רמי איצלב, M.B.A, CISA
ויקה וולודינה
פיתוח טכנולוגיות חדשות ומחשוב גורף של תהליכי עיבוד המידע הפכו את נושא אבטחת המידע לרכיב חיוני של החיים שלנו.
האם ההשקעה הרבה של הארגונים באבטחת המידע מתוכננת נכון? האם היא יעילה?
הארגונים משקיעים כסף רב במערכות המגנות ברמה טובה מפני החדירה מבחוץ (חומות אש - FireWalls יקרות בעלות שרידות גבוהה, שטחי הפרדה בין הרשתות - DMZ ועוד).
האם זה מספיק?
המערכות הנ"ל אכן עושות את העובדה (בתנאי שהותקנו, הוגדרו ומתוחזקות בצורה טובה) ושומרות על המידע הארגוני מחשיפות חיצוניות.
השאלה הנשאלת היא: האם אנו מוגנים באותה רמה מחשיפות פנימיות?
חשיפה פנימית היא כל פעולה ( או לעיתים חוסר פעולה) שביצועה על-ידי עובדי הארגון או אורחים הנמצאים בשטח הארגון, עלולה לגרום נזק.
למה להגן על המידע מפני חשיפות פנימיות? כמה עובדות מהחיים
עובדה 1:רוב הנזקים למידע ארגוני נובעים מהתממשות חשיפות פנימיות
עפ"י סקר שפורסם באתר ConsumerAffairs.com ב-28/06/2006 ובוצע על-ידי Palisade Systems, ב- 54% מהמקרים של אובדן / חשיפת מידע ארגוני הסיבה לאירוע החריג הייתה פנימית (עובדי החברה), כאשר רק ב- 34% מהמקרים הסיבה היא פריצה מבחוץ (האקרים). הסקר הקיף 126 חברות בארה"ב.
עובדה 2:הנזקים למידע עולים הרבה מאוד כסף לארגון שנפגע
דוגמה: לפי פרסום באתר NRG מ- 19/12/2005.."היקף הנזקים שנגרמו מדליפת מידע וריגול עסקי בישראל עמד על 120 מיליון שקלים בשנת 2005..". מסיבות טבעיות, עם השנים מספר זה רק גדל.
עובדה 3:גם מידע שאינו ממוחשב עלול לסבך את הארגון ולפגוע בו בצורה קשה
דוגמה: פורסם ב- Ynet מ- 13/04/2009 כי ".. מסמכים רגישים עם פרטים על פעילות חיל האוויר, בעיקר במהלך מבצע "עופרת יצוקה", נמצאו בערימת אשפה סמוך לבסיס חיל האוויר במרכז הארץ..". ברור לכל אחד כמה נזק חשיפת מידע כזה עלולה להביא.
שתי עובדות במכה אחת 4 ו- 5: המידע שהארגון מסכן הוא לא רק שלו, אלא גם של הלקוחות שלו. לפיכך, הפגיעה תהיה כפולה ומכופלת. בנוסף, אם הארגון לא יזהה את הפגיעה בהקדם, הפגיעה תהיה ממושכת והנזקים גבוהים במיוחד.
דוגמה: פורסם ב- Ynet מ 30/03/2007 ..האקר, או קבוצה של האקרים הצליחו לגנוב כ-45.7 מיליון מספרי כרטיסי אשראי מחברת TJX המפעילה רשתות קניה מוזלות בארה ב כמו TJ-Maxx - . זוהי הדליפה הגדולה ביותר של מידע של צרכנים..
"..יש לציין כי מחשבי החברה נפרצו לראשונה ביולי 2005, אך החברה הבחינה ב"תוכנה חשודה על מערכות המחשוב" רק כשנה וחצי לאחר מכן - בדצמבר 2006..".
המניעה וההתמודדות - מעגלי אבטחה
לכל ארגון קיימים גופים מתחרים, אשר ישמחו לקבל מידע פנימי ולעשות בו שימוש למטרותיהם.
נניח לרגע כי הקורא הנכבד הוא מנהל אבטחת מידע של ארגונו.
תכירו את עופר (דמות דמיונית לחלוטין) שעובד בחברה המתחרה שמטרתו לחדור לארגון, לחשוף מידע רגיש ולחבל במשאבים קריטיים.
