו מסודר‬
‫גם ל"דורות הבאים"‪ .‬תמיד יהיה משהו דחוף יותר‬
‫לעשות‪ ,‬ואם לא‪ ,‬יצוצו פתאום משימות דחופות‬
‫והתיעוד יידחה ויידחה‪.‬‬
‫כיצד עושים‬
‫זאת נכון?‬
‫תיעוד המשימות והתהליכים ביחידת ה‪ IT-‬בארגון‬
‫ראוי שיבוצע בידי גורם חיצוני בעל ניסיון ומיומנות‬
‫בתחום זה‪ ,‬המסוגל לצלול לעומק תהליכי‬
‫העבודה המבוצעים ביחידה תוך הכרות עם‬
‫המערכות הטכנולוגיות הקשורות בתהליכים אלה‪.‬‬
‫התיעוד אמור להתבצע בשני שלבים‪:‬‬
‫השלב הראשון הוא שלב המיפוי‪ .‬בשלב זה יש‬
‫למפות את כל המשימות ותהליכי העבודה‪ ,‬כך‬
‫שכל תהליך יירשם ויפורט ברמה המגדירה‬
‫"מה יש לעשות"‪ .‬שלב זה יש לבצע בהיבט‬
‫של תהליכי עבודה המבוצעים ע"י כל עובד או‬
‫ע"י מספר עובדים במשותף ובהיבט של כלים‬
‫טכנולוגיים המשמשים לניטור ויישום אבטחת‬
‫המידע המופעלים ומתוחזקים ע"י עובדי היחידה‬
‫הרלוונטית‪.‬‬
‫כיצד התיעוד‬
‫מסייע לניהול תקין‬
‫במסגרת זו יש לקשור כל עובד מצד אחד‬
‫לתהליכי העבודה המבוצעים על ידו ומצד שני‬
‫לכלים הטכנולוגיים בהם הוא משתמש ותומך‪.‬‬
‫גם הנהלת היחידה (‪ )IT‬מתקשה לעתים לשלוט‬
‫בתהליכי העבודה ולווסת אותם‪ ,‬היות ולעתים לא‬
‫ברור גם לעומד בראש היחידה (המנמ"ר)‪ ,‬מה‬
‫עושה כל עובד לפרטי פרטים‪ .‬פשוט אין לו זמן‬
‫ואפשרות לרדת לפרטיהם של כל משימה‪ ,‬מטלה‬
‫ותהליך‪ .‬זו גם הסיבה שלעתים גם אינו מנהל‬
‫מעקב ובקרה מסודרים אחר משימות שהוטלו‬
‫על ידו על אחד העובדים הכפופים לו‪ ,‬כיוון שזמנו‬
‫אינו פנוי לרדת לפרטים ואולי גם אינו מכיר את‬
‫המשימה לפרטי פרטיה וזקוק להשלמת מידע וגם‬
‫לזה אין לו זמן פנוי‪.‬‬
‫כך נקבל כיסוי מלא לכלל המשימות המבוצעות‬
‫ביחידת אבטחת המידע תוך התייחסות מלאה‬
‫לצד התהליכי והצד הטכנולוגי‪.‬‬
‫מכאן מתבקשת המסקנה כי תיעוד עשוי להוביל‬
‫לעתים גם לשיפור מעקב ובקרה אחר משימות‪.‬‬
‫ובקרה היא בעצם משוב חיובי לפעילות‪ ,‬המוביל‬
‫בסופו של דבר לטיוב תהליכי עבודה‪.‬‬
‫נודעת גם תופעת הריכוזיות‪ ,‬לפיה מנהל היחידה‬
‫הוא גם המנהל וגם המצבע ואיש אינו מכיר את‬
‫התהליכים בהם הוא מטפל‪ .‬מנהל כזה‪ ,‬אם יעזוב‬
‫יום אחד את יחידת ה‪ ,IT-‬יותיר אחריו חלל ריק‬
‫קשה למילוי‪.‬‬
‫אכן‪ ,‬יש תהליכי חפיפה‪ ,‬אך מי כמונו יודע שבמקום‬
‫עבודה דינמי בו משימה רודפת משימה והכל‬
‫דחוף‪ ,‬קשה לקיים חפיפה מסודרת ובפרט ברמה‬
‫הניהולית הבכירה‪.‬‬
‫מצב זה יימנע אם יטרח לתעד מפי המנהל העוזב‬
‫את תהליכי העבודה הניהוליים והתפעוליים‬
‫המבוצעים על ידו ברמה שתובן לכל ותהווה בסיס‬
‫ליצירת מתודה מובנית לכל הפעילויות המבוצעות‪,‬‬
‫כך שמחליפו בתפקיד יוכל לבצע מטלות אלה‬
‫באיכות וביעילות הראויות‪.‬‬
‫תוצר שלב זה הוא מסמך המספק לקורא מידע‬
‫על מכלול המשימות ביחידת אבטחת המידע‬
‫ותוכנן‪ ,‬מבלי להיכנס לפרוט יתר תהליכי וטכנולוגי‪.‬‬
‫השלב השני הוא שלב ההגדרה המפורטת (‪Drill‬‬
‫‪ .)Down‬שלב זה בא לענות אל שאלת ה"איך‬
‫לעשות"‪.‬‬
‫במסגרת זו מבוצע ניתוח ופירוט מקסימאלי‬
‫של כל משימה שהופיעה בשלב הקודם‪ ,‬כאשר‬
‫המטרה הסופית היא ליצור מתודה לביצוע של כל‬
‫משימה הנכללת במפת המשימות‪ ,‬כפי שתועדו‬
‫בשלב הראשון‪.‬‬
‫תוצר שלב זה הם תרשימי תהליך מובנים‬
‫המכילים תרשימי זרימה מפורטים‪ ,‬המגובים‬
‫בנהלים מתאימים בהתאם לצורך‪.‬‬
‫תוצרים אלה יכללו בין היתר הגדרה מפורטת של‬
‫סטנדרטים ותהליכים שונים‪ ,‬הגדרה של תהליכי‬
‫התמודדות עם אירועי חירום‪ ,‬עד רמת נוהל‬
‫והגדרה מפורטת של תהליכי ניטור ובקרה‪.‬‬
‫לעתים קרובות‪ ,‬יוביל שלב זה לשלב שלישי‬
‫שמהותו כתיבת מתודולוגיה לטיפול במכלול‬
‫התהליכים שנותחו ופורטו בשלב השני‪.‬‬
‫כך מושגת בסופו של דבר המטרה בבסיס תהליך‬
‫תיעוד התהליכים התפעוליים ביחידות השונות‬
‫בארגון‪ .‬כפי שצויין לעיל‪ ,‬יאפשר התיעוד שימור‬
‫הידע המקצועי‪ ,‬טיוב תהליכים‪ ,‬שיפור בתפקוד‬
‫היחידה רלוונטי‪ ,‬וכו'‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪23‬‬
‫קבוצת טייטנס סקיוריטי פיתחה את‬
‫המסלול המוביל בעולם‬
‫כהכנה לבחינת ההסמכה של ‪CISSP‬‬
‫‪CISSP‬‬
‫ •קורס ‪CISSP‬‬
‫מדוע פרויקטי ‪IT‬‬
‫‪r‬‬
‫ואבטחת מידע נכשלים?‬
‫לעתים‪ ,‬ארגונים אינם מתייחסים לפרויקטים ‪ IT‬ואבטחת מידע‪ ,‬כאל פרויקט שצריך לנהל אותו כהלכה‪,‬‬
‫כמו כל פרויקט פיתוח אחר‪ .‬וזו הסיבה לכך‪ ,‬שלא מעט פרויקטים נכשלים‪ ,‬ורחוקים מלהשיג את המטרה‪.‬‬
‫אחת מהסיבות המרכזיות לכשל בניהול פרויקטי‬
‫‪ IT‬ואבטחת מידע נובע מניהול פרויקט לקוי‪.‬‬
‫ניהול פרויקטי ‪ IT‬ואבטחת מידע הינו תפקיד‬
‫הדורש שילוב ייחודי של מיומנויות מקצועיות‬
‫יחד עם מיומנויות אישיות ושימוש במתודולוגיות‬
‫ושיטות עבודה נכונות‪ .‬במחקרים שנערכו לאורך‬
‫השנים מתגלה תמונה עצובה‪ ,‬לפיה הפרויקטים‬
‫לא עומדים בזמנם\בתקציב\בתכולה בגלל‬
‫ניהול פרויקטים לקוי ‪ -‬החל מבחינת המנהל‬
‫המתאים ברמת האישיות‪ ,‬הידע והניסיון ודרך‬
‫ניהול פרויקטים שאיננו מבוסס על שיטות עבודה‬
‫נכונות והקצאת זמנים ותעדוף נכון של משימות‬
‫מנהל הפרויקט‪.‬‬
‫קיימות שש סיבות עיקריות ברמת מנהלי‬
‫הפרויקטים שגורמות לכשלים בעמידה ביעדי‬
‫הפרויקט‪:‬‬
‫‪ .1‬בחירת המנהלים‬
‫על בסיס כישורים‬
‫טכנולוגיים‬
‫הארגונים בוחרים לקדם לעמדות הניהול את‬
‫האנשים שהצטיינו ברמה הטכנולוגית‪ .‬פעמים‬
‫רבות מוקדם הטכנולוג דבר שיוצר מצב של מינוי‬
‫האדם הנכון בתפקיד הלא נכון‪.‬‬
‫‪24‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫‪ .2‬מבצעים ולא מנהלים‬
‫מנהלי פרויקטים רבים מתמקדים בעשייה ובביצוע‬
‫הפרויקט ולא במשימות הניהול‪ .‬קיים דגש גדול‬
‫מדי על כיבוי שריפות וטיפול דחוף על חשבון בניית‬
‫תהליכי עבודה‪ ,‬תשתיות עבודה וטיפול בנושאים‬
‫החשובים‪ .‬יש חשיבות רבה להשקעה בנושאים‬
‫כמו ניהול הלקוח‪ ,‬ניהול התכולה וניהול העובדים‬
‫וניהול הסיכונים‪.‬‬
‫‪ .3‬אין הקצאת זמן‬
‫פעמים רבות לא מקצים מספיק משאבי ניהול‬
‫וכל תהליך התכנון וההקצאה של הזמן בתחום‬
‫לוקה בחסר‪ .‬יש להגדיר בתחילת העבודה את‬
‫חבילות העבודה של ניהול הפרויקט (ולא רק את‬
‫חבילות העבודה של הפרויקט עצמו) ולהקצות זמן‬
‫ומשאבים שמתאימים לעמוד באותם משימות‪.‬‬
‫הקצאת זמנים לקויה לתהליכי התכנון‪ ,‬הניהול‬
‫והבקרה גורמת לעומס ניהולי במהלך הפרויקט‬
‫שלא מאפשר למנהל הפרויקט לנהל את‬
‫הפרויקט כהלכה‪.‬‬
‫‪ .4‬בעיית מודעות ויכולת‬
‫לעיתים הבעיה בניהול הפרויקט מתחילה בחוסר‬
‫המודעות לגבי מה צריך לעשות מנהל הפרויקט‬
‫ולחוסר היכולת של מנהל הפרויקט קודם כל לנהל‬
‫את הפרויקט (הרבה פעמים זה נובע מהסיבה של‬
‫בחירת המנהל הלא מתאים‪ ,‬כפי שציינו בסעיף ‪.)1‬‬
‫‪ .5‬בעיית הכשרה‬
‫רבים ממנהלי הפרויקטים מנהלים את הפרויקט‬
‫על סמך תורה שבעל פה‪ ,‬שיטות עבודה שהם‬
‫המציאו (והם ממציאים כל פעם את הגלגל מחדש‪,‬‬
‫רק שלעיתים הגלגל שהומצא מרובע וכלל לא‬
‫מתגלגל‪ )...‬וחוסר ידע בתחום המתודולוגי של‬
‫ניהול הפרויקט‪ .‬חשוב שכל מנהל פרויקט בארגון‬
‫יהיה בעל הסמכה שמעידה על רכישת הידע‬
‫והבנת המתודולוגיות והתפיסות הנכונות לניהול‬
‫הפרויקט‪ .‬כך‪ ,‬למשל בתחום ניהול הפרויקט יש‬
‫את הסמכת ה‪ - PMI-‬הסמכה מצוינת ומוכרת בכל‬
‫העולם שלצערנו הרב לא מהווה תנאי סף בכניסה‬
‫לתפקידי ניהול פרויקטים בארגונים בישראל‪.‬‬
‫‪ .6‬בעיית תרבות‬
‫וחוסר בנהלים לניהול‬
‫ברוב הארגונים אין תורה כתובה של צורת ניהול‬
‫הפרויקט וגם אם יש תורה כזאת ‪ -‬הרבה פעמים‬
‫מדובר בנוהל שיושב על המדף ולא מיושם בפועל‪.‬‬
‫על מנת שהפרויקטים יצליחו‪ ,‬יש לבנות סביבה‬
‫תומכת ותרבות ארגונית שתומכת בניהול פרויקט‬
‫מתודולוגי ששם דגש על ניהול הפרויקט כתורה‬
‫וכמקצוע לכל דבר‪.‬‬
‫‪a‬‬
‫‪n‬‬
‫‪i‬‬
‫‪m‬‬
‫‪e‬‬
‫‪S‬‬
‫‪Special Boot-Camp Preparation‬‬
‫זהו המסלול היחיד שכולל הכנה מלאה לבחינות ההסמכה‬
‫בפורמט החדש (‪100%‬הצלחה בשלושת הבחינות האחרונות)‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫למה כדאי ללמוד אצלנו?‬
‫• הצלחה בטוחה ‪ -‬למעלה‬
‫מ‪ 98%-‬הצלחה בבחינות הגמר‪.‬‬
‫• ‪ Networking‬עם מיטב‬
‫הבכירים במשק הישראלי‪.‬‬
‫• מיטב המרצים בתעשייה‬
‫הישראלית והבינלאומית‪.‬‬
‫• חברות שנתית באיגוד העולמי‬
‫לאבטחת מידע ‪ ISSA‬ובאיגוד‬
‫הישראלי‪.‬‬
‫• תרגול מעשי רב ומגוון בנושאים‬
‫• ערכות לימוד ייחודיות ובלעדיות‪.‬‬
‫העכשוויים‪.‬‬
‫והדבר הכי חשוב!!!‬
‫היות ואנו בטוחים בהצלחה שלנו‪ ,‬אנו מציעים לכלל‬
‫התלמידים הטבות נוספות‪:‬‬
‫לא עברת את הבחינה?‬
‫קבל קורס חוזר ב‪50%-‬‬
‫(ללא אותיות קטנות)‬
‫עברת את הבחינה?‬
‫קבל זיכוי של עלות הבחינה‪ ,‬לניצול בקורס הבא‬
‫במכללת ‪.Titans Security‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫למידע נוסף וקביעת פגישת ייעוץ‪:‬‬
‫ייעוץ אקדמי ‪Ts-academy@Titans2.com | 077-5150340 :‬‬
‫ת‬
‫ת‬
‫ו‬
‫מ‬
‫ד‬
‫א‬
‫י‬
‫ו‬
‫י‬
‫נ‬
‫ב‬
‫ט‬
‫ח‬
‫כמות העובדים המביאים מכשירי טלפון חכמים‬
‫לארגונים הולכת וגדלה‪ ,‬אולם בשל חששות‬
‫אבטחת מידע‪ ,‬ברוב המקרים מכשירים אלה‬
‫משמשים כחפצים‪ ,‬גאדגיטים‪ .‬יש לנהל את‬
‫היישומים בעולם הנייד באופן כולל‪ ,‬ובצורה‬
‫מאובטחת‪ .‬צריך לממש את התפיסה המאפשרת‬
‫הבאת מכשירים לעבודה תוך הבטחת הצורך‬
‫במנגנוני אבטחת מידע‪ ,‬לצד השמירה על רמת‬
‫הביצועים‪.‬‬
‫אבטחת המידע אינו הליך עסקי‪ ,‬אלא הליך‬
‫שתומך הדרישות העסקיות‪ ,‬ולכן זה לא מקומו‬
‫של מנהל אבטחת המידע בארגון לומר האם‬
‫מותר או אסור לעשות שימוש במכשירים ניידים‬
‫חכמים בארגון‪ .‬תפקידו‪ ,‬עפ"י הדרישה העסקית‬
‫של הארגון‪ ,‬היא לאפשר את מגמת ה‪,BYOD-‬‬
‫לפיה עובדים מביאים לעבודה את מכשירי הטלפון‬
‫הניידים שלהם‪ ,‬לקרות‪ ,‬תוך שיתוף מאובטח של‬
‫מכשירים אלה ביישומים הארגוניים השונים‪.‬‬
‫שימוש מוגבל‬
‫העולם הנייד נכנס לארגונים‪ ,‬אולם בצורה חלקית‬
‫ביותר‪ .‬ארגונים מאפשרים להחדיר חלקית‬
‫טאבלטים לארגון‪ ,‬אך במקרה הטוב מתקבלת‬
‫גישה לדואר אלקטרוני בלבד‪.‬‬
‫יש לתת מענה הולם למגמה ההולכת וגוברת של‬
‫הבאת יישומים לכל מכשיר‪ ,‬לכל משתמש ובכל‬
‫ערוץ תקשורת‪ .‬צריך לממש את התפיסה הזו‬
‫תוך הבטחת הצורך במנגנוני אבטחת מידע‪ ,‬לצד‬
‫השמירה על רמת הביצועים‪.‬‬
‫כיום‪ ,‬ארגונים עדיין חוששים מלהתמודד עם‬
‫מגמת ה‪ ,BYOD-‬ולכן השימוש במכשירים ניידים‬
‫עדיין מוגבל‪ .‬ארגונים נוטים לנעול או לחסום את‬
‫היישומים שלהם למכשירי הטלפון הניידים של‬
‫העובדים‪ .‬רוב הארגונים מעוניים לחבר את התקני‬
‫הקצה לתשתית‪ ,‬אך בפועל מאפשרים רק משלוח‬
‫וקבלת דואר אלקטרוני‪.‬‬
‫תועלת עסקית‬
‫"‬
‫‪26‬‬
‫מגמת ה‪( BYOD-‬הבאת מכשירי טלפון ניידים חכמים‬
‫מהבית לעבודה) הולכת וגוברת‪ ,‬אלא שהכנסת מכשירים‬
‫אלה למערכי ה‪ - IT-‬היא חסרת ערך ואף עשויה להזיק‪,‬‬
‫אם היא לא תלווה בניהול ובאבטחה מתאימה שלהם‪.‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫"‬
‫יש תועלות בהחדרת יישומים לטלפונים החכמים‪:‬‬
‫הגברת תפוקה‪ ,‬חדשנות‪ ,‬חסכון כלכלי‪ ,‬הגדלת‬
‫הזמינות‪ ,‬תחזוקה טובה יותר של תחנות הקצה‬
‫ועוד‪ .‬אך יחד עם זאת‪ ,‬עדיין נדרש פתרון אבטחה‬
‫הולם לתחום לפני שמאפשרים גישה גורפת לכלל‬
‫היישומים בארגון‪.‬‬
‫‪MDM vs MAM‬‬
‫על אף שבתחילה‪ ,‬ארגונים נטו לדבר בעיקר‬
‫על מדיניות ה‪( MDM-‬ר"ת של ‪Mobile Device‬‬
‫‪ )Management‬כדרך המיטבית להתמודד עם‬
‫תופעת השימוש במובייל על ידי העובדים‪ ,‬המגמה‬
‫בשטח נוטה יותר ויותר לכיוון מדיניות ה‪MAM-‬‬
‫(ר"ת של ‪)Mobile Application Management‬‬
‫המאפשרת ניהול יישומים ותוכן‪.‬‬
‫באמצעות מדיניות ה‪ ,MAM-‬ניתן להגן על נתונים‬
‫ארגוניים בהתקני ה‪ BYOD-‬על ידי יישום אבטחה‬
‫אפליקטיבית של כל היישומים הארגוניים‪ ,‬כגון‬
‫אינטרנט‪ ,‬דוא"ל‪ Windows ,‬ויישומי אינטרנט‬
‫נוספים‪ ,‬לספק אפליקציות ויישומי ‪HTML5‬‬
‫למכשירים הניידים‪ ,‬ולספק ‪SSO (Single Sign-‬‬
‫‪ )On‬ליישומי ‪ SaaS‬ויישומי ‪.Web‬‬
‫פתרונות ה‪ MAM-‬מקנים אפשרות ניהול מלא‪,‬‬
‫אבטחה ושליטה על יישומים ניידים מקומיים‬
‫ונתונים הקשורים בהם‪ .‬יישומים ונתונים של‬
‫החברה המנוהלים בצורה זו נמצאים במחיצה‬
‫נפרדת ( ‪,)Secured /Encrypted Container‬‬
‫הנפרדת מיישומים ונתונים אישיים אחרים‬
‫במכשיר הנייד של המשתמש‪ .‬שיטה זו מאפשרת‬
‫לאנשי ה‪ IT-‬לאבטח כל אפליקציה אשר פותחה‬
‫בתוך הארגון עם פקדים מבוססי מדיניות מקיפה‬
‫ל‪ ,BYOD-‬כולל ‪ DLP‬ויכולת נעילה מרחוק לניידים‪,‬‬
‫להצפין יישומים ונתונים של צד שלישי‪ ,‬או למחוק‬
‫מרחוק את היישומים הללו‪.‬‬
‫כיתרון‪ ,‬יכולת זו מספקת גם ניהול פרטני מבוסס‬
‫מדיניות ובקרות גישה על כל היישומים הניידים‬
‫המקומיים ו‪ . HTML5-‬בנוסף‪ ,‬ניתן להגדיר‬
‫‪ Micro-VPN‬ספציפי ליישומים ניידים וגישה‬
‫לרשת הפנימית של ארגון ברמת היישום בלבד‪,‬‬
‫כך שנמנע הצורך ב‪ VPN-‬מלא ברמת המכשיר‬
‫כולו‪ ,‬אשר יכול לפגוע באבטחת המידע ובחוויית‬
‫המשתמש‪ .‬שליטה בתקשורת בין יישומים‬
‫ארגוניים ניידים במכשירים מבטיחה חוויה 'חלקה'‬
‫ומאובטחת לכל משתמש ומשתמש‪ ,‬ולהבטיח‬
‫לאנשי ה‪ IT-‬ולהנהלת הארגון כי מידע ארגוני עובר‬
‫אך ורק בין יישומים עטופים באבטחה עם ‪,MAM‬‬
‫כך שהוא נתון לשליטתם ולבקרתם‪.‬‬
‫פתרון נוסף להעברת יישומים בצורה מאובטחת‬
‫למובייל הינו באמצעות טכנולוגיית ‪Application‬‬
‫‪ Publishing‬בתצורה מוגנת מתוך ‪Mobile‬‬
‫‪ ,Application Container‬עם יכולות של הזדהות‬
‫חזקה והצפנת תעבורה‪ .‬בעזרת טכנולוגיה זו‪,‬‬
‫היישום הארגוני רץ בשרת ‪ ,Terminal Services‬כך‬
‫שכל המידע הרגיש נשאר מאובטח בתוך ארגון‪,‬‬
‫ואף פעם לא נשמר במובייל עצמו‪ .‬לטכנולוגיה‬
‫זו ישנם יתרונות נוספים‪ :‬ניתן להריץ כל יישום‬
‫ארגוני שרץ על שרתי) ‪ Windows Server‬לרבות‬
‫כלי פיתוח)‪ ,‬גם במובייל‪ .‬כלומר‪ ,‬אין צורך בפיתוח‬
‫יישומים במיוחד עבור המובייל‪ ,‬אלא רק בהתאמת‬
‫ממשק משתמש של היישום ל‪.Mobile Aware -‬‬
‫מדובר בתפיסה חדשה‪ ,MAM ,‬של ניהול היישומים‬
‫בעולם הנייד לאורך ולרוחב הארגון‪ ,‬עד יחידות‬
‫הקצה‪ .‬הרעיון הוא לייצר פתרון כולל‪ ,‬שמנהל‬
‫את הווירטואליזציה של תחנות הקצה‪ ,‬מהמחשב‬
‫הנייד ועד הטלפון החכם‪ ,‬כולל מנגנוני אכיפה‬
‫וניהול הרשאות‪ ,‬מבלי לעסוק בשאלת זהות הציוד‪.‬‬
