על מגמות, איומים ופתרונות בעולם ה-IT בכלל ובתחום האבטחה בפרט, שמענו בכנס אינפוסק 2010 , שנערך ביוזמת אנשים ומחשבים. מהם הכיוונים החדשים? איך משפיע הענן? מה קורה לפרטיות? תשובות לכל אלה ועוד בהמשך...
כנס אינפוסק 2010 לאבטחה, העשירי במספר, שנערך על ידי אנשים ומחשבים, באבניו ב-7.6.2010, ריכז שורה ארוכה של מרצים, שהציגו מגמות ופתרונות חדשים בתחומי האבטחה.
אופיר זילביגר מנכ"ל Secoz, פתח את הכנס עם המסר כי אבטחת מידע עברה מניטור ובקרה של הנתונים לתרומה עסקית בניתוח סיכונים והערכות מוקדמות למניעת נזקים.
המעבר בעולם האבטחה כיום הוא לתפיסת ה- GRC שעוסקת בטיפול שכולל שליטה כוללת במערכת המחשוב (Goverance), טיפול בסיכונים (Risk) והתאמת מערך המידע לתקנות ודרישות רגולטוריות ((Compliance.
בחברת Secoz פיתחו מתודולוגיה כוללת לטיפול במכלול הסיכונים. מתודולוגיה זאת נקראת IT – Road (Risk Oriented Analysis and Design) והיא מציעה דרך שלמה לניתוח והתמודדות עם סיכוני מערכות המידע.
אתגרי האבטחה בעולם ה-ICT
ברוך גינדיו מנכ"ל גרטנר ישראל, נתן סקירה כללית קצרה על עולם ה-ICT וההשלכות לעולם האבטחה. לפני מספר שנים, נושא האבטחה כיכב במקום הראשון מבחינת מנהלי המידע. כיום הוא הפך להיות קומודטי, שנמצא בכל מקום ומציע קשת פתרונות זמינים לכל תחום.
הנושאים העיקריים על סדר יומם של המנמ"רים בעולם הם: וירטואליזציה שנמצאת במקום הראשון, מחשוב ענן שני, השבחת יישומים ארגוניים כמו ERP ו-CRM, במקום השלישי. הנושאים הבאים ברשימה הם עולם המובייל, רשתות והווב. האבטחה ירד למקום התשיעי.
היקף ההקצאה לאבטחה בארגונים עומד על כ-4.5% מתקציבי ה-IT, באזור EMEA. רובו הולך לטובת כוח אדם, אחריו לתוכנות ולאחר מכן לחומרה.
הוירטואליזציה כבר כאן והיא מיושמת כמעט בכל מקום. היא צריכה להיעשות בכל המימדים, בשרתים, באחסון, בתחנות העבודה, ובכל הרמות. כך למשל ההוצאות לשרתים בארגונים גדולים ירדו מ-6.7 מיליון דולר ל-1.5 מיליון דולר. ההוצאות לחשמל ירדו ממעל מיליון דולר ל-272 אלף דולר ודוגמאות אלה ממחישות את התועלת שבה מדובר.
בתחום מחשוב הענן, אנו רואים כי שוק ההון מתגמל באופן מפתיע את חברות הענן ושירותי התוכנה כשירות, מה שמעיד על האימון הגדול של המשקיעים בתחום זה. מחשוב הענן עושה את החיים ברמה התפעולית לקלים יותר, מצד שני אין עדיין כלים בוגרים להגנה על המידע. לכן עד 2013 גרטנר ממליצה ללכת לענן הפרטי.
ברמת הענן יש שורה של אזהרות ובעיקרן: הבעלות האבטחה וההגנה על המידע, נושאי הפרטיות, היכולת להיענות לדרישות רגולטוריות. כדי להתמודד איתן הוא ממליץ להתחיל בענן פרטי, ובפעילויות של פיתוח ובדיקות. בהמשך, ההכרה וההבנה שירכשו, יסייעו להעתיק את היכולות לעולם החיצוני.
בעולם הווב אנו רואים שילוב של הווב 2.0 המוכר, יחד עם המובייל ועם העולם החברתי. גורם הסיכון המרכזי שהולך ומתפתח הוא עולם הקהילות החברתיות. כמו כן בחו"ל מזהים תופעה חדשה שבה עובדים מעדיפים לוותר על מחשב מהארגון לטובת iPad אישי, שמשמש אותם בעבודה ובחיים הפרטים, ובסה"כ יוצר בעיה אבטחתית.
