אבי ויסמן | 15/02/2012

אבי ויסמן, מנחה כנס CyberSec 2012: "בשנת 2012 נפל דבר בישראל"

"ב-2012 הוקם המטה הקיברנטי הלאומי. ב- 2012 הוכיח לנו 'בחורצ'יק' סעודי, כי בעלי העסקים בישראל אינם שומרים על זכויותינו. הוא גם הבהיר שאנחנו בעיצומו של עידן שבו האזרח חסר אונים, ורק המדינה יכולה להגן עליו". כך פתח ויסמן, מנכ"ל See Securityאת כנס CyberSec 2012 ואיחל הצלחה לד"ר אביתר מתניה, ראש מטה הסייבר

בשנת 2012 נפל דבר בישראל. ב-2012 הוקם המטה הקיברנטי הלאומי, לאחר ששנה קודם לכן הוקם מטה דומה בצה"ל. ב- 2012 הוכיח לנו 'בחורצ'יק' סעודי לכאורה, כי בעלי העסקים בישראל אינם שומרים על זכויותינו כאזרחים. הוא גם הבהיר לקברניטי המדינה שאנחנו בעיצומו של עידן חדש, שבו האזרח חסר אונים, ורק המדינה יכולה (אולי), להגן עליו. ב- 2012 הרימה הרשות למשפט טכנולוגיה ומידע במשרד המשפטים את זרועה על עבריינים, והבהירה כי לא תהסס לעשות כן שוב, כאשר יימצאו פורעי חוק הגנת הפרטיות.

בכנס CyberSec 2012 הצביעו אנשי ענף אבטחת המידע והגנת הסייבר ברגליהם, הגיעו לכנס, וזעקו בשתיקה: נמאס. יש לעשות מעשה. בכנס זה התברר, כי אנטי-וירוס וחומת אש, כלי ניטור וכלי ניהול, הקשחות, ופעולות אבטחה סטנדרטיות, אינם יעילים כנגד התקפה מתקדמת של גוף עתיר תקציבים.

למרבה הזעזוע התברר, שאנחנו לא בדיוק "מעצמת סייבר". אפילו אוניברסיטה אין לנו. ומכללה? יש רק אחת, והיא אינה אקדמית. והתלמידים בה? משלמים מכיסם עבור לימודים, כי הארגונים לא סבורים שנדרש ידע.
 
לנוכח עיניים פעורות לרווחה התברר לאנשי אבטחת המידע, שידע בסיסי במערכות הפעלה ותקשורת, והידע "כיצד להפעיל כלים" מספיקים ל"הגנה רגילה", אך לצרכים של גופים קריטיים, נדרש ידע גם בקוד כדרישת-סף, ולאחר מכן – קיימות התמחויות מקצועיות רבות מספור הדורשות הכשרה יקרה מאוד, שאם לא כן - ...
 
אך לשם מה להתמחות, אם לגופים הקריטיים אין תקציב כדי להעסיק את המומחים המתמחים?
 
ב-2012 נפל דבר בישראל. התיכוניסטים ייגשו בקרוב למבחני הבגרות בסייבר. במל"ג יעבדו ברצינות על הקמת מסלול אקדמי ללימודי סייבר. במשרד הבטחון כבר עובדים "חזק" על הדור הבא של ההגנה, והפעם – הם יודעים – ההגנה תתבסס על ידע, ולא על "כלים".
ב- 2012 הודיעו נציגת הכנסת, ראש המטה הקיברנטי, ומומחים שונים, כי ללא הפעלת מרות מטעם המדינה – לא תהיה שלווה לאזרחים הגולשים, וללא תשתית חינוכית נאותה – לא תהיה שלווה גם למערכת הבטחון.
 
ב- 2012 הוקם המטה הקיברנטי, והוא זוכה בגיבוי של ראש הממשלה באופן ישיר.
בואו נפגש שוב ונדבר ב- 2013.
 
בהצלחה מכולנו, אביתר.
 
*הכותב: אבי ויסמן, מנכ"ל See Security המכללה לאבטחת מידע ולוחמת מידע, ומנחה כנס 2012 CyberSec.

07/02/2012

יניב סימסולו, 2BSecure: "נקודות התורפה העיקריות של ארגונים ורשויות הן מערכות הליבה הארגוניות"

"מלחמת סייבר שתכוון נגד מערכות אלו, תגרור נזקים משמעותיים - ישירים ועקיפים, שיכולים להגיע עד רמה של פגיעה בשרידות הפיננסית של הארגון" ● מאמר מאת יניב סימסולו, CTO ב-2BSecure, לקראת כנס CyberSec 2012

 
עולם ה-Cyber Terror עמוק ומגוון לפחות כמו המערכות המשמשות כמטרה להאקרים.
מתקפות הטרור שחווינו בשבועות האחרונים הן תמרור אזהרה וסימן ראשון למה שמצפה לנו.
 
המוטיבציה של קבוצות ההאקרים בעולם והגיבוי שהם מקבלים ,לעיתים, מהגופים הרשמיים במדינתם, מחדדים את הנקודה שאנו נמצאים תחת איום עיקרי ומתפתח. התקפות אלו שירתו את האזרחים ואת המגזר העיסקי באופן מיטבי, בכך שהגבירו את הערנות והמודעות של כולנו לסיכונים הקיימים ברשת האינטרנט. בנוסף, המתקפות חידדו את הסיכונים הישנים-חדשים במערכות מידע – Cyber Warfare
 
התקפות על אתרי תדמית של ארגונים יכולות להגיע בכל עת ומכל מקום. התקפות אלו הן יחסית קלות וזולות לסיכול, גם במחיר של מניעה כוללת של הגישה לאתר. עם זאת, נקודות התורפה העיקריות של ארגונים ורשויות הן מערכות הליבה הארגוניות. מלחמת סייבר שתכוון נגד מערכות אלו תגרור נזקים משמעותיים, ישירים ועקיפים, שיכולים להגיע עד רמה של פגיעה בשרידות הפיננסית של הארגון.
 
התמודדות עם תרחישי Cyber מורכבים מצריכה היערכות מראש ואינה יכולה להתבצע ב 'מוד ריאקטיבי'. יש להיות ערוכים למצבים בהם התקפות סייבר חדרו לארגון אחר עימו קיימים קשרים בין-מערכתיים, והיקף החדירה אינו ברור; יש לבחון אפשרות של ניתוק הקשרים בין המערכת לבין הארגון שהותקף. תרחישים אלו מציאותיים ביותר במלחמת סייבר -  לדוגמא, הפחד של הממשל האמריקאי מביצוע התקפות סייבר נגד הממשל העירקי ב-2003, שנבע מההשלכות הבין-ארגוניות של לוחמת סייבר.
 
כאשר מדובר על מערכת ליבה של ארגון, יש להבין, כי ניתוק או סגירה של מערכת ליבה אינו מעשי במצבים רבים. לפיכך יש לנקוט אמצעי אבטחה פנימיים במערכת עצמה, ואמצעי הגנה היקפיים שמטרתם למנוע צורך בסגירה של המערכת עצמה.
 
חברת 2Bsecure תציג בכנס הסייבר שייערך ביום ראשון הקרוב פערי אבטחה מרכזיים במערכות וארגונים, וההשלכות של פערים אלו במתווים של לוחמת סייבר. כמו כן, תציג 2Bsecure את הפתרונות והתהליכים שיש ליישם על מנת לאבטח את הפערים הקיימים.
 
 
*יניב סימסולו, CTO, מחלקת הייעוץ - 2BSecure
 
 

 

07/02/2012

מיכאל מומצ'וגלו, Light Cyber: "התקיפות שעלו לאחרונה לכותרות הן דווקא התקיפות המתוחכמות פחות והמפחידות פחות"

"על המתקפות החמורות באמת, אלה המתרחשות בתוך תוכן של רשתות קריטיות, בדרך כלל לא מדברים הרבה, למרות שהן קורות בשטח", הוסיף מומצ'וגלו, CTOב-Light Cyber בראיון לקראת CyberSec 2012  ● לדבריו, כלי ההגנה הסטנדרטיים שמגנים על הכניסות והיציאות מהארגון עיוורים לפעילות השקטה של תקיפת APT

כיצד אתה מנתח את המתקפות של התקופה האחרונה? 
"התקיפות שעלו לאחרונה לכותרות הן דווקא התקיפות המתוחכמות פחות והמפחידות פחות. על המתקפות החמורות באמת - אלה המתרחשות בתוך תוכן של רשתות קריטיות - בדרך כלל לא מדברים הרבה למרות שהן קורות בשטח. התקיפות של התקופה האחרונה צריכות לשמש כנורת אזהרה לתקיפות המתקדמות באמת המאיימות לפגוע בלב ארגונים גדולים ובתשתיות קריטיות בארגונים".

מהן הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"על מנת להתמודד עם תקיפות ממוקדות יעד (APT) יש להתקדם אל מעבר לפתרונות מבוססי חתימות וחוקים ולעבור להיכרות מעמיקה של הרשת ושל פעילויות המשתמשים בה. נפתח בהבנת ה'אויב' - נציג באופן מפורט ונדיר הצצה לתוך מהלך תקיפת APTאמתית שהתרחשה בארצות הברית. מתוך הסתכלות זו נתמקד בהתפתחות התקיפה ברשת הפנימית ונבין את הדכים לזהות אותה בשלבים המוקדמים שלה. נציג גישה של זיהוי פעילות עוינת על ידי זיהוי חריגה משגרת השימוש ברשת הארגונית. הדוגמא שנביא רלוונטית לכל ארגון גדול.

זיהוי אנומליות כאלה צריך לקחת בחשבון את שגרת ההתנהגות של כל משתמש ומשתמש. לא ניתן להכליל בקלות ולהסתכל על משתמש ממוצע כי לכל אחד הרגלים אחרים ותפקיד שונה בארגון".

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"מדינת ישראל הינה יעד לתקיפה בייחוד בתקופה הנוכחית. מעבר לתקיפות שקרו לאחרונה, פוטנציאל הנזק גבוה הרבה יותר (למשל פגיעה בתשתיות קריטיות כגון חשמל ומים), ועל המדינה למגן את המערכות הרלוונטיות ולשפר את הניטור על המערכות הקריטיות. לאחרונה ניתן הרבה פוקוס לנושא, אך דרושים עוד צעדים טכנולוגיים בשטח".

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
" 'דע את עצמך' - כל ארגון צריך ללמוד ולהכיר את הרשת שלו על מנת שיוכל לזהות פעילות חריגה בו ובכך לזהות תקיפות סייבר מתקדמות. כלי ההגנה הסטנדרטיים שמגנים על הכניסות והיציאות מהארגון עיוורים לפעילות השקטה של תקיפתAPT  ברשת הפנימית ולכן לא ניתן להשתמש בהם לצורך זיהוי פעילות APT. בנוסף גישה של חוקים וחתימות אינה תופסת לתקיפות ייעודיות שתפוצתן ממוקדת.

היערכות נכונה היא יכולת שליטה ובקרה על מה שקורה ברשת הפנימית. ניתוח ידני אינו אפקטיבי מפני שהרשתות מהירות וכמות המידע גדולה מדי ומגוונת מדי, ולכן דרושה אוטומציה – מערכות מומחה שיכולות ללמוד את המשתמשים והרשת ומתוך כך למצוא חריגות ואנומליות".