‫כל זה נעשה תחת מדיניות אבטחת מידע ופריסת‬
‫היישומים בלי לגעת במכשיר‪ .‬הגישה ליישומים‬
‫נעשית דרך חנות וירטואלית או דרך הפורטל‬
‫הארגוני‪ .‬כך‪ ,‬כל יישום נעטף בשכבת אבטחת‬
‫מידע‪.‬‬
‫בתפיסת ‪ ,MAM‬המיקוד הוא ביישום‪ ,‬בניגוד‬
‫לתפיסת ניהול הרכיבים הניידים (‪ ,)MDM‬שם‬
‫המיקוד הוא במכשירים‪ .‬התפיסה החדשה‬
‫מספקת ניהול מרכזי‪ ,‬עטוף באבטחה‪.‬‬
‫המענה לצורך הכפול בניהול המכשירים הניידים‬
‫ובאבטחתם מצוי בבידוד היישומים כאשר שמים‬
‫אותם ב‪'-‬אריזה' באזור מאובטח‪ ,‬ובכך מפרידים‬
‫בינם לבין הקבצים הפרטיים של העובדים‪.‬‬
‫מחצית מהעובדים לא נמצאים פיזית בארגון‬
‫כיום‪ .‬לצד זאת‪ 82% ,‬מכלל ‪ 500‬ארגוני פורצ'ן‬
‫(‪ )Fortune‬כבר משתמשים בענן‪ .‬בסביבה הניידת‬
‫היא מספקת חיבור בין אנשים‪ ,‬יישומים ונתונים‪,‬‬
‫ובסביבת הענן ‪ -‬בין הדטה סנטרים השונים ובינם‬
‫לעננים‪ .‬לאחר מכן היא מספקת רישות‪ ,‬המחבר‬
‫בין שני העולמות‪.‬‬
‫צריך לקחת את תחנת העבודה ולחלק אותה‬
‫לארבע שכבות‪ :‬מערכת ההפעלה‪ ,‬היישומים‪,‬‬
‫הנתונים והרשאות המשתמש‪ .‬הפרדה זו מגמישה‬
‫את הניהול בעולם הנייד ומספקת לו אבטחת‬
‫מידע‪.‬‬
‫מרבית הספקים כיום מספקים חבילת פתרונות‬
‫לעולם הנייד‪ ,‬הכוללת ‪ MDM‬ארגוני‪ ,‬מייל מאובטח‪,‬‬
‫שיתוף מידע‪' ,‬מיכל' לטובת יישומים ניידים וניהול‬
‫זהויות עם ‪ SSO‬ובקרה מבוססת תרחישים‪.‬‬
‫מחשוב נייד כמו‬
‫מצלמה דיגיטלית‬
‫תחום המחשוב הנייד נדמה להופעתה של‬
‫המצלמה הדיגיטלית‪ :‬הנושא היה קיים בסתר‪,‬‬
‫לפתע הופיע‪ ,‬תפס תאוצה וכבש את השוק‪ ,‬בקצב‬
‫שאיש לא צפה‪.‬‬
‫מחקרים מראים כי ל‪ 73%-‬מהארגונים יש תחנות‬
‫קצה וירטואליות‪ ,‬ל‪ 75%-‬מהם יש אסטרטגיית‬
‫מובייל ואילו ‪ 68%‬מהם מציינים את אבטחת‬
‫המידע כדאגה העיקרית שלהם בעולם הנייד‪.‬‬
‫האתגרים העיקריים בעולם הנייד הם‪ :‬אבטחת‬
‫מידע‪ ,‬ניהול לכשעצמו‪ ,‬ניהול משופר וייעול‬
‫והפחתת עלויות‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪27‬‬
‫עידן הניידות‬
‫סכנה ממשית בעולם הניידות ‪-‬‬
‫זליגת מידע‬
‫עולם המובייל משתנה במהרה וכולל מגוון דילמות ואתגרים שיש לתת להם פתרון‪ .‬זהו התחום‬
‫החם ביותר שעומד לפתחו של המנמ"ר ומי שאומר שקיים פתרון אחד לבעיות שיש בו ‪ -‬משלה‪.‬‬
‫ארגונים חייבים להקדיש כבר היום זמן לתכנון‬
‫המדיניות בכל הנוגע למובייל‪ ,‬אופי העבודה של‬
‫המשתמשים‪ ,‬מגמת ה‪ BYOD-‬ואפליקציות‪ .‬ארגון‬
‫שלא יעשה זאת ימצא את עצמו בעוד שנה עם‬
‫מעט מאוד חמצן לנשימה‪ .‬על ארגונים להבין‬
‫שאין פתרון אחד אלא יש הרבה מאוד פתרונות‪.‬‬
‫מי שאומרים לו שיש פתרון אחד כולל ‪ -‬משלים‬
‫אותו‪ ,‬כי מאחורי כל חומה שנפרצת יש עוד חומה‪.‬‬
‫בנוסף‪ ,‬כל ארגון נראה אחרת וכל פתרון מתאים‬
‫לארגון בצורה אחרת‪ ,‬ולכן יש להתחיל ללמוד את‬
‫הדברים‪ ,‬וכמה שיותר מהר‪.‬‬
‫אנליסטים העלו דילמות שונות על השימוש‬
‫במובייל‪ ,‬בהן נושא הפרטיות‪ .‬זה אתגר לא פשוט‬
‫וכדי לפתור אותו‪ ,‬אנחנו ממליצים לבחור פתרונות‬
‫שעברו אישורים של הגורמים המוסמכים‪ .‬מגמת‬
‫ה‪ BYOD -‬היא הדוגמה הבולטת ביותר לנושא‬
‫הפרטיות‪.‬‬
‫בין האתגרים האסטרטגיים של המנמ"רים‬
‫ל‪ 2014-‬על פי גרטנר ( ‪ )Gartner‬נמצאים‬
‫אפליקציות מובייל‪ ,‬כתיבה פנים ארגונית‪ ,‬מחשוב‬
‫ענן בכלל וענן היברידי בפרט‪ ,‬והיכולת לשלב בין‬
‫מידע שנמצא בתוך הארגון למידע בענן‪ .‬ככלל‪,‬‬
‫עולם המובייל משנה תפיסות‪ .‬זהו התחום החם‬
‫ביותר שנמצא לפתחו של המנמ"ר‪ .‬יש מעבר‬
‫ממערכות הפעלה הומוגניות להטרוגניות‪,‬‬
‫מקביעה מוחלטת של הארגון באילו מכשירים‬
‫ישתמשו העובדים בעבודתם לקבלה הרבה‬
‫יותר גמישה של מכשירים‪ .‬אי אפשר להגביל את‬
‫המשתמשים‪.‬‬
‫‪ - EMM‬המושג שצריך‬
‫להשתמש בו מעכשיו‬
‫יש כיום מגמת מעבר מניהול מכשירים ניידים‬
‫‪( - MDM‬ר"ת של (‪Mobile Device Management‬‬
‫לניהול מובייל בארגוני אנטרפרייז ‪( EMM -‬ר"ת של‬
‫(‪ Enterprise Mobility Management‬וזה המושג‬
‫שצריך להשתמש בו‪ .‬ה‪MDM, c-‬היבט הטכנולוגי‪,‬‬
‫הוא רק רכיב אחד‪u ,‬אנחנו לא רוצים להתייחס‬
‫רק אליו‪ .‬המשחק כבר לא רק שם‪ ,‬הגבינה זזה‬
‫למקום אחר‪ .‬במקום זאת‪ ,‬אנחנו מדברים על‬
‫הבנה רב שכבתית של ערוץ המובייל ועל בחירה‬
‫טכנולוגית מאוד מורכבת‪ .‬צריכים לטפל בדברים‬
‫רבים‪ ,‬כגון הפצת אפליקציות‪ ,‬הפצת תוכן‪,BYOD ,‬‬
‫‪28‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫ריבוי מכשירים וגרסאות שונות‪ ,‬שכל אחת מהן‬
‫מאפשרת תמיכה מסוג אחר‪.‬‬
‫עולם המובייל דוהר קדימה‪ .‬ה‪ MDM-‬משנה שבה‬
‫כמעט שלא הכרנו את השינויים הארגוניים שמביא‬
‫עימו עולם המובייל‪ ,‬בשנה שעברה כבר עברנו‬
‫לדבר על אפליקציות והשנה‪ ,‬הנושא החם הוא‬
‫שיתוף מידע‪ .‬כמו כן‪ ,‬פתרונות שחשבנו לנכונים‬
‫אינם תמיד כאלה‪ .‬כשארגונים ואנשי טכנולוגיה‬
‫בוחרים באיזה כלי להשתמש‪ ,‬הם בוחנים כל‬
‫פיצ'ר אפשרי בו ‪ -‬מה נתמך ומה לא‪ .‬אחר כך‬
‫הם עלולים להביא מכשיר מסין ולגלות שחלק‬
‫מהפונקציות לא נתמכות‪ ,‬למרות התיאוריות‬
‫שבנו‪ .‬התחום רץ כל כך מהר כך שגם כשארגונים‬
‫עושים את כל ההחלטות הנכונות בקשר אליו‪,‬‬
‫ייתכן שהם טועים‪.‬‬
‫אנליסטים מעריכים שהטאבלט עומד להיות‬
‫"המכשיר היחיד שאיתו נעבוד וצריך לבנות‬
‫שיטה נכונה איך לעבוד אתו‪ .‬אנשי השטח עובדים‬
‫כל אחד בשיטה שלו ומסובך לפתח יישומים‬
‫לפלטפורמות השונות‪ .‬בנוסף‪ ,‬לעתים מגיעים‬
‫למקומות בהם אין קליטה או שאסור להשתמש‬
‫בהם בתקשורת חיצונית‪ ,‬וגם לזה צריך למצוא‬
‫פתרון‪ .‬בעיה נוספת היא למצוא פתרון לדומיין‪,‬‬
‫שבעבר היה בתוך הארגון בלבד וכיום יוצא‬
‫מחוצה לו‪ .‬כמו כן‪ ,‬כשמדברים על פתרון דומיין‪,‬‬
‫לא לוקחים בחשבון את המשתמשים‪ .‬זה לא נכון‪,‬‬
‫מפני שכשהמוצר לא נוח‪ ,‬אנשים לא ישתמשו‬
‫בו‪ ,‬למשל‪ ,‬מחוץ לשעות העבודה הרגילות‪.‬‬
‫השימושיות היא המלכה ולכן צריך להסתכל על‬
‫הדברים בצורה הרבה יותר נרחבת‪.‬‬
‫הניידות היא רק קצה הקרחון‬
‫עולם הניידות מקבל תנופה מכמה כיוונים‪ :‬מגמת‬
‫ההצטרכות של ה‪ ,IT-‬החדירה המסיבית של‬
‫מגמת ה‪ ,BYOD-‬הכנסת המכשירים הפרטיים‬
‫ל‪ IT-‬הארגוני וכניסת דורות חדשים של משתמשים‪.‬‬
‫לצד אלה‪ ,‬למגמת הניידות יש גם היבטים עסקיים‪:‬‬
‫העובדים רוצים לקבל את היישומים הארגוניים‬
‫והמידע מכל מקום‪ .‬האתגר הקיים בעולם ה‪IT-‬‬
‫החדש הוא לחבר את המשתמשים מצד אחד ואת‬
‫היישומים והמידע הארגוני מצד שני‪ ,‬תוך כדי ניהול‬
‫של רכיבי המחשוב הנייד ‪ -‬ובצורה מאובטחת‪.‬‬
‫המענה לצורך הכפול בניהול המכשירים הניידים‬
‫ובאבטחתם מצוי בבידוד היישומים‪ ,‬כששמים אותם‬
‫ב‪'-‬אריזה' באזור מאובטח‪ ,‬ובכך מפרידים בינם לבין‬
‫הקבצים הפרטיים של העובדים‪.‬‬
‫מחצית מהעובדים לא נמצאים פיזית בארגון כיום‪.‬‬
‫לצד זאת‪ 82% ,‬מכלל ‪ 500‬ארגוני פורצ'ן (‪)Fortune‬‬
‫כבר משתמשים בענן‪ .‬בסביבה הניידת היא מספקת‬
‫חיבור בין אנשים‪ ,‬יישומים ונתונים‪ ,‬ובסביבת הענן ‪-‬‬
‫בין הדטה סנטרים השונים ובינם לעננים‪ .‬לאחר מכן‬
‫היא מספקת רישות‪ ,‬שמחבר בין שני העולמות‪.‬‬
‫המגמה בשטח נוטה יותר ויותר לכיוון מדיניות‬
‫ה‪( MAM -‬ר"ת של‬
‫‪ (Management‬שמאפשרת ניהול יישומים ותוכן‪.‬‬
‫באמצעות מדיניות זו ניתן להגן על נתונים ארגוניים‬
‫בהתקני ‪ BYOD‬על ידי יישום אבטחה אפליקטיבית‬
‫של כל היישומים הארגוניים‪ .‬פתרונות ה‪-MAM-‬‬
‫מקנים אפשרות לניהול מלא‪ ,‬אבטחה ושליטה על‬
‫יישומים ניידים מקומיים ונתונים הקשורים בהם‪.‬‬
‫‪Mobile Application‬‬
‫המגמה כיום היא לטפל ולנהל כל רכיב מחשוב‬
‫ובכל מקום‪ ,‬וזו מגמה הולכת וגדלה‪ .‬נדרש לספק‬
‫לעובדים פתרונות מאובטחים‪ ,‬עם דגש על חוויית‬
‫המשתמש‪.‬‬
‫מחקרים שבוצעו נושא הניידות‪ ,‬בקרב אלפי ארגונים‬
‫גילו ש‪ 80%-‬מהארגונים הגדולים מפעילים ברשת‬
‫שלהם תוכנת שיתוף קבצים‪ ,‬מה שהוביל לדליפה‬
‫חמורה של מידע‪ .‬המידע שדלף בחלק מהארגונים‬
‫כלל נתונים פיננסיים ורפואיים ‪ -‬שהיו גלויים לכל האקר‬
‫הגבולות הארגוניים נפרצים‪ .‬אם בעבר המידע היה‬
‫בתוך הארגון בלבד‪ ,‬כיום חלק נרחב ממנו עולה לרשת‬
‫וארגונים לא תמיד יודעים מי ניגש אליו‪.‬‬
‫מחקר שנערך ע"י אנליסטים בקרב אלפי לקוחות‬
‫ברחבי העולם‪ ,‬בכלל זה ארגונים שנמצאים ברשימת‬
‫‪ 100‬החברות הגדולות של המגזין פורצ'ן (‪.)Fortune‬‬
‫מהמחקר נתגלו ממצאים שהדהימו אותנו‪80% :‬‬
‫מהארגונים הגדולים מפעילים ברשת שלהם תוכנת‬
‫שיתוף קבצים‪ ,‬ל‪ 70%-‬מהם יש דרופבוקס (‪)Dropbox‬‬
‫ובחלק מהארגונים‪ ,‬המנהלים לא יודעים מה עובר‬
‫בתוכנות הללו‪.‬‬
‫ב‪ 29%-‬מהארגונים עלה לרשת מידע פיננסי של‬
‫הארגון‪ ,‬ובארגונים נוספים עברו מידע רפואי ומסמכים‬
‫מסווגים‪ .‬הנתונים האלה מראים שגם אם מדיניות‬
‫אבטחת המידע של הארגון טובה‪ ,‬אם הוא לא מעביר‬
‫אותה לעובדים שלו היטב‪ ,‬הוא מסתכן מאוד‪.‬‬
‫קיימים סיכונים רבים בכך שהמידע עוזב את הארגון‪ ,‬כי‬
‫כל מה שעולה לרשת חשוף לכל גנב והאקר‪ .‬שירותי‬
‫הענן הנפוצים כמו דרופבוקס כבר נפרצו‪ .‬אחת הבעיות‬
‫הגדולות היא שאנשים נוטים להשתמש באותם שם‬
‫משתמש וסיסמה‪ ,‬וההאקרים יודעים לעלות על זה‪.‬‬
‫מגמת ה‪ BYOD-‬רווחת ב‪ 90%-‬מהארגונים‬
‫ממצא נוסף שגילינו הוא ש‪ 9-‬מכל ‪ 10‬ארגונים‬
‫מאפשרים לעובדים להביא את המכשירים שלהם‬
‫לעבודה‪ ,‬מה שיוצר בעיות אבטחה נוספות‪ ,‬מאחר שאין‬
‫לארגון שליטה מלאה על מכשירים כאלה‪ .‬נוצר מצב‬
‫בעייתי עד כדי כך שארגונים מפחדים לשלוח סיכומי‬
‫ישיבות במייל ומדפיסים אותם על דפים‪.‬‬
‫גבולות הגזרה נפרצו מזמן‪ .‬משתמשים מתחברים לא‬
‫רק ממכשיר של הארגון אלא מכל מיני מכשירים‪ .‬אנחנו‬
‫רוצים לוודא שהמידע לא זולג ‪ -‬ושזה יהיה בצורה‬
‫פשוטה‪.‬‬
‫הניידות היא עולם ומלואו‪ ,‬והיא רק קצה הקרחון‪.‬‬
‫מתחתיה יש שלל נושאים לטיפול‪ ,‬בהם ניהול‪,‬‬
‫אבטחת מידע וחוויית משתמש‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪29‬‬
‫את עמדת העבודה‬
‫כבר עזבת?‬
‫אך מה עם‬
‫הכרטיס החכם?‬
‫לקחת?‬
‫?‬
‫פרצות‬
‫אבטחת מידע‬
‫מי אשם‬
‫"במרבית מערכות ההפעלה הקיימות כיום‪ ,‬בייחוד בתחנות העבודה והשרתים‪ ,‬יש‬
‫יותר חורים מאשר בגבינה שוויצרית"‪ .‬ההתמודדות מול ניסיונות סגירת הפרצות‬
‫במערכות ההפעלה הינה משימה כואבת‪ ,‬ככל שהארגון מבוזר וגדול יותר"‪.‬‬
‫מדי כחודש אנו שומעים על פרצות אבטחת מידע‬
‫חדשות שמתגלות בעולם‪ .‬אפילו מיקרוסופט‬
‫הכריזה על תהליך טלאי קבוע הידוע בכינוי‬
‫"‪ "Patch Tuesday‬שבו היא משחררת טלאים לכל‬
‫הגרסאות תוכנה שלהם‪.‬‬
‫הבעיה העיקרית עם הפרצות זה בעצם ניצול‬
‫הפרצות ע"י שימוש ב‪ ,0-day exploits-‬אשר‬
‫משתחררים בשוק השחור כמעט מיידי לאחר‬
‫פרסום הפרצות‪ ,‬ולפעמים עוד לפני‪ .‬לחברות‬
‫עצמן‪ ,‬לוקח זמן להוציא טלאי שמתקן את‬
‫הפרצות‪ ,‬וגם לאחר הוצאת הטלאי‪ ,‬לארגונים‬
‫לוקח זמן נוסף כדי לבדוק ולהטמיע אותו בארגון‪.‬‬
‫ככל שהארגון מבוזר וגדול יותר‪ ,‬משימה זו הולכת‬
‫והופכת להיות קשה יותר‪.‬‬
‫השאלה שנשאלת היא מי בעצם אשר בפרצות‬
‫אבטחת המידע? הספקים‪ ,‬אותו הקר שגילה את‬
‫הפרצה ופרסם אותה באינטרנט‪ ,‬אותו האקר‬
‫שפיתח תוכנה זדונית שמנצלת את הפרצה‪,‬‬
‫או הארגון שמתעכב להתקין טלאים לסגירת‬
‫הפרצות‪ ,‬או כל בקרה מפצה אחרת‪.‬‬
‫אין תשובה אחת לשאלה הזאת‪ ,‬היות וזה מאוד‬
‫תלוי את מי שואלים‪ ,‬ויותר נכון כיצד הארגון מגיב‬
‫או נערך מבוא מועד לסגירת הפרצות‪.‬‬
‫ישנם ארגונים שקיים אצלם תהליך מוסדר של‬
‫ניהול טלאים ועדכון גרסאות מערכת ההפעלה‪,‬‬
‫אך עדיין זה מחייב התעסקות‪ ,‬ולא מעטה‪.‬‬
‫מי אשם על איכות המוצר?‬
‫תארו לעצמכם את המקרה הבא‪ :‬רכשתם שולחן‬
‫אוכל מחברה ידועה לריהוט ביתי‪ .‬לאחר כשנה‬
‫‪32‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫אתם רואים מודעה בעיתון בו מודיעה החברה כי‬
‫כל רהיטיה העשויים מעך עלון עשויים להישבר‬
‫לאחר שנה או יניחו עליהם משקל של חמישה‬
‫קילו‪-‬גרם ומעלה‪.‬‬
‫החברה מציעה פתרון‪ :‬הוראות כיצד בעזרת‬
‫מסמרים ופטיש ניתן לחזק את השולחן כדי‬
‫שיחזיק מעמד מעט יותר זמן‪ .‬לאחר מספר‬
‫חודשים אתם רואים מודעה נוספת‪ .‬שוב החברה‬
‫מתריעה על סכנת שבירה של השולחן‪ ,‬ושוב יש‬
‫פתרון פשוט‪ :‬הפעם יש לחזק חלק אחר בשולחן‪,‬‬
‫ולהשתמש במסמרים מעט שונים מקודם‪ .‬וכך זה‬
‫נמשך כל הזמן‪...‬‬
‫אתם שומעים על אנשים רבים מבין חבריכם‬
‫שלא קראו את המודעה‪ ,‬או לא חיזקו את השולחן‬
‫לפי ההוראות והשולחן שלהם נשבר ואיתו כלי‬
‫החרסינה השבירים שעליו‪ .‬מה יקרה לחברה‬
‫כזאת? ניתן להניח שתוגש נגדה תביעה ייצוגית‬
‫כבר אחרי פרסום ההודעה הראשונה‪.‬‬
‫ניתן להניח שהלקוחות ששולחנם נשבר יבקשו‬
‫את כספם בחזרה ואולי אף יבקשו פיצויים‪ .‬די‬
‫בוודאות אפשר לצפות שאותה חברה תסבול‬
‫מירידה משמעותית במכירות וקרוב לוודאי שאתם‬
‫לא תרצו לקנות יותר רהיטים מהחברה‪.‬‬
‫ומה קורה בענף התוכנה?‬
‫נראה כי אותו הסיפור‪ ,‬בשינויים קטנים‪ ,‬מסופר‬
‫אחרת לגמרי על ענף התוכנה‪ :‬אנחנו שומעים‬
‫שוב ושוב על פרצות אבטחת מידע בתוכנות‪,‬‬
‫ואיש אינו אחראי‪ .‬יתרה מזאת ‪ -‬במקרים רבים‬
‫הפתרון שבו בוחרים חברות רבות הוא לרכוש‬
‫מוצר אבטחת מידע נוסף (כגון פירוול) על מנת‬
‫להגן על הרשת מהתקפות‪ .‬התקפות‪ ,‬כזכור‪,‬‬
‫הנגרמות ברובם המוחלט של המקרים מפרצות‬
‫במוצרים מסחריים המותקנים ברשת‪.‬‬
‫מה הסיבה?‬
‫התשובה המתבקשת‪ ,‬כביכול‪ ,‬היא שבענף‬
‫המחשבים‪ ,‬כיאה ל"כלכלה חדשה"‪ ,‬החוקים‬
‫שונים מענפי ה‪ .Low Tech-‬מומחים יטענו כי‬
‫באגים ושגיאות בתוכנה הם סבירים בהחלט היות‬
‫וקצב פיתוח תוכנה גדול מקצב "פיתוח" שולחן‪.‬‬
‫אבל כאשר בוחנים תשובה זו לעומק‪ ,‬רואים כי‬
‫היא אנה מדויקת‪ .‬הנה‪ ,‬כאשר לחברת אינטל‬
‫היה באג במעבד הפנטיום (להזכירכם‪ ,‬שם היה‬
‫מדובר על באג שמשמעותו היתה זניחה לרובם‬
‫המוחלט של המשתמשים)‪ ,‬לקוחות החברה‬
‫השמיעו את קולם ופרצו במחאה עזה‪ .‬אינטל‬
‫נאלצה לאסוף מהמדפים את המעבד הבעייתי‪,‬‬
‫לתקן את הבעיה ולצאת במסע יחסי ציבור גדול‬
‫כדי להתנצל ולהסביר את התיקון‪ .‬כדאי לזכור כי‬
‫מעבדי אינטל מפותחים בקצב ששווה ואולי אף‬
‫גדול מקצב שחרור מהדורות ‪ Windows‬למשל‪.‬‬
‫ובוודאי שחברת אינטל פועלת לפי חוקי ה‪Hi--‬‬
‫‪ .Tech‬אפשר אפילו להגיד כי אינטל כתבה כמה‬
