Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
עגול-סיכום מפגש שולחן
Cyber Security 1021 מאי
שחר גייגר מאור:מאת
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
תוכן תקציר מנהלים 1............... ................................ ................................ ................................ אותה הגברת בשינוי אדרת? 3............................. ................................ ................................ שיתוף ידע ואיסוף מודיעין 4................................. ................................ ................................ ,BCPלקח מאירועים שהיו וכלים שהוזכרו 5............ ................................ ................................ יכולת תגובה ואחריות המדינה 6........................... ................................ ................................ החזית התודעתית 7.......................................... ................................ ................................ נושאים חשובים שלא הוזכרו במפגש 7.................. ................................ ................................ נספח מיוחד –התייחסות ספקים ויצרנים לנאמר במפגש 7......................... ................................ התייחסות חברת 7.................................... ................................ ................................ CA התייחסות חברת 8..................................... ................................ ................................ f5 התייחסות חברת 9.................................. ................................ ................................ IBM התייחסות חברת 9.............................. ................................ ................................ Matrix התייחסות חברת 20........................... ................................ ................................ Mcafee
תקציר מנהלים בחצי השנה האחרונה cyber securityהפך להיות החם שבאופנות טכנולוגיות המידע .חם כל כך ,עד שלפעמים נדמה כי עוצמת האש עומדת לשרוף את כל מה שהכרנו בעבר כ"אבטחת מידע" .לאחר שהשנה נפתחה בסדרת אירועים מתוקשרים כמו פרשת "ההאקר הסעודי" ,התקפות על אתרים ישראלים והתקפות נוספות שלא פורסמו ,חשבנו שיש מקום לנסות לברר עם מנהלי אבטחת המידע איך הם רואים את המציאות .למפגש הזה הוזמנו מנהלי אבטחת מידע מארגונים בעלי צביון קיברנטי מובהק :מוסדות פיננסים ,גופי ביטחון, משרדי ממשלה וארגונים אזרחים מסויימים 13 .נציגי 12ארגונים רלוונטים נשאלו ,בין השאר ,על הנושאים הבאים: .1איך הם רואים את ההתפתחויות? עולם חדש של איומים או "אותה גברת בשינוי אדרת"? .2האם מפותחות בארגונים מתודולוגיות חדשות להתמודדות עם המציאות הנ"ל? .3האם מוקם גוף ייעודי להתמודדות עם הנושא?
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
.4האם נבחנים\ממומשים פתרונות ייעודיים חדשים? או לחלופין ,האם מתודולוגיות וכלים קיימים מספיקים? .5מה עמדת הארגון בכל הקשור לשיתוף ידע\הקמת פורומים מקצועיים בתחום? .6האם הארגון יהיה מוכן לדווח על אירועים קיברנטיים שמתרחשים אצלו לטובת לימוד של ארגונים אחרים ולטובת רגולציה (שקיפות ציבורית)? .7איפה ,לדעתכם ,מסתיימת האחריות הארגונית ומתחילה אחריות המדינה לאירועים קיברנטיים? לא על כל הנושאים הסכימו המשתתפים להרחיב וחלק גדול מנושאי השיחה הושמטו בעריכה מפאת רגישותם .מטבע הדברים נושאי אבטחת מידע נחשבים לרגישים מאוד. החשש מפרסום שלילי משפיע גם הוא על רמת שיתוף המידע בפורום.
אותה הגברת בשינוי אדרת? 1Cyber securityאו בקיצורו הפופולארי בישראל "סייבר" מוצג ,לעתים ,כתחום חדש .לא עוד אותה פרקטיקה מוכרת כאבטחת מידע ( .)information securityזה "משהו אחר", "שונה" .באמת? על פי אחד המשתתפים אין מדובר בחידוש .מה שכן ,ההד התקשורתי והעליה במודעות בקרב מקבלי החלטות עוזרת מאוד לקבל תקציבים חדשים .על פי משתתף אחר ,אחרי התקפה על מערכות הארגון שלו הואצו מאוד תוכניות רכש שקיבלו לפני כן עדיפות נמוכה. "לא נעים להגיד אבל זה (אירוע האבטחה) עשה טוב לאבטחת מידע"...
