Identity Management - Global Security | מגזין אבטחת מידע

Transcription

Identity Management - Global Security | מגזין אבטחת מידע
‫‪e‬‬
‫‪n‬‬
‫‪i‬‬
‫‪z‬‬
‫‪a‬‬
‫‪g‬‬
‫‪a‬‬
‫‪M‬‬
‫‪y‬‬
‫‪t‬‬
‫‪i‬‬
‫‪r‬‬
‫‪u‬‬
‫‪c‬‬
‫‪e‬‬
‫‪n‬‬
‫‪S‬‬
‫‪o‬‬
‫‪i‬‬
‫‪t‬‬
‫‪a‬‬
‫‪m‬‬
‫‪r‬‬
‫‪o‬‬
‫‪f‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 3‬יולי ‪2012‬‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫‪Identity Management‬‬
‫סיקור הכנס השנתי של האיגוד‬
‫מגמות בעולם הסייבר‬
‫מערכות ‪SIEM‬‬
‫מערכות ‪IPS‬‬
‫זהירות בוטנט‬
‫‪n‬‬
‫‪I‬‬
‫דבר נשיא‬
‫האיגוד‬
‫הישראלי‬
‫לאבטחת מידע‬
‫(‪)ISSA‬‬
‫חבר\ה יקר\ה‬
‫העולם לא ממש השתנה‪ ,‬וגם כיום‪ ,‬מנהל אבטחת המידע‪ ,‬עדיין‬
‫נלחם מצד אחד בלהשיג תקציבים מהנהלת הארגון‪ ,‬ומצדו השני‪,‬‬
‫אל מול שלל האיומים שפוקדים על הארגון מדי יום‪.‬‬
‫אל מול שלל האיומים‪ ,‬קיים כיום היצע גדול של פתרונות‬
‫טכנולוגיית להצפנה‪ ,‬למניעת זליגה של מידע החוצה מהארגון‬
‫בין אם דרך הרשת או דרך אמצעים נתיקים‪ ,‬לחסימת חדירה של‬
‫גורמים עוינים למערכות ולמידע הארגוני‪ ,‬למניעת שיבוש ופגיעה‬
‫במערכות ובמידע‪ ,‬כמו גם פתרונות למעקב ובקרת גישה וניהול‬
‫זהויות‪.‬‬
‫אבל זה לא מספיק‪ ,‬ולמרות כל שכבות ההגנה שהוזכרו לעיל‪,‬‬
‫ישנו עדיין צורך בשכבת הגנה נוספת‪ ,‬שהיא השכבה החלשה‬
‫ביותר בשרשרת ההגנה של הארגון‪ ,‬והיא השכבה של ההיבט‬
‫האנושי‪.‬‬
‫הארגונים כיום לא מסתפקים רק ביישום פתרונות טכנולוגיים‬
‫ומשקיעים רבות בהסברה והדרכה בתוך הארגון‪ ,‬כמו גם בקביעה‬
‫של מדיניות ונהלי עבודה‪ ,‬וסנקציות לאלו שלא ימלאו אחרי‬
‫הוראות מדיניות אבטחת המידע של הארגון‪.‬‬
‫הגיליון הזה יתמקד בחלקו באבטחת מידע בהיבט האנושי‪ ,‬שזה‬
‫ברוב הארגונים‪ ,‬עקב אכילס‪ ,‬ומשמש ותמיד ישמש כנקודה‬
‫חלשה בשרשרת אבטחת המידע בארגון‪.‬‬
‫לא ניתן למנוע לגמרי את הסיכון הנובע מההיבט האנושי‪ ,‬אבל‬
‫כן אפשר למזער את מידת ההשפעה שלו על הארגון‪ ,‬ע"י ניהול‬
‫הסיכון בצורה חכמה‪ ,‬ובקרות מפצות בכל אותן האזורים בהן‬
‫הארגון חשוף‪.‬‬
‫דבר העורך‬
‫ממשל אבטחת מידע!‬
‫ סיקור הכנס השנתי של האיגוד‬
‫לאחרונה‪ ,‬נושא מתקפות הסייבר‪ ,‬מספק הרבה כותרות לכלל‬
‫ערוצי התקשורת בעולם‪ ,‬וארגונים מחפשים אחר פתרונות יעילים‬
‫בכדי להתמודד עם הנושא‪ .‬אך לעתים‪ ,‬הפתרון דווקא אינו נובע‬
‫מהפן הטכנולוגי‪ ,‬אלא מהפן התהליכי‪.‬‬
‫ מגמות בעולם הסייבר‬
‫אנו ממליצים לארגונים‪ ,‬לאמץ וליישם ממשל אבטחת מידע‬
‫בארגון‪ ,‬בכדי להתמודד עם מלחמת הסייבר שבפתח‪.‬‬
‫דני אברמוביץ‬
‫נשיא האיגוד‬
‫‪2‬‬
‫‬
‫מערכות ‪IPS‬‬
‫‬
‫מערכות ‪EPS‬‬
‫ סיכונים במיקור חוץ‬
‫ הפשע הקיברנטי‬
‫ הדור החדש של ההאקר‬
‫ כיצד בונים תוכנית להמשכיות עסקית?‬
‫ רגולציה בעולם הפיננסי‬
‫ אבטחת מידע בהיבט האנושי‬
‫ישנם יתרונות רבים ליישום ממשל אבטחת מידע בארגון‪ ,‬ואחד‬
‫מהם זה היכולת של מנהל אבטחת המידע בארגון לאמוד את‬
‫רמת אבטחת המידע ע"י מדידת האפקטיביות של הבקרות‬
‫הקיימות‪ ,‬ו\או תהליכי אבטחת המידע שבוצעו (ארכיטקטורה‪,‬‬
‫הקשחות‪ ,‬וכו') ע"י קביעת קו מנחה לכל נושא (‪ )Baseline‬וקביעת‬
‫מדדים לצורך שיפור‪.‬‬
‫ מעקב ממוחשב אחר עובדים‬
‫במסגרת הפעילות של ממשל אבטחת המידע‪ ,‬ניתן למצוא את‬
‫הפעילויות הבאות‪:‬‬
‫ •מיפוי התהליכים העסקיים ודרישות עסקיות‬
‫ •הגדרת היעדים‪ ,‬המטרות ואמצעי אבטחת המידע בהתאם‬
‫לדרישות העסקיות הרלוונטיות (אורגולטוריות\חוקיות)‬
‫ •הכנת תוכנית עבודה שנתית או רב‪-‬שנתית לעיבוי מערך‬
‫אבטחת המידע בארגון‬
‫ •בחירת מסגרת לניהול אבטחת המידע והטמעתה בארגון (כגון‬
‫תקן ‪)ISO 27001‬‬
‫קריאה מהנה!‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫‬
‫מערכות ‪SIEM‬‬
‫ זהירות בוטנט‬
‫יישום ממשל אבטחת מידע דורש הטמעה של תהליכים‬
‫הקשורים בניהול אבטחת המידע‪ ,‬בכמה רבדים‪ ,‬משמע לייצר‬
‫שליטה ובקרה טובים יותר בכל רכיב ותהליך שמשתנה בארגון‬
‫בכלל‪ ,‬ובסביבת המחשוב בפרט‪ ,‬והקשור לתחום אבטחת המידע‪.‬‬
‫תחום ממשל אבטחת המידע‪ ,‬כולל בתוכו לרוב היבטים ניהוליים‬
‫הקשורים לעולם ניהול אבטחת המידע (ממשל)‪ ,.‬כגון קביעת‬
‫תוכנית עבודה‪ ,‬ניהול ביצוע ניהול סיכונים‪ ,‬קביעת מדדים לצורך‬
‫שיפור רמת האבטחה ו\או הבקרות‪ ,‬ועוד‪ .‬תחום ממשל אבטחת‬
‫המידע‪ ,‬יכול לסייע לנו גם בהיבט הטכנולוגי‪ ,‬למשל‪ ,‬בקרה וניהול‬
‫שינויים בהתקנה של טלאי אבטחה (ע"י תהליך מבוקר של ניהול‬
‫טלאים‪ ,‬גרסאות‪ ,‬בדיקות תאימות בסביבת בדיקות וכו')‪ .‬כל‬
‫תהליך החל מנוהל עבודה‪ ,‬וכלה בהטמעת פתרון אבטחת מידע‬
‫בארגון‪ ,‬צריך להיות מלווה בהנחיות ונהלי עבודה‪.‬‬
‫ •הגדרת מדדי אבטחת מידע לצורך מדידת האפקטיביות של‬
‫תוכנית אבטחת המידע‬
‫בברכה‪,‬‬
‫מה בגיליון?‬
‫‪M a g a z i n e‬‬
‫‪S e c u r i t y‬‬
‫מגזין אבטחת מידע וניהול סיכונים | גיליון מס' ‪ | 3‬יולי ‪2012‬‬
‫בשער‬
‫ניהול‬
‫זהויות‬
‫‪Identity Management‬‬
‫סיקור הכנס השנתי של האיגוד‬
‫מגמות בעולם הסייבר‬
‫מערכות ‪SIEM‬‬
‫מערכות ‪IPS‬‬
‫זהירות בוטנט‬
‫‪I n f o r m a t i o n‬‬
‫עורך ראשי‪ :‬דני אברמוביץ‬
‫סגן עורך‪ :‬שלומי מרדכי‬
‫המערכת‪TITANS SECURITY GROUP :‬‬
‫צלם המערכת‪ :‬יוסי טובליס‬
‫דוא"ל‪info@titans2.com :‬‬
‫האיגוד אינו אחראי לתוכן המודעות‪ .‬כל הזכויות שמורות‪.‬‬
‫אין להעתיק רשימות וחלקים בלא היתר‪.‬‬
‫בכל גיליון תקבלו חשיפה טכנולוגית על פתרונות אבטחת‬
‫מידע שונים‪ .‬אין אנו משמשים כגורם ממליץ‪ ,‬או ממליצים‬
‫על מוצר כזה או אחר‪ .‬מטרת הכתבות היא חשיפה‬
‫טכנולוגית בלבד‪ .‬כמו כן‪ ,‬כל הכתבות בגיליון מביאות את‬
‫חוות דעתם של הכותבים‪ ,‬ואין זה מביע את כוונת האיגוד‪.‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪3‬‬
‫בעיות שכיחות‬
‫בתחום אבטחת המידע‬
‫בעידן של היום‬
‫אבטחת מידע בשכבה ‪ 8‬של מודל ‪( OSI‬ההיבט האנושי)‬
‫"אבחון מועמדים באמצעות מיון חקירתי"‬
‫בחברות שבהן אמינותו ואופיו של המועמד הם קריטיים לחברה‪,‬‬
‫מומלץ מאוד להקצות תקציב נוסף לטובת בדיקת רקע מעמיקה אודותיו‪.‬‬
‫חברות רבות מסתפקות בתהליך אותו עובר‬
‫מועמד בחברות ההשמה למיניהן‪ .‬אלא שחברות‬
‫ההשמה מתרכזות בדרך כלל רק בהתאמתו‬
‫המקצועית של המועמד‪ .‬גם במבחנים קבוצתיים‬
‫תחרותיים ובראיון עם מאבחן פסיכולוגי אין‪,‬‬
‫בדרך כלל‪ ,‬התייחסות מעמיקה לעניין מהימנותו‬
‫ואמינותו של המועמד‪.‬‬
‫המועמד מתבקש בדרך כלל להביא מכתבי‬
‫המלצה או לציין בשאלון של החברה המעסיקה‬
‫או חברת ההשמה‪ ,‬מקמות עבודה קודמים או‬
‫ממליצים‪ .‬בדיקת מידע מרכזי ומוביל זה מבוצעת‪,‬‬
‫אם בכלל‪ ,‬על ידי הבודק בשיחה טלפונית‬
‫המאמתת‪ ,‬במקרה הטוב‪ ,‬את נכונות הפרטים‬
‫וגולשת אך במעט אל מהות הבדיקה‪ .‬את נכונות‬
‫הפרטים קשה ולא מומלץ לבצע באמצעות שיחת‬
‫טלפון‪ .‬על המאבחן לצאת מנקודת הנחה כי‬
‫הממליץ קשור למועמד וממילא לא ימסור מידע‬
‫שלילי‪ ,‬לבטח לא בשיחת טלפון עם גורם זר‪.‬‬
‫במספר לא גדול של חברות‪ ,‬נהוג לשלוח את‬
‫המועמד לבדיקה גרפולוגית או לבדיקת פוליגרף‪.‬‬
‫הדעות באשר לבדיקה גרפולוגית‪ ,‬ככלי מסייע‬
‫לבדיקת אופיו ואמינותו של אדם‪ ,‬חלוקות‪ .‬אך‬
‫ההסתייעות בבדיקה הגרפולוגית ככלי תומך‬
‫החלטה וכמרכיב נוסף בתהליך הבדיקה מקובל‬
‫ואף מוערך אצל בעלי המקצוע בתחום זה‪.‬‬
‫‪4‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫לאור כל זאת‪ ,‬המידע המצטבר בחברה לגבי‬
‫מועמד לעבודה‪ ,‬רקעו האישי וההתנהגותי‪ ,‬אופיו‬
‫ועברו הם בדרך כלל שטחיים למדי ולא אמינים‬
‫דיים‪ .‬כתוצאה מכך‪ ,‬אין זה בלתי סביר שמעסיקים‬
‫עלולים להיות מופתעים ממעשיהם או מחדליהם‬
‫של אותם עובדים‪ ,‬שנבחרו על ידם לעבודה‪.‬‬
‫מכיוון שהמפתח להצלחה טמון בעיקרו באיכות‬
‫צוות העובדים – התחרות על הגורם האנושי‬
‫המתאים אינה חדשה‪ ,‬ותהליך איתור המועמד‬
‫לתפקידי ניהול בכירים או משרות מפתח בארגון‬
‫קשה שבעתיים‪ .‬המאבחן נדרש להתמודד‬
‫עם השאלה‪ ,‬מיהו המועמדת ומהם חסרונותיו‬
‫ויתרונותיו‪ ,‬מעבר ליכולת המקצועית הפרטנית‬
‫הנדרשת‪ ,‬כתנאי להתאמתו לתפקיד המוצע‬
‫בתוך החברה‪.‬‬
‫הרבה ארגונים סבורים שמיון חקירתי מקצועי הוא‬
‫שלב שיש לבצע לאחר המיונים המוקדמים של‬
‫חברות ההשמה ולא כתחליף לו‪" .‬המיון החקירתי"‬
‫רצוי שיתבצע לגבי מועמדים בתפקידים קריטיים‬
‫בחברה ויתייחס לאישיותם ומהימנותם של‬
‫המאובחנים‪.‬‬
‫"המיון החקירתי" נעשה על דעת ובהסכמה של‬
‫המועמדים ומתמקד בנושאים הבאים‪:‬‬
‫‬
‫•עיבוד נתוני המועמד‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫•איסוף מידע משלים‬
‫•קיום "ראיון חקירתי"‬
‫•בדיקות השלמה נוספות (בהתאם לסיווג‬
‫ודרישות התפקיד)‬
‫•בניית "פרופיל התנהגותי" למועמד‬
‫•דוח ניתוח והמלצות‬
‫כולנו מכירים את המקרה המפורסם‪ ,‬שבו נהג‬
‫התקבל לעבודה בברינקס‪ ,‬ולאחר כמה חודשי‬
‫עבודה הוא גנב את אחד מרכבי החברה ובו מיליוני‬
‫דולרים‪ .‬אותו עובד עבר תהליך שבו מילא פרטים‬
‫בשאלון כלשהו‪ ,‬תוך הצגת תעודת זהות מזויפת‬
‫וכנראה גם מסמכים מזויפים אחרים‪ .‬אילו היה‬
‫אותו גנב עובר תהליך של "מיון חקירתי" כמפורט‬
‫לעיל‪ ,‬סביר להניח שמזימתו הייתה נכשלת עוד‬
‫בראשיתה וזהותו הבדויה הייתה מתבררת בשלב‬
‫מוקדם‪.‬‬
‫לכן‪ ,‬בחברות שבהן אמינותו ואופיו של המועמד‬
‫הם קריטיים לחברה‪ ,‬מומלץ מאוד להקצות‬
‫תקציב נוסף לטובת בדיקת רקע מעמיקה על‬
‫המועמד‪ .‬פועלות בשוק מספר חברות שמתמחות‬
‫בבדיקות רקע מסוג זה‪ .‬בדיקת רקע נאותה‬
‫ומקצועית כמוצע לעיל‪ ,‬יש בה כדי לחשוף את‬
‫תכונותיו השליליות של מועמד בכיר או זוטר‪,‬‬
‫עוד בטרם ייקלט בחברה כעובד מהמניין‪ ,‬שעלול‬
‫לבצע מעילה‪ ,‬גניבה‪ ,‬ו\או העברת מידע למתחרים‪.‬‬
‫סביבת המחשוב כיום – מסוכנת‬
‫סביבת המחשוב בארגון‪ ,‬היא סביבה מסוכנת‪.‬‬
‫הסיבה להגדלת פוטנציאל הסיכונים בשנים‬
‫האחרונות‪ ,‬היא כי המערכות נהיו מרובות‬
‫פלטפורמות‪ ,‬תוכנות ויישומים‪ ,‬דבר שמגדיל את‬
‫רמת הפגיעות שלהן‪.‬‬
‫מאפיין בעייתי נוסף ‪,‬הוא "פריצת גבולות הגזרה"‬
‫של הארגון‪ .‬העבודה מהבית ומרחוק‪ ,‬מאלצת‬
‫ארגונים לטפל בהגנה על גישה זו‪.‬‬
‫תחום המובייל והגישה האלחוטית היא בעיה‬
‫שארגונים לא מקפידים להקדיש לה תשומת לב‬
‫מספקת‪ ,‬אבל זה לא יעזור להם‪ ,‬בסוף המנהלים‬
‫יצטרכו לקבל החלטה אסטרטגית לטפל בסיכונים‬
‫אלו‪.‬‬
‫רגולציות‬
‫עוד סיבה לסיכון היא‪ ,‬באופן פרדוקסלי‪ ,‬הופעת‬
‫הרגולציות והצורך לבצע להן תאימות בארגונים‪.‬‬
‫הצורך להטמיע יישומים המטפלים ברגולציות‬
‫מהווה עוד סיבה לגידול בכישלונות התפעוליים‬
‫במערכות ה‪ IT-‬הארגוניות‪ .‬הרגולציות הן עוד סוג‬
‫של סיכון עסקי‪ ,‬שנדרש לנהל‪.‬‬
‫הופעתן של הרגולציות השונות‪ ,‬כמו גם חוקים‬
‫ותקנות שנדרש ליישמן‪ ,‬היא תופעה שאינה‬
‫שלילית בהכרח‪ .‬למרות העלויות הכרוכות ביישומן‬
‫של הרגולציות‪ ,‬יש בהם יישום "על הדרך" של‬
‫היבטי אבטחת מידע‪ ,‬כמו למשל‪ ,HIPAA ,‬תקן‬
‫אבטחה לשמירת סודיות רפואית בארה"ב‪.‬‬
‫מנהלי ארגונים רואים בתקנות השונות כורח עם‬
‫עלויות‪ ,‬ומיישמים רק את המינימום ההכרחי‪ ,‬והם‬
‫מפספסים את פוטנציאל ההזדמנויות שנקרה‬
‫בדרכם‪.‬‬
‫הרגולציות ממש לא צריכות לעניין את הארגונים‪.‬‬
‫עליהם לשמור על הנתונים‪ ,‬הכוללים נתוני‬
‫לקוחות‪ ,‬על מנת לשמר את יחסיהם עם‬
‫הלקוחות‪ ,‬לא כי הדבר נדרש בחוק‪ .‬אבדן אמון‬
‫מצד הלקוחות בשל אבדן נתונים‪ ,‬או חשיפת מידע‬
‫דושי‪-‬אישי‪ ,‬הוא הרה‪-‬אסון עבור הארגונים‪.‬‬
‫מארגונים נדרשת רמת אבטחת מידע "מספיק‬
‫טובה"‪ ,‬ללא קשר לרגולציות‪.‬‬
‫אבטחת מידע‬
‫כחלק מניהול סיכונים‬
‫מגמה נוספת שאנו רואים‪ ,‬היא התייחסות‬
‫לאבטחת המידע‪ ,‬כחלק מניהול הסיכונים בארגון‪.‬‬
‫עובדה זו‪ ,‬משתלבת עם הגישה השולטת בתחום‪,‬‬
‫של התמקדות בהיבטי האבטחה מנקודת מבט‬
‫עסקית‪ ,‬ולא טכנולוגית‪ ,‬יחד עם ניהול‪ ,‬הטמעה‬
‫תרבותית‪ ,‬וגישה כוללנית‪ ,‬לא נקודתית‪ ,‬של‬
‫רכישת מוצר אבטחה ספציפי‪.‬‬
‫ניהול הסיכונים מתקרב לאבטחה‪" ,‬מדבר" עימו טוב‬
‫יותר‪ .‬לא עוד טיפול בנוזקה יחידה‪ ,‬עם דגש טכני‪,‬‬
‫אלא עריכת מצאי סיכונים‪ ,‬תיעדופם וניהולם‪.‬‬
‫על מנהלי אבטחת המידע בארגון לדבר בשפת‬
‫הנהלת הארגון‪ ,‬השפה העסקית‪ ,‬ולא הטכנולוגית‪.‬‬
‫עליהם לברר מהם יעדיהם‪ ,‬ולשלב את גישות‬
‫האבטחה ביעדים אלו‪ .‬ניהול סיכונים הוא דבר‬
‫טוב עבור עסק‪ ,‬ובנוסף‪ ,‬הוא מסייע למלא אחר‬
‫הוראות החוק והרגולציות השונות‪.‬‬
‫האבטחה לא תיעלם‬
‫אבטחת המידע הינו ללא ספק התחום החם של‬
‫השנים האחרונות‪ ,‬והוא כאן להישאר‪ ,‬ולא יעלם כל‬
‫כך מהר‪ .‬לצד מיתר האיומים‪ ,‬המשתנה ומתחכם‬
‫ומשתנה מדי יום‪ ,‬הארגונים צריכים להתמודד‬
‫בצורה יעילה ובטוחה‪.‬‬
‫חברות מחקר שונות (גרטנר‪ ,‬פורסטר ואחרים)‬
‫מעריכים כי עד שנת ‪ ,2013‬המגמה של הופעת‬
‫טכנולוגיות חדשות והטמעתן במערכות ה‪IT-‬‬
‫הארגוניות‪ ,‬תוביל בעקבותיה הטמעה של‬
‫טכנולוגיות אבטחת מידע חדשות‪ ,‬בשל הגידול‬
‫בפוטנציאל ההיפגעות הכרוך ביישום הטכנולוגיות‬
‫החדשות (תחום המובייל ‪ -‬ה‪ ,BYOD-‬מחשוב‬
‫הענן ועוד)‪.‬‬
‫אבטחת המידע לא תיעלם‪ ,‬הצורך באבטחת‬
‫המידע הוא פה‪ ,‬על מנת להישאר פה‪ .‬לאור מיתר‬
‫האיומים החדשים והמתוחכמים יותר שראינו‬
‫בשנים האחרונות‪ ,‬רומזים על כך שהתחזית‬
‫של חברות המחקר יתממשו‪ .‬ישנם יותר מדי‬
‫נקודות "כשל" בשרשרת האספקה של שירותי‬
‫ה‪ IT-‬בארגונים‪ ,‬ומנהלי אבטחת המידע יצטרכו‬
‫להתמודד עם כולן‪ .‬דוגמה אחת היא תחזוק‬
‫מערכות ה‪ IT-‬הארגוניות במיקור‪-‬חוץ‪ ,‬פעולה‬
‫המסכנת את סודיות נתוני הארגון‪.‬‬
‫היבטי אבטחה נוספים‪ ,‬שימקדו את תשומת‬
‫הלב של מנהלי אבטחת המידע ומנהלי ה‪,IT-‬‬
‫הם עליית החשיבות של התוכנות למניעת ריגול‪,‬‬
‫הרוגלות‪ ,‬האנטי‪-‬וירוס ומסנני התוכן המונעים‬
‫קבלה ושליחה של דואר זבל‪ ,‬וגם גלישה לאתרים‬
‫מסוכנים‪.‬‬
‫ארגונים לא יכולים יותר להתעלם מבעיות אלו‪.‬‬
‫נדרש לנהל את הפגיעויות‪ ,‬יחד עם הכנסת כמה‬
‫שיותר מרכיבים אוטומטיים לאבטחת המידע‪.‬‬
‫בשנים האחרונות‪ ,‬אנו עדים לגל חדש של נוזקות‪,‬‬
‫מתוחכמות יותר‪ ,‬שקטות יותר‪ ,‬אך מידת הנזק‬
‫שלהם לא פחות הרסני‪.‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪5‬‬
‫שלב שני ‪ -‬בחירת אסטרטגיית התאוששות‪:‬‬
‫כיצד בונים תוכנית‬
‫לניהול המשכיות עסקית?‬
‫מאת דני אברמוביץ‪ ,‬מנכ"ל ‪ ,TITANS SECURITY‬וסוקר מוסמך ‪ISO22301 Lead Auditor‬‬
‫מהי תוכנית לניהול המשכיות עסקית (‪ )BCP‬ומהי‬
‫תוכנית להתאוששות מאסון (‪?)DRP‬‬
‫תוכנית להמשכיות עסקית הינה תהליך המיועד‬
‫להפחית את הסיכון לשיבוש בלתי צפוי לפעילותיו‬
‫הקריטיות‪ ,‬ממוחשבות או ידניות‪ ,‬ולהבטיח את‬
‫ההמשכיות של רמת השירותים המינימלית‬
‫ההכרחית לפעילותיו הקריטיות של הארגון‪.‬‬
‫התוכנית הינה באחריות הנהלת הארגון‪ ,‬מאחר‬
‫שזו מופקדת על שמירת הנכסים ועל יכולת‬
‫הקיום של החברה‪ .‬התוכנית אמורה לכלול את‬
‫כל הנכסים והפעילויות הנחוצים לארגון‪ ,‬על מנת‬
‫לאפשר לו להמשיך להתקיים‪ .‬הדבר כולל‪ ,‬בין‬
‫היתר‪ ,‬נהלי המשכיות עסקית הנחוצים לקיום‬
‫הארגון ולהפחתת השיבוש העסקי‪.‬‬
‫תוכנית להתאוששות מאסון הינה תוכנית‬
‫המבוצעת על ידי מערכות המידע בארגון‪ ,‬על‬
‫מנת לאושש חלק ממערכות המידע הקריטיות‪,‬‬
‫או על ידי היחידות העסקיות‪ ,‬על מנת לאושש‬
‫חלק מהמערכות העסקיות בארגון‪ .‬התוכנית‬
‫(המבוצעת על ידי מערכות מידע) חייבת להיות‬
‫עקבית ותומכת בתוכנית הכוללת של ניהול‬
‫המשכיות עסקית של הארגון‪ .‬לרוב‪ ,‬תוכנית‬
‫להתאוששות מאסון הינה חלק אינטגרלי מתוך‬
‫תוכנית להמשכיות עסקית‪.‬‬
‫הצורך‬
‫בד בבד עם הגידול המסחרר בכמויות ובחשיבות‬
‫המידע הנאגר ומטופל בארגון‪ ,‬גדלה גם ההכרה‬
‫בצורך הארגוני להיערך למקרה של כשל‬
‫במערכות המידע וליכולתו של הארגון להמשיך‬
‫ולתפקד ברמה סבירה גם כאשר הוא סובל‬
‫פגיעה כזו או אחרת במערכות המחשוב בפרט‪ ,‬או‬
‫במערכות הסובבות את המערך המחשוב בכלל‪.‬‬
‫בנוסף לצורך הברור של כל ארגון לשמור על‬
‫המוניטין העסקי שלו כארגון אשר מחזיק במידע‬
‫רגיש וחייב לספק שירותים לקהל לקוחותיו באופן‬
‫שוטף‪ ,‬הופיע לאחרונה גורם נוסף המקדם את‬
‫נושא ההמשכיות העסקית (‪Business Continuity‬‬
‫‪ )Planning‬והוא הגדרות הרגולטורים עבור מצבי‬
‫חירום ‪ -‬תקנים כגון הוראה ‪ 357‬של בנק ישראל‪,‬‬
‫חוזר המפקח על הביטוח בנושא היערכות לאסון‪,‬‬
‫חוק הגנת הפרטיות‪ ,‬כמו גם תקנים בינלאומיים‬
‫כגון ‪ ,SOX, HIPAA, ISO27001‬המגדירים תנאי‬
‫סף לשמירה על המידע הקיים בארגון וזמינותו‬
‫לציבור‪ .‬כל אלה מחייבים את הארגון לבנות‬
‫‪6‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫תוכנית להתמודדות עם מצבים אשר לגרום‬
‫פגיעה ביכולתו לספק שרות ולאו דווקא להתמודד‬
‫עם מקרה "אסון" שהסתברותו יכולה להיות נמוכה‬
‫מאוד‪.‬‬
‫איך בונים תוכנית ‪?BCP‬‬
‫תוכנית להמשכיות עסקית (‪ )BCP‬מורכבת מכמה‬
‫שלבים בסיסיים אותם צריך לבצע תוך שיתוף‬
‫פעולה עם אנשי הקשר הארגוניים‪ ,‬כאשר גורם‬
‫חשוב בביצוע מוצלח של שלבים אלו‪ ,‬הינו יכולתו‬
‫של הארגון לשמור על שקיפות המידע המועבר‪,‬‬
‫אמינותו ורמת הפירוט שלו‪ .‬כל הגורמים האלה‬
‫באים לידי ביטוי בצורה מאוד מוחשית בקרות‬
‫אירוע אמת ובמידה רבה יכולים לאפשר הצלחה‬
‫או לחילופין לגרום לקריסת התוכנית ביום סגריר‪.‬‬
‫השלבים בבניית התוכנית‪:‬‬
‫שלב ראשון– ניתוח השלכות עסקיות (‪)BIA‬‬
‫והכי קריטי בבניית תוכנית להמשכיות עסקית‪ ,‬הינו‬
‫שלב ה‪ )BIA (Business Impact Analysis-‬שזהו‬
‫בעצם השלב שלפיו ייקבעו תוכניות ה‪ BC-‬וה‪-‬‬
‫‪ DR‬בארגון‪ .‬שלב זה הינו תהליך קביעת הקריטיות‬
‫של משאבי מערכות המידע בארגון (כגון יישומים‪,‬‬
‫נתונים‪ ,‬רשתות‪ ,‬מתקני חומרה וכו')‪ ,‬אשר תומכים‬
‫בפעילותו התקינה של הארגון‪.‬‬
‫בתהליך האמור משתתפים נציגי ההנהלה‪ ,‬אנשי‬
‫מערכות מידע ומשתמשי הקצה – תמהיל אנושי‬
‫שיאפשר לכלול את כל סוגי משאבי המידע‬
‫הקיימים בארגון‬
‫שלב ה‪ BIA-‬עוסק בעיקר בסוגיות‪ ,‬כמפורט להלן‪:‬‬
‫ •מיפוי משאבי המידע הקריטיים הקשורים‬
‫לתהליכים העסקיים הקריטיים בארגון‬
‫ •בניית תרחישי ייחוס ואיום על אותן מערכות‬
‫קריטיות שנבחרו‬
‫ •מהם אורכי הזמן הקריטיים במסגרתם‬
‫על הארגון להשיב את פעילות מערכותיו‪,‬‬
‫טרם התרחשותם של נזקים או הפסדים‬
‫משמעותיים?‬
‫ •חשוב לציין‪ ,‬ששיבוש במערכות המידע אינו‬
‫נחשב לאסון‪ ,‬אלא אם כן‪ ,‬הוא כרוך בשיבוש‬
‫של תהליך עסקי קריטי‪ ,‬לדוגמה‪ :‬חוסר יכולת‬
‫למכור מוצר\שרות‪ ,‬דבר המביא באופן מיידי‬
‫לאיבוד הכנסות לחברה‪.‬‬
‫ •השפעתו של אסון גוברת ככל שהזמן‬
‫מקרות האסון חולף‪ .‬כמו כן‪ ,‬עלותם של‬
‫מתקני השחזור פוחתת‪ ,‬אם הם נצרכים‬
‫בתדירות נמוכה יותר‪ .‬קיימת נקודת איזון‪ ,‬בה‬
‫השפעתו של האסון שווה לעלותו של מתקן‬
‫השחזור‪ .‬לדוגמה‪ :‬אם מרגע קרות האסון‬
‫ועד להתממשותו עוברים ‪ 5‬ימים ולארגון יש‬
‫מתקן שחזור הפעיל תוך ‪ 5‬ימים‪ ,‬הרי שסביר‪,‬‬
‫כי העלות של המתקן תהיה שווה להשפעת‬
‫האסון‪.‬‬
‫ •מהו דירוג הסיכון של מערכת קריטית (בהתאם‬
‫למידת הנזק שעלול לקרות לארגון)?‬
‫ •דירוג הסיכון מורכב ממידת ההשפעה של‬
‫השיבוש (המהווה פונקציה של אורך הזמן‬
‫הקריטי להתאוששות מהשיבוש יחד עם‬
‫ההסתברות לשיבוש)‪ .‬ניתוח דירוג הסיכון‬
‫מאפשר לדרג את המערכות בארגון לצורך‬
‫קביעת אסטרטגיית ההתאוששות‪ .‬תהליך‬
‫דירוג הסיכון אמור להתבצע על ידי אנשי‬
‫מערכות מידע‪.‬‬
‫עפ"י המלצות (‪ )Best Practices‬מקובל לדרג את‬
‫הסיכון למספר רמות‪ ,‬כמפורט להלן‪:‬‬
‫קריטי (‪ – )Critical‬פעילויות אינן יכולות להתבצע‪,‬‬
‫אלא על ידי החלפה במערכת זהה‪ .‬כמו כן‪ ,‬לא ניתן‬
‫להחליף את פעולות המחשב באמצעות שימוש‬
‫בנהלים ידניים‪ .‬מידת הסובלנות (‪ )Tolerance‬כלפי‬
‫שיבושים הינה נמוכה מאוד‪ ,‬וכן עלות שיבושים‬
‫הינה גבוהה מאוד‪.‬‬
‫חיוני (‪ – )Vital‬ניתן להחליף את פעולות המחשב‬
‫באמצעות נהלים ידניים‪ ,‬אך לפרק זמן קצר בלבד‪.‬‬
‫מידת הסובלנות לשיבושים גבוהה ביחס לדירוג‬
‫הקריטי‪ ,‬ועלות השיבושים – נמוכה יותר‪.‬‬
‫רגיש (‪ – )Sensitive‬פעילויות אלו יכולות להתבצע‬
‫באופן ידני‪ ,‬בעלות סבירה‪ ,‬למשך זמן ארוך יחסית‬
‫למערכות חיוניות‪ .‬על פי רוב‪ ,‬נדרש כח אדם נוסף‬
‫לאכיפת הנהלים הידניים‪.‬‬
‫לא קריטי (‪ – )Non-Critical‬פעילויות אשר‬
