Our projects
כותרת הידיעה ב-22 לאוגוסט ב-Ynet "גוגל טוענת: אתרים ישראליים מכילים וירוסים" בה סופר על כך שגוגל חסמה את האתר של חברת הדלק סונול, אתר ההסתדרות ואת הדף של קומיקס "סטיות של פינגווינים" משכה את תשומת ליבנו לאירוע שקרה אצל אחד מלקוחותינו לפני מספר חודשים.
וכך סיפור המקרה:
קוד עוין הושתל ביוטיוב, MetaFilter, בנק ING ואתר ניו יורק טיימס. הקוד איפשר לפורצים לחטוף גולשים לאתרים אחרים תוך כדי הגלישה ולחלוב מהם פרטים מבלי שירגישו. במקרה של הבנק הדבר חמור במיוחד משום שהם ביצעו העברות מחשבון לחשבון.
עידו גנור, מנכ"ל איי פי וי סקיוריטי, התייחס בהרצאתו "המרדף האינסופי אחר ההייפ הבא בטכנולוגיות אבטחת מידע - הבטחה או אבטחה!" במסגרת כנס CISO2008 לרצונם של מנהלי אבטחת מידע בארגונים להתאים את עצמם להייפ הנוכחי למרות שלעיתים ההייפ לא מאפיין כלל את הצרכים של ארגונם.
בכל ארגון ישנם לפחות אחד או יותר בסיסי נתונים (Databases), חלקם לסביבת ה-Production, חלקם לסביבת Test, אחרים לצרכי QA ועוד. במרבית המקרים, הגישה הרווחת בקרב האמונים על אבטחת התשתיות היא: ישנו Firewall העומד בשער וחוסם את כל מי שלא מורשה להיכנס לארגון; ברמת התקשורת - סגורים כל הפורטים מלבד אלו המשמשים גישה אל בסיס הנתונים; השרתים אשר עליהם מותקנים בסיסי הנתונים מוקשחים בטלאי האבטחה של מיקרוסופט; כך שההרגשה והגישה הרווחת הינה שבסיסי הנתונים מאובטחים היטב.
עמדות הקצה / תחנות העבודה נשלטות ברמה כזו או אחרת ע"י מנהל הרשת ומנהל אבטחת המידע. למרות זאת, במרבית הארגונים ניתנת עצמאות מסוימת למשתמש הקצה מחד, ומנהל הרשת לא תמיד ער למתרחש בעמדות-הקצה בארגון מאידך. עקב כך, מומלץ מאוד לבדוק את תחנות הקצה באופן שוטף להיות מודעים לתמונת המצב בארגון ולנקוט בפעולות המתחייבות במידת הצורך. מטרה נוספת בבדיקת עמדות-קצה היא איתור תחנות אשר חרגו מן המדיניות הארגונית במודע או שלא במודע (Rogue Stations).
ניהול משתמשים, קבוצות, הרשאות ומשאבים הינו נושא הדורש תשומת לב x24x3657 - מבחינת קביעת מדיניות ארגונית ברורה ואחידה, אכיפתה ותחזוקתה השוטפת. חשיבות ניהול הכלים המשמשים למטרה זו - כדוגמת ה-Active Directory של מיקרוסופט, אחד הנפוצים שבהם, גבוהה ביותר.
ניהול סיסמאות והרשאות ברמות התשתית ובאפליקציות השונות בארגון הינו בעייתי מעצם היותו נוגד את הטבע האנושי אשר לא אוהב שינוי ומאופיין בזכרון קצר. בכל ארגון אפליקציות רבות אשר לעיתים מנהלות באופן עצמאי את רשימות המשתמשים והסיסמאות שלהן או לחילופין מבססות את נושא ניהול המשתמשים על ה-Active Directory (ראו מאמר בנפרד). חשיבות ניהול הסיסמאות (כולל כמובן מורכבותן, אורכן, חוזקן וכו') גבוהה במידה כזו, שגם אם נשקיע אמצעים ומשאבים רבים בכל אמצעי האבטחה האחרים שאמורים להגן עלינו מפני מתקפות - ונזניח את ניהול הסיסמאות - הרי שנייצר במו ידינו את החוליה החלשה בשרשרת האבטחה. וכידוע - חוזקה של השרשרת נמדד תמיד בחוסנה של החוליה החלשה ביותר.
מסקר שנתי שנערך ע"י ה CSI ( (Computer Security Instituteבארה"ב אודות פשעי מחשב ואבטחת מידע לשנת 2007, וכלל 494 אנשי אבטחת מידע מחברות פרטיות ומשרדי ממשלה, עולה שתקריות אבטחה פנימיות התרחשו אצל 59% מן המשיבים, בעוד שרק 52% מהנשאלים השיבו שנאלצו להתמודד עם תופעות של וירוסים ברשתות הארגוניות עליהן הם מופקדים.בשנים האחרונות מאפשרים ארגונים רבים גישה מאובטחת ממחשבים מרוחקים לרשת התקשורת הפנימית של החברה. חיבור מאובטח זה מאפשר לעובדי החברה, לשותפים עסקיים ולחברות המספקות תמיכה להתחבר מרחוק אל הרשת הארגונית דרך רשת האינטרנט ולבצע בה פעולות רבות.
במרבית המקרים, מתבצע חיבור מאובטח בין הלקוח (המחשב המרוחק) לבין תוכנה מרכזית הנמצאת בארגון, וזאת באמצעות אמצעי הזדהות כלשהו המסופק ע"י הלקוח ואלגוריתם הצפנה כזה או אחר אשר תפקידו להצפין את התעבורה בין המשתמש המרוחק לבין הרשת הארגונית.
סוגי הפתרונות המובילים להתחברויות מסוג זה הינם VPN, SSL-VPN ועוד; אמצעי ההזדהות כוללים מגוון רחב של אמצעים - החל מהקלדת שם משתמש וסיסמה, דרך Tokens המייצרים One-Time-Password (סיסמה לשימוש חד-פעמי אשר תוקפה מוגבל בזמן), המשך ב-SSO (Single-Sign-On), Two-Factor Authentication, כרטיסים חכמים ועוד.
ההתלבטות מתי לבצע סקר סיכונים, באיזה היקף, ואם בכלל יש צורך קיימת בכל ארגון ומקורה בעובדה ש"לא קרה לנו כלום כבר כמה שנים", אנחנו בטוחים שאנו עושים את כל הפעילויות כראוי, יש קיצוצים בתקציב וסקר הינו פריבילגיה ועוד ועוד.
להבדיל בדיקות וביקורת תקופתית/שנתית הן עניין שבשגרה כשמדובר בגופנו או ברכבנו למשל. אין לנו כל שאלה אם צריך, למה וכמה...
כמה דובר, נכתב ועוד ייכתב על האיום הפנימי...
את האיום הפנימי ניתן לחלק לשתי קטגוריות עיקריות: איום בזדון ואיום בשוגג. הטיפול וההתייחסות לכל אחד מסוגי האיומים הינו שונה במהותו ובתכליתו וכמובן שבמסגרת מאמר זו נוכל רק לגעת בקצרה במאפיינים של כל קטגוריה.