"כ 80%מההתקפות
דיון בנושא ברמה הציבורית יכול ,מצד שני ,לגרום לבלבול והגזמה .אנשי מקצוע שאינם מתמחים באבטחת מידע יכולים להיות מושפעים ביתר קלות מהפחדות ותיאורים אפוקליפטיים של גורמים בעלי עניין ולנהוג בפזיזות בתהליך קבלת ההחלטות .אחת השאלות הקשות היא עד כמה אנחנו עדים להחמרה אמיתית ברמת האיומים הקיברנטיים כאן בישראל? משתתף אשר מגיע מארגון שחווה הרבה מאוד אירועי אבטחת מידע בשנים האחרונות סיפר כי הוא בהחלט רואה עליית מדרגה ברמת ההתקפות וברמת הכלים שבהם נעשה שימוש. על פי משתתף זה ,כ 80%מההתקפות על הארגון הן התקפות סטנדרטיות ,אולם חלק לא קטן מהאחוז הנותר מכיל התקפות מתקדמות שמאחוריהן ניכר שמושקעת מחשבה ותכנון. בתחקור של חלק מההתקפות רואים כי הצד השני לומד את היעד ומחפש בו חולשות .כמו כן ניכרת חתימה של קבוצות בצד הגורמים העוינים .כבר לא יחידים כמו שהיה פעם.
1
על הארגון הן התקפות סטנדרטיות ,אולם חלק לא קטן מהאחוז הנותר מכיל התקפות מתקדמות שמאחוריהן
ניכר שמושקעת מחשבה ותכנון".
אבטחה קיברנטית בתרגום חופשי .לאורך שאר המסמך אכתוב את הביטוי באנגלית.
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
משתתפים אחרים התחלקו בין כאלה שחושבים שיש שינוי במפת האיומים לכאלה שרואים במגמות האחרונות המשך למצב הקיים כבר כמה שנים .עם זאת ,ציינו חלק מהם ,קיימת החמרה בחומרת האיומים בעקבות שיפורים טכנולוגיים ופשטות בהוצאת התקפות מתקדמות .אחד המשתתפים המשיל את ההחמרה ברמת האיומים על ארגונו כך ש"אם בעבר הארגון התמודד עם איומי בט"ש (ברמת הכלים והמתודולוגיות) ,כיום הוא צריך להערך למלחמה" .חלק מהמשתתפים ציינו לרעה את הקלות המדהימה שבה ניתן לקנות ערכות ושירותים מוכנים להוצאת התקפות מתקדמות ומורכבות. אחד המשתתפים סיפר כי בעקבות הערכת מצב שנעשתה אצלם ,הוחלט כי הנחת העבודה שאיתה עובדים מעכשיו והלאה היא שיש כבר גורם עויין ש"מסתובב" ברשת ואותו הם צריכים לחפש .גם בארגונים אחרים סיפרו על שינויים בהערכות המצב ושינוי תפיסה בכל הקשור לאיומים חדשים .אחד המשתתפים סיפר שכחלק מעבודה שנעשתה בארגונם נבחנו תהליכי העבודה מול ספקים ולקוחות של הארגון כדי לנסות לאתר חולשות והתקפות עוד לפני שאלה מגיעות לשערי הארגון .עבודה נוספת שנעשתה כללה בדיקות מאמץ לרשת התקשורת ובדיקות נוספות כדי לבדוק עמידות התשתית בפני התקפות מניעת שירות. עד כמה הארגונים בארץ באמת עשו " "switchבראש בכל הקשור ל ?cyber security משתתף הציג בחדר שאלה רטורית :מי מהנוכחים בדק את רמת האבטחה של מערכות ה 2UPSבחדר המחשב בארגונו לאור התקפות כדוגמת ?Stuxnetשאלה זו מדגימה בצורה נוספת ששינוי מחשבתי יש לבצע בכל רמות קבלת ההחלטות בארגון.
שיתוף ידע ואיסוף מודיעין אחד הנושאים המרכזיים בכל דיון על Cyber securityהוא הצורך בשיתוף ידע בין ארגונים כחלק מחיזוק יכולת ההתראה המוקדמת .חלק מהמשתתפים במפגש ציינו כי טוב היה ,לו היו יכולים לקבל תמונת מצב בהירה יותר על התארגנויות של פעולות עויינות ברשת וכן על מידע שכבר דלף לאתרים מוכרים .אחד המשתתפים אמר כי הם נוכחו לדעת שלא תמיד צריך כלים טכנולוגיים ,אלא מספיק "לגלוש באתרים הנכונים".