כל אלה משליכים על שורה של בעיות: גישה של גורמים מחוץ לארגון; קשה יותר לשלוט במידע ובעובדים; המערכות לא כולם ברשותנו, ולכן בסך הכול קשה לשלוט במידע.
הוא ה דגיש כי היום אין לנו כמעט שליטה על המשתמשים שמביאים "זיהומים" ואיומי מידע לארגון, כאשר ממצב שבו הייתה לנו מדיניות מוגדרת, עלינו להתמודד עם קשת רחבה של איומים ומכיוונים שונים. כמו הגוף שיש לו מערכות הגנה, כך גם אנחנו צריכים להסתכל על מערכות ה-GRC כמערכות ההגנה של הארגון.
המסר העיקרי שלו - ללא הסיוע והתמיכה של ההנהלות, לא ניתן יהיה להתמודד עם האיומים החדשים, ולכן יש חשיבות עליונה לקבלת שיתוף ועירוב ההנהלה, בעיצוב תוכנית אבטחה כוללת.
ענן של איומים
בועד דולב מנכ"ל eNvision דיבר על האבטחה בענן. לדבריו, יש סיבות טובות ורבות לעבור לענן. אלה כוללות בין היתר את התפתחות התקשורת המהירה, יכולת לעבוד מול גוף מרוחק, הנוחות, הגמישות כמו גם החיסכון הכספי.
המשמעויות האבטחתיות של השימוש בענן כוללות בין היתר את העובדה שהמידע שלנו, הנכס החשוב ביותר שלנו, לא נמצא יותר תחת שליטתנו הבלעדית. העובדים נהלי הגיוס והפיתוח בענן, אינם בשליטתנו. הנתונים בענן נסמכות על מערכות וירטואליות שאינך יודע מה חוזקן. הנתונים אינם מוצפנים וכל אחד יכול להגיע אליהן.
בועז הדגיש כי הסיכון גדל עם הזמן, שכן המידע שהצטבר שם, כמו למשל חשבון ה-GMAIL שלנו שכולל למעשה ארכיון שלם של כל מה שעשיתי בשנים האחרונות. בועז גם הציג את המדיניות של גוגל ביחס למחיקת מידע, לפיו גוגל אומרת כי המידע שאתה מוחק לא יהיה זמין לגביך ולא ימצא בשרתים הפעילים. היא לא אומרת, מה יקרה למידע הזה בשרתי הגיבוי שלה.
בועז ציין כי אבטחה המידע ביישומי ענן מובילים היא בסיכומו של דבר חלשה או לא קיימת. ההזדהות חלשה. ה-PKI לא קיים, פרופילים כמעט לא קיימים, הצפנה לא קיימת. בנוסף, המוטיבציה לפגוע בחברות הענן, מצד מדינות שירצו לפגוע באובייקט אסטרטגי ובטח על ידי גורמי פשע, היא דבר שרק ילך ויגדל. אירוע הפריצה הסינית לגוגל ממחיש מה יכול לקרות למידע בסביבת הענן. כמו כן יש היום סוסים טרויאניים שפועלים בענן, וכך גם Botnets שמהווים איום שילך ויגדל.
לפי בועז, כ-70% מהדואר בארץ יוצא לכיוון הענן. בתקופתו בממשלה, כ-40% מהדואר היה יוצא לגוגל. המשמעות היא שחלק גדול מהמידע הארגוני יוצא מנחלת הארגון ואנו מאבדים שליטה עליו.
אם ננסה לחוסם את המידע יותר מדי, העובדים יפתחו לעצמם "מסלול עוקף".
טיפים להיערכות לקבלת שירותי ענן כוללים: גישה מתודולוגיה כוללת, ביצוע סקר סיכונים לפרויקט, גיבוי לוקלי למידע בענן. וכמובן לבדוק את חברות הענן ואת
המחויבות שלהן. עצה נוספת שבועז נתן הייתה לגבות גם את המידע בגוגל וזאת כדי להימנע מקטסטרופה.
לנהל את המדיניות
על הדרך הבטוחה לשיפור האבטחה, דיבר אייל וינדלר, מנהל תחום אבטחת מידע, בקבוצת אמן.
