אבטחת מידע

טכנאי של הצי האמריקני מבצע תרגול של ביקורת אבטחת מידע בחומרה של מחשב אישי

אבטחת מידע היא הענף העוסק בהגנה מפני גישה, שימוש, חשיפה, ציתות, שיבוש, העתקה או השמדה של מידע ומערכות מידע מצד גורמים שאינם מורשים או זדוניים; ובסיפוק סודיות, שלמות וזמינות של המידע ללא תלות בסוג המידע או בצורת האחסון, פיזית או אלקטרונית.

מערכות מידע עומדות בפני סיכונים יום-יומיים המאיימים על שלמותן וביטחונן. ההגנה עליהן כוללת מספר רבדים, אבטחה פיזית של המבנה שבו נמצאות מערכות המחשב, אבטחה של מערכות החומרה והתוכנה, אבטחת רכיבי התקשורת ואבטחת המידע הנאגר בהן. מאגרי מידע רבים המשמשים יחידים, תאגידים ומדינות, מאוחסנים על גבי מחשבים בעלי גישה לאינטרנט. גם למאגר המבודל מהאינטרנט ניתן לגרום נזק באמצעות גישה ישירה. מאגרי מידע אלו כוללים מידע אישי, עסקי וביטחוני.

שלושת היעדים העיקריים של אבטחת מידע (CIA) הם:

  • שלמות (Integrity) – הגנה מפני שינוי זדוני של המידע או השמדתו, כולל הבטחת אי התכחשות ואימות זהויות בעלי המידע.
  • סודיות (Confidentiality) – הגבלת גישה או חשיפה לא מורשית של מידע, כולל הגנה על פרטיות וזכויות קנייניות במידע.
  • זמינות (Availability) – שמירה על זמינות ויעילות הגישה אל המידע בכל זמן נתון.

חלק מהיעדים מושגים באמצעות קריפטוגרפיה. אבטחת מידע משתמשת בהצפנה על רבדיה השונים כדי להסתיר את המידע מפני אילו שאינם מורשים לגשת אליו וכדי להבטיח את שלמותו ואמינותו באמצעות שיטות כמו הצפנה, חתימה דיגיטלית, קוד אימות מסרים, פונקציית גיבוב וכדומה. מצד שני, קריפטוגרפיה עלולה להוסיף שלא במודע בעיות אם אינה מיושמת כמו שצריך תוך שימוש בפרוטוקולים תקניים שעברו ביקורת מומחים קפדנית. אבטחת מידע היא נושא רגיש עקב העובדה ששיטות האבטחה כשלו לא פעם בגלל מחדלים כמו יישום לקוי או אי הקפדה על נהלים וכללים ראויים.

מבוא

  • אבטחת IT (טכנולוגיית מידע) הכוללת גם אבטחת מחשב אישי ברשת מתייחסת לאבטחת מידע המיושמת בטכנולוגיות מחשוב. שזהו בהגדרה כל מכשיר המכיל מעבד וזיכרון. ממכשיר עצמאי שאינו מרושת כמו מחשבון פשוט, טלפון נייד, שרת קבצים, שרת דואר, מחשב שולחני ועד מחשב לוח המחובר לרשת האינטרנט. כל ארגון המחזיק במידע בעל ערך מעסיק מומחי אבטחת מידע האחראים להבטיח שכל הטכנולוגיות בשימוש החברה בטוחות מפני לוחמת רשת המנסה ללא הרף לחדור למחשבי החברה לגנוב מידע קריטי לצורך השתלטות עוינת, חבלה או גביית כופר.
  • אבטחת מידע כוללת העיסוק בהבטחת אמינות נתונים, כך ששלמותם, סודיותם וזמינותם לא תפגע. כולל טיפול במקרה של פגיעה תשתיתית, גנבה פיזית של חומרה או אסונות טבע. היות שבימינו מרבית הנתונים מאוחסנים במחשבים, הטיפול בהבטחת אמינות מידע נופל בחלקם של מומחי אבטחת המידע. חלק מהשיטות אינן קריפטוגרפיות כמו מנגנוני גיבוי והתאוששות.

אבטחת המידע דורשת ניתוח במספר מישורים במקביל:

  1. מהות הבעיה והיווצרותה.
  2. פתרונות לבעיית האבטחה במישור הטכנולוגי, האנושי והתהליכי.
  3. תחומי הידע באבטחת מידע (עולמות ידע).
  4. מקצועות והתמחויות באבטחת מידע.

הגנה לעומק

אחד ממסמכי היסוד המהווים תשתית להבנת ההיקף והמורכבות הוא מסמך המכונה "Defense in Depth"[1] של הסוכנות לביטחון לאומי בארצות הברית (NSA), אשר מהווה המלצה לאסטרטגיה מעשית למערך אבטחת מידע. המסמך מתאר מסגרת של חתירה לאבטחת מידע ברמה הולמת לאתגרי העידן הנוכחי. התפיסה מושתתת על הפרקטיקה המקובלת – יישום מושכל של טכנולוגיות וטכניקות קיימות. ה-DiD גורס שמירה על איזון בין רמת ההגנה, העלות להשגתה ושיקולי תפעול.

הצורך באבטחת מידע

כאשר נכנסו לשימוש מחשבי הדור השלישי שעדיין עשו שימוש בכרטיס מנוקב לצורך קלט ופלט, הגישה למחשב בפועל הייתה מוגבלת ואחת הטענות באותה תקופה התייחסה ל"סגירותה של המערכת" ומגבלת השימוש בה. כאשר החל ייצורם של מחשבים "מרובי משתמשים" ומרובי מסכים נפתרה בעיית הנגישות והשימוש במחשבים התרחב ומכאן התרחב גם הסיכון לשלמותם ולמידע שעליהם. במיוחד עם שיפור יכולות התקשורת, הופעת המחשב האישי ב-1981 עת הוכרז IBM PC והמצאת האינטרנט המחשבים נעשו נפוצים וזמינים יותר ויותר כאשר המוטיב המרכזי היה "פתיחות ותקשורת קלה". התפתחות זו פתחה במקביל את הדלת גם לגישה בלתי חוקית, או לגישה שמטרתה אינה חוקית.

מודלים של אבטחת מידע

כיום נהוג ליישם אבטחת מידע על בסיס שני מודלים עיקריים. האחד: "מודל שבע השכבות" של ארגון OSI והשני: "מודל המעגלים" – CIA. בשני המודלים שכבות ההגנה החיצוניות הן: שכבת מדיניות, שכבת הגנה פיזית, שכבת הגנה על התקשורת הפנימית, שכבת הגנה על התקשורת החיצונית, שכבת הגנה על בסיס הנתונים ותחנת המשתמש, שכבת אבטחת האפליקציה, ושכבת אבטחת הנתונים. במודל המעגלים מקובל להתייחס לשלושה נכסים מרכזיים שעליהם נדרש להגן במערכות מידע:

  1. חסיון המידע – מידע יהיה נגיש לגורם שהורשה לו בלבד.
  2. זמינות המידע (והמערכת) – מערכת המידע והמידע האגור בה יהיו זמינים בהתאם לרמת הזמינות שהוגדרה על ידי לקוחות המערכת.
  3. שלמות ואמינות המידע – הגנה על כך שהמידע במערכת יכיל את כל שהוגדר מלכתחילה וכי הנתונים עצמם לא עברו שינוי על ידי גורם שאינו מורשה.

מאידך, יש להתייחס לשלושה מרכיבים שונים הגורמים לסיכון (PPT – process, people and technology):

  1. טכנולוגיות – מערכות החומרה, התוכנה והתקשורת המהוות "מערכות".
  2. אנשים – המשתמשים בטכנולוגיות, ולכן מהווים חוליה חלשה במיוחד, מכיוון שהם מפעילים או משתמשים בטכנולוגיות, ונוטים לעשות שגיאות המייצרות פרצות במערך ההגנה אשר מאפשרות לתוקף לנצלן.
  3. תהליכים – מידת הנזק משגיאת אנוש או נקודת תורפה טכנולוגית עשויה לִהצטמצם מאוד אם מבוצע תכנון נכון של התהליכים בארגון. הגדרת תהליכים בסדר נכון ובדוק מראש מאפשרת זיהוי מוקדם של פגיעה או ניסיון פגיעה במערכות.

בשל אילוצים כלכליים ולעיתים בשל מודעות נמוכה תהליכי הבקרה והרגולציה אינם טובים, משתמשי קצה לא תמיד מקפידים לציית להוראות הבטיחות והחינוך לאבטחת מידע באקדמיה לוקה בחסר. ההיבט של חלוקת התקציבים לטיפול בארבע השכבות החיצוניות מובן יותר כאשר קיימת סכנה לתשתיות שבהן האיום העיקרי אינו על המידע אלא על תהליכים טכניים, מכונות וכדומה.

"מודל הכוכב" מתאים למקרים בהם המידע הוא נשוא האיום העיקרי. בבסיס הרעיון של "מודל הכוכב" עומדים הנתונים. פעולות אבטחה יופעלו מיד עם היווצר המידע והן כוללות הצפנה, אותנטיקציה ובקרת גישה. בעבר נמנעו אנשי IT מהצפנה מחשש לפגיעה בזמינות המידע, שכן פעולות ההצפנה והשחזור דורשות משאבי מחשב. כיום ניהול מפתחות ההצפנה קל מבעבר וגם משאבי המחשבים זמינים יותר ולפיכך, כמעט אין פגיעה בזמן התגובה של המערכות.

אבטחה לעומת נוחות

ישנו ניגוד מתמיד בתהליך קבלת ההחלטות מצד המשתמשים בין אבטחה מול נוחות. הדרך העיקרית להשגת אבטחה מלאה היא ניתוק המערכת מהרשת, הסרת חיבור הרשת, המקלדת, העכבר, הצג, כונן התקליטונים והמדפסת, אך הדבר אינו מעשי וגם לא תמיד מספיק כיוון שתמיד קיים חשש שגורמים עוינים יצליחו להשיג גישה פיזית כמו החדרת דיסק און קי נגוע. הרעיון המרכזי באבטחה הוא שככל שהגישה למחשב נרחבת יותר, כך הוא פחות מאובטח. מנגד, הדרך הנוחה ביותר להשתמש במחשב היא להפכו לזמין מכל מקום בעולם, להשתמש בכל פרוטוקולי התקשורת הקיימים וללא סיסמאות, במקרה כזה רמת האבטחה שואפת לאפס.

ככל שהאמצעי ההגנה פוגעים יותר בנוחות השימוש יש סיכוי גדול יותר שהמשתמשים ינסו לעקוף או לנטרל אותם. למשל ידוע שמשתמשים נוטים לבחור בסיסמאות חלשות וקשה לאכוף כללים קפדניים שמונעים זאת. לכן חשוב לאזן בין הפגיעה בנוחות השימוש לבין אמצעי האבטחה המופעלים.

נזקי אובדן אמון לקוחות

בעיה נוספת העולה מתקיפת מערכות מידע של חברות היא אובדן אמון הלקוחות בחברה. במערכות המידע של חברות רבות מצויים מאגרי מידע המכילים פרטים המשויכים לקהל הלקוחות, וכאשר גורמים שאינם מורשים מפלסים דרך גישה למאגרים אלו, הופכים קהל לקוחותיה גם הם לקורבן. במקרה שהדבר מתפרסם ונודע ללקוחות, צפוי נזק רב לחברה, ובשל כך חברות רבות אינן מדווחות על כשלי אבטחה במערכת שלהן, על מנת להימנע ממבוכה ציבורית ופגיעה בשמן הטוב ובאמון הלקוחות.

תחומים באבטחת מידע

כדי להגן על המידע ועל מערכות המידע, נעשה שימוש במערכות אבטחת מידע. מערכות אלו פרוסות בחתכים שונים בארגון, וכוללות: הגנת המידע ביישומים שונים (הצפנה, ניהול הרשאות), הגנת מערכת המידע ברמה הלוגית (הזדהות – מניעת גישה) וברמה הפיזית. לדוגמה אבטחת יישום ובד בבד הגנה על גישה פיזית (דלתות וחלונות) בדרך אל מקום אחסון המידע – השרתים.

הגנה על-בסיס מודל שבע השכבות של Defense in Depth
כל שכבה בארגון: האפליקציה – מערכת ההפעלה – המחשב – הרשת המקומית (LAN) – השרתים – רשת התקשורת המרחבית (WAN)אתרי האינטרנט – האינטרנט, כולם – ניתנים לפריצה על ידי האקר או על ידי גורם בלתי מורשה. לכן, כל שכבה כוללת מגוון יישומים, טכנולוגיות וחוקים (חוקים, רגולציות, נהלים והוראות עבודה לתהליכים) לאכיפת מדיניות אבטחת מידע תקינה ואמינה.
הגנה על-בסיס רכיבים במערכת
אבטחת מידע היא נושא המקיף את כל מערכות המחשוב הארגוניות מתחנת הקצה דרך מערכות ההפעלה, מערכות התקשורת, שרתי הגישה (Gateway) והרשת המרחבית (WAN) והאינטרנט.
הגנה על-בסיס זווית הראייה של מאבטחי המערכת
לכל רשת אפשר לפרוץ, והפתרון טמון בשני רכיבים: הכנה וידע. בשנים האחרונות נערכים ניסיונות רבים להתגבר על מגבלה זו וליצור מערכות המזהות בעצמן איום חדש. מטרת מחקרים כאלו היא ליצור למידה עצמאית ומתמשכת, יכולת לפעול באופן רציף תוך כדי זיהוי בעיות חדשות ומציאת פתרונות חדשים.

האסטרטגיה ותורת ההגנה הכוללת

בנייתה של תורת אבטחת מידע רבת שכבות וממדים, מחייבת תשתית איתנה ושורשים עמוקים של הבנה אסטרטגית. הבנה שכזו מתבססת על תורות חיצוניות לעולם האבטחה ("The Art of War"), על תורות ואסטרטגיות מתוך עולם האבטחה (NSA’s Defense in Depth – DiD)[2], ועל בסיס אלה – עקרונות אבטחת המידע המיועדים לכל אחד ממקצועות האבטחה בנפרד.

אבטחת תשתיות מחשוב

הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתן ובהגנתן של תשתיות המחשוב הארגוניות והמרחב הקיברנטי שמחוץ לגבולות הארגון:

אבטחת חומרה וקושחה
התפתחות תורת התקיפה וההנדסה ההפוכה (Reverse Engineering) מחד, והמונוליטיות הטכנולוגית (יצרנים מועטים) בעולם מאידך, הביאו להתפתחות איום חדש בתחום זה. תקיפת קושחה נחשבת למיומנות שאיננה מצויה בתחומי היכולת של התוקף הבודד, אך אפשרית ומצויה כאשר מדובר בהתמודדות עם תקיפה של מדינה (Cyber Warfare).
הקשחת מערכות ההפעלה (System Hardening)
מערכות ההפעלה הנהוגות במערכות ארגוניות הן לרוב מבוססות מיקרוסופט, לינוקס או מיינפריים. פעילות אבטחת מידע כוללת בין השאר, אטימת מערכות ההפעלה מפני פגיעות אבטחה. יש לעשות שימוש בפונקציות הגנה המשולבות במערכת ההפעלה על-מנת לשפר את בטיחותן, וכן לעשות שימוש בתוכנות-עזר נוספות. הפעולות הן בעלות אופי שונה במערכות הפעלה של תחנות הקצה או של השרתים.
הקשחת רכיבי התקשורת (Network Hardening)
נהוג לתאר את הרבדים השונים של תקשורת מחשבים באמצעות מודל בן 7 שכבות שנקרא מודל ה-OSI. שכבות אלו כוללות מרכיבים שונים השותפים בתהליך התקשורת: טופולוגיית רשת ומבנים לוגיים, רכיבי תקשורת (כרטיסי רשת, נתבים, מרכזות, גשרים, מתגים, מדיות חיווט), פרוטוקולי תקשורת (TCP/IP בראשם, וכן: SMTP, SSL, DHCP, SNMP ורבים נוספים). גם רכיבים אלו מחייבים צמצום השטח החשוף לפגיעת התקפה למינימום הנדרש לשם תפעול תקין של התקשורת, וסילוק כל אפשרות ל"הרחבת הפתחים" כאשר הם מיותרים.
הקשחת מסד הנתונים (Database Hardening)
בסיס הנתונים הוא, מטבע הדברים, יעד מועדף לתקיפה. לפיכך יש לבצע סדרת פעולות הגנה על מרכיב זה. גם כאן, קיימים מנגנונים שונים, אופציות "פתוחות מדי" שיש להגבילן, הן באמצעות נהלים והן באמצעות כלים טכנולוגיים מגוונים אשר יביאו לכך שהמערכת תהיה "פתוחה" רק כפי הנדרש על-מנת לאפשר תפעול ושימוש תקין במידע לצרכיו המקוריים של הארגון.
אבטחת מכשירים ניידים (Mobile Security)
הגנת מכשירים ניידים היא מורכבת, עקב ניידותם אל מחוץ לגבולות הארגון מחד, וקישורן למערכות הארגון מאידך. יתר-על-כן, הגורם האנושי מהווה פרמטר רב משמעות בשגיאות אבטחה טיפוסיות לתחום מכשירים ניידים. עם התחזקות מגמת ה-BYOD התרבו האיומים מחד, והמורכבות בטיפול בהן מאידך.
אבטחת תשתיות האינטרנט והתקשורת העולמיות (Cyber Infrastructure Security)
הכוונה במונח "התשתיות הבין-לאומיות של האינטרנט" היא לכל הרשתות, הפרוטוקולים, טכנולוגיות הרשת ומרכזי המידע המשמשים את רשת האינטרנט העולמית, בתוך המדינה (במסגרת ספק שירותי אינטרנט) ומחוצה לה. מרכיב זה איננו בשליטה של אנשי האבטחה בארגון.

הטכנולוגיות, הטכניקות והארכיטקטורה

התקנה והגדרה של כלי אבטחת מידע אינה מבטיחה הגנה נאותה, כשם שקיומם של תותחים, מטוסים וצוללות אינה מבטיחה ניצחון. תורת הלחימה דורשת הבנה ארכיטקטונית, ראייה רחבה, ויכולת להפעיל טקטיקות הנובעות – הן מהראייה הרחבה, והן מתוך הבנה של "הפרטים הקטנים". עולם זה עוסק בראייה הארכיטקטונית, בתורת הלחימה, בהפעלה האסטרטגית של הטכנולוגיות ובטכניקה הכרוכה בהפעלת הכלים, ומכאן – באבטחתן ובהגנתן של תשתיות המחשוב הארגוניות והתשתיות שמחוץ לגבולות הארגון. תחום זה כולל את הנושאים:

  1. קריפטוגרפיה
  2. בקרת גישה (Access Control)
  3. אבטחת רשת (Network Architecture Security)
  4. אבטחת נגזרות טכנולוגיות מיוחדות (יישומים, מסדי נתונים, אמצעים ניידים, מערך מחשוב וירטואלי, מחשוב מבוסס ענן, חומרה וקושחה, מערכות נתמכות ומערכות מבוססות מחשב)
  5. מניעת זליגת מידע (DLP – מערכת למניעת דלף מידע)
  6. מערך זיהוי ותגובה (Detection & Response)
  7. ארכיטקטורת אבטחת מידע

אבטחת יישומים ותוכנה

כשם שתשתית מהווה כר פורה לפעילויות תקיפה, כך גם קוד מקור יכול להוות "נשא" ל"קוד זדוני" שמטרתו להזיק למערכת או לשאוב ממנה מידע. היישום, סובל ממספר אתגרי אבטחת מידע השונים מאתגרי האבטחה במערכות הפעלה ותקשורת. התשתיות מפותחות בדרך כלל על ידי גורמים בין-לאומיים רחבי היקף, וכאשר מתגלה "חור אבטחה", נוהגים גופי ענק אלו להפיץ "עדכון" ותיקון. מאידך – האפליקציות הן בדרך-כלל מקומיות, ופותחו בהתאמה ללקוח אחד. לכן – כאשר מתגלה "חור אבטחה" – תיקונו אינו פשוט כי מחיר התיקון אינו "מתחלק" על-פני מאות אלפי לקוחות. תהליך אבטחת יישומים מתחיל כבר בשלב התכנון, נמשך לכל אורך פיתוח יישום, ואף לאחר מכן – בשלב התחזוקה. קיימות התמחויות שונות הנוגעות ליישומים רגילים, ליישומי אינטרנט, להיבט הקוד והשפה של מסדי נתונים, וכן התמחויות הקשורות לטכנולוגיה: Java, ושפות כמו .NET, C / C++ וכן הלאה.

ממשל אבטחת המידע

"ממשל אבטחת מידע" (InfoSec Governance) מהווה אבן יסוד בעולם הניהול, הארגון ושיטות (או"ש) של יחידת אבטחת המידע. רבות מן הדרישות להגנה על המידע בארגון נובעות מחוקי המדינה, מרגולציה של הגופים המבקרים, מתקנים מקומיים או בין-לאומיים או מדרישות הספקים והשותפים. חוקים, מטרתם בדרך כלל להגן על פרטיות אנשים או להגן על נכסיהם הפיננסיים או הקניינים, של פרטים שהמידע עליהם נמצא ברשות הארגונים. הרגולציות מכוונות להגן על האיתנות הפיננסית של הארגונים המבוקרים ולמנוע פגיעה בפרטי המשתמשים בארגונים אלו להשקעה. כתוצאה מכך, רגולציות וחוקים מייצרים דרישות בתחום ההגנה על המידע, אף כי אינם מכווני אבטחת מידע בבסיסם.

ממשל תאגידי: הארגון עצמו פנימה מבצע אף-הוא פעילויות לאבטחת המידע: ניהול סיכונים לנכסי המידע הארגוניים, תוך הצבת מטרות ודרישות בתחום אבטחת המידע, הנובעות מדרישות חוק ורגולציה, מחויבויות חוזיות וצרכי הארגון להגן על נכסיו, כדי שיוכל לעמוד ביעדים העסקיים שלו ולזכות ביתרון תחרותי. מערך אבטחת המידע אמור לספק את הכלים לעמידה בדרישות הממשל התאגידי, להכין תוכנית אבטחת מידע מכוונת ניהול סיכונים התואמת את נוהלי החברה ואת היעדים העסקיים והחזון של הארגון ולדווח על רמת ההצלחה של תוכנית אבטחת המידע. הארגון קובע את היעדים האסטרטגיים ארוכי הטווח לפיהם יפותחו תוכניות אבטחת המידע ויקבעו היעדים בתחום אבטחת המידע.

ניהול, ארגון ושיטות של יחידת אבטחת מידע

הדרישות העסקיות והרגולטיביות מתורגמות על ידי מנהל אבטחת המידע לשורה של בקרות שמטרתן למזער את הסיכונים לנכסי המידע של הארגון. בקרות אלו הן אוסף של מדיניות, נהלים, תקנים והוראות עבודה. הבקרות יכולות להיות פרוצדורליות, פיזיות, לוגיות או טכנולוגיות והפעלתן וישומן בארגון מהווים את תוכנית אבטחת המידע הארגוני. בקרות אלו נמדדות באופן רציף, כדי לזהות את התאמתן לטיפול בסיכונים לנכסי המידע הארגוני, המדידה נעשית באמצעות מדדים כמותיים ובאמצעות ביקורות תקופתיות הכוללות סקרי סיכונים, סקרי אבטחת מידע ומבדקי חדירות. תוצאות המדידות משמשות לעדכון תוכנית העבודה. על תוכנית העבודה של אבטחת המידע להיות מוטמעת בכל רחבי הארגון ולפנות אל כל העובדים. נושא נוסף המטופל על ידי ממונה אבטחת המידע הוא זיהוי וטיפול בתקריות אבטחת המידע, כאשר הבקרות אינן מצליחות למנוע סיכון.

כיצד מנהל ה-CISO את ההיבטים הרבים והרב-תחומיים שתוארו? כיצד הוא מתייחס להיבטי האבטחה במימד הטכנולוגיות, במימד התהליכים הארגוניים, ובמימד האנושי? כיצד הוא מסנכרן ומנהל את עשרות ומאות משימותיו, את תדירות הפעילויות, מהותן, והסדר שבהן? כיצד משתלבת בכל אלו התייחסות לדרישות המדינה (חוקים ורגולציות), של הלקוחות והשותפים (תקני אבטחת מידע), ולדרישות של העסק – הארגון עצמו? כיצד הוא מנהל סדרי עדיפויות במציאות של מחסור מתמיד במשאבים?

עולם זה עוסק בסדר הנכון של הפעולות, בתדירותן, בחומרי הגלם המוכנסים על ידי ה-CISO לכל פעולה בודדת ובתוצרים היוצאים מפעולה זו ומשמשים כחומר גלם לפעולה הבאה בתהליך.

עולם הניהול "אורז" את עולמות אבטחת המידע שתוארו עד כה למיקשה אחת, ויוצר תהליך שבו משולבות כל הפעילויות, תוך שהן מתחשבות ברצונות העסקיים של הארגון, ברצונות של המדינה, וברצונות של השותפים – הלקוחות בדרך-כלל.

נושאים עיקריים:

  1. Security Administration
  2. Strategic Planning
  3. InfoSec Governance – Corporate governance – IT Governance
  4. InfoSec Program framework
  5. Law Regulation and Standards
  6. Security Policy and Procedures
  7. InfoSec Audit and Audit Controls

הגנת סייבר

ערך מורחב – לוחמת רשת

הגנת סייבר היא הגנה על מידע במרחב הקיברנטי מפני זליגת מידע מתוך המרחב או מפני תקיפות סייבר המכוונות לגנוב מידע, לשבש אותו או לפגוע בו. הגנת סייבר כוללת לעיתים איסוף מודיעין על יריבים פוטנציאליים, שימוש בכלי ניטור לפיקוח על הפעילות בנכס ואיתור חולשות ארגוניות, אבטחתיות וקבצים מזיקים. התחום כולל פעילות שתכליתה זיהוי מקור התקיפה וייעודה. חקירות מסוג זה יכולות להתבצע באמצעות פעילות אקטיבית ושימוש בכלים מחוץ למרחב עליו מגנים.

על-מנת ליישם אבטחת סייבר יש להכיר היטב את המרחב הקיברנטי. לא ניתן להסתפק רק בהכרת סביבת ההגנה ונדרשת היכרות מעמיקה עם סביבת ההתקפה, מבחינה טכנולוגית, טכניקות והלך-רוח כלכלי ופוליטי. הבנת שיטות פצחנות (Hacking) ומשמען, הבנת כל השלבים בתהליך ההתקפה: החל משלב איסוף המידע (חקירה ומודיעין), ריכוז כלי ההתקפה, חדירה וכלה בשלב ה"ניקיון" שלאחר ההתקפה (House Keeping). מבחינה טכנולוגית, מחולק עולם התקיפה לסביבת המערכת, התקשורת, מסדי הנתונים, מכשירים ניידים, יישומים הרגילים ואינטרנט), תקיפת הגורם האנושי (Social Engineering), ולבסוף – מערכות מיוחדות במינן (משולבות).

תפקיד מומחה אבטחה בארגון הוא לספק הגנה על הנכס מפני לוחמת רשת. בין היתר לבצע ניתוח הפעילות הרשתית וזיהוי חולשות של הארגון, ניטור ופיקוח התעבורה בארגון, חיפוש אנומליות, העלאת מודעות העובדים לסכנות ועוד. האדם הפרטי לרוב מבצע אבטחת מחשב אישי ברשת על ידי עדכון שוטף של מערכות ההפעלה, שימוש באנטי וירוס מעודכן, חומת אש והתקנת תוכנות חינמיות לניקוי קבצים מזיקים שכבר חדרו למערכת.

האבטחה הפיזית

לא נכללת במתודולוגיה, אך נושקת לעולם אבטחת המידע וחופפת לו בהיבטים אחדים, בהגנה ובהתקפה. המשמעות היא מניעת גישה פיזית לאנשים לא מורשים.

מקצועות אבטחת מידע

ערך מורחב – מקצועות אבטחת מידע

התפתחותו של תחום אבטחת מידע הביאה איתה שלל מקצועות המתמודדים עם אתגרי האבטחה. המקצועות העיקריים וההתמחויות הנפוצות הם:

  • מינהלן אבטחת מידע
  • אנליסט במרכז ניטור SOC
  • מיישם אבטחת מידע
  • בודק חוסן – בדיקת חדירוּת (pt)
  • ארכיטקט (מומחה טכנולוגיות) אבטחת מידע
  • מומחה מתודולוגיות אבטחת מידע (GRC)
  • מנהל אבטחת מידע ארגוני (CISO)
  • מומחה תקיפה
  • מבקר אבטחת מידע
  • מומחה אבטחת יישומים ופיתוח
  • מנהל פרויקט למערכות אבטחת מידע
  • מומחה חקירות למערכות מידע
  • מומחה ניטור אירועי אבטחה
  • מומחה אבטחה פיזית למערכות מידע
  • מומחה התנהגות רשת חריגה
  • מומחה הגנת מערכות בקרה תעשייתיות
  • מומחה כתיבת נוזקות
  • מומחה הנדסה לאחור לתכנה
  • מומחה מערכות ניהול אבטחת מידע
  • מומחה מודיעין מקורות גלויים ברשת

אמצעים המשמשים באבטחת מידע

הרשאות

מתן אפשרות למשתמש מסוים לבצע פעולה נתונה במערכת מידע. הפעולות עשויות להיות יצירה, כתיבה, מחיקה או שינוי של קובץ, הזנה של נתונים בטווח ערכים או כל פעולה אחרת שהמערכת תוכננה להכיל.

מערכת הרשאות מתבססת על הזדהות כתנאי מקדים, שכן המערכת נדרשת לקשר בין משתמש לפעולה. במערכות בהן אין הזדהות, ניתנות הרשאות למשתמשים לא מזוהים (כלומר, מנגנון ההזדהות מקשר ישות לא מזוהה עם משתמש אנונימי).

דוגמה למערכת קבצים שמאפשרת שימוש בהרשאות, גם במחשבים אישיים, היא מערכת NTFS.

ויקיפדיה, היא דוגמה למערכת מידע פתוחה למדי, אך גם בה יש מערכת הרשאות. כל גולש רשאי לעיין בכל דף ולשנות אותו, אך דפים מסוימים מוגנים מפני שינוי, כך שרק מפעילי מערכת רשאים לשנותם. מחיקת דף ניתנת להיעשות רק על ידי מפעילי מערכת, ולהם נתונה הסמכות לחסום כליל משתמש שמזיק למערכת. נעשה שימוש בזיהוי זמני על פי כתובת IP, זיהוי שמבחינת הגולש הוא שקוף אולם מאפשר להפריד בין משתמשים אנונימיים שונים.

הזדהות

ערך מורחב – אימות זהות
מכשיר לייצור סיסמאות חד-פעמיות. המכשיר ניתן למשתמש מורשה, ומדי זמן-מה מציג סיסמה אחרת. בזמן ההזדהות מול המערכת, המשתמש נדרש להזין את הסיסמה האישית שלו, ובנוסף גם את הסיסמה המוצגת במכשיר

תהליך בו משתמש (אדם או שירות ממוחשב) מספק למערכת מידע פריט מידע המזהה אותו ואמצעי לווידוא הזיהוי. האמצעי הנפוץ ביותר הוא השימוש בשם משתמש וסיסמה, אולם ישנן אפשרויות נוספות החל מכרטיס חכם ועד זיהוי ביומטרי (לפי תכונות גופניות כמו טביעת אצבע).

מקובל לחלק את אמצעי ההזדהות השונים לשלוש קבוצות:

  1. משהו שהמשתמש יודע – בקבוצה זו נכללות סיסמאות.
  2. משהו בבעלות המשתמש – בקבוצה זו נכללים מנגנוני ייצור סיסמה חד-פעמית (OTP), רכיבי אחסון לסיסמאות (Token), כרטיסים חכמים וכו'.
  3. משהו שהוא המשתמש – בקבוצה זו נכללים אמצעי הזיהוי הביומטריים.

הזדהות חזקה (כזו המאפשרת רמת ודאות גבוהה במיוחד בזיהוי) תכלול שילוב של שתיים מתוך שלוש הקבוצות. הדוגמה הקלאסית לכך היא השימוש בכרטיסי אשראי. בכל ניסיון למשוך כסף מכספומט אנו נדרשים להזדהות באמצעות שני רכיבים – משהו שנמצא ברשותנו (כרטיס האשראי המכיל פרטי זיהוי) ומשהו שאנו יודעים (קוד סודי). ללא אחד מהשניים תהליך הזיהוי לא יושלם.

לרוב תהליך ההזדהות הוא החלק הבעייתי ביותר במערכת אבטחת המידע, במיוחד כאשר מדובר ברשת, וזאת בשל הצורך לטפל במספר בעיות פוטנציאליות:

  1. אובדן יכולת התחברות (לרוב איבוד סיסמה). כיום במרבית אתרי האינטרנט ניתנת אפשרות לשליחת הסיסמה לדואר האלקטרוני שהוזן בעת הרישום. כך ניתן לקבל את הסיסמה גם אם היא נשכחה, והיא נגישה רק למי שיש לו גישה לדוא"ל של המשתמש. לעיתים נוהגים אתרים לאחזר סיסמה באמצעות תשובות לשאלות שרק בעל החשבון אמור לדעת את התשובות לגביהן וזאת בהתאם לפרטים שסיפק בעת הרשמתו.
  2. הצורך במשתמש בעל הרשאות בלתי מוגבלות.
  3. הצורך בהזדהות המשותפת למספר מערכות או מחשבים.
  4. הנטייה של משתמשים לרשום את הסיסמה או ללכת ולהשאיר את המחשב במצב שלאחר ההזדהות או לבטל סיסמה.

קריפטוגרפיה

ערך מורחב – הצפנה

אבטחת מידע עושה שימוש מאסיבי בקריפטוגרפיה על רבדיה השונים החל מהצפנה שבה הנתונים מועברים למצב בלתי קריא על ידי אלגוריתמים להצפנה עם מפתחות הצפנה סודיים. הנתונים המוצפנים ניתנים לשחזור למצבם המקורי על ידי אלגוריתם הפענוח באמצעות מפתחות הפענוח המתאימים. קריפטוגרפיה מגינה על סודיות המידע גם בעת אחסונו וגם בזמן העברתו ברשת פתוחה הנגישה לגורמים זרים. בנוסף קריפטוגרפיה שימושית ליישומים נוספים כמו אימות זהויות, חתימה דיגיטלית ואי התכחשות המקבלים באמצעות רגולציה מתאימה תוקף חוקי.

בהתאם למידת האיום ההצפנה צריכה להיעשות עם אלגוריתמים ופרוטוקולים ידועים כמו RSA, ECC, AES וכדומה ועם מפתחות הצפנה באורך בטוח שנקבע בהתאם למידת האיום, רמת הביטחון הנדרשת ורמת הביטחון בפועל של כל אחד ממרכיבי המערכת. חשוב להשוות את רמת הביטחון של כל המנגנונים המרכיבים את המערכת כי חוסנה נקבע לפי המרכיב החלש ביותר שבה. הטיפול במפתחות ההצפנה והפענוח צריך להיות באמצעים קריפטוגרפים מתאימים כמו תשתית מפתח ציבורי (PKI) המטפלת במרבית הנושאים הקשורים בתחזוקה והעברה של מפתחות הצפנה.

כאמור קריפטוגרפיה עלולה להחדיר בעיות אבטחה אם אינה מיושמת כראוי. כל האלגוריתמים והפרוטוקולים חייבים להיות מוכרים על ידי תקנים תעשייתיים שעברו ביקורת פתוחה של מומחי אבטחת מידע. כדי להבטיח שהמערכת אמינה וכי היא מספקת את הביטחון המוצהר אין די בלהבטיח שהאלגוריתמים שבשימוש המערכת תקניים. נקודת התורפה העיקרית במערכות אבטחה היא האינטגרציה וההתאמה של כל המרכיבים אחד למשנהו באופן שאינו מחדיר דלתות סתר, פרצות ומחדלי אבטחה אחרים.

הגנה מפני תוכנה מזיקה

תוכנות מזיקות כוללות: וירוסים, סוסים טרויאנים ורוגלות, אשר נועדו לפגוע במחשב הקצה, למחוק מידע, להוציא מידע (ריגול) וניצול מחשב הקצה למטרות שונות (כוח עיבוד, פרסום).

רוגלות – Spyware/Adware – הן תוכנות אשר 'נדבקות' למחשב הקצה דרך אתרי אינטרנט ותוכנות מפוקפקות אשר בתהליך ההתקנה שלהן הותקנו גם תוכנות הרוגלות. תוכנות אלו מקפיצות פרסומות (pop-up) במחשב הקצה ושולחות מידע משתמש ממחשב הקצה כגון אתרים שבוקרו וסיסמאות, לשרתים באינטרנט המנצלים אותם לשימוש לא חוקי.

הגנה של אנטי וירוס, אנטי-ספאם והגנה מפני רוגלות בתחנת הקצה ובשרתי הגישה (Gateway) ברשת מספקות מענה להתמודדות עם סיכונים אלו. חלק מן הכלים הקיימים (בחינם או בתשלום) מספקים מענה אמין.

כאמור, לרוב מתבצעים ניסיונות מקומיים להגן על רשת האינטרנט. עם זאת, פתרון אוניברסלי יעיל רק נגד איומים הפועלים על פי חוקים ברורים ומוגדרים, תוך מתן מענה טכנולוגי בזמן אמת וגיבוי בחקיקה מסודרת. כותבי הווירוסים אינם פועלים על פי חוקים קבועים ומנסים ליצור בכל עת וירוסים חדשים ומתוחכמים יותר. פירוש הדבר שיצירת פתרון הגנה מסוים אפקטיבי לתקופת זמן מוגבלת בלבד, דהיינו, עד שכותב הווירוסים ימציא וירוס חדש.

יישום אבטחת המידע מביא את הארגון, המערכת או התוכנה למצב שבו הסיכון לאיבוד מידע, כשל מידע או ניצול פרצת אבטחת מידע הוא נמוך.

התפתחות תרבות BYOD מציבה מפני אנשי אבטחת מערכות מידע אתגרים חדשים.

אחת השיטות היא הקטנת שטח פני התקפה.

גיבוי

ערך מורחב – גיבוי

גיבוי הוא שמירת עותק (בדרך כלל יותר מאחד) קודם של הנתונים. הוא מאפשר שחזור חלקי (לדוגמה: במקרה של מחיקת קובץ מסוים) או מלא (במקרה של הרס של ההתקן או של כל המערכת).

שמירת גיבוי יכולה לעזור להתאושש מהתקפות שמחקו מידע או שגרמו לכך שהמידע במערכת לא אמין (אם יכול להיות שהתוקף שינה חלק ממנו. לדוגמה: אם מישהו פרץ לאתר בנק ויכול להיות ששינה קצת את מאזני החשבונות).

ראו גם

לקריאה נוספת

קישורים חיצוניים

מאמרים:

מגזינים

פורטלים:

הערות שוליים

  1. ^ National Security Agency, Defense in Depth (עמ' 5) (באנגלית) (ארכיון)
  2. ^ Defense in Depth