"...טוב היה ,לו (הארגונים) היו יכולים לקבל תמונת מצב בהירה יותר על התארגנויות של פעולות עוינות ברשת וכן על מידע שכבר דלף לאתרים מוכרים".
במפגש הוזכרו מספר שיתופי פעולה שמתחילים להתגבש בין מספר גורמים שונים בשוק. המשתתפים שהזכירו את שיתופי הפעולה הללו דיברו על גיבוש יכולת העברת מידע רלוונטי בין מספר גופים בעלי אופי דומה .חשוב לציין כי קידום שיתוף ידע בנושאי Cyber security הוא אחד מיעדיו של המטה הקיברנטי .על פי החזון של אנשי מקצוע רבים ,ברגע שארגון או מוסד ישראלי יוכלו ללמוד בזמן אמת על אירוע בארגון אחר ,הם יוכלו להתמודד בצורה טובה יותר עם ההתקפה הצפויה או הבאה .שיתוף ידע מקצועי יכול לתרום לקידום רגולציה או 2
מערכות "אל-פסק"
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
הנחיה ממלכתית לגבי חובת דיווח על אירועי אבטחת מידע .הנחיה כזו תוכל לשפר מאוד את יכולת המדידה של הנעשה בישראל בתחום אבטחת המידע ,לשפר מאוד את יכולת המדינה להעריך מה גודלה של הכלכלה הקיברנטית השחורה ולשפר את יכולת הגופים והארגונים לנהל בצורה נכונה יותר את סיכוניהם וכתוצאה מכך ,גם את תקציביהם .עם זאת ,קיים קושי גדול בשיתוף מידע כל כך רגיש ,קל וחומר בזמן אמת .חלק מהמשתתפים סיפרו כי מידע רגיש שכזה הגיע לא פעם לאנשים לא אחראים ואפילו לתקשורת .מיותר לציין כי יהיה מאוד קשה לשכנע ארגון כזה לשתף אחרים בעתיד. אחד המשתתפים סיפר ,כי הם מוכנים ורוצים לשתף מידע ואף פנו לרגולטור שלהם לאחר אחד האירועים שחוו ,אך לא התרשמו שיש מי שיקשיב בצד השני" .הרגולטור עצמו לא ערוך לקבלת המידע הזה ואין לו כרגע עניין אמיתי לאגור רשמים מהסוג הזה" .המשתתף ציין כי בשיחות עם נציגי הרגולטור הוא לא הצליח לקבל פרטים שביקש על אירועים בארגונים אחרים וכי מידע שכן נמסר לו היה כללי מדי.
,BCPלקח מאירועים שהיו וכלים שהוזכרו שנת 1021עושה רושם של שנה מאוד אינטנסיבית באירועי אבטחת מידע .השנה נפתחה, כאמור ,בסערה עם פרשת "ההאקר הסעודי" ונמשכה עם מתקפות נוספות ומתוקשרות על אתרים וגופים ישראלים .בדיון הוזכרו מספר תקופות מתוחות מבחינה מדינית בשנים האחרונות ,אשר הביאו להחרפה בהתקפות על אתרים ישראלים בידי גורמים לאומניים או אידאולוגים .נוסף על התקפות טרור קיברנטי ,חוו חלק מהארגונים והמוסדות בישראל התקפות מתקדמות מכל הסוגים ועל רקעים שונים .המשתתפים בדיון נשאלו על הרשמים שהיו להם מהתקפות אלה ואחרות ובעיקר על לקחים שנלמדו כתוצאה מאותם אירועים .בשל רגישות הנושא ,לא נזכיר שמות של אירועים או גופים. נציג אחד הארגונים סיפר על מתקפה שארגונו חווה .הנציג נשאל לגבי פגיעה או נזק כספי כתוצאה מהתקפה זו .הוא סיפר כי מההתקפה עצמה הארגון לא נפגע ,אולם נגרם "נזק תפעולי" ,בין השאר ,כתוצאה מעומס חריג של לקוחות על מוקדי שירות הלקוחות ועל תשתיות האינטרנט של הארגון .