‫מהחוקים‪...‬כלומר‪ ,‬התשובה אינה נעוצה בסוף‬
‫הענף‪.‬‬
‫יצרני התוכנה יאמרו לכם אולי שלמצוא פרצות‬
‫אבטחת מידע זה קשה‪ ,‬ולכן לשחרר מוצר‬
‫מאובטח הוא משימה בלתי אפשרית‪ .‬אחרי הכל‪,‬‬
‫ההאקרים הם חכמים‪ ,‬ותחבולותיהם גדלות מדי‬
‫יום‪ .‬אי אפשר לחפש את כל סוגי הפרצות‪ ,‬ואנחנו‬
‫לעולם נרדוף אחריהם בבואנו להגן על המערכות‪.‬‬
‫האומנם?‬
‫סטנדרטים בינלאומיים‬
‫הנתונים בענף התוכנה‪ ,‬מוכיחים לנו אחרת‪.‬‬
‫במרבית המקרים‪ ,‬באג במערכת או רכיב תוכנה‪,‬‬
‫נסתם ללא בדיקה מקיפה על שאר המרכיבים או‬
‫בדיקת הרכיב לעומק‪ ,‬למציאת באג אבטחה נוסף‬
‫באותו רכיב‪ .‬ומייד לאחר "סתימת" חורי האבטחה‪,‬‬
‫מומחי אבטחה וחוקרים מצאו פרצות נוספות‪,‬‬
‫באותו רכיב תוכנה‪ .‬הייתם מצפים מהחברה‬
‫שמספקת את התוכנה להשקיע קצת יותר‬
‫מאמצים‪ ,‬ולבחון היטב את הרכיב\תוכנה‪ ,‬במטרה‬
‫לאתר ולסגור את כל הפרצות האפשריות‪ ,‬ולא‬
‫לאפשר מצב שבו חוסמים חור אחד‪ ,‬אך נפתחים‬
‫חמישה נוספים‪ .‬נתון נוסף שלא לטובתם של‬
‫החברות‪ ,‬היא העובדה שלחברה יש את הקוד‬
‫מקור‪ ,‬מה שיכול להקל עליה לחפש‪ ,‬לאתר ולתקן‬
‫את בעיות האבטחה אשר יתגלו במהלך הבדיקה‪.‬‬
‫קיימים מספר סטנדרטים בינלאומיים‪ ,‬אשר זכו‬
‫להכרה בקרב מקצועני אבטחת המידע‪ ,‬ביניהם‬
‫ה‪( CC-‬ר"ת של ‪ )Common Criteria‬שקובע ובודק‬
‫את רמת האבטחה של המוצר כפי שנדרש או‬
‫מוכרז ע"י הספק‪ .‬החיסרון היחידי‪...‬שזה עולה‬
‫לא מעט כסף‪ ,‬וחברות מעדיפות לא להשקיע את‬
‫כספם בתהליכים אלו‪.‬‬
‫אז מה יש בעצם לאותם חברות אבטחה או‬
‫להאקרים שמחפשים אחר פרצות חדשות כל‬
‫הזמן? מוטיבציה‪ .‬ולעתים‪ ,‬זו מתורגמת כמובן‬
‫לכסף‪.‬‬
‫כל עוד לא תהיה סיבה אמיתית לחברות התוכנה‬
‫לוודא שמוצריהן מאובטחים כראוי‪ ,‬לא תהיה‬
‫מוטיבציה אמיתית לחברות אלו לבדוק את‬
‫המוצרים שלהם לפרצות‪ .‬ולכן ימשיכו המתקיפים‬
‫למצוא את הפרצות‪ .‬במקום היצרנים‪.‬‬
‫אז מה הפתרון?‬
‫כיצד נוכל לשבור את המעגל הזה? פשוט‪ :‬צריך‬
‫להפיל את האחריות על כפתי מי שאמור לתקן‬
‫את הבעיה‪ :‬חברות התוכנה‪ ,‬שבאחריות לתיקון‬
‫פרצות אבטחת המידע בצוצריהן!‬
‫כל מה שחברות התוכנה צריכות לעשות הוא‬
‫להשכיר את שירותיהן של חברות אבטחה‬
‫שמתמחות בנושא הזה‪ ,‬כדי לבדוק את רמת‬
‫האבטחה של המוצרים לפני שמשחררים את‬
‫הגרסאות הסופיות למדפים וללקוח הקצה‪.‬‬
‫תהליך זה אף יכול לחסוך המון כסף ולמנוע‬
‫פגיעה במוניטין של בתי התוכנה‪.‬‬
‫בדיקות תוכנה!‪...‬‬
‫זה לא מומלץ‪ ,‬זה חובה!‬
‫דבר זה נכון לכל חברת תוכנה‪ .‬ונשאלת השאלה‪:‬‬
‫האם הייתם קונים מכשיר חשמלי שלא נבדק במכון‬
‫התקנים? כמובן שלא! אז מדוע אתם רוכשים‬
‫תוכנות שלא נבדקו כראוי לפרצות אבטחה?‬
‫בדיקת אבטחת מידע כזאת היא אינטרס שלכם‬
‫ הצרכנים ‪ -‬ואתם צריכים לדרוש אותה מהיצרן‪.‬‬‫כבר עתה‪ ,‬יותר יותר חברות בוחרות בפתרון‬
‫של ביצוע בדיקות אבטחה מקיפות למוצריהם‬
‫לפני שחרורם לשוק‪ .‬בדיוק כפי שבדיקת מוצר‬
‫לבעיות איכות (‪ )QA‬הוא היום סטנדרטי‪ ,‬חברות‬
‫מתחילות להבין כי כך גם ביצוע בדיקת אבטחת‬
‫מידע‪ .‬אך ללא עידוד חיובי של הצרכנים למוצרים‬
‫שעברו בדיקה כזאת‪ ,‬ולעומת זאת עידוד שלישי‬
‫למוצרים שלא עברו בדיקה כזאת‪ ,‬התהליך יהיה‬
‫איטי ובנתיים תקבלו מוצרים באיכות נמוכה ועם‬
‫הרבה מאוד פרצות‪.‬‬
‫חשוב לזכור שבדיקת אבטחת מידע היא אפשרית‪,‬‬
‫והיא סבירה בהחלט ‪ -‬גם בעולם המחשוב‪ .‬אל‬
‫תשלימו עם באגים שמשאירים את המחשב‬
‫שלכם חשוף‪ ,‬ואל תסכימו לפתרונות שכופים‬
‫עליכם קניית מוצרים נוספים‪ .‬אבטחת מידע היא‬
‫חלק מהמוצר שאותו אתם אמורים לקבל‪ .‬ועליכם‬
‫לדרוש אותו מהיצרן!‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪33‬‬
‫ראיון אבטחה עם מר עידו גולדברג‬
‫‪ IT DIRECTOR‬ואבטחת מידע בחברת ‪NEOGAMES‬‬
‫כיצד אתה רואה את המוכנות‬
‫והמודעות של ארגונים בישראל‬
‫מבחינת עמידה מפני איומי‬
‫סייבר?‬
‫מוכנות הארגונים בישראל היא תוצאה ישירה‬
‫של מוכנות מנהלי אבטחת המידע שבהם‪ ,‬היות‬
‫וארגונים וחברות ישראליות הם מטרה ברורה לכל‬
‫מיני התקפות עצם היותם ישראלים‪ .‬אני חושב‬
‫שחברות ישראליות שלא משקיעות בהדרכת‬
‫עובדיה או באבטחת שירותיה ומוצריה‪ ,‬ובכך‬
‫מתרשלות באחריותם‪.‬‬
‫האם לדעתך מדינת ישראל‬
‫ערוכה בעצמה למלחמת סייבר‬
‫כוללת? האם היא מוכנה להגן על‬
‫הארגונים ואזרחיה?‬
‫מדינת ישראל‪ ,‬כמדינה‪ ,‬צריכה להחליט על מה‬
‫היא מגנה במלחמת סייבר כוללת‪ ,‬זה עניין של‬
‫תיעדוף‪ ,‬אני מניח שמערכות חיוניות (צבאיות‬
‫כאזרחיות) נערכות לזה כבר היום‪ ,‬צריך גם לשים‬
‫את העניינים על השולחן‪ ,‬כיוון שמלחמת סייבר‬
‫היא דבר חדש יחסית‪ ,‬לא ידוע לי שיש לזה יחס‬
‫במשפט הבין לאומי‪ ,‬כלומר‪ ,‬התקפה על שירותי‬
‫משרד הפנים של מדינת ישראל אינה נחשבת‬
‫להכרזת מלחמה‪ ..‬ולכן כשאומרים "מלחמת‬
‫סייבר כוללת" או ערוכה ל‪ ....‬זה פשוט עניין של‬
‫היקף ההתקפה‪ ,‬אני חושב שהיום כל גוף רשמי‬
‫במדינה שמציע שירותי און‪-‬ליין מותקף בצורה‬
‫קוסטינסטנטית והעובדה שעניין זה לא בכותרות‬
‫היא שלמעט לחברות אזרחיות כמו אתרי מסחר‬
‫וכוי"ב שמתפרסמות באספקט הזה‪ ,‬בצורה רבה‬
‫קשור לחוסר ההצלחה של הגורמים המבצעים‬
‫להוות איום משמעותי למערכות‪.‬‬
‫מה דעתך על האכיפה של חוק‬
‫הגנת הפרטיות בישראל?‬
‫אני לא בטוח בכלל שהחוק הנ"ל מוכר בארץ‪,‬‬
‫למרות שבעידן און‪-‬ליין אנשים חייבים (בעייני)‬
‫להכיר את רוח החוק כדי להחליט האם סיטואציות‬
‫מסוימות של גופים שונים פוגעים בפרטיותם‪ .‬אני‬
‫לא סבור שיש באמת הטמעה ציבורית של חוק זה‪.‬‬
‫כיו"ב גם איני מודע לאכיפה משמעותית בנושא‪,‬‬
‫ואשמח להיחשף לכזאת‪.‬‬
‫כיצד אתה רואה את תפקידו‬
‫של מנהל אבטחת המידע בעידן‬
‫הסייבר?‬
‫מנהל אבטחת מידע‪ ,‬משמעותו מעצם תפקידו‪.‬‬
‫כלומר‪ ,‬צריך להבין מהו ה"מידע" ‪ ,‬מה נחוץ לעשות‬
‫על מנת ל"אבטחו" תוך "ניהול" מתמיד של סיכונים‪.‬‬
‫רא‬
‫י‬
‫ו‬
‫ן‬
‫ב‬
‫לעדי‬
‫על כל מנהל אבטחת מידע להבין על מה הארגון שלו‬
‫צריך ורוצה להגן‪ ,‬לפעמים זה רשימת לקוחות‪ ,‬אצל‬
‫אחרים זה מידע פרטי‪ ,‬פיננסי וכיו"ב ולהתאים את‬
‫ההגנות סביב אותו מידע‪.‬‬
‫שבעולם שבו כל דבר מחובר לכל דבר‪ ,‬אין באמת‬
‫דרך טובה להימנע‪ ,‬זה כמו לומר שהדרך הטובה‬
‫והיעילה להמנע מהריון היא פשוט לא לעשות‪ ..‬זה‬
‫נכון אבל לא מציאותי‪.‬‬
‫תפקידו של מנהל אבטחת המידע הוא להבין את‬
‫הסיכון והסבירות ולהציע פתרונות שעלותם לא‬
‫עולה על תועלתם‪.‬‬
‫עירנות וחשדנות הם מושגי המפתח‪.‬‬
‫מה לדעתך הידע הנדרש היום‬
‫ממנהל אבטחת המידע?‬
‫הידע הנדרש הוא הכרה עמוקה של החברה‬
‫בה הוא עובד עם עולם הסייבר אותו הוא מבקש‬
‫לשמור בחוץ‪ .‬אותו מנהל צריך לחוש מה קורה‪ ,‬מי‬
‫נתפס‪ ,‬איך הוא עשה את זה ולמה‪ ,‬כדי להבין האם‬
‫הסיכונים או החורים בהגנה של המידע שברשותו‬
‫יכולים להוות מטרה‪.‬‬
‫מהם איומי הסייבר המשמעותיים‬
‫ביותר שארגונים נאלצו‬
‫להתמודד איתם במהלך ‪?2013‬‬
‫אני חושב שהמפורסם בהם היה מקרה ההאקרים‬
‫הסעודים וחשיפת כרטיסי האשראי‪ ,‬אני באמת חושב‬
‫שמחוץ ללוחמת סייבר פוליטית או אודיאולוגית‪ ,‬רוב‬
‫ההאקרים מונעים ממניעים פיננסים ולכן גם אם‬
‫הפעולה הנ"ל נחשבת לפוליטית היא הרי פיננסית‬
‫בעיקרה‪.‬‬
‫מהם איומי הסייבר שמצפים לנו‬
‫ב‪?2014-‬‬
‫קשה לומר‪ .‬מדינת ישראל תמשיך להיות הגורם‬
‫הכי מותקף בעולם‪ ,‬זה בטוח‪ .‬ולכן גם החברות‬
‫והאזרחים צריכים להתאים את ההרגלים שלהם‬
‫בהתאם‪ .‬אבל צריך להבין שפעולות לוחמה‬
‫סייבר הם נגזרת מסויימת של לוחמת גרילה‪,‬‬
‫כמעט תמיד אין סימנים לבאות אם בכלל וארגון‬
‫שמותקף בד"כ יודע זאת במהלך ההתקפה‪ .‬אז‬
‫פשוט צריך להיות ערני‪ ,‬ולמזער חשיפה‪ ,‬לשמור‬
‫על הפרטיות שלנו ולא לסמוך על אתר או מוצר‬
‫כזה או אחר כי חבר מאוד טוב שלנו ממליץ‪.‬‬
‫מהי הדרך הטובה ביותר להימנע‬
‫ממתקפות סייבר?‬
‫ראיון עם מר‬
‫איציק כוכב‪,‬‬
‫הממונה על‬
‫אבטחת המידע‬
‫בשירותי‬
‫בריאות כללית‬
‫במידה והותקפת – כיצד ניתן‬
‫להתאושש ביעילות?‬
‫התשובה לשאלה זאת היא מאוד סובייקטיבית‬
‫‪ ,‬היא תלויה בגודל וסוג ההתקפה וכמובן מה‬
‫בדיוק הותקף‪ .‬אני חושב שניהול מערכות אבטחה‬
‫סטאנדרטיות מספיקות להתאוששות מרוב‬
‫ההתקפות‪.‬‬
‫מהן המגמות החמות של ‪?2014‬‬
‫אני חושב שנראה גידול משמעותי בתחומי‬
‫הסלולאר‪ ,‬הרשתות החברתיות האתרי המסחר‬
‫האלקטרוני‪.‬‬
‫אילו טכנולוגיות לדעתך יעניינו‬
‫את ה‪ ,CISO-‬במהלך ‪?2014‬‬
‫בגלל השאלה הקודמת אני חושב שתחומים כמו‬
‫אבטחת מכשירים ניידים ושמירה על פרטיות הם‬
‫הנושאים שיעסיקו אותנו השנה‪.‬‬
‫מה דעתך על האיגוד ועל‬
‫תרומתו לפיתוח תחום אבטחת‬
‫המידע בישראל?‬
‫כל ארגון שמעלה את "נס הדגל" הוא ברכה‬
‫שאפשר רק להתרצות ממנה‪ ,‬תחום אבטחת‬
‫המידע בעולם ובארץ בפרט הוא לא רק חלקת‬
‫החברות או הממשלות אלא האזרחים כאחד‪.‬‬
‫כמנהל אבטחת מידע פעילות הארגון עוזרת לי‬
‫להעביר את המסר לעובדי החברה‪ ,‬אך השכר‬
‫האמיתי הוא שבסופו של יום אותם אנשים‬
‫מודרכים ומודעים יותר ולוקחים את המידע‬
‫להתנהלות האישית שלהם וזה עוזר לקדם את‬
‫כלל האוכלוסיה בנושאי אבטחת מידע‪.‬‬
‫ראיון בלעדי‬
‫אבטחת המידע צריך להיות כמקומו של המנמ"ר‬
‫בהיררכיה הארגונית ‪ .‬ובכפיפות לסמנכ"ל לפחות‬
‫כיצד אתה רואה את המוכנות‬
‫והמודעות של ארגונים בישראל‬
‫מבחינת עמידה מפני איומי‬
‫סייבר?‬
‫מה לדעתך הידע הנדרש היום‬
‫ממנהל אבטחת המידע?‬
‫אני סבור שאנחנו בתחילת הדרך והמודעות לא‬
‫מספיק טובה‪ .‬מטה הסייבר מתחיל לצקת מודעות‬
‫‪,‬אך אנחנו עוד רחוקים ממצב סביר‬
‫בעיקר כישורי מנהל עם יידע טכני מעמיק בתחום‬
‫רשתות תקשורת ‪ .‬יידע משפטי יעזור כמו גם יידע‬
‫בתחום תעשיה וניהול‬
‫האם לדעתך מדינת ישראל‬
‫ערוכה בעצמה למלחמת סייבר‬
‫כוללת? האם היא מוכנה להגן על‬
‫הארגונים ואזרחיה?‬
‫מהם איומי הסייבר המשמעותיים‬
‫ביותר שארגונים נאלצו‬
‫להתמודד איתם במהלך ‪?2013‬‬
‫השנה התקדמנו משמעותית בתובנה של הצורך‬
‫להגן‪ .‬אך פיזית אנחנו עוד לא לגמרי מוגנים‬
‫מה דעתך על האכיפה של חוק‬
‫הגנת הפרטיות בישראל?‬
‫בעיקר ‪ .DDOS‬אך גם סוגיית סוסים טרויאנים‬
‫מתוחכמים‬
‫מהם איומי הסייבר שמצפים‬
‫לנו ב‪ ?2014-‬מהי הדרך הטובה‬
‫ביותר להימנע ממתקפות סייבר?‬
‫אני סבור שאין אכיפה ראויה‪ .‬רמו"ט כרגע לפחות‬
‫אינם מוכנים לטפל בבעיה בהיקפה האמיתי‬
‫לנתק את המערכות תומכות חיים או מערכות‬
‫קריטיות מרשת האינטרנט והסייבר‬
‫כיצד אתה רואה את תפקידו‬
‫של מנהל אבטחת המידע בעידן‬
‫הסייבר?‬
‫במידה והותקפת – כיצד ניתן‬
‫להתאושש ביעילות?‬
‫‪ 90%‬ממנהלי אבטחת המידע בישראל כפופים‬
‫למנמ"ר‪ .‬זו כפיפות בעייתית מבחינת הפרדת‬
‫רשויות‪ .‬אני סבור שבעידן הסייבר מקומו של מנהל‬
‫בעיקר להפעיל ‪ DRP‬למערכות המרכזיות ‪,‬‬
‫מערכות חוצות ארגון ‪ .‬והפעלת טבעות תקשורת‬
‫כפולות‬
‫מהן המגמות החמות של ‪?2014‬‬
‫אני מוביל מהלך כלל עולמי של שינוי תפקיד‬
‫אבטחת המידע‪ ( .‬מ ‪ :‬סודיות‪,‬זמינות ‪ ,‬אמינות ל‪:‬‬
‫סודיות‪,‬אמינות‪,‬בקרה )הסיבה לכך נעוצה בעובדה‬
‫שהיום פרוצי מחשבים ועובדים מצליחים להגיע‬
‫למידע גלוי ‪,‬לקחת אותו ‪ ,‬וכמעט שאין טביעת‬
‫אצבע למעשיהם‪ ( .‬סנודן‪ ,‬ענת קם‪ ,‬אנונימוס‪,‬‬
‫וויקליקס מדינות‪) ...‬‬
‫ולכן אני סבור שאבטחת המידע צריכה לשנות‬
‫כיוון ולעסוק באבטחת ‪ Data‬כנושא מרכזי‬
‫ובעדיפות‬
‫א‪ .‬הצפנה כבר בשלב הקשת הנתונים‬
‫ב‪ .‬מדיניות קשוחה על הקובץ‬
‫ג‪ .‬אוטנטיקציה חד משמעית של המשתמש‬
‫ד‪ .‬בקרה על המידע‬
‫ה‪ .‬פיתוח מאובטח‬
‫אילו טכנולוגיות לדעתך יעניינו‬
‫את ה‪ ,CISO‬במהלך ‪?2014‬‬
‫טכנולוגיות ‪ ,DLP‬טכנולוגיות בקרה והתראה‬
‫מתקדמות‪ , XMLFW .‬כלי הצפנה‪ ,‬יכולות הזדהות‬
‫ביומטרית ע"ג כרטיס המשתמש ‪ .MOC‬שימוש‬
‫בטכנולוגיות של תחנת טרמינל למשתמש‬
‫להתנתק מהאינטרנט‪ .‬ואחרי שצחקנו‪ ,‬צריך להבין‬
‫‪34‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪35‬‬
‫ראיון בלעדי‬
‫עם מר תמיר רביבו‬
‫מצוות אבטחת מידע בבנק מזרחי‬
‫כיצד אתה רואה את המוכנות‬
‫והמודעות של ארגונים בישראל‬
‫מבחינת עמידה מפני איומי‬
‫סייבר?‬
‫מדינת ישראל טרם הגדירה את דרכי פעולתה‬
‫בנושא ונכון להיום די משאירה את מנהלי אבטחת‬
‫המידע בארגונים השונים להתמודד עם הבעיה‬
‫לבד‪.‬‬
‫לדעתי‪ ,‬כלל הארגונים בעולם ובארץ בפרט‪,‬‬
‫נמצאים בשלב של למידה בתחום איומי הסייבר‪,‬‬
‫ההגדרה של "איומי הסייבר" מתחילה לחלחל‬
‫בצורה משמעותית מרמות ההנהלה ועד אחרון‬
‫העובדים‪.‬‬
‫מדינת ישראל אינה לבד במערכה זו‪ ,‬כלל‬
‫הממשלות בעולם יודעות להתמודד עם איום‬
‫טרור‪ ,‬פלישה לשטח ריבוני ו‪ /‬או סיכון נכסיה‬
‫בעולם אך שזה מגיע לתחום לוחמת הסייבר‬
‫כל הממשלות מתקשות לתרגם את הגדרות‬
‫הריבונות ודרכי התגובה שלהן‪ ,‬ל"פלישה" זו‪.‬‬
‫השינוי נובע לאור השילוב בין "פגיעות פרטניות"‬
‫כגון גניבה ‪ /‬פריצה אל חשבונות ‪ mail‬ו‪Facebook-‬‬
‫לבין מתקפות ממוקדות על תחומים שונים‬
‫ממניעים פוליטיים ואידיאולוגים‪ ,‬כדוגמת‬
‫‪ ,OPisrael‬או "סתם" מטעמים פלילים‪ ,‬כדוגמת‬
‫מקרה הסחיטה של הבנקים על ידי גורם עלום‬
‫הטוען שמחזיק מידע פנימי של לקוחות‪.‬‬
‫לאור האמור לעיל‪ ,‬ההבנה והמודעות הקיימים‬
‫בהנהלה ובקרב ציבור עובדים בחברה‪ ,‬מסייעת‬
‫למנהל אבטחת המידע בארגון בהגברת המודעות‬
‫וקבלת התמיכה הנדרשת להרחבה ויישום של‬
‫מדיניות אבטחת המידע‪.‬‬
‫האם לדעתך מדינת ישראל‬
‫ערוכה בעצמה למלחמת סייבר‬
‫כוללת? האם היא מוכנה להגן על‬
‫הארגונים ואזרחיה?‬
‫לצערי‪ ,‬התשובה כאן הינה לא ברור‪ ,‬וזאת למרות‬
‫הקמת גופים שונים שעליהם הכריז רה"מ לא מכבר‪.‬‬
‫‪36‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫מדינת ישראל נדרשת להציג מענה למתקפות‬
‫המגיעות מהעולם בדיוק כמו ביקורת הגבולות‬
‫הקיימת כיום‪ ,‬כלומר כפי שהמדינה פועלת‬
‫לעצירת מסתננים (ראה גדר הגבול עם מצרים)‬
‫או גורמים לא רצויים מלהגיע לארץ (ראה עצירת‬
‫גורמים פרו‪-‬פלסטינאים מלהגיע לארץ לצורכי‬
‫פרובוקציה) כך נדרשת המדינה לייצר ביקורת‬
‫גבולות אלקטרונית ולחסום מתקפות או פעילות‬
‫המוגדרת כעוינת למגזר מסוים ולא רק למדינה‬
‫עצמה‪.‬‬
‫למרות הדברים כן ניתן לראות ניצני אופטימיות‪,‬‬