 

*מיכאל מומצ'וגלו הינו CTO בחברת Light Cyber

 

07/02/2012

נמרוד קוזלובסקי: "ההתקפות של התקופה האחרונה לא היו אירוע לוחמת סייבר כנגד ישראל אלא כשל אבטחת מידע במגזר הפרטי"

"הן בעיקרן התקפות לא מתוחכמות שנערכו על ידי גורמים עם מיומנות מוגבלות תוך שימוש בכלי מדף קיימים", הוסיף עו"ד ד"ר נמרוד קוזלובסקי בראיון לקראת כנס CyberSec 2012  ● לדבריו, למרות שכלי התקיפה היו פשוטים הם חשפו את חולשתה של ישראל במיגון התשתית האזרחית

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"לדעתי מדינת ישראל נערכת היטב בבחינה מערכתית של סוגי האיומים במרחבי הסייבר והגדרת תפיסת האיום בסקטורים השונים: צבאי, בטחוני ותשתיות קריטיות. כמו כן, יש היערכות מרשימה לגיבוש האבטחה בתשתיות חיונית. ברמה המוסדית נעשית עבודה ניכרת לגיבוש תפיסה ולהכנת התשתית המוסדית והטכנולוגית להתמגנות. ואולם, דומה כי תרחישי האיום הנדונים מתמקדים ב"אפקט דומינו" של הקרסת תשתיות ולא נותנים משקל לאיום המרכזי של ריגול שיטתי וחילוץ מודיעין לצד הטמנות יכולות שיבוש. תפיסת האבטחה נבנית על יסוד תרחיש איום חלקי ולא ממצה ודורשת בחינה מחדש. גם בחזית המוסדית נדרשת הבהרה של הסמכויות של הגופים השונים והגדרת גזרת אחריות ברורה. טרם ישנו טיפול ראוי בסיכון הקיים על התשתיות האזרחיות והעסקיות".

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"עיקר פועלו של המגזר העסקי צריך להיות בבחינת יזומה של מידת החדירות של הארגון ומידול סיכונים של תרחישי איום שרלוונטיים לארגונים. התהליך חייב להיות בידי גורם הנהלה המרכז את איומי הסייבר כחלק ממתווה הסיכונים הכולל ולא להישאר בידי אנשי מקצוע טכניים. הארגון נדרש לבקרה חיצונית על תפיסת האבטחה וארכיטקטורת האבטחה ולהימנע מללכת שבי אחר תפיסת אבטחה המוכתבת על ידי גורמים פנימיים המוטים אחר תובנות קיימות בארגון. נדרש מעבר לחשיבה של ההנהלה על תהליכים וחשיפה של הארגון ברמה התפקודית והמנהלתית ולא לחשיבה על טכנולוגיה ורכש מערכות כפתרון לבעיית האבטחה. נדרש מערך תחקור מקיף של אירועי אבטחה והקמת צוותי ניהול אירועי אבטחה ותרגולם. במקביל נדרשת תשתית סקטוראלית לשיתוף מידע ולניתוח ריכוזי של אירועי אבטחה ומידע על איומים".

כיצד אתה מנתח את המתקפות של התקופה האחרונה?
"ההתקפות של התקופה האחרונה לא היו אירוע לוחמת סייבר כנגד ישראל אלא כשל אבטחת מידע במגזר הפרטי. ההתקפות של התקופה האחרונה הינן בעיקרן התקפות לא מתוחכמות שנערכו על ידי גורמים עם מיומנות מוגבלות תוך שימוש בכלי מדף קיימים ברשת. ואולם, בעוד שכלי התקיפה ומתודת ההתקפה הייתה פשטנית, הרי שהיא חשפה את חולשתה המרכזית של ישראל במיגון התשתית האזרחית ואת רצונם של גורמים עוינים למקד תקיפה למול האוכלוסייה האזרחית. ההתקפה הייתה תולדה של רשלנות חמורה במיגון אתרים עסקיים הפועלים בישראל והיעדר תשתית בסיסית להגנת מידע אישי רגיש הנאגר בהם. ההתקפה היא קריאת אזהרה לגבי המערך החסר של חקיקה, אכיפה ופיקוח על רמת האבטחה של אתרים בישראל".

מהם הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"אני מתכוון להציג מתווה לפתרון משבר אבטחת המידע שבא לידי ביטוי בין היתר באירועי חשיפת פרטי זהות של ישראליים ובהתקפות על תשתיות ישראליות. אני אציג את הסיבות לכשל אבטחת המידע ככשל מערכתי ביצירת תמריצים להתמגנות ובחינת רמת המוגנות של אתרים המאחסנים מידע פרטי רגיש, וכן ככשל של החקיקה והאכיפה בתחום ההגנה על מידע אישי ובדיווח על אירועי אבטחה. אציג תוכנית פעולה כיצד בשלבים פשוטה של חקיקה ואכיפה ניתן להביא לשיפור מהותי ברמת אבטחת המידע. עיקרי התוכנית ביצירת תמריצים, חובת בדיקה מונעת של רמת האבטחה,  חובת דיווח על אירועי אבטחה, סנקציות על כשל אבטחה ומערך מתכלל לניהול אירועי אבטחה".

 

*עו"ד ד"ר נמרוד קוזלובסקי הינו מומחה בדיני מחשבים ואינטרנט, מרצה בביה"ס למנהל עסקים, אוניברסיטת ת"א ויו"ר חברת אלטל לאבטחת מידע.

07/02/2012

דדי גרטלר, טלדור: "העיסוק בעולם הסייבר אינו מהווה חלק מרכזי מליבת העסקים של הארגונים, לכן ההקצאה המצומצמת של משאבים לנושא זה"

"עם עליית המודעות ולצערי - גם התנסויות כואבות, יאמצו יותר ויותר גופים עסקיים את אבטחת המרחב הסייברי לתוכניות העבודה שלהם", הוסיף גרטלר, מומחה למודיעין ואבטחת הסייבר, במחלקת פיתוח עסקי בחטיבה הביטחונית בטלדור, בראיון לקראת כנס CyberSec 2012

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"ראשית, נכון יותר לשאול, מי במדינת ישראל ערוך, לאיזה תרחיש ובאיזו דיסציפלינה? (הגנה, התקפה ומודיעין). האם הצבא ערוך להגן על עצמו ולהשיג ניצחון אסטרטגי בעת פרוץ מתקפת סייבר ע"י מדינות עוינות? האם גופי המודיעין האחרים, האחראיים על הביטחון הלאומי, ערוכים להגן על עצמם ועל התשתיות הלאומיות הקריטיות ממתקפות סייבר ע"י גורמים עוינים? האם גופי אכיפת החוק ערוכים להגן על עצמם - לפענח זירות פשיעת מחשב ולהציג ראיות מרשיעות לבית המשפט? האם משרדי הממשלה והתשתיות הלאומיות הקריטיות מוגנים באופן מספק? האם הבנקים? המגזר הפיננסי? מגזר הבריאות? התעשייה הביטחונית? והרשימה עוד ארוכה...

כבר היום אנו עדים לתכניות שהוקמו במשרד הביטחון ובמשרד ראש הממשלה לטיפול באיום הסייבר, אולם טרם יצקו אליהם את התכנים והתקציבים הראויים. כמו במלחמת גרילה, המתקיף יכול להסב נזק רב בהשקעה מינימאלית ואילו המגן חייב להשקיע משאבים אדירים בזיהוי מתאר ההתקפה ומקור התוקף. נראה שאנו עדיין בתחילת הדרך, אך המודעות ללא ספק במגמת עליה, דבר שעשוי לסייע במלאכה".

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"יש כאן 'חוזה' לא כתוב עם המדינה, כמו במרבית המדינות המפותחות. למגזר העסקי ברור שלמדינה ייקח זמן על מנת לספק לאזרחיה ולמגזרים השונים את מעטפת ההגנה הנדרשת מפני התקפות סייבר כפי שמקובל בהקשר של הגנה על גבולות המדינה.

בשנים האחרונות נדרש המגזר העסקי להסתפק בהנחיה והכוונה של גופים ממשלתיים העוסקים בתחום, ולעסוק בעצמו בבניית כוח פנימי להתמודדות עם מתקפות סייבר, תוך תאום ושיתוף מיטבי עם גופי הפיקוח והתיאום הענפיים. מכיוון שעיסוק בעולם הסייבר אינו מהווה חלק מרכזי מליבת העסקים של הארגונים במגזר העסקי, כך גם ניכרת הקצאה מצומצמת של משאבים ותשומות ניהוליות לנושא זה, כל עוד אותה ליבה עסקית לא תפגע באופן מהותי.

ענף התעופה לדוגמא, שהקשר הישיר בין ליבת העסקים שלו והאיום הסייברי הוא ברור וקריטי, משלב כבר היום את אבטחת הסייבר בתכניות העסקיות שלו. עם עליית המודעות ולצערי גם התנסויות כואבות, יאמצו יותר ויותר גופים עסקיים את אבטחת המרחב הסייברי לתוכניות העבודה שלהם".

כיצד אתה מנתח את המתקפות של התקופה האחרונה?
"מעט מאוד פורסם על הנזק שנגרם מההתקפות האחרונות. יתרה מכך אנו בעיצומו של מאבק יום יומי במרחב הסייבר שזולג לכלל הסקטורים במשק ואינו מגיע לדפי העיתונות. המתקפות של התקופה האחרונה שרתו מטרה את חשובה – חשיפה. כאשר גם "הדודה מחדרה" מוטרדת מהתקפות סייבר, מופעל יותר לחץ על מקבלי ההחלטות להעצים את הטיפול בנושא ולקדמו, אך הדרך עוד ארוכה".

מהן הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"מודיעין סייבר מהו?  ה-CyberWar כזירת לחימה לכל דבר הדורשת מהפעילים בה להתאים את הדיסציפלינות הקיימות מהעולם הפיזי לעולם הלוגי. בין דיסציפלינות הגנה לדיסציפלינות התקפה נרקמת דיסציפלינת המודיעין - סייבר ( CYBERINT), אשר גם היא תותאם לעולמות התוכן של העוסקים במלאכה: CyberWar, CyberCrime, CiberTerror".

 

* דדי גרטלר, הינו מומחה מודיעין וסייבר, מח' פיתוח עסקי - החטיבה הביטחונית, טלדור

 

07/02/2012

אלכס לנשטיין, FireEye: "כל ארגון במגזר העסקי-פרטי חייב לבדוק האם הוא מועד לתקיפה ואם כן, לנקוט בכל האמצעים להגן על עצמו"

לנשטיין, מומחה בינלאומי לסייבר טרור יגיע לארץ כאורח של חברת InnoCom, המייצגת את FireEye בישראל ויהיה בין הדוברים במליאה הפותחת של כנס CyberSec 2012 ● לדבריו, גם חברות המיישמות את כל פתרונות האבטחה המסורתיים בקפידה, נפרצות ע"י האקרים שרמת התחכום שלהם עולה בהתמדה

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"רוב המדינות מגדירות קבוצה של ארגונים ואתרים קריטיים עליהם משקיעים משאבים כדי שלא ייפרצו. כמו בכל מלחמה, גם במלחמת סייבר מטרת האויב היא לשבש את תשתיות המדינה הנתקפת. השאלה היא האם מדינת ישראל עשתה כל שביכולתה כדי להגן על אתרי תשתיות קריטיות כגון תשתיות מים, חשמל, תקשורת, בנקאות וכו'. ממה שידוע לי, הממשלה שלכם אכן עושה זאת, אך חשוב לקבוע תאריך יעד בו כלל התשתית הקריטיות תהיינה מוגנות. מוטב שזה ייעשה מהר ככל היותר, עם הכלים הטובים ביותר הקיימים בשוק".