משתתף זה כינה את התופעה " 3DDOSידידותי". נציג ארגון מסויים סיפר על מנגנון שפותח בארגון במטרה להתמודד טוב יותר עם התקפות על אתרי הארגון .אנשי תשתיות האינטרנט התבקשו להקים תשתית חלופית וזמנית למקרה שהאתר הראשי יותקף .במקרה ומוכרז אירוע מהסוג הזה ,מופנית התעבורה הנכנסת לשרת החלופי (אשר מופעל רק בזמן הזה) ומוצגת תצוגה מינימלית בדף הנחיתה הראשי .בזמן זה התקלה מתוקנת .כחלק מההערכות לאירועי השחתה ,נכתב נוהל מיוחד אשר מפרט את הפעולות שיש לבצע בעת האירוע :החל מהכרזה על השחתה ,דרך קבלת החלטה על מעבר לשרת חלופי ועד לחזרה לשגרה .נוהל זה הוא חלק מתוכנית ארגונית להמשכיות עסקית. תוכניות להמשכיות עסקית והתאוששות מאסונות ( )DRP\BCPאינן זרות לאף אחד מהארגונים שנטלו חלק במפגש .הוספת תרחישי ייחוס הקשורים לאירועי אבטחת מידע אינם קיימים בתוכניות של חלק ניכר מהארגונים במשק .ברוב המקרים ,תוכניות BCPמכסות תרחישים הקשורים לצדדים תפעוליים קלאסיים כמו שריפות ,הצפות ,תקלה בציוד ,מחיקה וכן הלאה .בחלק מהארגונים במשק לא ניתנה התייחסות מספקת לאירועי אבטחת מידע אשר עלולים להביא לפגיעה בתפקוד הארגון .ה DDOSהידידותי שהוזכר למעלה הוא 3
Distributed denial of service
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
דוגמא מצויינת לתרחיש שיש לקחת בחשבון בכל תוכנית להמשכיות עסקית .אירוע של השחתת אתר החברה ( )defacementאו מניעת הגישה אליו ( )DOSהן דוגמאות נוספות לתרחישים כאלה .למרות שוירוס או מניעת שירות דומים בתוצאה שלהם לכל תקלה תפעולית אחרת ,הגורמים שהביאו את המערכות להשבתה ודרכי הטיפול באירועים אלה שונים מתקלות אחרות ויש לקחת זאת בחשבון בנהלי הארגון. בהמשך מסמך זה מדובר על הצד התקשורתי והמוניטיני של תוכניות להמשכיות אירועי אבטחת מידע .טיפול BCPבאירוע אבטחתי צריך להתחיל עסקית והתאוששות בנוהל ולהסתיים בטיפול של דובר הארגון וב"כיבוי שריפות" בתקשורת .כל אלה חייבים לקבל ביטוי מפורט ומסודר בתוכנית ה מאסונות BCPהארגונית.
( )BCP\DRPאינן
זרות לאף אחד במפגש הזכירו כמה מהמשתתפים מספר יצרנים המציעים פתרונות מעניינים לחלק מהאיומים שעלו .בשוק העולמי בכלל ובישראלי בפרט מופיעים יצרנים חדשים של פתרונות נוספים מדי כמה חודשים .בין השאר הוזכרו כלים של חברת Foresight הישראלית אשר נועדו לסייע בהתמודדות עם התקפות DDOS ולשפר את יכולת העמידה של אתרי אינטרנט .אחד המשתתפים סיפר על Netwitnessשל חברת EMCשנועד לתחקר ולהתריע על אירועים חשודים במערכות הארגון .משתתף מסויים סיפר על חברה ישראלית בשם Lightcyberאשר מנסה לענות גם היא על הצורך בזיהוי התקפות ברשת באופן של זיהוי פעילות לא נורמלית. פיתרון נוסף שהוזכר הוא FireEyeאשר מורכב ממספר מודולים ומסוגל לנתח תעבורה בנקודות הכניסה לרשת ולהתריע על פעילות חשודה בזמן אמת.4
מהארגונים שנטלו חלק במפגש. הוספת תרחישי ייחוס הקשורים לאירועי אבטחת מידע אינם קיימים בתוכניות של חלק
ניכר מהארגונים במשק.