מה השלבים שהגורם הזדוני צריך לעבור ואיך למנוע ממנו לפגוע בארגון?
1. אבטחת גישה פיזית
עופר מגיע לכניסה לארגון. המטרה שלו כעת היא לחדור פנימה.
להלן כמה אמצעים שיעזרו למנוע חדירה של גורם זר, ללא זיהוי ויכולת גילוי בדיעבד:
• על אורחי החברה להזדהות באמצעות תעודה מזהה עם תמונה ולהפקידה בדלפק הקבלה במשך כל זמן שהותם בחברה
• על אורחי החברה להיות מלווים על-ידי נציג החברה המארחת לכל אורך שהותם במתחמי החברה
• הכניסה בפועל לתחומי החברה צריכה להתבצע תוך זיהוי ממוחשב בלבד: שימוש בכרטיס מגנטי / זיהוי ביומטרי ועוד
• נחוץ מידור הגישה בתוך החברה (חובה למדר את הכניסה לחדר השרתים, מומלץ גם בכניסה למחלקות שהוגדרו כרגישות)
• יש לקיים הקלטה ובקרה על מתחמי החברה באמצעות מצלמות מעקב
2. אבטחה לוגית
גם אם מעגל האבטחה הראשון נפרץ או לא התקיים כלל ועופר הצליח לחדור פנימה, לא הכל אבוד. כעת מטרתו של הפולש היא קבלת גישה למידע הארגוני וחבלה במשאבים הקריטיים.
להלן כמה אמצעים שיעזרו לעצור את הגורם הזדוני בשלב זה:
• מניעת התחברות בלתי מבוקרת לרשת פנימית של החברה על-ידי שינוי שיטת הזדהות מול שרת DHCP - במקום הקצאת כתובות IP דינמית בלתי מבוקרת הנהוגה כיום ברוב הארגונים יש לעבור להקצאה מבוקרת (תוך התאמה לכתובות MAC פיזיות מרשימת מורשים מוגדרת מראש). הדבר ימנע מעופר לתקשר עם מחשבי הרשת הפנימית על-ידי חיבור כבל תקשורת פשוט למחשב הנייד שברשותו.
• הזדהות חובה בשם משתמש וסיסמה בכניסה לרשת פנימית ולכל האפליקציות.
• רענון נוהלי אבטחת מידע וביקורת אקראית רציפה בעמדות המשתמשים (כולל איתור וסילוק של פתקים עם סיסמאות, גילוי אמצעי אחסון חשודים שמחוברים למחשבים ועוד).
• מדיניות סיסמאות נוקשה
- אורך הסיסמה - מינימום 6 תווים
- הסיסמה לא תהיה זהה לשם המשתמש
- מורכבות הסיסמה - עירוב אותיות, ספרות ותווים מיוחדים
- החלפת סיסמה מאולצת מיכונית אחת ל- 90 יום לפחות
- שמירת היסטוריית סיסמאות ( איסור חזרה על 10 סיסמאות אחרונות לפחות)
• הגדרות אבטחה נוקשות
- נעילת עמדות המחשב לאחר פרק זמן מוגדר ללא פעילות, באמצעות שומר מסך (מומלץ לאחר רבע שעה או פחות)
- נעילת חשבון משתמש לאחר מספר נסיונות הזדהות כושלים (מומלץ לנעול בניסיון רביעי כושל)
- שחרור חשבון משתמש נעול באופן ידני בלבד, על-ידי מנהל הרשת
- ביטול הרשאות מנהל בעמדות (כגון: התקנת תוכנה, שינוי הגדרות, כיבוי אנטיוירוס)
- חסימת כניסות USB, צמצום השימוש בהתקני אחסון חיצוניים בעמדות העבודה
• מידור משתמשים וניהול הרשאות נכון
- חלוקת כלל משתמשי החברה לקבוצות ומתן הרשאות בהתאם להגדרת תפקידם
- חסימת גישה לספריות מחלקתיות ברשת לגורמים מחוץ ליחידה
- ביצוע סקירת הרשאות משתמשים תקופתית
- חסימת גישת המשתמשים למכונות הקריטיות (לדוגמה, על-ידי שימוש ב-Fire Wall פנימי אחד או יותר, לבקרה על התקשורת בין השרתים הקריטיים למשתמשים ברשת)
גילוי ומזעור הנזקים - זיהוי וטיפול באירועים החריגים
מה אם עופר בכל זאת הצליח במשימתו ופרץ את כל מעגלי האבטחה הקיימים? סביר להניח כי הוא חיבל בנתונים ומידע, העתיק נתונים רגישים והתקין תוכנות זדוניות על המחשבים.