‫האיחוד האירופאי פרסם‪ ,‬לפני שנה לערך‪,‬‬
‫טיוטא לספר החוקים הבינלאומי להתמודדות‬
‫עם מתקפות סייבר תוך הגדרת תבנית לחוק בין‬
‫לאומי‪ ,‬שיתופי פעולה‪ ,‬הסכמי הסגרה והחבות‬
‫המשפטית של כל אחת מהמדינות שנפגעה או‬
‫שממנה בוצעה המתקפה‪.‬‬
‫מה דעתך על האכיפה של חוק‬
‫הגנת הפרטיות בישראל?‬
‫החוק מכיל הגדרה די פרטנית למה צריך ונדרש‬
‫לעשות בתחום זה‪ ,‬האכיפה אומנם עדין בתחילת‬
‫דרכה אך מקרה ה"אגרון" די הבהירה למקבלי‬
‫ההחלטות שיש לטפל בנושא תחת זכוכית‬
‫מגדלת‪.‬‬
‫חשוב לציין כי הרצון של הממשלה לקדם את‬
‫נושא תעודות הזהות הדיגיטאליות "די עשה טוב"‬
‫לכל נושא החוק והאכיפה בתחום‪.‬‬
‫כיצד אתה רואה את תפקידו‬
‫של מנהל אבטחת המידע בעידן‬
‫הסייבר?‬
‫אומנם תפקידו של מנהל אבטחת המידע והסייבר‬
‫(כן זה נשמע יותר מלהיב) בארגון מקבל בתקופה‬
‫האחרונה דחיפה די רצינית בתחום האחריות‬
‫וההבנה של הנושא מול גורמי ההנהלה והתקציב‪,‬‬
‫אך מנהל אבטחת המידע נדרש ‪ ,‬היום כמו בעבר‪,‬‬
‫למענה ושיתוף פעולה מול כלל הגורמים בארגון‬
‫בכדי לייצר תמונת שליטה רחבה כלל האפשר‬
‫שתסייע לו בזיהוי החריגות והשינויים הנדרשים‬
‫לחקר ואיתור‪.‬‬
‫מה לדעתך הידע הנדרש היום‬
‫ממנהל אבטחת המידע?‬
‫מנהל אבטחת המידע נדרש לידע רחב ומגוון בתחומי‬
‫התקשורת‪ ,‬מערכות ההפעלה‪ ,‬בסיסי נתונים מערכי‬
‫ניהול כ"א והרשאות‪ ,‬מבנה ארגוני‪ ,‬מבנה מערך‬
‫האבטחה הפיזי והתנהלות העסקית של הארגון‪.‬‬
‫לא‪ ,‬מנהל אבטחת המידע לא נדרש להיות "גיבור‬
‫על" בתחומים אלו אלא נדרש להבנה בסיסית‬
‫פלוס בכדי לנווט נכונה את מערך ההגנה‬
‫האלקטרוני בארגון תוך מזעור זמני התגובה‬
‫לאירועי אבטחת מידע וסייבר המתרחשים בתוך‬
‫ארגונו‪.‬‬
‫מהם איומי הסייבר המשמעותיים‬
‫ביותר שארגונים נאלצו‬
‫להתמודד איתם במהלך ‪?2013‬‬
‫נכון לשנת ‪ 2013‬מרבית האיומים המשמעותיים‬
‫התקיימו בתחום מתקפות ה‪ DDOS-‬וסריקות‬
‫כתובות ופורטים נרחבות שבוצעו על ידי‬
‫גורמים בעולם באמצעות אלפי בוטים שהותקנו‬
‫במחשבים פרטיים ‪.‬‬
‫ניתן גם לסמן מגמה סבירה של בניית אתרי‬
‫פישינג לצורך גניבת מידע או איסוף מודיעין‪.‬‬
‫מהם איומי הסייבר שמצפים לנו‬
‫ב‪?2014-‬‬
‫וגורמי חוץ) הרי שהיום כיוון המתקפה השתנה‬
‫ופועל מפנים כלפי חוץ‪ .‬התוקפים כיום שואפים‬
‫להשיג גישות וקשרים לוגים מתוך המערכות‬
‫עצמן ללא כל צורך "בנגיעה במקלדת"‪ .‬השגה‬
‫של יכולות זו ניתנת ליישום באמצעות שימוש‬
‫בעובדים וספקים חיצוניים‪ ,‬ללא ידעתם‪ ,‬תוך‬
‫פיצול הפעילות כך שכל גורם מבצע פעילות‬
‫פשוטה ולא מזיקה שבסופו של תהליך מאוגדים‬
‫לכלי אחד בידי התוקף‪.‬‬
‫מהי הדרך הטובה ביותר להימנע‬
‫ממתקפות סייבר?‬
‫היא להכיר את העובדה שאין דרך טוב להימנע‬
‫ממתקפות סייבר‪.‬‬
‫מנהל אבטחת המידע נדרש להכיר את המגמות‬
‫והפעילות המרחשת בעולם ולבצע ניהול סיכונים‬
‫רציף אל מוכנות המערכות המצויות תחת‬
‫אחריותו‪.‬‬
‫במידה והותקפת ‪ -‬כיצד ניתן‬
‫להתאושש ביעילות?‬
‫"מתקפות תפורות לפי מידה" ‪ -‬פעילות המבוצעת‬
‫לאחר איסוף מודיעין אורך ולרוב מבוצעות על ידי‬
‫ארגונים מסודרים ולא האקרים מתלמדים‪.‬‬
‫כמו בתחילת ספר בישול מרוקאי ‪" -‬קודם כל‬
‫תירגעי !!!"‬
‫תקיפות מבפנים ‪ -‬אנו ערים לשינוי מגמה‬
‫משמעותי בתצורות התקיפה המסורתי כלומר אם‬
‫"פעם" נדרשנו להגנת הגישות מבחוץ (אינטרנט‬
‫בנייה מקדימה של דרכי פעולה ונהלי עבודה‬
‫בעת מתקפה הינה הגורם החשוב ביותר לניהול‬
‫והתאוששות מהירה ממתקפת סייבר‪.‬‬
‫בעת מתקפה קיימת מעין התרחשות שכזו שכולם‬
‫רוצים לדעת ולעזור‪ ,‬דבר שיכול לגרום לרעש‬
‫והפרעה מיותרים‪.‬‬
‫הגדרה מוקדמת של מנהל אירוע מרכזי‪ ,‬כולל‬
‫סמכות ואחריות על כלל הגורמים הנדרשים‬
‫לטיפול במתקפה תאפשר ניהול יעיל ומהיר של‬
‫האירוע‪.‬‬
‫מהן המגמות החמות של ‪?2014‬‬
‫‪ ,DLP‬נושא דלף המידע הגיע לשלב הבשלות הן‬
‫ברמת הפתרונות הטכנולוגיים המוצעים בשוק והן‬
‫ברמת ההבנה של גורמים שונים בארגון כי מידע‬
‫שווה כסף‪ ,‬כוח‪ ,‬הגנה פיזית והגנה טכנולוגית‪.‬‬
‫אילו טכנולוגיות לדעתך יעניינו‬
‫את ה‪ ,CISO‬במהלך ‪?2014‬‬
‫הגנה היקפית ודלף מידע‪.‬‬
‫מה דעתך על האיגוד ועל‬
‫תרומתו לפיתוח תחום אבטחת‬
‫המידע בישראל?‬
‫קיימת חשיבות באיגוד כלל הגורמים תחת מטריה‬
‫מרכזית אחת‪ .‬יצירה סביבה של שיתוף מידע ‪,‬‬
‫העלאת נושאים למודעות וחקר נושאים מגוונים‬
‫בתחום הינו דבר נדרש וחשוב במיוחד בתחום‬
‫אבטחת המידע והסייבר‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪37‬‬
‫התקפת‬
‫‪BotNet‬‬
‫מאת‪ :‬רועי זימון‪ ,‬מומחה אבטחת מידע אפליקטיבי בתחום הסייבר‬
‫התקפות סייבר הינו המונח הנפוץ ביותר לתיאור בימים הנוכחיים של כל‬
‫ניסיון לתקוף את הארגונים או משתמשים אישיים דרך רשת האינטרנט‪.‬‬
‫בשנים האחרונות אנו עדים לגידול בהתקפות על‬
‫חברות מסחריות‪ ,‬בנקים‪ ,‬תעשיות ומדינות‪.‬‬
‫ההתקפות הופכות למורכבות ומתוחכמות יותר‪,‬‬
‫והזיהוי שלהן הולך ונעשה קשה יותר‪.‬‬
‫ניתן למנות עשרות דוגמאות ידועות של ההתקפות‬
‫אשר התגלו כגון‪ :‬פרשת סוס הטרויאני‪,Stuxnet ,‬‬
‫פלמר‪ .‬התקפה מוכרת לאחרונה הייתה של תכנה‬
‫זדונית העונה לשם ‪.Black hole‬‬
‫תוכנה זדונית זו מתפשטת בעיקר באמצעות‬
‫סקייפ ושולחת למשתמשים הודעה נחמדה כמו‪:‬‬
‫"יש לך הודעה קולית חדשה" וקישור מצורף כדי‬
‫להאזין להודעה‪.‬‬
‫ברגע שהקורבן פותח את הקישור‪ ,‬המחשב שלו‬
‫נדבק בתוכנה זדונית בשם זאוס‪ ,‬סוג אחר של‬
‫תוכנה זדונית‪.‬‬
‫אחד המונחים הידועים בסייבר נקרא התקפת‬
‫‪.botnet‬‬
‫במאמר זה‪ ,‬אנסה להסביר מה הוא ‪ ,Botnet‬כיצד‬
‫מתפשט‪ ,‬האם ניתן למנוע אותו ‪ ,‬וכמובן מה הם‬
‫הסיכונים לאיום מסוג זה‪.‬‬
‫‪38‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫מהו ‪?Botnet‬‬
‫תארו לעצמכם תוקף אשר מקים שרתי פיקוד‬
‫ושליטה (‪ , )C & C‬אשר מופעלים כגנרלים‪.‬‬
‫הגנרלים האלה צריכים למצוא חיילים שיקבלו את‬
‫הפקודות לביצוע המשימות‪.‬‬
‫ברגע שהתוקף מפתח או קונה תוכנות זדוניות‬
‫אשר ידביקו את מחשבי היעד‪ ,‬הם יקבלו הוראות‬
‫מהשרתים של ‪.C & C‬‬
‫למעשה התוכנה הזדונית אשר יושבת על המחשב‬
‫של הקורבן ומחכה לקבל פקודות משרת ה‪C&C-‬‬
‫נקראת בוט‪.‬‬
‫‪ Botnet‬הינו ההפצה של מחשבים שנדבקו ב‪Bot‬‬
‫ומקבלים פקודות משרת ה ‪.C & C‬‬
‫איך מחשבים‬
‫נגועים ב‪?Bot-‬‬
‫מחשבים יכולים להיות נגועים בכמה דרכים‪ ,‬אבל‬
‫בדרך כלל זה נעשה על ידי‪:‬‬
‫פישינג וספאם אשר שנשלח למשתמשים‬
‫(קורבנות) באמצעות ערוצי הפצה כגון דואר‬
‫אלקטרוני‪ ,‬הודעות מיידיות‪ ,‬ועוד‪.‬‬
‫ההודעה עשויה להיראות תמימה לחלוטין כגון‬
‫בקשה לתרום לצדקה‪ ,‬או הודעת מערכת‬
‫שהמחשב נדבק על ידי וירוס‪ ,‬ומכילה קישור‬
‫להורדת כלי להסרה‪.‬‬
‫כיצד ניתן לזהות קיום‬
‫‪ ,Botnet‬והאם ניתן‬
‫להסירו?‬
‫ברגע שהמשתמש לוחץ על הקישור‪ ,‬זה מתחבר‬
‫לאתר אינטרנט זדוני אשר מדביק את המחשב‬
‫באותה תכנה זדונית‪.‬‬
‫קשה מאוד עד בלתי אפשרי לפעמים לזהות את‬
‫קיומה של רשת ה ‪.botnet‬‬
‫דרך נוספת להדבקה יכולה להיות על ידי‬
‫שליחת הודעה עם תכנית זדונית כקובץ מצורף‬
‫למשתמש‪ ,‬והתכנה תותקן באופן אוטומטי‪ ,‬או על‬
‫ידי המשתמש אשר יתבקש לפתוח את הקובץ‬
‫הזדוני‪.‬‬
‫אם מתמודדים עם ‪ Bot‬ידוע ומוכר‪ ,‬אזי ניתן‬
‫להשתמש בכלי אבטחה לזיהוי והסרתו‪.‬‬
‫זיהוי מתחיל בעיקר ‪ ,‬כאשר יש חשד להתנהגות‬
‫לא סדירה ברשת ‪ ,‬למשל עומס יתר אשר מוביל‬
‫לאיטיות גלישה‪ ,‬או זיהוי של מידע חסר או פגום‪.‬‬
‫כיצד ה‪ Bots-‬מסכנים‬
‫את הארגון?‬
‫תפקיד צוות מומחי אבטחת המידע הינו למצוא‬
‫דפוס אשר לזיהוי ה ‪. Botnet‬‬
‫‪ Bots‬אלה יכולים לשמש לכל מטרה‪ ,‬כגון איסוף‬
‫מידע רגיש מהמחשב הנגוע ושליחה לאתר חיצוני‬
‫המשמש את התוקף לצורכי ריגול‪ ,‬או להיות חלק‬
‫מהתקפת מניעת שירות (‪.)DDoS‬‬
‫הצעד הבא לאחר שלב הזיהוי‪ ,‬הינו ניתוח‬
‫התעבורה‪,‬וההוראות בין ה ‪ Bots‬לשרתי ה ‪.C&C‬‬
‫התקפת ‪ DDOS‬כזאת תתרחש כאשר כל ה ‪Bots‬‬
‫יקבלו פקודה בו זמנית משרתי ה ‪ C & C‬לשלוח‬
‫בקשות רבות לשרת‪/‬אתר מסוים‪ ,‬עד להפלתו‪.‬‬
‫כל ‪ Bots‬חייבים לתקשר עם שרת ‪ ,C & C‬ולכן‬
‫מחפשים פניות ל‪ URL‬או ‪ IP‬אשר הם מנסים לגשם‬
‫אליהם‪.‬‬
‫לאחר שחוקרי אבטחה הצליחו לזהות את‬
‫השרתים‪ ,‬הם פועלים כדי לסגור אותם‪.‬‬
‫כיצד להגן מפני ‪?Botnet‬‬
‫האתגר להוריד את שרתי ‪ C&C‬מורכב מאוד‬
‫מהסיבות הבאות‪:‬‬
‫מכיוון שאין דפוס פעולה ברור של ‪ ,Bots‬מוצרי‬
‫אבטחת המידע כגון אנטי ווירוס לא יכולים לתת‬
‫הגנה מלאה‪.‬‬
‫ •ספקי האינטרנט עשויים להגן על הלקוחות‬
‫שלהם ‪ ,‬כך שזה לא כל כך קל לשכנע את‬
‫ספקיות אינטרנט שהם צריכים לסגור את‬
‫השרת של הלקוח‪.‬‬
‫ •גם לאחר שה ‪ ISP‬השתכנע והשרתים נסגרו‪,‬‬
‫לא בהכרח כל שרתי ‪ C & C‬נסגרו ולאחר מכן‬
‫‪ Botnet‬יכול לשקם את עצמו‪.‬‬
‫ •התקפות ‪ botnet‬חכמות אינן מתקשרות‬
‫באופן ישיר עם שרתי ‪ ,C & C‬אלא דרך שרתי‬
‫פרוקסי‪ .‬לכן קשה עד כמעט בלתי אפשרי‬
‫ברוב המקרים לאתר את שרתי ‪.C & C‬‬
‫מוצרי האנטי וירוס יוצרים חתימה של ‪ Bot‬רק‬
‫לאחר שהמחשב כבר נדבק ואפילו נפגע‪.‬‬
‫לכן‪ ,‬מעבר לשימוש בכלי אבטחה אשר מנסות‬
‫להתמודד עם ‪ ,Botnet attack‬הדרך העיקרית‬
‫להתמודדות עם התופעה הינה עירנות המשתמש‪.‬‬
‫לכן מאוד חשוב לא לפתוח קישורים‪ ,‬קבצים ודואר‬
‫אלקטרוני ממקור לא ידוע‪.‬‬
‫כמו כן‪ ,‬יש לדווח על כל אירוע באופן מיידי לצוות‬
‫אבטחת מידע להמשך טיפול‪.‬‬
‫ •גם אם כל שרתי ‪ C & C‬יסגרו‪ ,‬המלחמה של‬
‫חתול ועכבר נמשכת כאשר התוקף מקים‬
‫מחדש שרתי ‪ C & C‬ומחפש קורבנות חדשים‬
‫לתקיפה‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪39‬‬
‫קבוצת טייטנס סקיוריטי מציגה‬
‫ראיון בלעדי עם מר ניר ולטמן‪,‬‬
‫‪c e r t i f i e d‬‬
‫מנהל אבטחת מידע בחברת ‪,RETALIX‬‬
‫ובעלים משותף בחברת ‪CROWDOME‬‬
‫כיצד אתה רואה את המוכנות‬
‫והמודעות של ארגונים בישראל‬
‫מבחינת עמידה מפני איומי סייבר?‬
‫מהם איומי הסייבר המשמעותיים‬
‫ביותר שארגונים נאלצו להתמודד‬
‫איתם במהלך ‪?2013‬‬
‫אין ספק שהמודעות עולה משנה לשנה‪ ,‬אך יחד‬
‫עם זאת גם הסיכונים אשר הארגונים נדרשים‬
‫להתמודד עימם‪.‬‬
‫זו שאלה מאוד כללית מאחר ולכל ארגון יש‬
‫נקודות חולשה עסקיות שהן שונות זו מזו‪ .‬כמו‬
‫כן‪ ,‬כל ארגון בשל באופן שונה ברמת אבטחת‬
‫המידע‪ ,‬ולכן ייתכן שארגונים שלא הטמיעו‬
‫מערכות הגנה מפני ‪ 0-day‬אפילו לא יודעים שכל‬
‫הרשת הפנימית שלהם היא חלק מרשת גדולה‬
‫של זומבים‪ .‬לפיכך‪ ,‬תשובתי היא שאין איומי סייבר‬
‫משמעותיים ביותר – הכל יחסי‪.‬‬
‫אני חושב שאף מדינה לא באמת ערוכה למלחמת‬
‫סייבר מאחר וגבולות המתקפה אינם ברורים‪.‬‬
‫אנחנו יכולים רק לשער מה הם יעדי התקיפה‬
‫ואף להריץ סימולציות תקיפה‪ ,‬אך בפועל במרבית‬
‫המקרים האוייב חושב אחרת מאיתנו‪.‬‬
‫מהם איומי הסייבר שמצפים לנו‬
‫ב‪?2014-‬‬
‫האם לדעתך מדינת ישראל ערוכה‬
‫בעצמה למלחמת סייבר כוללת?‬
‫האם היא מוכנה להגן על הארגונים‬
‫ואזרחיה?‬
‫כיצד אתה רואה את תפקידו‬
‫של מנהל אבטחת המידע בעידן‬
‫הסייבר?‬
‫אני מאמין שתפקידי מנהלי האבטחה הארגוניים‬
‫צריכים להתפצל לשלושה חלקים בלתי תלויים‪:‬‬
‫הראשון הוא מנהל אבטחת המידע כפי שאנחנו‬
‫מכירים כיום‪ ,‬אשר אחראי על אבטחת המידע‬
‫הארגונית‪ .‬השני גם הוא תפקיד חשוב אך פחות‬
‫נפוץ בארץ – מנהל פרטיות (‪Chief Privacy‬‬
‫‪ ,)Officer‬אשר אחראי על זיהוי מקורות מידע‬
‫רגישים והגנה עליהם ברמות הרגולטיריות‬
‫והמשפטיות‪ .‬התפקיד האחרון והמעניין ביותר‬
‫צריך להיות דומה לתפקיד ה – ‪ CTO‬בארגונים‪,‬‬
‫קרי מדובר בתפקיד אסטרטגי אשר אמור לחקור‬
‫ולחזות את המתקפות הפוטנציאליות העתידיות‪.‬‬
‫מה לדעתך הידע הנדרש היום‬
‫ממנהל אבטחת המידע?‬
‫מנהל אבטחת המידע כיום צריך להיות יצירתי‬
‫ואסטרטגי מתמיד‪ .‬כושר הניהול וההבנה‬
‫הטכנולוגית שנדרשו עד היום הם חשובים‪ ,‬אך‬
‫לדעתי אינם מספקים‪.‬‬
‫מטרות התקיפה מתרחבות משנה לשנה‪ ,‬אך‬
‫האיומים נשארים זהים – פגיעה בתשתיות‬
‫קריטיות‪ ,‬גניבת ‪ Intellectual Property‬ומידע פרטי‬
‫של משתמשי קצה‪ .‬כמו כן‪ ,‬מאחר וכמות הפרצות‬
‫עבור מערכות מדף ומוצרי ‪ SaaS‬גדלה מחודש‬
‫לחודש‪ ,‬האיום העיקרי יהיה חדירה באמצעות‬
‫מערכות שאינן מפותחות בהכרח בתוף הארגון‪.‬‬
‫מהי הדרך הטובה ביותר להימנע‬
‫ממתקפות סייבר?‬
‫נקביל את התשובה לנהיגה ברכב‪ :‬אם אנחנו‬
‫ננהג בבנטלי‪ ,‬סביר להניח שנהיה מאוד בטוחים‬
‫ברכב‪ ,‬אך אם נתנגש במשאית‪ ,‬ככל הנראה עדיין‬
‫הרכב יתרסק‪ .‬באותה מידע‪ ,‬אין זה משנה כמה‬
‫כסף יושקע על הגנה מפני מתקפות סייבר‪ ,‬עדיין‬
‫נגיע לכ – ‪ 85%‬הגנה על מה שידוע לנו מהיכרותנו‬
‫עם הארגון‪ .‬לכן‪ ,‬אין דרך חד‪-‬משמעית להימנע‬
‫ממתקפות אלא רק למזער את הדרך לפגוע‬
‫בארגון באמצעים טכנולוגיים ואדמיניסטרטיביים‪.‬‬
‫במידה והותקפת – כיצד ניתן‬
‫להתאושש ביעילות?‬
‫שאלה מעניינת למנהל אבטחת מידע‪ ...‬כמובן‬
‫שלא הותקפתי‪ .‬מה שאני יכול לשתף הוא שאם‬
‫הייתי מותקף באופן כלשהו‪ ,‬הדרך הטובה ביותר‬
‫להתאושש היא לבנות שני תוכניות פעולה ‪ -‬קצרת‬
‫טווח וארוכת טווח‪ .‬בתוכנית קצרת הטווח חשוב‬
‫קודם כל לתקן את הנזק ולבלום את התקפה‬
‫הנוכחית‪ .‬יחד עם זאת‪ ,‬בתוכנית ארוכת הטווח‬
‫נדרש לבנות תוכנית עבודה מתאימה שתכלול‬
‫הסקת מסקנות ומקצה שיפורים‪.‬‬
‫מהן המגמות החמות של ‪?2014‬‬
‫אני חושב שנוכל לעקוב אחר חברות גדולות‬
‫כדוגמת פייסבוק‪ ,‬גוגל ופייפל על מנת להבין מה‬
‫האתגר הבא שעימו החברות מתמודדות‪ .‬אני‬
‫צופה שמגמת ה – ‪ Bug Bounty Programs‬תעלה‪,‬‬
‫כך שכל סוגי הארגונים יוכלו לממש תוכנית כזו‬
‫ולזכות בחכמת ההמונים במטרה להגן על‬
‫המערכות החשופות לאינטרנט‪.‬‬
‫אילו טכנולוגיות לדעתך יעניינו את‬
‫ה‪ ,CISO‬במהלך ‪?2014‬‬
‫טכנולוגיות לאיתור ומניעת ‪ ,0-days‬כדוגמת‬
‫מערכות ‪ Sandbox‬ותוכניות ‪ Bug Bounty‬על‬
‫מוצרים ושירותים באינטרנט‪.‬‬
‫מה דעתך על האיגוד ועל תרומתו‬
‫לפיתוח תחום אבטחת המידע‬
‫בישראל?‬
‫פעילות האיגוד התעצמה בשנה האחרונה‪ ,‬וניתן‬
‫לראות את תרומתו לקהילת אבטחת המידע‬
‫בישראל‪ ,‬בין עם בעזרת הכנסים השנתיים‪ ,‬ובין עם‬
‫בימי עיון וסדנאות מקצועיות שאתם עושים‪ .‬הייתי‬
‫רוצה לראות יותר סדנאות‪ ,‬אבל בגדול‪ ,‬החבר'ה‬