יכולת תגובה ואחריות המדינה "לא יכול להיות מצב שתוקפים על רקע לאומני את הארגון....מגיע מצב שאין לארגון פרטי מה לעשות .זה תפקיד המדינה" .רבות מההתקפות על ארגונים ומוסדות ישראלים הן על רקע לאומני .עם זאת ,ההכרה של המדינה במצב כלל אינה מובנת מאליה .חלק מהמשתתפים טענו כי המדינה צריכה לעשות יותר בכל הקשור למניעת אירועי אבטחת מידע כנגד ארגונים ישראלים .חלק מהמשתתפים אמרו כי יש מקום לבחון צעדים פרואקטיבים יותר נגד אותם גורמים אשר מנסים לפגוע בנו .המימד הקיברנטי קשה מאוד להשוואה למימד הפיסי בכל הקשור ליכולת תגובה ,במיוחד פרואקטיבית ,מצד המדינה ,אולם ישנן פעולות שכן ניתן לבצען כדי להקל על התמודדות הארגונים עם מתקפות מתמשכות מצד גורמים לאומניים .שליטה טובה יותר ב"צינורות" האינטרנט של ישראל ( )ISPsוקידום יוזמות טכנולוגיות בכל הקשור בתעבורת רשת בצד ספקיות התקשורת ,יוכלו לתרום רבות לחיזוק יכולת העמידה של הארגונים עצמם .אחד המשתתפים בדיון ציין כדוגמא את ממשלת גרמניה וממשלות אחרות אשר מציעות באתרים שלהן גרסאות חינמיות של 5 antivirusלמי שמעוניין .יוזמה נוספת שהוזכרה היא הקמת גוף תגובה ממשלתי (.) CERT 4
ראוי לציין כי ישנם כלים ופתרונות נוספים מעבר למה שמצויין כאן .נשמח לשלוח מידע על פתרונות אלה ואחרים לפי צורך.
5
Computer Emergency Response Team
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
גוף זה יקדם יוזמות שונות הקשורות לתחום .משתתף שמכיר את הנושא סיפר כי ,בין השאר ,תתאפשר העלאה של קבצים שהמשתמשים חושדים כי הם נגועים לאתר ושיתופם עם גולשים אחרים.
החזית התודעתית על נושא אחד כל המשתתפים בדיון הסכימו פה אחד :קיימת חזית נוספת ומטרידה לא פחות מהחזית הקיברנטית והיא החזית התקשורתית .המאבק על התודעה הציבורית קשה בהרבה מהמלחמה היומיומית שמנהלי אבטחת המידע נאצלים להתמודד איתה .בעוד שמערכות מידע זה המקצוע שלנו ,בהפצה המונית של מידע יש לנו הרבה מה ללמוד מאחרים. הפרשיות האחרונות הדגימו לכולנו שקשה מאוד לשכנע אחרת ציבור שמוזן במידע שטחי ו"סקסי" באתרי החדשות .אם התפרסמה ידיעה לפיה אתר חברה נפרץ ,זה בכלל לא משנה ש"מדובר בהתקפת DDOSשנבלמה מהר מאוד בצד ה ISPושמערכות הארגון לא הושפעו" .אם בעיתון כתוב שהאתר נפרץ ,אז הוא נפרץ! את מלחמת הדוברות תצטרכו להתחיל מנקודה זו ולא יעזור שום דבר.
נושאים חשובים שלא הוזכרו במפגש קשה לנהל דיון על נושאים הקשורים לתהליכים ארגוניים .גם עבור מי שעוסק בכך יומיום, רב-שיח על נושאי מתודולוגיה עשוי להביא לפיהוקים רמים ברחבי החדר .עם זאת ,נושא ההתמודדות עם אתגרים קיברנטים ארגוניים מתחיל הרבה לפני רכש של כלים מתקדמים. אף ארגון במציאות של המאה העשרים ואחת לא יכול להרשות לעצמו לפעול ללא מדיניות אבטחת מידע ברורה .כמו כן חייבים מנהלי מערכות המידע לסייע לגופי הביצוע בקידום סטנדרטים ומתודולוגיות ארגוניות אשר יחזקו את "החוליות החלשות" (עובדים ותהליכים שלא קיבלו ריענון תקופתי) .דוגמאות לכך ניתן לראות בשיפור מתודולוגיות ניהול השינויים, חיזוק נושא אבטחת המידע כחלק מתהליך פיתוח מערכות מידע ,הקשחת מערכות ורענון נהלי הפצת טלאים לתחנות קצה ושרתים ועוד .צעד חשוב נוסף הוא חיזוק מודעות ומחוייבות העובדים לנושאי אבטחת מידע. ברבים מהארגונים בחדר נעשים מאמצים גדולים בכל החזיתות הללו ,אך חשוב להזכיר כי המאמצים הללו עשויים לרדת לטמיון בכל זמן נתון בשל מורכבות מערכות המידע ,ריבוי עובדים וסיבוכיות מובנית של תהליכי העבודה .כדי לעשות עוד קצת סדר בבלגאן ,מומלץ לבצע רענון והערכה תקופתית למדיניות ניהול סיכוני אבטחת המידע ולנסות להתאימה לאיומים המשתנים .בדיון כבר הוזכר עניין הוספת תרחישי המשכיות עסקית )(BCP אבטחתיים כחלק אינטגרלי מתוכנית ההמשכיות .נושא נוסף שהוזכר ככלי שיוכל לסייע לניהול הסיכונים בארגון הוא יוזמת חובת הדיווח על אירועי אבטחת מידע (והבעייתיות הכרוכה בכך).