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"כל ארגון במגזר העסקי-פרטי חייב לבדוק האם הוא מועד לתקיפה ואם כן, לנקוט בכל האמצעים להגן על עצמו. מתקיפים טיפוסיים עלולים להיות מתחרים אשר מחפשים מידע עסקי ותוכניות עבודה, או פורצים לאתרים על מנת לסחוט כסף מהבעלים. לארגונים ישראליים יש בעיה נוספת, כיוון שהם עלולים להיות מותקפים מסיבה פוליטית ולא עסקית, כפי שאנו רואים בשבועות האחרונים. כיום בארה"ב, החוק מחייב חברות אשר מידע נגנב מהן, ליידע את הציבור בכך. זה כמובן מוביל לבעיה תדמיתית קשה, בעיקר אם מדובר בחברות מהמגזר הפיננסי ולכן על החברות לנקוט בכל דרך אפשרית כדי להימנע מפריצה ואם קרתה – לגלות אותה מהר ככל הניתן. ארחיב על כך בהרצאה.

כיצד אתה מנתח את המתקפות של התקופה האחרונה?
"במציאות, אנו יודעים רק על התקפות שפורסמו באמצעי התקשורת ולא על התקפות אחרות שאינן נוגעות לאתרים ציבוריים. לדעתי אנו רואים רק את ההתחלה וזה לא יפתיע אותי אם במקביל להתקפות DDoS(מניעת שירות) כאלה ואחרות, יתנהלו מתקפות מזיקות בהרבה, אשר הציבור טרם נחשף אליהן. בשורה התחתונה – ההאקרים נעשים יותר מתוחכמים והמתקפות נגד אתרים וגופים ישראליים לדעתי רק יילכו ויתגברו. אני מציע להתייחס לעניין בכובד ראש ולהכין עצמנו לקראת מתקפות נוספות".

מהם הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"עולם הסייבר משתנה באופן מהיר והאקרים מנסים השכם והערב למצוא דרכים חדשות לתקוף ארגונים ומדינות. התקפות כמו Rustockמוכיחות, כי גם חברות המיישמות את כל פתרונות האבטחה המסורתיים בקפידה נפרצות על ידי האקרים שרמת התחכום שלהם עולה בהתמדה.

במסגרת ההרצאה בכנס, אסקור את סגנונות ההתקפה והאיומים האחרונים ואדבר על פתרונות שחברות יכולות ליישם כדי להגן על עצמן מפניהם. בנוסף, אסקור את פריצות ההאקרים לארגונים וחורי האבטחה בארגונים שמאפשרים זאת,וננסה להשיב על השאלה: כיצד נוזקות מתוחכמות נמצאות צעד אחד לפני פתרונות אבטחת המידע הארגוניים ומצליחות לפגוע במשתמש הבודד וכך מסכנות את כלל הארגון?"

*אלכס לנשטיין (Alex Lanstein), הינו מהנדס בכיר בחברת FireEye, מומחה בינלאומי בסייבר טרור ופיתוח מוצרי אבטחת מידע. FireEyeמיוצגת בישראל על ידי חברת InnoCom

בועז דולב | 07/02/2012

"קיים פער גדול בין היערכות המדינה לבין קיומה של מטריית הגנה כוללת לתקיפות סייבר"

"היכולת לבצע תקיפת סייבר קלה יותר מהיכולת להגן על ארגון מפני תקיפה" הוסיף דולב, מנכ"ל eVision ויועץ אסטרטגי לסייבר בחברת ClearSky, לקראת כנס CyberSec 2012 ● לדבריו, ארגונים בישראל צריכים להיערך לתקיפות סייבר בדיוק כפי שהם בונים היום מערך הגנה פיזי על משרדי החברה"

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"מדינת ישראל נערכה בשנים האחרונות להגנה על התשתיות הקריטיות שלה מפני תקיפת סייבר. קיים עדיין פער גדול בין היערכות זו לבין קיומה של מטריית הגנה כלל מדינתית לתקיפות סייבר. כיום, היכולת לבצע תקיפת סייבר קלה ופשוטה יותר מהיכולת להגן על ארגון/חברה מפני תקיפה מעין זו. בשנים הקרובות ייסגר אט אט הפער כשכלי הגנה חדשים יאפשרו לחברות ולארגונים להגן על עצמם בצורה טובה יותר מתקיפות סייבר. במהלך פרק זמן זה מוטל על המדינה להשלים את היערכותה במעגלים שבהם עדיין לא הושלמה היערכות זו. היערכות זו כוללת הרחבת מעגלי ההגנה, הרחבת המודעות בקרב הציבור הרחב בנושא וקביעת נהלי טיפול באירועי סייבר".

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"חברות וארגונים בישראל צריכים להיערך לתקיפות סייבר בדיוק כפי שהם בונים היום מערך הגנה פיזי על משרדי החברה שלהם. משרדי החברה הוירטואליים כוללים סניפי שרות באינטרנט, סניפי שרות מקומיים ובנייני הנהלה. ההגנה על כל אחד מסניפים אלה מחייבת עריכת סקר סיכוני סייבר, החלטה על תוכנית עבודה הכוללת תעדוף המערכות הקריטיות להגנה והקצאת משאבים לבניית מערך הגנה זה. תקיפות סייבר מהוות היום סיכון ממשי על רבות מהחברות בישראל ואל להם להמתין להקמת מעגלי הגנת סייבר מדינתיים על מנת לייצר את מנגנוני הגנת הסייבר על ליבת הפעילות העסקית שלהן".

כיצד אתה מנתח את המתקפות של התקופה האחרונה?
"תקיפות אלה התבצעו על ידי קבוצות האקרים אידיאולוגיים (אקטיביסטים) שקבוצות רבות דוגמתן פועלות היום בכל העולם לקידום מטרות אידיאולוגיות (אנונימוס מהווה קבוצה מעין זו)

התקיפות שהתבצעו נועדו בעיקר לגנוב מידע ולשבש מידע מאתרי אינטרנט.

תקיפות אלה מהוות סימן אזהרה לכל חברה וארגון שעליהם לשמור היטב על נכסי המידע שברשותם, בעיקר אלו החשופים לסביבת האינטרנט. ישנן מספר רב של דרכים להתגונן מפני תקיפות על אתרי אינטרנט, רובם דרך אגב פותחו על ידי חברות תוכנה ישראליות. אני ממליץ לכל חברה לבדוק את מידת החשיפה שלה לסיכוני תקיפה באינטרנט ולטפל בכך מיידית".

מהן הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"בהרצאה שלי אנסה להגדיר את מושגי היסוד בעולם הסייבר והשפעת המינוח על השיח הציבורי המתקיים היום. בין השאר אדון במשמעות המושג "מלחמת סייבר" והשלכות השימוש בשם זה.  כמו כן אסקור את האלמנטים היחודיים המאפיינים תקיפות סייבר וכיצד לדעתי על המשק הישראלי להיערך לקראת התקיפות הבאות".

 

*בועז דולב הינו מנכ"ל בחברת eVision  ויועץ אסטרטגי לסייבר בחברת ClearSky

 

ברוך טי | 07/02/2012

"הדרך היחידה להבטיח אבטחה נאותה היא לקיחת אחריות של הנהלת החברה"

"רק כך החברה תוכל לפעול בנחישות ולהיערך למתקפות השונות ", הוסיף ברוך טי, המשמש כמנהל אזורי בכיר לאזור המזרח התיכון ואפריקה, בתופין טכנולוגיות ואחראי על ניהול מערך המכירות הבינלאומי שלה ● הוא אמר את הדברים לקראת כנס CyberSec 2012 שייערך ביום א' הקרוב

כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"אין ספק, חברות קטנות כגדולות חשופות היום כפי שראינו לאחרונה. הדרך היחידה להבטיח רמת אבטחה נאותה היא לקיחת אחריות של הנהלת החברה. ככל שההנחיות יהיו ברורות יותר לגבי אופן ההתמודדות (וההצטיידות בהתאם) כך החברה תפעל בנחישות לאבטח את עצמה ולהיות ערוכה למתקפות השונות".

האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"עבדתי שנים עם הרבה גורמים בממשלה ומשרד הביטחון ואכן המודעות גבוהה ואף המאמצים לרב מראים תוצאות בשטח. תמיד ניתן לעשות עוד".

כיצד אתה מנתח את המתקפות של התקופה האחרונה?
"למרות שאני לא שמח שזה קרה, זה הדליק לכולנו נורית אזהרה והעלה למודעות שאכן כנראה יקרו דברים כאלה ואולי גרועים מזה גם בעתיד. בין אם אנחנו אזרחים מהשורה שצריכים להיזהר יותר במידע שאנחנו מעבירים ובין אם אנחנו אנשי מקצוע או מקבלי החלטות בתחום המידע האלקטרוני, יש לתת על כך את הדעת ולפעול כדי להיות מוכנים לבאות".

מהם הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"חברות כיום חשופות יותר לחדירות והאקינג מתוך חוסר תשומת לב לתשתיות אבטחת מידע שלהם. ניתן בקלות לסגור חורים ופרצות אם רק היו יודעים איפה הם".

רונית קריספין | 07/02/2012

מי מאיים עלינו יותר - ההאקר הסעודי או מועדוני הלקוחות?

המידע שנאסף במועדוני הלקוחות ברשת צריך להטריד אותנו הרבה יותר מאיזה האקר סעודי בעל אגו, שצריך להראות לחבריו שהצליח להוריד כמה אתרים ● אם כך, האם שווה לנו להשקיע כ"כ הרבה בטכנולוגיה על סיכון מחושב וידוע מראש? ● מאמר מאת רונית קריספין, לקראת כנסCyberSec 2012

בואו נהיה כנים, אם מִשהו יחליט לגנוב מאיתנו מידע, לא חשוב כמה מומחי אבטחת מידע אנחנו, יש סבירות גבוהה שהוא יצליח.

ככה זה עובד: אנחנו מחכימים עם ניסיונות הגניבה, הגנבים משתכללים עם האבטחה שאנחנו מסַפקים, וחברות הביטוח נהנות לאכול את העוגה השלמה ומשמינות בנחת מחוסר הוודאות שלנו. האמת, לא בטוח שאפשר אחרת. זה מעגל שתמיד היה, וכנראה לא ישתנה בעידן הקרוב. ראייה אפוקליפטית? לא ממש.

גניבת המידע הראשונה הייתה כנראה התחזות יעקב לעשיו וגניבת זהותו. נכון, הוא לא השתמש בשיא הטכנולוגיה, אבל הבחור הצליח (עד היום הוא נחשב אבינו על אף המרמה).

על מנת לשמור את המידע עלינו להשקיע - אפשר וצריך להשקיע בטכנולוגיה, בחומות (על סוגיהן) אבל צריך לזכור שבכל מקרה, כמעט תמיד, משהו ינסה בכל זאת להשיג את המידע,

ובמקרים רבים הוא גם יצליח.