‫באיגוד עושים עבודת קודש‪ ,‬המשיכו כך!‬
‫ניר ולטמן‬
‫מנהל אבטחת מידע בחברת‬
‫משותף בחברת ‪.Crowdome‬‬
‫‪Retalix‬‬
‫ובעלים‬
‫‪CISO‬‬
‫כולל הכנה להסמכת ‪ CISM‬הבינלאומית מטעם ארגון ‪ISACA‬‬
‫משך הקורס‪ 200( :‬שעות אקדמיות)‬
‫תיאור הקורס‬
‫קבוצת ‪ TitansSecurity‬חיברה את הקורס המוביל בישראל‬
‫להקניית כלי הניהול המתקדמים ביותר עבור מנהלי‬
‫אבטחת המידע‪,‬‬
‫על בסיס הניסיון המצטבר של סגל המרצים הבכיר של‬
‫החברה‪ ,‬הן בצד האקדמי והן בצד הפרקטי‪.‬‬
‫בכדי שנוכל להקנות למשתתפי הקורס את הכישורים‬
‫להבין את התמונה הכוללת והרחבה של תפקיד מנהל‬
‫אבטחת המידע ואת היכולות לחזות את הסיכונים והכשלים‬
‫העומדים בדרך להצלחה‪ .‬ניתן דגש מיוחד לניתוח אירועים‬
‫ודיונים בין משתתפי הקורס ומנחיו על בסיס‪Case Studies‬‬
‫של אירועים אמיתיים בארגונים שונים בישראל ובחו"ל‪.‬‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫למה כדאי ללמוד אצלנו?‬
‫• לכל תלמיד בונים פרופיל‬
‫לימוד אישי בהתאם לתוצאות‬
‫הבחינות דמי שלו‪.‬‬
‫• מיטב המרצים בתעשייה‬
‫הישראלית והבינלאומית‪.‬‬
‫• תרגול מעשי רב ומגוון בנושאים‬
‫העכשוויים‪.‬‬
‫• הצלחה בטוחה ‪ -‬למעלה‬
‫הגמר‪.‬‬
‫מ‪ 98%-‬הצלחה בבחינות‬
‫• ‪ Networking‬עם מיטב‬
‫הבכירים במשק הישראלי‪.‬‬
‫• חברות שנתית באיגוד העולמי‬
‫לאבטחת מידע ‪ ISSA‬ובאיגוד • ערכות לימוד ייחודיות‬
‫הישראלי‪.‬‬
‫ובלעדיות‪.‬‬
‫והדבר הכי חשוב!!!‬
‫היות ואנו בטוחים בהצלחה שלנו‪ ,‬אנו מציעים לכלל‬
‫התלמידים הטבות נוספות‪:‬‬
‫לא עברת את הבחינה?‬
‫קבל קורס חוזר ב‪50%-‬‬
‫(ללא אותיות קטנות)‬
‫עברת את הבחינה?‬
‫קבל זיכוי של עלות הבחינה‪ ,‬לניצול בקורס הבא‬
‫במכללת ‪.Titans Security‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫למידע נוסף וקביעת פגישת ייעוץ‪:‬‬
‫ייעוץ אקדמי ‪Ts-academy@Titans2.com | 077-5150340 :‬‬
‫‪40‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫ה‬
‫ק‬
‫ז‬
‫ו‬
‫נ‬
‫ה‬
‫מכה שנית‬
‫המופיעה‬
‫סוגים השונים ספת היא‬
‫מות הנוזקות מה חודש‪ .‬בעיה נו וחכמות‪.‬‬
‫יותר מת‬
‫י‬
‫כברשת גדלה מדת יותר ו‬
‫קות נהיו‬
‫שהנוז‬
‫אחד ההסברים לשינוי לרעה בכמות הפצת‬
‫הנוזקות הוא האופי של יוצרי הנוזקות‪ :‬אם בעבר‬
‫רוב הווירוסים נוצרו לצורכי גאווה‪ ,‬הרי שכל‬
‫האינדיקציות מצביעות כיום על כך ש‪ 80%-‬מהן‬
‫נכתבות כיום למטרה של הונאות פיננסיות או‬
‫"גניבת" סודות מסחריים‪.‬‬
‫כמות הנזק הנמדדת בשל תקיפות שונות ברשת‬
‫עולה באופן קבוע‪ .‬מחקרים שונים של גורמים‬
‫בלתי תלויים מעריכים‪ ,‬כי הנזקים בעולם נובעים‬
‫מהתקפות באינטרנט עומדים על מיליארדי‬
‫דולרים‪ ,‬והם צפויים לצמוח גם בשנה הבאה‪.‬‬
‫חלפו להם ימי ההתקפה לשם ההתקפה‪ .‬בעבר‬
‫פרצו דלתות לשם הפריצה‪ ,‬כיום המטרה היא‬
‫לגנוב את המוצרים‪ ,‬ה"יהלומים" הנמצאים בכל‬
‫ארגון‪ .‬זה שינוי משמעותי בזהות התקופים‪ ,‬כמו‬
‫גם באופן התקיפה וברצינותה‪ .‬המאפיין המרכזי‬
‫של טרור קיברנטי כיום הוא זה המניע אותו ‪-‬‬
‫כסף‪ .‬בין שאר הגורמים שנפגעו‪ ,‬הובחן בגידול‬
‫ובהתקפות רבות היקף על הבנקאות המקוונת‪,‬‬
‫ומומחים מעריכים כי זו מגמה שתגדל בעתיד‪.‬‬
‫זו אחת הסיבות שהנוזקות המופיעות ברשת הן‬
‫מתוחכמות יותר‪.‬‬
‫פשע מקוון‬
‫ארגוני הפשע המאורגן הגדולים בעולם יעברו‬
‫לפעול באינטרנט והרשת תהפוך לזירת הפשע‬
‫העתידית ליצירת רווחים בלתי חוקיים ‪ -‬אנו‬
‫מבחינים בהתממשות של המגמה הזאת‪ .‬זה בא‬
‫לידי ביטוי בכמה דרכים‪ ,‬בין השאר של סחיטה‬
‫מצד גורמי פשע‪ ,‬אשר מאיימים על בעלי אתרי‬
‫‪42‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫אינטרנט כי יפילו את האתר והאינטרנט או שימחקו‬
‫את המידע שלהם‪ ,‬אם לא ייענו דרישותיהם‪.‬‬
‫המאפיין את פשעי המחשב ברשת כיום הוא‬
‫היותם עבודה של פשע מאורגן לכל דבר‪ :‬רוב‬
‫הפעילות העבריינית ברשת היא כזו‪ ,‬ורק מיעוטה‬
‫הם "סתם חוליגנים"‪ .‬צריך לפעול נגדם‪.‬‬
‫אם נצטט את הסופרת הבריטית אגאתה כריסטי‪,‬‬
‫שאמרה‪" :‬אם יש מניע‪ ,‬יש כלים ויש הזדמנות ‪ -‬אזי‬
‫יהיה אחד שיבצע את הפשע"‪.‬‬
‫המניע לביצוע פשעי מחשב הוא הכסף‪ ,‬המושג‬
‫בשרשרת של פעולות בלתי חוקיות‪ ,‬כגון הונאות‪,‬‬
‫מכירת כתובות דואר אלקטרוני לשם משלוח‬
‫דואר זבל‪ ,‬וכן גניבות ממוסדות פיננסיים‪ .‬אם לא‬
‫נשמור על הרשת‪ ,‬הרשת תהפוך למקוד שבו‬
‫כמות הנזקים רבה מכמות התועלת‪ ,‬והיא תדעך‪,‬‬
‫תהיה בלתי כלכלית‪.‬‬
‫עפ"י מחקרים שבוצעו ע"י חברות מחקר שונות‬
‫ובלתי תלויות‪ ,‬הוצגו המגמות אליהן מכוונים‬
‫הפושעים הקיברנטיים‪ ,‬ובראשם‪ :‬משתמשי‬
‫הקצה‪ ,‬ולאחריהם בנקים‪ ,‬אתרי סחר מקוונים‪,‬‬
‫ומשחקים מקוונים‪ .‬כל המגמות הללו‪ ,‬מביאות‬
‫לכך שכיום יותר מתמיד‪ ,‬נדרשת הגנה מקיפה‬
‫וכוללת על תחנות הקצה‪.‬‬
‫מה שמעניין הוא זה שגם גורמי הפשע מושפעים‬
‫מהמצב הכלכלי‪ ,‬הן של הבנקים והן של האזרחים‪,‬‬
‫מה שמביא את העבריינים לשינוי אסטרטגיה‪ .‬בעבר‬
‫נהנו עברייני מחשב מהכנסות גבוהות כתוצאה‬
‫מהפצת סוסים טרויאניים שמרוקנים חשבונות‬
‫בנקים‪ ,‬אולם המשבר בבנקים ברחבי העולם פוגע‬
‫גם בהכנסות של פושעי המחשב‪ .‬המיתון בשנתיים‬
‫האחרונות הביא את פורעי החוק הקיברנטיים‬
‫לחפש מקור הכנסה אלטרנטיבי‪ ,‬ובשנה האחרונה‬
‫נרשמו שיגורי שיא של תוכנות פרסום (‪)Adware‬‬
‫ודואר זבל קטלני‪.‬‬
‫ארגוני הפשיעה הקיברנטיים צופים מקרוב בביצועי‬
‫השוק ומתאימים את עצמם על מנת להבטיח‬
‫מקסימום רווח‪ .‬גורמי הפשיעה מתרכזים בשיגור‬
‫חסר תקדים של נוזקות שאמורות להערים על‬
‫משתמשים תמימים ולמכור להם און ליין תוכנות‬
‫מתחזות על מנת להשלים את הכנסותיהם‪ .‬אנו‬
‫מעריכים‪ ,‬כי שוק התוכנות המתחזות מגלגל כ‪10-‬‬
‫מיליון אירו בשנה לכיסם של הפושעים‪.‬‬
‫מגמה נוספת שהיינו עדים לה בשנה האחרונה‪ ,‬ואני‬
‫חושש שעוד נחווה ממנה גם השנה‪ ,‬היא תופעת‬
‫הסחטנות המקוונות ע"י שימוש בנוזקה הידועה‬
‫בשמה המקצועית = ‪ .Ransomware Malware‬בשנה‬
‫האחרונה העולה חווה אלפי מקרים של "תקיפות‬
‫מקוונות" ‪ ,‬ע"י מספר סוגים של נוזקות אשר הצפינו‬
‫את המידע של הלקוח‪ ,‬ובתמורה למפתח ההצפנה‬
‫נדרש תשלום גבוה‪.‬‬
‫תופעה זו לא הולכת להיעלם במהירות ועוד נראה‬
‫מקרים רבים גם במהלך שנת ‪.2014‬‬
‫ישראל ‪ -‬כיעד מרכזי‬
‫אנליסטים מעריכים כי ישראל בהחלט מהווה‬
‫מטרה פוטנציאלית למתקפת סייבר לאומית‬
‫בקנה מידה גדול‪ .‬מדיה שיש לה אויבים רבים כל‬
‫כך ותשתיות מחשוב מתקדמות כל כך מהווה‬
‫מטרה בולטת למתקפות שכאלה‪.‬‬
‫לדברי מומחים‪ ,‬שני סוגי מתקפות מהווים כיום את‬
‫האיומים הבולטים ביותר נגד ישראל‪ ,‬ואת חלקם‬
‫הגדול ראינו במהלך השנתיים האחרונות‪ .‬הסוג‬
‫הראשון הוא תקיפת מניעת השירות המבוזרת‬
‫(‪ .)DDOS‬ראינו בעבר כיצד מדינות קטנות יותר או‬
‫פחות‪ ,‬כמו במקרה של אסטוניה‪ ,‬נתונות לאיום‬
‫כולל שכזה‪.‬‬
‫הסוג השני הוא חדירות של האקרים לתשתיות‬
‫מרכזיות‪ ,‬כפי שהיה גם בארה"ב ומספר מטרות‬
‫מרכזיות באירופה בשנים האחרונות‪.‬‬
‫שימוש גובר בהתקנים‬
‫אלחוטיים‬
‫מגמה נוספת שאנו מבחינים בה היא שאין יותר‬
‫נקודת גישה אחת למערך ה‪ IT-‬הארגוני‪ .‬לכל‬
‫ארגון יש עובדים מהבית‪ ,‬יש מחשבים נישאים‪,‬‬
‫יש טאבלטים וטלפונים חכמים‪ .‬השימוש ברשתות‬
‫אלחוטיות הולך וגובר‪ ,‬ועמו ההתפשטות המהירה‬
‫של הנוזקות‪.‬‬
‫העולם הדיגיטלי כיום מתאפיין בביזור‪ ,‬אנשים‬
‫עובדים מהבית‪ ,‬יש להם טלפונים ניידים חכמים‬
‫ומכשירים נישאים‪ ,‬ניתן ךפרוץ אותם‪ ,‬לשתול בהם‬
‫סוסים טרויאניים ושאר הנוזקות וכן לגנוב מידע‬
‫חסוי‪ ,‬עסקי או אחר‪.‬‬
‫עלינו להעלות את רמת המודעות לאיומים‬
‫שברשת‪ ,‬וכך נעלה את רמת אבטחת המידע בה‪.‬‬
‫משלוש יוצא אחד‪...‬‬
‫נוזקות כנגד‬
‫מערכות הפעלה‬
‫אם עד כה מרבית המשתמשים אשר סבלו‬
‫מהתפרצויות מאסיביות של נוזקות היו משתמשי‬
‫מערכת הפעלה של חלונות (‪ ,)Windows‬מומחים‬
‫מזהירים כי זמנם של הלינוקס ואף ה‪ Mac-‬הם‬
‫הבאים בתור‪ .‬במחקרים אחרונים עלו הממצאים‬
‫שחלה עלייה מאסיבית בכמות הנוזקות למערכות‬
‫לינוקס‪ ,‬וגם נראו כמות נוזקות עבור מערכות ‪Mac‬‬
‫‪.OS X‬‬
‫לטענתם של אנליסטים‪ ,‬אין זה מפתיע‪,‬‬
‫כלל בהתחשב בכך שלינוקס היא המערכת‬
‫הפופולארית ביותר מבין מערכות מסוג יוניקס‪.‬‬
‫למרות שכמות המתקפות על מערכות לינוקד‬
‫אינה עולה על כמות המתקפות על מערכות‬
‫חלונות‪ ,‬עדיין כמות זו הוכפלה‪ ,‬וההאצה במספר‬
‫ההתקפות על מערכות לינוקס מחייבת מעקב‪.‬‬
‫מספר התקפות על לינוקס בוצעו בצורה המזכירה‬
‫מאוד התקפות של מערכות חלונות‪ ,‬תוך ניצול‬
‫פרצות במערכת המחשוב כדי להחדיר תולעים‪,‬‬
‫לבצע פגיעות באתרי אינטרנט או התקפות מניעת‬
‫שירות (‪.)DOS‬‬
‫אולם מערכות ההפעלה של אפל ישמשו‬
‫החלופה המרכזית של חלונות בשנה הקרובה‪,‬‬
‫ולכן אנליסטים מעריכים כי אפל מעניקה מרחב‬
‫גדול יותר לפיתוח של וירוסים וגורמים עוינים‬
‫אחרים‪ .‬משתמשי אפל לא יכולים עוד להשלות‬
‫את עצמם כי מערכות ההפעלה של מק חסינות‬
‫מפני התקפות המוכרות כל כך במערכות חלונות‪.‬‬
‫מפתחי מערכת ההפעלה ‪ OS X‬עשו אף הם‬
‫שגירות‪ .‬עד כה נחשפו כמות נדיבה של תולעים‬
‫בעלי איום פוטנציאלי הפוגעים במערכת ההפעלה‬
‫של מק בצורה המדגימה בבירור כי נעשו שגיאות‬
‫בארכיטקטורה של המערכת‪.‬‬
‫גם בדפדפן של ספארי היו פרצות אשר הפכו את‬
‫היכולת להשתיל סקריפטים לתוך המחשב של‬
‫המשתמש למשימה קלה ואפשרית‪ .‬וכך נראה‬
‫בבירור כי המערכת הפעלה של המק‪ ,‬יכולה‬
‫לשמש קרקע פורייה למחקרי אבטחה‪.‬‬
‫ולסיכום‬
‫איום הנוזקות נשען על שני מרכיבים‪ .‬ראשית‪,‬‬
‫החשיפות ‪ -‬בתחום זה נסתמו הרבה מאוד‬
‫פרצות‪ .‬מיקרוסופט‪ ,‬למשל‪ ,‬עשתה עבודה נהדרת‬
‫כאשר פעלה באינטנסיביות להורדת הפגיעויות‬
‫במערכותיה‪ .‬יש כיום הרבה פחות פרצות וחשוב‬
‫מכך ‪ -‬מודעות לנטרול הסיכונים‪.‬‬
‫מנגד‪ ,‬העבריינים יודעים כעת הרבה יותר מאשר‬
‫בעבר‪ ,‬שאם יפיצו נוזקות‪ ,‬המשטרות בעולם‪,‬‬
‫ובראשון ה‪ ,FBI-‬ירדפו אותם‪ .‬והעונשים כבדים‪.‬‬
‫אם מחברים את כל אלה‪ ,‬האפשרות של מגיפה‬
‫עולמית בתחום זה פחתה‪ .‬אך בואו לא נשכח‬
‫שגם תוכנות ההתגוננות משתכללות‪ .‬עם זאת‪,‬‬
‫גם אם הסיכון פחת‪ ,‬הוא בוודאי לא יירד לאפס‪.‬‬
‫קיים סיכון מצד צעירים שפועלים ללא מודעות‬
‫יתרה‪ ,‬שלא לדבר על הסיכון של טרור ‪ -‬שאסור‬
‫להתעלם ממנו‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪43‬‬
‫יומנו של ‪CISO‬‬
‫בעידן של היום‪ ,‬כאשר מצד אחד צריכים להתמודד עם התוקפים והמתקפות‬
‫סייבר המתוחכמות הללו‪ ,‬ומצד שני צריכים גם להתמודד עם דרישות ההנהלה‪.‬‬
‫יש לאזן בין דרישות ההגנה לבין אחריות תקציבית‪ ,‬וניתן להשיג זאת באמצעות‬
‫ניהול קפדני של סיכונים‪.‬‬
‫יש להתמקד באיחוד של קווי התקשורת ולהגדיר קו בסיס‬
‫(‪ )Baseline‬של יכולות אבטחה תוך מודעות למצבים שונים‬
‫וניטור משופר‪.‬‬
‫המחשוב והתקשורת‪ .‬התייחסות זו כללה פעילות אבטחה‬
‫מינימאלית כגון התקנת ‪ ,FW‬סריקות אנטי‪-‬וירוס‪ ,‬הקשחת‬
‫שרתים וכיוצא באלו‪.‬‬
‫חשוב לאמץ וליישם תוכנית דינמית לצמצום סיכונים‪ .‬זאת‪,‬‬
‫על מנת להבטיח עדכוני סטאטוס בזמן אמת ולהגביר את‬
‫השקיפות למצב המערכות‪.‬‬
‫הרחבת מעגלי ההגנה ‪ -‬כיום‪ ,‬בעקבות סיכוני‬
‫האבטחה ההולכים ומתרחבים‪ ,‬העולם משנה את תפישתו‬
‫לגבי יסודות האבטחה האופטימאלית‪ ,‬ותורות האבטחה‬
‫מתמקדות בראייה מתודולוגית כלל‪-‬ארגונית‪ ,‬הנותנת את‬
‫הדעת גם לארבעה מעגלי אבטחה נוספים‪ ,‬הכוללים את היבטי‬
‫האבטחה הפיזית (אבטחה היקפית‪ -‬גדרות‪ ,‬טלוויזיה במעגל‬
‫סגור‪ ,‬מערכות לסינון נכנסים ‪ -‬עובדים‪ ,‬ספקים ומבקרים‪ ,‬מערך‬
‫שומרים ועוד)‪ ,‬אבטחת מצעים פיזיים נושאי מידע (מסמכים‪,‬‬
‫דיסקים‪ ,‬קלטות וכיוצ"ב)‪ ,‬טיפול במהימנות עובדים (ווידוא‬
‫תאימות רמת מהימנות העובדים לרגישות המידע אליו יחשפו)‬
‫ואבטחת מידע בקרב ממשקים עסקיים (טיפול בכל חמשת‬
‫מעגלי האבטחה)‪.‬‬
‫מגמה חשובה היא ‪ ,ITGRC‬הצורך בממשל ‪ ,IT‬ציות והלימה‬
‫לרגולציות‪ .‬מימוש ‪ GRC‬מאפשר ניצול מרבי של התרומה‬
‫העסקית של ה‪ IT-‬לארגון‪ ,‬מפחית את עלויות ה‪ IT-‬ומצמצם‬
‫את סיכוני ה‪ .IT-‬יותר ויותר גופים נדרשים לעולם זה בהיבטי‬
‫ניהול הארגון שלהם ‪ -‬לאו דווקא בתחום האבטחה‪ ,‬אלא בהיבט‬
‫הכולל‪ .‬אבטחה מהווה חלק מניהול סיכונים‪ ,‬אבל נדרש ניהול‬
‫שוטף של המערכות‪.‬‬
‫היכולת לנהל הולכת והופכת להיות מסובכת יותר ויותר‪,‬‬
‫ההלימה הולכת וגדלה בשטח‪ ,‬אתה לא יודע האם הותקן‬
‫הטלאי בכל התחנות‪ ,‬ישנן אין סוף שאלות שהן בעולם ההלימה‪,‬‬
‫חלקן באות מתחום הסיכונים‪ ,‬כאשר הכל מתקשר לניהול עצמו‬
‫של מרכז הנתונים‪.‬‬
‫אל זירה זו‪ ,‬נכנס מנהל אבטחת המידע כמדי יום‪ ,‬כאשר עליו‬
‫להתמודד עם מגוון עצום של משימות שחלקן הגדול יכול לפגוע‬
‫באופן משמעותי בארגון ובנכסיו‪.‬‬
‫להלן מספר המלצות שמבוססות על ניסיון רב ועבודה‬
‫מאומצת של שנים‪:‬‬
‫עבודה מול צד ג' ‪ -‬יש לתת את הדעת לספקים‬
‫החשופים למידע באמצעות מערכות המחשוב‪ ,‬אך יש גם‬
‫לבקר את פעילותם של אלו הנגישים באופן פיזי למידע‪ ,‬כגון‬
‫אנשי תחזוקה ומנקים‪ ,‬הנכנסים לחברה באופן לגיטימי ומבלי‬
‫שיעוררו חשד‪ .‬חברות מתחרות רבות עושות שימוש נרחב‬
‫בספקים מתחזים או אף תוך מתן שוחד לספקים קיימים‪ ,‬על‪-‬‬
‫מנת לקבל מידע חסוי‪ .‬אסטרטגיה זו פופולארית מאוד‪ ,‬זולה‬
‫ויעילה‪ .‬יש לבצע בדיקה מקיפה בעניין גורמים חיצוניים הנכנסים‬
‫למחלקות בהן קיים מידע רגיש‪ .‬כנ"ל‪ ,‬יש לגבש הנחיות אבטחה‬
‫בגין בדיקה ועבודה מול ספקי צד ג' שלא מעולם המחשוב‪ ,‬כגון‬
‫אנשי ניקיון‪ ,‬אנשי תחזוקה ועוד‪.‬‬
‫מידע ‪ -‬המידע הוא הנכס החשוב ביותר בארגון‪ .‬בעולם‬
‫המודרני משקיעות חברות משאבים רבים במגמה להביא‬
‫לאבטחה אופטימאלית של נכס זה‪ .‬אבטחה לקויה של המידע‬
‫עלולה להביא לפגיעה קשה בכושרה העסקי של החברה‪,‬‬
‫ברווחיה‪ ,‬תפעולה או תדמיתה‪.‬‬
‫ריבוי פתרונות אבטחה ‪ -‬בעבר‪ ,‬תורות אבטחת‬
‫המידע נטו להתמקד בהיבטי המחשוב והתקשורת בלבד‪ ,‬תוך‬
‫התייחסות כמעט בלעדית למעגל האבטחה הכולל את היבטי‬
‫‪44‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫"חשוב לאמץ וליישם‬
‫תוכנית דינמית‬
‫לצמצום סיכונים‪.‬‬