נספח מיוחד –התייחסות ספקים ויצרנים לנאמר במפגש התייחסות חברת CA איש קשר :עודד צור
[email protected]
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444 נתחיל מהתייחסות לנאמר בסוף סיכום המפגש ,אכן קיימים נושאים רבים לפני רכש כלים ייעודיים שיש לתת עליהם את הדעת. יש צורך ב"יישור הקו" של מדיניות האבטחה ועשיית סדר במגוון נושאים שלכאורה אינם מתקשרים ישירות למונח CYBERאך יכולים להוות "רעש" ,להשרות חוסר ודאות ואף להוות פירצת אבטחה ,כאשר אינם מנוהלים ואינם נשלטים. חברת CAמתמחה בניהול הרשאות וזהויות: עולם ההרשאות הוא עולם מורכב שמנהל משלב "עשיית הסדר" בניית מודל ההרשאות ,אישורו ואישרורו ועד אכיפת ההרשאות מול כלל סוגי המשתמשים (מינהלן ,משתמש ,ספק ,לקוח ,עובד חוץ וכד') בכל הסביבות: בין אם מדובר במשתמש פנימי חזק (משתמש פריוילגי – יעד מועדף לתקיפת )CYBERהנכנס לשרת ועד זיהוי ודאי והקניית ציון סיכון למהלך הזדהות של לקוח הארגון לשירות באינטרנט (יעד מועדף נוסף לתקיפת – CYBERראו "ההאקר הסעודי"). המדיניות הארגונית הנאכפת מביאה את הארגון למצב בשלות שמאפשר שליטה ומעלה את הארגון מדרגה ביכולת לסמוך על מנגנוני ההרשאות הארגוניים הקיימים. בנוסף ,אנו מציעים פתרון ייחודי למייל האחרון ביעדי התקיפה והוא השרת הארגוני. בסופו של דבר תקיפה תסתיים בניצול משאבי מיחשוב והרשאות בסביבת מערכת הפעלה כלשהי. חברת CAמציעה פתרון הגנה ואכיפת הרשאות המספק שכבת הגנה מתקדמת ויכולות שאינן קיימות במערכות ההפעלה ,פתרון זה מגן על משאבי השרתים בהתאם למדיניות ללא תלות במערכת ההפעלה. הפתרון יושב ברמת KERNELומאפשר הגנה ב REALTIMEוהחלת לוגיקה גורפת מצד אחד ופרטנית מצד שני ברמות שמערכת ההפעלה אינה יכולה לתת. האקר המתבסס על חולשות מערכת ההפעלה ,פוגש לפתע מערכת הגנה מתוחכמת המהווה מכשול רציני ולכל הפחות מעכבת משמעותית את ניסיון הפריצה.