השאלה: מה נעשָה במידע הזה? מה הנזק שאני עלול לחוות וכיצד יכולתי למזער אותו?, ובעיקר -  האם המחיר לא היה גבוה יותר מהפגיעה שנעשתה?

שיקום מנהל אבטחת המידע שלא עשה רכישה אחת בחייו ברשת. אם תשחד מנמ"ר במתנת יום הולדת חינם הוא לא יצטרף למאגר המידע? למועדון הלקוחות? יצטרף גם יצטרף!

המידע שנאסף במועדונים הללו צריכים להטריד אותנו הרבה יותר מאיזה האקר סעודי עם אגו של טווס שצריך להראות לחבריו שהוא הצליח להוריד כמה אתרים ולעשות נזק תדמיתי.

כמנהלת סיכונים ומשברים, לא הייתי ממהרת להשקיע עכשיו בטכנולוגיה הכי חדישה כדי להימנע מחדירה נוספת, אלא אם הייתי משתכנעת שהנזק הפוטנציאלי שיגרם מצדיק את ההשקעה. כן הייתי רוצה לדעת שמתוך עשרות או מאות הניסיונות, הצליח ההאקר לעשות נזק שהגדרתי אותי מראש "נסבל". שעצם קיומו של הנזק לא עולה על רמת ההשקעה של הכנת תכנית מיגור שלמה. כל זאת כמובן מסוייג אם העסק שלכם בדימונה...

*הכותבת הינה מנהלת סיכונים ומנהלת משברים ויועצת לחברות פנימיות ומבקרת פנים.

*לאתר של רונית קריספין לחץ כאן

ד"ר גיל דוד | 26/01/2012

זיהוי אנומליות – המרדף אחר הגביע הקדוש

התקפה מתוחכמת על כורים גרעיניים והשבתת מערכי צנטריפוגות, השתלטות על תחנות כח וחשמל והחשכת ערים שלמות, תולעים קטלניות המדביקות מליון מחשבים תוך מספר שניות, התקפה על מערכות מסחר המרכזות טריליוני דולרים, גניבת מיליוני כרטיסי אשראי וזהויות, השתלטות על מערכות טילים והדלפת מידע מסווג ממערכות מידע ממשלתיות.

מה משותף לכל ההתקפות האלה? כולן כבר קרו לפחות פעם אחת בעבר ויקרו עוד מספר פעמים בעתיד הקרוב. כולן מאיימות על הביטחון הלאומי.

לא מדובר בהתקפות רגילות של האקרים בודדים אלא בפיתוח ושימוש בנשק סייבר על ידי ארגוני ביון, מעצמות וארגוני טרור נגד תשתיות לאומיות של מדינות.

התקפות אלה ייבנו בדרך כלל לאט ובזהירות במשך חודשים ואף שנים תוך השקעת משאבים אדירים. התקפות אלה יודעות להתמודד מול כל אמצעי הגנה הקיים היום – הן יודעות לעבוד בחשאיות ובהסתר ולא להתגלות בשום שלב.

מדוע התקפות אלה כל כך מסוכנות ולא ניתנות לגילוי על ידי מערכות ההגנה? כי כמעט כל מערכות ההגנה הקיימות היום מבוססות על חוקים וחתימות. החל מחומות אש, דרך מערכות רשתיות לזיהוי התקפות ועד למערכות ביתיות לזיהוי התקפות. תוכנות האבטחה מחזיקות מאגרים של חוקים וחתימות של תולעים, סוסים טרויאנים ווירוסים ובצורה זו הן יכולות להגן על משתמשים, אתרי אינטרנט ורשתות מפני כל ההתקפות שכבר נראו בעבר ועבורן יוצרו חתימות המזהות אותן.

אבל מה קורה אם הארגון התוקף משתמש אך ורק בהתקפות שלא נראו בעבר (Zero-day attacks)? במקרה זה אף אמצעי הגנה לא מכיר את ההתקפה ולכן גם אין חוקים שיכולים לזהות אותה. זה מה שקורה במקרים של התקפות הסייבר המתוחכמות הנבנות בתחכום רב תוך פיתוח ושימוש ב- Zero-day attacks שחולפות בקלילות דרך כל אמצעי ההגנה.

מה שנדרש במקרה זה הוא פיתוח ושילוב של מערכות לזיהוי אנומליות. מנגנונים אלה לא בנויים על מאגרים של חתימות או התקפות שכבר נראו בעבר. מנגנונים אלה לומדים באופן עצמאי את ההתנהגות של הארגון בו הם מוצבים, הם לומדים את השגרה ובונים פרופילים שונים של התנהגויות עבור שרתים, מחשבים ומשתמשים. הם לומדים את דפוסי הפעילות ומזהים תבניות שונות של פעילות. הם מסתכלים, לומדים ומתעדכנים כל הזמן.

מנגנונים אלה מיועדים למצוא בדיוק את ההתקפות שאף אחד עדיין לא מכיר, את ההתקפות המתוחכמות ביותר, ההרסניות ביותר והמורכבות ביותר שבפיתוחן הושקעו מיליוני דולרים. מערכות אלה מסוגלות לזהות ולעצור את ההתקפות אשר אותן אף אחד לא גילה עד היום – הגביע הקדוש של התקפות יום הדין.


ד"ר גיל דוד הוא מנכ"ל חברת Brainstorm Private Consulting

אנשים ומחשבים | 24/01/2012

לוחמת הסייבר והבטן הרכה של הארגון

התקפות על אתרי תדמית של ארגונים יכולות להגיע בכל עת ● התקפות אלו הן יחסית קלות וזולות לסיכול אך עם זאת, נקודות התורפה העיקריות של הארגונים הן מערכות הליבה שלהם ● ראיון עם יניב סימסולו, CTO  מחלקת הייעוץ בחברת 2Bsecure, לקראת הרצאתו בכנס CyberSec 2012
 
מהן הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
"עולם ה Cyber Terror עמוק ומגוון לפחות כמו המערכות המשמשות כמטרה להאקרים.
התקפות על אתרי תדמית של ארגונים יכולות להגיע בכל עת ומכל מקום. התקפות אלו הן יחסית קלות וזולות לסיכול, גם במחיר של מניעה כוללת של הגישה לאתר. 
עם זאת, נקודות התורפה העיקריות של ארגונים ורשויות הן מערכות הליבה הארגוניות. מלחמת סייבר שתכוון נגד מערכות אלו תגרור נזקים משמעותיים, ישירים ועקיפים, שיכולים להגיע עד רמה של פגיעה בשרידות הפיננסית של הארגון.
במהלך ההרצאה נסקור מספר היבטים של תחום ה Cyber Terror, והיכולת של אבטחת המידע הקיימת להתמודד עם היבטים אלו".
 
האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
"מדינת ישראל לא ערוכה להתמודד עם מלחמת סייבר באופן מלא. בחינה של רמת האבטחה ומנגנוני האבטחה המיושמים במערכות הליבה ובמערכות החיוניות לארגון מגלה לרוב כי שכבת התצוגה של המערכת החשופה לאינטרנט מוגנת ברמה טובה, אך השכבות הפנימיות של המערכת אינן מאובטחות או מוגנות ברמה מספקת. 
 
הזרז העיקרי במשק להגברת רמת האבטחה במערכות מגיע מהסקטור הפרטי: רגולציית PCI. זרז עיקרי נוסף מגיע מהממשל האמריקאי: החוק הפדרלי SOX. תקני  אבטחה וחוקים אחרים כגון תקן  ISO 27001 או חוקי הגנת הפרטיות לא גורמים בפועל להגברת רמת אבטחת המידע בארגונים.
החלקיות האינהרנטית של PCI ו SOX אשר נובעת מאבטחה נקודתית של מידע ורכיבים הרלוונטיים לרגולציה עצמה, גורמת הלכה למעשה לארגונים לנקוט צעדי אבטחה חלקיים לטובת הרגולציה בלבד, תוך חשיפת אזורים רגישים של המערכת ואף מערכות ליבה שלמות של הארגון".
 
כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
"יש להיערך למתקפת סייבר במספר רמות. ראשית, יש ליישם את מירב שכבות האבטחה על המערכות החשופות לאינטרנט, ואף להכין תוכניות מגירה למצבים בהם תידרש סגירת מערכת או מניעת הגישה אל מערכת נתונה. 
שנית, יש לאבטח את כל מערכות הליבה של הארגון באופן מלא, במתודולוגיית In-Depth Security.
שלישית, יש להיות ערוכים למצבים בהם התקפות סייבר חדרו לארגון אחר עימו קיימים קשרים בין-מערכתיים, והיקף החדירה אינו ברור. במצב זה יש לבחון אפשרות של ניתוק הקשרים בין המערכת לבין הארגון שהותקף. תרחיש זה מציאותי ביותר במלחמת סייבר (לדוגמא, הפחד של הממשל האמריקאי מביצוע התקפות סייבר נגד הממשל העירקי ב 2003 מחשש לזליגת ההתקפה לארגונים אירופיים הקשורים לממשל ולמערכת הפיננסית העיראקית).
כמו כן יש להבין כי ניתוק או סגירה של מערכת ליבה אינו מעשי במצבים רבים. לפיכך יש לנקוט אמצעי אבטחה פנימיים במערכת עצמה, ואמצעי הגנה היקפיים שמטרתם למנוע צורך בסגירה של מערכת הליבה עצמה. 
 
Integrity is an Issue: מרבית המערכות אינן מכילות מנגנונים להבטחת שלמות המידע במערכת ושלמות התהליכים הלוגיים של המערכת. פגיעה ב Integrity במערכת יכולה במצבי קיצון לגרום לנזקים בהיקף קיצוני לארגון, עד רמה של סיכון השרידות של המידע במערכות הארגון או אף השרידות הפיננסית של הארגון בכלל. יש ליישם באופן מדוקדק אמצעים להבטחת שלמות המידע במערכות הליבה של הארגון".
 
כיצד אתה מנתח את מקרה דליפת פרטי כרטיסי האשראי ונפילות אתרי הבורסה, הבינלאומי ו אל על?
"דליפת כרטיסי האשראי שאירעה לאחרונה מהווה מקרה שחדר לתודעה הציבורית. כמוהו מתרחשים אלפי מיקרים מדי שנה, המזינים את תעשיית הונאות הזהות המשמשת האקרים וגורמי פשיעה מזה שנים רבות. היקף הנזק מהונאות גניבת זהות אלו לחברות האשראי ברחבי העולם נאמד בעשרות מליארדי דולרים מדי שנה. נזק זה הוא הסיבה ליצירת תקן PCI ולאכיפה של תקן זה על ידי חברות האשראי. הלכה למעשה, חלק מהארגונים מצליחים לפעול "מתחת לרדאר" של חברות האשראי ולאכסן נתוני לקוחות ונתוני אשראי של לקוחות באופן לא מאובטח, והם אלו המאפשרים את גניבת המידע וההונאות כנגד מחזיקי כרטיסי אשראי. מספרם של ארגונים כאלו הולך ופוחת וחשיפה של אירועי אבטחה כגון דלף כרטיסי האשראי תוביל בסופו של דבר לסגירת פרצות האבטחה הקיימות.
 
ההתקפות על אתרי הבורסה, קבוצת הבינלאומי ואל על בוצעו במתווהDistributed Denial of Service. מתווה זה אינו ניתן למניעה. ניתן להפחיתו משמעותית על ידי איתור וחיסול של Botnets אך מהלך זה מסובך לביצוע. לפיכך, יש להיערך להגן על אתרים החשופים לאינטרנט, ובפרט אתרים של ארגונים ציבוריים הנמצאים בחשיפה גבוהה. אפשר ללמוד מכך שההתקפות בוצעו כנגד אתרי תדמית וגרמו לנזק מינורי בלבד, שמטרת ההאקרים הייתה לגרום למבוכה ולהד ציבורי יותר מאשר גרימה של נזק פיננסי או נזק משמעותי אחר. למזלנו לא הותקפו מערכות חיוניות של ארגונים ציבוריים.
 
יניב סימסולו הוא CTO מחלקת היעוץ בחברת 2Bsecure, הממונה בין היתר על אבטחה אפליקטיבית, אבטחת מערכות ליבה ומערכות מרוכבות בארגונים. התמחות מיוחדת באבטחת בסיסי נתונים, שרתי אפליקציה ומערכות Middleware.

אבי ויסמן | 24/01/2012

קדימה, לצלול פנימה...

בעוד עם ישראל "מִתְבַּחְבֳּש" בהגדרות היסוד – האם מוצא האדם מן הקוף, או שהאל המיטיב בראוֹ, ממשיך העולם להסתובב על צירו, לייצר הפתעות מביכות, ולהעמיק-לצלול פנימה אל עולם הסייבר, ולדלות ממנו מטמונים: טכניקות התקפה חדשות, מתודולוגיה להגנת סייבר המתגבשת והולכת, מוּדעות של ה"סקדאיסטים" שהאיום קיים גם כאשר סקדתם (הסקדה שלהם) לא מצייצת ולא מדווחת סטטוס בפייסבוק, ואפילו מטה קיברנטי מצמח פוטנציאל אט-אט לנגד עיניינו.

אוקיי. אז אנחנו חלוקים על הגדרת המונח "מלחמת סייבר", אך מה זה משנה? חלוקים או אבנים – 0Xomar המושמץ, הקטנטן, הפתטי, הסקריפט-קידי, הכאיב לנו, אה? מסתבר שגם קוץ שוליים, יודע לעשות כואב למדינה גאה ובוטחת.
 
אני מבקש שנמשיך קדימה.
יורם הכהן: המשך לצעוד קדימה. הציבור מאחוריך. הכה בכל סוחר המפר את הכללים בזלזול.
ראמניקים ומלמ"בניקים: יש לכם אנשי מקצוע נפלאים. המשיכו לצעוד שם במחשכים, אנחנו בוטחים בכם.
ממשלניקים זמינים: עשיתם המון בלי תקציב, המשיכו כך, ונקווה שאנשי הכיסים העמוקים הבינו כי אין ברירה, צריך "לבזבז".
משרד הבריאות: בוקר טוב! השמש זרחה, השיטה פרחה, והשוחט טרם שחט! הצילונו מגיא ההריגה הבריאותי.
אנשי בנק ישראל: אל תרפו, אל תוותרו, הקשיחו ידכם. עדיף כרטיס אשראי רגוע בכיס משני "חופש העיסוק" ו"ציון טוב במדד הבינלאומי לקושי בניהול עסקים" על העץ.
 
ולאנשי המקצוע, דורבנות לי אליכם, קשות כב"קשות שבמילים":
לכו להרחיב דעת. הג'וב שלכם אינו מובטח. הקשחות אינם אבטחת מידע. תפעול פיירוול איננו אבטחת מידע. זוהי טכנאות, במלוא הדרה הטכנולוגי, עד כמה שלטכנולוגיה יש הדר.
לכו תלמדו מהי APT, ואחר-כך, מהי מתודולוגיית הגנת מידע של מהנדס, ושל מנהל אמיתי בעל גאוות מקצוע, ואז – לימדו במידת הצורך מהי מתודולוגיה של הגנת סייבר, ומהו OSINT, ומהו פייטון", ומהו "קוד עוין" מהבפנוכו שלו, ומהי "הנדסה לאחור", ומהו Forensics, ומהו SOC כהלכתו (ולא רק הקצה של הטכנולוגיה שאתם בקושי מממשים), ומהי מתודולוגיית Response Team (יש לכם?).
והרי לא ביקשנו שתהפכו לתוכניתנים!
 
וכעת, אל האריות, אל מובילי הדרך העסקית, אל הקשוחים שבקשוחים: מנכל"ינו!
אתם אשמים אף יותר מאנשי הטכנולוגיות, ותהיו אשמים עוד יותר.
די לנו! זלזלתם מספיק! הפחדתם לעייפה את אנשי הטכנולוגיות בידכם הקפוצה, במבטכם המזרה פיטורין. 
היורם בעקבותיכם!
 
תוספת קטנה:
ויסמן, מה אתה רוצה מהם? המודעות בעיצומה, והכל משתפר. 
לא נכון!. יודע אני את עמי. מחר נשכח.
 
*הכותב: אבי ויסמן,  מנכ"ל See Security, המכללה לאבטחת מידע ולוחמת מידע

איציק כוכב | 24/01/2012

טרשת העורקים של אבטחת המידע בישראל

איציק כוכב ,ממונה על הגנת המידע בשירותי בריאות כללית

אירוע מתקפת ההאקר על פרטי כרטיס האשראי בישראל הוא סימפטום של תהליך טרשתי בעורקי אבטחת המידע בישראל.

המונח "נתיב המידע" הינו מונח מקצועי המשמש מתודולוגים בענף. אירועי חשיפת מספרי כרטיסי האשראי הוא רק סימפטום של סוגיית אבטחת מידע מורכבת שאופיינית יותר במדינות בעלות אטמוספירה, מנהיגות וניהול כשלנו - מדינות בעומס יתר חברתי. האירוע דומה להפליא להודעת אזהרה שאדם מקבל מגופו בצורה של כאב, עייפות קיצונית, קוצר נשימה לקראת מחלת לב משמעותית אקוטית.
 
במקרה שלנו דומה מקרה ההאקר הסעודי לכלי דם בלב שהחל בו תהליך טרשתי שיביא לבסוף לחסימתו המלאה ויגרום לאוטם שריר הלב והתמוטטות האדם שלקה במחלה.
המקרה האחרון הוא הודעה לראש מערכת אבטחת המידע בישראל כי מתקיים תהליך טרשתי בנתיב המידע, ואם לא נטפל יקרסו מערכות נוספות בגופו.
 
אבטחת מידע מושלמת הינה שרשרת מסונכרנת ומוסכמת של פעילויות במישורים שונים ומשלימים, הן טכנולוגיים, הן עסקיים, והן חברתיים. השרשרת רחבת היקף, אך לא ניתן לקצרה: חינוך לאבטחת מידע בתיכון ובאקדמיה, חוקים, רגולציה, מדיניות אבטחת מידע ארגונית, תקציב, שילוב אבטחת מידע בכל תהליך שיש בו מידע רגיש, תקנים טכנולוגיים, מהימנות כ"א ,מודעות עובדים, פיתוח מאובטח, בקרת איכות של אבטחת מידע, מערכות תחקור, בקרה, אכיפה, פיקוח והתרעה, מודיעין מקצועי, תהליך מתמיד של שיפור ועוד.. הרשימה מוכרת, אך גם לכל אלו - אין ערך בהעדר מחויבות חריפה וחד משמעית של המנהלים. הטרשת במקרה הזה, ובניגוד לרפואה, מתחילה מהראש. ממערכת העצבים.
 
בכל מקרי ההתקפה הידועים על ישראל ועל אזרחיה, אנו מגלים כי חוליה אחת מהחוליות שבשרשרת האבטחה שמניתי אינה קיימת ומשם חדר ההאקר. מאוד פופולארי לדבר על מלחמת סייבר המתרגשת עלינו. ההתקפה כבר מזמן כאן, בין שנכנה אותה מלחמת-סייבר, ובין טרור-סייב. 
 
התהליך הטרשתי מתחיל בתרבות ה"סמוך" שלנו. זו העת להפנים שהשלב הבא יכאב יותר. אך כמו בתהליך טרשתי בלב, אשר ניתן לטפל בו ואפילו למנוע אותו לחלוטין, גם כאן יש אפשרות שכזו, גם אם לא נזכה באטימה מוחלטת .
 
*הכותב: איציק כוכב ,הוא הממונה על הגנת המידע בשירותי בריאות כללית ועוסק בביטחון מידע ארבעה עשורים.
 

אבי ויסמן | 17/01/2012

מתקפת הסייבר על ארגונים בישראל ינואר 2012

חוות דעת: התקפות הסייבר נגד ישראל ● מאמר מאת אבי ויסמן,  מנכ"ל See Security, המכללה לאבטחת מידע ולוחמת מידע

 
בשבוע שעבר זיכו העיתונים היומיים הגדולים את עמודיהם הראשונים בכותרת: "ישראל תחת מתקפת סייבר".
אך סנונית אחת – לא בישרה את בוא האביב. הכותרות היו מופרזות. בדיעבד - כעת, ניתן לומר כי ישראל אכן מצויה תחת מתקפת סייבר.
 
הסיבה היחידה שטרם נפגעו מערכות של צה"ל או של משרד הבטחון וממשלת ישראל, היא – חוסר הצלחתם של התוקפים, שכן מערכות אלו מוגנות יותר ומחייבות השקעה גדולה לאין שיעור בהתקפה, הרבה מעבר לכוחם של התוקפים הנוכחיים
 
מדוע הדברים מתרחשים כך?
 
תשתית טכנולוגית
נקודת המוצא לדיון היא התשתית הטכנולוגית המשרתת את העולם כולו: 
1. תשתית התקשורת (פרוטוקולים ורכיבים בשכבות הנמוכות במודל OSI) המשרתת אותנו בעשור האחרון נבנתה ל"פתיחות", ולא לצרכי אבטחת מידע. 
2. תשתית מערכות ההפעלה נבנתה אף היא לפתיחות בבסיסה, אך מיקרוסופט וחברות הפצת הלינוקס עושות מזה עשור מאמץ אדיר לשנותן ולהתאימן לאיומי ם על הגנת המידע והמערכות.
3. גם אחדות מתשתיות קוד הפיתוח נבנו ל"פתיחות", אך המתקדמות שבהן כבר נבנו בהתאם לצרכי האבטחה.
4. תשתיות מיוחדות (מערכות שליטה ובקרה תעשייתיות - ICS) מבוססות עקב נסיבות שונות על גרסאות של מערכות הפעלה עתיקות-יומין שאינן מוגנות.
כל אלו – הביאו את משק הגנת מערכות המידע למצב עגום: על כל שעה המושקעת בתכנות וביצוע התקפה, נדרשות 10 עד 100 שעות לתכנון, ליישום הגנה, ולהדיפת התקפה.
 
