עשרת השלבים בדרך לאבטחה תלת מימדית בארגון [מדריך]

כיצד יכול עסק להבטיח את התגוננותו נוכח האיומים המשתנים חדשות לבקרים? דבר אחד בטוח: מערך ההגנה חייב להשתנות בעצמו

הפוסט נכתב על-ידי תום דווידסון, מנהל טכני בחברת Check Point. 

תמונה: flickr, cc-by, bclinesmith

עברנו שנתיים סוערות בתחום אבטחת סביבת ה-IT, במהלכן סבלו עסקים מפרצות אבטחה ומזליגות מידע בקנה מידה חסר תקדים וכן מאיומים חדשים שהופיעו. בשנת 2010 לבדה חווינו את Operation Aurora, התקפת אינטרנט שהתמקדה בעשרות חברות הנמנות עם רשימת ה-Fortune 100 וגרמה להן נזקים בהיקף של מיליוני דולרים. בעקבותיה אירעה פרצת Wikileaks אשר חשפה עשרות אלפי מסמכים סודיים של הממשל האמריקני בהתקני זיכרון נייד יחידים, וכן התוכנה הזדונית המאיימת במיוחד, Stuxnet, אשר כוונה נגד תוכנית הגרעין האיראנית ואף הצליחה לעכב אותה.

ההתקפות הללו היו רק קצה הקרחון. מתחת לפני השטח מתרחשות מדי יום אלפי התקפות באינטרנט, וליתר דיוק – 69 התקפות בשנייה. רובן סמויות, לא מדווחות ובמקרים רבים משום שכך הן נועדו לפעול ולחלוף מתחת לרדאר ולא להתגלות. גורמים זדוניים בוחרים בקפידה את יעדיהם, אוספים עליהם מידע ממקורות מגוונים (כגון Twitter ,LinkedIn ואתרי אינטרנט ארגוניים) ומתחקים אחר נקודות התורפה הפגיעות שלהם, על-ידי שיגור התקפות דיוג ממוקד (spear phishing) תוך התחזות למסרי תקשורת תמימים למראה.

כיצד יכול עסק להבטיח את התגוננותו נוכח האיומים המשתנים חדשות לבקרים? דבר אחד בטוח: מערך ההגנה חייב להשתנות בעצמו. שום ארגון אינו יכול להרשות לעצמו להמשיך ולרכוש את אמצעי האבטחה ולקיים את הרגלי הפריסה שהיו מקובלים בעשור שעבר, דהיינו – איסוף פתרונות שונים וצירופם זה לזה באופן לא שיטתי.

מלחמה במספר חזיתות

גישה זו עולה ביוקר ובסופו של דבר אינה ניתנת לשליטה – וכאשר לא ניתן לשלוט בה, היא אינה מקנה ביטחון. בחודש מרץ 2011, ערך Ponemon Institute סקר בקרב יותר מ- 2,400 מנהלי אבטחת סביבת ה- IT ברחבי העולם. רובם הודו כי ניהול סביבות אבטחה מורכבות הוא האתגר הקשה ביותר שאיתו הם מתמודדים, ויותר מ-55% מהם מאבטחים את הרשת שלהם באמצעות פתרונות של יותר משבעה יצרנים שונים. ארגונים נאבקים קשות כדי להקטין את עלות הבעלות הכוללת (TCO) ולהגדיל את הביצועים למקסימום.

כ-30% מהמשיבים אמרו שהחשש העיקרי שלהם מאימוץ טכנולוגיה חדשה הוא העמידה בדרישות. נוכח השגשוג של מחשוב ענן, ניידות, Web 2.0 ויישומי שיתוף קבצים, ארגונים נאבקים לא אחת כדי להחיל את רמות האבטחה ההולמות בכל שכבות הרשת, ובו בזמן לציית לדרישות המחמירות של העמידה בדרישות. הטכנולוגיות החדשות הללו גם מעלות את מאפיין המורכבות של נושא האבטחה ומגבירות את הסיכון לאובדן נתונים על-ידי העובדים או גורמים פנימיים אחרים.

האבטחה מתאפיינת, אם כן, בשלושה מימדים ראשיים שיש להבינם. על מנת לאכוף הגנה טובה יותר, על הארגונים להתייחס לנושא האבטחה תוך ראייה הוליסטית של סביבת העבודה, כדי להבין מאין עלולה להיפתח הרעה, או, היכן נמצאים האיומים. בשלב הבא עליהם להגדיר מדיניות ברורה העולה בקנה אחד עם הצרכים העסקיים שלהם ועם התקנות המחייבות אותם במסגרת הענף שלהם. לבסוף, עליהם לחנך את אנשיהם – העובדים והשותפים העסקיים שלהם – להעלות את מודעותם לגבי התפקיד החיוני שהם ממלאים בפרופיל האבטחה של הארגון.