‫זאת‪ ,‬על מנת להבטיח‬
‫עדכוני סטאטוס‬
‫בזמן אמת ולהגביר‬
‫את השקיפות למצב‬
‫המערכות‪".‬‬
‫מסגרת לניהול אבטחת מידע (‪ - )ISO 27001‬על‬
‫כל ארגון להגן על נכסי המידע שברשותו לאחר ביצוע בסרי‬
‫סיכונים מקיף‪ ,‬הגדרת מדיניות אבטחת מידע ארגונית המגובה‬
‫ע"י הנהלת הארגון‪ ,‬יישום תהליכים וכלים בכל חמשת מעגלי‬
‫האבטחה‪ ,‬לוודא קיום בקרה שוטפת ושיפור מתמיד‪.‬‬
‫הרשאות גישה ‪ -‬יש לבצע בדיקות מקיפות בכל נושאי‬
‫הגבלות הגישה למידע‪ ,‬דרך מערכות המחשוב של הארגון‬
‫(להגדיר פרופיל הרשאות ומשתמשים‪ ,‬לוודא הפרדת מידע בין‬
‫המחלות השונות שאין להן נגיעה למידע רגיש‪ ,‬מדיניו סיסמאות‬
‫ועוד) ודרך כניסה פיזית לאזורים (סיכון הגורמים הנכנסים‬
‫למחלקות בהן יש מידע רגיש‪ ,‬כגון חדרי המחשב) באמצעים‬
‫כגון תגי כניסה‪ ,‬מערכת ביומטרית‪.‬‬
‫סקר הרשאות ‪ -‬יש לבצע בקרה אחר המשתמשים‬
‫במידע‪ ,‬על מנת שניתן יהיה לעקוב אחר הניגשים למידע ואחר‬
‫הפעולות שבוצעו (באמצעים כגון ‪ ,CCTV‬הכוללות הקלטות‬
‫שיפקחו אחר אזורים בהם אגורים ריכוזי מידע)‪.‬יש לבקר את‬
‫הפעולות הנוגעות למידע הקיים במסמכים‪ ,‬המכילים אף הם‬
‫מידע רגיש‪ .‬האם מידע מאוחסן באופן מאובטח המונע נגישות‬
‫מגורמים שאינם אמורים להיות חשופים למידע? האם מסמכים‬
‫נגרסים או שמא הם מושלכים לפח הזבל‪ ,‬משם מוצאים את‬
‫דרכם אל מחוץ לבתי החולים?‬
‫אחריות הנהלה ‪ -‬כמעט בכל ארגון קיימים אמצעי בטחת‬
‫מידע רבים מאוד‪ ,‬ברובד הטכנולוגי והתהליכי‪ ,‬אשר ניתן ליישם‬
‫אותם במגמה למזער את האפשרות דליפתו של מידע רגיש‬
‫ולהגביר את הפיקוח והבקרה‪ .‬כמובן שבשלב הראשון ‪ -‬הנהלת‬
‫הארגון צריכה לקבל על עצמה את האחריות המלאה לבדיקה‪,‬‬
‫יישום ובקרה (פיקוח)‪ .‬תחילת התהליך יהיה בניסוח מדיניות‬
‫ארגונית מקיפה‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪45‬‬
‫יש לפתור בעיות‬
‫אבטחה של הלקוח‪,‬‬
‫לא למכור מוצרים‬
‫בכל סיטואציה ושירות חדש שארגונים מכניסים עולה וצפה בעיית אבטחת המידע וכמעט‬
‫לכל בעיה כזו יש לכאורה פתרון נקודתי קיים‪ .‬דווקא משום כך‪ ,‬ארגונים נאלצים לבחור במספר‬
‫רב של פתרונות אבטחת מידע השונים זה מזה ודורשים משאבים יקרים לצורך תחזוקה‪,‬‬
‫ניהול ואינטגרציה‪ .‬זהו מצב שמכניס בלבול רב לתוך המערכת וגובה עלויות ניהול כבדות‪.‬‬
‫במקרים רבים המוצרים הללו אינם מתואמים‬
‫ביניהם בצורה יסודית ומספקת וכשאין‬
‫תאימות יש פירצה!ריבוי מוצרים יוצר מטבע‬
‫הדברים ריבוי בעמדות הניהול המקשה על‬
‫ניהול תשתית האבטחה הקיימת ומונע את‬
‫היכולת לקבל דו"ח שלם ומלא מקצה לקצה‬
‫לגבי מצב האבטחה בארגון‪ ,‬סטאטוס לגבי‬
‫רמת פגיעות הארגון ומצב האבטחה ברמת‬
‫השרתים‪ ,‬עמדות הקצה והיישומים הקריטיים‪.‬‬
‫חוסר ריכוזיות במנגנוני הניהול יוצר גם קושי‬
‫באכיפת מדיניות אבטחת המידע ומקשה על‬
‫ביצוע שינויים כוללים במהירות וללא משאבים‬
‫מיותרים‪.‬‬
‫מכל הנקודות האמורות לעיל נגזרות הדרישות‬
‫מפתרון אבטחת המידע הארגוני‪ .‬הפתרון חייב‬
‫להיות מקיף‪ ,‬תוך אספקת תאימות מלאה בין‬
‫המוצרים והתשתיות ותוך שמירה על פשטות‬
‫הן ברמת הניהול והן ברמת התחזוקה‪.‬‬
‫יש לפתור בעיות אבטחה של‬
‫הלקוח ‪ -‬ולא למכור מוצרים‬
‫אנליסטים קוראים בקול רעם‪ ,‬קריאה כלפי‬
‫חברות האבטחה‪ ,‬לשנות את האסטרטגיה‬
‫שלהם שבגינה מרבית פתרונות האבטחה כיום‬
‫נותנות מענה לצרכים ספציפיים‪ ,‬ולא מהוות‬
‫‪46‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫פתרון אחד כולל‪ .‬כך‪ ,‬נוצר מצב שהלקוח צריך‬
‫לרכוש מספר רב של מוצרים‪ ,‬ומוצא את עצמו‬
‫קבור במגוון רחב של מוצרים‪ ,‬שבמרביתם אינו‬
‫יכול כלל לטפל‪ .‬וכאן נכנסת טוב הפתגם "מרוב‬
‫עצים‪ ,‬לא רואים את היער"‪.‬‬
‫תפקידנו הוא לפתור את בעיות האבטחה של‬
‫הלקוח‪ ,‬עלינו להבין אותן ולספק להן מענה‪ ,‬ולא‬
‫למכור יותר מוצרי אבטחת מידע‪ ,‬אומר אנליסט‬
‫בכיר‪ .‬אם נכפיל את כמות מוצרי אבטחת‬
‫המידע שנמכור ללקוח לא נגדיל פי שתיים את‬
‫כמות אבטחת המידע שתתקבל‪ .‬בכל מקרה‪,‬‬
‫הרווח יהיה לטווח קצר‪ .‬זהו עקרון חשוב ויש‬
‫להשליכו לכלל העולם העסקי אותו יש לאבטח‪.‬‬
‫לטענתו‪ ,‬אין בהכרח קשר בין דרישות הלקוחות‬
‫לתחום אבטחת המידע‪ ,‬לבין מה שמנהלי‬
‫אבטחת המידע בארגונים עושים ולמוצרים‬
‫שספקי מוצרי האבטחה מביאים לשוק‪ .‬אם‬
‫נעשה סקירה קצרה על ההיסטוריה של‬
‫מימוש אבטחת המידע בארגונים‪ ,‬ניזכר שמאז‬
‫ההתפוצצות הבועה בשנת ‪ ,2000‬מנהלי‬
‫אבטחת המידע בארגונים נאלצו להצדיק את‬
‫קיומם ואת עבודתם‪ ,‬לראשונה תוך התייחסות‬
‫להיבט העסקי‪ .‬כך החלה ההתייחסות להיבטי‬
‫החזר השקעה (‪ ,)ROI‬ערך עסקי ויחסי עלות\‬
‫תועלת‪.‬‬
‫אירועי הטרור בספטמבר ‪ ,2001‬הביאו את‬
‫המיקוד בתחום לאבטחת הפיסית‪ ,‬ושנה לאחר‬
‫מכן‪ ,‬בעקבות פרשיות אנרון ווורלדקום את‬
‫ההתייחסות לרגולציות‪ .‬בשנתיים האחרונות‪,‬‬
‫היו אלו גל מתקפות הסייבר אשר חיזקו את‬
‫מעמדה של אבטחת המידע ויחד עימה את‬
‫תפקידו של ה‪.CISO-‬‬
‫אבטחת מידע היא חלק מעולם ניהול הסיכונים‪,‬‬
‫ולכן צריך לתת לזה את המשקל הראוי לו‪.‬מנהל‬
‫אבטחת מידע ראשי (‪ )CISO‬בארגון הוא לעיתים‬
‫לא מנהל ולא ראשי‪ ,‬ולעיתים גם אין ביכולתו‬
‫להעלות את רמת האבטחה בארגון‪ ,‬בשל חוסר‬
‫תקציבים‪ ,‬וגיבוי מההנהלה‪ .‬בעייתם העיקרית‬
‫של מנהלי אבטחת המידע בארגונים היא שהם‬
‫חושבים כי אבטחת מידע זה חשוב‪ ,‬אבל מה‬
‫שמעניין את מנהלי הארגונים זה שלושה דברים‬
‫בלבד‪ :‬כסף‪ ,‬מידע ואנשים‪ .‬לכן‪ ,‬נדרש להעביר‬
‫את נושאי אבטחת המידע דרך שלושה מסננים‬
‫אלו‪ .‬צריך לגרום להנהלה להבין כי אבטחת‬
‫המידע תורמת רבות לניהול הסיכונים העסקיים‬
‫בארגון‪ .‬מטרת אבטחת המידע היא למכור את‬
‫תפיסת האבטחה לחטיבות העסקיות בארגון‪,‬‬
‫ולא לחטיבות העוסקות באבטחה (כגון חטיבת‬
‫ה‪ .)IT-‬רק כך‪ ,‬נוכל לדבר בשפה משותפת עם‬
‫הנהלת הארגון‪ ,‬ולהרוויח את מקומנו בקומת‬
‫ההנהלה‪.‬‬
‫התפתחויות טכנולוגיות‬
‫מגמה חשובה שהחלה בחמש השנים‬
‫האחרונות היא מיזוג בין העולם הפיזי ולעולם‬
‫הלוגי מבחינת היבטי אבטחת מידע‪ .‬המיזוג של‬
‫שני השדות אלו כבר קרה בפועל בעבר‪ ,‬אבל‬
‫לא היה מדובר באיחוד מלא‪ ,‬כי אם בעבודה‬
‫משותפת ובשיתוף פעולה הדוק יותר בין שתי‬
‫מחלקות שתמשכנה להישאר נפרדות‪ .‬הסיבה‬
‫למגמה החדשה‪ ,‬היא הרצון של הלקוחות‬
‫לקבל יותר ערך מוסף עבור המשאבים אותם‬
‫הם משקיעים בתחום אבטחת המידע‪ .‬מדובר‬
‫במגמה חדשנית אשר תניב לשוק פתרונות‬
‫יצירתיים וטובים למלחמה בעולם הסייבר טרור‪.‬‬
‫בסופו של דבר הכל זה אבטחה‪ ,‬והאבטחה היא‬
‫מרכיב חשוב בניהול הסיכונים‪.‬‬
‫מגמה חדשה נוספת‪ ,‬היא שילוב הביג דאטה‬
‫לעולם אבטחת המידע‪ .‬בעידן התפוצצות‬
‫המידע‪ ,‬מנהל אבטחת המידע צריך לקבל מידע‬
‫קצר‪ ,‬ממוקד ואמין שעבר את כל המסננות‬
‫בדרך‪ ,‬ולא להציפו במידע רב‪ ,‬שיגרום לרובם‬
‫ללכת לאיבוד‪ .‬מרבית מנהלי אבטחת המידע‬
‫כיום טובעים באוקיינוס של מידע עצום‪,‬‬
‫המתקבל מכלל המערכות הקיימות בארגון‪.‬‬
‫אפילו אם קיימת מערכת ‪ SIEM‬בארגון‪ ,‬הרי היא‬
‫מוציאה המון אירועים ודוחות‪ ,‬ולעתים זה לא‬
‫מה שהיינו צריכים אלא מה שרצינו לראות‪ .‬אחד‬
‫התוצרים שנראה כבר בשנתיים הקרובות‪ ,‬היא‬
‫הופעתה של מערכת ‪ SIEM‬דור ‪)SIEM 2.0( 2‬‬
‫שבעזרתה נוכל לבצע באופן אוטומטי אנליזה‬
‫של כל הוקטורים אשר אוספים מידע‪ ,‬ולקבל‬
‫תמונת מצב על אזורים בהם קיימות התנהגויות‬
‫חריגות‪ ,‬מבלי לבזבז שעות וימי עבורה ארוכים‬
‫על בניית חוקים‪ .‬המערכות יתבססו על שימוש‬
‫וניתוח מידע מעולם הביג דאטה‪ ,‬תוך זיהוי‬
‫אנומליות על סמך עקומת למידה לאורך זמן‬
‫של פעילות תקינה בארגון‪ ,‬כך שכל סטייה‪,‬‬
‫ואילו קטנה ביותר‪ ,‬תדווח למוקד האירועים של‬
‫הארגון (‪ .)SOC‬כך‪ ,‬מנהל אבטחת המידע יוכל‬
‫לקבל תמונה אחת כוללת‪ ,‬אמיתית‪ ,‬בזמן אמת‪,‬‬
‫ומאוד מאוד ממוקדת על ניסיונות תקיפה או כל‬
‫אירוע חריג אשר יתגלה בארגון‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪47‬‬
‫מבטלעתיד‬
‫מחויבות מנהל אבטחת‬
‫המידע אל מול מחויבות‬
‫ההנהלה‪.‬‬
‫מנהל אבטחת המידע בארגון צריך להיות מחויב‬
‫להתנהלות מסוימת‪ .‬במקרה של כישלון ‪ -‬הוא‬
‫יהיה זה שיישא בתוצאות‪ ,‬בין אם זה איבוד‬
‫המשרד או רישיונו לעסוק במקצוע‪ .‬רק באמצעות‬
‫מודל של תשלום אישי עבור מחדל נראה בשוק‬
‫הישראלי אבטחה טובה וסדורה יותר‪ .‬אך זה חייב‬
‫לבוא יד ביד עם מתן גיבוי תקציבי הולם לניהול‬
‫אבטחת המידע כראוי בארגון‪.‬‬
‫אומנם מונופול אבטחת המידע נמצא בידי מדינת‬
‫ישראל‪ ,‬אך היא מתנהגת באופן לא בוגר ולא‬
‫לוקחת אחריות בתחום‪ .‬הגיע הזמן שמדינת‬
‫ישראל תקבע גורם מאשר בתחום האבטחה‬
‫ורמת האבטחה הרצויה במגזרים השונים‪ .‬בדיוק‬
‫כפי שקיימת לשכה ייעודית בקרב רואי חשבון‬
‫ועורכי דין‪ ,‬מומלץ להקים לשכה ייעודית בתחום‬
‫אבטחת המידע‪ ,‬אשר תעסוק בהגדרת רמות‬
‫האבטחה למגזרים השונים‪ ,‬ופרמטרים למדידה‬
‫(ביקורת) שאותם גופים אכן עומדים בדרישות‪.‬‬
‫אבטחת מידע נמדדת במונחים כספיים‪ ,‬כיוון שהיא‬
‫מתבטאת בעלויות ישירות ובעלויות מצטברות‬
‫בארגון‪ .‬מנהלי אבטחת המידע כיום‪ ,‬אינם צריכים‬
‫להיות רק טכנולוגיים‪ ,‬אלא להתמקצע גם בהיבט‬
‫העסקי‪-‬ניהולי על מנת להתמודד בצורה יעילה‬
‫עם האתגרים שהולכים וגדלים‪.‬‬
‫מן הראוי שכפי שמשפטנים ורופאים לומדים‬
‫היבטים כלכליים הקשורים במקצוע כך אמור‬
‫להיות אף בתחום אבטחת המידע‪ .‬לעומת הצורך‬
‫במדידה ותרגום אבטחת המידע למונחים כספיים‪,‬‬
‫כיום מומחים כבר לא ממהרים להגיע לארגונים‬
‫ולהבטיח להם מדידה של החזר השקעה (‪)ROI‬‬
‫‪48‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫בתחום אבטחת המידע‪ ,‬כיוון שהלקוחות הבינו‬
‫שקשה מאוד עד בלתי אפשרי למדוד החזר‬
‫השקעה בתחום‪.‬‬
‫מדידת האפקטיביות‬
‫של האבטחה‬
‫מנהלי אבטחת מידע מתקשים סביב האופן שיש‬
‫לדווח על פעולות המבוצעות בתחום אבטחת‬
‫המידע ולהציג את הערך של מה שבוצע‪ .‬בהיעדר‬
‫קביעת מדדים וביצוע מדידות בתחום אבטחת‬
‫המידע‪ ,‬יהיה קשה ומאוד מאתגר עבור מנהל‬
‫אבטחת המידע להצדיק את המשרה שלו‪.‬‬
‫כיצד ניתן לומר איזה אירועים קרו? כיצד‬
‫טיפלנו בהם? האם טיפלנו בהם מספקי מהר‬
‫או כפי שהיינו רוצים? והאם זיהינו או לא זיהינו‬
‫את כל אירועי אבטחת המידע שקרו בארגון?‬
‫האם המוצרים שהטמענו עושים את עבודתם‬
‫נאמנה?זה שלכאורה לא קרה שום דבר‪ ,‬זה לא‬
‫אומר שאל קרו אירועי אבטחת מידע בארגון‪.‬‬
‫יחידת אבטחת המידע נחשבת בארגון כמרכז‬
‫הוצאה ‪ -‬יחידה שמבקשת כסף מההנהלה אולם‬
‫לא ממש ברור מה נעשה איתו‪.‬‬
‫נדרשת הכנסת שפה וסטנדרטיזציה לעולם‬
‫אבטחת המידע בארגון‪ ,‬כזו שמדברת בשפה של‬
‫הנהלת הארגון‪ ,‬ויכולה להציג בצורה פשטנית את‬
‫החזר ההשקעה ואת מגוון הפעילויות שמתבצעות‬
‫בתחום אבטחת המידע בארגון במהלך השנים‪.‬‬
‫רק כך‪ ,‬נוכל להצדיק את קיומנו בתור מנהלי‬
‫אבטחת מידע‪ ,‬ולזכות להערכה בקרב הנהלת‬
‫הארגון‪.‬‬
‫מנהלי אבטחת מידע צריכים לאמץ מתודולוגיה‬
‫ברורה‪ ,‬שמסדירה מה יש לדווח להנהלה ובאיזו‬
‫שפה לעשות זאת‪ .‬יש צורך להציג בפני הנהלת‬
‫הארגון ומקבלי ההחלטות נתונים ברורים‪ .‬לנהל‬
‫עסקים זה לנהל סיכונים‪ ,‬וכשהמנהלים הבכירים‬
‫מבינים את הנתונים זה נותן להם תשתית טובה‬
‫לקבלת החלטה נכונה יותר‪ .‬הם אלה שבסופו‬
‫שלד דבר מנהלי את הסיכון עבור הארגון בכללותו‪.‬‬
‫‪GRC‬‬
‫הפתרון לניהול חכם‬
‫מחקר של גרטנטר‪ ,‬העלה כי כ‪ 50%-‬מהכישלונות‬
‫של פרויקטי ‪ IT‬מקורם בניהול לקוי‪ .‬סוגיות רבות‬
‫בתחום מציאת הכישלונות מתכנסות לבסוף‬
‫לעולם ההליכים והניהול‪ .‬במערכות ה‪ IT-‬גלופ‬
‫פרדוקס‪ :‬מחד‪ ,‬הן מהוות את ההשקעה השנייה‬
‫בגודל המשאבים המוקצים לה אחרי שכר‬
‫העובדים; מנגד ‪ -‬מערכות אלו מהוות במקרים‬
‫רבים את התשתית העיקרית להכנסות החברה‪.‬‬
‫מימוש ‪ GRC‬מאפשר ניצול מירבי של התרומה‬
‫העסקית של ה‪ IT-‬לארגון‪ ,‬מפחית את עלויות‬
‫ה‪ IT-‬ומצמצם את סיכוני ה‪.IT-‬‬
‫ממשל אבטחת מידע‬
‫(‪)Security Governance‬‬
‫ניהול סיכונים ‪ -‬המירוץ בין הסיכונים לניהולם‬
‫הינו מאבק אינסופי‪ .‬הסיכון הוא מילת מפתח בכל‬
‫הקשור להתנהלות ארגונים פיננסיים‪ .‬הם מאוד‬
‫משתלמים כלכלית‪ ,‬אלא שאם אין ניהול סיכונים‬
‫יעיל ונכון ‪ -‬עלולים להגיע למשבר‪ .‬למערכות ה‪IT-‬‬
‫יש תפקיד מפתח בניהול הסיכונים בצורה יעילה‪.‬‬
‫ציות ‪ -‬יותר ויותר הנהלות ‪ IT‬נדרשות לתיאום‬
‫עם יעדים עסקיים במסגרת תקציבים מתכווצים‪,‬‬
‫ומנהלים עסקיים דורשים מה‪ IT-‬להשיג ציות‬
‫לתקנות פנימיות וחיצוניות‪ ,‬תוך ניהול האיזון העדין‬
‫של סיכון מול תשואה‪ .‬מיכון תהליך הציות ‪ -‬הוא‬
‫המפתח לעמידה בדרישות אלה באופן חסכוני‪.‬‬
‫לקוחות יחפשו בעתיד אחר פתרונות שיאפשרו‬
‫לארגון למכן את תהליכי ציות ‪ IT‬מרכזיים‪,‬‬
‫במטרה להפחית את הסיכון לנכסי המידע‬
‫שלהם‪ ,‬ולהפחית את העלויות של ניהול הציות‪.‬‬
‫ספקים יצטרכו להציע פתרונות בשילוב של‬
‫הערכת סיכוני ‪ IT‬ויכולות ציות לפתרון משולב‪,‬‬
‫כדי לשפר את התיאום בין ציות ‪ IT‬לתהליכים‬
‫העסקיים בארגון‪ .‬וזה מתחיל החל מהגדרת‬
‫מדיניות מתאימה מבוססת על תקנות חוקיות‪,‬‬
‫דרך הערכת בקרות ‪ IT‬לטיפול בפערים‪ ,‬ולבסוף‬
‫‪ -‬יצירת דו"חות מפורטים‪.‬‬
‫מגמת ה‪BYOD-‬‬
‫על פי מחקרים שונים‪ ,‬יותר משלושת רבעי‬
‫מהארגונים ברחבי העולם‪ 78% ,‬מהם‪ ,‬מאפשרים‬
‫גישה לסביבת העסקים ממכשירים ניידים‬
‫שמצויים בבעלות העובדים‪ .‬זה דורש ניהול חכם‪,‬‬
‫פשוט ומאובטח של רכיבים אלה‪.‬‬
‫יש צורך בניהול מידע ולא בניהול של המכשירים‬
‫הניידים‪ .‬מנהלי אבטחת המידע בארגונים צריכים‬
‫לדאוג לאבטח אותו ברמת היישום‪ .‬כל המגמות‬
‫החמות כיום ‪ -‬למשל‪ ,‬מחשוב ענן‪ ,‬ביג דאטה‪,‬‬
‫ושיתופיות ‪ -‬מתקשרות למגמת ההצטרכנות‪,‬‬
‫ולא לניהול הרכיבים הניידים (‪.)MDM‬‬
‫הגישה שאם העובד נייד ‪ -‬גם המידע שלו חייב‬
‫להיות נייד‪ .‬מגמת ה‪( BYOD-‬ר"ת של ‪Bring Your‬‬
‫‪ )Own Device‬היא אמיתית‪ .‬אם רוצים ליישם את‬
‫המגמה הזו בארגון ‪ -‬יש לנהוג בכללי זהירות‬
‫ולבדוק את מהימנות הפתרונות בעזרת בדיקות‬
‫צד שלישי‪.‬‬
‫כולם רוצים להשתמש בטלפונים חכמים‬
‫וברכיבים ניידים‪ ,‬ולכן המנמ‪,‬רים הבינו שהם‬