התייחסות חברת f5 איש קשר :צורי תמם
[email protected] - רבות מהמתקפות מתבססות על DDoSפשוט יחסית ,המתמקד בשכבה ,4וחונק )2 הלכה למעשה את רכיבי התקשורת הפשוטים יותר בתשתית – Firewalls, Load ,Balancersנתבים שרתי .DNSצעד נכון יהיה לבסס את הציוד החזק ביותר בחזית ,אפילו במחיר של שינוי תפיסתי – Reverse Proxyחזק הניצב בחזית אל מול המתקפה ,המפרק את הבקשות המגיעות מהאינטרנט ,מסווג אותן לפי מיקומים גאוגרפיים וקצב הבקשות ,יכול מאוד למתן את כמות החיבורים המגיעים לתשתית ואת הקצב שלהם ,שני פרמטרים המסוגלים בקלות "להרוג" רכיבים כמו חומות אש. זיהוי מתקפות DoSאפליקטביות (בשכבה )7הוא מורכב הרבה יותר ,ומצריך ניתוח )1 דו כיווני הן של כמות הבקשות המגיעות מכיוון המשתמשים (האינטרנט) ,והן את אופי
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
התגובות שמספקים השרתים – מהירות התגובה וכמות השגיאות .רק רכיב המאפשר בחינה אמיתית של הבקשות האפליקטיביות המגיעות אל האתר יכול למזער את יכולת התוקפים לפגוע בתשתית ,ולאפשר למשתמשים אמיתיים להמשיך ולגשת לאתר – בכך גם למנוע את הנזק התמידי המלווה בהתקפת .DoS התקפות השחתת האתר מצריכות חומת אש אפליקטיבית ,הבוחנת גם את הבקשות )3 הנכנסות מכיוון המשתמשים ,וגם את התגובות החוזרות מהשרת ,ובכך למנוע הצגת דפים "מושחתים" ,גם אם הצליח התוקף לשתול את הדפים המושחתים שלא דרך ממשק האתר. גניבת מידע היא חלק חשוב מהטרנד האחרון של מתקפות – Cyberרכיב שיודע )4 לזהות הן את הנסיון לגניבת המידע (ע"י Brute force ,Scraping, Injections ,וכד') והן לזהות דליפת פרטים חסויים (מספרי זהות ,כרטיסי אשראי ,הודעות שגיאה מפורטות וכד') בתגובת השרת הכרחי למניעת גניבת מסדי נתוני הלקוחות. לחברת F5רכיב ה Reverse Proxyמהמהירים בעולם ,והיחיד המוסמך ע"י ICSA )5 גם כ Network Firewallוגם כ ,Web Application Firewall-ומספק שירותים רבים של האצת תוכן ,הצפנה ,L4+L7 DoS, GeoLocation ,וכד.
התייחסות חברת IBM אשת קשר :יפעת יולביץ'
[email protected]
ליבמ מגוון פתרונות חדשים אשר מספקים מענה רחב העובר ממעקב אחר אירועים בדידים במערכת למערך הגנה המבצע Real-Time Security Analyticsועוקב במבט רחב על כלל ההתרחשויות ברשת האירגונית .גישה זאת מציבה אתגרים מבצעיים חדשים ודרישות תפעוליות גבוהות .מעבר להרצת האנאליזות על תעבורה חיה וביצוע קורלציה על מגוון אירועים רחב ,המערכת נדרשת לספק תשתית עם ביצועים טובים ויכולת אופטימיזציה לצד ניטור ,שליטה ובקרה ,של סביבת הריצה. כחלק מהמענה לאתגרים בתחום הסייבר IBMמספקת כלים לניתוח אירועי אבטחת מידע וכלים האנליטיים המתקדמים בתחום .לכלים יכולות איתור וזיהוי המתאם בין מקורות מידע ונתונים אודות איומים שונים ואנומליות ברשת .כלים אלה פותחים את הדרך לזיהוי ולהתראה מוקדמת בכל רחבי הארגון אודות כל סטיה ממדיניות האבטחה או מפעילות שגרתית.
התייחסות חברת Matrix אנשי קשר :ראו בהמשך ככל שהזמן עובר איומי הסייבר הולכים וגוברים וההתקפות עצמן הופכות מתוחכמות יותר ויותר. במלחמה שבין האקר לארגון חייו של ההאקר קלים יותר מאחר ומספיקה לו פרצת אבטחה אחת כדי להיכנס למערכת .לעומת זאת ,הארגון צריך להגן על מספר רב של וקטורי תקיפה פוטנציאליים .לכן ,ברור כי בסופו של דבר האקר נחוש ומתוחכם יצליח למצוא את הדרך להיכנס לכל מערכת .על מנת להתמודד עם בעיה זאת צריך הארגון בנוסף להטמעה של מערכות הגנה (שאין לזלזל בחשיבותן) גם להטמיע מערכי ניטור ובקרה .בעולם הSecurity- מדובר על מערכות .)SIEM (Security Information and Event Managementעל-ידי שימוש
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
במערכת SIEMניתן לבקר אחר מנגנוני ההגנה ולזהות תקיפות שהצליחו לעקוף אותן .כך גם במידה והאקר מצליח לעקוף את מנגנוני ההגנה הארגון יכול לזהות את האירוע ,להגיב לו ולצמצם את הנזק שיכול להגרם. ניהול המשכיות עסקית ( )BCM= Business Continuity Managementהנה תפיסת ניהול כוללת לארגון ולא רק תכנית מגירה לנושאים תפעוליים .ככזו ,היא צריכה לכלול את כל האיומים אליהם בחרה החברה להתייחס (תרחישי ייחוס) ,ובפרט מתקפות סייבר .המומחיות בגיבוש של תכנית BCPטובה היא ,בין היתר ,ברתימת כל דרגי ההנהלה בחברה ובניית תכנית פעולה המחברת בין גורמים תפעוליים ,טכנולוגיים ,שיווקיים ועסקיים בחברה .הידע הייחודי שפיתחנו במטריקס מסייע לארגונים רבים בגיבוש וניהול תוכניות ,BCPכך שההיערכות ,ההתמודדות וההתאוששות מבוצעים בחברה כחזית אחת – מול כל תרחיש ועל כל נגזרותיו. במצבים בהם מנגנוני ההגנה של הארגון נפרצו ,ניהול המשכיות עסקית וניטור ובקרה משלמים האחד את השני :בעזרת ניטור בקרה הארגון ידע מתי עליו להפעיל את תפיסת ההמשכיות העסקית שלו (ומתי לא) ובעצם קיומה של תכנית המשכיות עסקית הארגון יודע מה לבצע בעת זיהוי אירוע אחרת ,היה נשאר רק עם הידיעה וללא יכולת להגיב. ליצירת קשר: שלומי בוטנרו ,מנהל אבטחת מידע ותקשורת ,טנגרם-סופט,054-1178456 ,
[email protected] ארנון שרירא ,מנהל תחום BCPבחטיבת הייעוץ האסטרטגי והביטחון במטריקס054- ,
[email protected] ,1166384
התייחסות חברת Mcafee איש קשר :צחי זורנשטיין –
[email protected] מענה הגנתי לאירגון כנגד מתקפות CYBERדורש התייחסות למספר אתגרים ,הן אתגרים תהליכיים והן אתגרים טכנולוגים . על מנת לספק הגנה יעילה בפני התקפות CYBERהאירגונים חייבים למצות את מערכות ההגנה הקיימות באירגון עוד בטרם ילכו וירכשו מערכות חדשות וזאת מאחר והחסם העיקרי כיום הינו משאב כח-אדם שאמור להתקין ולתפעל את המערכות השונות וכן להגיב על אירועים ברמת השוטפת. בעדות שניתנה בפני הקונגרס על ידי אנשי NASAשחוו מספר מתקפות גדולות בשנים האחרונות ,הם העלו את נושא אי יכולתם ליישם פרוייקטים קיימים כחסם משמעותי להוספת יכולות הגנה חדשות ,לדוגמא ,למרות ש NASA -יצאה לפרוייקט של הצפנת מידע רגיש במחשבים רק אחוזים בודדים ( כ )3%-מהמחשבים הוצפנו, הבעיות הנ"ל נובעות מבניית ארכיטקטורה לא יעילה של המערכות השונות שדורשת השקעה גבוהה של משאבי כוח האדם .
Moshav Bnei Zion P.O.B 151, Israel 60910, Tel: 972-9-7907000 Fax: 972-9-7442444
אירגונים צריכים לנהל את שכבות ההגנה בצורה יעילה יותר ,כך שייתפנו משאבי כוח-אדם יקרים לטובת הקמה ותיפעול של מערכות חדשות .חברת מקאפי מובילה בתחום זה של הניהול האחיד כאשר באמצעות שרת ניהול אחד ניתן לנהל את שלל פתרונותיה. מבחינת האתגר הטכנולוגי ,אירגונים צריכים ליישם מערכות הגנה עם יעילות גבוהה יותר כנגד התקפות מתוחכמות ,לדוגמא ,טכניקות הגנה חדשות המבוססות יכולות סילקון (שיתוף הפעולה של אינטל \ מקאפי) שמספקות רמת הגנה מעמיקה יותר ממה שניתן היה לספק באמצעות הפתרונות שהיו קיימים עד היום.