אנו קוראים לשלבים הללו אבטחה תלת מימדית (D Security): שילוב של אכיפה, מדיניות ואנשים, כדי להגן בצורה יעילה כלכלית מפני איומים ולמתן סיכוני פרצות והתקפות בכל רמות הארגון. אם כן, מהי התוכנית לקבלת אבטחה תלת מימדית?

בפוסט זה נתאר את 10 השלבים העיקריים שיסייעו לכם להגדיר מדיניות, לטפל באיומים, לשלוט בנכסי האבטחה, למזער את עלות הבעלות הכוללת (TCO) ולעודד את האנשים המעורבים להצטרף ולקחת חלק במערך האבטחה הארגוני – וכך לחולל את התמורה המתבקשת בהגנה מפני איומים.

תמונה: flickr. cc-by, quinet

1. מדיניות כגורם שינוי

השלב הראשון בהשגת תיאום מלא בין האבטחה לבין הצרכים העסקיים הוא הערכת המדיניות של אבטחת סביבת ה- IT של החברה. מתי לאחרונה נבדקו כללי המדיניות ועודכנו במטרה לשקף את ערוצי התקשורת החדשים, כגון השימוש במכשירי סמארטפון ובהתקנים ניידים נוספים לצורך גישה לדוא”ל ולרשת, או השימוש ביישומי מדיה חברתית?

זאת ועוד, מתי הופצו כללי המדיניות בקרב עובדי הארגון? האם בכלל קראו אותם? ועל אחת כמה וכמה, האם הבינו את משמעותם? מחקרים שנערכו לאחרונה מלמדים כי בקרב עובדי חברות בבריטניה שוררת מודעות נמוכה לנושא האבטחה: מסמך של Ponemon Institute מאביב 2011, מעלה כי 53% ממנהלי מערכות המידע בבריטניה סבורים שהעובדים בחברות שלהם מגלים מודעות נמוכה ואפילו אפסית למדיניות האבטחה ולסוגיות של עמידה בדרישות בנושא זה.

כדי שמדיניות אבטחה תהיה רלוונטית, תחילה עליה לשקף באופן נאמן את ההתנהלות הנוכחית בעסק. האם העובדים משתמשים במחשבים ניידים, מכשירי סמארטפון ובהתקני אחסון לצורך עבודתם? אם טרם ביצעת ביקורת לגבי השימוש בהתקנים אישיים במסגרת העסק, התשובה פשוטה: כן, השימוש בהתקנים אישיים נפוץ מאוד, והמידע הארגוני שלך נמצא בהתקנים הללו, בין אם נתת את אישורך לכך ובין אם לאו. האם העובדים משתמשים במדיה חברתית וב-Web 2.0 לצורך עבודתם? כן, וגם למטרות שאינן קשורות בעבודה.

מדיניות אבטחה אפקטיבית מתחילה בביקורת מעשית מלאה ברשתות ובהתקנים של הארגון, כזו שמביאה בחשבון את סוגי המחשוב הקיימים בעסק; סוגי הנתונים המעובדים, זיהוי ההתקנים המעבדים את הנתונים ומקום העיבוד; ההשלכות השליליות הפוטנציאליות (המשפטיות, הרגולטוריות והתדמיתיות) במקרה שהנתונים הללו יאבדו, ייגנבו או יישלחו ליעד שגוי; וכן הנתיבים שעשויים לשמש האקרים פוטנציאליים לצורך פריצה למערכות שלך. כלומר, היכולת לזהות צורכי אבטחה ופערי אבטחה במערכי ההגנה, במטרה להבין היכן עלולים הסיכונים להימצא.

לאחר שתגדיר את המדיניות, יש לדאוג שכל העובדים בכל הרמות יבינו אותה, ולא רק אלה שיודעים להבדיל בין מערכת למניעת חדירות (IPS) לבין מערכת לגילוי חדירות (IDS). כלומר, שהמדיניות תוצג במונחים עסקיים פשוטים, ולא במונחים טכנולוגיים גרידא. לדוגמה, עליה להכיל הוראות פשוטות פשוטות מסוג זה:

  • מחשבים ניידים המשמשים למטרות עסקיות, חייבים לכלול מערכת הצפנת נתונים, בין אם הם סופקו על-ידי החברה ובין אם הם בבעלות פרטית.
  • כל הנתונים המועתקים להתקנים נשלפים, חייבים לעבור הצפנה חזקה. חובה להשתמש אך ורק בהתקן המסופק על-ידי החברה למטרה זו.
  • השימוש ביישומי מדיה חברתית במסגרת המשרד (YouTube ,Twitter ,LinkedIn ועוד) יעבור ניטור וכל הפעולות יתועדו.