‫מסוגלות להתבצע (באופן משובש) למשך זמן‬
‫ארוך יחסית‪ .‬עלותן נמוכה מאוד‪ ,‬וכן הן דורשות‬
‫עדכונים ספורים בשלבי ההתאוששות‪.‬‬
‫אסטרטגיית התאוששות מאסון היעילה ביותר‬
‫נחשבת לזו אשר מתחשבת בעלות של אורך‬
‫זמן קריטי סביר‪ ,‬תוך התייחסות להשפעה של‬
‫השיבוש וההסתברות של השיבוש‪ ,‬כפי שהוערכו‬
‫בשלב ה‪ .BIA-‬ככלל‪ ,‬לכל מערכת המפעילה‬
‫יישום התומך בפעולה עסקית קריטית תידרש‬
‫אסטרטגיית התאוששות (לעתים אסטרטגיות‬
‫שונות)‪.‬‬
‫כחלק מאסטרטגיית ההתאוששות‪ ,‬נלקחים‬
‫בחשבון פרמטרים כגון בחירת אתר גיבוי\שחזור‬
‫(אתר חם‪ ,‬חמים‪ ,‬קר‪ ,‬וכו')‪ ,‬וכמו כן ‪ ,‬גם הטכנולוגיות‬
‫אשר אמורות לטפל בהעברה תקינה של בסיסי‬
‫נתונים ואספקת תקשורת רציפה לארגון‪.‬‬
‫שלב שלישי ‪ -‬גיבוש ויישום של תוכניות‬
‫להמשכיות עסקית והתאוששות מאסון‬
‫לאחר בחירת אסטרטגיית התאוששות‪ ,‬ואישורה‬
‫ע"י הנהלת החברה‪ ,‬ניתן לגבש תוכנית עבודה‬
‫ליישום תוכניות ה‪ BC-‬וה‪ .DR-‬תוכנית זו תיקח‬
‫בחשבון פרמטרים כגון‪ :‬לו"ז‪ ,‬משאבים‪ ,‬אבני דרך‪,‬‬
‫סוגי בדיקות‪ ,‬תדירות‪ ,‬וכדומה‪.‬‬
‫חשוב לוודא שיישום התוכנית תתבצע בהתאם‬
‫לדרישות שעלו בשלב ה‪ ,BIA -‬ובהתאם‬
‫לאסטרטגיית ההתאוששות שמתאימה לדרישות‬
‫העסקיות של הארגון‪.‬‬
‫שלב רביעי ‪ -‬בדיקה‪ ,‬תרגול‪ ,‬תחזוקה ועדכון‬
‫התוכניות‬
‫לאחר שלב ה‪ ,BIA-‬השלב השני בחשיבותו‪,‬‬
‫בתהליך ניהול המשכיות עסקית‪ ,‬הינו שלב‬
‫התרגול ותחזקה של התוכנית‪.‬‬
‫שלב זה אמור לסייע לארגון לבחון את נאותות‬
‫וישימות התוכנית‪ ,‬לתרגל את הכח אדם בגין‬
‫המשימות שעליהם לבצע בעת אסון‪ ,‬וכמובן‪,‬‬
‫המשך תחזוקה ועדכון התוכנית בהתאם לשינויים‬
‫שעלולים להתרחש מדי שנה‪.‬‬
‫אודות חברת‬
‫‪TITANS SECURITY‬‬
‫חברת ‪ TITANS SECURITY‬מספקת שירותי‬
‫ייעוץ בתחום זה‪ ,‬באמצעות יועצים מומחים‬
‫בעלי הסמכות בינלאומיות (‪ISO 22301 Lead‬‬
‫‪ ,)Auditor‬ולהם ניסיון רב בתכנון‪ ,‬פיתוח‪ ,‬בקרה‬
‫ובחינת תהליכי ה‪ BCM-‬הארגוניים‪ ,‬ומסייע‬
‫לארגונים לעמוד בדרישות תקנים בינלאומיים‬
‫כגון ‪ ISO22301‬שהינו התקן המוביל כיום בעולם‬
‫בתחום ניהול המשכיות עסקית‪.‬‬
‫להלן מקבץ פעילויות‬
‫יכולה לסייע לארגונכם‪:‬‬
‫‬
‫‬
‫‬
‫ש‪TITANS SECURITY-‬‬
‫ •איסוף מידע מערכתי על מערכות המידע‬
‫והחומרה הקיימים בארגון‬
‫ •מיפוי סוגי המידע הארגוני על פי חשיבותו‪,‬‬
‫רגישותו ורמת הזמינות הנדרשת עבורו‬
‫‬
‫‬
‫•בחינת תהליכי הגיבוי הקיימים בארגון מגיבוי‬
‫אמצעי אחסון דרך צילומי מצב מערכת‬
‫(‪ )Snapshot‬ועד לסנכרון מלא לאתר חיצוני‬
‫•קביעת סוגי תרחישי חירום מהקל אל הכבד‬
‫להם מסוגל הארגון להיערך‬
‫•כתיבת קובץ נהלי התאוששות מאסון (‪)DRP‬‬
‫שיגדיר את הפעולות הנדרשות לביצוע‪ ,‬את‬
‫תחומי האחריות ואת תצורת ניהול האירוע‬
‫ויתווה את אופי התנהלותו של הארגון בעת‬
‫אירוע חירום בצורה מרכזית ומאורגנת‪.‬‬
‫•ניתוח הנתונים ומציאת פתרון טכנולוגי‬
‫ולוגיסטי להערכות הארגון למצב חירום על פי‬
‫נהלי החירום שהותוו על ידי הצוותים הטכניים‬
‫והתפעוליים ואושרו על ידי הנהלת הארגון‬
‫•הצבה‪ ,‬התקנה‪ ,‬והפעלה של הפתרונות‬
‫הטכנולוגיים שנבחרו‬
‫ •ביצוע תרגולים להיערכות לשעת חירום‪,‬‬
‫לצורך בחינת היכולת של הארגון להפעיל את‬
‫תוכנית להתאוששות מאסון (‪)DRP‬‬
‫ •עדכון שוטף של תוכניות ה‪ BCP-‬וה‪- DRP-‬‬
‫עם כל הכנסת מערכת חדשה והקפדה על‬
‫בדיקת יכולת השרידות של כל מערכת חדשה‬
‫ההופכת להיות תפעולית בארגון עוד בשלב‬
‫בחינתה במערך הבדיקות‬
‫סיכום‬
‫סקרנו כאן בגדול‪ ,‬כיצד בונים תוכנית להמשכיות‬
‫עסקית‪ .‬לקבלת המוסף המלא של בניית תוכנית‬
‫להמשכיות עסקית‪ ,‬הכוללת מתודולוגיה ‪ ,‬ואבני‬
‫דרך מפורטים‪ ,‬ניתן לפנות אלינו בכתובת‪:‬‬
‫‪.danny@titans2.com‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪7‬‬
‫הפשע‬
‫הקיברנטי‬
‫האנאלייזר הישראלי‬
‫יוצא לחופשי‬
‫אהוד טננבאום‪ ,‬שנודע בכינויו "האנאלייזר"‪ ,‬מסכם את‬
‫פרשת הפריצה למחשבים של בנקים אמריקניים‪ .‬לפי‬
‫פרסומים חדשים‪ ,‬על האנאלייזר נגזר עונש מאסר המסתכם‬
‫בתקופה שכבר היה תחת מעצר של שרות המרשלים‪.‬‬
‫במילים אחרות‪ ,‬אין עוד עונש מאסר מרחף מעל ראשו‪.‬‬
‫חופשי‬
‫טננבאום נודע בזכות פריצות מתוחכמות שעשה עם שותפים מרחבי העולם‬
‫בשנת ‪ ,1998‬כשהיה רק בן ‪ .19‬על הכוונת של טננבאום ושותפיו היו‪ ,‬בין היתר‪,‬‬
‫מחשבים של הפנטגון‪ ,‬כנסת ישראל ובית הנשיא‪ .‬על חלקו בפרשה הושט עליו‬
‫עונש של שנה וחצי מאסר בפועל‪ ,‬כאשר בעקבות שינויי חקיקה באותה תקופה‬
‫הוא ריצה תקופה קצרה יותר‪.‬‬
‫לאחר דעיכת הפרשה מהמודעות הציבורית‪ ,‬האנאלייזר חזר אל הכותרות‬
‫בסוף ‪ ,2008‬כאשר נעצר עם שותפים‪ ,‬לכאורה‪ ,‬בקנדה‪ .‬הפעם‪ ,‬ההאשמה‬
‫היתה ניסיון להונות בנקים קנדיים ואמריקניים בשווי של כמיליון דולר ‪ .‬בפרשה‬
‫הנוכחית‪ ,‬גורמי אכיפת החוק בקנדה ובארצות הברית גרסו שהאנאלייזר היה‬
‫חלק מקבוצה בינלאומית שמצאה חולשות במערכות בנקאיות מקוונות וניצלה‬
‫אותן כדי לשאוב כספים מנקודות שונות בעולם‪.‬‬
‫מאז מעצרו המתוקשר בפרשה והסגרתו מקנדה לארצות הברית‪ ,‬לא שמענו‬
‫על הפרשה או על טננבאום‪ .‬כעת‪ ,‬מתפרסם לראשונה ב‪ ,Wired-‬שהשבוע‬
‫קיבל טננבאום את הפסיקה הסופית לגבי העונש שיוטל עליו במסגרת‬
‫הפרשה‪ ,‬והשופטת גזרה עליו עונש מאסר של הזמן שעבר מאז שנעצר ("‪Time‬‬
‫‪ .)"Served‬המשמעות היא שהאנאלייזר חופשי ללכת לדרכו‪ ,‬בכפוף למגבלות‬
‫אחרות שייתכן והוטלו‪ ,‬כגון ערבות‪ ,‬עונש על‪-‬תנאי‪ ,‬וכולי‪.‬‬
‫זמן רב עבר‬
‫הזמן הרב שעבר מאז החלה הפרשה שם את האנאלייזר בכף ידם של גורמי‬
‫אכיפת החוק האמריקניים‪ .‬למרות שטרם פורסמה התייחסות רשמית לנושא‪,‬‬
‫ייתכן וחלק מהזמן שעבר נוצל על‪-‬ידי הצדדים כדי לבצע עבודה משותפת‪,‬‬
‫לבחינת מערכות ההגנה ואבטחת המידע של מערכות בנקאיות אמריקניות‬
‫נוספות‪ .‬אם אכן התקיימה עבודה שכזו‪ ,‬היא בהחלט לא תהיה הפעם הראשונה‪.‬‬
‫לגורמי אכיפת החוק‪ ,‬בכל מדינה‪ ,‬יש אינטרס גבוה להבין לא רק כיצד חושבים‬
‫הפורצים הקיברנטיים כאשר הם מתכננים לפרוץ למטרה מסוימת‪ ,‬אלא להבין‬
‫מהן דרכי הפעולות שלהם‪ ,‬מהם כלי העבודה הייעודיים שהם משתמשים‪,‬‬
‫אלו כלים יום‪-‬יומיים הם לקחו והמירו לשימושם‪ ,‬וכיצד כל אלה נשזרים יחדיו‬
‫למארג עוצמתי המאפשר לתוקף פוטנציאלי לאתר ולנצל פרצות אבטחה‬
‫במוסדות פיננסיים ובמוסדות רגישים אחרים‪.‬‬
‫‪8‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫הדור החדש‬
‫של ההאקר‬
‫עלות ההונאות המקוונות השנתית‬
‫גבוהות מתמיד‬
‫המעבר מתהילה‬
‫למודל כלכלי משומן‬
‫ארגונים נדרשים להשקיע יותר משאבים בהגנה על תשתיות המחשוב‬
‫הארגוני‪ ,‬ומוסדות פיננסיים נדרשים להגן על הכסף שברשותם‪ .‬יש‬
‫להצפין את הנתונים במאגרי הנתונים‪ ,‬דבר שלא נעשה לרוב במרבית‬
‫הארגונים‪ .‬ארגונים‪ ,‬ולא רק פיננסיים מבינים שהשימוש בסיסמאות הוא‬
‫לא יעיל מספיק‪ ,‬ונדרש לטפל בהיבטי אבטחה נוספים‪ ,‬על מנת להגן על‬
‫נתוני הארגון‪ ,‬כגון בקרה על הגישה‪.‬‬
‫ישנו מגוון רחב של פתרונות למניעת גניבה והונאות מקוונות‪ .‬ההגנה‬
‫צריכה להיעשות מרמת תשתיות המחשוב‪ ,‬ועד למשתמשים בתחנות‬
‫הקצה‪ .‬הפתרונות צריכים להיות משולבים – תגובתיים ומניעתיים‪ ,‬כאשר‬
‫הפתרון המומלץ הוא יצירת תשתית מניעתית‪ ,‬וזה החלק החשוב ביותר‪,‬‬
‫ובו ארגונים נדרשים להשקיע את מירב המאמצים והמשאבים‪ ,‬על מנת‬
‫לצמצם את כמות גניבות המידע וההונאות הכספיות‪ .‬אמצעי נוסף‪,‬‬
‫"פשוט אבל הכרחי"‪ ,‬הוא מעקב אחר תנועות כספים חשודות‪ ,‬למשל‬
‫הוצאת כספים מכספומטים בשני מקומות שונים‪ ,‬באותו מועד‪( .‬מערכות‬
‫‪ ,SIEM‬יכולות לבצע קורלציה ולהתריע על מקרים כאלו)‪.‬‬
‫אין כזה דבר אבטחת מידע ארגונית מקצה לקצה‪ ,‬אין שום טכנולוגיה‬
‫בעולם שיכולה להגן בצורה מושלמת על מערכות ה‪ IT-‬הארגוניות‪.‬‬
‫אבטחת המידע כבעבר‪ ,‬ממשיכה להיות התחום החשוב‪ ,‬בעל העניין‬
‫הרב ביותר‪ ,‬עבור מנהלי ה‪ IT-‬בארגונים‪.‬‬
‫ארגונים עובדים באופן מתמיד על מנת להגביר את רמת אבטחת המידע‬
‫שלהם‪ ,‬עם התקנת טכנולוגיות חדשות‪ .‬בינתיים‪ ,‬התקפות קיברנטיות‬
‫ופריצות חיצוניות לתוך מערכות ה‪ IT-‬הארגוניות‪ ,‬ממשיכות לגדול‬
‫בהתמדה‪ .‬אחד המאפיינים המרכזיים בתחום אבטחת המידע‪ ,‬הוא‬
‫הפשע הקיברנטי‪ .‬ניתן לאפיין את העולם הווירטואלי ככזה בו גדלה‬
‫כמות האיומים השונים‪ :‬וירוסים‪ ,‬תולעים‪ ,‬ואיומים משולבים; גדלה‬
‫היכולת להתחבא ולא להתגלות בהפצת נוזקות; גדלה היכולת לגנוב‬
‫מידע ארגוני ופרטים אישיים; גדל הפוטנציאל של הפגיעויות‪ ,‬בשל עבודת‬
‫המשתמשים מרחוק‪ ,‬ומהבית‪.‬‬
‫החיבור שנוצר בין ההאקרים לבין רשתות הפשע המאורגן השונות‬
‫בעולם‪ ,‬ושנועדו לביצוע הונאות מקוונות ברשת‪ ,‬הוא כבר להיט כבר‬
‫במחצית השנייה של העשור‪ .‬המניע העיקרי להונאות כיום הוא כסף‪,‬‬
‫ותופעת הפשע הקיברנטי מופנית לביצוע גניבת כספים ומידע ממוסדות‬
‫פיננסיים ומחברות כרטיסי האשראי‪ .‬שילוב ההאקרים עם מניע כספי‬
‫מהווה פוטנציאל זהב עבור ארגוני הפשע המאורגן‪ .‬סיבת ההצלחה של‬
‫הונאות מקוונות היא כי ארגונים פועלים בעזרת תוכנות‪ ,‬ולכל תוכנה ניתן‬
‫לפרוץ ולהיכנס לקרביים שלה‪.‬‬
‫מאת‪ :‬ניר ולטמן – ‪ Chief Security Officer‬בחברת ‪.CITADEL‬‬
‫"נוזקות הן הבעיה החמורה ביותר בעולם אבטחת המידע כיום; כיום‪ ,‬אף פלטפורמת ‪ IT‬אינה חסינה‬
‫מפניהן – כך קובעת גרטנר (‪ ;)Gartner‬ערכות התקפיה אשר זמינות בשוק השחור ברשת‪ ,‬המאפשרות‬
‫לתוקפים‪ ,‬בסכומים נמוכים יחסית של מאות עד אלף דולרים‪ ,‬ליצור מתקפות חובקות עולם וירטואלי"‪.‬‬
‫נוזקות הן הבעיה החמורה ביותר בעולם אבטחת‬
‫המידע כיום‪ .‬המדובר גם ברמת התחכום שלהן‬
‫וגם בכמותן‪ .‬בשנים האחרונות חלה עלייה חדה‬
‫בכמות הנוזקות בכלל‪ ,‬ובנוזקות הייחודיות בפרט‪.‬‬
‫כיום‪ ,‬אף פלפורמת‪ IT‬אינה חסינה מפניהן – כך‬
‫קובעת גרטנר (‪ )Gartner‬העולמית‪.‬‬
‫התפשטות הנוזקות הופכת לבעיה עבור כל‬
‫מנמ"ר וכל מנהל אבטחת מידע בארגון‪ .‬הסיבה‬
‫היא ערכות התקפיה אשר זמינות בשוק השחור‬
‫ברשת‪ ,‬המאפשרות לתוקפים‪ ,‬בסכומים נמוכים‬
‫יחסית של מאות עד אלף דולרים‪ ,‬ליצור מתקפות‬
‫חובקות עולם וירטואלי‪ .‬רבות מהנוזקות כיום הם‬
‫מבוססות חתימה‪ ,‬ושינוי החתימה עוקף רבים‬
‫מכלי האנטי‪-‬וירוס ומסנני התוכן‪ ,‬ובכך במקרים‬
‫רבים לא ניתן לזהות אותן‪.‬‬
‫מערכות ‪ IPS‬מספקות בין היתר הגנה רציפה על‬
‫רשת הארגון מפני מתקפות של נוזקות שונות‪,‬‬
‫והתקפות שונות (אפליקטיביות ותשתיתיות)‪.‬‬
‫ע"י זיהוי ועצירת ההתקפות ברמת הרשת‬
‫והאפליקציה ומניעת נזק לארגון ובכך מקטינות‬
‫את העלות והזמן הדרוש לטיפול בהתקפות‪.‬‬
‫מתהילה למודל כלכלי משומן‬
‫ההאקרים משנים את פניהם – בעוד שבעבר‪ ,‬מה‬
‫שאפיין אותם הוא לפרוץ לארגונים סודיים‪ ,‬וללכת‬
‫לספר לחבריהם על ההצלחה בכך‪ ,‬הרי שכיום‬
‫כסף רב‪ ,‬הינו המניע העיקרי‪ .‬לאחרונה‪ ,‬אנו עדים‬
‫לשינוי מעניין בעולם הקיברנטי‪ ,‬בכך שהתוקפים‬
‫עברו כבר מזמן ממתקפות רחבות היקף‪ ,‬רועשות‪,‬‬
‫שלחלקן אין מניע כלכלי‪ ,‬למתקפות שקטות‪,‬‬
‫ממוקדות‪ ,‬שכמעט תמיד המניע שלהן הוא פיננסי‬
‫או מדיני‪ .‬שלוש דוגמאות מפורסמות לכך הן‬
‫הפריצה לשרתי גוגל (‪ )Google‬בסין בשנת ‪,2010‬‬
‫מה שקרה לרשת הפלייסטיישן של סוני (‪,)Sony‬‬
‫וכמובן התולעת סטוקסנט (‪ )Stuxnet‬המפורסמת‪,‬‬
‫אשר פגעה במערך הגרעין האיראני‪ .‬זה כבר לא‬
‫משחקי ילדים‪ ,‬וכיום מדובר על מתקפות ברמה‬
‫מאוד גבוהה‪ ,‬ממוקדת‪ ,‬עם מטרות מדויקות‪.‬‬
‫עקב אכילס של כל ארגון‬
‫מחקירות המקרים המוזכרים לעיל‪ ,‬עולה מידע‬
‫מדאיג שמנציח מצב עגום מצד אחד אך מחויב‬
‫המציאות מצד שני‪ .‬חברות פשוט לא מתקינות‬
‫באופן תדיר עדכוני אבטחת מידע של מערכות‬
‫הפעלה ותוכנות שונות‪ .‬הדבר נובע מסיבה‬
‫עיקרית אחת‪ :‬מיקרוסופט מוציאה פעם בחודש‬
‫‪ 10‬עדכונים אבטחה בממוצע‪ ,‬הידועים בכינויים‬
‫(‪ )Patch Tuesday‬שלכל אחד ואחד מהם עלולה‬
‫להיות השלכה תפעולית של יישומי הליבה של‬
‫הארגון‪ .‬הדבר נכון בעיקר לגבי שרתים קריטיים‪,‬‬
‫שלעתים זה מאות שרתים בארגונים גדולים‪ ,‬אך‬
‫גם לגבי תחנות עבודה שיכולים להגיע לאלפים‪.‬‬
‫דרך התמודדות יעילה היא לבצע ‪Virtual‬‬
‫‪ Patching‬למחשבים אלו דרך הטמעת מערכת‬
‫‪ IPS‬ברשת הארגונית‪ .‬הטמעה של מערכת‬
‫‪ IPS‬ברשת מאפשרת לארגון לעצור איומים‬
‫המנסים לנצל פגיעויות במערכות ההפעלה ע"י‬
‫זיהוי מוקדם ועצירתם ברמת הכניסה לרשת‬
‫(‪ .)Gateway‬כך ניתן זמן נאות ליישום הטלאי‬
‫במחשבים בארגון (שרתים‪ ,‬תחנות‪ ,‬אפליקציות)‪.‬‬
‫ארגונים לא יכולים יותר להתעלם מבעיות אלו‪.‬‬
‫נדרש לנהל את הפגיעויות‪ ,‬יחד עם הכנסת כמה‬
‫שיותר מרכיבים אוטומטיים לאבטחת המידע‪.‬‬
‫להלן כמה מהטכנולוגיות להן ארגונים נדרשים‬
‫כיום‪:‬‬
‫הזדהות חזקה‪ ,‬ניהול זהויות‪ ,‬סינון תוכן ומניעת‬
‫דוא"ל‪ ,‬תוכנית להמשכיות עסקית‪ ,‬ניהול פגיעויות‪,‬‬
‫הגנה ברמת התשתיות וברמת האפליקציות‬
‫וכדומה‪.‬‬
‫לסיכום‬
‫רכשו רק את המוצרים המאובטחים ביותר;‬
‫העסיקו עובדים שניתן לסמוך עליהם; כפו על‬
‫הארגון להחליף אמצעי אבטחה ישנים ולא יעילים‪,‬‬
‫בפתרונות חדשים ומאובטחים יותר; הגנו על בעלי‬
‫המניות של הארגון‪ ,‬והם יגנו על העסק; אמצו‬
‫וקבלו את ההוראות לתאימות לרגולציות‪ ,‬והציגו‬
‫אותן כהזדמנות‪ ,‬ולא כמשא מכביד‪.‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪9‬‬
‫זהירות‪Botnet...‬‬
‫השימוש בטכנולוגיית ה"זומבים" מעניק יכולות‬
‫מתקדמות לארגוני הפשיעה ברשת ומסייע להם‬
‫להתחמק מעיניהן הפקוחה של תוכנות האבטחה ‪.‬‬
‫רשתות הבוטנט (‪ )Botnet‬חוות מעבר מפעילות רועשת לפעילות שקטה וממוקדת‬
‫יותר‪ .‬רשתות הבוטנט הן רשתות זומבי שהושתלו בהן תוכנות זדוניות‪ ,‬ללא ידיעת‬
‫המשתמש‪ .‬הן ממשיכות להתפתח‪ ,‬לשנות צורה ולהתפשט‪ ,‬בין השאר לעולם‬
‫הסלולר‪ .‬גרטנר‪ ,‬מעריכה כי‪ 4% ,‬עד ‪ 8%‬מהמחשבים בכל ארגון הם זומבים‪.‬‬
‫עפ"י דיווח של אנסליטים וחברות מחקר‪ ,‬יותר מ‪ 300,000-‬מחשבים בישראל הם‬
‫"זומבים" הנשלטים מרחוק ללא ידיעת בעליהם‪ ,‬ומופעלים לטובת פעילות פלילית‬
‫ברשת‪ .‬השימוש בטכנולוגיית ה"זומבים" מעניק יכולות מתקדמות לארגוני הפשיעה‬
‫ברשת ומסייע להם להתחמק מעיניהן הפקוחה של תוכנות האבטחה‪.‬‬
‫‪ - Botnets‬רובוטים ברשת של קשרים לא חוקיים בין מחשבים‪ ,‬נחשבת כשיטה‬
‫מועדפת לגניבות באינטרנט‪ .‬תופעת ה‪ Botnet-‬היא הפעלת אסופה של מחשבים‬
‫בודדים רבים‪" ,‬זומבים"‪ ,‬שבעצם נחטפו בידי פושעים ברשת‪ ,‬ללא ידיעת בעליהם‪.‬‬
‫כך בעצם‪ ,‬המשתלטים מרחוק יכולים להפעיל את המחשבים הנתונים לשליטתם‬
‫הסמויה לצורך גניבת זהויות‪ ,‬מתקפות של מניעת שרות‪ ,‬העברת קוד זדוני או דואר‬
‫זבל המוני‪.‬‬
‫מומחים מעריכים כי עשרות מיליוני מחשבים ברחבי העולם נמצאים בסכנה‬
‫ומשמשים כיעד לפישינג‪ ,‬דואר זבל‪ ,‬הפצת פורנוגרפיה וגניבת סיסמאות‪.‬‬
‫חברות המחקר וחברות האנטי‪-‬וירוס בעולם‪ ,‬חוקרות וסוקרות את התפתחות‬
‫הנוזקות במהלך השנים‪ ,‬ומסכמים תופעה לא אופטימית בכלל‪ ,‬וטוענים כי האיום‬
‫הגדול והמסוכן ביותר כיום הוא הנוזקות המשולבות‪ .‬אלו‪ ,‬הם איומים רב‪-‬כיווניים‪,‬‬
‫מרובי רכיבים‪ ,‬המשתנים במהירות ובאופן לא קבוע‪ .‬הם רבי צורות‪ ,‬קשים לניקוי‪,‬‬
‫ובעיקר ‪ -‬שקטים ונחבאים אל הכלים‪ .‬לכן‪ ,‬הם כה מסוכנים‪.‬‬
‫הסכנה הגדולה מכיוונם של איומים אלו‪ ,‬היא מדד ההצלחה שלהם ‪ -‬לא ידועה המכות‬
‫האמיתית של המחשבים המנוצלים‪ ,‬זהו נתון שניתן רק להעריך אותו‪.‬‬
‫ממחקרים שונים שנערכו ע"י גופי מחקר שונים בעולם‪ ,‬עלה כי בין המגמות שהופיעו‬
‫בשנים אחרונות ומתחזקות בכל שנה‪ ,‬הן איומי הספאם המשולבים‪ :‬הודעות ספאם‪,‬‬
‫המצטיירות כהודעות דואר זבל רגילות‪ ,‬אך בתוכן קישורים לאתרים בעלי פעילות‬
‫זדונית‪ .‬הטכניקה החדשה‪ ,‬מופצת במהירות באמצעות רשתות הבוטים‪ ,‬משמע ‪ -‬רשת‬
‫של מחשבי "זומביים"‪ ,‬תוך התחמקות ממרבית מנועי האנטי‪-‬וירוס‪ ,‬וגורמת להורדה‬
‫אוטומטית של תוכנה זדונית ולהפעלת התוכנות על מחשבי המשתמשים‪ .‬כך בעצם‪,‬‬
‫משמשים המחשבים ‪ -‬בארגונים ובבתים ‪ -‬כמחשבים פעילים‪ ,‬כאשר בפועל‪ ,‬מבלי‬
‫דעת של בעליהם‪ ,‬הם משמשים כשרתים מארחים לאתרים בעלי פעילות זדונית‪.‬‬
‫הרכיב המסוכן ביותר מתוך מכלול הרכיבים הפועלים ברשת אינו המחשב הנייד או‬
‫תפיסת הניידות לכשעצמה‪ ,‬כי אם משתמש הקצה‪ .‬אנו המשתמשים הלא טכנולוגיים‪,‬‬
‫המהווים את רוב המשתמשים בעולם‪ ,‬חושבים שיש לנו את היכולת להבחין בין‬
‫הסכנות‪ .‬אנו מתיימרים לדעת שאנו פועלים במרחב הקיברנטי באופן בטוח‪ ,‬בזמן‬
‫שהלכה למעשה ‪ -‬איננו פועלים כך‪.‬‬
‫‪10‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫מגמות חמות‬
‫בתחום אבטחת המידע‬
‫קורס ‪CISO‬‬
‫רגולציות‬
‫הרגולציות מקדמות את תחום‬
‫אבטחת המידע כולל כל נושאי‬
‫הניטור ובקרה (‪ ,)AUDIT‬מערכות‬
‫לניהול זהויות ובקרת גישה (‪,)IAM‬‬
‫הצפנותוכו'‪ .‬רגולציה הינה מנוף חיובי‬
‫מבחינת דחיפת הצורך באבטחת‬
‫מידע בארגון‪ ,‬היות והיא מפנה את‬
‫האחריות לנושא אבטחת המידע לדרג‬
‫הניהולי‪ ,‬ולכן יש ירידה במעורבות של מנהל המחשוב ועלייה‬
‫במעורבות של הדרג הניהולי בחברה‪ .‬בעולם‪ ,‬המגמתיות היא‬
‫שמנהל אבטחת המידע מדווח ישירות לדרג הניהולי‪ ,‬דבר שמקבל‬
‫מאוד על ביצוע עבודתו‪ .‬בארץ‪ ,‬למרות שניתן לראות מגמה של‬
‫שינוי‪ ,‬עדיין המצב רחוק מלהיות משביע רצון‪ ,‬וברוב הארגונים‪,‬‬
‫מנהל אבטחת המידע עדיין כפוף ומדווח ישירות למנמ"ר‪.‬‬
‫מיזוג אבטחה פיזי עם אבטחה לוגית‬
‫אנו רואים מיזוג בין תחום האבטחה הלוגית (‪ )IT‬והאבטחה הפיזית‬
‫(אנשי אבטחה‪ ,‬מחלקת הביטחון וכו')‪ .‬כיום‪ ,‬זה לא ממש משנה‬
‫אם מדובר בגניבת נייר סודי מהמשרד או מידע דיגיטלי מהמחשב‪,‬‬
‫המטרה היא אותה מטרה‪ :‬לאתר ולזהות את הניסיון כמה שיותר‬
‫מהר‪ ,‬ואם אפשר‪ ,‬עוד בשכבה הפיזית‪ ,‬ולנסות למנוע או לפחות‬
‫לאתר את הניסיון בזמן אמת‪ ,‬ולהתריע למחלקת הביטחון או‬
‫אבטחת מידע‪ .‬אנו עדים לאחרונה לפרויקטים של הזדהות חזקה‬
‫החל מהכניסה לבניין דרך הגישה למחשב וליישומים במחשב‬
‫ולתאום ביניהם‪ .‬כך בעצם‪ ,‬ניתן לשלוט בכל רגע נתון ולאתר עובד‪,‬‬
‫בהתאם לתנועה שלו בתוך הארגון‪ ,‬החל מהכניסה לארגון‪ ,‬דרך‬
‫השער‪ ,‬כניסה לבניין‪ ,‬העברת שעון נוכחות בכניסה‪ ,‬העברת תגי‬
‫זיהוי כדי להיכנס למשרדים‪ ,‬והזדהות אל מול המחשב לצורך‬
‫עבודה‪ .‬וכנ"ל‪ ,‬בכיוון ההפוך‪ ,‬ברגע שעובד מפסיק לעבוד‪ ,‬אז‬
‫הפעילות ניטור‪ ,‬מתחילה שוב לעבוד‪ .‬ישנם ארגונים‪ ,‬בהם לקחו‬
‫את זה שלב אחד קדימה‪ ,‬והטמיעו מערכות שמציגות על מסך‬
‫בעת היציאה מהבניין‪ ,‬כמה עובדים עדיין נשארו בחברה (מי‬
‫ואיפה הם נמצאים) דבר שיכול לסייע בעת אסון‪ .‬ברוב הארגונים‬
‫הגדולים‪ ,‬שני סוגי האבטחה (לוגית ופיזית) אוחדו תחת גורם‬
‫אחראי אחד‪.‬‬
‫מנהל אבטחת המידע – טכנולוג או אסטרטג?‬
‫בעבר‪ ,‬מנהל אבטחת המידע היה נדרש להיות בקיא בטכנולוגיה‪,‬‬
‫כאשר היום‪ ,‬מחפשים אנשים עם הכשרה מתאימה לתחום‪ ,‬הן‬
‫מבחינה טכנולוגית והן מבחינה ניהולית ושיווקית‪ .‬הנהלת הארגון‬
‫הבינה שמלבד הידע הטכנולוגי‪ ,‬מנהל אבטחת המידע נדרש‬
‫להיות בעל יכולת ניהול טובה‪ .‬כמו כן‪ ,‬חשובה גם היכולת השיווקית‬
‫של מנהל אבטח המידע להעברת המסר בתוך הארגון‪ ,‬הן ברמת‬
‫העובדים‪ ,‬והן ברמת הדרג הניהולי‪ .‬מנהל אבטחת המידע‪ ,‬נדרש‬
‫כיום לדבר בשפה העסקית‪ ,‬אל מול הנהלת הארגון‪ ,‬ולא בשפה‬
‫הטכנולוגית‪ .‬מונחים כגון ‪ ,ROI, TCO‬מדדים החליפו מושגים שהיו‬
‫נפוצים בעבר כגון ‪ ,FIREWALL, ANTIVIRUS‬וכדומה‪ .‬כיום‪ ,‬מנהלי‬
‫אבטחת המידע בארגונים נתפסים כ‪ ,Business Enabler-‬ורואים‬
‫בהם כתורמים לעסק‪ ,‬ולא כגורם מפריע‪ ,‬כמו שהיה נהוג לראות‬
‫בהם בעבר‪.‬‬
‫תלמד • תוביל • תצליח!‬
‫הטכנולוגיה רצה קדימה‪ ,‬ההנהלות דורשות החזר‬
‫השקעה‪ ,‬הספקים מציעים לנו פתרונות ללא סוף‪,‬‬
‫והלקוחות מצפים לשירות עם אפס תקלות ושמירה‬
‫על המידע שלהם‪ .‬זוהי הסביבה שאיתה נאלץ‬
‫כל מנהל אבטחת מידע להתמודד יום‪ ,‬יום כחלק‬
‫מהעשייה והחיפוש אחר ההצלחה בתפקיד‪ .‬הקורס‬
‫שם דגש על החידושים והאתגרים השונים בתחום‬
‫אבטחת מידע וניהול‪.‬‬
‫במסגרת הקורס נציג‬
‫את הנושאים החדשים‬
‫וההתפתחויות בתחום תוך מתן‬
‫כלים מעשיים למנהל אבטחת‬