סוגי אתרי אינטרנט, מערכות מידע ומערכות נתמכות מחשב
 
נהוג לסווג אתרי אינטרנט כאתרים ייצוגיים - לקבלת מידע בלבד, וכאתרים תפעוליים – אשר בהם ניתן לבצע טרנזקציות כספיות או הזנת מידע. הסוג השני הוא רגיש במיוחד, מטבע הדברים. סיווג מיוחד קיים לגבי אתרים שמחוברים באופן מקוון ל"עורף של המיחשוב הארגוני". הכוונה לאתרים שמחוברים ישירות למערכות המחשבים של הארגון. במקרה כזה, התקפה על אתר כזה יכולה להוות שלב ראשון לתהליך חדירה אל מערכות הארגון.
 
במינוח "מערכות מידע" – אנו עושים שימוש כדי לתאר את כלל השרתים ומחשבי הקצה המשמשים את הארגון, לרבות התוכנות והמידע האגור בהם.
 
המינוח "מערכות מבוססות מחשב" מתייחס ל"מכונות" ולציוד שהפעלתו מבוססת על הנחייה ממחשב ומתוכנה מיוחדת שנכתבה לשם כך. דוגמאות: מכונות ייצור, מכונות הזרמת נוזלים, אנרגיה ועוד.
 
גיבוי אתרי אינטרנט, מערכות מידע ומערכות נתמכות מחשב
 
טכנולוגית, קיימת אפשרות "למשוך את השטיח" מתחת להתקפה על אתר מכל סוג שהוא או על מערכות מידע, ברם, עלות הגיבוי יקרה מנשוא.
זו הסיבה שגיבוי נבנה מראש רק עבור אתרים או מערכות רגישות במיוחד, וגם אז, הגיבוי – בדרך-כלל, איננו גיבוי "חם-מלא", אלא חלקי, עקב העלות הכרוכה בפתרון אופטימאלי.
 
זיהוי התוקפים ותגובה של מדינה
 
היכולת לזהות תוקפים מושפעת מאוד מהמבנה המיוחד של טכנולוגיות המידע בנות-זמננו, ובעטיה של אי-ההסכמה" הפוליטית המאפיינת את הקהילה הבינלאומית.
אלו, מובילים מחד לעבודת מחקר טכנולוגית רחבת היקף הנדרשת לשם איתור תקיפה ועקבותיה, וזאת – בתנאים של מחסור מכביד בשיתוף פעולה בין-מדיני והעדר חוקים בינלאומיים ושיטות אכיפה מוסכמות.
בתנאים אלו, תהליך איתורם של תוקפים עשוי בחלק מהמקרים בלבד להסתיים בהצלחה, אך זאת – לאחר פרקי זמן של שבועות עד חודשים רבים. די – על-מנת שתוקף זה או אחר יעלם מהזירה.
 
קשיים אלו – הביאו מדינות מותקפות לחוסר-אונים טכני, ומכאן – להצהרות כי יראו בהתקפות כאלו "מלחמה לכל דבר", והן תגבנה בהתאם.
 
יכולת הסייבר של ישראל
 
ישראל הינה מדינה עתירת טכנולוגיות, ודווקא משום-כך – היא פגיעה יותר, ביחס לשכנותיה.
העיתונות גם מייחסת לישראל יכולות התקפה אשר באו לכאורה לידי ביטוי בהתקפות שונות, באיראן, בסוריה, בלבנון ועוד.
כולנו חווים במקביל – שלל התבטאויות בעיתונות הבינלאומית, המייחסות גם את ההתנקשויות במדעני גרעין איראניים.
אנחנו מתחילים להאמין לנאמר עלינו...
ברם, לשימת לבנו – כל הייחוסים – נוגעים ליכולת ההתקפה של ישראל. מתי זכינו לתשבחות על יכולת הגנת הסייבר שלנו? לא זכינו, כי איננו ראויים.
ישראל איננה מעצמת הגנת סייבר. בזכות ה"יהיה בסדר" שלנו, אנו אפילו לא אחת מהמדינות המערביות המתקדמות בהגנה. מדוע? והרי הטכנולוגיות שבשימושנו הן מהמתקדמות ביותר, אנו אפילו מעצמה בייצור כלי אבטחה.
אכן כן, אך הסנדלר הולך יחף. לנו עצמנו – בכל מגזרי המשק – יש סדרי עדיפויות קצרי-טווח הנוגעים יותר לדוח רווח והפסד השבוע, החודש, בקורי לשנה זו. בסדרי העדיפות הללו, איננו מוצאים לנכון לשלב ממצאים תבוניים של הערכת סיכוני סייבר, ולהקדיש לאיומים הללו משאבים בהתאם. אנחנו מזלזלים, אבל יהיה בסדר.
 
התקפות על ישראל על רקע הקיפאון המדיני
 
יהיו אשר יהיו מניעיהם של התוקפים, מדובר בבודדים ובקבוצות צעירים, מרביתם מוסלמים, אשר עושים כמיטב יכולתם לפגוע במדינה. התבטאויות התמיכה בפעילות זו מצד ראשי חמאס וחיזבאללה בעת האחרונה, אינן מעידות כי ההתקפות מאורגנות כליל, אך בהחלט מהוות אבן-דרך בתמיכה של ארגון טרור או מדינה בפעילויות. "השלב הבא", עלול להיות פעולות המבוצעות על-ידי ארגוני תקיפה עתירי ממון ויכולת של מדינה או מדינות ערביות.
 
עד כה, נפרצו מערכות "רכות" – מערכות מידע קלות לפריצה, עקב המשאבים הירודים שהושקעו בהגנתם.
במקביל – קיימת התקפה כמעט חסרת תקדים גם על "מערכות קשות" – מערכות תפעוליות של ארגוני ביטחון, תשתיות לאומיות ומשרדי ממשלה, אך ההתקפות סוכלו עד עתה, בעיקר – בזכות חוסר המשאבים של התוקפים, וקצת בזכות כושר ההגנה של המערכות הללו.
 
מערכות רגישות במדינת ישראל
 
קיימות מספר שיטות משלימות לסיווג רגישותן של מערכות מידע. 
האחת – על-בסיס המגזר אליו הן שייכות – פיננסיות, תחבורתיות, ביטחוניות וכו'.
השנייה – על-בסיס עלות הנזק הנגרם למדינה או לאוכלוסייתה בעטייה של התקפה פוטנציאלית עליהן.
השלישית – על-בסיס זהותו של "הסובל" מנזק מסוג זה: הציבור הכללי, אוכלוסייה מוגדרת, מערכת הביטחון או ממשלה ומוסדותיה.
 
בהעדר משאבים מספיקים – מצב המאפיין "מדינה בעומס חברתי", מוזנחים בדרך-כלל גופים שהשבתתם תביא לפגיעה בחלקי אוכלוסייה קטנים יחסית, גם אם הנזק המוראלי הלאומי הינו כבד יחסית, מכיוון שכמות האתרים ומערכות המידע מסוג זה – היא עצומה, והתקציב הנדרש להגנתן בלתי-נסבל.
 
את שאר מערכות המידע, נהוג לסווג על-בסיס המשלב את שתי שיטות הסיווג הראשונות. בדרך-כלל – קיימות גם תואמות גבוהה בין שתי השיטות, לאמור: מגזרים מסוימים הנם גם רגישים יותר.
סיווג זה, הוא המפתח להשקעה מצד הרשויות בהגנת מערכות. 
לדוגמה: באל-על קיימות מספר מערכות מידע, ואחדות מהן – רגישות מאוד מטבע הדברים, ואילו אחרות – אינן רגישות, ואפילו חסרות משמעות. לפיכך – המדינה תנחה ותפקח על אל-על באופן שיביא לידי ביטוי את דאגתה: השקעה משמעותית במערכות הרגישות, בהשוואה לאלו שהן תת-קריטיות..
 
מערכות נקודתיות או לא-רגישות (תת-קריטיות) במדינת ישראל
 
התקפה על אתר אינטרנט ייצוגי של חברת מסחרית, הינה חסרת משמעות. התקפה על מספר חברות כאלו – מהווה פגיעה במורל הלאומי. 
התקפה על אתר אינטרנט תפעולי של חברה מסחרית, היא בעלת משמעות נקודתית. התקפה על מספר חברות כאלו – מהווה פגיעה כלכלית ופגיעה במורל הלאומי.
 
התקפה על אתר ייצוגי כלשהו של גוף ממלכתי, כל-שכן בטחוני – תסתמן בתקשורת כהתקפה חמורה מאוד, גם אם אין להתקפה כזו השלכות מעשיות בעלות ערך, ובהתאם – בעקבות התקשורת – גם המוראל הלאומי נפגע.
 
ההתקפות על אתרים בישראל על רקע לאומני בינואר 2012
 
בשלב זה מדובר ב"התאגדות מתוקשרת" של תת-התאגדויות נקודתיות של צעירים ברחבי העולם המוסלמי, אשר גמרו אומר להציק למדינת ישראל באמצעות הסייבר, בהעדר יכולת לתקוף את ישראל בדרך קונבנציונאלית. ככל שיתרבו ההתקפות, הנזק יגבר.
 
אינני יכול לחזות האם מדובר בגל תקיפות שילך וידעך בשבועות הבאים, או שמא מדובר בהסלמה מתמשכת וארוכת-טווח – בבחינת שיטת לוחמה נוספת שיהיה עלינו לחיות עימה בשנים הבאות, ללא דעיכה, ומבלי שלישראל תהיה דרך אמיתית להגיב.
 
מדוע אני כה חסר יכולת לצפות את העתיד הקרוב?
מכיוון שהדברים אינם תלויים בנו. אנו חשופים, ומזמינים התקפות, ואנו נעדרי דרך אמיתית להעניש את אלפי הבודדים והמתארגנים.
הדברים תלויים בהם, בהתקדמויות ובנסיגות במשאים ומתנים שאין להם ולא כלום עם אטמוספרת לוחמת הסייבר.
 
פתרונות למדינת ישראל
 
בשבוע שעבר, בעקבות ההתקפות במוגבלות על אתרים, וגנבת רשומות מידע אודות אזרחים, לרבות מידע מלא על כרטיסי האשראי שלהם, התפרסמו "המלצות" שונות:
 
לחסום את נתיבי התקשורת לישראל – פעולה כזו מבודדת את ישראל ומהווה הצלחה לתוקפים.
לאסור על אזרחי ישראל שימוש בכרטיסי אשראי בשימוש באינטרנט – שוב – הצלחה לתוקפים.
הדרכה לאזרח – בלתי אפשרי. הרשלנות אינה של האזרח. לאזרח אין דרך לבחון ולבדוק אמינותו של אתר אינטרנט.
 
כעת, לאחר שהותקפו אתרים ממלכתיים – הבורסה לניירות ערך ואל-על, תוצף מליאת הכנסת בקריאות דמיוניות חדשות.
 
ברם, קיים פתרון אחד בלבד, המורכב מסדרה יקרה של פעולות, ואין בילתה:
 
1. רגולציה ממשלתית הנוגעת לחובתו של אתר המחזיק מאגר מידע, להפעיל סדרת אמצעים לשמירת המידע – טכנולוגיות, משאבי אנוש ותהליכים מבוקרים, לרבות דרכים לאכיפת הרגולציה ואמצעים לכך.
2. רגולציה ממשלתית הנוגעת לחובתו של אתר המחזיק מאגר מידע, לדווח על כל התקפה מהותית, גם כאשר לא נגרם נזק, לרבות דרכי אכיפה ואמצעים לכך.
3. בניית עתודה טכנולוגית עתידית בתחום הסייבר מסלולי לימוד אקדמאים ללימודי אבטחת מידע ולוחמת מידע.
4. הקצאת משאבים ניכרים ביותר לבטחון אתרים ממלכתיים קריטיים.
5. יצירת רגולציה הנוגעת להסדרת מקצועות אבטחת המידע, לרבות מערך הסמכות מקובל ומשאבי בקרה עליהם.
6. חינוך נאות לטווח ארוך של הנוער, כשם שהדבר נעשה בנושאים כמו "קטיפת פרחי בר", "זהירות בכבישים" ועוד.
 