כיום, ברוב הארגונים לא קיימת מדיניות קלה להבנה, ולעתים קרובות הם אפילו אינם טורחים להודיע לעובדים שלהם על קיומה. מאחר שהעובד מהווה חוליה קריטית באבטחת סביבת ה-IT ונוכח ריבוי ההתקפות הממוקדות אישית כדי לגרום לעובד לעשות צעד שגוי ועל-ידי כך לקבל גישה למידע רגיש, חשוב מאוד שהעובדים יבינו את מדיניות האבטחה ויטמיעו אותה היטב. בהמשך נרחיב בעניין אופן האכיפה היזומה של מדיניות בנקודות קריטיות של קבלת החלטות, מבחינת האבטחה.

2. זהירות מהפער (הטכנולוגי)

תמונה: flickr, cc-by, Evan Krell

בשלב מס’ 1 הזכרנו את העובדה שערוצי התקשורת והכלים העסקיים מתפתחים בהתמדה, ומשמעות הדבר שאיומי האבטחה עוברים תהליך של התפתחות במקביל. אם נתייחס לדוגמה אחת מני רבות של פרצת אבטחה טיפוסית, אובדן נתונים, בשנת 2011 מצא Ponemon Institute כי רק 25% מהארגונים בבריטניה לא חוו אובדן נתונים בשנת 2010. מתוך מקרי אובדן הנתונים, 54% נגרמו עקב אובדן או גניבת ציוד, 25% עקב התקפות האקרים, 22% התרחשו באמצעות יישומי אינטרנט או אתרי שיתוף קבצים ו-6% היו תוצאה של שליחת הודעות דוא”ל לנמענים שגויים.

מסתבר שארגונים מועדים לאובדן נתונים באמצעות יישומי Web 2.0 במידה כמעט זהה לזו של התקפה זדונית פעילה על הרשת. יתרה מכך – פעולות פשוטות שנעשות שלא בכוונה, כגון איבוד התקן או לחיצה חפוזה על לחצן ‘שלח’ ביישום דוא”ל, הן פרצות אבטחה נפוצות במיוחד.

לפיכך, ביקורת הרשת שהומלצה בשלב 1, תדגיש את האופן שהעסק שלך משתמש במשאבי ה- IT שלך ואת האיומים הניצבים בפניו כתוצאה משימוש זה. כתוצאה מכך תוכל לזהות אמצעי הגנה נוספים שעשויים להידרש כדי לגשר על פערים שהתשתית הנוכחית אינה מכסה – בכלל זה: מניעת זליגת נתונים (DLP – Data Leak Prevention) לניטור תעבורת דוא”ל יוצאת; פתרונות בקרת משתמשים ויישומים לניהול מבוסס מדיניות של כל משתמש ומשתמש באשר לשימוש באינטרנט וביישומי מדיה חברתית; מניעת חדירות כדי להפחית את הסיכון להתקפות האקרים ולבטל איומים מתמידים מתקדמים (איומי APT); אמצעי הגנה מפני בוטים כדי למנוע הדבקות באמצעות בוטנט, דבר שעלול להכניס את הארגון לרשימה שחורה של שולחי דואר זבל ולצרוך רוחב פס ועוד.

3. שילוב תפקודים ללא פשרות

כפי שהוזכר קודם לכן, ההשתלטות על רמת המורכבות של האבטחה היא סוגיה מעמיקה, העולה לעתים תכופות בארגונים קטנים וגדולים. לדברי Ponemon Institute, מדובר בבעיית האבטחה החמורה ביותר הניצבת כיום בפני חברות. הדבר כלל אינו מפתיע: בימינו, סביבות האבטחה הפכו להיות יותר מורכבות מאי פעם, נוכח המאבק המתמיד של עסקים להעלות את רמת האבטחה שלהם ולהתמודד עם איומי האבטחה האחרונים. הוספת רבדים חדשים לתשתיות האבטחה ופריסת מוצרי פתרון נקודתי לצורך הגנה מאיומים ספציפיים, יוצרת בארגונים מצב שבו עליהם לנהל 10 מערכים ואף יותר, של מערכות, יצרנים ופלטפורמות מסוגים שונים.