לדברי אייל, יש בעיה מרכזית של קבלת תמונת מצב של מה בעצם קורה בתחנות העבודה השונות והמידע שעליהן. ביצוע הערכת מצב ומיפוי התחנות, מגלה הרבה פעמים תחנות שלא היינו מודעים לקיומם. כך למשל וירוס הקונפיקר, יכול היה להסתתר בתחנה סמויה מבחינתנו, וממנה להמשיך ולפגוע בארגון. לכן מיפוי מדויק ומלא של כל התחנות הוא חיוני.
מה שאנחנו רוצים לעשות זה להוריד את הסיכונים, להגביר את השליטה וכמובן לוודא שאנו עומדים בכל התקנות של הגורמים הרגולטורים. ולכן מערכת שתיתן מענה כולל להיבטי ה-GRC חיוניים.
תפיסת ה-GRC קשורה במדיניות שאנו קובעים, זיהוי הנכסים בארגונים והטיפול השיטתי במכלול האיומים וההיבטים.
חברת סימנטק שמיוצגת על ידי אמן מציעה פיתרון כולל בשם Symantec Policy Management שמגיע עם שורה של הגדרות מדיניות מוכנים, דוגמת סארבנס אוקסלי ואחרים. המערכת גם נותנת מענה רחב יותר לאיומים דוגמת דליפות מידע. היא בנויה עם דשבורדים שניתן לבנות ולהגיע אליהם דרך הווב.
ניהול ההזדהות והגישה למערכות
עודד צור, מנהל תחום אבטחת מידע ב- CAסיפר על הונאה של בנק צרפתי בהיקף של 7.1 ביליון דולר, שהצליח להשיג הרשאות של 7 גורמי הרשאה שונים וניצל זאת לצורך ביצוע הונאה בסכום פנטסטי.
כדי למנוע זאת, יש להיערך בראיה כוללת, כאשר ניהול משתמשים והרשאותיהם (IAM) כולל התייחסות לאנשים, תהליכים, טכנולוגיה.
בין השאלות שעלינו לשאול ביחס לאנשים:
• למי יש גישה למה?
• מי הרשה זאת?
• האם יש לו הרשאות ברמה המתאימה לו?
• מה מאפשרים לו?
• האם אנו עומדים בתקנות?
שאלות שעלינו לשאול ביחס לתהליכים שאנשים עוברים בארגון, עלינו לשאול:
• האם אדם שעבר תפקידים שונים, עדיין מקבל הרשאות לא נחוצות?
• מה קורה כשהעובד יוצא לחו"ל או לחופשה ארוכה?
• מה קורה כאשר הוא עוזב את ה ארגון?
• מה קורה ביחס לעובדים זמניים שבאו ועזבו את הארגון?
בהקשר לטכנולוגיה עלינו לשאול:
• איך הטכנולוגיות השונות משפיעות על ההזדהות והגישה?
• אילו סיכונים יש בעולם הוירטואלי ובענן בתחום זה?
• מה קורה כאשר עוברים טכנולוגיה?
• ניתן בקלות לשכפל שרתים ועלינו לבחון איך זה משפיע עלינו?
לאחר שנשאל את השאלות האלה, נצטרך לתת מענה כולל שאותו יש לעדכן באופן נוח, ומתמיד, כאשר מערכות שונות דוגמת זאת שמציעה CA מאפשרות להשיג זאת.
על פרטיות והגנת המידע האישי
על רגולציית אבטחת המידע הבאה, הרצה עו"ד יורם הכהן, ראש הרשות למשפט וטכנולוגיה. הרשות עוסק בין היתר בהפעלת רשם מאגרי המידע, רשם גורמים מאשרים ורשם שירותי נתוני אשראי.
לדבריו השוק רוצה לעמוד בנהלים והוא פשוט לא יודע זאת. אנשי אבטחת המידע והרשות הם פרטנרים לאכיפה וביצוע של שמירה על הפרטיות. כאשר הגישה של הרשות היא שכל מידע שניתן לשייך לאדם ולזהותו, הוא מידע שמוגן בפרטיות.
חוק הגנת הפרטיות שנחקק בשנת 1981 מגדיר שורה ארוכה של מחויבות על כל מי שמחזיק במאגרי מידע לסוגיהם. לאחרונה הופצה הנחית איסור זיהוי מרחוק על בסיס מידע ממרשם האוכלוסין. הנחיה נוספת בתחום מיקור חוץ תופץ בקרוב.
מבחינת ההנחיות הוגדרו דרישות מינימום מרמת הארגון הבסיסי ועד אוסף רחב של הנחיות שניתנות לארגונים שמחזיקים פרטים רבים ועל מספר רב של אנשים. המסר העיקרי הוא שיש הנחיות רגולציות שמתייחסות לכל הארגונים ויש לעמוד בהן. כתובת הרשות - ilita.justice.gov.il
הגנה על פרטיות בעולם החדש
שי צלל יכין ה-CTO של חברת קומסק הרחיב את סקירת נושא הפרטיות, במסגרת הרצאה על חקיקה, אתגרים וטכנולוגיה בתחומי הפרטיות.
כיום אפשר לאסוף עלינו כמעט כל מידע. לפי מארק צוקרברג, ה-:CEO "עידן הפרטיות עבר". ממי שמנהל היום את פייסבוק "מדינה" עם 400 מיליון תושבים, מדובר על עמדה שיכולה להיחשב מסוכנת. גם גוגל באזז תורמת את חלקה, בתחום זה.
בסקר באנגליה, התברר כי שליש מהמגייסים נכנסים לפייסבוק לבדוק מועמדים, כאשר רבע מהמועמדים נפסלו בגלל התנהגות "פרועה".
הטכניקות החדשות של זיהוי אנשים היא ניתוח המאפיינים של הדפדפן שלהם, שמאפשרת לקשור אותו עם אוסף מאפיינים נתון. בניית פרופיל בגוגל יחד עם הזדהות בסיסמא, מאפשר לדעת עלינו כמעט את הכול.
אחד הפתרונות לגלישה אנונימית ששי הציג, הוא השירות של Tor.eff.org – מוצר חינמי שמאפשר לנו רשת מוגנת. לקוח טור מתקשר אל היעד, דרך רשת של מחשבי ביניים ומאפשר לכאורה גלישה אנונימית. הוא אינו יעיל מבחינת מהירות ואינו יעיל לווידאו. בנוסף, הצד השני יודע שאתה בא מרשת זאת ולכן הדבר מעורר סימני שאלה.
בין האיומים החדשים הוא ציין את ClickJacking - איום חדש שבו אנו גולשים לאתר ששואל אותנו שאלה. מאחורי הקלעים, הוא מדביק תמונה של אתר בנק או רשת חברתית, כאשר אנחנו חושבים שאנו ממלאים את הפרטים לתמונה שאנו רואים, למעשה המידע עובר לידי הגונב.
בתחום הענן אנו רואים כי מדובר בווקטור נוסף של מורכבות. ה-SLA ואבטחת המידע, הם שני נושאים שקשה לנו היום לעמוד מראש את טיבם. כמו כן הענן הוא גם יעד אטרקטיבי להרבה פורצים או מדינות, והוא יכול לגרום לפגיעה בנתוני פרטיות.
עוד כיוון חשוב הוא הטלפונים החכמים וכדאי לכל אחד מאיתנו לשאול את עצמנו מה יש שם?
אז מה עושים:
• מודעות – אי אפשר להתכחש לטכנולוגיה. תהיו מודעים לטכנולוגיה ואל תעשו שטויות.
• פיתוח יישומים מאובטח - עלינו לתת דגש להיבטים של פתרונות מאובטחים.
• נושא הרגולציה של מדינות וארגונים בינלאומיים יהיו צלע נוספת, שתסייע לנו.
לחלוק, לשתף, לעורר השראה ולהעצים מנהלי מידע, זה המוטו של
קובי שפיבק Bsc ו- MBA. קובי הוא מורה דרך טכנולוגי שמלווה את עולם המחשוב: כתכנת, מהנדס, מנהל, יזם, עיתונאי, יועץ ומרצה, משנת 1976. כעורך הראשי של תחקירי pCon הוא כתב וערך ב-19 השנים האחרונות, למעלה מ-960 תחקירים מקצועיים, שמסייעים למנהלי מחשוב במאות ארגונים, ליהנות מיותר עניין, זמן פנוי וכסף זמין.
מנהלי מחשוב, שמעוניינים לקרוא או להפנות לקובי שפיבק שאלות מקצועיות, מוזמנים לעשות זאת במסגרת תשובות המומחה.
אם לא מצאת שירות זה כשימושי, בבקשה ספר לנו.
אם אתה כן נהנה מהשירות שתף חברים שגם להם הוא יכול לעזור.
תחשוב על החיוך, הסיפוק, ההרגשה הטובה, כשגם רעך ייהנה כמוך והמלץ עכשיו.