 
אבי ויסמן,  מנכ"ל                                    
See Security Technologies                        
המכללה לאבטחת מידע ולוחמת מידע                   יעוץ אבטחת מידע והגנת סייבר
03-6122831, 054-5222305                          03-6122831, 054-5222305
avi@see-security.com                                avi@wh-consulting.co.il
www.see-security.com                               www.wh-consulting.co.il
     * אתרי מכללת שיא סקיוריטי וחברת היעוץ WH עשירים בתכני ידע, לתועלתך.
 
 

אופיר זילביגר | 17/01/2012

מה שקורה היום אינו עונה על ההגדרה מלחמת סייבר; על המגזר העסקי לבצע את תהליכי הערכת וניהול הסיכונים כפי שביצע מאז ומעולם

לקראת כנס CyberSec2012 המתקרב, ובעקבות מתקפות הסייבר שאירעו לאחרונה כמו דליפת פרטי כרטיסי האשראי ונפילות אתרי הבורסה ואלעל, ביקשנו ממספר מומחי אבטחת הסייבר - המרצים בכנס לומר לנו מה דעתם על המתרחש ● ראיון עם אופיר זילביגר, מנכ"ל SECOZ

 
מהם הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
כותרת ההרצאה שלי תהיה: " סייבר וניהול סיכונים, היכן הם מתחברים"
ההרצאה תעסוק באיום הסייבר שכרגע תוצאותיו נחוות בין היתר בארגונים הממוסדים (להבדיל מתשתיות מדינה או אתרי אינטרנט אזוטריים) ובין עולם ניהול הסיכונים התאגידי שאליו מחוייבים כל אותם ארגונים בין אם על פי רגולציה ובין אם על פי החלטת ניהול סיכונים של הדירקטוריון ו/או ההנהלה.
 
האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
לדעתי מה שקורה היום אינו עונה על ההגדרה מלחמת סייבר ומתוך תשובתי כבר אפשר להבין שיש פה הרבה עניין של הגדרות ותפישה. לדעתי קיימות חזיתות שבהן מדינת ישראל ערוכה ואף מובילה בנושא ואחרות בהן המדינה אינה ערוכה מספיק.
 
כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
על המגזר העסקי לבצע את תהליכי הערכת וניהול הסיכונים כפי שהוא ביצע מאז ומעולם. הוא צריך להבין את ההבדלים בין האיומים הקלאסיים ובין איום ה- Cyber ולנהל את הסיכון באמצעות בקרות שונות מעולם אבטחת המידע המוכר והטוב. קיימים תרחישים אליהם קשה או בלתי אפשרי להתכונן באופן ספציפי ושם הארגון צריך להיות מוכן להתמודדות עם תרחישי קיצון באמצעות מערך ההמשכיות העסקית (כן כן, זו לא טעות) ומערכים תומכים נוספים.
 
כיצד אתה מנתח את האירועים האחרונים כמו אלו של דליפת פרטי כרטיסי האשראי ונפילות אתרי הבורסה ואלעל?
לדעתי מדובר כאן על "מקרה חשיפת פרטים אישיים וחשיפת פרטי כרטיס אשראי", ובנפרד - נפילות אתרי הבורסה ואלעל (אולי נוספים בדרך).
כל אלה מעידים בראש ובראשונה על המוטיבציה הגבוהה של גורמי האיום בין אם אלה ארגוני טרור, מדינות או סתם המון מוסט. המוטיבציה גבוהה וזה דומה לחבית חומר נפץ שממתינה רק לניצוץ. ניכר שהחזית חמה והאיום אמיתי.
 
מאידך, אין אני מתרשם מהצהרות גורפות שכוללות המונחים כגון מלחמת Cyber (ובעברית אגב, "מלחמת ההקשה" מתוך התכנית של אברי וג'קי בגל"צ). אני חושב שהמצב יכול להוות מטרד רציני אבל לא יותר ממטרד. המדינה לא באמת תלויה על שירותי online וכפי שהזכרתי קודם, קיימות הגנות טובות בחזיתות שונות.
 
*הכותב הינו מנכ"ל Secoz, העוסקת בתחום ייעוץ ואבטחת מידע.

רונית קריספין | 17/01/2012

מי שמופתע מהתקפה על אמצעי המידע שלנו, מעיד על כך שהבעיה כפולה

לקראת כנס CyberSec2012 המתקרב, ובעקבות מתקפות הסייבר שאירעו לאחרונה כמו דליפת פרטי כרטיסי האשראי ונפילות אתרי הבורסה ואלעל, ביקשנו ממספר מומחי אבטחת הסייבר שירצו בכנס לומר לנו מה דעתם על המתרחש ומה הנושאים שבהם יתמקדו ● ראיון עם רונית קריספין, מנהלת סיכונים ומשברים ויועצת לארגונים

 
מהם הנקודות העיקריות שאת מתכוונת להעלות בהרצאתך בכנס?
מלחמת סייבר אינה יכולה להוות הפתעה גמורה בעידן המידע. מי שמופתע מכך שאנחנו מתמודדים עם התקפה על אמצעי המידע שלנו, מעיד על כך שהבעיה כפולה: 1. חוסר מודעות (הידוע גם כגורם מספר אחד לפתרון הבעיה, כאשר יש מודעות) 2. הגנה פיסית ולוגית על תשתיות אינן טובות מספיק.
בשני המקרים, מניעה יכולה להוות תשובה הולמת. זו התורה של ניהול סיכונים נכון. 
 
האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
העובדה שמדינת ישראל הותקפה, אינה צריכה להבהיל אותנו. מידת הנזק שנעשה והפוטנציאל של הנזק העתידי הוא זה שצריך להכתיב לנו את מידת ההשקעה במזעור הנזקים וההכנות להתקפות עתידיות, כי איך לומר בעדינות... עוד יהיו.
כמנהלת סיכונים, לכל לקוח אני ממליצה להשקיע במידה בהכנה לתקיפות. כך גם למדינתנו היקרה: את ההתקפות לא נוכל למנוע (אפילו בתסריט האופטימי של שלום עולמי כולל), אבל אפשר להתכונן להתקפות האילו ולהשקיע במידה הנכונה בהגנות לוגיות ופיסיות במה שנגדיר "תשתיות קריטיות". שאלות כמו: "מה הערך של הלוחמה הפסיכוליות" מתורגמות למספרים של נזק ותועלת וניתן אחר כך לתרגם אותם לתכנית עבודה מעשית, שתנהל היטב את הסיכון העתידי ואת המשבר הנוכחי.
 
כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
חברות רציניות לא יכולות להרשות לעצמן לא לדעת מה מצבן. לקבל מושג טוב על מצבה של חברה בגודל קטן בינוני זה סדר גודל של כמה אלפי ש"ח ובודאי סכום ששווה לחברה להוציא על מנת לא למצוא עצמה במשבר. מומלץ לבצע סקר סיכונים ממוקד ל "כאבי הבטן" של החברה על ידי סוקר חיצוני, שיהווה בבחינת "אורח לרגע רואה כל פגע", כמובן בשיתוף מלא של כל הגורמים הקריטיים של החברה.
תהליך כזה הוא חשוב מעין כמוהו, מאחר שהתוצר המיידי שלו היא מודעות החברה ועובדי לסיכונים שאותם הם עלולים לפגוש בטווח המיידי והרחוק. מודעות, על פי תפיסת ניהול הסיכונים מהווה את החלק הארי של מענה.
 
כיצד את מנתח את האירועים האחרונים כמו אלו של דליפת פרטי כרטיסי האשראי ונפילות אתרי הבורסה ואלעל?
אין שום הפתעה. ההפתעה שלי היא מכך שאנחנו מופתעים. האקרים רבים מנסים בכל יום לתקוף כל מיני אתרים. כנראה שרמת ההצלחה שלהם אינה גבוה, וזה מעודד. צריך להמשיך ולדאוג שגם ההתקפות הללו, שהן כביכול שוליות ולא לתשתיות קריטיות, לא תקרינה.
 
*הכותבת הינה מנהלת סיכונים ומנהלת משברים ויועצת לחברות פנימיות ומבקרת פנים.

אבי ויסמן | 09/01/2012

Cyber Education – האם אנחנו באמת מעצמת סייבר?

אנו נוהגים להתרפק על הדעה כי ישראל היא מעצמת סייבר, ולבטח – מעצמת אבטחת מידע. נעים לנו לגחך כאשר מוזכרת תולעת Stuxnet ולהתענג בחשאיות מעושה. כנגד כל התקפה – קיימת הגנה. במה אנחנו טובים? במה אנו גרועים?

כל זוכה ישראלי בפרס נובל. גורם לנו להפגין שביעות רצון ולהתרווח על הספה בסלון. עד כדי כך אנו מרוצים, עד כי אוזנינו נאטמות למשמע הביקורת שהם – כולם, ללא יוצא מן הכלל – משמיעים בקול גדול: מדינת ישראל אינה משקיעה בחינוך הטכנולוגי, ומדינת ישראל משופעת בפחות ופחות כישרונות.
"לא נורא", אנחנו פוטרים... יש לנו את יחידת 8200 שמספקת לנו כישרונות, והם העתודה האזרחית שלנו בהגנת מידע.
 
לא נכון. מרבית יוצאי היחידה עוברים לתחומי הסטארט-אפים, וממילא, מרבית יוצאי היחידה אינם עוסקים בהגנה.
 
החינוך הטכנולוגי באבטחת מידע בארצות הברית ובאירופה
די בסדרת חיפושים פשוטה בגוגל על-מנת לגלות שפע עצום של קורסי הגנת סייבר, בכל רחבי היבשות – החדשה והותיקה. ובישראל? כמעט כלום. רכישת השכלה בחקירת מחשב? כמעט שאין. בניהול SOC? אין. ב- Reverse Engineering – אין. קורס מודיעין הגנתי פרואקטיבי? אין. במתודולוגיות הגנת סייבר? אין. תואר אקדמי? אין.
ובחו"ל? המעטים שעדיין מעוניינים בלימודים מתקדמים בישראל, נוסעים כמובן לחו"ל, ומשלמים כ- 3,000 דולר לקורס בן 5 ימים בארה"ב, או סכום זהה ביורו באירופה, או סכום כמעט זהה בפאונד בבריטניה. מה מחירו של קורס בן 5 ימים בישראל? 5,000 עד 7,000 שח, וקורס יוקרתי מהסוגים הללו – לכל היותר 12,000 שח. מדוע? כי הביקוש נמוך.
יוצאי היחידות ה"טובות" יודעים זאת, ובוגר מוכשר צריך להיות "ציוני כבד" על-מנת להסכים לעסוק בהוראת סייבר.
רגע, רגע... התופעה לא מוכרת לנו ממערכת חינוכית אחרת?
 
ההגנה ומרכיביה
בעידן הטכנולוגי הנוכחי – לתוקפים יתרון מובנה ראשוני ניכר. לפיכך, המאמץ בהגנה גדול יותר ממאמץ תקיפה טיפוסי. ההגנה מורכבת מעשרות פעולות במקביל, בהיבטי הטכנולוגיה, הטקטיקה של אנשי המקצוע ושל העובדים, ובהיבטים של תהליכים עסקיים טיפוסיים בארגון.
ברם, היסודות להצלחת האופרציה המשולבת הינם: כלים וטכנולוגיות, טכניקה בראייה הנדסית, משמעת עובדים, משמעת אנשי IT, נהלים מפורטים, מערכת בקרה ואכיפה.
ובכן, אנחנו לא בדיוק "מעצמה" בתחום המשמעת, ואף לא בתחום "ההתנהלות בהתאם לנוהל". אנחנו גם לא מאור לגויים בתחום טכניקות הגנה.
מערכת הבטחון יודעת זאת, האזרחים לא.
מערכת הבטחון החלה להפעיל מערכי הכשרה מגוונים, במספר ארגונים, ואילו במערכות האזרחיות שאינן מבוקרות על-ידי הרשות הממלכתית לאבטחת מידע או המלמ"ב, האדישות נותרה כשהייתה. 
גם "התקפה קטנה" על מחזיקי כרטיסי האשראי בישראל לא הוציאה את איש אבטחת המידע משלוותו הפדגוגית: "שטויות, תן לי 5 שעות ואני מביא לך 10,000 כרטיסי אשראי מהאינטרנט", יפלוט . ואני, בעוונותיי אענה: "אולי, אבל אנחנו לא צריכים שתוכיח שאתה יודע לתקוף... אנחנו צריכים אותך ככח ההגנה שלנו".
 
האמת העגומה חייבת להאמר: בתחילת דבריי ציינתי כי לתוקף יתרון מובנה המושתת על טכנולוגיות התקשורת הנוכחיות שנבנו במקורן לצורך "פתיחות". לפיכך, קיום הגנה נאותה הינה מצווה יקרה מאוד, סזיפית, ומוציאה מדעתו כל מנהל כספים בכל ארגון אזרחי.
התרבות הניהולית גורסת שיהיה בסדר (נכון, אינני הראשון לומר זאת). התרבות הניהולית אומרת ש"אולי אציג מאזנים מצוינים יותר ללא ההוצאה, כי ממילא לא מבקרים אותי ("על אמת") בתחום הסיכונים שאני מנהל".
גם מנהלי אבטחת המידע אינם ממהרים למרוד, שכן – כיצד יוכלו לבקר את מעסיקיהם-מפרנסיהם?
 
סוגי בעיות טיפוסיות בהגנה
בארגונים קטנים רגילים:
הידע ההגנתי-טכני ירוד בדרך-כלל. אדם אחד מבצע את כל הפעולות: ניהול רשתות, ניהול מידע ותוכנות, טכנאות אבטחת מידע (יישום), תכנון וניהול אבטחת מידע, ניטור ותגובה לאירועים. רמת היכולת להתמודד עם התקפה מושקעת: קיימת יכולת להתמודד חלקית רק עם התקפה אקראית או ספציפית מצד האקר בודד "מתחיל".
בארגונים קטנים הנתונים לסיכון גבוה:
הידע ההגנתי-טכני ירוד בדרך-כלל. אנשים בודדים מבצעים את כל פעולות האבטחה: טכנאות אבטחת מידע (יישום), תכנון וניהול אבטחת מידע, ניטור ותגובה לאירועים. רמת היכולת להתמודד עם התקפה מושקעת: סמלית עד נמוכה. בארגונים הנתונים לרגולציה – יש נטייה להשקיע את התקציב המועט בלאו-הכי, בפעילויות של מראית עין. קיימת יכולת להתמודד רק עם התקפה אקראית או ספציפית מצד האקר בודד "מתחיל", ויכולת חלקית להתמודד עם האקר "מתקדם".
בארגונים גדולים רגילים:
הידע ההגנתי-טכני ירוד עד בינוני בדרך-כלל מול מתקפה מושקעת, אך בינוני עד "מספק חלקית" בדרך-כלל מול התקפת האקר בודד "מתקדם". רמת היכולת להתמודד עם התקפה מושקעת: סמלית. בארגונים הנתונים לרגולציה – יש נטייה להשקיע את התקציב המועט בלאו-הכי, בפעילויות של מראית עין. קיימת יכולת להתמודד רק עם התקפה אקראית או ספציפית מצד האקר בודד "מתחיל", ויכולת סבירה להתמודד עם האקר "מתקדם".
בארגונים גדולים הנתונים לסיכון גבוה:
לא יפורט.
מכללת See Security נוסדה ב- 2002, ומתמחה בקורסי הגנה ותקיפה, על-בסיס הידע הנדרש לכל אחד ממקצועות והתמחויות האבטחה.
 
בין המותגים המפורסמים בקטלוג הקורסים של שיא – קורס Hacking Defined בן 100 שעות, ומסלול CISO בן 280 שעות למהנדסי ולמנהלי אבטחת מידע הנפתח זו הפעם ה- 22 בתוך 7 שנים.
המכללה קיימה בינואר את קורס סייבר הראשון בישראל (level-1) בהשתתפות 33 תלמידים מקרב זרועות הבטחון וגופים ממשלתיים מיוחדים, והשיקה תוכנית בת 3 הסמכות בתחום ה- Cyber.
המחזורים השני והשלישי כבר הוכרזו לפתיחה בפברואר ובמרץ, וקורסים מתקדמים במיוחד ייפתחו באפריל ואילך עבור Level-2 ו- level-3.
 
  
אבי ויסמן, 03-6122831,
avi@see-security.com
 
הכותב הינו יו"ר הפורום הישראלי לאבטחת מידע, בעלים של בית הספר לאבטחת מידע ולוחמת מידע See Security, ושותף בחברת היעוץ לאבטחת מידע WH Consulting 
 
 

אריאל דן | 05/01/2012

אתגרי אבטחת מידע בסביבות מחשוב ענן – על האקרים, כרטיסי אשראי, מיחשוב ענן ומה שביניהם

בימים האחרונים מתפרסמים פרטים נוספים לגבי הדרך בה הצליחו האקרים סעודים לשים ידם על עשרות אלפי פרטי כרטיסי אשראי ופרטים אישיים נוספים. האתרים שלכאורה נפרצו ומהם נגנבו פרטי הכרטיסים (למען ההגינות יש לציין כי החקירה רק בראשיתה)טוענים כי בעוד הם עצמם היו מאובטחים כראוי, החברה המארחת את שרתי המחשוב שלהם כשלה באבטחת המידע וכי אתר אינטרנט לא מאובטח שנפרץ הוביל לגניבת פרטי כרטיסי האשראי. האם המשמעות הינה כי סביבת ענן אינה מאובטחת עבור אתרי מסחר? האם כתוצאה מהפריצה יש להפסיק להשתמש בשירותי ענן (או hosting)? לחלוטין לא, אולם בהחלט יש צורך לחדד נהלים ולהתאים את מדיניות האבטחה לסביבת מחשוב ענן.אריאל דן

אבטחת מידע בסביבות ענן – מודל האחריות המשותפת
חברות שירותי מחשוב הענן המובילות בעולם חוזרות ומדגישות כי בסביבת מחשוב משותפת, ישנה אחריות משותפת לאבטחת המידע. בעוד על ספק הענן לדאוג להרשאות גישה לחדר השרתים, לאבטחת מערכת ההפעלה ולאבטחת מערכת הוירטואליזציה (המערכת האחראית על ההפרדה הלוגית בין מספר לקוחות על שרת פיזי אחד), על הלקוח (בכפוף לסוג הענן בו הוא משתמש)  מוטלת האחריות לדאוג להצפנת המידע, הגנה אפליקטיבית, גיבוי מאובטח וכו'... אבטחת מידע בסביבות ענן תהיה אפקטיבית רק אם שני הצדדים (הספק והלקוח) יבצעו את חלקם בצורה אפקטיבית.

המלצות לעבודה מאובטחת בסביבת מחשוב ענן
כצעד ראשון וקריטי עלינו לדרוש מספק שירותי המחשוב בענן הוכחות כי השירותים המסופקים על ידו מאובטחים. על ספק השירותים להראות הסמכות רלוונטיות המעידות כי נבדק על ידי גוף חיצוני, ולספק מסמכים המתארים כיצד ממומשת תפישת אבטחת המידע בפועל, למשל כיצד מאובטחים דיסקים בענן, ובאיזה אופן משותפת סביבת המחשוב בין מספר לקוחות. בנוסף על כך, על כל לקוח לממש את אמצעי אבטחת המידע הרלוונטים ספציפית עבור הסביבה שלו, ולוודא כי המידע מאובטח ולא נגיש לפורץ פוטנציאלי, גם אם סביבה סמוכה ולא מאובטחת נפרצה כמו במקרה שלפנינו.

הצפנה היא קריטית בסביבת מחשוב ענן
כיצד אם כן ניתן לבודד מידע בסביבה משותפת? הצעד הראשון הינו הצפנת המידע. בשיחות רבות שאנו מנהלים עם לקוחות, נשאלת השאלה מדוע צריך להצפין את המידע בסביבת ענן? הרי ברוב המקרים המידע אינו מוצפן על שרתים הנמצאים בתוך הארגון והשימוש בטכנולוגיות הצפנה מומש עד היום בעיקר בכדי להגן על מחשבים ניידים. מדוע יש להצפין מידע בסביבות מחשוב בענן? ובכן, מרגע שהשרת אינו נמצא בין ארבעת הקירות של הארגון, מתווספים איומים נוספים וקריטיים המחייבים מימוש הצפנה כצעד ראשון במעלה. הצפנת המידע היתה מונעת  את ההתקפה שבוצעה השבוע וחשפה כיצד ניתן להגיע למידע של חברה אחת דרך ניצול חולשות אפליקטיביות של חברה אחרת, אך בנוסף ישנם איומים נוספים המחייבים הצפנת הדיסקים בענן כגון גיבוי, שכפול המידע לשרתים נוספים, וכו' . איום נוסף (אם כי פחות סביר) הינו האפשרות של גניבה פיזית של דיסק למשל על ידי עובד ספק השירותים. מידע שיהיה מוצפן על הדיסק, לא יהיה גלוי גם לסוג כזה של התקפה. נזכיר גם כי הצפנת מידע בסביבת מחשוב ענן דורשת טכנולוגיות מתקדמות של ניהול מפתחות, על מנת להבטיח שמפתחות ההצפנה אינם נגישים לתוקף יחד עם המידע עצמו.

לסיכום
המעבר למחשוב ענן כולל יתרונות רבים (כגון גמישות הטמעה, גמישות תמחירית, וכו...), אך נדרש שינוי תפיסתי בנוגע למשמעויות אבטחת המידע הן מצד ספק השירותים והן מצד הלקוח. אחריות אבטחתית משותפת ומימוש טכנולוגיות אבטחה מותאמות לענן הינן הצעד הראשון והקריטי למימוש מאובטח של שירות בסביבה משותפת.

אריאל דן הינו מייסד שותף בחברת פורטיקור המספקת שירותי אבטחת מידע לסביבות ענן.

Open Accessibilty Menu