נוסף לקושי הרב להשתלט על כל אלה, הדבר גורם גם לחוסר יעילות ולבזבוז כספי ותפעולי. לכך מצטרף הצורך להטמיע טכנולוגיות כגון: VPN ,Firewall ,IPS, אנטי וירוס, אנטי ספאם, בקרת גישה לרשת (Network Access Control) ועוד, הן ברמת הרשת והן בנכסי נקודות קצה, כגון מכשירי סמארטפון ומחשבים ניידים.

יותר מאי פעם, ארגונים זקוקים לגישה הנמנעת מגודש של מוצרי אבטחה שונים, שכל אחד נותן מענה יחידני לבעיה מסוימת. במקום זאת, הם זקוקים לתשתית ניתנת להרחבה, המספקת את מנגנוני האבטחה שעונים על צורכיהם הנוכחיים, עם האפשרות לגדול בהתאם להתפתחות צורכי האבטחה.

גישה זו מגולמת בארכיטקטורת Software Blade של Check Point, סדרה של יותר מ- 30 מודולי אבטחה עצמאיים וגמישים, הניתנים לרכישה נפרדת או כחבילות מוצרים מוגדרות מראש ולפריסה בשערים (gateways) ובהתקנים קיימים. גישה זו מאפשרת לך לבנות פתרון שער אבטחה המותאם לצרכים המוגדרים שלך – והמנוהל באמצעות ממשק ניהול יחיד, המשלב תפקודים ומפשט את השליטה, בלי להתפשר על אבטחה.

4. סוגיות של גבולות הארגון

באחד הסעיפים הקודמים עסקנו בגידול המחשוב הנייד ובהפיכתו לחלק בלתי נפרד משגרת העבודה ברוב החברות. צוותי ה-IT נאבקים כדי לעמוד בקצב של ההתקנים הרבים שהעובדים מחברים לרשת הארגונית שלהם. בדומה למחשבים הניידים, טכנולוגיות שהחלו את דרכן בשוק הצרכני, מצאו את דרכן לסביבת העבודה העסקית. מוצרי חומרה צרכניים, כגון מכשירי סמארטפון (iPhone ,Blackberry והתקני Android) וגם מחשבי לוח, מצאו את מקומם בעסק.

כדי להקדים את מגמת החדירה של מוצרי הצריכה לסביבה העסקית, על העסקים להבטיח את ההגנה על הנתונים והמשאבים של החברה המועברים באמצעות ההתקנים או השירותים הניידים הללו, ובו-בזמן להעניק לעובדיהם גישה מאובטחת לרשת, בכל עת ומכל מקום.

נקודת ההתחלה, כפי שהזכרנו בשלב מס’ 1, היא לבצע ביקורת לכל ההתקנים הנמצאים בשימוש בארגון ולזהות את העובדים המשתמשים בהם כדי לגשת לרשת, לטפל בהודעות דוא”ל ועוד. בשלב הבא, לאחר שהגדרת את גבולות הארגון, תוכל להחיל את מערך ההגנה: על-ידי הקצאת אבטחה בניהול מרכזי לכל התקן (לדוגמה: על-ידי שימוש ב- Mobile Access Software Blade של Check Point ותוכנת לקוח) או אפילו על-ידי מתן פתרונות מרחב עבודה וירטואלי אישי, כגון Abra של Check Point, לעובדים ולשותפים – פתרון זה מאבטח כל מחשב נייד או מחשב שולחני שהם מתחברים אליו ומאפשר להם לעבוד בצורה בטוחה מכל מקום, בלי להשאיר שום עקבות במחשב המארח עם סיום עבודתם. פתרונות כאלה מאפשרים להגן אפילו על עמדת העבודה המרוחקת ביותר במעגל ההיקפי של הארגון.

תמונה: flickr. cc-by, ItzaFineDay

5. אבטחת נתוני הארגון

לאחר שקבעת היכן עוברים גבולות הארגון, יש חשיבות מכרעת לאבטחת הנתונים הרגישים שלך בכל מקום שבו הם נמצאים. אף שהנתונים בטוחים יחסית בשרתים המוגנים על-ידי חומת האש הארגונית, די במספר לחיצות בעכבר כדי לשגר אותם אל מחוץ לארגון, באמצעות שליחתם בדוא”ל, העתקתם לזיכרון USB נייד או שכפולם בהתקן נייד.

לכן עליך לפרוס שכבות הגנה מרובות כדי להתגונן מפני כל האפשרויות הללו. פתרון מניעת זליגת נתונים (DLP – Data Leak Prevention) יסייע להפחית את הסיכוי של אובדן נתונים בהיסח הדעת על-ידי שליחת דוא”ל. פתרונות הצפנת נתונים בנקודת קצה יכולים להצפין אוטומטית נתונים הנכתבים למדיה נשלפת, כדי להבטיח המשך הגנה על הנתונים, גם במקרה שהתקן האחסון אבד או נגנב.