‫המידע לניהול תקין של מערך‬
‫האבטחה בארגון‪.‬‬
‫נציג בצורה אובייקטיבית את הנושאים השונים‬
‫תוך מתן המלצה לגבי דרכי היישום וקביעת סדרי‬
‫העדיפות של הנושא (בהתאם לחומרת העניין ותהליך‬
‫ניהול סיכונים מובנה)‪ ,‬וכמובן נצייד את התלמידים‬
‫בכל הכלים‪ ,‬הן בפן הטכנולוגי והן בפן העסקי‪-‬ניהולי‪,‬‬
‫שכל מנהל אבטחת מידע צריך כדי לשרוד בתפקידו‪.‬‬
‫הקורס חושף את התלמיד למגוון רחב של נושאים‪ ,‬הן‬
‫בפן הטכנולוגי‪ ,‬והן בפן העסקי‪-‬ניהולי‪ .‬הקורס חובה‬
‫לכל מנהל אבטחת מידע הרוצה להתעדכן בצורה‬
‫שיטתית וחסרת אינטרס במגמות ובכיוונים של עולם‬
‫אבטחת המידע וניהול סיכונים‪.‬‬
‫מנחה ומרצה ראשי‬
‫דני אברמוביץ‪,‬‬
‫מנכ"ל טיטנס סקיוריטי‬
‫שיטת הלימוד‬
‫‬
‫‬
‫‬
‫•הקורס יציג תפיסות טכנולוגיות‪ ,‬עסקיות‬
‫וניהוליות ודרך יישומם בארגון‬
‫•הקורס יכלול הרצאות פרונטאליות‬
‫משולבות בהצגת וניתוח מקרים (‪Case‬‬
‫‪)Studies‬‬
‫•הקורס כולל הגשת והצגת פרויקט גמר‬
‫קהל יעד‬
‫מנהלי אבטחת מידע‪ ,‬מנהלי תחום ניהול‬
‫סיכונים‪ ,‬מנהלי ‪ ,IT‬יועצים‬
‫היקף הקורס‬
‫‪ 200‬שעות פרונטאליות‬
‫כ‪ 500-‬שעות תרגול עצמי‬
‫‪ 50‬מפגשים של ‪ 4‬שעות כל מפגש‬
‫לייעוץ‪ ,‬מידע מנהלי והרשמה‬
‫ניתן לפנות למרכז התכנית‪ ,‬מר דני אברמוביץ‪ ,‬בטל'‪,050-8266014 :‬‬
‫דוא"ל‪danny@titans2.com :‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪11‬‬
‫מערכות ‪IPS‬‬
‫בשנים האחרונות ניכרת בשוק מגמה של פיתוח‬
‫ציפיות חדשות מתעשיית אבטחת המידע‪ ,‬במיוחד‬
‫בתחום מערכות ה‪ ,IPS-‬על מנת לתת מענה‬
‫למתקפות הסייבר המתוחכמות החדשות‪ .‬אחת‬
‫המגמות המאתגרות ביותר היא הדרישה לכך‬
‫שהמוצרים המיועדים לאתר ולמנוע ניסיונות‬
‫חדירה יהיו מסוגלים לזהות מתקפות חדשות‪,‬‬
‫שטרם קיימות חתימות לזיהוי (‪.)Day Attacks 0‬‬
‫יכולות אלו יתבססו על זיהוי אנומאליות‪ ,‬ומחייב‬
‫את היצרנים לפתח באופן מוגבר את האי‪-‬תלות‬
‫בגורם האנושי (כגון הצורך בעדכון חתימות‬
‫תמידי)‪ .‬פירושו של דבר הוא‪ ,‬שאותן פעולות שהיו‬
‫בעבר נחלתו של מומחה אבטחת מידע‪ ,‬צריכות‬
‫להתבצע כיום באופן אוטומטי ע"י המערכות עצמן‪,‬‬
‫עם מינימום התערבות של אדם‪.‬‬
‫המערכות ‪ IPS‬נוצרו כדי לתת מענה רשתי‬
‫למתקפות ופרצות אשר טכנולוגיות ה‪Firewall-‬‬
‫אדישה להן‪ .‬מערכות אלה מבצעות ניתוח של‬
‫תעבורת הרשת עד לרמת האפליקציה‪ ,‬מבצעות‬
‫ניתוח של התעבורה בכדי לזהות מתקפות‪,‬‬
‫וחוסמות את המתקפה לאחר שזוהתה‪.‬‬
‫מערכות ה‪ IPS-‬מבצעות ניתוח של התעבורה‬
‫בשלושה אופנים‪:‬‬
‫‪ .1‬ניתוח התעבורה לזיהוי חתימות של מתקפות‬
‫ידועות (‪)Signature Based‬‬
‫‪ .2‬זיהוי חריגה (אנומליה) בפרוטוקולים מוכרים‪,‬‬
‫באופן שיכול להצביע על תעבורה זדונית‬
‫(‪ - )Anomaly-based‬יעיל נגד מתקפות‬
‫חדשות (‪)Zero Day attacks‬‬
‫‪ .3‬זיהוי מתקפות ‪ )Denial of Service) DoS‬על‬
‫שרתי החברה‪.‬‬
‫פתרונות ה‪ IPS-‬מרחיבים איפוא את יכולות הזיהוי‬
‫והסינון הקיימות במערכות ה‪ Firewall-‬ומספקים‬
‫רמה גבוהה יותר של הגנה‪.‬‬
‫ישנם ‪ 2‬סוגי מערכות ‪ IPS‬עיקריים‪:‬‬
‫‪.1‬‬
‫מערכת ‪Intrusion‬‬
‫‪Prevention System‬‬
‫‪NIPS – Network‬‬
‫ •מערכת שנותנת מענה ברמת הרשת מבחינת‬
‫זיהוי וחסימה של מתקפות שונות‪.‬‬
‫‪ .2‬מערכת‪HIPS–Host Intrusion Prevention‬‬
‫‪System‬‬
‫‪12‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫ •מערכת שנותנת מענה ברמת התחנה\שרת‬
‫מבחינת זיהוי וחסימה של ניסיונות תקיפה‪.‬‬
‫מבחינת מנועי הזיהוי של המתקפות‪ ,‬מערכת‬
‫ה‪ IPS-‬גם כן מתחלקות ל‪ 2-‬קטגוריות‬
‫עיקריות‪:‬‬
‫אשר מחפשים תקיפות ברשת על בסיס זיהוי‬
‫החתימות הידועות שלהן וללא קשר ישיר למודל‬
‫ה‪ TRUST-‬ברשת‪ .‬הקושי שנוצר נובע מכך‬
‫שהתוקפים הבינו זה מכבר כי יעילות ההתקפה‬
‫תגבר אם יוכלו לפעול ברשת בתוך הסתרה של‬
‫חתימתם‪ ,‬ובאופן דינמי‪ ,‬מכוון‪ ,‬ומהיר תשתנה‬
‫פעילות ההתקפה ובכך יימנע ממערכות זיהוי‬
‫החתימות לזהות את ההתקפה‪.‬‬
‫‪ .4‬זיהוי מתקפות ע"י איתור התנהגות אנומלית‬
‫ברשת ( ‪)Anomaly-based‬‬
‫שיטת זיהוי חתימות מיישמת את השלבים הבאים‪:‬‬
‫‪ .3‬זיהוי מתקפות מבוסס חתימות‬
‫(‪)Signature-based‬‬
‫מעבר משיטות זיהוי מבוססות "חתימה" לשיטות‬
‫זיהוי מבוססות "התנהגות" במערכות ‪IPS‬‬
‫כנגד מיתר האיומים המשתנה ומשתפר מיום‬
‫ליום‪ ,‬עולם אבטחת המידע נאלץ לפתח ולהטמיע‬
‫מערכות פתרונות מורכבים ביותר במטרה‬
‫להתמודד עם האתגרים החדשים‪ .‬פתרונות אלו‬
‫מתחלקים למספר גדול של קטגוריות שונות‪,‬‬
‫אך אנו נתרכז בכתבה זו בפתרון ‪ ,IPS‬ויכולות‬
‫ההתמודדות שלו עם זיהוי וחסימת התקפות‪.‬‬
‫זיהוי חדירות לרשת הארגונית בזמן הקרוב ביותר‬
‫לזמן אמת האפשרי הפך לאחת האסטרטגיות‬
‫החשובות והנדרשות כיום בכל רשתות המחשבים‬
‫המשמעותיות‬
‫זיהוי ההתקפות מבוסס ברובו על עקרון של גילוי‬
‫"חתימות" ידועות של התוכנה (הכוונה לזיהוי רצפי‬
‫פקודות מכונה ומבני מידע המאפיינים את כלי‬
‫התוקף)‪ .‬בשיטה זו זיהוי ההתקפות תלוי למעשה‬
‫בידיעת נתונים על צורת הקוד‪.‬‬
‫שיטת זיהוי חתימה ומגבלותיה‬
‫(‪)Signature Based Identification‬‬
‫מדיניות אבטחת המידע מהווה את הבסיס על פיו‬
‫פועלים הכלים שתעשיית האבטחה שוקדת על‬
‫פיתוחם‪ .‬אכיפה שלמגבלות ה‪( TRUST-‬או מדדי‬
‫ה"אמון") כלים אילו מטפלים בבעיות אבטחת‬
‫המידע על ידי יישום והגדרות המדיניות ברשת‬
‫(מוצרי שו"ב וכו') וכן על ידי אכיפה וניטור של‬
‫המדיניות באמצעי אבטחה שונים‪.‬‬
‫מוצרי האבטחה כוללים מוצרים לחיפוש תקיפה‬
‫מנסים לזהות הפרות של יחסי ה‪ TRUST-‬בין‬
‫האובייקטים המוגדרים ברשת‪.‬‬
‫כיום ישנם כלים שונים (המפורסם בהם ‪-‬‬
‫‪ ,SNORT‬שהוא תוכנת קוד פתוח לזיהוי חדירות)‬
‫‪IPS‬‬
‫סקירה טכנולוגית‬
‫ •הגדרת מדיניות‬
‫ •הפעלת מערכת סינון על בסיס המדיניות‬
‫ •זיהוי חדירות ותוכנות עוינות שמבוססת על‬
‫סט של חתימות ידועות לפיהן מזהים את קוד‬
‫ההפעלה של תוכנת התקיפה (‪.)Payload‬‬
‫בשנים האחרונות התפתחו אצל התוקפים שיטות‬
‫שונות של התחמקות מניטור‪ ,‬ושיטות אלו כוללות‬
‫בין היתר‪:‬‬
‫ •הסוואה של סוג המידע (שימוש בהצפנה‬
‫בתקשורת‪ ,‬ובגוף המידע התוקף)‬
‫ •יישום טכניקות של דחיסה חוזרת של המידע‬
‫ •החלפת צורת המידע של תוכנות על ידי תהליך‬
‫שנקרא ‪( Isomorphism‬הכוונה בהידור –‬
‫‪ )Re-compilation‬עם תוספות של קוד‬
‫שמטרתו לשנות את תוצאת תהליכי החתימה‬
‫האפשריים על הקוד‪ ,‬שזה בעצם שינוי‬
‫ה‪Payload-‬‬
‫ •שימוש בטכניקות של ערבול תוכנות‪ ,‬ועוד‪.‬‬
‫הבעיה העקרונית של זיהוי חתימות הינה שצריך‬
‫להכיר את החתימות בעת הפעלת מערכות‬
‫ה‪ .IPS-‬באין חתימה‪ ,‬משמע שאין זיהוי וחסימה של‬
‫ההתקפה‪ ,‬ומכאן‪ ,‬ששיטות ההסתרה וההסוואה‬
‫שתוארו וכן התקפות חדשות שאינן ידועות‬
‫ומוכרות (‪ )0-Day Attacks‬מביסות על פי רוב‬
‫את הפתרון של זיהוי על בסיס חתימות‪.‬‬
‫במקור תחום ה"חתימות" לזיהוי בעיות באבטחת‬
‫מידע החל את דרכו בהקשר של זיהוי וירוסים‪,‬‬
‫למעשה‪ ,‬עד היום עקרונות הפעולה של מערכות‬
‫האנטי וירוס נשארו כשהיו (למעט תחום‬
‫היוריסטיקות)‪ .‬המודל הבסיסי של מערכות‬
‫האנטי‪-‬וירוס הינו מודל של חיסון כנגד התפשטות‬
‫ויראלית דמויות מחלה‪ :‬התפרצות של וירוס >‬
‫שמוביל לבידוד גורם המחלה לצורך בדיקות‬
‫(‪ > )Quarantine‬שמוביל לתהליך של ניתוח‬
‫מבני של הגורם למחלה ע"י "הנדסה לאחור"‬
‫(‪ ,)Reverse Engineering‬ולבסוף‪ ,‬יצירת קובץ‬
‫"חתימות" לצורך חיסון > ואז הפצת החתימות‬
‫במהירות ללקוחות כדי לחסן אותם בפני גורם‬
‫המחלה שהתגלתה לפני שידבקו‪.‬‬
‫במהלך השנים עלתה מאוד מהירות ההתפשטות‬
‫וההדבקה של הנוזקות השונות‪ ,‬וחברות האנטי‪-‬‬
‫וירוס נאלצו לפרוס רשתות ענק לזיהוי מוקדם‬
‫ולניתוח התוכנות המפגעות‪ .‬נושא ההפצה‬
‫המהירה של החתימות ללקוחות הפך אף הוא‬
‫לבעייתי‪ .‬לרוב חברות האנטי‪-‬וירוס הגדולות יש‬
‫מספר מרכזים באזורי זמן שונים על פני כדור‬
‫הארץ במטרה להקטין ככל האפשר את הזמן‬
‫עד לזיהוי והפקת קובץ החתימות‪.‬‬
‫מערכות זיהוי ומניעת חדירות לרשת הארגונית‬
‫(‪ )IPS‬פועלות לפי היגיון דומה‪ :‬גם כאן מנסים‬
‫לזהות חתימות המאפיינות את ההתקפות על‬
‫הרשת‪ .‬נקודות קריטיות (כגון בכניסה לרשת‬
‫הארגון מכיוון האינטרנט) מנוטרות ברמת תעבורת‬
‫התקשורת ומתבצע חיפוש אחר חתימות של‬
‫ההתקפות הידועות‪.‬‬
‫הבעיה שאיתה מתמודדים היום הינה שהשינויים‬
‫בצורתן של התקפות המידע ויכולות ההסוואה‬
‫וההתחמקות של התוקפים מגילוי‪ ,‬מקשים על‬
‫מלאכת זיהוי ההתקפות על בסיס החתימות‬
‫המוכרות ומנטרלים את יעילות השיטה בהתקפות‬
‫הבלתי מוכרות מראש (‪.)0-Day Attacks‬‬
‫שיטת ניטור מבוססת התנהגות‬
‫(‪)Behavior Analysis‬‬
‫בשנים האחרונות הולכת ומתפתחת הגישה‬
‫והטכנולוגיות של זיהוי ההתנהגות הסטטיסטית‬
‫של הרשת ושל משתמשי הרשת (כולל אובייקטים‬
‫טכנולוגיים ומשתמשים אנושיים) במטרה לזהות‬
‫את חריגות ההתנהגותיות בפרופיל הפעילות‬
‫ברשת בעת ביצועה של חדירה\התקפה כנגדה‪.‬‬
‫הטכנולוגיה האמורה מקורה בתחום מערכות‬
‫הלומדות והאינטליגנציה המלאכותית‪,‬‬
‫ובפרט ביישום מגוון טכניקות של כריי מידע‬
‫(‪ )Data Mining‬אשר רבים מהאלגוריתמים שלה‬
‫הבשילו לכלל המערכות המוצעות כיום בשוק‪,‬‬
‫בשנים האחרונות‪.‬‬
‫טכנולוגיית כריית מידע משמשת ככלי במגוון‬
‫אפליקציות ומנסה למצות מתוך התכונות‬
‫הסטטיסטיות של המידע אתו מזינים למערכת‬
‫את הידע האגור בו בצורת דפוסי התנהגות‬
‫סטטיסטית (‪ .)Patterns‬בשימוש אחר לאחר‬
‫גילוי דפוסים התנהגותיים שכיחים במידע מזהים‬
‫חריגה מדפוסים אילו והדבר מצביע על אירועים‬
‫חריגים מסוגים שונים‪.‬‬
‫הטכנולוגיה של כריית מידע מורכבת מתת‪-‬‬
‫דיסציפלינות רבות‪ ,‬אך במבט על ניתנת לחלוקה‬
‫ל‪ 2-‬קטגוריות עיקריות‪:‬‬
‫‪ .1‬מערכות לומדות על בסיס דוגמאות מוכרות‬
‫(לימוד המערכת על פי בסיסי מידע מסומנים‬
‫‪)LABELED‬‬
‫‪ .2‬מערכות המסווגות את המידע אוטומטית על‬
‫בסיס הסטטיסטיקה בלבד (‪)Clustering‬‬
‫בשתי הגישות המערכות הינן לומדות וממשיכות‬
‫לשפר את הביצועים של הגילוי לאורך זמן על‬
‫בסיס סגירת חוג עם מומחה‪-‬יישום הבוחן את‬
‫התפוקות של המערכת‪.‬‬
‫תחילת השימוש בכריית מידע לזיהוי חדירות‬
‫למערכות מחשוב על סמך חריגות סטטיסטיות‬
‫הינו בשנות ה‪ 90-‬עם פרויקט של ‪.DARPA‬‬
‫הביצועים שהושגו בתחילה לא ענו לקריטריונים‬
‫המבצעיים הנדרשים (בעיקר מבחינת מספר‬
‫התרעות השווא = ‪ –False Positive‬קריטריון‬
‫בעייתי במערכות מחשוב מרובות אירועים עקב‬
‫עלות הפרכת חשד של אירוע שווא כזה שהינה‬
‫גבוהה יחסית) אולם המערכות אשר הוצעו סללו‬
‫את הדרך להמשך פיתוח פתרונות ושיפורים‬
‫כאשר בשנים האחרונות אנו עדים יותר ויותר‬
‫לבשלות היצרנים לפתח מוצרי אבטחה מבוססי‬
‫על תפיסת ה‪.Behavior Analysis-‬‬
‫עם הזמן‪ ,‬למעשה נוצרה "נישת שוק" (המכונה‬
‫על פי חברת גרטנר ‪NBA-Network Behavior‬‬
‫‪ )Analysis‬ואשר מאמינים בתעשייה שזהו‬
‫הפתרון הנכון מבחינה עקרונית להתמודדות בפני‬
‫התקפות סייבר לא מוכרות (‪.)Day Attacks 0‬‬
‫בפועל איכות הביצועים של מערכות גילוי‬
‫התקפות תלויים בפונקציית הלימוד ובבסיסי‬
‫המידע (כמות ואיכות) ובהתקפות על פיהם‬
‫מאמנים את המערכת וסוגרים את יכולות הלימוד‬
‫שלה במהלך חייה בפועל‪.‬‬
‫סוגים שונים של התקפות ויריבים שונים‬
‫עימם נדרש להתמודד מחייבים אם כן פיתוח‬
‫מודלים‪ ,‬בסיס מידע‪ ,‬ומערכות לומדות ייעודיות‬
‫להתמודדות עימם‪ .‬ולכן אין די במערכת אחת על‬
‫מנת לספק מענה לאיומים בפניהם נרצה להתגונן‪.‬‬
‫מה לבדוק לפני שקונים מערכת ‪?IPS‬‬
‫ •קלות התקנה– חברות שעובדות ‪ ,24x7‬לא‬
‫יכולות לאפשר לעצמן השבתה של הרשת‬
‫בזמן ביצוע אינטגרציה של רכיב ‪ .IPS‬המערכת‬
‫חייבת להיות "שקופה" לתעבורת רשת רגילה‪,‬‬
‫ומצד שני למנוע מתקפות וניסיונות פריצה‪.‬‬
‫ •לספק יכולות קונפיגורציה לרשתות מורכבות–‬
‫כל חברה שמערכת ה‪ IPS-‬שלה תתפקד‬
‫בצורה שונה‪ .‬חלק ירצו שרכיב ה‪ IPS-‬יהיה‬
‫פאסיבי – יתריע על התקפות ולא יבצע חסימה‪,‬‬
‫וחברות אחרות ירצו דווקא שהרכיב ‪ IPS‬יהיה‬
‫אקטיבי – שיחסום ברגע שיזהה התקפה‪ .‬על‬
‫רכיב ה‪ IPS-‬להיות מודולרי ולהשתנות בהתאם‬
‫לדרישות הלקוח‪.‬‬
‫ •הגנה מפני מגוון התקפות– מאחר ומערכת‬
‫‪ IPS‬סורקת את תעבורת הרשת‪ ,‬עליה להיות‬
‫מסוגלת להגן מפני סוגי התקפות והתנהגויות‬
‫רשת מגוונות‪ ,‬כגון‪ :‬סריקות רשת‪ ,‬קוד זדוני‬
‫(תולעים‪ ,‬סוסים טרויאניים‪ ,‬ווירוסים) תעבורת‬
‫רשת אנומאלית‪ IPv6 ,‬והגנה מפני התקפות‬
‫לא ידועות (‪ ,)Zero Day Attacks‬וניצול נקודות‬
‫תורפה של מערכות קצה‪.‬‬
‫ •ביצועים– מיקומו של רכיב ה‪ IPS-‬הוא בדרך‬
‫כלל בתוך הרשת הארגונית‪ ,‬ועליו מוטל לנתח‬
‫חלק גדול מתעבורת הרשת הפנימית‪ .‬לכן‪,‬‬
‫רכיב שיתאים לרשת של ‪ 200‬משתמשים לא‬
‫יתאים לארגון עם אלפי משתמשים‪ ,‬מכאן שיש‬
‫להתאים את רכיב ה‪ IPS-‬בהתאם לתעבורת‬
‫הרשת הפנימית של הארגון‪.‬‬
‫ •ניהול– ברשתות ארגוניות סביר להניח שיותקנו‬
‫מספר מערכות ‪, IPS‬ולכן יש צורך במערכת‬
‫ניהול מרכזית שתאפשר לנהל את רכיבי ה‪IPS-‬‬
‫בפשטות‪ ,‬במהירות ודרך מערכת ניהול ודיווח‬
‫מרכזית‪.‬‬
‫סיכום‬
‫להלן סקירה במבט על יכולות מערכת ‪.IPS‬‬
‫לקבלת המוסף המלא‪ ,‬הכולל סקירה של‬
‫פתרונות‪ ,‬יתרונות וחסרונות‪ ,‬שחקנים מובילים‬
‫בשוק ועוד‪ ,‬ניתן לפנות אלינו לכתובת‪:‬‬
‫‪info@issa.org.il‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪13‬‬
‫סיקור‬
‫כנס הסייבר השנתי‬
‫לאמץ אבטחה בשכבות; המעבר מאבטחת מידע להגנה בסייבר; שיטות להתמודדות עם איומי הסייבר השונים‪,‬‬
‫אלו רק חלק ממגוון הנושאים אשר עלו בכנס השנתי של האיגוד ‪( ISSA‬הציאפטר הישראלי)‪ .‬בכנס הוצגו האיומים‬
‫הרבים והמשולבים בתחום הסייבר (מתקפות ומגמות) שארגונים נאלצים להתמודד עמם – וכן הוצג המענה עבורם;‬
‫כאשר עוסקים ברמה הלאומית‪ ,‬מושג ההגנה‬
‫על מערכות ממוחשבות מתרחב‪ ,‬וניתן לכנותו‬
‫"הגנה במרחב הסייבר" אמר מר רמי אפרתי‪,‬‬
‫ראש אגף בכיר האחראי למגזר פרטי‪-‬אזרחי‬
‫במטה הסייבר‪ ,‬משרד ראש הממשלה‪ .‬רמי פתח‬
‫את הכנס השנתי הבינלאומי של האיגוד ‪ISSA‬‬
‫(הציאפטר הישראלי)‪ ,‬בהשתתפות ‪ 550‬איש‪,‬‬
‫שהופק ע"י מידע‪-‬כנסים וחברת טיטנס סקיוריטי‬
‫והתקיים במלון שרתון סיטי טאוור ברמת גן‪ .‬את‬
‫הכנס הנחה אריאל פלד‪ ,‬הנשיא היוצא של האיגוד‬
‫‪( ISSA‬הציאפטר הישראלי)‪ ,‬שאמר כי המטרה‬
‫היא להמשיך עם‬
‫המסורת שהתחלנו‬
‫לפני שנתיים‪ ,‬לקיים‬
‫כנס שנתי בינלאומי‪,‬‬
‫עם אורחים בכירים‬
‫מהארץ ומהעולם‪.‬‬
‫הארגון להתאוששות מהירה מתקרית‪ ,‬ועוד‪.‬‬
‫בהרצאתו‪ ,‬רמי העלה מספר סוגיות מרכזיות‪,‬‬
‫המתעוררות כאשר באים לדון בהגנה קיברנטית‬
‫ברמה המדינית‪ .‬סוגיות אלו רחוקות מלהיות‬
‫היחידות שיש לדון בהן" אמר בהרצאתו מר‬
‫אפרתי‪" ,‬אבל הן באות להמחיש את הקושי‬
‫בתרגום תפיסות ההגנה ופיתוחים טכנולוגיים‪,‬‬
‫אשר קיימים ברמה הארגונית והסקטוריאלית‪,‬‬
‫לכדי תפיסה כוללת ברמת מדינה‪.‬‬
‫מר רמי אפרתי‪,‬‬
‫ראש אגף בכיר‬
‫האחראי למגזר‬
‫הפרטי‪-‬אזרחי במטה הסייבר‪ ,‬משרד ראש‬
‫הממשלה‪.‬‬
‫‪X-Force Trend Report‬‬
‫מאבטחת מידע להגנה בסייבר‬
‫משך זמן רב נהוג היה לקרוא לתחום ההגנה על‬
‫מערכות המחשוב‪" ,‬אבטחת מידע"‪ ,‬וזאת עקב‬
‫התפיסה‪ ,‬כי הדבר המרכזי עליו יש להגן הינו‬
‫מידע רגיש (בין אם מידע מסווג‪ ,‬או מידע חסוי‬
‫עסקית)‪ .‬עם השנים‪ ,‬התפתחה גישה זו והקיפה‬
‫איומים נוספים מלבד פגיעה במידע – מניעת‬
‫שרות (‪ ,)DOS‬השבתת תהליכים חיוניים מבוססי‬
‫תשתיות מחשוב‪ ,‬ועוד‪ .‬כאשר עוסקים ברמה‬
‫הלאומית‪ ,‬מושג ההגנה על מערכות ממוחשבות‬
‫מתרחב‪ ,‬וניתן לכנותו "הגנה במרחב הסייבר"‪.‬‬
‫מבלי להיכנס להגדרה מדויקת‪ ,‬ניתן לומר‪,‬‬
‫כי במושג זה הכוונה הינה למכלול הפעולות‬
‫הצריכות להתבצע כחלק מתפיסת הגנה כוללת‬
‫במרחב הקיברנטי‪ .‬בין הפעולות אלו ניתן לכלול‪,‬‬
‫בנוסף לאבטחה‪ ,‬גם מודיעין מוקדם‪ ,‬ניטור בזמן‬
‫אמת‪ ,‬פעולות למניעה‪ ,‬פיתוח אמצעים טכנולוגיים‬
‫ייעודיים‪ ,‬הגברת המודעות‪ ,‬יכולות לזיהוי ובידוק‬
‫מהיר של האזורים המותקפים בארגון‪ ,‬יכולות‬
‫‪14‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫‪2011‬‬
‫ההיבט האנושי‪ ,‬הטכנולוגי‪ ,‬והתהליכי‪ .‬על גישה‬
‫זו להיות גמישה ונוחה לשינוי‪ ,‬ימינה ושמאלה‪ ,‬על‬
‫מנת להסתגל במהרה אל מול איומים ומתקפות‬
‫חדשות‪ .‬מגמה נוספת שאיתרנו‪ ,‬וזה גם המסר‬
‫ב‪ ,IBM-‬שאנחנו מנסים להעביר ללקוחותינו‪ ,‬זה‬
‫שהעולם כפי שאנחנו מכירים אותו‪ ,‬איננו עוד‪.‬‬
‫העולם הופך להיות ממוחשב ודיגיטלי יותר‪,‬‬
‫וכמעט ואין דבר בעולם כיום‪ ,‬שאינו מתבסס על‬
‫הפן הטכנולוגי‪ .‬המורכבות של האיומים מתפתח‬
‫מדי יום‪ ,‬ויחד איתם גם התחכום של המתקפות‪.‬‬
‫ולכן‪ ,‬יש צורך באימוץ גישה הוליסטית‪ ,‬כוללת‪,‬‬
‫המבוססת של שכבות אבטחה‪ .‬חברת ‪,IBM‬‬
‫משקיעה המון בחקר איומים ומגמות אבטחת‬
‫מידע בעולם‪ ,‬ויש לה מרכזי מחקר פרוסים ברחבי‬
‫העולם‪.‬‬
‫‪Cyber Threats Prevention‬‬
‫מר אופיר אגסי ‪-‬‬
‫מהנדס אבטחת מידע‪EMEA ,‬‬
‫(תמונה)‬
‫"ארגונים כיום‪ ,‬נמצאים בחזית המתקפות‪ ,‬ולכן‪,‬‬
‫הנחת העבודה שארגונים נדרשים לעבוד על פיה‬
‫היא שכל המידע שברשותם מצוי תחת שרשרת‬
‫בלתי פוסקת של מתקפות‪.‬‬
‫‪Martin Borret,‬‬
‫‪Director of the IBM‬‬
‫‪Institute for Advanced Security in Europe‬‬
‫מרטין‪ ,‬נתן סקירה מעמיקה על האיומים בעידן‬
‫הדיגיטלי‪,‬וציין את הממצאים של הדוח שפורסם‬
‫ע"י ‪ IBM‬בשנת ‪ ,2011‬שמרכז את המגמות‬
‫והטרנדים החמים בעולם המתקפות בעולם‬
‫הסייבר‪ .‬לדבריו‪ ,‬ההגנות המסורתיות‪ ,‬שחשבנו‬
‫שהן חזקות‪ ,‬ומגנות עלינו בצורה יעילה‪ ,‬הן כבר‬
‫לא כל כך יעילות בעידן הסייבר‪ ,‬ויש צורך באימוץ‬
‫גישה שונה‪ ,‬גישה הוליסטית‪ ,‬על מנת להתמודד‬
‫עם מתקפות הסייבר‪ .‬הוא השתמש בדימוי של‬
‫טירה‪ ,‬שבזמנו‪ ,‬היא הייתה קו ההגנה הטוב ביותר‪,‬‬
‫בלתי חדיר‪ ,‬בלתי מנצח‪...‬עד שהמציאו את אבק‬
‫השריפה‪ ,‬ותותחים‪...‬ואז‪ ,‬הכל השתנה‪ .‬כנ"ל‪ ,‬גם‬
‫בעולם המודרני‪ .‬לא ניתן יותר להתבסס רק על‬
‫ההגנות ה"ישנות" (הקלאסיות)‪ ,‬בהתמודדות אל‬
‫מול מתקפות הסייבר‪ .‬המשמעות לכך‪ ,‬שתחום‬
‫הגנת הסייבר לא נח לעולם‪ ,‬ואנחנו נמצאים‬
‫במרדף אחר הזמן בזיהוי מתקפות חדשות‪ ,‬ובניית‬
‫מערכי אבטחה להתמודד עימן בצורה יעילה‪.‬‬
‫לדבריו‪ "There is no Silver Bullet" ,‬בהתמודדות‬
‫מול איומים חדשים שצצים מדי יום‪ ,‬אבל‪ ,‬ניתן‬
‫לאמץ גישה הוליסטית‪ ,‬המשלבת בתוכה‪ ,‬את‬
‫ישירות אל בסיסי נתונים וכדומה‪ ,‬וגם אם לא‬
‫נגנבת הסיסמה‪ ,‬התוקף יכול לנצל את החיבור‬
‫עצמו כדי לגנוב מידע‪ .‬אבל עם בקרה מרכזית זה‬
‫נמנע‪ .‬והתוקף לא יכול לגשת ישירות לאף חלק‬
‫במערכת המחשוב‪ ,‬כי מבוצע ניטור על החיבור‬
‫בלבד ולא על המערכת כולה"‪ ,‬אמר אייל‪.‬‬
‫‪Privileged Identity‬‬
‫‪Management‬‬
‫‪Don't Give Cyber Attackers‬‬
‫‪the Privileges‬‬
‫מר אייל גורביץ‪ ,‬מנהל פרויקטים בכיר‪,‬‬
‫‪Cyber-Ark‬‬
‫מר אייל גורביץ‪ ,‬מנהל פרויקטים בכיר‪Cyber- ,‬‬
‫‪ ,Ark‬דיבר על הפתרונות של החברה‪ ,‬שמונעים‬
‫חיבורים לרשת עם הרשאות שמבוצעות על ידי‬
‫אנשים לא מורשים שהשיגו את המידע‪.‬‬
‫לדבריו‪" ,‬אחת הדרכים היא לא לתת לסיסמאות‬
‫להגיע לתחנות הקצה‪ .‬העובד מזוהה לפי פרופיל‪,‬‬
‫פותחים בשבילו סשן שמתאים להגדרות העבודה‬
‫שלו ועוקבים בזמן אמת כדי לראות אם הוא מבצע‬
‫את מה שהוא אמור לבצע"‪.‬‬
‫"בלי נקודת בקרה מרכזית‪ ,‬המשתמש מתחבר‬
‫לארגונים וחורי האבטחה בארגונים שמאפשרים‬
‫זאת‪ ,‬וניסה לענות על השאלה‪ :‬כיצד נוזקות‬
‫מתוחכמות נמצאות צעד אחד לפני פתרונות‬
‫אבטחת המידע הארגוניים ומצליחות לפגוע‬
‫במשתמש הבודד וכך מסכנות את כלל הארגון‪.‬‬
‫אל לכם‪ ,‬מנמ"רים ומנהלי אבטחת המידע‪,‬‬
‫לחשוב‪ ,‬ואילו לרגע שאתם מוגנים‪ .‬אם תעשו זאת‪,‬‬
‫אתם טועים ומטעים"‪ ,‬אמר אופיר אגסי מהנדס‬
‫אבטחת מידע בכיר‪ .‬המתקפות אינן מבדילות בין‬
‫סוגי המידע‪.‬‬
‫מידע מובנה ובלתי מובנה‪ ,‬מסווג ובלתי מסווג‪,‬‬
‫קניין רוחני ומידע אישי‪ -‬הכל פגיע‪ .‬היבט נוסף‬
‫הכרוך במתקפות הוא שאין להעריך את הנזק‬
‫הבל ישוער עקב אובדן המידע או גניבתו‪ ,‬אלא‬
‫להניח שהנזק מצוי במגמת עלייה‪.‬‬
‫עולם הסייבר משתנה באופן מהיר והאקרים‬
‫מנסים השכם והערב למצוא דרכים חדשות‬
‫לתקוף ארגונים ומדינות‪ .‬התקפות כמו ‪Rustock‬‬
‫מוכיחות‪ ,‬כי גם חברות המיישמות את כל פתרונות‬
‫האבטחה המסורתיים בקפידה נפרצות על ידי‬
‫האקרים שרמת התחכום שלהם עולה בהתמדה‪.‬‬
‫במסגרת הרצאתו בכנס‪ ,‬הוא סיקר את סגנונות‬
‫ההתקפה והאיומים האחרונים‪ ,‬ודיבר על פתרונות‬
‫שחברות יכולות ליישם כדי להגן על עצמן‬
‫מפניהם‪ .‬בנוסף‪ ,‬הוא סיקר את פריצות ההאקרים‬
‫‪IPv6 - What is Your Real‬‬
‫?‪Threat‬‬
‫)‪Marc Heuse (Van Hauser‬‬
‫"השימוש ברשתות ‪ ,IPv6‬הוא בלתי נמנע‪ ,‬וזה עניין‬
‫של זמן עד שכל הארגונים יהיו חייבים ליישם זאת‬
‫בארגון‪ .‬בקיץ הזה יגמרו לארגון ה‪( RIPE-‬הארגון‬
‫שאחראי על חלוקת כתובות ‪ IP‬באירופה( הטווחים‬
‫ונצטרך לחיות עם מה שקיים‪ .‬מה שיזרז את‬
‫החברות לאמץ את רשתות ה‪ ,"IPv6-‬אמר מארק‬
‫בהרצאתו בכנס‪.‬‬
‫הוא ציין‪ ,‬ש"המודעות לבעיות האבטחה ברשתות‬
‫‪ ,IPv6‬עלתה בשנתיים האחרונות‪ ,‬וארגונים‬
‫מתחילים להבין שאין ברירה אלא להתחיל‬
‫להתמודד עם האתגרים באימוץ פרוטוקול זה"‪.‬‬
‫הוא הוסיף‪ ,‬ש"ההתמודדות עם מתקפות ‪DDos‬‬
‫בעידן הרשתות ‪ IPv6‬עדיין יהיה קשה‪ ,‬וזהו‬
‫קרב אבוד‪ .‬ארגונים יצטרכו לאמץ טכנולוגיות‬
‫חדשות ולעבוד קשה מאוד על מנת להתמודד‬
‫עם מתקפות מסוג זה‪ .‬והבעיה העיקרית היא‬
‫הרחבת רוחב הפס הן אצל ספקי האינטרנט והן‬
‫אצל משתמשים בבית‪ ,‬כך שבעצם‪ ,‬כל רשת ‪,BOT‬‬
‫מקבלת שדרוג ליכולות ההפצה שלה מבחינת‬
‫רוחב הפס"‪.‬‬
‫מארק ציין ש" באיומי סייבר‪ ,‬אחד האתגרים הוא‬
‫לדעת מי האחראי להתקפה‪ .‬אתה יכול לעשות‬
‫הנחות אבל זה מאוד קשה לדעת‪ .‬אם מישהו פורץ‬
‫לך לבית אתה יכול לתפוס את הפורץ ולחקור‬
‫אותו בשאלות כמו מי שלח אותך‪ ,‬וכו'‪ .‬עם ההאקר‪,‬‬
‫אתה לא ממש יכול לעשות זאת‪ .‬אם ניקח למשל‪,‬‬
‫את וירוס ה‪ ,Flame-‬אתה יכול לעשות הנחות מי‬
‫עומד מאחוריו‪ .‬אתה יכול להניח כי ארה"ב עומדת‬
‫מאחורי הווירוס ולא ישראל‪ .‬אם אתה בודק זאת‬
‫לפי האינטרסים‪ ,‬אז יש רק שתי מדינות שאתה‬
‫מגיע אליהן ‪ -‬ארה"ב וישראל‪ .‬אם רואים איך‬
‫הווירוס עובד‪ ,‬מבינים שזו לו ישראל כי גם היא‬
‫הותקפה‪ .‬הווירוס תוקף כל מי שנמצא באזור זמן‬
‫מסוים שכולל גם את ישראל‪ .‬אם אתרים בישראל‬
‫מותקפים גם‪ ,‬לא אכפת להם"‪ .‬הוא ממשיך‬
‫בטיעונו‪ .‬ש"זה לא נראה כמו משהו שנעשה ע"י‬
‫צוות מומחים פנימיים‪ ,‬משהו שישראל הייתה‬
‫עושה זאת‪ ,‬אלא זה נראה כמו משה ו שנכתב‬
‫על בסיס מכרז שמישהו כתב לקבלני משנה‬
‫ביטחוניים שאמור "טוב‪ ,‬רוצים לשחזר בסיסי‬
‫נתונים וכמה יכולות ריגול‪ .‬אנחנו יכולים לעשות‬
‫זאת"‪ .‬ואז אתה מקבל חתיכת תוכנה ענקית שאף‬
‫אחד לא דמיין שתגיע למימדים כאלו‪.‬‬
‫בנוסף‪ ,‬ציין מארק ש"רכיבי האבטחה הקלאסיים‪,‬‬
‫הם חסרי אונים כנגד המתקפות המתוחכמות‬
‫שראינו לאחרונה‪ ,‬אבל זה עדיין לא אומר שלא‬
‫צריך להשתמש בהם‪ .‬לא כל המתקפות הן‬
‫מתקפות מתוחכמות‪ ,‬וחשוב שהארגון יהיה מוגן‬
‫כל הזמן‪ ,‬מפני כל האיומים‪ .‬ומה בכל זהת ניתן‬
‫לעשות? אחד הפתרונות למשל‪ ,‬הוא ליישם‬
‫גישה מבוססת מחשב (‪Remote Computer‬‬
‫‪ .)Browsing‬זאת אומרת שיש לך חלון של דפדפן‬
‫במחשב שלך‪ ,‬אבל הוא העתק של חלון שפועל‬
‫על מחשב אחר‪ .‬אתה יכול לגלוש באינטרנט‪,‬‬
‫אבל זו לא המכונה שלך שגולשת ואז אין בעיה‬
‫אם פורצים למכונה שמריצה את הדפדפן‪ .‬זה מה‬
‫שעושים היום למשל במשרדי הממשלה בגרמניה‬
‫בגלל שהם נפגעו מהאקרים סיניים‪ .‬המערכות‬
‫שמריצות את הדפדפן נמצאות בסביבה סגורה‬
‫ומבוקרת ולכן אין בעיה אם פורצים אותן‪ .‬הבעיה‬
‫היחידה עם פתרון זה‪ ,‬זה שחווית המשתמש‬
‫נפגעת‪ .‬מכיוון שזה מאט את הגלישה שלו‪ ,‬ולא‬
‫ניתן להוריד ולשמור קבצים‪.‬‬
‫כדי להגן בפני האקרים עם הרבה מימון‪ ,‬צריך‬
‫להפריד רשתות בצורה פיזית ולאבטח את נקודות‬
‫הממשק ביניהן‪ .‬אפשרות נוספת היא שחברות‬
‫האנטי וירוס יטמיעו בתוכנות שלהן מספר מנגנוני‬
‫גילוי ויפעילו שילוב שלהם בצורה רנדומאלית על‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪15‬‬
‫או להשבית אותה באופן מוחלט"‪ ,‬ציין‪" .‬ניתן גם‬
‫להעביר את השיחות שנכנסות למקום אחר‪,‬‬
‫למנוע מהן להגיע ליעד האמיתי שלהן‪ .‬אפשר‬
‫גם לחשוף מה שנאמר בשיחות‪ .‬אין כל ספק שזו‬
‫סכנה אמיתית‪ .‬ה‪'-‬פרס' של הפורץ יכול להיות‬
‫מאוד גדול‪ .‬חישבו מה קורה אם גונבים שיחות‬
‫ברמת פרימיום‪ ,‬שעולות הרבה כסף‪.‬‬
‫מחשבי הלקוחות‪ .‬כלומר‪ ,‬פעם המנגנון יפעל‬
‫ופעם לא‪ .‬כמובן שבחלק מהמקרים יכנס קוד‬
‫זדוני למחשב הלקוח‪ ,‬אבל זה סיכון שצריך לקחת‪.‬‬
‫פתרונות אבטחה שמבוססים על חתימות‪ ,‬אינם‬
‫יעילים‪ ,‬וניתן לראות עפ"י הנוזקות שנמצאו‬
‫לאחרונה‪...‬שזה לא היה ממש יעיל נגדם‪ .‬אם‬
‫נסתכל למשל על ‪ ,Flame‬מדברים על כך שלא‬
‫מדובר בנוזקה חדשה‪ ,‬אלא היא כבר בת כמה‬
‫שנים‪ ,‬וזה מראה שהאיומים מסוגו לא חדשים‪,‬‬
‫אלא הם רק עכשיו מתגלים‪.‬‬
‫אח שלי חבר שלי‬
‫מר גיל קייני‪ ,‬מנכ"ל טריניטי תוכנה ומעבר‬
‫התקפות על תשתית קריטיות ‪-‬‬
‫מנקודת מבטו של התוקף‬
‫מר גיא‬
‫‪Security‬‬
‫כרסנטי‪ ,‬מנכ"ל‬
‫‪PREVISION Data‬‬
‫הגנת תשתיות קריטיות אינה רק בעיה ממשלתית‪.‬‬
‫במדינות בהן מרבית התשתיות הקריטיות הן‬
‫בבעלות של תאגידים פרטיים‪ ,‬ורבים מהם‬
‫הנם עסקים קטנים עם פחות מ‪ 100 -‬עובדים"‪,‬‬
‫אומר גיא כרסנטי‪ ,‬מנכ"ל ‪ PREVISION‬המתמחה‬
‫בשירותי ייעוץ בתחום תשתיות קריטיות‪.‬‬
‫"אבטחה לבדה אינה מספיקה עבור ספקי‬
‫תשתיות קריטיות מכל הגדלים על מנת לעמוד‬
‫בתקיפות הסייבר של ימינו‪ ,‬אמר גיא‪" .‬תולעת‬
‫‪ Stuxnet‬אשר פגעה בחברות אנרגיה ברחבי‬
‫העולם‪ ,‬מייצגת זן המתקדם של איומים הדורשים‬
‫פתרונות אבטחה‪ ,‬אחסון וגיבוי‪ ,‬לצד קיומם של‬
‫תהליכי אימות זהויות ובקרת גישה להבטחת‬
‫שרידות אמיתית"‪ .‬הוסיף‪.‬‬
‫גיא התייחס בהרצאתו במתקפות על תשתיות‬
‫קריטיות ‪ -‬מנקודת מבטו של התוקף‪ ,‬והעלה‬
‫נקודות חשובות‪ ,‬שכל ספק תשתיות קריטיות‬
‫צריך לבחון אותם לעומק‪ .‬הוא תיאר את הפרופיל‬
‫של התוקף ‪ -‬מי בעצם עומד בראש תקיפת‬
‫מערכות מסוג זה?‪ ,‬כיצד מתארגנים לתקיפת‬
‫מערכת ‪ ,?SCADA‬מדוע אבטחת רשתות ‪SCADA‬‬
‫שונה מאבטחת מערכת ‪ IT‬סטנדרטיות כדוגמת‬
‫בנקים? אילו ‪ 5‬דרכי תקיפה מרכזיים קיימות‬
‫לתקוף מערכת תשתית לאומית קריטית? מדוע‬
‫אין להסתפק ולהסתמך אך ורק על טכנולוגיות‬
‫קלאסיות‪ ,‬כגון ‪ Firewall‬וטכנולוגיות דומות? ועוד‬
‫נושאים רבים אחרים‪.‬‬
‫‪16‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫האיומים העומדים בפני רשתות עסקיות‬
‫התפתחו מעבר ליכולתיהן של מערכות האבטחה‬
‫המסורתיות"‪ ,‬אמר גיל קייני‪ ,‬מנכ"ל טריניטי‬
‫תוכנה ומעבר‪" .‬כיום‪ ,‬וירוסים‪ ,‬נוזקות‪ ,‬תוכנות‬
‫פרסום (‪ ,)Adware‬רוגלות (‪ ,)Spyware‬פורצים‬
‫מתוחכמים‪ ,‬ותכנים בלתי הולמים – כל אלו‬
‫חודרים לרשתות הנתונים במגוון דרכים"‪ .‬הוא ציין‬
‫כי החדירות מתבצעות לרוב דרך הודעות דוא"ל‪,‬‬
‫תוכנות העברת מסרים מידיים‪ ,‬תוכנות לשיתוף‬
‫קבצים‪ ,‬דפי רשת‪ ,‬וכן על גבי רשתות ‪.VPN‬‬
‫לדבריו‪ ,‬הפירוול המסורתי חסר אונים בעומדו‬
‫מול מרבית האיומים מבוססי‪-‬התוכן‪ ,‬שכן "הוא‬
‫פשוט לא תוכנן לנתח את התנועה ברשת ברמת‬
‫היישום"‪ .‬מנגד‪ ,‬ציין‪ ,‬פתרונות אבטחה ברמת‬
‫התוכנה הם מסובכים‪ ,‬יקרים‪ ,‬בעלי מערכות ניהול‬
‫שונות‪ ,‬ואיטיים מדי לתקשורת בזמן אמת כיום‪.‬‬
‫יש להתעסק עם אותם סיכונים‪ ,‬לבחון ולמפות‬
‫אותם‪ ,‬ולנהל אותם בצורה אפקטיבית‪ .‬מה שחשוב‬
‫להבין‪ ,‬אמר גיל‪ ,‬זה שאין פתרון נקודתי‪ .‬נדרש‬
‫לאמץ גישת אבטחה רב‪-‬שכבתית‪ ,‬כזו שמשלבת‬
‫בתוכה מספר שכבות אבטחה‪ ,‬אשר נותנות מענה‬
‫למגוון רחב של איומים‪ .‬אנחנו מתקינים בארגון‬
‫מגוון פתרונות אבטחת מידע‪ ,‬אבל העניין אינו נוגע‬
‫למערכת אחת‪ ,‬אלא נדרשת סביבה כוללת בנויה‬
‫באופן מאובטח מההתחלה"‪ .‬גיל אמר‪ ,‬שתפיסת‬
‫אבטחת המידע הכוללת שעל ארגונים לנקוט‬
‫מורכבת מאסטרטגיה‪ ,‬ממשל‪ ,‬תפעול ומפעילים‪,‬‬
‫מסגרות עבודה והגנת הליבה העיסקית‪.‬‬
‫ניתן לראות הרבה מגמות חדשות שמסייעות‬
‫כחלק ממתקפת סייבר כוללת‪.‬‬
‫מגמה המסייעת למתקפות סייבר היא השיתופית‬
‫ זו שבתוך הארגונים וזו שבין הארגון ללקוחות‬‫ולשותפים העסקיים שמחוצה לו‪ .‬כולם רוצים‬
‫גישה למידע ‪ ,‬ולכן אי אפשר לסגור ולהגן על‬
‫המידע בצורה הרמטית‪.‬‬
‫מגמה נוספת‪ ,‬אף היא קשורה לנושא השיתופיות‪,‬‬
‫היא הרשתות החברתיות‪ ,‬שמהוות מקור מהימן‬
‫ויעיל לצורך איסוף מידע מודיעיני לקראת מתקפת‬
‫סייבר מתוחכמת‪.‬‬
‫איך ניתן לעבוד ולתקשר‬
‫ב‪ VOIP-‬ולישון טוב בלילה?‬
‫מר אייל אלון‬
‫‪ ,‬מנכ"ל ‪GAMA Operations‬‬
‫האם וירוס יכול לחייג אליך למשרד? כמה רחוק‬
‫יכולה להגיע שיחת טלפון? וירוסים‪ ,‬טרויאנים‬
‫ותוכנות מזיקות אחריות יכולות להשתמש‬
‫ברשתות ‪ VOIP‬כדי לתקשר עם מחשבים‬
‫מודבקים בתוך הארגון‪ ,‬לשלוט בהם ולהוציא‬
‫מהם מידע‪.‬‬
‫טלפוניית ‪ VoIP‬היא טלפוניית הדור החדש‪,‬‬
‫שפועלת על תשתית האינטרנט‪ .‬בעזרת ‪VoIP‬‬
‫אפשר לקיים שיחות טלפון רגילות על גבי‬
‫חיבור האינטרנט במקום שיחת טלפון קווית‬
‫רגילה באמצעות ספקי שירות סלולרי וקווי‪.‬‬
‫בעיות אבטחת מידע ב‪ VoIP-‬לא מסתכמות רק‬
‫בהאקרים שמנסים לפרוץ למרכזיה או לטלפון‬
‫‪ IP‬בארגון‪.‬‬
‫אייל אלון‪ ,‬מנכ"ל ‪ ,Gama Operations‬התייחס‬
‫לתחום חדש שלדבריו חייבים לאבטח ‪ -‬פריצה‬
‫למרכזיות שמבוססות ‪" . VOIP‬האם אנחנו מודעים‬
‫לפריצות הללו? כנראה שרובנו לא"‪ ,‬אמר‪ .‬לדבריו‪,‬‬
‫"יש מגוון גדול מאוד של אירועים שקורים בתחום‬
‫זה‪ ,‬והם לא תמיד קורים כשהעסק פתוח‪ .‬לקוחות‬
‫צריכים לשים לב טוב מאוד לכל מה שקשור‬
‫להגנה על מרכזיות ה‪ IP-‬בהן הם משתמשים או‬
‫על הסיב האופטי שהם רוכשים מחברת אספקת‬
‫שירותים"‪.‬‬
‫הוא ציין‪ ,‬כי "בשנה האחרונה חל גידול משמעותי‬
‫בתקיפת מרכזיות‪ ,‬בגניבת שיחות ובציתות‬
‫לשיחות‪ .‬יש עלייה של עשרות אחוזים משנה‬
‫לשנה‪ ,‬ומדובר בסכומים גדולים‪ .‬לצערנו הרב‪,‬‬
‫אנחנו לא יודעים בדיוק את ההיקף של התופעה‬
‫וההתקפות‪ ,‬מאחר שלפעמים‪ ,‬עקב המוניטין של‬
‫הארגון או הלקוח‪ ,‬יש להם אינטרס לא לדווח‬
‫בכלל שהוא חווה התקפה"‪.‬‬
‫‪Smartphone Insecurity‬‬
‫גב' גיורגיאנה‬
‫‪Security‬‬
‫ווידמן‪ ,‬מנכ"לי חברת‬
‫ על מנת לחקור את התנהגות האפליקציות‬‫המותקנות על המכשיר‪ ,‬על אופן שמירת המידע‪,‬‬
‫אופן התקשורת עם העולם החיצון וכדומה‪.‬‬
‫להלן כמה טיפים להגנה מפני איומי מובייל‪ ,‬אשר‬
‫הועלו בהרצאתה בכנס‪:‬‬
‫נעילת המכשיר עם ‪ ,PIN‬יכולת של הארגון‬
‫למחיקת תוכן המכשיר אוטומטית (‪Automatic‬‬
‫‪ )Wipe‬לאחר שטועים כמה פעמים בהקשת‬
‫ה‪ ,PIN-‬אפשרות למחיקה מרחוק במקרה של‬
‫דיווח על גניבה או איבוד המכשיר‪ ,‬תווך תקשורת‬
‫מוצפן בין המכשיר לשרת‪ ,‬אימות המכשיר ע"י‬
‫תעודה דיגיטלית המותקנת עליו‪ ,‬הצפנת המידע‬
‫שבו (כולל הודעות ‪ ,)SMS‬אפשרויות לסינון בעת‬
‫הסנכרון מול הארגון (אשר יגביל מה מותר לעבור‬
‫ומה לא)‪ ,‬סינון תכנים בעת גלישה‪ ,‬ועוד‪.‬‬
‫‪Bulp‬‬
‫נגנב מהן‪ ,‬ליידע את הציבור בכך‪ .‬זה כמובן‬
‫מוביל לבעיה תדמיתית קשה‪ ,‬בעיקר אם מדובר‬
‫בחברות מהמגזר הפיננסי ולכן על החברות לנקוט‬
‫בכל דרך אפשרית כדי להימנע מפריצה ואם‬
‫קרתה ‪ -‬לגלות אותה מהר ככל שניתן"‪ ,‬אומרת אן‪.‬‬
‫"התוקפים נהיו מתוחכמים יותר‪ ,‬ומאורגנים‬
‫יותר‪ ,‬וזה הוביל לתוצאה שהמתקפות הן יותר‬
‫מתוחכמות וממוקדות‪ .‬במציאות‪ ,‬אנו יודעים רק‬
‫על ההתקפות שפורסמו באמצעי התקשורת‬
‫ולא על התקפות אחרות שאינן נוגעות לאתרים‬
‫ציבוריים‪ .‬לדעתי אנו רואים רק את ההתחלה של‬
‫מלחמת סייבר וזה לא יפתיע אותי אם במקביל‬
‫להתקפות ‪ DDoS‬כאלה ואחרות‪ ,‬יתנהלו מתקפות‬
‫מזיקות בהרבה‪ ,‬אשר הציבור טרם נחשף‬
‫אליהן‪ .‬בשורה התחתונה ‪ -‬ההאקרים נעשים‬
‫יותר מתוחכמים והמתקפות נגד אתרים וגופים‬
‫ישראליים לדעתי רק יכלו ויתגברו‪ .‬אני מציעה‬
‫להתייחס לעניין בכובד ראש ולהכין עצמנו לקראת‬
‫מתקפות נוספות"‪ ,‬ציינה אן‪.‬‬
‫המסר העיקרי אותו העבירה גב' גיורגיאנה ווידמן‪,‬‬
‫מנכ"לית חברת ‪ ,Bulp Security‬זה שטלפונים‬
‫חכמים הם איום סייבר חמור‪.‬‬
‫מהפכת המובייל והשימוש באפליקציות‬
‫המותקנות על מכשירי הטלפון החכמים שינתה‬
‫לחלוטין את חיינו ואת הצורה בה אנו משתמשים‬
‫במכשיר‪ ,‬אשר עד לאחרונה שימושו היחיד היה‬
‫רק טלפון‪ ...‬אנו משתמשים באפליקציות אשר‬
‫נוגעות בהיבטים הכי אישיים ורגישים בחיינו –‬
‫שיחות הטלפון שלנו‪ ,‬תכתובות ‪ ,SMS‬מיקומנו‬
‫הגיאוגרפי‪ ,‬מידע רגיש (כגון נתונים פיננסים)‪,‬‬
‫גלישה באינטרנט וכדומה‪.‬‬
‫טלפונים חכמים (סמארטפון) משמשים כיום‬
‫כמחשב נייד לכל דבר‪ ,‬דרכם ניתן לגלוש‬
‫באינטרנט‪ ,‬להתחבר למערכות בעבודה‪ ,‬לצלם‪,‬‬
‫להאזין‪ ,‬להקליט ועוד‪.‬‬
‫השימוש בטלפונים חכמים רק הולך וגובר‪,‬‬
‫במדינות רבות כ‪ 50-‬אחוז מהטלפונים הניידים הם‬
‫סמארטפונים‪ .‬את הטלפונים האלה ניתן לנצל גם‬
‫לאיסוף מידע וגם לתקיפה מרחוק" אומר וייסברג‪,‬‬
‫"פעם זה היה רק טלפון‪ ,‬היום יש בו חיבור ישיר‬
‫למייל ולאינטרנט‪ ,‬אנשי קשר‪ ,‬סיסמאות ואסמסים‪,‬‬
‫מצלמה‪ ,‬מיקרופון ומכשיר הקלטה‪,Bluetooth ,‬‬
‫אופציה לאיתור אדם באמצעות ג'י‪.‬פי‪ .‬אס‪ ,‬ועוד‪.‬‬
‫כבר קרו מקרים שחוקרים פרטיים הפעילו‬
‫מיקרופון והקלטה מרחוק ובעצם עשו האזנת‬
‫סתר‪ ,‬כך שהדבר בהחלט מהווה סיכון ממשי כיום‬
‫לדברי אלון‪" ,‬כמות המתקפות האפשרויות גדולה‬
‫ויש תרחישים שונים שיכולים לגרום לפגיעה‬
‫בעסק‪ .‬לכן‪ ,‬צריך להגן על מרכזיות ה‪VoIP-‬‬
‫בדיוק כמו שמגנים על הרשת‪ .‬מדובר בתחום‬
‫של אבטחת מידע לכל דבר ועניין"‪.‬‬
‫השאלה הנשאלת ‪ -‬האם אנו באמת יודעים מהי‬
‫רמת האבטחה של האפליקציות האלו? מי מבטיח‬
‫לנו שהן לא מרגלות אחרינו‪ ?..‬או שהן נכתבו‬
‫בצורה תקינה ואין בהן בעיות אבטחה‪?...‬‬
‫"דוגמא אופיינית לחדירה למרכזייה היא הצפה‬
‫של המרכזייה‪ ,‬כדי לגרום לה שלא לקבל שיחות‬
‫גיורגיה ציינה מספר דרכים כיצד נוכל לענות‬
‫על שאלות אלו ‪ -‬באמצעות כלים ושיטות בהם‬
‫נעזרים בביצוע בדיקות חוסן לאפליקציות מובייל‬
‫‪From Hacker, to Cybercriminal,‬‬
‫‪to "Hacktivist", to‬‬
‫‪"Cyberterrorist":‬‬
‫?‪So Why Are We Surprised‬‬
‫גב' אן רוגירס‪ ,‬מנהלת אבטחת המידע לשעבר‬
‫של חברת ‪Waste Management‬‬
‫"התוקפים של היום‪ ,‬בעידן הסייבר‪ ,‬החליפו צורה‪,‬‬
‫וניתן לראות שינוי שהתחולל על פני מספר שנים‪,‬‬
‫שההאקר הפשוט עבר היפוך מההאקר הפשוט‪,‬‬
‫המחפש אחר תהיל"ה בלבד‪ ,‬להאקר המתוחכם‪,‬‬
‫שהוא חלק מקבוצה מאורגנת היטב‪ ,‬כאשר‬
‫המטרה העיקרית היא כסף‪ .‬ההאקרים של העידן‬
‫המודרני‪ ,‬אימצו את שיטת הזאבים‪,‬והם כבר לא‬
‫זאב בודד‪ ,‬אלא פועלים כקבוצות מאורגנות היטב‪,‬‬
‫וזה מקשה על הארגונים להתמודד מפניהם"‪,‬‬
‫אמרה גב' אן רוגירס‪ ,‬לשעבר מנהלת אבטחת‬
‫המידע של חברת ‪ "Waste Management‬וכיום‬
‫בעלת חברת ייעוץ פרטית‪.‬‬
‫"אסור לנו להיות מופתעים במלחמת סייבר‪ .‬כל‬
‫ארגון במגזר העסקי‪-‬פרטי חייב לבדוק האם הוא‬
‫מועד לתקיפה ואם כן‪ ,‬לנקוט בכל האמצעים‬
‫להגן על עצמו‪ .‬מתקיפים טיפוסיים עלולים להיות‬
‫מתחרים אשר מחפשים מידע עסקי ותוכניות‬
‫עבודה‪ ,‬או פורצים לאתרים על מנת לסחור כסף‬
‫מהבעלים‪ .‬לארגונים ישראלים יש בעייה נוספת‪,‬‬
‫כיוון שהם עלולים להיות מותקפים מסיבה‬
‫פוליטית ולא עסקית‪ ,‬כפי שאנו רואים לאחרונה‪.‬‬
‫כיום‪ ,‬בארה"ב‪ ,‬החוק מחייב חברות אשר מידע‬
‫‪Cyber-Proofing your Data‬‬
‫‪from Application Attacks‬‬
‫גב' איירין‬
‫‪.Security‬‬
‫אבזגאוז‪ ,‬מנהלת מוצר‪,‬‬
‫‪Seeker‬‬
‫"פיתחנו כלי שנועד לשפר את מערך הבדיקות‬
‫האוטומטיות של אבטחת היישומים באמצעות‬
‫מבדקים חכמים‪ ,‬המבוססים על ניסיון רב שלנו‬
‫שנצבר בתחום זה"‪ ,‬אומרת איירן אבזגאוז‪,‬‬
‫מנהלת מוצר ‪ .Seeker‬המדובר בכלי אבטחת‬
‫מידע המיועד לאתר פרצות אבטחה עוד בשלב‬
‫המוקדם של כתיבת התוכנה על ידי הלקוח‪.‬‬
‫המוצר (‪ )Seeker‬מאתר פרצות‪ ,‬מאמת אותן‬
‫ומתעד את תהליך ההתקפה בווידיאו באופן‬
‫אוטומטי"‪ ,‬היא מוסיפה‪.‬‬
‫"הפתרון נועד להקל על מערך ה‪ IT-‬בארגון‬
‫ואנשי אבטחת המידע באיתור פרצות ביישומים‬
‫ולהפחית את התלות בגורם פנימי או חיצוני אנושי‬
‫שיבצע את הבדיקות‪ .‬היכולת לזהות פרצות‬
‫וכשלים כבר בשלב הפיתוח מפחית באופן ניכר‬
‫את השעות הדרושות לתיקון הכשלים הללו אם‬
‫היו מתגלות בשלבים מאוחרים יותר של מחזור‬
‫חיי המוצר"‪ .‬פורת אף מתחייב‪ ,‬כי הפתרון העתידי‬
‫של הקטיקס יפחית את כמות התראות השווא‬
‫על פרצות שלא קיימות‪ ,‬לעומת מערכות אחרות‬
‫שמספקים כלים מתחרים‪.‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪17‬‬
‫המומחים של חברת ‪PREVISION‬‬
‫הגורו העולמי ‪ -‬ואן האוסר‬
‫מחזיק בגיליון השני שלנו‬
‫מר רמי אפרתי ומר גיל קייני‪ ,‬בהצצה ראשונית‬
‫לגיליון השני של ‪GLOBAL SECURITY‬‬
‫מימין ‪ -‬שרון כהן‪ ,‬מחברת ספיידר‪ ,‬מחליף‬
‫חוויות עם המנמר של הקריה האקדמית‪ ,‬מר‬
‫שלומי מרדכי (משמאל)‬
‫מר דני אברמוביץ מקבל בשמחה את‬
‫השותפות עם גיל קייני‪ ,‬מנכל חברת טריניטי‬
‫האנשים מאחורי הכספת הוירטואלית‬
‫המומחים של חברת סייקר‪,‬‬
‫מציגים את יכולות המוצר‬
‫המומחים של טלדור‪,‬‬
‫גאים אחרי הצלחה של שנים‬
‫מימין לשמאל‪ :‬מר אריק וולובסקי ‪ -‬מנהל‬
‫אבטחת מידע בפלאפון‪ ,‬יוסף לוי ‪ -‬יועץ אבטחת‬
‫מידע בכיר‪ ,‬שרון כהן ‪ -‬מחברת ספיידר‪ ,‬והדס‬
‫שני ‪ -‬ראש צוות ‪ CERT‬בתהילה‬
‫מימין לשמאל ‪ -‬מר אריאל פלד‪ ,‬יחד עם ואן‬
‫האוסר‪ ,‬ומר דני אברמוביץ‬
‫מימין לשמאל ‪ -‬מר דני אברמוביץ ‪ -‬הנשיא‬
‫הנכנס‪ ,‬ליאור עטר ‪ -‬יועץ אבטחת מידע‬
‫במשרד המשפטים‪ ,‬ומר איציק אשכנזי ‪ -‬יועץ‬
‫אבטחת מידע‬
‫מימין לשמאל‪ -‬חברים ותיקים‪ ,‬ולקוח יקר ‪-‬‬
‫המנמר של פלייטק ‪ -‬מר יוחנן סומרפלד‪ ,‬ומר‬
‫דני אברמוביץ‪ ,‬מנכל חברת טיטנס סקיוריטי‬
‫מימין ‪ -‬מר גיל קייני ‪ -‬מחברת טריניטי ‪-‬‬
‫ושלושת המוסקטריות‬
‫הנשיא היוצא‪ ,‬מר אריאל פלד‪ ,‬מחליף חוויות‬
‫עם המשנה לנשיא האיגוד‪ ,‬מר אלדד משולם‬
‫מימין לשמאל‪ :‬מר תומר שמש‪ ,‬מנהל אבטחת‬
‫המידע באקסיליבריס‪ ,‬מר אריק וולובסקי‬
‫מנהל אבטחת מיעד בפלאפון‪ ,‬יוסי טלי ‪ -‬יועץ‬
‫אבטחת מידע בכיר בחברת ‪ ,IBM‬ומר דני‬
‫אברמוביץ נשיא האיגוד‬
‫תפוסה מלאה ‪ -‬למעלה מ‪ 500-‬איש השתתפו‬
‫בכנס השנתי של האיגוד ‪ISSA‬‬
‫שותפות ארוכת שנים ‪ -‬מימין ‪ -‬מר אריאל פלד‬
‫הנשיא היוצא‪ ,‬ומשמאל מר דני אבמרמוביץ‪,‬‬
‫הנשיא הנכנס‬
‫מר אריק אסייג ‪ -‬מנהל מכירות של חברת‬
‫ורוניס מקבל אותנו תמיד בחיוך‬
‫‪18‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪19‬‬
‫סיקור פאנל מומחים‬
‫העידן החדש של אבטחת המידע‬
‫עידן הסייבר‬
‫האם אנו עדים לזן חדש של מתקפות? של תוקפים?‬
‫מה מאפיין את התוקף של היום? "מה שונה בעידן‬
‫הדיגיטלי של היום‪ ,‬מבחינת מלחמת הסייבר"? כיצד‬
‫ארגונים יכולים להתמודד עם האיום החדש? "מה‬
‫מצבנו מבחינת מלחמת הסייבר"? "עד כמה מדינת‬
‫ישראל מוכנה למתקפות סייבר"? האם המדינה צריכה‬
‫להתערב בהגנה על המגזר העסקי? ומה לגבי הציבור‬
‫הרחב‪ ,‬המשתמש הפרטי?‬
‫אלו חלק מהשאלות שעלו בפאנל מומחים בכנס השנתי‬
‫של האיגוד ‪( ISSA‬הציאפטר הישראלי)‪ ,‬בהנחייתו של‬
‫דני אברמוביץ‪ ,‬נשיא האיגוד‪ ,‬ומנכ"ל קבוצת ‪TITANS‬‬
‫‪.SECURITY‬‬
‫דני אברמוביץ‪ ,‬נשיא האיגוד ‪( ISSA‬הציאפטר‬
‫הישראלי) התייחס לכמה נושאים ביניהם‬
‫להשלכות פרשיית חשיפת כרטיסי האשראי‪,‬‬
‫הגנה על המידע הפרטי של המשתמשים‪ ,‬והגנה‬
‫מפני מגוון איומי הסייבר‪ ,‬שעוד ירבו לבוא‪.‬‬
‫"אין חסינות או הגנה מוחלטת מפני דליפת מידע‪,‬‬
‫זה ברור לכולנו‪ ,‬וחשוב שגם האזרחים הפשוטים‬
‫יהיו מודעים לכך‪ ,‬ושידעו שהם צריכים להגן על‬
‫עצמם‪ .‬צריך לחייב עסקים להגן על האתרים‬
‫שלהם וחשוב שיהיה גוף ממשלתי שאחראי לכך‪.‬‬
‫המסר שצריך לצאת מכאן הוא שאנחנו כאנשי‬
‫מקצוע חייבים לחנך"‪ ,‬אמר דני‪.‬‬
‫לדבריו‪" ,‬המשתמשים חייבים להיות מודעים‬
‫לאפשרות שהאתר שבו הם מבצעים רכישות‪ ,‬לא‬
‫מאובטח‪ ,‬אבל במקביל המגזר הממשלתי צריך‬
‫להתערב בלקיחת אחריות כרגולטור ולהסמיך‬
‫אתרים‪ .‬אם תהיה הסמכה לאתרי האינטרנט‪,‬‬
‫אני כמשתמש פשוט‪ ,‬יכול להבין שמדובר באתר‬
‫מאובטח ושאני יכול להשתמש בו ללא פחד‬
‫שיגנבו לי את כרטיס האשראי או כל פרט אישי‬
‫אחר‪ .‬אם אין הסמכה‪ ,‬ואני בכל זאת משתמש‬
‫באתר‪ ,‬אז האחריות תהיה עלי"‪.‬‬
‫‪20‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫ניר‪ ,‬הוסיף‪ " ,‬אין אני מתרשם מהצהרות גורפות‬
‫שכוללות מונחים כגון "מלחמת סייבר"‪ .‬אני חושב‬
‫שהמצב שאליו נחשפנו לאחרונה‪ ,‬יכול להוות‬
‫מטרד רציני אבך לא יותר ממטרד‪ .‬המדינה לא‬
‫באמת תלויה על שירותי ‪ OnLine‬וכן קיימות לנו‬
‫הגנות בחזיתות שונות‪ .‬מצד שני‪ ,‬התקפות אלו‬
‫שירתו היטב את האזרחים ואת המגזר העסקי‪,‬‬
‫בכך שהגבירו את הערנות והמודעות של כולנו‬
‫לסיכונים הקיימים ברשת האינטרנט‪ .‬בנוסף‪,‬‬
‫המתקפות חידדו את הסיכונים הישנים ‪ -‬חדשים‬
‫במערכות המידע‪ .‬התקפות על אתרי תדמית‬
‫של ארגונים יכולות להגיע בכל עת ומכל מקום‪.‬‬
‫התקפות אלו הן יחסית קלות וזולות לסיכול‪ ,‬גם‬
‫במחיר של מניעה כוללת של הגישה לאתר‪ .‬עם‬
‫זאת‪ ,‬נקודות התורפה העיקריות של ארגונים‬
‫ורשויות הן מערכות הליבה הארגוניות‪ .‬מלחמת‬
‫סייבר שתכוון נגד מערכות אלו תגרור נזקים‬
‫משמעותיים‪ ,‬ישירים ועקיפים‪ ,‬שיכולים להגיע עד‬
‫רמה של פגיעה בשרידות הפיננסית של הארגון‪.‬‬
‫כמו כן‪ ,‬התקיפות שעלו לאחרונה לכותרות הן‬
‫דווקא התקיפות המתוחכמות פחות והמפחידות‬
‫פחות‪ .‬על המתקפות החמורות באמת ‪ -‬אלה‬
‫המתרחשות בתוך תוכן של רשתות קריטיות ‪-‬‬
‫בדרך כלל לא מדברים הרבה למרות שהן קורות‬
‫בשטח‪ .‬התקיפות של התקופה האחרונה צריכות‬
‫לשמש כנורת הזהרה לתקיפות המתקדמות‬
‫באמת המאיימות לפגוע בלב הארגונים הגדולים‬
‫ובתשתיות לאומיות קריטיות"‪.‬‬
‫שאלה ‪:2‬‬
‫חברי הפאנל מתמודדים עם שאלות בנושא סייבר‪ .‬מימין לשמאל ‪ -‬מר ארז מטולה‪ ,‬מר יוחנן‬
‫סומרפלד‪ ,‬מר מני ברזילי‪ ,‬מר ניר ולטמן‬
‫שאלה ‪:1‬‬
‫לאחרונה אנו עדים ליותר ויותר התקפות‬
‫סייבר מתוחכמות‪ ,‬שמטרתן לפגוע‬
‫במטרות ממוקדות‪ ,‬וגם הנזק בהתאם‪.‬‬
‫האם אפשר לומר שאנו עדים לזן חדש‬
‫של התקפות? ושל תוקפים?‬
‫יוחנן‪ ,‬בתגובה‪ " ,‬עולם הסייבר טרור עמוק ומגוון‬
‫כמו המערכות המשמשות כמטרה להאקרים‪.‬‬
‫התקפות על אתרי תדמית של ארגונים יכולות‬
‫להגיע בכל עת ובכל מקום‪ .‬התקפות אלו הן יחסית‬
‫קלות וזולות לסיכול‪ ,‬גם במחיר של מניעה כוללת‬
‫של הגישה לאתר‪ .‬עם זאת‪ ,‬נקודות התורפה‬
‫העיקריות של ארגונים ורשויות הן מערכות הליבה‬
‫הארגוניות‪ .‬מלחמת סייבר שתכוון נגד מערכות‬
‫אלו תגרור נזקים משמעותיים‪ ,‬ישירים ועקיפים‪,‬‬
‫שיכולים להגיע עד רמה של פגיעה בשרידות‬
‫הפיננסית של הארגון‪ .‬תקיפות אלה התבצעו על‬
‫ידי קבוצות האקרים אידיאולוגיים (אקטיביסטים)‬
‫שקבוצות רבות דוגמתן פועלות היום בכל העולם‬
‫לקידום מטרות אידיאולוגיות (אנונימוס מהווה‬
‫קבוצה מעין זו)‪.‬‬
‫מני‪ ,‬הוסיף בתגובה כי "עולם הסייבר טרור עמוד‬
‫לאור המתקפות סייבר החדשות‪ ,‬עד כמה‬
‫הציבור בישראל צריך להיות מודאג?‬
‫ומגוון לפחות כמו המערכות המשמשות כמטרה‬
‫להאקרים‪ .‬מתקפות הטרור שחווינו בתקופה‬
‫האחרונה הן תמרור אזהרה וסימן ראשון למה‬
‫שמצפה לנו‪ .‬המוטיבציה של קבוצות ההאקרים‬
‫בעולם והגיבוי שהם מקבלים‪ ,‬לעיתים‪ ,‬מהגופים‬
‫הרשמיים במדינתם‪ ,‬מחדדים את הנקודה שאנו‬
‫נמצאים תחת איום עיקרי ומתפתח‪.‬‬
‫ארז‪ ,‬הוסיף בתגובתו‪ " ,‬לדעתי מדובר כאן על‬
‫מקרים שונים‪ ,‬מקרה חשיפת פרטים אישיים‬
‫וחשיפות פרטי כרטיסי האשראי‪ ,‬ובנפרד‪ ,‬נפילות‬
‫אתרי הבורסה ואל‪-‬על‪ .‬כל אלה מעידים בראש‬
‫ובראשונה על המוטיבציה הגבוהה של גורמי‬
‫האיום בין אם אלה ארגוני טרור‪ ,‬מדינות או סתם‬
‫המון מוסט‪ .‬המוטיבציה גבוהה וזה דומה לחבית‬
‫חומר נפץ שממתינה רק לניצוץ‪ .‬ניכר שהחזית‬
‫חמה והאיום אמיתי‪ .‬התמודדות עם תרחישי‬
‫סייבר מורכבים מצריכה היערכות מראש ואינה‬
‫יכולה להתבצע בצורה ריאקטיבית‪ .‬יש להיות‬
‫ערוכים למצבים בהם התקפות סייבר חדרו‬
‫לארגון אחר עימו קיימים קשרים בין מערכתיים‪,‬‬
‫והיקף החדירה אינו ברור‪ .‬במקרה כזה‪ ,‬יש לבחון‬
‫אפשרות של ניתוק הקשרים בין המערכת לבין‬
‫הארגון שהותקף‪.‬‬
‫מני‪ " ,‬ארגונים חייבים לבצע תהליכי הערכת וניהול‬
‫הסיכונים בצורה מתמדת‪ .‬ההנהלה צריכה להבין‬
‫את ההבדלים הין האיומים הקלאסיים ובין האיום‬
‫הסייבר ‪ -‬ולנהל את הסיכון באמצעות בקרות‬
‫שונות מעולם אבטחת המידע המוכר והטוב‪.‬‬
‫קיימים תרחישים אליהם קשה או בלתי אפשרי‬
‫להתכונן באופן ספציפי ושם הארגון צריך להיות‬
‫מוכן להתמודדות עם תרחישי קיצון באמצעות‬
‫מערך המשכיות עסקית ומערכים תומכים‬
‫אחרים‪ .‬חברות וארגונים בישראל צריכים להיערך‬
‫למתקפות סייבר בדיוק כפי שהם בונים היום‬
‫מערך אבטחה פיזי על משרדי החברה שלהם‪.‬‬
‫משרדי החברה הוירטואליים כוללים סניפי שרות‬
‫לאינטרנט‪ ,‬סניפי שרות מקומיים ובנייני הנהלה‪.‬‬
‫ההגנה על כל אחד מסניפים אלה מחייבת עריכת‬
‫סקר סיכוני סייבר‪ ,‬החלטה על תוכנית עבודה‬
‫הכוללת תיעדוף המערכות הקריטיות להגנה‬
‫והקצאת משאבים לבניית מערך הגנה זה‪ .‬תקיפות‬
‫סייבר מהוות היום סיכון ממשי על רבות מהחברות‬
‫בישראל ואל להם להמתין להקמת מעגלי הגנה‬
‫סייבר מדינתיים על מנת לייצר את מנגנוני הגנת‬
‫הסייבר על ליבת הפעילות העסקית שלהן"‪.‬‬
‫יוחנן‪ " ,‬חברות צריכות להבין כי משבר אינו אירוע‬
‫חריג‪ ,‬אלא אנחנו חשופים אליו בכל רגע נתון‪ ,‬ומה‬
‫שיעשה את ההבדל הוא איך אנחנו מבצעים את‬
‫ניהול הסיכונים‪ .‬היעדר ניהול סיכונים נכון יכול‬
‫להוביל לאסון‪ .‬יש הרבה סוגים של מתקפות‬
‫ורק אמת אחת‪ :‬אין מקום שיש בו בני אדם שהוא‬
‫לא חשוף להתקפות‪ .‬ההתקפות שהתבצעו‬
‫נועדו בעיקר לגנוב מידע ולשבש מידע מאתרי‬
‫האינטרנט‪ .‬התקפות אלה מהוות סימן אזהרה‬
‫לכל חברה וארגון שעליהם לשמור היטב על נכסי‬
‫המידע שברשותם‪ ,‬מעיקר אלו החשופים לסביבת‬
‫האינטרנט‪ .‬ישנם מספר רב של דרכים להתגונן‬
‫מפני תקיפות על אתרי אינטרנט‪ ,‬רובם דרך אגב‬
‫פותחו על ידי חברות תוכנה ישראליות‪ .‬אני ממליץ‬
‫לכל ארגון וחברה לבדוק את מידת החשיפה שלה‬
‫לסיכוני תקיפה באינטרנט‪ ,‬ולנהל את הסיכון‬
‫בצורה נכונה‪ ,‬ע"י טיפול מיידי בגורמי הסיכון"‪.‬‬
‫עיקר פועלו של הארגון צריך להיות בבחינה יזומה‬
‫של מידת החדירות של הארגון ומידול סיכונים‬
‫של תרחישי איום שרלוונטיים אליו‪ .‬התהליך חייב‬
‫להיות בידי גורם הנהלה המרכז את איומי הסייבר‬
‫כחלק ממתווה הסיכונים הכולל ולא להישאר‬
‫בידי אנשי מקצוע טכניים‪ .‬הארגון נדרש לבקרה‬
‫חיצונית על תפיסת האבטחה וארכיטקטורת‬
‫האבטחה ולהימנע מללכת שבי אחר תפיסת‬
‫אבטחה המוכתבת על ידי גורמים פנימיים‬
‫המוטים אחר תובנות קיימות בארגון‪ .‬נדרש‬
‫מעבר לחשיבה של הנהלה על תהליכים וחשיפה‬
‫של הארגון ברמה התפקודית והמנהלתית ולא‬
‫לחשיבה על טכנולוגיה ורכש מערכות כפתרון‬
‫לבעיית האבטחה‪ .‬נדרש מערך תחקור מקיף של‬
‫אירועי אבטחה והקמת צוותי ניהול אירועי אבטחה‬
‫ותרגולם‪ .‬במקביל נדרשת תשתית סקטוריאלית‬
‫לשיתוף מידע ולניתוח ריכוזי של אירועי אבטחה‬
‫ומידע על איומים‪.‬‬
‫ניר‪ ,‬ציין ש"ההתקפות של התקופה האחרונה‬
‫לא היו אירוע לוחמת סייבר כנגד ישראל אלא‬
‫כשל אבטחת מידע במגזר הפרטי‪ .‬ההתקפות‬
‫של התקופה האחרונה הינן בעיקר התקפות לא‬
‫מתוחכמות שנערכו על ידי גורמים עם מיומנויות‬
‫מוגבלות תוך שימוש בכלי מדף קיימים ברשת‪.‬‬
‫ואולם‪ ,‬בעוד שכלי התקיפה ומתודת ההתקפה‬
‫הייתה פשטנית‪ ,‬הרי שהיא חשפה את חולשתה‬
‫המרכזית של ישראל במיגון התשתית האזרחית‬
‫ואת רצונם של גורמים עוינים למקד תקיפה למול‬
‫האוכלוסייה האזרחית‪ .‬ההתקפה הייתה תולדה‬
‫של רשלנות חמורה במיגון אתרים עסקיים‬
‫הפועלים בישראל והיעדר תשתית בסיסית‬
‫להגנת מידע אישי רגיש הנאגר בהם‪ .‬ההתקפה‬
‫היא קראית אזהרה לגבי המערך החסר של‬
‫חקיקה‪ ,‬אכיפה ופיקוח על רמת האבטחה של‬
‫אתרים בישראל"‪ ,‬אמר ניר‪ .‬על מנת להתמודד‬
‫עם תקיפות ממוקדת יעד (‪ )APT‬יש להתקדם אל‬
‫מעבר לפתרונות מבוססי חתימות וחוקים ולעבור‬
‫להיכרות מעמיקה של הרשת ושל פעילויות‬
‫המשתמשים בה‪ .‬היערכות נכונה היא יכולת‬
‫שליטה ובקרה על מה שקורה ברשת הפנימית‪.‬‬
‫ניתוח ידני אינו אפקטיבי מפני שהרשתות מהירות‬
‫וכמות המידע גדולה מדי ומגוונת מדי‪ ,‬ולכן דרושה‬
‫אוטומציה ‪ -‬מערכות מומחה שיכולות ללמוד את‬
‫המשתמשים והרשת ומתוך כך למצוא חריגות‬
‫ואנומליות‪.‬‬
‫ארז‪ " ,‬דליפת כרטיסי האשראי שאירעה לאחרונה‬
‫מהווה מקרה שחדר לתודעה הציבורית‪ .‬כמוהו‬
‫מתרחשים אלפי מקרים מדי שנה‪ ,‬המזינים את‬
‫תעשיית הונאות הזהות המשמשת האקרים וגורמי‬
‫פשיעה מזה שנים רבות‪ .‬היקף הנזק מהונאות‬
‫גניבת זהות אלו לחברות האשראי ברחבי העולם‬
‫נאמד בעשרות מיליארדי דולרים מדי שנה‪,‬‬
‫וזה יכול למוטט מדינות‪ .‬נזק זה הוא הסיבה‬
‫העיקרית ליצירת תקן ‪ PCI‬ולאכיפה של תקן זה‬
‫על ידי חברות האשראי‪ .‬הלכה למעשה‪ ,‬חלק‬
‫מהארגונים מצליחים לפעול "מתחמת לרדאר"‬
‫של חברות האשראי ולאחסן נתוני לקוחות ונתוני‬
‫אשראי של לקוחות באופן לא מאובטח‪ ,‬והם אלו‬
‫המאפשרים את גניבת המידע וההונאות כנגד‬
‫מחזיקי כרטיסי האשראי‪ .‬מספרם של ארגונים‬
‫כאלה הולך ופוחת וחשיפה של אירועי אבטחה‬
‫כגון דלף כרטיסי האשראי תוביל בסופו של דבר‬
‫לסגירת פרצות האבטחה הקיימות‪ .‬ההתקפות על‬
‫אתרי הבורסה‪ ,‬קבוצת הבינלאומי ואל על בוצעו‬
‫במתווה של התקפות מבוזרות של מניעת שרות‬
‫(‪ ,)DDOS‬ומתקפות אלו קשות עד בלתי ניתנות‬
‫למניעה‪ .‬ניתן להפחיתן משמעותית על ידי איתור‬
‫וחיסול של ‪ ,Botnets‬אך מהלך זה מסובך לביצוע‪.‬‬
‫לפי כך‪ ,‬יש להיערך להגן על אתרים החשופים‬
‫לאינטרנט‪ ,‬ובפרט אתרים של ארגונים ציבוריים‬
‫הנמצאים בחשיפה גבוהה‪ .‬אפשר ללמוד מכך‬
‫שההתקפות בוצעו כנגד אתרי תדמית וגרמו לנזק‬
‫מינורי בלבד‪ ,,‬שמטרת ההאקרים הייתה לגרום‬
‫למבוכה ולהד ציבורי יותר מאשר גרימה של נזק‬
‫פיננסי או נזק משמעותי אחר‪ .‬למזלנו לא הותקפו‬
‫מערכות חיוניות של ארגונים ציבוריים‪.‬‬
‫שאלה ‪:3‬‬
‫מה מאפיין את התוקף בעידן של היום? אם‬
‫בעבר היינו עדים לוירוס פשוט שמטרתו‬
‫למחוק קבצים במחשב האישי שלנו‪,‬‬
‫והתוקף לא היה יותר מסתם ‪,Script Kiddie‬‬
‫כיום אנו רואים התקפות יותר מאורגנות‪,‬‬
‫ויותר ממוקדות‪ ,‬כאשר מספר התוקפים‬
‫אף עלה וברובו הגדול‪ ,‬מדובר בקבוצות‬
‫מאורגנות (למשל ‪?)Anonymous‬‬
‫ניר‪ ":‬המשפט דע את האויב ודע את עצמך ולא‬
‫תובס גם במאה קרבות (מתוך ספר "אומנות‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪21‬‬
‫שאלה ‪:5‬‬
‫סיקור פאנל מומחים ‪ -‬המשך‬
‫המלחמה")‪ ,‬מייצג את התפיסה שלי האישית‪,‬‬
‫לפיה הדרך להתמודדות עם האיומים של‬
‫השנתיים האחרונות היא זיהוי המתקפות כשהן‬
‫מתרחשות ברשת שלנו‪ .‬התוקפים נהיים יותר‬
‫ויותר מתוחכמים‪ ,‬אבל אסור לנו לוותר‪ ,‬ואנחנו‬
‫צריכים להגיע לעליונות ידע‪ ,‬כי ידע הוא כוח והוא‬
‫עוזר לזהות תקיפות ולהתמודד עם האיומים‬
‫השונים‪.‬‬
‫יוחנן‪ " ,‬כיום‪ ,‬הפורצים כבר לא צריכים דוקטורט‪.‬‬
‫הם רק צריכים נגישות ובעיקר זמן‪ .‬הם מחפשים‬
‫באגים‪ ,‬וכשיש ‪ 100‬אלף מחפשים ‪ -‬זו בעיה‪.‬‬
‫הפורץ בודק אילו באגים היצרן יודע שטרם נחשפו‬
‫לציבור‪ ,‬הוא עושה מחקר של חולשות‪ ,‬ומפתח‬
‫כלי פריצה מתאימים‪ .‬המתקפות שקרו בשנים‬
‫האחרונות‪ ,‬מעידות על כך שמדובר בתופעה‬
‫אחרת לגמרי‪ ,‬על קבוצות מאורגנות היטב‪ ,‬ולא‬
‫על האקר בודד אחד‪ ,‬הפועל כאינדיבידואל‪ .‬וניתן‬
‫לראות עפ"י המתקפות שבוצעו בשנים האחרונות‪,‬‬
‫ביניהן מתקפת מניעת שירות (‪ )DOS‬ע"י יצירת‬
‫עומס‪ ,‬השחתת אתרים‪ ,‬גניבת כרטיס אשראי‬
‫והשתלטות על מערכי ניתוב‪ ,‬מה שגורם לשיתוק‬
‫התעבורה ברשת‪ .‬וזה מעיד על התארגנות של‬
‫קבוצות‪ ,‬הפועלות ממניעים כספיים או פוליטיים‪,‬‬
‫ולא אישיים‪ .‬אם ניקח את המתקפה שקרתה על‬
‫אסטוניה‪ ,‬שהיא מדינה מבוססת מחשוב‪ ,‬בשנת‬
‫‪ .2007‬לאחר שהוחלט להזיז את פסל החייל‬
‫האלמוני ממרכז הבירה‪ ,‬טאלין‪ ,‬למקום צדדי‪,‬‬
‫חוותה אסטוניה מתקפות סייבר בלתי פוסקות‬
‫מצד רוסיה ‪ -‬מה שהביא לשיתוק החיים בה‬
‫במשך שבועות‪.‬‬
‫מני‪ " ,‬עולם הסייבר החל בשנות ה‪ .80-‬הווירוסים‬
‫הראשונים הופיעו במקביל לכך שהתאגידים‪,‬‬
‫בעיקר אלה הפיננסיים‪ ,‬הבינו שביכולתם להגדיל‬
‫את הכנסותיהם על ידי הקמת אתר אינטרנט‪,‬‬
‫ובכך האתרים הפכו להיות מוקד לאיומים‪.‬‬
‫בתחילת שנות ה‪ ,2000-‬עיקר ההשקעות של‬
‫קרנות ותאגידים בעולם האבטחה היה תוצאה‬
‫של פעילות האקרים ושיתוף הפעולה שלהם‬
‫עם ארגוני פשע‪ .‬כך זה גם עד היום‪ .‬על מנת‬
‫להוזיל עלויות‪ ,‬מדינות עברו מהתבססות על‬
‫טכנולוגיות ייחודיות להתבססות על טכנולוגיות‬
‫מיינסטרים‪ .‬או אז‪ ,‬בעיות האבטחה חדלו להיות‬
‫בעיות של תאגידים והפכו להיות בעיית המדינה"‪.‬‬
‫עולם הסייבר הוא עולם שטוח‪ .‬הרבה מימדים‬
‫בו אינם רלוונטיים‪ ,‬בהם המימד הפיזי ומימד‬
‫המרחק‪ .‬האינטרנט נתפס כנשק פוליטי‪ .‬סין היא‬
‫המעצמה מספר ‪ 1‬בעולם בתחום הסייבר ויש לה‬
‫צבא האקרים הגדול ביותר בעולם‪ .‬למרות זאת‪,‬‬
‫יש קושי לחבר ולעשות את הזיהוי של התוקפים‬
‫עם מדינות‪.‬‬
‫ארז‪ " ,‬ההתנהגות של גוגל (‪ )Google‬בשנת‬
‫‪22‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫‪ ,2010‬בעקבות הפריצה לשרתיה בסין‪ ,‬מעידה‬
‫שהכסף מדבר‪ .‬המניע העיקרי כיום של התוקף‬
‫היא כסף בלבד‪ ,‬ולא תהיל"ה‪ .‬ולכן‪ ,‬זה כבר לא‬
‫תפקידם של ה‪ ,Script Kiddies-‬אלא הם פינו‬
‫מקום‪ ,‬למומחי אבטחה‪ ,‬האקרים אשר מבצעים‬
‫מחקר מקצועי וארוך‪ ,‬מוצאים באגים ובפרצות‬
‫אבטחה‪ ,‬מפתחים כלים‪ ,‬ורק אז תוקפים‪ .‬הכל‬
‫מנוהל בצורה מושלמת‪ ,‬והכל מנגן כמו תזמורת‪.‬‬
‫והאשמים העיקריים בבעיות האבטחה כיום‪ ,‬זה‬
‫אנחנו‪ ,‬הצרכנים הפרטיים והעובדים הארגוניים‪,‬‬
‫אשמים ברוב הבעיות האבטחה הקיימות בעולם‪.‬‬
‫כמשתמשים‪ ,‬אנחנו רוצים הכל מהר‪ ,‬יעיל‪ ,‬זול‬
‫וקטן‪ .‬כך נוצר מצב שבו התוכנה יוצאת לאחר‬
‫בדיקה מינימאלית ולא מעמיקה (אם בכלל)‪,‬‬
‫ דבר שגורם לבאגים ‪ ,‬ואף חמור מכך‪ ,‬פרצות‬‫באבטחה‪ .‬תוכנה עם מאה הסתעפויות דורשת‬
‫טריליוני שנות בדיקה‪ .‬המסקנה הנובעת מכך היא‬
‫שהתוכנות לא נבדקות לעומק‪ ,‬הן מוצר שלא ניתן‬
‫לקבוע שהוא תקין‪.‬‬
‫שאלה ‪:4‬‬
‫האם מדינת ישראל ערוכה למתקפת סייבר‬
‫ממוקדת‪ ,‬בהיקפים גדולים?‬
‫יוחנן‪ ,‬אמר בתגובה "לדעתי מדינת ישראל נערכת‬
‫היטב בבחינה מערכתית של סוגי האיומים‬
‫במרחבי הסייבר והגדרת האיום בסקטורים‬
‫השונים‪ :‬הצבאי‪ ,‬הביטחוני ותשתיות קריטיות‪ .‬כמו‬
‫כן‪ ,‬יש היערכות מרשימה לגיבוש רמת האבטחה‬
‫בתשתיות חיוניות‪ .‬ברמה המוסדית נעשית עבודה‬
‫ניכרת לגיבוש תפיסה ולהכנת התשתית המוסדית‬
‫והטכנולוגית להתמגנות‪ .‬ואולם‪ ,‬דומה כי תרחישי‬
‫האיום הנדונים מתמקדים ב"אפקט הדומינו" של‬
‫קריסת תשתיות ולא נותנים משקל לאיום המרכזי‬
‫של ריגול שיטתי וחילוץ מודיעין לצד הטמנות‬
‫יכולות שיבוש‪ .‬תפיסת האבטחה נבנית על יסוד‬
‫תרחיש איום חלקי ולא ממצה ודורשת בחינה‬
‫מחדש‪ .‬גם בחזית המוסדית נדרשת הבהרה‬
‫של הסמכויות של הגופים השונים והגדרת גזרת‬
‫אחריות ברורה‪ .‬טרם ישנו טיפול ראוי בסיכון הקיים‬
‫על התשתיות האזרחיות והעסקיות‪ ,‬אך אני מאמין‬
‫שזה יבוא לידי ביטוי בהמשך"‪.‬‬
‫ארז‪ ,‬הוסיף "מדינת ישראל הינה יעד לתקיפה‬
‫בייחוד בתקופה הנוכחית‪ .‬מעבר לתקיפות‬
‫שקרו לאחרונה‪ ,‬פוטנציאל הנזק גבוה הרבה‬
‫יותר (למשל פגיעה בתשתיות קריטיות כגון‬
‫חשמל ומים)‪ ,‬ועל המדינה למגן את המערכות‬
‫הרלוונטיות ולשפר את הניטור של המערכות‬
‫הקריטיות‪ .‬לאחרונה ניתן הרבה פוקוס בנושא‪,‬‬
‫אך דרושים עוד צעדים טכנולוגיים בשטח"‪ .‬מתוך‬
‫היכרותי עם גורמים בממשלה‪ ,‬המודעות לנושא‬
‫הסייבר גבוה ואף המאמצים לרב מראים תוצאות‬
‫בשטח‪ .‬תמיד ניתן לעשות עוד‪ .‬לדעתי‪ ,‬מה שקורה‬
‫היום אינו עונה על ההגדרה מלחמת סייבר ומתוך‬
‫תשובתי כבר אפשר להבין שיש פה הרבה עניין‬
‫של הגדרות ותפישה‪ .‬לדעתי קיימות חזיתות שבהן‬
‫מדינת ישראל ערוכה היטב ואף מובילה בנושא‬
‫ואחרות בהן המדינה אינה ערוכה מספיק‪ ,‬אך היא‬
‫פועלת בנידון‪.‬‬
‫מני‪ ,‬אמר בתגובה‪" ,‬מדינת ישראל נערכה בשנים‬
‫האחרונות להגנה על התשתיות הקריטיות שלה‬
‫מפני מתקפות סייבר‪ .‬קיים עדיין פער גדול בין‬
‫היערכות זו לבין קיומה של מטריית הגנה כלל‬
‫מדינתית למלחמת סייבר כוללת‪ .‬כיום‪ ,‬היכולת‬
‫לבצע תקיפת סייבר קלה ופשוטה יותר מהיכולת‬
‫להגן על ארגון\חברה מפני תקיפה מעין זו‪ .‬בשנים‬
‫הקרובות ייסגר אט אט הפער כשכלי הגנה חדשים‬
‫יאפשרו לחברות ולארגונים להגן על עצמם בצורה‬
‫טובה יותר מפני תקיפות סייבר‪ .‬במהלך פרק זמן‬
‫זה מוטל על המדינה להשלים את היערכותה‬
‫במעגלים שבהם עדיין לא הושלמה היערכות זו‪.‬‬
‫היערכות זו כוללת הרחבת מעגלי ההגנה‪ ,‬הרחבת‬
‫המודעות בקרב הציבור הרחב בנושא וקביעת‬
‫נהלי טיפול באירועי סייבר"‪.‬‬
‫ניר‪ ,‬אף הוסיף " מדינת ישראל לא ערוכה‬
‫להתמודד עם מלחמת סייבר באופן מלא‪ .‬בחינה‬
‫של רמת האבטחה ומנגנוני האבטחה המיושמים‬
‫במערכות הליבה ובמערכות החיוניות לארגון‬
‫מגלה לרוב כי שכבת התצוגה של המערכות‬
‫החשופות לאינטרנט מוגנת ברמה טובה‪ ,‬אך‬
‫השכבות הפנימיות של המערכות בארגון אינן‬
‫מאובטחות כלל או מאובטחות ברמה נמוכה מאוד‪.‬‬
‫הזרז העיקרי במשק להגברת רמת האבטחה‬
‫במערכות מגיע דווקא מהסקטור הפרטי‪ ,‬למשל‬
‫רגולציית ‪ .PCI‬זרז עיקרי נוסף מגיע מהממשל‬
‫האמריקאי‪ ,‬תחת החוק הפדרלי ‪ .SOX‬זרז נוסף‪,‬‬
‫יהיה אימוץ חובה של תקני אבטחה אחרים כגון‬
‫תקן ‪ .ISO27001‬הבעיה עם הרגולציות ותקנים‬
‫מסוג זה‪ ,‬היא החלקיות האינהרנטית שלהם‬
‫(למשל בתקן ‪ )PCI‬אשר נובעת מאבטחה נקודתית‬
‫של מידע ורכיבים הרלוונטיים לרגולציה עצמה‪,‬‬
‫גורמת הלכה למעשה לארגונים לנקוט בצעדי‬
‫אבטחה חלקיים לטובת הרגולציה בלבד‪ ,‬תוך‬
‫חשיפת אזורים רגישים של מערכות הליבה‬
‫בארגון"‪.‬‬
‫ומה לגבי המגזר בעסקי‪-‬פרטי? האם‬
‫למדינה יש בשרוול "כיפת ברזל" אשר תגן‬
‫היטב על המגזר העסקי? כיצד על המגזר‬
‫העסקי‪-‬פרטי להיערך למתקפת סייבר?‬
‫יוחנן‪ ,‬ציין ש"יש להיערך למתקפת סייבר במספר‬
‫רמות‪.‬ראשית‪ ,‬יש ליישם את מירב שכבות‬
‫האבטחה על כלל המערכות בארגון‪ ,‬במיוחד אלו‬
‫החשופות לרשת האינטרנט‪ ,‬ואף להכין תוכניות‬
‫מגירה למצבים בהם תידרש סגירת מערכת‬
‫או מניעת הגישה אל מערכת נתונה‪ .‬שנית‪ ,‬יש‬
‫לאבטח את כל המערכות הליבה של הארגון‬
‫באופן מלא‪ ,‬במתודולוגיית ‪.In-Depth Security‬‬
‫שלישית‪ ,‬יש להיות ערוכים למצבים בהם התקפות‬
‫סייבר חדרו לארגון אחר עימו קיימים קשרים בין‬
‫מערכתיים‪ ,‬והיקף החדירה אינו ברור‪ .‬יש להבין‬
‫כי ניתוק או סגירה של מערכת ליבה אינו מעשי‬
‫במצבים רבים‪ .‬לפיכך יש לנקוט באמצעי אבטחה‬
‫פנימיים במערכת עצמה‪ ,‬ואמצעי הגנה היקפיים‬
‫שמטרתם למנוע צורך בסגירה של מערכת‬
‫הליבה עצמה‪ .‬מרבית המערכות אינן מכילות‬
‫מנגנונים להבטחת שלמות המידע במערכת‬
‫ושלמות התהליכים הלוגיים של המערכת‪ .‬פגיעה‬
‫בשלמות המידע במערכת יכולה במצבי קיצון‬
‫לגרום לנזקים בהיקף קיצוני לארגון‪ ,‬עד רמה‬
‫של סיכון השרידות של המידע במערכות הארגון‬
‫או אף השרידות הפיננסית של הארגון בכלל‪ .‬יש‬
‫ליישם באופן מדוקדק אמצעים להבטיח שלמות‬
‫המידע במערכות הליבה של הארגון"‪ ,‬הוסיף יוחנן‪.‬‬
‫ניר‪ ,‬הוסיף כי "חברות צריכות לבצע ניהול סיכונים‬
‫לא רק כשאומרים להן לעשות זאת‪ ,‬אלא באופן‬
‫תקופתי‪ .‬הן צריכות להבין‪ ,‬כי משבר הוא אינו‬
‫אירוע חריג‪ ,‬אלא אנחנו חשופים אליו בכל רגע‬
‫נתון‪ ,‬ומה שישעה את ההבדל הוא איך אנחנו‬
‫מגיבים לאירועים‪ .‬היעדר ניהול סיכונים נכון יכול‬
‫להוביל לאסון‪ ,‬כשלפעמים הנזק בלתי הפיך‪ .‬אסור‬
‫לחברות להיות מופתעות‪ .‬זה צריך להטריד אותנו‬
‫שיש עוד חברות שמופתעות ממשברים ומכך‬
‫שמתקיפים אותן‪ .‬צריך להבין שתוקפים אותנו כל‬
‫הזמן ולפעמים מצליחים ולפעמים לא‪ ,‬והשאלה‬
‫היא איך אנחנו מתכוננים לכך"‪ ,‬הוא אמר‪.‬‬
‫מני‪ ,‬ציין ש"חייבים לעשות הבחנה ברורה בין‬
‫סייבר ואבטחת מערכות מידע‪ .‬סייבר זה לא‬
‫אבטחת מידע‪ .‬במלחמת סייבר‪ ,‬ישנם היבטים‬
‫נוספים‪ ,‬כגון המרחב הפיזי‪ ,‬וההיבט האנושי‪,‬‬
‫וגם מידת הנזק יכולה להיות רחבה יותר‪ .‬דמיינו‬
‫לעצמכם תקלה במערכת הטלפוניה הארצית‬
‫שהיא תוצאה מתקיפת סייבר שמביאה להשבתת‬
‫המערכת‪ .‬במקביל‪ ,‬דמיינו אירוע נוסף‪ ,‬רב נפגעים‪,‬‬
‫כגון פיגוע‪ ,‬או הצתה‪ .‬התקלה הגדולה בסלקום‬
‫התרחשה יום אחד לפני השריפה בכרמל‪ .‬חישבו‬
‫איך היו כוחות הביטחון מטפלים בשריפה כאשר‬
‫שליש מהטלפונים מושבתים‪ .‬חשוב להבין‬
‫שעולם הסייבר הוא אמיתי‪ ,‬הוא לא המצאה של‬
‫אנשי שיווק ומכירות של ספקיות אבטחת מידע‪.‬‬
‫הוא חיבור של עולם אבטחת המידע ולהיבט של‬
‫יצירת איום על תאגידים‪ ,‬על גופי תשתיות לאומיות‬
‫קריטיות ועל המדינה כולה‪ .‬סייבר זה לא מימד‪ ,‬זו‬
‫פלטפורמת לחימה‪ .‬הוא יכול לעמוד בפני עצמו‬
‫או כחלק ממכלול רחב יותר של התקפות שלא‬
‫במימד בסייבר‪.‬‬
‫ארז‪ ,‬הוסיף כי "לתוקפים מספיק סדק אחד על‬
‫מנת לתקוף‪ ,‬ואילו למותקפים נדרשת הרמטיות‬
‫מוחלטת‪ ,‬על מנת להתמודד עם מתקפות סייבר‪.‬‬
‫על מנת להדביק את הפערים הללו יש לפעול לא‬
‫רק בהיבט הטכנולוגי אלא גם בתחומי ההדרכה‪,‬‬
‫החינוך ושינוי התרבות‪" .‬דע את עצמך"‪ ,‬אני‬
‫מצטרף למה שניר אמר‪ ,‬שכל ארגון צריך ללמוד‬
‫ולהכיר את הרשת שלו על מנת שיוכל לזהות‬
‫פעילות חריגה בו ובכך לזהות תקיפות סייבר‬
‫מתקדמות‪ .‬כלי ההגנה הסטנדרטיים שמגנים‬
‫על הכניסות והיציאות מהארגון עיוורים לפעילות‬
‫השקטה של תקיפות ‪ APT‬ברשת הפנימית ולכן‬
‫לא ניתן להשתמש בהם לצורך זיהוי מתקפות‬
‫‪ .APT‬בנוסף‪ ,‬גישה של חוקים וחתימות אינה‬
‫תופסת לתקיפות ייעודיות שתפוצתן ממוקדת‪ .‬אין‬
‫ספק ‪ ,‬חברות קטנות כגדולות חשופות היום כפי‬
‫שראינו לאחרונה‪ .‬הדרך היחידה להבטיח רמת‬
‫אבטחה נאותה היא לקיחת אחריות של הנהלת‬
‫החברה‪ .‬ככל שההנחיות יהיו ברורות יותר לגבי‬
‫אופן ההתמודדות (וההצטיידות בהתאם) כך‬
‫החברה תפעל בנחישות לאבטח את עצמה‬
‫ולהיות ערוכה למתקפות סייבר השונות"‪.‬‬
‫שאלה ‪:6‬‬
‫הצהרה לחוד ‪ -‬ומעשים לחוד ‪ .‬מדברי‬
‫ראש הממשלה‪ ,‬מר בנימין נתניהו‪ ,‬שציין‬
‫בכנס סייר האחרון‪ ,‬שישראל תהפוך להיות‬
‫מעצמת סייבר בעולם‪...‬האם לא מדובר‬
‫באמרה שעלולה למשוך אש לכיוון של‬
‫ישראל?‬
‫ארז‪" ,‬ישראל תמיד הותקפה‪ ,‬או לפחות היו‬
‫ניסיונות תקיפה נגדה‪ ,‬והיא תמיד תהיה יעד‬
‫מרכזי לתקיפות‪ ,‬בעיקר בשל סוגיות פוליטיות‪.‬‬
‫הכוונה של הממשלה‪ ,‬היא טובה‪ ,‬ובתקווה שזה‬
‫ישפר את רמת אבטחת המידע‪ ,‬לכלל הארגונים‬
‫במדינה‪ ,‬ולא רק לתשתיות הקריטיות‪ ,‬כי לכולם‬
‫ידועה‪ ,‬שחוזק השרשרת היא כפי חוזק החוליה‬
‫החלשה שבה‪.‬‬
‫יוחנן‪" ,‬אני דווקא שמח שכל האירועים האחרונים‬
‫קרו‪ ,‬זה הדליק לכולנו נורית אזהרה והעלה‬
‫למודעות שאכן כנראה יקרו דברים כאלה ואולי‬
‫גרועים מזה גם בעתיד‪ .‬בין אם אנחנו אזרחים‬
‫מהשורה שצריכים להיזהר יותר במידע שאנחנו‬
‫מעבירים ובים אם אנחנו אנשי מקצוע או מקבלי‬
‫החלטות בתחום המידע האלקטרוני‪ ,‬יש לתת על‬
‫כך את הדעת ולפעול כדי להיות מוכנים לבאות"‪.‬‬
‫מני‪ ,‬ציין ש"ישראל הייתה‪ ,‬ותמשיך להיות מעצמה‬
‫בתחום אבטחת המידע‪ ,‬ואף תוביל את ענף‬
‫הסייבר בעולם‪ .‬יש לנו יתרון מהותי בשל מיקומנו‬
‫הגיאוגרפי‪ ,‬המאלץ אותנו לחשוב ולהיות יצירתיים‪,‬‬
‫ולבנות פתרונות ייחודיים‪.‬‬
‫יוחנן‪ ,‬אף הוסיף כי "למדינה כמו ישראל‪ ,‬חשוב‬
‫מאוד להפוך להיות מעצמת סייבר בעולם‪ ,‬וזה‬
‫יביא מסר חשוב לשאר המדינות‪ .‬יש לנו את‬
‫היכולת מבחינת מוחות‪ ,‬והייחודיות של הישראלי‪,‬‬
‫היא יתרון מהותי בתחום הזה"‪.‬‬
‫הידעת?‬
‫מנמ"רים רואים‬
‫באבטחת מידע‬
‫כמרכיב שלא ניתן‬
‫לוותר עליו‬
‫במחקר שנערך בקרב מנמ"רים דורגה‬
‫אבטחת המידע ראשונה בחשיבותה על‬
‫פני נושאים אחרים‪ .‬כעת‪ ,‬כשמערכות‬
‫המידע נעשות פתוחות יותר‪ ,‬מקושרות יותר‬
‫ומספקות שירותים וחיבורים לרשת הארגון‬
‫בצורה קלה‪ ,‬מקבלת אבטחת המידע משנה‬
‫חשיבות‪ .‬כמובן‪ ,‬שגם גל המתקפות שפקד‬
‫עלינו לאחרונה‪ ,‬סייע במשימה‪.‬‬
‫יותר מבעבר עלינו לוודא שרק גורמים‬
‫מורשים ישתמשו בשירותים שהמערכת‬
‫מספקת‪ ,‬שמידע חסוי יעבור בצורה מוצפנת‬
‫וכו'‪ .‬כל זה נכון עבור משתמשים ומערכות‬
‫בתוך הארגון כמו גם עבור אלו שמחוץ לו‪.‬‬
‫ללא אבטחת מידע גמישה ושקופה‪ ,‬כלומר‬
‫כזו שניתן להלביש על כל שירות ולשנותו‬
‫לפי הצורך מבלי לשנות את המבנה הפנימי‬
‫שלו‪ ,‬נפספס את משמעות הארכיטקטורה‬
‫החדשה‪ .‬את הזמן והמאמצים שנחסוך על‬
‫אינטגרציית מידע‪ ,‬נשקיע באינטגרציית‬
‫אבטחת המידע‪.‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪23‬‬
‫מגמות בעולם הסייבר לשנים הקרובות‬
‫מאת‪ :‬ניר ולטמן‪ ,‬ארכיטקט אבטחת המידע של חברת ‪.Citadel Consulting‬‬
‫הקדמה‬
‫עולם הסייבר יצר הד תקשורתי רב בתקופה‬
‫האחרונה‪ .‬אם נשאל מומחי אבטחת מידע מה הוא‬
‫עולם הסייבר‪ ,‬סביר להניח שנקבל תשובות שונות‪.‬‬
‫הסיבה העיקרית לכך היא שהמונח סייבר מתחבר‬
‫למונחים רבים כדוגמת‪ :‬קיברנטיקה (תחום מחקר‬
‫במתמטיקה שימושית העוסק בתהליכים מגוונים‬
‫בין בני אדם‪ ,‬ארגונים ומכונות)‪ ,‬סייבר טרור‬
‫(שימוש ברשת האינטרנט לביצוע פעולות טרור)‪,‬‬
‫מרחב קיברנטי (אנשים המשתמשים באינטרנט‪,‬‬
‫קוד המפעיל מערכות‪ ,‬מערכות מחשוב) ועוד‪.‬‬
‫ברמת החומרה‪ .‬עם השנים פותחו כלים רבים‬
‫אשר סייעו לבצע מתקפות תוכנתיות‪ ,‬דבר אשר‬
‫גרר ילדים (‪ )Script Kiddies‬לתוך עולם אבטחת‬
‫המידע‪ .‬כיום‪ ,‬על מנת לפתח מתקפות סייבר‬
‫יצירתיות נדרש ידע נרחב‪ ,‬אולם לא רק מהנדסים‬
‫הם קהל היעד לפיתוח המתקפות הללו‪ ,‬אלא גם‬
‫אנשים יצירתיים ללא השכלה פורמאלית‪ ,‬אשר‬
‫למדו בעיקר מהניסיון‪ ,‬מהספרים ומהאינטרנט‪.‬‬
‫להלן גרף הממחיש את הערכת עולם אבטחת‬
‫המידע בשנים הקרובות בהיבטי מורכבות‬
‫המתקפות והידע הנדרש עבורן‪:‬‬
‫עולם הסייבר כיום‬
‫עולם אבטחת המידע משתנה באופן דינאמי‬
‫בתחומי התוכנה והחומרה‪ ,‬כפועל יוצא מכך‬
‫יש פיתוח של מתקפות חדשות בתדירות‬
‫גבוהה במטרה לנצל את נקודות החולשה של‬
‫הטכנולוגיות החדשות‪ ,‬אשר בחלק מהמקרים‬
‫נפרצות מהר יותר מטכנולוגיות שנבדקו פעמים‬
‫רבות‪ .‬כאנלוגיה לכך‪ ,‬מדינה שהשתתפה‬
‫במלחמות רבות תהיה חזקה יותר במלחמות‬
‫עתידיות אל מול מדינות שאין להן ניסיון בלוחמה‪.‬‬
‫כמו כן‪ ,‬בעשור האחרון השתלבו רגולציות ותקנים‬
‫רבים בשוק אשר מחייבים ארגונים לשמור על‬
‫המידע הרגיש שלהם ושל עובדיהם‪ .‬כחלק‬
‫מהשתלבות זו‪ ,‬ניתן לראות כי מסמכים חדשים‬
‫יותר נוטים להיות טכנולוגיים וקשוחים יותר‪,‬‬
‫כדוגמת תקן ‪ ,PCI‬אשר מחייב עמידה בתנאים‬
‫נוקשים במיוחד‪ .‬חשוב לציין כי עמידה בתקנים‬
‫וברגולציות אכן מסייעת בהגנה על הארגונים מפני‬
‫מתקפות רבות‪ ,‬אולם לעיתים הארגונים צריכים‬
‫לעשות קצר מעבר לנדרש‪ ,‬לדוגמה רכישת‬
‫כלים נגד מתקפות ‪DDoS(Distributed Denial‬‬
‫‪ )of Service‬אשר נחשבות לנפוצות כיום‪.‬‬
‫יכולות התוקפים‬
‫בתקופה זו אנו עדים לכך שהידע הנדרש‬
‫מגורמים המבצעים פעולות סייבר מתהפך שנית‬
‫בהיסטוריה‪ .‬בשנות ה – ‪ 80‬תוקפים היו צריכים‬
‫לדעת כיצד המחשב עובד‪ ,‬הן ברמת התוכנה והן‬
‫‪24‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫נושא נוסף שחשוב לשים עליו דגש בתחום‬
‫האינטרנט הוא מתקפות ה –‪ .DDoS‬כאמור‬
‫מתקפות אלו נפוצות כיום ובעיקר מנוהלות ברשת‬
‫הנקראת ‪ ,Botnet‬אשר שולטת על מחשבים‬
‫(‪ )bots‬על ידי שרתי ניהול (נקראים גם ‪C&C,‬‬
‫‪ .)Bot operators, Bot herders‬כיום רשתות ה‬
‫–‪ Botnet‬נבנות בעיקר על מחשבים‪ ,‬אולם חשוב‬
‫לציין שני וקטורי תקיפה שצפויים להתממש או‬
‫שמתממשים באופן מצומצם יחסית‪:‬‬
‫‪1.1‬השתלטות על מכשירי ‪ .Mobile‬לצורך פעולה‬
‫זו ניתן להטמיע קוד זדוני בשוק האפליקציות‪,‬‬
‫לבצע הנדסה חברתית ואף להשתמש‬
‫בטכנולוגיות "מגניבות"‪ ,‬כדוגמת ‪,QR Code‬‬
‫במטרה להדביק את מכשירי ה –‪.Mobile‬‬
‫להלן קישור ל ‪ PoC-‬בנושא זה (‪QRbot‬‬
‫שפותח על ידי)‪.‬‬
‫יחד עם זאת‪ ,‬כל פעילות זדונית המבוצעת כיום‬
‫באינטרנט משוייכת באופן אוטומאטי לקטגוריית‬
‫הסייבר‪ ,‬החל משינוי פני אתר אינטרנט (התקפה‬
‫הנקראת ‪)Defacement‬ועד גניבת פרטים אישיים‬
‫של משתמשים באמצעות מגוון מתקפות (כדוגמת‬
‫‪ Injections‬וגניבת ‪ )Session‬שמשתמשים בהן‬
‫שנים רבות‪.‬‬
‫אם כך‪ ,‬בכל זאת יש סיבה לקיומו של עולם‬
‫הסייבר וההד התקשורתי סביבו‪ ,‬מאחר ופגיעה‬
‫בתשתיות לאומיות עלולה להגיע לכדי הכרעת‬
‫מלחמות וסכנת חיי אדם‪.‬‬
‫ביטחוניות ואף לפעול באופן שיטעה את האויב‪.‬‬
‫_‪www.citadel.co.il/userfiles/files/PenTest‬‬
‫‪StarterKit_02_2011.pdf‬‬
‫חזון הפשע הקיברנטי (‪)Cyber Crime‬‬
‫הפשע הקיברנטי צובר תאוצה בעיקר בשני‬
‫רבדים‪ :‬האינטרנט ושוק מוצרי ה –‪.Embedded‬‬
‫בתחום האינטרנט קיימות קבוצות שונות שפועלות‬
‫עבור מטרות שונות‪ ,‬כדוגמת ‪ Anonymous‬שהיא‬
‫קבוצת ‪( Hacktivists‬בעיקר פועלת על פי דחפים‬
‫פוליטיים)‪ .‬מאחר והאנונימיות כיום הפכה לנפוצה‪,‬‬
‫כדוגמת ה ‪ ,Darknet -‬ההערכה היא שתיווצרנה‬
‫קבוצות נוספות ואף מתוחכמות יותר‪ ,‬לדוגמה‪:‬‬
‫הקמת קבוצה גדולה שמטרתה לחקור ולפצח‬
‫מפתחות ואלגוריתמי הצפנה‪ .‬יחד עם זאת‪ ,‬חשוב‬
‫לציין שהאנונימיות כבר נמצאת בכל מקום‪ ,‬לא‬
‫רק במחשבים אלא גם במובייל‪ .‬להלן תצלום‬
‫מסך של תוכנת האנונימיות ‪TOR (The Onion‬‬
‫‪ ,)Routing‬אשר נמכרת ב –‪:AppStore‬‬
‫כיום רשת ה –\‪Onion‬‬
‫‪ Darknet‬מכילה‬
‫תשתית מלאה לפשע‪,‬‬
‫החל מהקמת קבוצות‬
‫כאמור ועד להשכרת‬
‫רוצחים‪ ,‬מכירת סמים‬
‫ועוד‪ .‬אם נחשוב צעד‬
‫קדימה‪ ,‬יתכן מצב‬
‫שבו ניתן יהיה לרכוש‬
‫גם מטוסי קרב‪ .‬האם‬
‫אי פעם חשבתם האם קיים תסריט שבו ניתן‬
‫יהיה לרכוש מטוס קרב מתוך האייפון שלכם?‬
‫לסיכום נושא האינטרנט‪ ,‬ההערכה היא שהרשת‬
‫האנונימית תשמש גופים ביטחוניים בביצוע‬
‫הנדסה חברתית במטרה לאתר הדלפות מידע‬
‫‪2.2‬מאחר ושרתי ניהול ה –‪ Botnets‬אחראים על‬
‫פעולותיהם של ה –‪ ,Bots‬שרתים אלו ישמשו‬
‫כיעד תקיפה אטרקטיבי מאחר והשתלטות‬
‫על השרתים הללו תגרור שליטה ב –‪.Botnets‬‬
‫להלן קישור למאמר המפרט מתקפה זו‪,‬‬
‫‪valtman-nir.blogspot.co.il/2012/06/‬‬
‫‪recursive-bot-herder-attack.html‬‬
‫לה ‪Recursive bot herder attack‬‬
‫קראתי‬
‫ופרסמתי אותה בבלוג שלי‪.‬‬
‫מוצרי ה –‪ Embedded‬כיום צוברים תאוצה‬
‫מדאיגה‪ .‬מוצרים אלו משמשים אותנו בתחומים‬
‫מגוונים‪ ,‬החל מיצירת רובוטים עבורנו וכלה‬
‫בהשתלת שבבים בתוך גוף האדם עבור‬
‫מטרות רפואיות‪ .‬על מנת לשלוט על מוצרים‬
‫אלו‪ ,‬נדרשת תקשורת אלחוטית‪ ,‬כדוגמת‬
‫‪ WiFi, RFID, Bluetooth‬ועוד‪ .‬לאור ההנחה‬
‫שפרוטוקולי האלחוט ישמשו כגישת ניהול מוצרי‬
‫ה –‪ ,Embedded‬קיים סיכון להרחבת מחקרים‬
‫בנושא זה על מנת להשתלט על רכיבים אלו‪ ,‬וכך‬
‫גם על חיינו‪.‬‬
‫חזון בלוחמה הקיברנטית‬
‫(‪)Cyber Warfare‬‬
‫כאשר מדובר בלוחמה קיברנטית‪ ,‬צריך לדעת‬
‫שלאויב אין מגבלות‪ .‬על פי הגדרת המושג ‪,APT‬‬
‫לכל אות בראשי התיבות יש משמעות אמיתית‬
‫ללוחמה קיברנטית‪ –Advanced :‬לאויב יש את‬
‫כל האמצעים המתקדמים לביצוע המתקפה‪,‬‬
‫‪ –Persistent‬לאויב יש את האנשים והזמן לכתיבת‬
‫המתקפה‪–Threat ,‬האויב מאיים מעצם העובדה‬
‫שיש לו משאבים וכוונות זדוניות‪.‬‬
‫החזון למתקפות בעולם בלוחמה הקיברנטית‬
‫מורכב יותר מעולם הפשע הקיברנטי‪ .‬ישנם מספר‬
‫תסריטים אשר חשוב לשים עליהם דגש‪:‬‬
‫‪1 .1‬כיום לא קיימות הגנות מספקות על מערכות‬
‫‪ ,SCADA‬אשר תשתיותיהן של המדינות‬
‫מבוססות עליהן‪ .‬ההערכה היא שיפותחו כלי‬
‫הגנה על המערכות הללו‪ ,‬הן על ידי יצרני‬
‫החומרה והן על ידי צד ג'‪.‬‬
‫‪2 .2‬הפרדת רשתות באופן פיזי כבר לא מספקות‬
‫הגנה כנגד החדרת מידע או זליגתו‪ ,‬מעצם‬
‫העובדה שגורם זדוני יכול לחבר בין הרשת‬
‫המסווגת לרשת הבלמ"סית‪ .‬לפיכך‪ ,‬יפותחו‬
‫מוצרי נלווים להפרדת הרשתות אשר ימנעו‬
‫פעולה זוואף יזעיקו את גורמי הביטחון בעת‬
‫חיבור בין הרשתות הנפרדות‪.‬‬
‫‪3 .3‬מרבית רכיבי החומרה מיובאים לארץ‬
‫ממדינות שאין לנו כמדינה פיקוח על הייצור‬
‫שלהן‪ ,‬לפיכך ההערכה היא שתבוצענה‬
‫בדיקות מדגמיות על הפונקציונאליות של‬
‫רכבי החומרה המיובאים‪ ,‬החל ממחשבים‬
‫אישיים ועד מערכות ‪ SCADA‬ואף מערכות‬
‫לחימה‪.‬‬
‫‪4 .4‬לוחמת מידע לא מצליחה ללא איסוף‬
‫מידע‪ .‬כיום ניתן לאסוף מידע יחסית‬
‫בקלות מרשתות חברתיות ובאופן כללי‬
‫מהאינטרנט‪ .‬מאחר ונושא הגנת הפרטיות‬
‫נפגע כיום במרחב‬
‫הקיברנטי‪ ,‬ההערכה‬
‫היא שארגונים יוכלו‬
‫לצוטט לשיחות של‬
‫העובדים‪ ,‬לקרוא את‬
‫הדוא"ל שלהם ולהיות‬
‫חשופים למידע נוסף‬
‫אודותיהם‪ ,‬כמובן באישור פרטני של כל‬
‫עובד‪ .‬כנגזרת מכך‪ ,‬יוכלו ארגונים בטחוניים‬
‫לשלוט טוב יותר על המרחב הקיברנטי של‬
‫המדינה‪.‬‬
‫לסיכום‪ ,‬עולם הסייבר ממחיש סיכונים חדשים‬
‫ואף גורם לנו לדמיין מה הוא וקטור התקיפה הבא‬
‫נגדינו‪ .‬מאחר והעולם הטכנולוגי מתקדם מהר‪,‬‬
‫אנו נדרשים לחקור כל טכנולוגיה חדשה במטרה‬
‫לאתר את חולשותיה בטרם אויבנו יאתרו אותן‪.‬‬
‫האח הגדול‬
‫צורך עסקי או פגיעה בפרטיות העובד?‬
‫מעקב ממוחשב אחר עובדים‬
‫שימוש של עובדים במשאבי הארגון גם לשם‬
‫ענייניהם הפרטיים‪ ,‬הוא תופעה נפוצה שמתקבלת‬
‫במידה מסוימת של הבנה מצד מעבידים רבים‪.‬‬
‫אולם ההתפתחות הטכנולוגית של השנים‬
‫האחרונות מספקת למעבידים כלים חדשים‬
‫ויעילים‪ ,‬למעקב אחר עובדיהם‪.‬‬
‫השוק מוצף בכלים מסוג זה‪ ,‬החל מתוכנות‬
‫שמקליטות את ההקשות של המקלדת שביצע‬
‫העובד‪ ,‬ועד למערכות שיכולות להקליט‪ ,‬לבחון‬
‫ולנתח‪ ,‬ולהציג באופן מדויק מה נצפה במחשבו‪.‬‬
‫כמו כן‪ ,‬יש כיום גם מערכות לניהול טלפוניה‬
‫בארגון שמנתחות את דפוסי השימוש בטלפונים‬
‫ומצלמות מיניאטוריות ותגי זיהוי חכמים שיכולים‬
‫לנטר בכל רגע נתון את התנהגות העובד ואת‬
‫מיקומו‪.‬‬
‫ניטור עובד – כרוך באופן בלתי נמנע באיסוף פרטיו‬
‫האישיים‪ ,‬לעתים אף פרטים רגישים‪ .‬אין ספק כי‬
‫מעביד זכאי להגן על זכויותיו הקנייניות והאחרות‪,‬‬
‫אך האם הפלישה לענייניו הפרטיים של העובד‬
‫איננה פוגעת שלא כדין בזכויותיו? כיום נענית‬
‫שאלה זו בחיוב במדינות רבות בעולם והנימוק‬
‫הוא שעובד איננו משאיר את זכותו לפרטיותו‬
‫מחוץ למפתן דלתו של המעביד‪ ,‬והוא זכאי למידה‬
‫מסוימת של פרטיות גם במקום עבודתו‪.‬‬
‫הממונה על הגנת הפרטיות וחופש המידע‬
‫באנגליה פרסם קוד רחב היקף שמפרט כיצד ניתן‬
‫לנטר את פעילותם של עובדים תוך שמירה על‬
‫כבודם ופרטיותם‪ .‬קוד זה מצטרף לדברי חקיקה‬
‫ומסמכים מנחים נוספים בתחום‪ ,‬כגון הקוד של‬
‫ארגון העבודה הבינלאומי בעניין הגנה על מידע‬
‫אישי של עובדים ומסמך העבודה של האיחוד‬
‫האירופאי בעניין ניטור תקשורת אלקטרונית‬
‫במקום העבודה‪.‬‬
‫על פי רוב ייחשב ניטור פעולות של עובדים‬
‫כחדירה לפרטיותם‪ .‬הניטור אף עלול לבזות‬
‫ולהשפיל את העובד ובכך לפגוע גם בזכויותיו‬
‫היסודיות לכבוד וליחס הוגן‪ .‬ניטור העובדים עשוי‬
‫להזיק גם למעביד משום שהוא עשוי להצטייר‬
‫כאמצעי מדכא ומשפיל‪ ,‬המעכיר את יחסי‬
‫העבודה ופוגע באמון של העובדים בהנהלה‪.‬‬
‫הניטור אף עשוי להביא לחשיפת מידע אישי רגיש‬
‫ושיחות חסויות בפני עובדים אחרים בארגון‪.‬‬
‫לפני שמעביד מחליט לעקוב אחר עובדיו‪,‬‬
‫על המעביד לבדוק חלופות פולשניות פחות‬
‫לאיסוף מידע – כגון שיטות מסורתיות של‬
‫פיקוח‪ ,‬הדרכה יעילה ומיסוד תקשורת טובה בין‬
‫העובדים למנהלים‪ .‬אם המעביד בחר לאסוף‬
‫מידע על עובדיו באמצעות ניטור פעולותיהם‪,‬‬
‫עליו לוודא כי הפגיעה בפרטיותם אינה עולה על‬
‫הנדרש‪ ,‬שהניטור מבוצע לצורך מטרות ברורות‬
‫והכרחיות ולהעריך תחילה את הישגי הניטור‬
‫בהשוואה להשפעה שתהיה לו על העובדים‪ .‬כמו‬
‫כן יש להעדיף ניטור נקודתי ומוגבל בזמן‪ ,‬במיקום‬
‫ובזהות העובדים המנוטרים‪ ,‬על פני ניטור גורף‬
‫ושיטתי‪.‬‬
‫הסכמה‪ .‬לאמור‪,‬‬
‫אדם יכול להסכים‪,‬‬
‫בין במפורש ובין‬
‫במשתמע‪ ,‬לפגיעה‬
‫בפרטיותו‪ .‬במערכת‬
‫יחסים בין עובד למעביד‬
‫קיים החשש כי הסכמת‬
‫העובד ניתנה מכורח ולא‬
‫מרצונו החופשי‪ .‬עמד‬
‫על כך בית הדין הארצי‬
‫לעבודה בדונו בזכותה של‬
‫אוניברסיטה לחייב עובדים‬
‫הניגשים למכרזים פנימיים‬
‫לעמוד במבחני התאמה‪ ,‬החודרים לפרטיותם‪.‬‬
‫הרציונל שעומד ביסוד פסיקה זו‪ ,‬נראה כתקף גם‬
‫לעניין ניטור פעולותיהם של עובדים‪ ,‬שהרי בשני‬
‫המקרים מדובר בפעולה של המעביד‪ ,‬החודרת‬
‫לענייניו הפרטיים של העובד‪ .‬כך לא כל הסכמה‬
‫של עובד לניטור פעולותיו – תיחשב כהסכמה‬
‫שניתנה מרצונו החופשי‪ .‬המבחן לתקפות פגיעה‪,‬‬
‫לאור פסק הדין האמור‪ ,‬היא‪" :‬האם החדירה‬
‫לפרטיותו של העובד משרתת תכלית ראויה והאם‬
‫איננה פוגעת בפרטיותו של העובד במידה העולה‬
‫על הנדרש?"‬
‫ראוי לקבוע בדבר חקיקה או מכוחו‪ ,‬הסדרים‬
‫מפורשים וברורים כדוגמת הקוד הבריטי‪ ,‬שיאזנו‬
‫את זכויות המעביד עם אלה של עובדיו וללוותם‬
‫בכלים ממשיים לאכיפתם‪.‬‬
‫דיני הגנת הפרטיות בישראל – מושתתים על‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪25‬‬
‫סיכונים במיקור חוץ‬
‫רגולציה בשוק הפיננסי‬
‫ופתרונות אבטחה יעילים‬
‫והדרכים להתמודד איתם‬
‫כיום‪ ,‬ארגונים רבים מוצאים לנכון לבצע‬
‫מיקור חוץ של תהליכי מחשוב ועיבוד נתונים‪,‬‬
‫ולחסוך בעלויות התפעוליות השוטפות‬
‫הכרוכות בהחזקת מערכות מחשוב מורכבות‬
‫"בתוך הבית"‪ .‬האופציות למיקור חוץ הן רבות‬
‫ומגוונות‪ ,‬ומאפשרות לארגונים לחיות בסביבה‬
‫עתירת מידע ומשאבי מחשוב‪ ,‬אך לא להידרש‬
‫לדאוג לתפעול השוטף של המערכות הנ"ל –‬
‫מעין "ללכת עם ולהרגיש בלי"‪.‬‬
‫מיקור חוץ של מוקדי תמיכה ומענה טלפוני‬
‫ללקוחות הפך כבר מזמן לנוהג נפוץ בקרב‬
‫ארגונים גדולים ובין לאומיים‪ ,‬וכמעט לא תמצאו‬
‫היום חברה המאחסנת את אתר האינטרנט שלה‬
‫על גבי שרת האינטרנט הנמצא בשרתי החברה‪.‬‬
‫גם עיבוד נתוני המשכורות והתשלומים לעובדים‬
‫ולספקים מבוצע לעתים קרובות על ידי חברות‬
‫וספקי שירותים המתמחים בכך‪ ,‬המבצעים‬
‫את העבידו וסליקת הנתונים הפיננסיים עבור‬
‫החברות‪.‬‬
‫לצד היתרונות המובנים במיקור חוץ‪ ,‬ניתן לזהות‬
‫מספר איומים וסיכונים עימם צריכים להתמודד‬
‫הארגונים הסומכים את ידיהם על הוצאה החוצה‬
‫של פעילויות מחשוב ועיבוד מידע‪ .‬בכתבה זו ננסה‬
‫להצביע על תרחישי מיקור חוץ והאיומים שבהם‪,‬‬
‫וכיצד ניתן להתמודד ולמזער את הסיכון‪.‬‬
‫הרגולציה‪ ,‬ועדת בכר‪ ,‬שינוי מבני של שוק ההון‪ ,‬המהפך שעובר על מגזרי הביטוח והבנקאות‪ ,‬כל אלו‬
‫העמידו בפני חברות ה‪ IT-‬אתגר‪ :‬לתפור פתרונות טכנולוגיים שיאפשרו לגופים אלו לעמוד בתקנות‬
‫ובחוקים וגם לייצר במהירות רבה יותר כלים פיננסיים חדשים‪.‬‬
‫נאותים להגנה על המידע של לקוחותיו‪.‬‬
‫אין בכך לומר שבמקרה הנ"ל לא ננקטו אמצעים‬
‫אלו‪ ,‬אך ישנן מספר דרכי פעולה המאפשרות‬
‫לבתי העסק העושים שימוש בשירותי מיקור‬
‫החוץ להבטיח כי יקבלו את התמורה המלאה‬
‫לכספם‪ ,‬ובכל זאת יחסכו בעלויות התפעול‬
‫(הסיבה המקורית לפנייה לשירותי מיקור חוץ)‪.‬‬
‫באופן עקרוני ניתן לומר כי ברגע שהספק נמצא‬
‫"רחוק מהעין"‪ ,‬סביר להניח שהשירות המסופק‬
‫יבוצע תוך השקעה מינימאלית מצידו של ספק‬
‫השירותים‪ ,‬במטרה ברורה להגדלת נתח הרווחים‪.‬‬
‫להגנה על המידע הארגוני המועבר לספק השירות‬
‫וכיצד הספק צריך להתנהל מול הלקוח‪.‬‬
‫גם המפקח על הבנקים בבנק ישראל‪ ,‬מנחה את‬
‫הבנקים לקבוע ‪ SLA‬ברור בעת מיקור חוץ של‬
‫מערכות מידע (במסגרת הנחיה ‪ .)357‬מומלץ‬
‫לקבוע מסגרת בקרה כלשהי על הדרישות הנ"ל‪,‬‬
‫כך שהלקוח יכול לקבל אינדיקציה ברורה לגבי‬
‫ההקפדה והאכיפה של התנאים אותם הציב‬
‫לעסקה‪ .‬לעתים‪ ,‬הפרה של תנאי החוזה או‬
‫ה‪ SLA-‬המלווה בפגיעה עסקית (כמו במקרה של‬
‫פריצה לאתר‪ ,‬למשל) יכולה להוות עילה מספקת‬
‫לביטול ההתקשרות העסקית כולה‪.‬‬
‫איום נוסף שיכול להשפיע הינו חוסר במחויבות‬
‫מצד עובדי ספק שירות מיקור החוץ למטרות‬
‫העסקיות של הארגון – השכירים העובדים עבור‬
‫ספק שירותי מיקור החוץ אינם מרגישים הזדהות‬
‫עם לקוחות הספק‪ ,‬ולכן לא תמיד יש להם מחויבות‬
‫לשמור על כללי אבטחה מינימליים נאותים‪.‬‬
‫‬
‫•האם קיימת מדיניות אבטחת מידע?‬
‫‬
‫‪1 .1‬אחסון אתרי אינטרנט ומערכות מחשוב‬
‫ארגוניות "לא‪-‬קריטיות"‪.‬‬
‫התמודדות עם הסיכונים ודרכים למזער‬
‫נזקים שנעשו‬
‫•האם קיימת תוכנית להמשכיות עסקית ו\או‬
‫התאוששות מאסון לחברה?‬
‫‬
‫•מתי לאחרונה התוכנית נבדקה ואושרה?‬
‫‪2 .2‬עיבוד משכורות או נתוני חיוב לקוחות‬
‫(‪ )Billing‬בידי גורמים מקצועיים (חשב שכר‪,‬‬
‫רו"ח‪ ,‬ספק שירותי סליקה)‬
‫גם במקרה זה‪ ,‬נכונה האמרה "סוף מעשה‬
‫במחשבה תחילה"‪ .‬על ידי זיהוי של הסיכונים‪,‬‬
‫ניתוח תהליכי מיקור החוץ וחשיבה עסקית בריאה‪,‬‬
‫ניתן למזער את הנזקים והאיומים שבמיקור חוץ‪.‬‬
‫חשוב כבר בשלב הראשון בו חושבים לפנות‬