מה עושים כעת?
תגובה מהירה חשובה מאוד, ככל שנטפל בבעיה ונתחקר את האירוע מהר יותר, יגדלו הסיכויים שלנו לאיתור הגורם הזדוני ולתפיסתו.
להלן השלבים בגילוי ומזעור הנזקים מאירוע החדירה:
• זיהוי האירוע על-ידי עובדים ומערכות בקרה בחברה (כגון: IDS - Intrusion detection system), בהתבסס על רשימת תסריטים מוכנים מראש (משימה חשובה למנהל אבטחת המידע בארגון). אם לא נדע איך לזהותו, האירוע עלול שלא להתגלות כלל!
דוגמה נוספת לשיטת זיהוי אירועים (לא בהכרח מיד עם התרחשותם) היא בקרה יומית על לוגים של מערכות המידע (דורש הכנת תשתית של לוגים בפירוט מספק ואמצעים לקריאתם ביעילות).
• תפיסת ראיות ושימורן - כל תהליך הגילוי של החדירה צריך להיות מתועד ומוסדר בשרשרת ראייתית (קבצים, לוגים, פרטי העובדים שגילו, הקלטות ממצלמות המעקב ועוד). הדבר נחוץ להמשך הטיפול בפרשה. מומלץ להתייעץ עם מומחי אבטחת מידע, על-מנת להבין כיצד לשמר את הראיות ולהימנע מפסילתן בהליך משפטי עתידי.
• חזרה לשגרה - במקביל, יבוצע שחזור הנתונים שניזוקו, הסרת תוכנות מזיקות שהותקנו, הסדרת הגדרות מחדש וחזרה לפעילות רגילה בסביבת הייצור.
• ניהול הליך משפטי ופלילי נגד התוקף - תוך שימוש בראיות שנאספו ועירוב גורמי אכיפת החוק הרלוונטיים (כגון: משטרת ישראל, הרשות לניירות הערך ועוד).
• הפקת לקחים - שדרוג מנגנוני מניעה ובקרה בארגון, על-ידי לימוד האירוע החריג. חשוב מאוד להסביר את האירוע לעובדים הנוגעים בדבר ולקיים סיעור מוחות למציאת הדרכים למנוע אירועים דומים בעתיד.
לסיכום
הסכנות לעיתים קרובות באות מתוך המתחם של החברה. לרוב, קיימים כשלים רבים במעגלי האבטחה או שהם אינם מתפקדים כלל. הנזקים עלולים להיות גדולים מאוד, לפיכך יש לשנות תפיסה ולהתכונן לתסריט הגרוע מכל.
בהינתן מיקוד ניהולי נכון וידע מקצועי מספק בתחום אבטחת המידע, הארגון יכול לשפר משמעותית את חוסנו ולהימנע ממצבי חירום שעלולים להביא להפסדים או קריסה מוחלטת.
רמי איצלב, M.B.A, CISA מייסד ארה שירותי ביקורת אתר: http://www.era-ita.com דוא"ל: rami@era-ita.com רמי הינו בעל תואר B.Sc. במדעי המחשב וסטטיסטיקה ותואר שני במנהל עסקים מטעם אוניברסיטת בר-אילן, חוקר פלילי מוסמך ומבקר מערכות מידע (CISA) מוסמך. רמי חבר בלשכת המבקרים הפנימיים ובעל 6 שנות ניסיון בביקורת פנימית, ביקורת מערכות מידע, SOX וחקירות.
ויקה וולודינה בעלת תואר ראשון במדעי המחשב ומתמטיקה ומתמקצעת ביעוץ וביקורת מערכות מידע, אבטחת מידע, ניהול סיכוני IT ו- SOX IT. בעלת ידע נרחב ויכולת מקצועית גבוהה בכל הנוגע לתשתיות מחשוב, מערכות הפעלה, מבדקי איכות במערכות מידע ועוד. בעלת ניסיון בתחום תוכנה, בדיקות איכות, עריכת סקרים טכנולוגיים ועוד.