פתרונות נקודת קצה יכולים גם לסייע בהגנה על מחשבים ניידים ומכשירי סמארטפון באמצעות הצפנת כלל הנתונים, ועל-ידי כך להבטיח כי כל הנתונים המאוחסנים בהתקן מאובטחים באופן קבוע. כפי שציינו בשלב 4, ארגונים מסוימים מסגלים פתרונות מרחב עבודה וירטואלי אישיים, המאפשרים לעובדים לגשת למחשבים האישיים שלהם בצורה מאובטחת מכל מחשב ושומרים על ההגנה של נתונים רגישים.

6. חינוך והעצמה, מתן אמון ואימות

בשלב 1 דיברנו על העובדים המשתווים בחשיבותם לפתרונות ה- IT שהארגון מפעיל. רוב הארגונים אינם מקדישים תשומת לב מספקת למעורבות המשתמשים בתהליך האבטחה. לאמיתו של דבר, לעתים קרובות מופגנת הדעה שאבטחת ה-IT מיועדת להגן על המשתמשים מפני טעויותיהם הם. אכן, פעולות שגויות שעושים המשתמשים גורמות לעתים תכופות לתקלות אבטחה, כגון הדבקה בתוכנה זדונית ואובדן נתונים.

עם זאת, הכנסת העובדים לתהליך האבטחה יכולה רק לשפר את מערך ההגנה ולחזק אותו. אם מעדכנים את העובדים ומקנים להם את כללי מדיניות האבטחה של הארגון וגם מדריכים אותם כיצד עליהם לפעול בעת שהם ניגשים לרשת הארגונית, הם ימלאו תפקיד מרכזי במזעור הסיכונים. הדבר החשוב ביותר הוא לשלב את האבטחה בצורה חלקה, שקופה ובלתי מופגנת ככל האפשר, ולא לעכב את העבודה באופן חריג או לשנות את אופן ביצועה – במיוחד לאור השימוש הנרחב ביישומי מדיה חברתית ו-Web 2.0 למטרות עסקיות.

הדרך היעילה ביותר להשיג זאת היא להעלות את מודעות המשתמשים לבעיות האבטחה הפוטנציאליות הכרוכות בפעולה בלתי מזיקה למראית עין כמו שליחת דוא”ל, על-ידי שיקוף הפעולות למשתמשים, כדי שאלה יוכלו להיות מעורבים באופן פעיל בתהליך האבטחה. זו הגישה שעליה מושתתת טכנולוגיית UserCheck של Check Point.

מניעה היא הפתרון.

הבה נבחן תרחיש טיפוסי הכולל פתרון מניעת זליגת נתונים (DLP – Data Leak Prevention) כדי להמחיש את אופן הפעולה של UserCheck. כאשר עובד מחבר הודעת דוא”ל, ממען אותה ולוחץ על ‘שלח’, פתרון ה-DLP סורק את גוף ההודעה ואת הקבצים המצורפים אליה ומשווה אותם למערך מאפיינים מוגדרים, כדי לזהות אם הם מכילים נתונים שעשויים להיות רגישים.

מאפיינים אלה עשויים לכלול מילות מפתח מסוימות בגוף ההודעה, כגון ‘פיננסי’, ‘דו”ח’, ‘מפרט’ ועוד; סוגי קבצים כגון גיליון אלקטרוני או מצגת (שעשויים להכיל נתונים פיננסיים); או מסמכים שעשויים להכיל רישומים חסויים או חומר בעל חשיבות אסטרטגית. כאשר פתרון ה-DLP מגלה פרצה פוטנציאלית על סמך תוצאות הניתוח שלו, הוא מבטל את פקודת ‘שלח’ ומציג למשתמש תיבת דו-שיח מוקפצת, המזהירה אותו מפני סיכון פוטנציאלי לאובדן נתונים ומאפשר לו לבחור אם להמשיך את הפעולה. בשלב זה על המשתמש להחליט על פעולתו הבאה: א) לשלוח את הדוא”ל והמסמכים המצורפים ללא שום שינוי; או ב) להכיר בטעותו ולהנחות אותו לערוך את גוף ההודעה ולהסיר את הקבצים המצורפים. ניתנת למשתמש גם האפשרות להזין טקסט קצר בו הוא מסביר מדוע עקף את ההתראה של פתרון ה-DLP.