‫לספק חיצוני‪ ,‬לזהות בצורה ברורה מהי המחויבות‬
‫החוקית של ספק השירותים‪ ,‬ומהי המחויבות‬
‫העסקית שלו מול לקוחותיו‪ .‬אם ספק השירותים‬
‫אינו מחויב בקיום מנגנוני אבטחת מידע על פי חוק‪,‬‬
‫עדיין יש מקום להגדיר בחוזה ההתקשרות מולו‬
‫את הדרישות המינימליות מבחינת ניהול תקין של‬
‫המידע וההגנה עליו‪ ,‬להם מצפה הלקוח‪.‬‬
‫‬
‫•האם נלקחה בחשבון האפשרות של תקריות‬
‫אבטחה ו\או אסונות?‬
‫‬
‫•מהי מדיניות הגיבויים של הספק‪.‬‬
‫‬
‫•מה סדר העדיפויות במקרה של שיקום‬
‫השירות והפעילות העסקית?‬
‫‬
‫•האם יש אתר פעילות תחליפי? אם כן‪ ,‬מהי‬
‫רמת התאמתו לאתר המרכזי? התשתיות בו‬
‫(חשמל‪ ,‬תקשורת‪?)...‬‬
‫להלן תרחישי מיקור חוץ נפוצים‪:‬‬
‫‪3 .3‬מיקור חוץ של מוקדי מענה טלפוניים ומוקדי‬
‫תמיכה‬
‫הסיכונים במיקור חוץ של פעילויות‬
‫שונות בארגון‬
‫‪IT‬‬
‫במקרה שפורסם לאחרונה‪ ,‬נפרצו שרתי אחסון‬
‫האינטרנט של אחד מהספקים הגדולים בישראל‪.‬‬
‫הפריצה המתוחכמת יחסית אפשרה לפורצים‬
‫להשחית פני מאות אתרים‪ ,‬וגרמה למאות בתי‬
‫עסק להפסדים ו"בושות" לא מעטות‪.‬‬
‫ובכן‪ ,‬אחד ההיבטים הנכונים לגבי כל סוג של מיקור‬
‫חוץ‪ ,‬הוא כי למרות שהספק הנותן את שירותי‬
‫מיקור החוץ נשען מבחינה עסקית על נאמנות‬
‫ושביעות רצון לקוחותיו‪ ,‬לרוב יעדיף הספק להוזיל‬
‫את עלויות השירותים המסופקים ולא לטייב אותם‪,‬‬
‫ובכלל זאת לדאוג למימוש אמצעי אבטחת מידע‬
‫‪26‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫במקרים רבים‪ ,‬ראוי ואף נדרש חתימה הדדית על‬
‫הסכם רמת השירות (‪ )SLA‬המגדיר בצורה מדויקת‬
‫את החובות והמחויבויות העסקיות בין הצדדים‬
‫השוהים במיקור החוץ‪ .‬כמו גם לוחות זמנים לתגובה‬
‫בעת אירוע אבטחת מידע‪ ,‬תנאים מינימאליים‬
‫להמשך קיום ההתקשרות העסקית וכן הלאה‬
‫בהתאם לצורך‪ .‬ה‪ SLA-‬יכול לשמש כלי משמעותי‬
‫עבור הארגון‪ ,‬בקביעת קנה המידה ודרישות הסף‬
‫להלן מספר שאלות שכדאי לשאול את ספק‬
‫השירותים‪:‬‬
‫לסיכום‪ ,‬אמנם ניתן להטיל אחריות רבה על ספק‬
‫השירותים (ואכן כך עושים רוב הארגונים ברגע‬
‫האמת‪ ,‬כשנגרם ללקוחות נזק עסקי או כלכלי)‬
‫אך גם במקרה זה נכונה האמרה "סוף מעשה‬
‫במחשבה תחילה"‪ .‬על הארגונים המוציאים‬
‫תהליכים עסקיים לספקים חיצוניים‪ ,‬מוטלת‬
‫האחריות וודא כי ההתקשרות מול הספק מבוצעת‬
‫בצורה חכמה‪ ,‬המיועדת למזער את הנזקים אליהם‬
‫ייחשף הארגון‪ .‬באין אכיפה ובקרה מצד הארגון‬
‫(ברמת החוזים העסקיים)‪ ,‬ספקי השירותים אינם‬
‫מחויבים לשמור על רמות שירות מוגדרות‪ ,‬ויכולים‬
‫לפעול על פי שיקול דעתם ומזעור ההוצאות‪.‬‬
‫הפיתוחים הטכנולוגיים של השנים האחרונות‬
‫יצרו כלים חדשניים למתן שירותים פיננסיים‬
‫מתקדמים‪ ,‬שלא התאפשר לספקם בעבר‪ .‬בשל‬
‫כך‪ ,‬לקוחות פרטיים ומוסדיים‪ ,‬חברות ביטוח‪,‬‬
‫חברות השקעות וקרנות פנסיה – יכולים להציע‬
‫שירותים פיננסיים ופלטפורמות פיננסיות חדשות‪,‬‬
‫כמו גם לשנות ולייעל את תהליכי העבודה שלהם‪.‬‬
‫ההתפתחות החוקתית בעולם הפיננסי נועדו‬
‫להבטיח את זרימת המידע הפיננסי שזורם‬
‫ברשת‪ ,‬ואת האפשרות להבטיח עבודה חשבונאית‬
‫מסודרת ועקבית‪ .‬זאת‪ ,‬כיוון שבעידן הדיגיטלי‪ ,‬יש‬
‫להדק את הפיקוח‪ ,‬כדי שתהליכים שונים לא יצאו‬
‫מכלל שליטה‪.‬‬
‫החקיקה החשובה בין שלל החוקים והתקנות‬
‫היא חוק ‪ )Sarbanes-Oxley (SOX‬האמריקני‪,‬‬
‫אשר חוקק בעקבות פרשיות פיננסיות שהגיעו‬
‫לבית המשפט‪ .‬אחדות מהפרשיות נבעו מהיעדר‬
‫פיקוח חשבונאי מספיק ואחרות – בגלל זליגת‬
‫מידע מרשתות של בנקים‪ ,‬חברות ביטוח ואף‬
‫חברות השקעה‪ .‬החקיקה הזאת הקשתה בסופו‬
‫של דבר‪ ,‬על הפעילות הפיננסית השוטפת‪ ,‬אך‬
‫היא גם יעילה כלפי הציבור (לקוחות)‪ ,‬מבחינת‬
‫היבטי אבטחת המידע‪.‬‬
‫התפתחות זו מחייבת בין היתר פיתוח של‬
‫טכנולוגיות חדשות‪ ,‬כדי לסייע לחברות להתמודד‬
‫עם הבעיות הללו‪ .‬מנהלי החברות בארה"ב הם‬
‫אלה שהכי להוטים לרכוש טכנולוגיות חדשות‪,‬‬
‫אשר יסייעו להם למלא אחרי התקנות של חוק‬
‫‪ .SOX‬במסגרת התקנות‪ ,‬נקבעו קנסות כבדים‬
‫למנהלי החברות ולמנהלי הכספים שאינם‬
‫מיישמים אותן הלכה למעשה‪.‬‬
‫ההתפתחויות הללו יוצרות מידה מסוימת של‬
‫חוסר יציבות‪ .‬אין זה מפתיע שהמוסדות הפיננסיים‬
‫בוחנים בצורה מעמיקה ובלתי פוסקת כיצד‬
‫להיערך למצב שבו הסביבה משתנה בצורה‬
‫מהירה יותר ממה שהורגלנו בעבר‪ ,‬והם מחפשים‬
‫טכנולוגיות שיסייעו להם להתמודד עם אילוצי‬
‫היום יום‪.‬‬
‫כספות ווירטואליות‬
‫ריבוי המכשירים והכלים הפיננסיים דורש מערכות‬
‫גיבוי ואבטחה מקיפות וכן כלים לניהול וניתוח‬
‫המידע שמשתנה ללא הרף‪ .‬הגידול בפעילות‬
‫הפיננסית מחייב העברת מידע בין הארגונים‬
‫השונים על הרשת ומחייב לאבטח אותו‪ .‬אחת‬
‫הטכנולוגיות שבאה לתת מענה לכך היא הכספת‬
‫הווירטואלית של סייבר‪-‬ארק‪" .‬זוכרים את כל‬
‫הסיפורים על מרגלים‪ ,‬שמשאירים מעטפה על‬
‫עץ ביער ובא איש הקשר ולוקח אותה? הכספת‬
‫של סייבר‪-‬ארק עובדת על העיקרון הזה‪ .‬יש מקום‬
‫מסוים במערכת המידע בארגון‪ ,‬שמבודד משאר‬
‫התעבורה‪ ,‬ממש כמו כספת‪ ,‬שבו "מפקידים"‬
‫מידע עבור משתמשים מחוץ לארגון שרשאים‬
‫לראות את המידע"‪.‬‬
‫מדובר בטכנולוגיה שמדמה כספת מהעולם הפיזי‬
‫האמיתי‪ ,‬והופכת אותו לווירטואלי‪ ,‬ובדרך זו נוצר‬
‫אזור "סטרילי" ובטוח לאחסון קבצים וסיסמאות‬
‫ארגוניות‪ .‬לסייבר‪-‬ארק יש תפיסה ייחודית להגנה‬
‫על המידע הארגוני‪ :‬במקום לנסות ולהגן על כל‬
‫הרשת מפני אינסוף האיומים שיש בחוץ‪ ,‬היא‬
‫בחרה להתמקד במידע הרגיש והיקר לארגון‬
‫ולשמור עליו‪.‬‬
‫מבחינת המחוקק‪ ,‬על כל מי שמנהל מאגר‬
‫מידע‪ ,‬או אתר סחר אלקטרוני‪ ,‬אתר פיננסי או‬
‫אתר בנקאי‪ ,‬חלה החובה לאבטח את הנתונים‬
‫במאגר שהוא מופקד עליו‪ .‬החובה הזאת חלה‬
‫על בעלי מאגר המידע‪ ,‬וכל אחד מהם אחראי‬
‫לאבטחת המידע שברשותו‪ .‬הבנק‪ ,‬למשל‪ ,‬חייב‪,‬‬
‫לפי חוק‪ ,‬למנות אדם בעל הכשרה מתאימה‪,‬‬
‫שיהיה ממונה על אבטחת המידע‪ .‬בשנת ‪2003‬‬
‫המפקח על הבנקים הוציא הוראה בדבר ניהול‬
‫טכנולוגיית המידע בתאגיד בנקאי‪ .‬ההוראה‬
‫באה על רקע החשיבות המיוחסת לפיקוח על‬
‫טכנולוגיות המידע והצורך לקביעת סטנדרטים‬
‫גבוהים‪ ,‬שכן מדובר באמצעי שבא לתת שירות‬
‫ללקוח‪ .‬המפקח ראה בכך חשיבות רבה גם לנוכח‬
‫ההתפתחויות המהירות בתחום הטכנולוגי בשנים‬
‫האחרונות והשלכותיה על פעילות התאגידים‬
‫הבנקאיים‪ .‬הוראת המפקח על הבנקים עוסקת‬
‫באבטחת מידע ושרידות מערך המידע של הבנק‬
‫בעת חירום‪.‬‬
‫התקנות בארץ‪ ,‬שהתרחבו בינתיים גם לתחום‬
‫הביטוח‪ ,‬דומות לחוקי ‪ SOX‬בארה"ב‪ ,‬המחייבים‬
‫חברות לכללים נוקדים מאוד של שימור ותיעוד‬
‫של כל פעילותם הפיננסית‪.‬‬
‫החוק חוקק כדי לשפר את איכות הדיווח‪ ,‬והוא‬
‫גם חוק דינמי‪ ,‬כי הוא מסמיך את ה‪( SEC-‬הרשות‬
‫האמריקנית לניירות ערך) להתקין תקנות‬
‫בעת הצורך‪ .‬סעיף בתוך החוק מדבר על נושא‬
‫האבטחה של המידע השמור ושל הדו"חות מפני‬
‫זליגה לידיים לא רצויות‪ .‬השערוריות של אנרון‬
‫וורלדקום גרמו לזעזוע ומשבר גדול בשוקי ההון‬
‫של ארה"ב בשנת ‪ ,2001‬וערערו את אמון הציבור‬
‫בדו"חות הכספיים‪ ,‬ובלי אמון בדו"חות כספיים –‬
‫כל שוק ההון נידון לאנרכיה‪.‬‬
‫כמענה לצורך זה‪ ,‬כמו לרגולציות נוספות‬
‫המחייבות היערכות מקיפה‪ ,‬יצרה סייבר‪-‬ארק‬
‫פלטפורמה שדואגת לשמר את המידע בצורה‬
‫מאובטחת‪ ,‬ומאפשרת להעביר את הדו"חות‬
‫לגורמים הנכונים‪.‬‬
‫פרצה קוראת לגנב‬
‫הסכנות הכרוכות בקבלת דוא"ל או בגלישה של‬
‫עובדי החברה לרשת האינטרנט הן מהדברים‬
‫שהחברות הפיננסיות מנסות להתמודד עמם‪ ,‬שכן‬
‫דרך הפורטל של הדואר‪ ,‬או האינטרנט‪ ,‬יכולים‬
‫גורמים עוינים לגלו חורים שדרכם הם יכולים‬
‫לחדור למערכות המידע של הארגון ולגרום נזק‬
‫רב‪.‬‬
‫כדי להתמודד עם בעיות אלו‪ ,‬מומלץ ליישם‬
‫בארגון פתרון של הגנה ברמת השימוש בדוא"ל‪,‬‬
‫וברמת הגלישה באינטרנט‪ ,‬ע"י סינון תוכן זדוני‪.‬‬
‫חשוב לבחור בפתרון שיכול לבצע סינון תוכן‬
‫דינמי‪ ,‬כלומר זיהוי וקטלוג מיידי של תוכנם של‬
‫אתרי אינטרנט ברגע שהגלישה אליהם (למשל‬
‫פורנוגרפיה‪ ,‬הימורים‪ ,‬חדשות‪ ,‬וכו') ובהתאם‬
‫למדיניות שהוגדרה מראש – לחסום או לאפשר‬
‫את הגישה אליהם‪.‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪27‬‬
‫אבטחת‬
‫תחנות‬
‫הקצה‬
‫ברשת‬
‫הארגונית‬
‫‪EPS‬‬
‫‪EPS‬‬
‫לנוף האיומים הרבים‪ ,‬מומחי אבטחה מאמינים‬
‫שאבטחת תחנות הקצה (‪)End Point Security‬‬
‫היא רכיב חיוני באסטרטגית האבטחה התאגידית‬
‫הכוללת‪ .‬אבטחת תחנות הקצה משתמשת‬
‫במערכות הגנה מרובות וחופפות התומכות זו‬
‫בזו‪ .‬מערכות אלו מגינות כנגד כשלים נקודתיים‬
‫בכל טכנולוגיה או שיטת הגנה ספציפית‪ .‬אבטחת‬
‫תחנות הקצה עוסקת בעיקר בפריסת תוכנות‬
‫אנטי‪-‬וירוס‪ ,‬פירוול‪ ,‬תוכנות לזיהוי חדירה‪ ,‬ומערכות‬
‫להגנה מפני חדירה למחשבי הלקוח‪.‬‬
‫הטכנולוגיה העכשווית מאפשרת קישוריות בכל‬
‫מקום ובכל עת‪ ,‬באמצעות מחשבים ניידים‪,‬‬
‫מכשירי כף יד‪ ,‬וטלפונים סלולריים חכמים‬
‫המצויים בשימוש עובדי הארגון‪ .‬כמו כן‪ ,‬אל משאבי‬
‫הארגון מתחברים באופן תדיר גם מחשבים‬
‫שאינם שייכים לארגון (כגון מחשבי ספקים‬
‫ושותפים עסקיים)‪ .‬כל פגיעה באחת מתחנות‬
‫הקצה מייצרת סכנה כפולה‪ :‬מחד‪ ,‬סכנה למשאבי‬
‫הארגון בהתפשטות הווירוס‪ ,‬וזליגת המידע‬
‫מתחנת הקצה אל מחוץ לארגון מאידך‪.‬‬
‫לכן‪ ,‬מעבר למניעת מתקפות ווירוסים ברמת‬
‫הרשת‪ ,‬נדרשת יכולת לזהות‪ ,‬לבודד ולטפל‬
‫בתחנות שנחשפו למתקפה‪.‬‬
‫אבטחת רכיבי הקצה מאפשר להתמודד עם‬
‫איומים שונים שמקורם הן מחוץ לרשת הארגונית‬
‫והן מתוכה‪.‬‬
‫‪EPS‬‬
‫כשמדברים על פתרון ‪(End-Point‬‬
‫‪ ,)Security‬צריכים להתייחס למכלול רכיבי‬
‫אבטחת מידע‪ ,‬כגון‪:‬‬
‫ •‪ –Anti-Malware/ Antivirus‬רכיב המסייע‬
‫במניעת נזקי ווירוסים בתחנות הקצה ובשרתים‬
‫בעת שאינם מחוברים לשרתי העדכונים‬
‫בחברה‪.‬‬
‫‪28‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫ •‪ –Host-based IPS‬מימוש רכיב ‪ IPS‬להגנה‬
‫על תחנת הקצה שיאפשר זיהוי פוגעניים דם‬
‫בתקשורת מוצפנת‪ ,‬הגנה על תחנות הקצה‬
‫מפני תחנות קצה אחרות או גורמים עוינים‬
‫בתוך הארגון‪.‬‬
‫ •‪ –Application Management‬רכיב שמאפשר‬
‫הגדרת הרשאות לעבודה על אפליקציות‪,‬‬
‫בתחנות קצה ובשרתים‬
‫ •‪ –Device Management‬רכיב שמאפשר ניהול‬
‫התקנים נתיקים המתחברים ליחידות הקצה או‬
‫לשרת‪ ,‬כגון מדיה נתיקה (‪Disk on Key), CD/‬‬
‫‪ ,DVD‬והתקני ‪.Wireless‬‬
‫ •‪ –Full Disk Encryption‬רכיב שמאפשר‬
‫הצפנת הדיסק במחשב הנייד לשם הגנה על‬
‫המידע למקרים של אובדן או גניבה‪.‬‬
‫ •‪ –Personal Firewall‬רכיב שמאפשר הגדרת‬
‫הרשאות לכניסה דרת הרשת למשאבים שונים‬
‫ולשימוש שיעשה בהם‪.‬‬
‫פתרונות לאבטחת תחנות הקצה הארגוניות‬
‫מאפשרים לארגונים להעריך‪ ,‬להגן ולתקן מערכות‬
‫מנוהלות ולא מנוהלות בעת שהן מתחברות‬
‫לנכסים התאגידיים‪ .‬הדייקנות בהקשר זה חיונית‬
‫כיוון שמדיניות האבטחה והעמידה בדרישות‬
‫האבטחה יעילה רק אם היא נאכפת ב‪100%-‬‬
‫מהזמן‪ .‬אם בודקים את העמידה בדרישות‬
‫האבטחה רק לאחר שמתירים גישה לרשת‪ ,‬יתכן‬
‫וכבר יהיה מאוחר מדי‪ .‬אבטחת תחנות הקצה‬
‫יוצרת מתחם שמטרתו לוודא שבכל ההתקנים‬
‫קיימת תוכנת האבטחה העדכנית ביותר‪ ,‬וזאת‬
‫לפני שמאושרת להם כניסה לרשת התאגידית‪.‬‬
‫גישת אבטחה "מתמדת" זו מאפשרת לאנשי‬
‫מערכות המידע לטפל במטלות חיוניות של הגנה‬
‫על הארגון מפני חשיפת קניין רוחני‪ ,‬השבתות‬
‫יקרות של הרשת הארגונית‪ ,‬וכנגד קנסות‬
‫אפשריים שעלולים לערער את שלמות המותג‬
‫של החברה‪.‬‬
‫הביטחון‬
‫שלך‬
‫העבודה‬
‫אין פלא איפה‪ ,‬שמיסוד פתרונות האבטחה‬
‫מקיפים לתחנות הקצה אינה משימה פשוטה‪.‬‬
‫מספר גורמים‪ ,‬כמו הטיפול בצמתים לא מנוהלים‪,‬‬
‫עלולים להגביר את היקף האתגרים הניצבים בפני‬
‫מנהלי אבטחת המידע בארגון‪ .‬עם זאת‪ ,‬פתרון‬
‫אבטחת תחנות הקצה יאפשר למנהלי רשתות‬
‫ולמנהלי אבטחת מידע להגן על תחנות הקצה‬
‫המנוהלות כנגד התקפות מוכרות ולא מוכרות‪ .‬בד‬
‫בבד‪ ,‬באפשרותם של מנהלי המערכות לאבטח‬
‫רשתות מפני התקני קצה שאינם עומדים בדירות‬
‫האבטחה‪ ,‬ולאכוף את דרישות האבטחה בעת‬
‫יצירת הקשר אתם‪.‬‬
‫השורה התחתונה היא שהפתרונות לאבטחת‬
‫תחנות הקצה מסייעים לוודא שכל ההתקנים‬
‫המחוברים עומדים בדרישות האבטחה לפני‬
‫שמעניקים להם גישה לרשת‪ ,‬תוך חסימה או‬
‫תיקון של התקנים שאינם עומדים בדירות בעזרת‬
‫תוכנה אוטומטית או טלאיי האבטחה העדכניים‬
‫ביותר‪.‬‬
‫פתרונות כאלו גורמים למערכות לא מוגנות‬
‫או נגועות לציית לדרישות האבטחה‪ ,‬כך שכלל‬
‫המידע ומערכות ה‪ IT-‬של הארגון יהיו מוגנים‬
‫מפני גניבה‪ ,‬פגיעה או שיבוש‪.‬‬
‫לסיכום‬
‫פתרונות העמידה בדרישות האבטחה המיועדים‬
‫להתקני הקצה ברשת הארגונית מסייעים‬
‫לארגונים לאכוף את מדיניות האבטחה בכך‬
‫שהם מוודאים שכל ההתקנים המחוברים לרשת‬
‫משתמשים בפתרונות אבטחה מתאימים‪ ,‬שהם‬
‫מוגדרים כהלכה‪ ,‬ושמותקנים בהם טלאיי אבטחה‬
‫מעודכנים‪ .‬אבטחת תחנות הקצה היא נושא‬
‫חיוני בסביבה העסקית המרושתת של ימינו‪ ,‬בה‬
‫ארגונים חייבים לספק גישה בטוחה לנכסי המידע‬
‫לצורך שיתוף פעולה בין בעלי עניין שונים‪.‬‬
‫שלנו‬
‫חברת ייעוץ אובייקטיבית‬
‫מומחים לייעוץ וליווי פרויקטים בתחום אבטחת מידע‬
‫הגדרת אסטרטגיה‬
‫הכנת הארגון‬
‫ותפיסת ממשל לעמידה בדרישות‬
‫אבטחת מידע‬
‫רגולציה שונות‬
‫בארגון‬
‫אפיון דרישות‬
‫מערכת‪ ,‬כתיבה‬
‫וליווי במכרזים‬
‫בחירת טכנולוגיה‬
‫המתאימה ביותר‬
‫לארגון בתהליך‬
‫‪ RFP‬מסודר ושיטתי‬
‫ניהולי פרויקטים‬
‫אבטחת מידע‬
‫מורכבים‬
‫לתיאום פגישות וקבלת פרטים נוספים‪:‬‬
‫חייגו‪ :‬דני – ‪050-8266014‬‬
‫או בדוא"ל‪:‬‬
‫‪danny @ titans 2. com‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪29‬‬
‫מערכות לאיסוף וניהול‬
‫אירועי אבטחת מידע‬
‫‪SIEM‬‬
‫קורלציה מדויקים‪ ,‬העונים בדיוק רב לצרכים‬
‫העסקיים של הלקוח‪.‬‬
‫ •הצגת הנתונים– על המערכת להיות בעלת‬
‫מגוון עצום של תצוגות‪ ,‬דוחות‪ ,‬יכולות ניתוח‬
‫ואפשרויות העברת הנתונים באמצעות הודעות‬
‫‪ ,SMS‬דוא"ל‪ ,‬התרעות למסך (צוות ‪,)CERT‬‬
‫ואפשרויות דיווח נוספות‪.‬‬
‫ •דוחות– על המערכת לכלול מגוון רחב של‬
‫חתכים של דוחות‪ ,‬אשר יאפשרו גמישות‬
‫בבחירת והתאמת סוג ומבנה הדוח‪ .‬בנוסף‪,‬‬
‫על הדוחות לספק מענה הולם לצרכי התאמה‬
‫לרגולציות שונות‪ ,‬כגון‪,SOX, PCI, ISO 27001 :‬‬
‫ותקנים נוספים‪.‬‬
‫ •יכולות ניתוח מידע– על המערכת לכלול ממשק‬
‫מובנה לניתוח מעמיק של המידע‪ ,‬המאפשר‬
‫כריית מידע (‪ )Data Mining‬של בסיס הנתונים‬
‫של המערכת באופן קל ופשוט‪.‬‬
‫ •ממשק מובנה לניהול אירועים– על המערכת‬
‫לספק ממשק מובנה לניהול אירועי אבטחת‬
‫מידע אשר אתרו על‪-‬ידי המערכת‪ .‬ממשק זה‬
‫הינו למעשה מערכת ‪ Ticketing‬מובנית לניהול‬
‫אירועי אבטחת מידע‪ ,‬המאפשרת מעקב אחר‬
‫כלל האירועים‪.‬‬
‫מתכון להצלחת הפרויקט – אפיון נכון של‬
‫דרישות המערכת‬
‫מערכות ‪ )SIEM (Security Information Event Management‬מספקות תמונת מצב מקיפה‪ ,‬בזמן‬
‫אמת‪ ,‬של סטאטוס אבטחת המידע בארגון‪ .‬מערכות אלו מסייעות לארגון לזהות אירועי אבטחת מידע‬
‫בעת התרחשותם (בזמן אמת)‪.‬‬
‫מערכת ‪ SIEM‬בארגון מהווה פלטפורמה לאיסוף‬
‫אירועי אבטחת מידע וניהולם‪ .‬ככזו‪ ,‬מאפשרת‬
‫המערכת איסוף נתונים מכל מקור מידע‪ ,‬ניתוח‬
‫בזמן אמת והתרעה על אירועי אבטחת מידע כמו‬
‫גם תצוגה אחידה ומרכזית לסטאטוס אבטחת‬
‫המידע ברשת‪.‬‬
‫מערכות ‪ SIEM‬מסוגלות להתמודד עם קבצי מידע‬
‫אדירים ממספר רב של מקורות מידע במקביל‬
‫(כגון התקני אבטחת מידע‪ ,‬התקני תקשורת‪,‬‬
‫מערכות הפעלה‪ ,‬אפליקציות וכו')‪.‬‬
‫לאחר איסוף המידע‪ ,‬המערכת מאפשרת ניתוח‬
‫אנליטי מתקדם של האירועים‪ ,‬סימון והצפה של‬
‫אירועי אבטחת מידע‪ ,‬לפי רמת חומרה וחשיבות‬
‫הנקבעת מראש על‪-‬ידי הלקוח‪ .‬המערכת‬
‫מאפשרת ניטור אירועים ממספר מקורות מידע‬
‫בהתאם לחוקיות ויחסיות בין האירועים‪ .‬יכולת‬
‫זו עם השילוב להתחבר לכל מערכת‪ ,‬מעניקה‬
‫לארגון ניטור תהליכים עסקיים מלאים‪ ,‬מתחילתם‬
‫ועד סופם‪ ,‬והצבעה על ליקויים בתהליך עצמו או‬
‫ניסיונות של משתמשים לעקוף את התהליך‪.‬‬
‫‪30‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫המערכת יוצרת פרופיל עבור כל מקור מידע‬
‫(‪ ,)Baseline‬ומצביעה על חריגות מפרופיל זה‬
‫(אנומליה)‪ ,‬כל זאת באופן שקוף למשתמש‪.‬‬
‫המטרות העיקריות של מערכות אלו הן‪:‬‬
‫ •איסוף כלל התראות אבטחת המידע המופקים‬
‫מן המערכות השונות בארגון‪ ,‬אל מערכת אחת‬
‫מרכזית‬
‫ •זיהוי חולשות ופרצות במערכות בארגון בטרם‬
‫נוצלו לרעה‬
‫ •זיהוי פגיעה במערכות בארגון בעת שהיא‬
‫מתרחשת (בזמן אמת)‬
‫ •יכולות תחקור לאחר אירוע (‪)Post-Mortem‬‬
‫מערכות ה‪ SIEM-‬אוספות מידע גולמי ממערכות‬
‫מנוטרות בארגון (כגון רכיבי אבטחת מידע‪ ,‬התקני‬
‫תקשורת‪ ,‬מערכות הפעלה‪ ,‬יישומים ואפליקציות)‪,‬‬
‫מעבדות מידע זה ומנתחות אותו עפ"י חוקים‬
‫שתפקידם לזהות אירועי אבטחת מידע‪.‬‬
‫יכולות מערכת ‪SIEM‬‬
‫אז‪ ,‬אילו תכונות או מאפיינים חשוב לבחון ולבדוק‬
‫לפני שרוכשים מערכת ‪?SIEM‬‬
‫להלן מספר קריטריונים ו\או יכולות שעל חשוב‬
‫לקבל מהמערכת ‪ SIEM‬שבחרנו להטמיע בארגון‪:‬‬
‫ •יכולת גידול (‪ – )Scalability‬על המערכת‬
‫לאפשר גדילה לקבצים אדירים של איסוף‬
‫מידע‪ ,‬ולמעשה רצוי שלא תהיה מגבלה כזו‬
‫למערכת‪.‬‬
‫ •תמיכה במספר רב של מקורות מידע– על‬
‫המערכת לתמוך ‪ out-of-the-box‬במגוון‬
‫רחב של מקורות מידע שונים‪ ,‬הכוללים את כל‬
‫מערכות ה‪ IT-‬הסטנדרטיות ונוספות‪ .‬איסוף‬
‫הנתונים יעשה על‪-‬ידי פרוטוקולים סטנדרטיים‬
‫הנתמכים על‪-‬ידי היצרניות‪.‬‬
‫ •איסוף בתצורת ‪ –Agent-Less‬על איסוף‬
‫הנתונים במערכת להתבצע ללא התקנת סוכן‬
‫(‪ )Agent‬על המערכות המנוטרות‪.‬‬
‫ •גמישות– על המערכת לאפשר יצירת חוקי‬
‫מערכות ה‪ ,SIEM-‬אינן תורמות לארגון דבר ללא‬
‫ביצוע תהליך ההופך אוסף גדול של התרעות‬
‫בדידות לאירועים (‪ )Incidents‬בעלי משמעות‬
‫עסקית לארגון‪ .‬על מנת ליישם תהליך זה יש‬
‫לאפיין ולהגדיר את חוקי העיבוד של המערכת‪,‬‬
‫בהתאם לדרישות העסקיות של הארגון‪.‬‬
‫לצורך ביצוע פרויקט ‪ ,SIEM‬בצורה מהירה‬
‫ומוצלחת‪ ,‬חשוב לבחור ספק‪ ,‬אשר בעל ניסיון‬
‫רב בהטמעת מערכות ‪ ,SIEM‬בארגונים גדולים‬
‫ומסורבלים‪.‬‬
‫למרות שכל חברה מגיעה עם המתודולוגיה שלה‪,‬‬
‫לאפיון והטמעת מערכת ‪ ,SIEM‬להלן מתודולוגיה‬
‫בסיסית וכללית מאוד‪ ,‬של ‪ 3‬שלבים עיקריים‪,‬‬
‫שיכולים לסייע לכם בבחירת מערכת‪ ,‬בחירת‬
‫ספק‪ ,‬והטמעה מוצלחת של המערכת הארגון‪.‬‬
‫שלב א' – אפיון נכון‬
‫בשלב זה מתבצע אפיון מפורט של כלל הפרויקט‬
‫ומרכיביו כולל מגוון החוקים שעל בסיסם תפיק‬
‫מערכת ה‪ SIEM-‬התרעות ותיאור כללי של‬
‫תהליכי התחקור והטיפול בהתאמות אלו‪ .‬האפיון‬
‫יכלול בין היתר הגדרה של הפונקציונאליות‬
‫שתידרש מן המערכת והאינטגרציה בינה לבין‬
‫מערכות הקיימות בארגון‪ ,‬כולל מערכות אבטחה‬
‫(פירוולים‪ ,‬אנטי‪-‬וירוס‪ ,)IPS ,‬התקני תקשורת‪,‬‬
‫מערכות הפעלה ויישומים‪ .‬כנגזרת של תהליך‬
‫האפיון‪ ,‬יופק מסמך אפיון של תהליך ה‪ POC-‬של‬
‫המערכת שנרצה לבחון אותה‪.‬‬
‫מסמך זה יגדיר בעצם את שלבי העבודה אשר‬
‫יידרשו כל הספקים לבצע בשלב זה ואת הבדיקות‬
‫שעל בסיסן יבחנו הספקים\המערכות‪.‬‬
‫במסגרת שלב זה יבוצעו ראיונות עם אנשי‬
‫מפתח שונים בארגון‪ ,‬ניתוח האיומים והסיכונים‬
‫בהיבטי אבטחת מידע בארגון‪ ,‬יקבעו חוקים‬
‫בסיסיים ליישום במערכות ובאפליקציות השונות‬
‫שינוטרו וייקבעו חוקים קורלטיביים וסטטיסטיים‬
‫מתקדמים‪.‬‬
‫שלב ב' – ניטור רכיבים‬
‫בשלב זה יבוצע ניטור של מוצרי אבטחת המידע‬
‫ואפליקציות סטנדרטיות בארגון (כגון פירוולים‪,‬‬
‫אנטי‪-‬וירוס‪ ,IPS ,‬מערכות הפעלה וכו)‪ ,‬בהיבט של‬
‫כתיבה ללוג‪ ,‬תוך יישום החוקים שנקבעו בשלב‬
‫האפיון (שלב א')‪ .‬בתום שלב זה‪ ,‬הארגון כבר יוכל‬
‫לקבל תמונת מצב של המתרחש ברשת הארגון‪,‬‬
‫ולקבל בזמן אמת התרעות על התרחשות אירועי‬
‫אבטחת מידע בסביבות הטכנולוגיות הקיימות‬
‫בארגון‪.‬‬
‫שלב ג' – ניטור רכיבים לא סטנדרטיים‬
‫בשלב זה‪ ,‬מנוטרים בעצם על המוצרים‬
‫והאפליקציות שאינם כותבים ללוג בצורה‬
‫סטנדרטית‪ ,‬מוצרים ואפליקציות אלו יכולים להיות‬
‫– פיתוחים פנימיים של אפליקציות בתוך הארגון‪,‬‬
‫פיתוחים חיצוניים למערכות ייעודיות שנכתבו‬
‫במיוחד עבור הארגון ע"י חברות צד ג' (בתי תוכנה)‬
‫וכדומה‪ .‬במקביל‪ ,‬ייושמו הנושאים הבאים‪:‬‬
‫‪ o‬טיוב חוקים וכתיבת חוקים חדשים‪,‬‬
‫מדויקים יותר– וזאת על פי הניסיון והאילוצים‬
‫ו\או הדרישות העסקיות שנצברו עד עתה‬
‫(אותו שלב בפרויקט) במהלך הפרויקט‪.‬‬
‫‪ o‬הדרכה– ליווי אנשי אבטחת המידע‬
‫ואני ה‪ IT-‬ו\או צוות ‪( CERT‬תגובה לאירועי‬
‫אבטחת מידע) בכל נושא ההכשרה לעבודה‬
‫עם המוצר שנבחר תוך מתן דגש על ראיה‬
‫נכונה לאור הסיכונים העסקיים\ביטחוניים‬
‫הניצבים אל מול הארגון‪.‬‬
‫חיצונית"‪ ,‬מעטפת שתגדיר‪ ,‬תנהל‪ ,‬תקבע‪ ,‬תרכז‬
‫ותבקר את הפעולות הנדרשות לביצוע על ידי‬
‫אנשי אבטחת המידע בהתאם להתרעות השונות‬
‫שמתקבלות מהמערכות השונות בארגון‪.‬‬
‫למעטפת זו‪ ,‬או בשמה המקצועי –‪SOC (Security‬‬
‫‪ ,)Operation Center‬ישנם מספר תפקידים‬
‫ברורים ובלתי ניתנים למיכון ממוחשב‪ ,‬שזו אחת‬
‫מהסיבות העיקריות לכך נעוצה בעובדה כי שיקול‬
‫הדעת ו"ההרגשה הפנימית" חסרה במכונות‬
‫וקיימת בבני האדם‪.‬‬
‫מטרת ה‪ SOC-‬אם כך‪ ,‬היא להוות מרכז ארגוני‬
‫לטיפול באירועי אבטחת המידע שמתרחשים‬
‫במערכות הטכנולוגיות השונות הפזורות ברחבי‬
‫הארגון‪.‬‬
‫מובאות כאן מספר דוגמאות לתפקידיו העיקריים‬
‫של מרכז ‪:SOC‬‬
‫ •הגדרה– כתיבה ויישום נהלים שונים לטיפול‬
‫בתרחישים שונים תוך ביצוע טיוב מתמיד‬
‫ועדכון לנהלים קיימים‪.‬‬
‫ •ניהול– ניהול ותגובה בזמן אמת לכלל אירועי‬
‫המידע שמגיעים מהמערכות השונות תוך‬
‫מתן קדימויות על פי משקולות מדידה ידועים‬
‫ומוגדרים מראש‪.‬‬
‫ •קביעת דרגת חומרה– קביעת דרגת החומרה‬
‫של אירוע על פי סט נהלים ידוע ומוגדר מראש‪,‬‬
‫ותוך בחינה קונסיסטנטית בהתאם למדיניות‬
‫אבטחת המידע של הארגון‪.‬‬
‫ •ריכוז– ריכוז כלל אירועי אבטחת המידע‬
‫המתקבלים מהמערכות השונות בארגון אל‬
‫מרכז אחד שמטפל בכלל האירועים‪.‬‬
‫ •בקרה– בקרה על הטיפול באירועי אבטחת‬
‫המידע על ידי המחלקות השונות בארגון‪.‬‬
‫לסיקור המלא‪ ,‬אודות מערכות ‪ ,SIEM‬והקמת‬
‫מרכזי ‪ ,SOC‬ניתן לפנות אלינו לכתובת‬
‫‪info@titans2.com‬‬
‫‪ o‬תיעוד–יתבצע תיעוד מלא וכתיבת‬
‫נהלים בסיסיים בעת השימוש במערכת (ע"י‬
‫החברה שמטמיעה את המערכת בארגון)‬
‫כמובן‪ ,‬המלצות אלו הן המלצות בלבד‪ ,‬ומומלץ‬
‫להסתייע בגורם המתמחה ביישום פרויקטים‬
‫מסוג זה‪ .‬כמו כן‪ ,‬בעת יישום מערכת ‪ SIEM‬בארגון‪,‬‬
‫מומלץ גם ליישם מרכז בקרה –‪SOC (Security‬‬
‫‪ ,)Operation Center‬אשר יאפשר ניטור ותגובה‬
‫‪ ,24/7‬או בהתאם לדרישות העסקיות של הארגון‪.‬‬
‫מה זה בעצם ‪?SOC‬‬
‫למערכות ‪ ,SIEM‬תרומה רבה ומכריעה להעלאת‬
‫רמת אבטחת המידע בארגון‪ ,‬אך תרומה זו איננה‬
‫מלאה וסופית ללא מימושה של "מעטפת ניהול‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪31‬‬
‫ניהולזהויות‬
‫‪IdentityManagement‬‬
‫ארגונים רבים מתמודדים עם הצורך ההולך וגדל‬
‫של עובדים‪ ,‬לקוחות ואפילו שותפים עסקיים‬
‫בגישה אל מקורות המידע הארגוניים‪ .‬יחד‬
‫עם זאת‪ ,‬ברור לכולם כי הצורך לאפשר גישה‬
‫למשתמשים רבים יותר‪ ,‬מבלי להתפשר על רמת‬
‫האבטחה‪ ,‬מחייב התייחסות מעמיקה ביותר‪ .‬ניהול‬
‫זהויות משתמש באופן יעיל ובו בעת מאובטח‪,‬‬
‫הפך להיות חלק בלתי נפרד מהתפעול היומי של‬
‫כל ארגון גדול‪ .‬תחום ניהול הזהויות הינו תחום‬
‫דינאמי ומבוקש הנמצא היום בצמחיה‪ .‬ספקי‬
‫פתרונות בתחום ממשיכים לשנות ולשפר את‬
‫תמהיל המוצרים שלהם במטרה להגיע לפתרונות‬
‫יעילים ואמינים‪.‬‬
‫פרויקט לניהול זהויות (‪ )IDM‬הינו חוצה ארגון‬
‫באופייו ולרוב כולל תחומים גדולים וחשובים‬
‫כמו ניהול‪ ,‬אבטחת מידע‪ ,‬ביטחון‪ ,‬משאבי אנוש‬
‫ורגולציה‪ .‬תחום מוצרי ניהול הזהויות הינו רחב‬
‫מאוד ומרבית המוצרים נותנים מענה כולל‬
‫לצרכים הטכנולוגיים שהארגון מציג‪.‬‬
‫יתרונות המערכת‪:‬‬
‫פתרונות לניהול זהויות מאפשרים לארגון לשמור‬
‫על רמת האבטחה ולתת מענה למספר אתגרים‬
‫מבחינה תפעולית‪ .‬להלן חלוקה של יתרונות‬
‫הן ברמה התפעולית והן ברמת שיפור אבטחת‬
‫המידע‪:‬‬
‫יתרונות ברמה התפעולית‪:‬‬
‫ •יעילות ארגונית וקיצוץ בעלויות‬
‫ •הורדת עומס הפניות לצוותי התמיכה (‪Help‬‬
‫‪)Desk‬‬
‫ •מיכון תהליכים איטיים וידניים אשר גורמים‬
‫לטעויות אנוש‬
‫ •ניהול אוטומטי של זהויות‬
‫ •שרות עצמי של איפוס סיסמא‬
‫ •קיצור זמן ההמתנה למתן הרשאות לעובדי הארגון‬
‫ •פישוט תהליכי קליטת עובדים חדשים‬
‫מאת‪ :‬ניב לב‪ ,‬יועץ אבטחת מידע חברת ‪SQLINK‬‬
‫וסנכרון פרטים‬
‫ •סנכרון סיסמאות בין המערכות השונות‬
‫בארגון‬
‫ •מתן אפשרויות ניהול נוחות למנהלי מערכות‬
‫במקום מרכזי אחד‬
‫ •מתן גישה למשתמשי קצה למשימות כגון‬
‫בקשת הרשאות‪ ,‬איפוס סיסמאות‪ ,‬מענה על‬
‫שאלות הזדהות ועוד‪...‬‬
‫ •איחוד זהויות (‪)Federation Identity‬‬
‫‪ .2‬בקרת זהויות (‪ – )Identity Auditing‬מעקב‬
‫כולל אחר פעולות המשתמש‪ ,‬רישום אירועים‪,‬‬
‫הפקת דו"חות וחיבור למערכות ‪SIEM/SOC, BI‬‬
‫ארגוניות‪.‬‬
‫‪ .3‬ניהול גישה והרשאות (‪)Access Management‬‬
‫–ניהול גישה במערכות ‪ Web‬ומערכות רשת‬
‫ארגוניות‪ .‬ניהול גישה לתוכן כולל פיקוח ובקרה‪.‬‬
‫‪ .4‬כניסה אחידה וסנכרון סיסמאות (‪Single Sign-‬‬
‫‪– )On‬ביצוע כניסה למערכות (‪ )Log In‬אוטומטית‬
‫לכלל המערכות בארגון‪ ,‬ע"י הזדהות אחידה‪.‬‬
‫כלומר‪ ,‬לכל עובד יש סיסמה אחת אחידה‪,‬‬
‫לצורך כניסה לכל שאר המערכות‪.‬‬
‫דרישות רגולציה‬
‫יתרונות ברמת אבטחת מידע‪:‬‬
‫בהרבה ארגונים קיים הצורך למתן גישה‬
‫למשתמש למערכות שונות בארגון‪ .‬עם זאת‪,‬‬
‫על הארגון לוודא כי ההרשאות שניתנו לעובד‬
‫עומדות בתקנים ורגולציות שונות‪ ,‬אומנם‪ ,‬מכיוון‬
‫שמרבית המערכות אינן מתקשרות זו עם זו‪ ,‬קיים‬
‫החשש לאי‪-‬תאימות בין הרשאות העובד לתפקידו‬
‫הנוכחי (‪ ,)Authorization Creep‬לזהויות כפולות‪,‬‬
‫להשראות פתוחות לעובדים שעזבו ועוד‪...‬‬
‫ •הפחתת סיכונים‬
‫ •בקרת זהויות‬
‫ •מתן מידע עדכני ועכשווי לגבי המשתמשים‬
‫והרשאות הגישה שלהם‬
‫ •מדיניות ארגונית אחידה לחשבונות וסיסמאות‬
‫המשתמשים‬
‫ •מעקב מלא על תהליכים הקשורים לניהול זהויות‬
‫ •סגירה מיידית של חשבונות אחידים בכל‬
‫המערכות הארגוניות‬
‫ •נתוני משתמש אחידים בכל המערכות‬
‫הארגוניות‬
‫ •בקרת ניהול חשבונות אחידה עבור צוותי תמיכה‬
‫אסטרטגיית הטמעת פתרון לניהול זהויות לרוב‬
‫כוללת את השלבים הבאים‪:‬‬
‫יכולות מרכזיות של מערכת ‪:IDM‬‬
‫שלב ‪ – 1‬אפיון דרישות הארגון‬
‫מערכת לניהול זהויות (‪ )IDM‬נותנת פתרון‬
‫למצבים אלו על ידי מיפוי התפקידים‬
‫‪ )Mining‬בארגון וחלוקת ההרשאות לעובדים על‬
‫פי תפקידם הנוכחי‪ ,‬ובהתאם לעקרונות בקרת‬
‫גישה (‪ Need-to-Know‬ו‪.)Least Privileges-‬‬
‫המערכת מוודאת שהארגון עומד בכל התקנים‬
‫והרגולציות הנדרשות‪.‬‬
‫(‪Role‬‬
‫אתגרים ונקודות כשל‪:‬‬
‫ •אפיון כושל של הדרישות העסקיות‬
‫ •התמקדות בטכנולוגיה במקום בתהליכים‬
‫העסקיים‬
‫ •פוליטיקה ארגונית‬
‫ •היעדר תמיכה מהנהלת הארגון‬
‫ •היעדר ביצוע ‪ POC‬לפני רכישת מערכת‬
‫ •התממשקות קלה ונוחה לשאר המערכות‬
‫ •פשטות וקלות ניהול‬
‫‪32‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫‪ .1‬ניהול זהויות (‪ – )User Provisioning‬מערכת‬
‫ה‪ IDM-‬מקשרת בין הזהות הפיזית של העובד‬
‫לבין חשבונות המשתמש במערכות השונות‪.‬‬
‫יכול זו‪ ,‬מאפשרת‪:‬‬
‫ •ניהול מלא של מחזור חיי העובד בארגון‬
‫ •ניהול הרשאות מבוססי תפקידים (‪)Roles‬‬
‫ •הקצאה וביטול הרשאות (‪Provisioning and‬‬
‫‪)De-Provisioning‬‬
‫ •פישוט התהליכים – אוטומציה של תהליכים‬
‫ארגוניים (‪ )Workflow‬כגון תהליכי אישורים‪,‬‬
‫תהליכי בקשת הרשאות‪ ,‬תהליכי עדכון‬
‫‪ .5‬ניהול תפקידים (‪)Role-based Access Control‬‬
‫– הגדרת תפקידים ברמת הארגון‪,‬‬
‫ •שיוך תפקידים לעובדי הארגון‬
‫ •חלוקת הרשאות לעובדים על פי תפקידיהם‪.‬‬
‫ •המערכת מוודאת שהארגון עומד בכל‬
‫התקנים הדרושים‪.‬‬
‫שלבי פרויקט הטמעת מערכת ‪IDM‬‬
‫שלב זה הינו אחד השלבים הקריטיים ביותר‬
‫בפרויקט ולרוב יכלול הגדרה של מחזור חיי‬
‫העובד בארגון‪ ,‬אפיון ממשק משתמשים‪,‬‬
‫בחירת מערכות מנוהלות וחלוקת תהליך‬
‫הטמעת הפרויקט לאבני דרך‪ .‬ניתן כאן גם‬
‫לבצע תהליך של ‪ ,RFI‬לצורך קבלת מידע חיוני‬
‫אודות טכנולוגיות ומערכות הקיימות בשוק‪,‬‬
‫ולהתאימן לצרכי העסקיים של הארגון‪.‬‬
‫מנת לבחון שהמוצר אכן תואם לדרישות‬
‫העסקיות של הארגון‪.‬‬
‫בשלב זה‪ ,‬על הלקוח לבחור את הספק‬
‫שיטמיע את הפתרון שנבחר‪ .‬חשוב לציין‬
‫שעל פי אנליסטיים – מתודולוגיה וניסיון‬
‫מהווים ‪ 80%‬מהצלחת הפרויקט‪.‬‬
‫שלב ‪ – 3‬יישום הפתרון שנרכש‬
‫שלב זה כולל את שלב היישום הראשוני של‬
‫הפתרון שנרכש‪.‬‬
‫שלב ‪– 4‬הטמעה מלאה של הפתרון שנרכש‬
‫שלב זה יכלול הטמעה מלאה של הפתרון‬
‫בכלל הארגון‪ ,‬בין היתר סנכרון מול מערכת‬
‫כל האדם הארגונית‪ ,‬כתיבת תהליכי עובד‬
‫בסיסיים (יצירה‪ ,‬עדכון‪ ,‬מחיקה‪ ,‬וכדומה)‬
‫וקישור למערכות מנוהלות‪.‬‬
‫שלב ‪ – 5‬תמיכה ותחזוקת המוצר‬
‫ייצוב המערכת והכשרת מנהלי המערכת‬
‫ומשתמשי הקצה‪.‬‬
‫שלב ‪ – 6‬שלבי הטמעה מתקדמים‬
‫הוספת מערכות \שירותים חדשים\ות‬
‫לפיתוח תהליכים מורכבים‪ ,‬מיפוי תפקידי‬
‫העובדים‪ ,‬מעקב אחרי הרשאות העובדים‪,‬‬
‫הטמעת ניהול גישה והרשאות ‪ ,‬הטמעת‬
‫‪.Single Sign-On‬‬
‫האופי המיוחד של הפרויקט ניהול זהויות מצריך‬
‫ידע וניסיון רב‪ .‬פרויקט זה דורש מעורבות של‬
‫גופים רבים בארגון‪ ,‬הסכמה ארגונית ומחויבות‬
‫הנהלה גבוהה‪ .‬פרויקט ניהול זהויות משנה‬
‫ומטייב‪ ,‬לעיתים קרובות את דרכי העבודה‬
‫בארגון‪ ,‬ומאפשר החזר על ההשקעה לגופים‬
‫רבים בארגון‪ ,‬מתן שירותים ללקוחות ושיפור‬
‫התהליכים הארגוניים‪.‬‬
‫ספקים בתחום ה‪IDM-‬‬
‫עפ"י חברות המחקר (‪ Gartner‬ו‪,)Forester-‬‬
‫הספקים המובילים בתחום הינם‪CA, SUN, :‬‬
‫‪ ORACLE, IBM‬ו‪.BMC-‬‬
‫שלב ‪ + POC– 2‬רכישה‬
‫כאן אנו מתחילים בבחירת ספקים (מוצרים)‬
‫שאותם נרצה לבחון בתהליך ‪ POC‬מסודר‪ ,‬על‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪33‬‬
‫בגיליון הבא‬
‫‪ | 257‬רגולציה לענף הביטוח‬
‫פרשות אנרון (בשנת ‪ )2001‬וורלדקום (בשנת ‪ )2002‬שהיכו חזק בכלכלת ארה"ב‪ ,‬זעזעו את המערכת הפיננסית‬
‫והביאו עמם תקנות קפדניות שיצרו מהפכה באופן בו גופים עסקיים עושים עסקים‪ .‬תקנות אלו מתחלחלות‬
‫בהדרגה גם לישראל והגופים הראשונים שנדרשו לאמץ אותם הינם גופי הביטוח‪ ,‬הבנקאות והפיננסים‪ .‬בראיית‬
‫המחוקק‪ ,‬התפתחות המערך הטכנולוגי התומך בפעילות העסקית בתחום הביטוח‪ ,‬יוצר מחד הזדמנויות עסקיות‬
‫חדשות ומאידך טומן בחובו סיכונים לא מעטים למידע האגור בו‪.‬‬
‫לפיכך‪ ,‬נדרשות הנהלות ארגונים אילו לפעול‬
‫באופן נמרץ להגנה על המידע אותו הן מחזיקות‬
‫ולהקצות משאבים כספיים‪ ,‬אנושיים וטכנולוגיים‬
‫לצורך יישום בקרות ומנגנוני אבטחת מידע‪ .‬מהלך‬
‫הביצוע אינו פשוט כלל ועיקר ועשוי במקרה של‬
‫יישום לא מקצועי‪ ,‬לגרור את אותם הארגונים‬
‫להוצאות כבדות ומיותרות‪ .‬לעומת זאת יישום‬
‫התקנות בצורה מתודולוגית‪ ,‬יעילה ונכונה‪ ,‬עשוי‬
‫להביא לשיפר ניכר ביעילותם של ארגונים אילו‬
‫ואף לגידול ברמת ה‪"-‬שורה התחתונה" של‬
‫פעילותן‪.‬‬
‫רגולציה‪...‬מכשול או יתרון‬
‫הסיבה העיקרית להתעוררות וריבוי הרגולציות‬
‫בשנים האחרונות‪ ,‬היא בעיקר ההגנה על המידע‪,‬‬
‫ומניעת ניסיונות הונאה שונים‪.‬‬
‫בסוף שנת ‪ ,2011‬מעט אחרי אירועי ה‪11-‬‬
‫בספטמבר‪ ,‬הכתה בארה"ב שערורייה בעוצמה‬
‫אדירה‪ ,‬אלא שהפעם בשוק העסקים – חברת‬
‫אנרון‪ ,‬ענקית אנרגיה שדורגה במקום השביעי‬
‫ברשימת ‪ 500‬החברות הגדולות בארה"ב‪ ,‬קרסה‬
‫בקול רעש אדיר תוך שהיא גרמה ל‪ 4000-‬עובדים‬
‫ב‪ 40-‬מדינות בעולם‪ ,‬לאבד את מקום עבודתם‪,‬‬
‫לקריסתה של פירמת רואי החשבון הענקית‬
‫ארתור אנדרסון ולנזקים של מיליארדי דולרים‪.‬‬
‫פרשה זו ופרשת וורלדקום שבאה שנה אחריה‪,‬‬
‫הביאו לעלייתן של מספר הצעות חוק שעניינן‬
‫ביקורת קפדנית יותר על מגוון התהליכים‬
‫העסקיים בהם מעורב התאגיד העסקי ופיקוח‬
‫הדוק על פעולותיו‪ .‬דוגמא לתקנה מסוג זה‬
‫והידועה שבהן הינה סרבנסאוקסלי (‪Sarbanes‬‬
‫‪ ,)Oxley‬הדנה באפקטיביות הבקרות הפנימיות‬
‫בארגון הנוגעות לדוחות הכספיים‪.‬‬
‫שילוב מערך ה‪ IT-‬ברגולציה‬
‫הרגולציות בתחום הביטוח נודעות באספקטים‬
‫שונים (ברובם עסקיים)‪ .‬תכליתן של רובן הינה‬
‫הגנה על הצרכן‪ .‬אולם מתוך ההכרה בחשיבות‬
‫מערך ה‪ IT-‬בארגונים לצורך תפעול‪ ,‬ניהול‬
‫ודיווח‪ ,‬הגדיר המחוקק את "התקנה לניהול סיכוני‬
‫אבטחת מידע בענף הביטוח" המתייחסת לעולם‬
‫בקרות ה‪ IT-‬ותחום אבטחת המידע‪ .‬בראיית‬
‫המחוקק‪ ,‬התפתחות המערך הטכנולוגי התומך‬
‫בפעילות העסקית בתחום הביטוח‪ ,‬יוצר מחד‬
‫הזדמנויות עסקיות חדשות ומאידך טומן בחובו‬
‫‪34‬‬
‫גיליון ‪ | 3‬יולי ‪| 2012‬‬
‫סיכונים לא מעטים למידע האגור בו‪ .‬לכן‪ ,‬על‬
‫הנהלת הארגון וגורמים אחרים להקצות משאבים‬
‫(כספיים‪ ,‬אנושיים וטכנולוגיים) ליישום בקרות‬
‫ומנגנוני אבטחת מידע‪.‬‬
‫ההוראה לניהול אבטחת מידע בענף הביטוח‪,‬‬
‫מתווה את העקרונות לצמצום הסיכונים הנובעים‬
‫משימוש במערכות המידע‪.‬‬
‫מגמת הרגולציה הינה עולמית ובהתאם לכך‬
‫החליט הגוף הרלוונטי המפקח בישראל על ההון‬
‫ביטוח וחיסכון לאמץ חלקים מסוימים מתקינות‬
‫מקבילות בעולם‪ ,‬הן מאירופה והן מארה"ב‪.‬‬
‫ההוראה הנוכחית מתבססת על עקרונות אבטחת‬
‫מידע מקובלים והסתייעה ברגולציות שהותוו ע"י‬
‫גופים כמו‪ :‬ארגון התקינה הבריטי‪ ,‬ועדת באזל‬
‫לפיקוח בנקאי‪ ,HIPAA ,‬והמפקח על הבנקים‬
‫בישראל – ניהול בנקאי תקין‪ ,‬ניהול טכנולוגיות‬
‫המידע‪ ,‬הוראה ‪.357‬‬
‫מה כולל מבנה ההוראה?‬
‫מבנה ההוראה כולל שלושה תחומים עיקריים‪:‬‬
‫דרישות בנושא ניהול אבטחת המידע בארגון‪,‬‬
‫דרישות כלליות ליישום בקרות אבטחת מידע‬
‫ואופן הטיפול בנושאים הדורשים תשומת לב‬
‫מיוחדת‪.‬‬
‫בעיקרון‪ ,‬על הארגון להגדיר עקרונות שימוש‬
‫מאובטח במערכות המידע שלו‪ .‬עקרונות אלה‬
‫יגדירו את אופן השימוש בשרתים‪ ,‬מחשבים‬
‫נייחים‪ ,‬מחשבים ניידים‪ ,‬ציוד תקשורת וכל ציוד‬
‫מחשובי אחר המשמש את הארגון לצורכי עיבוד‬
‫או שמירת מידע‪ .‬בקרות ומנגנוני אבטחת מידע‬
‫יטפלו בגילוי‪ ,‬מניעה‪ ,‬תיעוד והתרעה של חשיפת‬
‫אירועי אבטחת מידע‪ .‬אבטחת המידע תטפל‬
‫בנושאי זמינות (‪ ,)Availability‬אמינות ו\או שלמות‬
‫(‪ )Integrity‬וסודיות (‪.)Confidentiality‬על עקרונות‬
‫אלו להתייחס לפחות לנושאים כגון‪ :‬שימוש ברשת‬
‫האינטרנט‪ ,‬שימוש בדוא"ל‪ ,‬שמירה וטיפול במידע‪,‬‬
‫הרשאות גישה לוגיות ופיזיות‪ ,‬שמירה ושימוש‬
‫בסיסמאות‪ ,‬נעילת המחשב בפני גישה כאשר‬
‫אינו בשימוש וכדומה‪.‬‬
‫דרישות ליישום החוק‬
‫יישום ההוראה הינו תהליך מורכב הדורש תכנון‬
‫קפדני בהתאם לאופי הארגון‪ .‬הוראה זו אינה‬
‫מבחינה בשונות בין מבטחים‪ .‬היקף הפעילות‬
‫הנדרשת ביישום ההוראה ייגזר בהתאם לפעילות‬
‫העסקית של הארגון ולמידת מוכנותו לדרישות‬
‫ההוראה‪ .‬לשם יישום ההוראה‪ ,‬נדרש הארגון ל‪:‬‬
‫ •הקמה והטמעה של נושאי ניהול אבטחת‬
‫המידע‬
‫ •בניית תוכנית עבודה ליישום ההוראה‬
‫וכתיבת נהלים‬
‫ •הגדרת מדיניות אבטחת מידע‬
‫ •סיווג וסימון נכסים‬
‫ •ביצוע הערכת סיכונים‬
‫ •תכנון אופן יישום בקרות אבטחת המידע‬
‫ •יישום בקרות ומנגנוני אבטחת מידע‬
‫ •בקרה מתמשכת רב שנתית‬
‫מטרת המחוקק – כפי שהוגדרה בתוכנית‬
‫האסטרטגית של אגף שוק ההון הביטוח והחיסכון‪,‬‬
‫מאי ‪ – 2005‬הינה להבטיח רמה אופטימלית של‬
‫ביטחון פיננסי לצרכנים של השירותים הפיננסיים‬
‫המפוקחים על ידי אגף שוק ההון ביטוח וחיסכון‬
‫בישראל‪ .‬תקנה אבטחת המידע החדשה הינה‬
‫נדבך נוסף במכלול ההוראות והתקנות אשר נועדו‬
‫להבטיח את המבוטח‪.‬‬
‫קשר בין הרגולציות‬
‫קיים קשר בין רגולציית של החברות הביטוח‪,‬‬
‫לבין ‪ .SOX‬בסוף שנת ‪ 2005‬פרסם המפקח על‬
‫הביטוח חוזר‪ ,‬בעניין הצהרה לגבי מילוי בדוחות‬
‫תקופתיים ושנתיים של חברות ביטוח (סעיף‬
‫‪ 302‬לתקנות ‪ )SOX‬הדורשת ממנכ"ל וסמנכ"ל‬
‫כספים של חברת ביטוח להצהיר כי הם אחראים‬
‫לקביעתם וקיומן של בקרות ונהלים בכל הקשור‬
‫לגילוי הנדרש בדוח הכספי של חברת הביטוח‪,‬‬
‫ובכלל זה כי הם‪ :‬אחראים על קביעת בקרות‬
‫ונהלים‪ ,‬העריכו את יעילות הבקרות והציגו את‬
‫מסקנותיהם לגורמים הנדרשים וגילו בדוח כל‬
‫שינוי בבקרה הפנימית‪.‬‬
‫בהקשר זה‪ ,‬סעיף ‪ 404‬לתקנות ‪ ,SOX‬מחייב את‬
‫המנכ"ל ואת סמנכ"ל הכספים להצהיר יחד עם‬
‫הדוחות הכספיים‪ ,‬כי קיימות בקרות על הדיווח‬
‫הכספי בחברה וכי הם האחראים לבקרות‬
‫על הדיווח הכספי והבקרות נבדקו ונמצאו‬
‫אפקטיביות‪ .‬במידה והבקרות אינן אפקטיביות‪,‬‬
‫הועבר דיווח לוועדת הביקורת ולרו"ח המבקר‬
‫של החברה‪.‬‬
‫ראיון בלעדי עם דניאל כהן – ‪RSA‬‬
‫עולם הסייבר‬
‫סקירהטכנולוגית‬
‫דרכי התמודדות‬
‫‪Nexpose‬‬
‫מלחמת הסייבר‬
‫כלי לבדיקת פגיעויות אבטחה בתשתיות מחשוב כגון אפליקציות‪ ,‬בסיס‬
‫נתונים‪ ,‬רשתות תקשורת‪ ,‬מערכות הפעלה וכו'‪ .‬הכלי מיועד לשימוש‬
‫ברשתות גדולות‪ .‬הכלי פותח ע"י חברת ‪ Rapid7‬ומשווק ע"י החברה‬
‫בגרסת ‪ Community‬מצומצמת וחינמית או בגרסת ה‪ Enterprize-‬בתשלום‬
‫(מסחרית)‪ .‬בארץ המוצר משווק בלעדית ע"י חברת ‪.TRINITY‬‬
‫לכלי ישנו בסיס נתונים המכיל בתוכו מידע אודות מעל ‪ 14,000‬פגיעויות‬
‫אבטחה שונות‪ ,‬והוא מתעדכן על בסיס קבוע‪ ,‬מתעדף עדכוני אבטחה לפי‬
‫דרגת חומרתם‪ ,‬מכיר את תקני הרגולציה המקובלים בעולם ונותן תמונת‬
‫מצב לגבי העמידה בתקנים אלה ברשת הארגונית‪ ,‬מפיק דוחות ויזואליים‪,‬‬
‫מפורטים ואינפורמטיביים המכילים קישורים לבסיס המידע הרלוונטי‪.‬‬
‫הכלי מאפשר הטמעה של עדכונים וטלאי אבטחה בקלות ובמהירות‪,‬‬
‫ומאפשר מעקב אחר משימות ומשלב את בסיס המידע הנרחב של‬
‫‪ .Metasploit‬הכלי אינו מיועד לתוקפים "מזדמנים" אלא לבודקי חדירות‬
‫מיומנים‪.‬‬
‫להורדת גרסת ניסיון‪:‬‬
‫האם בפתח?‬
‫מוכנות המדינה למלחמת סייבר‬
‫מטה הסייבר הלאומי‬
‫האיגוד הישראלי לאבטחת מידע (‪ )ISSA‬רוצה לברך‬
‫ולהודות לכל המשתתפים שתרמו לעריכת גיליון זה‪.‬‬
‫בין הכותבים שלנו‪:‬‬
‫ניר ולטמן ‪ Chief Security Architect -‬בחברת סיטדל‬
‫דני אברמוביץ ‪ -‬מנכ“ל חברת ‪TITANS SECURITY‬‬
‫שלומי מרדכי ‪ -‬מנמ“ר הקריה האקדמית‬
‫‪www.rapid7.com/vulnerability-scanner.jsp‬‬
‫הדס שני ‪ -‬ראש צוות ‪ CERT‬בתהיל“ה‬
‫לצפייה בהדגמה של המוצר‪:‬‬
‫אלי כזום ‪ -‬מנהל אבטחת מידע אגף המכס והגבייה‬
‫‪youtube.com/watch?v=bfEj8AsXCF4‬‬
‫‪Silent DDoS‬‬
‫מדובר בכלי לביצוע מתקפות מניעת שירות (‪ .)DOS‬הכלי כתוב ב‪Visual-‬‬
‫‪ ,Basic‬ומיועד לביצוע מתקפות מסוג ‪ .HTTP, UDP, SYN‬הכלי מכיל‬
‫פונקציות של הצפנה‪ ,‬תמיכה ברשתות ‪ ,IPv6‬ושליפת סיסמאות‪.‬‬
‫הכלי ניתן לעיצוב והגדרה לפי צרכי התוקף‪ ,‬ברוב המקרים אינו מזדהה ע"י‬
‫מערכות ההגנה של האתר\ השירות המותקף‪.‬‬
‫הכלי ניתן להורדה בקישור‪:‬‬
‫מוטי מאירמן – יועץ אבטחת מידע בכיר‬
‫ארז מטולה – מנכ"ל ומייסד חברת ‪Appse-Labs‬‬
‫אורן הדר – מנכ"ל חברת ‪KnowIT‬‬
‫אם גם אתם רוצים לכתוב כתבות‪,‬‬
‫נא לפנות אלינו בכתובת‪info@issa.org.il :‬‬
‫למתן חסות לאיגוד‪ ,‬ניתן לפנות אלינו‬
‫‪megaupload.com/?d=8IL0WMWH‬‬
‫ניתן לצפות בפעולתו בקישור‪:‬‬
‫‪youtube.be/DwNtcfTV4ql‬‬
‫| גיליון ‪ | 3‬יולי ‪2012‬‬
‫‪35‬‬
‫האבטחה שלך‬
‫להצלחה בטוחה!‬
‫מנהלי אבטחת מידע‬
‫בואו ללמוד איך לקשר בהצלחה בין מטרות עסקיות של הארגון לאבטחת מידע‬
‫יום ותאריך‬
‫שם הסמינר‬
‫א' ‪ 11.11.2012 -‬קורס ‪CISO‬‬
‫א' ‪ 11.11.2012 -‬קורס ‪( CISM‬הכנה לבחינה)‬
‫א' ‪ 11.11.2012 -‬קורס ‪CISSP‬‬
‫א' ‪ 18.11.2012 -‬קורס ניהול סיכונים (‪)ISO31000, ISO 31010‬‬
‫א' ‪ 18.11.2012 -‬קורס ‪ISO 27001 Lead Auditor‬‬
‫א' ‪ 25.11.2012 -‬קורס ‪Cyber Security and Incident Handling‬‬
‫א' ‪ 16.12.2012 -‬קורס ‪( CISA‬מסלול של ‪ 200‬שעות כולל הכנה‬
‫‬
‫לבחינת ההסמכה הבינלאומית ‪)CISA‬‬
‫א' ‪ 16.12.2012 -‬קורס ‪( CRO‬ניהול סיכוני ‪ IT‬כולל הסמכה בינלאומית של ‪)CRISC‬‬
‫רשימת קורסים מלאה מופיעה באתר החברה‪.‬‬
‫לתיאום פגישה וקבלת פרטים נוספים‬
‫חייגו‪077-5150340 :‬‬
‫יועץ אקדמי (דני) – ‪ 050-8266014‬דוא"ל‪danny@titans2.com :‬‬
‫מכירות (סיוון) – ‪ ,0549844855‬דוא"ל‪sivan@titans2.com :‬‬
‫‪www.titans2.co.il‬‬
‫|‬
‫‪www.ts2.co.il‬‬
‫|‬
‫‪www.titans2.com‬‬