‫חייבים לאפשר זאת ולספק לעובדים יכולת‬
‫לעבוד באופן נייד‪ .‬הגישה לניהול ‪ MDM‬צריכה‬
‫להיות כזו שעושה הפרדה מוחלטת בין החלק‬
‫העסקי לחלק האישי במכשיר‪ .‬לא צריך לנהל את‬
‫המכשיר‪ ,‬אלא את המידע‪ ,‬ובכך ניתן אף לאפשר‬
‫למשתמש חוויה מלאה במכשירו‪.‬‬
‫האתגר הראשי של המנמ"ר ב‪ 2014-‬יהיה‬
‫כיצד לאמץ את ה‪ BYOD-‬שצוברת תאוצה בכל‬
‫המגזרים‪ ,‬ובמיוחד במגזר הקמעוני‪ ,‬אבל עדיין‬
‫לשמור על אבטחת המידע‪.‬‬
‫מרבית הארגונים כבר הטמיעו או מתכוונים‬
‫להטמיע טאבלטים‪ ,‬מה שמציב בפני מנהלי‬
‫אבטחת המידע אתגרים חדשים‪ .‬מבין אותם‬
‫אתגרים ניתן למנות את הצורך למנוע זליגת‬
‫ודליפת מידע‪ ,‬להגן על פרטיות המשתמשים‪,‬‬
‫לאבטח את התוכן הקנייני המצוי ברכיבים‬
‫הניידים‪ ,‬לוודא שהגישה לרשת הארגונית נעשית‬
‫תוך בקרה ורק למי שמורשה לכך‪ ,‬למנוע אובדן‬
‫רכיבים ולעשות בקרת נזקים אם זה כבר קרה‪,‬‬
‫ולתמוך בציוד חדש ולא ידוע‪.‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪49‬‬
‫ראיון בלעדי עם ע‪.‬מ‪.‬‬
‫קבוצת טייטנס סקיוריטי פיתחה את‬
‫מנהל אבטחת מידע‬
‫במשרד ממשלתי‬
‫ספר מעט על עצמך‬
‫ועל החברה‬
‫יש הבדל באבטחת חברת היי‪-‬‬
‫טק‪ ,‬לעומת חברות אחרות?‬
‫אני בארגון מעל עשר שנים‪ ,‬הנדסאי מחשוב‬
‫בהכשרתי ובעל הסמכות שונות בתחום אבטחת‬
‫המידע כגון ‪ ,CISSP, CISM‬ו‪ .CISA-‬החברה היא‬
‫בית תוכנה העוסקת בפיתוח ושיווק של תוכנות‪.‬‬
‫יש לנו ‪ 30‬אלף לקוחות ארגוניים בארץ ובעולם‪,‬‬
‫ובמערכת משתמשים מאות אלפים‪.‬‬
‫ישנה בעיה ייחודית לנו‪ ,‬כחברת היי‪-‬טק‪ .‬יש לנו‬
‫כחברת תוכנה‪ ,‬אנו נמצאים כמעט תמיד בחזית‬
‫הטכנולוגיה‪ ,‬ואני מוצא את עצמי מתמודד מדי‬
‫יום עם אתגרים חדשים כגון מעבר חלק מה‪IT-‬‬
‫למחשוב ענן‪ ,‬התמודדות עם מגמת ה‪,BYOD-‬‬
‫שבה כל עובד כמעט מביא עימו את המכשיר‬
‫שלו ומצפה להיות מחובר לרשת הארגונית‪ ,‬ועוד‪.‬‬
‫מה כולל תפקידך כמנהל‬
‫אבטחת המידע בארגון?‬
‫אני אחראי לספק מענה אבטחתי‪ ,‬גם ברמת‬
‫הטמעת מדיניות אבטחת מידע וגם ברמה‬
‫הטכנית‪ .‬כיום‪ ,‬הרמה הטכנולוגית אינה מספקיה‪,‬‬
‫ובנוסף לה‪ ,‬על מנת להשיג רמת אבטחה גבוהה‪,‬‬
‫נדרשת מדיניות אבטחת מידע ונהלים אשר ינחו‬
‫את המשתמשים מה מותר ומה אסור‪ ,‬וכיצד לנהוג‬
‫עם נכסי המידע של הארגון‪ .‬את המדיניות הו יש‬
‫לאכוף ואני שותף בקבלת ההחלטות ובגיבושן‪,‬‬
‫בטרם המימוש‪ .‬בארגון יש מעל ‪ 500‬עובדים‪,‬‬
‫מתוכם ‪ 4‬אנשים העוסקים בתחום אבטחת‬
‫במידע‪ ,‬שאני אחראי עליהם ישירות‪.‬‬
‫אילו בעיות אבטחה עומדות‬
‫לפניך?‬
‫הבעיות העיקריות הן בחינות העובדים להתנהגות‬
‫נכונה‪ ,‬חינוך לשימוש נכון בדואר האלקטרוני‪,‬‬
‫עבודה ברשת האינטרנט‪ ,‬הורדת תוכנות וכו'‪.‬‬
‫בנוסף לצד החינוכי‪ ,‬יש כמובן את ההגנה בצד‬
‫הטכנולוגי‪ ,‬מול כל הנוזקות והקודים הזדוניים‪.‬‬
‫כמו כל ארגון‪ ,‬אנו מתמודדים מול איומים מבחוץ‪,‬‬
‫וכן בהיבט חינוך העובדים‪ .‬אני גיבשתי והטמעת‬
‫את מדיניות אבטחת המידע בארגון הכוללת טיפול‬
‫במערך ההרשאות‪ .‬כל עובד מקבל אך ורק גישה‬
‫והרשאות שהוא צריך בהתאם לצורך העסקי‪.‬‬
‫‪50‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫מחלקת תכנות ומחלקת תמיכה טכנית (‪Help-‬‬
‫‪ ,)Desk‬רובם ככולם אנשי מחשבים‪ .‬אז אי אפשר‬
‫להתייחס אליהם כאל משתמשי קצה רגילים‪ .‬אנו‬
‫משתדלים למצוא את העמק השווה בין שמירה‬
‫על מדיניות אבטחת המידע מחד‪ ,‬ומתן אפשרות‬
‫גישה ועבודה נוחה‪ ,‬ללא מגבלות‪ ,‬מצד שני‪ .‬הרי‬
‫אין לנו מטרה להפריע לעובדים לעבוד ולפגוע‬
‫להם בתפוקה‪.‬‬
‫מה שמאפיין את החברה שלנו כחברת היי‪-‬טק‪,‬‬
‫הוא שאנחנו מפתחים תוכנה‪ .‬מטבע הדברים‪,‬‬
‫התוכנה מכילה מידע רגיש‪ .‬לקוחות מזינים‬
‫במערכת שלנו מידע עסקי רגיש שלא היו רוצים‬
‫לחשוף‪ ,‬אז אנו מקפידים בכל השלבים‪ ,‬החל‬
‫משלב הפיתוח‪ ,‬כולל התוכנות והיישום‪ ,‬שתהיה‬
‫אבטחת מידע ברמת הקוד‪.‬‬
‫מה הנזק העלול להיגרם‬
‫מזליגת מידע מהארגון?‬
‫ישנם תרחישים מוכרים לכולנו‪ :‬משתמש השולח‬
‫דוא"ל בטעות למשתמש או קבוצת משתמשים‬
‫אחרת‪ ,‬מזכירה שמדפיסה מסמך רגיש למדפסת‬
‫מחלקתית ובכך חושפת את המסמך לעיני כל‪,‬‬
‫או עובדת השולחת מסמכים רגישים הביתה‪ ,‬על‬
‫מנת להמשיך ולעבוד מחוץ למשרד‪.‬‬
‫זליגת מידע מהארגון‪ ,‬גם אם שלא במתכוון‪,‬‬
‫עלולה לגרום לארגון נזק רב ‪ -‬נזק כלכלי כמו גם‬
‫תדמיתי‪ .‬עיקר החקיקה הוא בארה"ב‪ ,‬אך כבר ניתן‬
‫לראות ניצנים של "ייבוא חקיקה"‪ ,‬גם פה‪...‬הבעיה‬
‫היא עדיין אכיפה נאותה‪.‬‬
‫מה נדרש לעשות בהיבט‬
‫הארגוני למנוע מצב זה?‬
‫קיימות שיטות להגנה מפני זליגת מידע‬
‫מהארגון‪ ,‬אלא שמרבית המאמצים עד היום‬
‫היו בדגש על ניטרול כניסות בלתי רצויות‬
‫ומניעת פגיעה במידע פנימי‪ ,‬על‪-‬ידי גורמים‬
‫חיצוניים‪ .‬מה שנדרש הוא גם התייחסות‬
‫למרכיבי מידור פנים‪-‬ארגוניים‪ ,‬שם פתרונות‬
‫הרשאות והצפנה לא מספקים מענה הולם‪.‬‬
‫על מנת לסווג מידע‪ ,‬וליצור ברירת החלטה לגבי‬
‫היכולת לחושפו‪ ,‬נדרש ניתוח מעמיק של המידע‬
‫הקיים בארגון‪ ,‬יחד עם יכולת דינמית גבוהה‪,‬‬
‫לעקוב אחר שינויים ותוספות המתבצעים בכל‬
‫רגע נתון‪ .‬מידע סודי או רגיש נמצא במקומות רבים‬
‫בארגון‪ :‬שרתי קבצים‪ ,‬מערכות דואר אלקטרוני‪,‬‬
‫מסדי נתונים ועוד‪ .‬בנוסף‪ ,‬סיווגו של המידע כרגיש‪,‬‬
‫אינו מספיק בהכרח‪ ,‬כי יש סיכוי שהמידע יעבור‬
‫שינויים‪ ,‬ועדיין נדרש להגן עליו‪.‬‬
‫איך זה משפר את ההגנה‬
‫על המידע?‬
‫כך‪ ,‬ניתן להשיג מהמערכת כמה יעדים ‪ -‬הגנה‬
‫מפני דליפת מידע רגיש אל מחוץ לארגון‪ ,‬או‬
‫הגעתו לידיים הלא נכונות בתוך הארגון; זיהוי‬
‫ומניעה של דליפת מידע בזמן אמת‪ ,‬על בסיס‬
‫מדיניות מוגדרת להפצת התכנים‪ ,‬על‪-‬פי סיווגם;‬
‫חסימה‪ ,‬או התראה‪ ,‬במקרה הפרת מדיניות‬
‫זו‪ ,‬יוצרת שקיפות מלאה של תנועות התכנים‬
‫היוצאים מהארגון‪ ,‬וזה מאפשר ניתוח טוב יותר‬
‫של מידת הנזק במקרה של זליגת מידע‪.‬‬
‫על מנת למנוע זליגת מידע‪ ,‬אין די בהטמעת‬
‫מדיניות והפצת נהלים‪ ,‬אלא נדרשת אכיפה ברמה‬
‫הטכנולוגית‪ ,‬ולכן הטמענו מערכת למניעת זליגת‬
‫מידע‪ .‬המטרה היא להגן על המידע הארגוני‪,‬‬
‫והמערכת מנתחת אותו באמצעות הגדרות‬
‫ראשוניות‪ ,‬המצביעות על מאפייניו ומיקומו‬
‫במערכת הארגונית‪ .‬מהרגע שהמידע מאובחן‬
‫ מתבצעת סקירה קבועה של תנועת הרשת‬‫ואיתור פיסות מידע‪ .‬מיד עם איתור ניסיון להוציא‬
‫מידע רגיש מתוך הארגון‪ ,‬מתממשת ע"י המערכת‬
‫מדיניות אכיפה שהוגדרה מראש‪ .‬זו כוללת‬
‫חסימת המידע‪ ,‬תיעוד הפעילות‪ ,‬עדכון מיידי של‬
‫גורמי האבטחה בארגון‪ ,‬וכן תיעוד כל ניסיון הוצאה‬
‫במאגרי המערכת לצורך מעקב‪.‬‬
‫למערכת יש יכולת לזהות את המידע על בסיס‬
‫"טביעת אצבע"‪ ,‬אותה הוא יוצר לכל המידע‬
‫הנמצא בשרתי הקבצים ושרתים אחרים בארגון‪,‬‬
‫וכך נחסך זמן רב באיתור העברת מידע בזמן‬
‫אמת‪ ,‬כמו גם ביכולת זיהוי חומר רגיש‪ ,‬אם בשל‬
‫שינויים שעבר או שרק חלקים ממנו הועברו‬
‫החוצה‪.‬‬
‫היערכות ויישום מדיניות מתאימה‪ ,‬תימנע מהארגון‬
‫את הנזק הבלתי הפיך העלול להיגרם בשל‬
‫חשיפת מידע רגיש לעיניים בלתי רצויות‪.‬‬
‫המסלול המוביל בעולם‬
‫אבטחת המידע והסייבר‬
‫‪Cyber Security‬‬
‫‪& Incident Management‬‬
‫‪ Titans Security‬פיתחה את המסלול המוביל בעולם הסייבר וניהול אירועי אבטחת מידע‪.‬‬
‫מדובר במסלול ייחודי ובלעדי המכשיר את הבוגרים בהתמודדות יעילה עם עולם הסייבר‪.‬‬
‫בוגרי הקורס ירכשו את הידע ויקבלו את הכלים בהתמודדות עם אירועי סייבר שונים‪.‬‬
‫במסגרת הקורס הבוגרים ילמדו מתודולוגיות לזיהוי‪ ,‬טיפול וניהול אירועי אבטחת מידע‪.‬‬
‫אין מנהל אבטחת מידע לא מוצלח‪ ,‬יש מנהל אבטחת מידע לא מודרך!‬
‫למה כדאי ללמוד אצלנו?‬
‫• לכל תלמיד בונים פרופיל לימוד אישי • ‪ Networking‬עם מיטב הבכירים‬
‫במשק הישראלי‪.‬‬
‫בהתאם לתוצאות הבחינות דמה‪.‬‬
‫• הצלחה בטוחה ‪ -‬למעלה מ‪98%-‬‬
‫• חברות שנתית באיגוד העולמי‬
‫הצלחה בבחינות הגמר‪.‬‬
‫לאבטחת מידע ‪ ISSA‬ובאיגוד‬
‫הישראלי‪.‬‬
‫• מיטב המרצים בתעשייה הישראלית‬
‫והבינלאומית‪.‬‬
‫• ערכות לימוד ייחודיות ובלעדיות‪.‬‬
‫• תרגול מעשי רב ומגוון בנושאים‬
‫העכשוויים‪.‬‬
‫והדבר הכי חשוב!!!‬
‫היות ואנו בטוחים בהצלחה שלנו‪ ,‬אנו מציעים‬
‫לכלל התלמידים הטבות נוספות‪:‬‬
‫לא עברת את הבחינה?‬
‫קבל קורס חוזר ב‪50%-‬‬
‫(ללא אותיות קטנות)‬
‫עברת את הבחינה?‬
‫קבל זיכוי של עלות הבחינה‪ ,‬לניצול בקורס‬
‫הבא במכללת ‪.Titans Security‬‬
‫מלגות והטבות ייחודיות לחיילים משוחררים וסטודנטים‪.‬‬
‫למידע נוסף וקביעת פגישת ייעוץ‪:‬‬
‫ייעוץ אקדמי ‪Ts-academy@Titans2.com | 077-5150340 :‬‬
‫הידעתם? |‬
‫הונאות וסייבר ‪ -‬הדור הבא של זיהוי משתמשים‬
‫מנוי שנתי לעיתון מודעּות‬
‫לנושא אבטחת המידע‬
‫זיהוי משתמשים באינטרנט ובסביבות וירטואליות הופך‬
‫מורכב עוד יותר מבעבר‪ ,‬לכן‪ ,‬נדרש להטמיע את הדור הבא‬
‫של טכנולוגיות למניעת הונאות‪ .‬טכנולוגיות שאינן דורשות‬
‫התקנה של רכיבים בצד הלקוח‪ ,‬אלא מזהות אותו באופן‬
‫מתוחכם‪ ,‬על בסיס פטנטים סביב מידע ממחשבי הגולשים‪.‬‬
‫גיליון מודעות דו חודשי‪ ,‬שמטרתו להגביר את מודעות העובדים בנושא‬
‫אבטחת המידע‪ ,‬ע"י חשיפתם לאירועים שונים בארץ ובעולם‪ ,‬עדכונים אודות‬
‫טכנולוגיות ומתקפות חדשות‪ ,‬המלצות וטיפים של "עשה ואל תעשה" ועוד‪.‬‬
‫חדשות סייבר‬
‫חברות האינטרנט מזהות את מחשבי המשתמשים‬
‫בעיקר באמצעות ‪ ,Cookie‬הדפדפנים מאפשרים‬
‫גלישה 'פרטית' שאינה מאפשרת השארת מידע‬
‫במחשב והשינוי שבוצע לאחרונה ברכיבי פלאש‬
‫מאפשר למחוק ‪ , Cookies‬לצד מגמות אלה‪,‬‬
‫התגברה החקיקה באיחוד האירופי שמטרתה‬
‫הגדלת פרטיות הגולשים‪.‬‬
‫אחת הטכנולוגיות החדשות שכבר בשימוש כיום‬
‫בעולם ההונאות‪ ,‬מביטה על משתמש אינטרנט‬
‫ומוציאה נתונים של חתימת זמן ברמת המילי‪-‬‬
‫שנייה ממחשבו או ממכשיר נייד‪ .‬הטכנולוגיה‬
‫מחשבת את סטיית הזמן במכשיר‪ ,‬המהווה‪ ,‬לפי‬
‫מחקרים רבים‪ ,‬חתימה בזהות מקסימאלית של‬
‫המשתמש‪ .‬נתון זה‪ ,‬בהצלבה עם נתונים נוספים‬
‫כגון סוג הדפדפן‪ ,‬רכיבים שונים בו‪ ,‬אזור זמן עולמי‬
‫ועוד ‪ -‬יוצרים זהות דיגיטלית ייחודית‪ .‬באמצעות‬
‫זהות זו מוגדרים תסריטים שונים כגון כניסה‬
‫למערכות מסחר מקוון‪ ,‬פרסומות ממוקדות‪ ,‬זיהוי‬
‫הונאות‪ ,‬זיהוי באתרי היכרויות ועוד‪.‬‬
‫מה שרלוונטי עבור מנהלי האבטחה בארגונים הוא‬
‫זיהוי שימוש באינטרנט של המשתמשים‪ ,‬גישה‬
‫למערכות רגישות‪ ,‬גישה בחיבור מרחוק לרשת‬
‫הנוזקה מכה שנית‬
‫נוזקות כופר (‪)Ransomware‬‬
‫ידיעון בנושא‬
‫מודעות ל אבטחת מידע‬
‫י די עון‬
‫דצמבר ‪2012‬‬
‫עון ב‬
‫י די‬
‫מרץ‬
‫‪ 20‬שנה בכלא‪...‬‬
‫בגין מתקפות סייבר‬
‫‪ "Security Act‬אשר אושר בשנת ‪ 2005‬בתגובה למתקפה הגדולה שאירעה‬
‫בחג הכריסטמס האחרון בארה"ב‪,‬ובו כ‪ 40‬מיליון לקוחות של חנות ‪TARGET‬‬
‫נפלו קורבנות לגניבת כרטיסי אשראי‪ .‬מטרת החוק היא לשפר את רמת‬
‫ההגנה על פרטיות המידע של האזרחים‪ ,‬ולהקשות על התוקפים עם מתן‬
‫עונשים כבדים‪ .‬העונש על פריצה הועלה מתקופה של ‪ 10‬שנים‪ ,‬לתקופה‬
‫של ‪ 20‬שנה‪ .‬כמו כן‪ ,‬הוא קורא בקריאת אזהרה לכל החברות אשר מחזיקות‬
‫בסיסי נתונים רגישים הכוללים מידע אודות צנעת הפרט לרבות כרטיסי‬
‫אשראי‪ ,‬לשפר את רמת האבטחה שלהם‪ ,‬וליישם מדיניות טיפול במתקפות‬
‫סייבר‪ .‬תחת ההגדרה של תוקף‪ ,‬נכנסו פושעי סייבר‪ ,‬האקרים‪ ,‬האקטיביסטים‪,‬‬
‫וכל אדם שינצל לרעה את השימוש במחשבים במרחב הסייבר‪.‬‬
‫ואנחנו אומרים‪...‬מה לגבי ישראל?‬
‫‪52‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫א מו‬
‫נו ש‬
‫ד עו ת‬
‫לאב‬
‫טחת‬
‫מי ד ע‬
‫בנו שא‬
‫מו דע‬
‫ות לא‬
‫בט חת‬
‫מי דע‬
‫פברו‬
‫אר ‪2013‬‬
‫‪2013‬‬
‫הארגונית ולסביבת הענן של הארגון‪ .‬יישמנו‬
‫את הטכנולוגיות הללו בארגונים רבים בתחום‬
‫הבנקאות והמסחר האלקטרוני‬
‫הסנט האמריקאי העלה תקדים לחוק הישן "‪Personal Data Privacy and‬‬
‫עם התפתחויות הטכנולוגיות ושיפור רמת האבטחה בארגונים הפיננסים‪,‬‬
‫התוקפים שינו אסטרטגיה‪ ,‬וכעת הם מחפשים אחר קורבנות קלים יותר‪ ,‬ע"י‬
‫שימוש בנוזקת הכופר המפורסמת (‪ .)Ransomware‬במהלך השנה האחרונה‪,‬‬
‫התחזקה תופעת הנוזקות אשר "גונבות" את המידע הרגיש בארגונים ו\או‬
‫אצל משתמשי הקצה‪ ,‬והתוקף מבקש דמי כופר עבור שחרור המידע‪ .‬ישנם‬
‫מגוון נוזקות אשר פעילותן דומה‪ ,‬בכך שהן מצפינות את המידע הרגיש‪,‬‬
‫ומבקשים מכם תשלום עבור קבלת המפתח לשחרור ההצפנה‪ .‬החדשות‬
‫הטובות הם שספקי האנטי‪-‬וירוס השונים שחררו מספר כלים שמטרתם‬
‫לסייע לארגונים להתמודד עם הנוזקות הללו‪ .‬החדשות הרעות‪ ,‬הם שישנן‬
‫נוזקות מתוחכמות אשר אין להם פתרון קסם (הסרה)‪ ,‬ולכן יש צורך בנקיטת‬
‫אמצעים מניעתיים בכדי למנוע את "לכידת" המידע הרגיש‬
‫כי ידע זה כח‬
‫אודות‬
‫העיתון‬
‫העיתון מחולק ל‪ 5-‬קטגוריות עיקריות‪:‬‬
‫יתרונות‬
‫השרות‬
‫‬
‫•השימוש בעיתון מאפשר למנהל אבטחת‬
‫המידע בארגון לחשוף את כלל העובדים למגוון‬
‫נושאים הקשורים לעולם אבטחת המידע‪ ,‬בצורה‬
‫פשוטה‪ ,‬ויעילה‪.‬‬
‫‬
‫•העיתון מעוצב בצורה ויזואלית ונוחה לשימוש‪,‬‬
‫וכולל התייחסות לכלל סוגי האוכלוסיות‬
‫בארגון‪ ,‬החל מהמשתמשים הפשוטים‪ ,‬עובדי‬
‫‪ ,IT‬אנשי פיתוח‪ ,‬ואף הנהלת הארגון‪.‬‬
‫‬
‫•ניתן לשלב הנחיות ונהלים של הארגון בתוך‬
‫הידיעון‪.‬‬
‫‬
‫•ניתן להפיץ את הגיליונות דרך הפורטל‬
‫הארגוני ו\או באמצעות העברת מיילים‬
‫פנימיים לכלל העובדים בארגון או לקבוצות‬
‫ייעודיות‪.‬‬
‫‪1 .1‬פינת החדשות‬
‫פינה הסוקרת חדשות בעולם אבטחת‬
‫המידע ואיומי סיביר‬
‫‪2 .2‬פינת המשתמשים‬
‫פינה העוסקת כולה בטיפים והמלצות‬
‫ומידע בסיסי עבור משתמשים כלליים‪,‬‬
‫אשר אין להם נגיעה לעולם המחשוב‪.‬‬
‫‪3 .3‬פינת ה‪IT-‬‬
‫פינה העוסקת במגוון נושאים טכנולוגיים‪,‬‬
‫שיכולים לסייע לאנשי ה‪ IT-‬בארגון‬
‫להגביר את המודעות והידע שלהם‬
‫בעולם אבטחת המידע‪.‬‬
‫‪4 .4‬פינת המפתחים‬
‫פינה העוסקת במגוון טיפים והמלצות‬
‫בתחום אבטחת המידע‪ ,‬הקשור ישירות‬
‫לחיי היומיום של המפתח‪ .‬המלצות‬
‫לפיתוח מאובטח‪ ,‬טיפים אודות מתקפות‬
‫ודרכי התמודדות‪ ,‬ועוד‪.‬‬
‫‪5 .5‬פינת ההנהלה‬
‫פינה העוסקת במגוון נושאים כלליים‪,‬‬
‫מנקודת מבטם של מנהלי הארגונים‪,‬‬