פתרון ה-DLP מתעד את פעולת המשתמש, את מתן ההתראה ואת ההסבר שהזין המשתמש, ובכך יוצר נתיב ביקורת עבור ניתוח ובדיקה בהמשך. הדבר מסיר מצוות ה-IT חלק גדול מהנטל הכרוך בניהול האבטחה השוטף, מכיוון שהעובדים מקבלים אחריות רבה יותר בהתגוננות מפני סיכוני אבטחה. ניתן לנקוט גישה זהה לגבי גישת משתמשים ליישומי מדיה חברתית. במקום לחסום את גישת המשתמשים ל- LinkedIn ,YouTube ואתרים ויישומים דומים נוספים, אפשר להציג להם תיבת דו‑שיח מוקפצת שתזכיר להם את מדיניות הארגון לגבי שימוש ביישומים הללו ותורה להם להזין הערה קצרה לגבי מטרת השימוש באתר.

בשיטה זו המשתמש מקבל תזכורת לגבי מדיניות האבטחה של החברה בשלב הקריטי ביותר – רגע לפני שנוצרת פרצה פוטנציאלית. הדבר מסייע לחזק את מערך אבטחת המידע תוך מתן אמון במשתמש, בלי לוותר על אימות הפעולות שהוא מבצע.

7. מניעת ענני סופה

תמונה: flickr, cc-by, ItzaFineDay

רוב עולם העסקים, כולל תאגידים גדולים וגם עסקים קטנים ובינוניים, צופה הגירה של סביבת המחשוב שלו או לפחות חלק ממנה, למחשוב ענן. בה בעת מתרחבת קשת שירותי הענן באופן ניכר, מאחר שיישומים רבים יוצעו במסגרת ענן המחשוב בשנים הבאות.

ענן המחשוב מציב בעיות אבטחה ברורות: סקר CIO Cloud 2010 של Morgan Stanley מעלה כי אבטחת הנתונים ואובדן השליטה הם החששות העיקריים של חברות; בדרגת חשיבות הבאה, ניידות ובעלות על נתונים, עמידה בדרישות הרגולטוריות, אמינות וזמינות.

חברות המשתמשות בשירותים בענן המחשוב, אינן יכולות לדעת בוודאות עם אילו גורמים הן משתפות את סביבת העבודה שלהן, והדבר מעורר חששות חמורים לגבי הפגיעות הפוטנציאלית. דרושה הגנה ייעודית כדי לאבטח סביבות דינמיות ווירטואליות ורשתות חיצוניות, כגון עננים פרטיים וציבוריים, מפני איומים מבית ומחוץ, על-ידי אבטחת מחשבים ויישומים וירטואליים בדרך דומה מאוד לזו שבה מאבטחים רשתות והתקנים מסוגים מקובלים. פתרונות כמו Security Gateway Virtual Edition של Check Point מספקים אבטחה כזו, ומבטיחים אבטחה והגנה על סביבות וירטואליות באותה הקלות שבה הדבר מתבצע ברשתות רגילות.

8. שמירה על נראות (visibility)

עם העלייה המתמדת בהיקף האיומים ובמורכבות האבטחה, ניהול מורכבות זו הפך לבעיה קריטית. באביב 2011, דיווח Ponemon Institute ש-42% ממנהלי ה-IT בבריטניה טוענים שניהול המורכבות של מערך האבטחה ואכיפת המדיניות הם האתגרים הגדולים ביותר הניצבים בפניהם בתחום ה-IT.

מורכבות זו מקשה מאוד לאתר סימנים המעידים על פרצות במערך ההגנה ועל חדירת איומי אבטחה. רשתות ופריסות אבטחה כגון מערכת למניעת חדירות (IPS), מערכת לגילוי חדירות (IDS), חומות אש ואנטי וירוס מפיקות נתוני יומן בנפחי ענק מדי יום. כך עלולות להיווצר גם התראות חיוביות שגויות, אשר לעתים קרובות מסתירות מצוות ה- IT את האיומים הצצים מתחת לאפם.

מיון וסינון אירועים אלה גוזל זמן רב – זמן שאיומי האבטחה האמיתיים יכולים לנצל לטובתם. הבעיה נעוצה בכך שאין מספיק הקשר להתראות. חומות אש ומערכות למניעת חדירות אינן “מבינות” את החשיבות העסקית ואת נקודות התורפה של כל המערכות הפועלות בארגון. לדוגמה, חומת האש עשויה לדווח על ניסיון של תוכנה זדונית להדביק שרת אינטרנט כאירוע בעל קדימות גבוהה, גם אם המערכות מעודכנות לעמוד בפניה.

עם זאת, פתרון לניהול אירועי אבטחת מידע (SIEM) כגון Check Point SmartEvent, מסוגל לנהל אוטומטית את פעולות האיסוף, ההתאמה ויצירת ההקשר המדויק בין נתוני יומן האבטחה לבין האירועים. כך מתקבלת נקודת מבט אובייקטיבית על אירועי הרשת, מורחק הרעש הבלתי רלוונטי והגורמים האחראים יכולים להתמקד באירועים החשובים באמצעות ממשק ניהול יחיד. הדבר מפשט את מטלות הניהול, מפנה זמן יקר לצוות ה- IT ומעניק לו את הכלים הדרושים לשמירה על נראות בלי להכריע אותו בעומס יתר.

9. בחירת פלטפורמה מתאימה

עסקנו קודם בסוגיית העלייה המתמדת במורכבת של נכסי האבטחה ובהופעת איומים קיימים וחדשים, תופעות המחייבות שימוש במוצרים חדשים במטרה להפחית את הסיכונים ויוצרות מצב של ‘התפרסות פתרונות’.

פתרונות האבטחה בארגון אמורים להקנות לצוות ה-IT יכולת להקים מערך הגנה אפקטיבי ומבוסס מדיניות, ללא צורך בתחזוקה קבועה וללא מטלות ניהול מורכבות בממשקי ניהול רבים. יש לבטל את התפרסות הפתרונות, לפשט את התשתית ולארגן אותה בצורה מושכלת, כדי לרסן עלויות ותקורות ניהול. ניתן להשיג זאת בשתי דרכים: הראשונה, על-ידי פריסת פתרון שער המשלב ,VPN ,IPS ,Firewall אבטחת נקודת קצה, סינון כתובות אתרים (URL filtering) ואמצעים נוספים – כל אלה בפלטפורמת חומרה אחת. שערים אלה יכולים לספק ערך מוסף גבוה מאוד וניהול פשוט ביותר, במיוחד לעסקים קטנים ובינוניים, מאחר שהם מאפשרים לצרף מוצרים רבים הטובים מסוגם לכדי פתרון יחיד. כלפי שערי אבטחה מרובי תפקודים הופנתה ביקורת שהם מתפרסים על מגוון תחומים, מבלי להתמחות באף אחד מהם. טענה נוספת דיברה על חוסר הגמישות והקושי לשדרג אותם כדי להתעדכן בכלי הגנה חדשים. עם זאת, שערים מהדורות החדשים מפגינים ביצועים ויכולת הרחבה והסתגלות לגידול.

הגישה השנייה דוגלת בשימוש בארכיטקטורה הניתנת להרחבה, כגון Software Blade של Check Point, מערך מודולי אבטחה עצמאיים וגמישים, הניתנים לרכישה נפרדת או כחבילות מוצרים מוגדרות מראש ולפריסה בשערים (gateways) ובהתקנים קיימים, בהתאם לדרישות המוגדרות של הארגון. שתי הגישות אינן מתקיימות זו לצד זו: שערי האבטחה של Check Point עושים שימוש גם בארכיטקטורת Software Blade ועל-ידי כך מקנים מידות ויכולת הסתגלות אופטימליים לשינוי. עם זאת, השאלה המרכזית נותרת בעינה: כיצד תבחר בשער המתאים העונה על צורכי האבטחה הנוכחיים שלך מתוך ביטחון שהוא יכול לגדול ולעמוד בקצב הדרישות המשתנות גם בעתיד? דרישות האבטחה של סביבות המחשוב יכולות להשתנות במידה רבה בין ארגונים שונים: גודל הרשת, התפוקה (throughput) הנדרשת ממנה, תפקודי האבטחה הרצויים, היכולת לטפל בגידול עתידי והתקציב שהוקצה – כל אלה מהווים מרכיבים משמעותיים בתהליך קבלת ההחלטות. בנוסף, נתוני ההשוואה הקיימים עבור שערים, מציגים תמונה מוטעית, מכיוון שהם כוללים בדרך כלל רק את התפוקה של חומת האש, הנמדדת בתנאי מעבדה אידיאליים – דבר ההופך את ההשוואה לבלתי מציאותית.

עם זאת, Check Point הציגה לאחרונה את מדד הביצועים SecuurityPower המאפשר ללקוחות לבחור בהתקני אבטחה בהתאם ליכולתם לטפל בתעבורת רשת אמיתית בתפקודי אבטחה מקדמים רבים ובמדיניות אבטחה טיפוסית. לכל התקן יש יכולת SecurityPower מוגדרת שמייצגת את ביצועיו הממשיים.