‫וכוללת סקירה טכנולוגית‪ ,‬מגמות בעולם‬
‫אבטחת המידע וניהול סיכונים‪ ,‬דרישות‬
‫חוקיות ורגולטוריות‪ ,‬ועוד‪.‬‬
‫לפרטים והרשמה‪:‬‬
‫טלפון‪077-5150340 :‬‬
‫‪info@titans2.com‬‬
‫* ניתן להפיץ יחד עם הידיעון דף פתיחה‪,‬‬
‫מעוצב עם הלוגו של החברה‬
‫עלות‬
‫השרות‬
‫השרות עולה ‪ ₪ 5000‬לשנה וכולל‬
‫‪ 6‬גיליונות בשנה‬
‫ובנוסף ניתן לקבל התרעות לגבי איומי‬
‫סייבר בזמן אמת למייל‪.‬‬
‫(ניתן להגדיר במערכת עד ‪ 3‬כתובות‬
‫דוא"ל)‪.‬‬
‫זמין‬
‫כל המ מקבל‬
‫רות זה‬
‫ש‬
‫פים‬
‫חינם‬
‫יים נוס‬
‫חודש‬
‫סטרים‬
‫ו‪ 10-‬פו שא‬
‫בנו‬
‫למודעות המידע‬
‫אבטחת א ר ג ו ן ‪.‬‬
‫שב‬
‫לשימו‬
‫ראיון בלעדי‬
‫עם מנהל תחום אבטחת מידע‪,‬‬
‫רשות האכיפה והגבייה‪ ,‬זלקר גיא‬
‫כיצד אתה רואה את‬
‫המוכנות והמודעות של‬
‫ארגונים בישראל מבחינת‬
‫עמידה מפני איומי סייבר?‬
‫אנו ערים להתפתחות ושיפור במוכנות והמודעות‬
‫של ארגונים בישראל‪ ,‬אך אנחנו עדיין רחוקים‬
‫מלהיות מוכנים‪ .‬כמות האיומים הולכת וגדלה‬
‫והיכולת שלנו להתגונן משתרכת מאחור‪.‬‬
‫במישור של זליגת מידע רגיש – אנחנו לא שם‪,‬‬
‫מכיוון שאין הפרדה של תשתיות‪ ,‬מרבית הארגונים‬
‫חושפים את הרשת הפנימית שלהם לאינטרנט‬
‫כאשר הרשת הפנימית מכילה חומר רגיש רב‬
‫הכולל בין היתר מידע אישי פרטי‪ ,‬מידע כלכלי‪,‬‬
‫צנעת הפרט‪ ,‬לעתים חסוי ע"פ דין‪ ,‬תכתובות‬
‫פנימיות של הארגון ומידע אודות מדיניות הארגון וכו‪.‬‬
‫כל עוד לא תבוצע הפרדת רשתות אנחנו‬
‫מאויימים‪ ,‬והאיומים יגדלו וכמות המידע שיזלוג‬
‫יגדל וכל הארגונים ידרשו לרכוש כלים להגנה‪.‬‬
‫הרבה ארגונים יוצאים למכרזים לשירותי ענן‬
‫לטובת אחסון דוא"ל לדוגמא‪ ,‬כאשר אין ודאות‬
‫שהמידע מוגן‪ ,‬וגם אם הוא מוצפן אין ודאות‬
‫שהצופן מספיק חזק כפי שלמדנו מסיפור‬
‫אדוארד סנודן על ה ‪ ,NSA‬ומתגליות חדשות על‬
‫פיתוח הצפנות בקלות (האזנה לצלילים שמופקים‬
‫מהמחשב)‪.‬‬
‫האם לדעתך מדינת ישראל‬
‫ערוכה בעצמה למלחמת‬
‫סייבר כוללת? האם היא‬
‫מוכנה להגן על הארגונים‬
‫ואזרחיה?‬
‫מאמין שכן‪.‬‬
‫‪54‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫מה דעתך על האכיפה‬
‫של חוק הגנת הפרטיות‬
‫בישראל?‬
‫ישנו קושי קב בתחום‪ ,‬חוק המחשבים עודכן בסוף‬
‫שנת ‪ , 2012‬הטכנולוגיות מפתחות ומתעדכנות‬
‫בקצב שהחוק לא מכסה ומדביק את החידושים‬
‫והיכולות הקיימות בעולם הסייבר‪ .‬עולם‬
‫האינטרנט מתנהל ברובו מחוץ לכותלות הארץ‪.‬‬
‫עובדה זו מהווה קושי ממשי בשמירה על פרטיות‬
‫המשתמשים אשר מידע אישי עליהם מופץ‬
‫באתרים בחו"ל‪ ,‬רשתות חברתיות‪ ,‬בלוגים וכו‪.‬‬
‫כולנו חולקים הרבה תוכן שנצבר ונצבר בשרתים‬
‫של חברות‪ ,‬אשר מקנות לנו שירותים חינמיים‪ ,‬אך‬
‫מתחת לזאת מסתתרת עלות סמויה והיא מכירת‬
‫המידע למפרסמים‪ .‬שוק הפרסום באינטרנט הוא‬
‫עצום ונשען על המידע שאנחנו חושפים‪.‬‬
‫כמו כן‪ ,‬במידה ופורסם מידע פוגעני על אחד‬
‫מהאזרחים‪ ,‬והמידע פורסם באתר שמאוחסן‬
‫בחו"ל‪ ,‬קשה מאוד להשפיע על מנהלי האתר‬
‫להוריד את התוכן‪ ,‬ואנו חווים זאת כל פעם מחדש‪.‬‬
‫לעתים אנו מטפלים בנושאים כאלה בצורה של‬
‫קידום נגדי – כלומר הפצת כתבות ומידע חיובי על‬
‫אותו האדם ע"מ שידורג גבוה יותר במנועי החיפוש‬
‫וידחוק את התכתובות הפוגעניות למיקום נמוך‬
‫בתוצאות החיפוש‪.‬‬
‫כיצד אתה רואה את תפקידו‬
‫של מנהל אבטחת המידע‬
‫בעידן הסייבר?‬
‫מנהל אבטחת המידע צריך למצוא את האיזון‬
‫בין הגברת הגישה לארגון מאמצעים חכמים‪,‬‬
‫לבין אבטחה נאותה‪ .‬חשוב להגביר את המודעות‬
‫בקרב העובדים אשר משתפים המון מידע ברשת‬
‫האינטרנט‪ ,‬ובעיקר באמצעות מכשירים חכמים‪.‬‬
‫מודעות העובדים הינה חשובה‪ ,‬שכן היום כל עובד‬
‫מחזיק בידו כלי ריגול בפוטנציה‪ ,‬ועשוי ללחוץ על‬
‫לינק שמכיל נוזקה‪ ,‬תוכנה עויינת או כלי ריגול‬
‫ואם הוא יהיה מודע לכך‪ ,‬הוא יחשוב פעמים לפני‬
‫שילחץ‪ ,‬ואף יעדכן אותנו‪ .‬אנו מריצים קמפיין‬
‫אבטחת מידע שמוכיח את עצמו עד כה‪.‬‬
‫מה לדעתך הידע הנדרש‬
‫היום ממנהל אבטחת‬
‫המידע?‬
‫מנהל אבטחת המידע נדרש להיות מעודכן נוכח‬
‫התפתחות הטכנולוגיה והאיומים החדשים‪.‬‬
‫המתקפות נעשות מתוחכמות יותר‪ ,‬אנחנו מהווים‬
‫מטרה נוחה לאור השימוש הגובר בטכנולוגיה‬
‫חכמה‪ ,‬ובעתיד גם טכנולוגיה לבישה‪.‬‬
‫לצד זאת‪ ,‬אין לנטוש את הטיפול באיזורים בהם‬
‫מעורבת פחות טכנולוגיה‪ ,‬לפעמים מספיק‬
‫להתגנב למשרד ולגנוב את פח הגריסה בשביל‬
‫להגיע למידע רגיש‪.‬‬
‫חשוב להיעזר ביועצים הבקיאים בתחומים‬
‫וממוקצעים באיומים ובהגנות‪ ,‬במשרדי מסייע‬
‫יועץ אבטחת מידע מנוסה בשם עד אטיאס‬
‫בעל ניסיון רב בתחום‪ ,‬הסיוע שלו בא לידי ביטוח‬
‫במוכנות הארגון לאיומים וטיפול באירועים חריגים‪.‬‬
‫אבטחת מידע היא כמו עיצוב פנים‪ ,‬לכל ארגון‬
‫מתאים העיצוב שלו‪ ,‬אני רוצה להקל על‬
‫המשתמשים מצד אחד ומצד שני לאבטח את‬
‫האזורים הרגישים‪ .‬זה אתגר להחליט על עיצוב‬
‫שישתלב עם אופי העובדים‪ ,‬אופי הפעילות וינגן‬
‫בסינרגיה עם כל המערכות‪.‬‬
‫לשם כך נדרש למפות את הסיכונים בארגון‬
‫ולתעדף אותם‪ .‬להגן כמה שאפשר במינימום‬
‫מאמץ‪ .‬אני לא בעד להטמיע כלים על גבי כלים‪,‬‬
‫בלי שיש צורך אמיתי מאחוריהם‪ ,‬או כלים שלא‬
‫מתאימים לאופי התפעול בארגון‪.‬‬
‫מהם איומי הסייבר‬
‫המשמעותיים ביותר‬
‫שארגונים נאלצו להתמודד‬
‫איתם במהלך ‪?2013‬‬
‫ •ארגונים התמודדו עם הבנה ולמידה של עולם‬
‫המובייל וה‪ ,BYOD‬בהתחלה הכיוון היה כלי‬
‫‪ MDM‬לניהול המכשירים‪ ,‬אבל עכשיו המגמה‬
‫השתנתה ואני מאמין שהכיוון החדש עדיין לא‬
‫בשל ויעבור מס' תהפוכות‪.‬‬
‫ •גניבה של מידע‪ ,‬וחשיפה של מידע ברשתות‬
‫החברתיות‬
‫‪DDOS‬‬
‫ •מתקפות‬
‫לארגון אנונימוס‪,‬‬
‫ע"י האקרים המשתייכים‬
‫ •חוק המחשבים המיושן וחוק שאינו בינלאומי‬
‫ •אפליקציות זדוניות שהורדו ע"י המשתמשים‪,‬‬
‫כאשר אין למדינה סמכות לחסום את‬
‫המשתמשים בארץ לגישה לאפילקציות‬
‫שפוגעות בפרטיות‪.‬‬
‫מהם איומי הסייבר שמצפים‬
‫לנו ב‪?2014-‬‬
‫ישנם מספר איומים‪ ,‬אני חושב שאנו צפויים‬
‫לראות איומים שבהם ההאקרים אנונימיים‬
‫מתמיד‪ ,‬כאשר ארגונים עלולים להיות מוקדים‬
‫לסחיטה ע"י האקרים שהשיגו מידע על הארגון‪.‬‬
‫עד כה התוקפים התגלחו ולמדו‪ ,‬בשנת ‪ 2014‬אני‬
‫מאמין שהזירה תשדרג את המעמד שלה מזירת‬
‫משחקים והם ינסו להשיג תמורה לפעולות‬
‫שלהם‪.‬‬
‫מגמה נוספת שתתעצם הינה גניבת זהויות‪,‬‬
‫ככל שעוד ועוד שירותים הופכים לממוחשבים‪,‬‬
‫הטכנולוגיה הלבישה הופכת זמינה יותר וחדירת‬
‫הטכנולוגיה להיבטים שונים בחיי האזרח (‪Internet‬‬
‫‪ )of things‬הזהות הוירטואלית מתחזקת והופכת‬
‫למטרה גדולה יותר‪.‬‬
‫כל טכנולוגיה שנכנסת לארגון צריכה להיבחן‬
‫טוב לפני הטמעתה‪ ,‬לדוגמא טלויזיה חכמה‬
‫עשוייהלנטר את נתוני השימוש ולהעביר מידע‬
‫לצד שלישי‪ ,‬כמו שגילינו לאחרונה בטלויזיה‬
‫מחברת ‪ ,LG‬ואנחנו לא רגילים לזה וצריך להבין‬
‫את זה‪ .‬הציוד והמכשירים הופכים להיות חכמים‪,‬‬
‫וזה אומר שצריך לקחת את זה בחשבון ולהגן על‬
‫עצמנו‪.‬‬
‫מהי הדרך הטובה ביותר‬
‫להימנע ממתקפות סייבר?‬
‫לחזור לשנות ה‪ ,60-70-‬לראות הופעות של‬
‫הביטלס‪ ,‬לחזור לשמוע תקליטים שלא מכילים‬
‫נוזקות כמו קבצי ‪ ,MP3‬להשתמש בטלפון חוגה‬
‫במקום טלפון חכם ‪...‬‬
‫כיוון שלצערי אנחנו לא כבר לא שם‪ ,‬אני מאמין‬
‫שהדרך הינה להקפיד על הפרדת סביבות‬
‫ורשתות‪ ,‬ברשת ה ‪ ,LAN‬וע"ג מכשירים –לפטופים‪,‬‬
‫מובייל וכו‪...‬‬
‫וכמובן כל הזמן מודעות עובדים – חשוב להדגיש‬
‫את הנושא בפני העובדים שיסייעו בהגנה על‬
‫הארגון‪ ,‬הרצאות‪ ,‬קמפיינים‪ ,‬לומדות וכו'‪.‬‬
‫במידה והותקפת – כיצד‬
‫ניתן להתאושש ביעילות?‬
‫לבודד את הבעיה‪ ,‬להפריד את האיום מהרשת‪.‬‬
‫כל ארגון צריך לנטר את האירועים ולשאוף לקיים‬
‫אבטחת מידע אקטיבית כאשר צריך לשאוף‬
‫שאמצעי אבטחת המידע ידעו לדבר אחד עם‬
‫השני ולחסום את התפשטות המפגע‪.‬‬
‫מהן המגמות החמות של‬
‫‪?2014‬‬
‫ •גניבת זהויות‬
‫ •‪IoT‬‬
‫ •המשך איום על טלפונים חכמים וטכנולוגיות‬
‫לבישות‪.‬‬
‫אילו טכנולוגיות לדעתך‬
‫יעניינו את ה‪ ,CISO‬במהלך‬
‫‪?2014‬‬
‫‪ –BIG DATA‬לוגים של מערכות – הצורך במערכות‬
‫שיודעות להציג ולנתח כמויות גדולות של מידע‬
‫של לוגים ממערכות המידע רק ילך ויגבר ככל‬
‫שכמות המכשירים‪ ,‬כמות המערכות וכמות‬
‫האיומים יעלו‪.‬‬
‫ריכוז המערכות והשרתים ועבודה באמצעות‬
‫תחנות מנוונות‪Client Thin‬‬
‫תחום המובייל מביא איתו אתגרים חדשים‬
‫ותפיסות חדשות כגון ‪ BYOD‬שאנו במהלך מימושן‪.‬‬
‫במידה והטכנולוגיות הלבישות יתחילו לתפוס‬
‫תאוצה נצטרך להתמודד עם איומים נוספים‬
‫שכנראה ונצטרך לאסור את השימוש בהם עד‬
‫שנדע להגיב ולאבטח אותן‪.‬‬
‫מה דעתך על האיגוד ועל‬
‫תרומתו לפיתוח תחום‬
‫אבטחת המידע בישראל?‬
‫מעריך את פעילות האיגוד‪ ,‬מצפה לראות הרחבה‬
‫של הפעילות בשנת ‪.2014‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪55‬‬
‫תום מחליט להתקשר לחברו הטוב‪ ,‬לקבל עזרה‪...‬‬
‫עולמו של האקר‬
‫מה קורה גבר? תקשיב‪ ,‬אני מריץ‬
‫כאן פקודה‪ ,‬וזה לא עובד לי‪ ,‬יש מצב‬
‫שאתה עוזר לי?‬
‫בטח אח שלו גיבור‪ ....‬שלח לי את הפקודה‬
‫שאתה מקיש‪.....‬ואני אבדוק לך איפה טעית‪....‬‬
‫טוב‪....‬רגע‪ ,‬אני שם אותך‬
‫על רמקול‪....‬‬
‫אי שם‪...‬בעתיד הקרוב‪...‬‬
‫סבבוש אח שלו‪ ...‬מצאתי את הטעות שלך‪,‬‬
‫לא השלמת את הפקודה‪.‬‬
‫תקיש את מה שאני מקריא לך‪...‬‬
‫תום‪....‬האקר מתחיל‪...‬מנסה לפרוץ לאתר ‪WEB‬‬
‫טוב‪....‬נראה לי שאני אלך כאן על‬
‫מתקפת ‪....SQL Injection‬‬
‫‪Login: hi or 1=1-‬‬‫‪Password: hi or 1=1--‬‬
‫טוב‪....‬לא מצליח להבין איפה טעיתי‪....‬‬
‫הקשתי את הפקודה‪ ,‬אבל זה לא עובד לי‪.....‬‬
‫סבבה אחי‪ ,‬נראה לי‬
‫שזה עובד עכשיו‪....‬‬
‫בכיף גבר‪ ,‬תרגיש חופשי‬
‫להתקשר בכל פעם שאתה צריך‪....‬‬
‫‪hi' or 1=1-- or 1=1--‬‬
‫‪hi' or 1=1-- or 1=1-‬‬‫‪hi or 1=1--‬‬
‫‪hi' or 1=1-- or 1=1--‬‬
‫‪hi or 1=1--‬‬
‫‪56‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪57‬‬
‫בגיליון הבא‬
‫ארגזכלים‬
‫‪WireShark‬‬
‫‪Cain and Abel‬‬
‫ •אבטחה פיזית‬
‫ •מדדי אבטחת מידע‬
‫ •פיתוח מאובטח‬
‫ •מערכות לגילוי ומניעת פרצות‬
‫(‪)IPS‬‬
‫ •תפקידו של ה‪ CISO-‬בעידן הסייבר‬
‫ •תקנות ורגולציות‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫כלי‪ ,‬הידועה בשמו הקודם ‪( - Ethereal‬שונה‬
‫מסיבות של סימן מסחרי)‪.‬‬
‫הכלי משמש בעצם כרחרחן (‪ ,)Sniffer‬המאפשר לראות את כל התנועה‬
‫ברשת מסוימת‪ .‬מדובר בתוכנת קוד פתוח (חינמית)‪ .‬התוכנה פותחה עבור‬
‫ועל ידי מנהלי רשתות על מנת להקל על משימתם בהתמודדות עם תקלות‬
‫תקשורת\רשתות‪.‬‬
‫להלן המאפיינים העיקריים של התוכנה‪:‬‬
‫• יכול לקרוא ולנתח חבילות מידע (‪ )packets‬מהרשת עצמה ומקובץ‪.‬‬
‫• יכול לקרוא סוגים שונים של פרוטוקולים לרבות ‪VOIP‬‬
‫• ממשק משתמש גרפי ונוח‬
‫• פתוח למערכות חלונאיות וגם ללינוקס\יוניקס‪.‬‬
‫• יכולות דיווח ואנליזה‬
‫דרגת סיכון‪ :‬יחסית גובהה‪ ,‬היות ובאמצעות הכלי אפשר לראות כל מה‬
‫שקורה ברשת ובעיקר לחשוף חולשות ופגיעויות‪.‬‬
‫‪58‬‬
‫גיליון ‪ | 11‬ינואר ‪| 2014‬‬
‫מדובר בכלי לפיצוח סיסמאות לסביבת חלונות‪ .‬מדובר בתוכנת‬
‫‪ ,Proprietary‬שהקוד שלה לא נבדק על ידי גורמים מוכרים‪.‬‬
‫בין הכותבים שלנו‪:‬‬
‫ניר ולטמן ‪ CISO -‬בחברת ‪RETALIX‬‬
‫מאפיינים עיקריים‪:‬‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫באמצעות ממשק ידידותי ונוח ניתן לאחזר ולפרוץ סיסמאות בשיטות‬
‫הבאות‪:‬‬
‫• פיתוח סיסמאות באמצעות אלגוריתם או רשימת מילות מפתח‪.‬‬
‫• פיתוח ‪WEP‬‬
‫• מבצע ‪ sniffing‬ברשת של הסיסמאות‬
‫• החדרת ‪ packets‬ברשת אלחוטית‬
‫• ציטוט לשיחות ‪VOIP‬‬
‫• פיצוח קובצי ‪ HASH‬עבור‪:‬‬
‫• ‪CISCO IOS‬‬
‫• ‪VNC‬‬
‫• ‪MD 2,4,5‬‬
‫• ‪SHA-1, SHA-2‬‬
‫• ‪KERBEROS 5‬‬
‫• ‪RADIUS‬‬
‫• ‪MSSQL‬‬
‫• ‪MYSQL‬‬
‫• ‪ORACLE‬‬
‫• כל ההצפנות של ‪MICROSOFT‬‬
‫אלדד משולם ‪ -‬משנה לנשיא האיגוד‬
‫קובי לכנר ‪ -‬מנהל אבטחת מידע בחברת פלייטק‬
‫רועי זימון ‪ -‬מומחה אבטחה אפליקטיבי בתחום הסייבר‬
‫צדוק לויא ‪ -‬יועץ אבטחת מידע והמשכיות עסקית‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫נא לפנות אלינו בכתובת‪:‬‬
‫‪info@issa.org.il‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫| גיליון ‪ | 11‬ינואר ‪2014‬‬
‫‪59‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫שם הקורס‬
‫תיאור הקורס‬
‫מסלול‬
‫משך הקורס‬
‫תאריך פתיחה תעודה‬
‫מסלול להכשרת מנהלי אבטחת מידע‬
‫מוסמכים (‪)CISO‬‬
‫מסלול ייחודי להכשרת מנהלי אבטחת‬
‫מידע בעל ‪ 2‬הסמכות בינלאומיות‪.‬‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪6.3.2014‬‬
‫בינלאומית‬
‫‪CISSP‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 56‬שעות‬
‫ערב‬
‫‪24.4.2014‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪22.4.2014‬‬
‫בינלאומית‬
‫‪CISM‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪2.3.2014‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫בוקר‬
‫‪2.3.2014‬‬
‫בינלאומית‬
‫‪CRISC‬‬
‫מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪3.3.2014‬‬
‫בינלאומית‬
‫מסלול להכשרת מנהלי ניהול סיכונים (‪ )CRO‬מסלול ייחודי להכנה לבחינת ההסמכה‬
‫‪ 200‬שעות‬
‫ערב‬
‫‪15.5.2014‬‬
‫בינלאומית‬
‫‪Mobile Forensics‬‬
‫מסלול ייחודי להכשרת מומחי‬
‫ניתוח ממצאים בפלאפונים חכמים‪,‬‬
‫מכשירי‪ GPS ‬וטאבלטים‪.‬‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪22.4.2014‬‬
‫‪Cyber Security and Incident Handling‬‬
‫מסלול טכנולוגי ייחודי ובלעדי‬
‫‪ 40‬שעות‬
‫ערב‬
‫‪2.3.2014‬‬
‫מסלול להכשרת מבקרי מערכות מידע‬
‫מוסמכים (‪)CISA‬‬
‫מסלול ייחודי להכשרת מבקרי‬
‫מערכות מידע בעל הסמכה בינלאומית‬
‫‪ 300‬שעות‬
‫ערב‬
‫בוקר‬
‫‪26.7.2014‬‬
‫בינלאומית‬
‫לרשימה מלאה של כל הקורסים שלנו ניתן לפנות אלינו לכתובת‪ Ts-Academy@titans2.com :‬או לטלפון‪077-5150340 :‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫‪077-5150340‬‬
‫חייגו‪:‬‬
‫אקדמיה‪ :‬דוא"ל‬
‫‪Ts-Academy@titans2.com‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