מחשבים אותה על ידי הכללת מדדי ביצועים רבין המבוססים על תמהיל ממשי של נתוני תעבורת רשת, שנאספו ממחקר מקיף שנערך בקרב לקוחות רבים של CheckPoint. מחילים על תעבורת רשת, שנאספו ממחקר מקיף שנערך בקרב לקוחות רבים של Check Point. מחילים על תעבורת הנתונים צירופים שונים של תפקודי אבטחה מתקדמים, כולל Firewall, IPS, בקרת יישומים, אנטי וירוס, סינון כתובות אתרים (URL filtering) ומניעת אובדן נתונים. כל המדידות מתבצעות תוך שימוש במדיניות אבטחה מציאותית, הכוללת 100 כללי Firewall, תיעוד התחברויות, תרגום כתובת רשת (NAT – Network Adress Tranlation), פרופיל הגנת IPS חזק וחתימות וירוסים עדכניות.

קיים גם כלי לבחירת התקנים, המיועד לסייע בזיהוי התקנים העומדים בצורה מיטיבית בדרישות האבטחה של הרשת והמסוגלים לתמוך בגידול התנועה הצפוי ובתפקודי אבטחה נוספים. בחירת הפלטפורמה המתאימה תאפשר לך למזער את מוככבות מערך האבטחה, לקצץ בעלויות התקורה ולהקטין את נטל ניהול ה-IT.

10. להימנע מהלם העתיד

השלב הסופי בשינוי מערכי ההנה הארגוניים מפני איומים הוא הפיכת נושא האבטחה לחלק מרכזי בתשתית ה-IT הכוללת של הארגון, ולא רק רכיב חיצוני או תוצאה של מחשבה שלאחר מעשה. האבטחה צריכה לעלות בקנה אחד עם דרישות הארגון, כדי לסייע להבטיח המשכיות עסקיות שוטפת עם סיכון מזערי לשיבושה.

לשם כך, הבא בחשבון את שלושת ממדי האבטחה הקריטיים:

  •  ראיית העסק וסביבת ה-IT בגישה הוליסטית, במטרה להגדיר מדיוניות ברורה המתיישבת עם הצרכים העסקיים והתקנות המקובלות בענף.
  • אכיפה של הגנה בהתאם למדיניות, באמצעות פתרונות אינטגרטיביים.
  • מתן חינוך והכשרה לאנשים – עובדים ושותפים – באשר לתפקידם החיוני בקיום מדיניות האבטחה ופרופיל האבטחה של הארגון.

בנוסף, קיים ערוץ תקשורת עם ספקי ומטמיעי האבטחה שלך: הם אמורים לדאוג לכך שתהיה מעודכן בפיתוחים האחרונים של פתרונות שעשויים לענות על צרכיך החדשים. אם תמשיך לעדכן אותם בקביעת דבר מצבך, עליהם להיות מסוגלים להמליץ על גישות חדשות לשיפור האבטחה, הקטנת עלות הבעלות הכוללת (TCO) ותקורות הניהול של מערך ההגנה מפני סיכונים.

לסיכום

עובדים שקיבלו הדרכה בנושא האבטחה ופיתחו מודעות לתחום זה, בשילוב עם מערכת אבטחה איתנה המתייחסת לכל ההיבטים הרלוונטים ומדיניות אבטחה מוגדרת היטב, יוצרים מערך הגנה חזק ביותר מפני כל סוגי האיומים. אימוץ גישת האבטחה התלת מימדית האמורה, תאפשר לך לראות בצורה ברורה את הסיכונים הנשקפים לעסק, ותעניק לך יכולת להגיב לאיומים הללו ולנטרל אותם, הן בהווה והן בעתיד.


פוסט זה הוצג בחסות Check Point


האם אתם יודעים איזה אפליקציות Web 2.0 נמצאות בשימוש בארגון שלכם. האם אתם מודעים לחורי האבטחה שהעסק שלכם חשוף אליהם ואיזה מידע רגיש נשלח אל מחוץ לארגון?

חברת צ’ק פוינט מפעילה את תוכנית 3D Security Analysis Report המאפשר לכם על מנת לקבל דו”ח מרוכז, גרפי, קל, נעים ונוח לקריאה ללא עלות על סיכוני האבטחה ואיבוד המידע של העסק.

לפרטים נוספים וקבלת דו”ח לעסק שלכם, לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "עשרת השלבים בדרך לאבטחה תלת מימדית בארגון [מדריך]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דודי
Guest

הבהרה בנוגע ל – 3D Security Analysis Report .
זה ניתן לבצע רק ללקוחות שמריצים checkpoint utm blades
מה בנוגע ללקוחות שיש להם fortinet , juniper , etc

לצורך כך אני נותן שרות בדיקה חינם של WTA (web threat analyzer
במידה וזה רלוונטי עבורכם , נא צרו קשר לנייד 054-2225168

נשתמע

wpDiscuz

תגיות לכתבה: