יום שני , מאי 22 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > שולחן עגול: תשתיות סייבר בעידן הענן

שולחן עגול: תשתיות סייבר בעידן הענן

תמונה לסייבריהודה אלידע, מנחה:   אנחנו נמצאים בתקופת מעבר, מ-IT שהיה סגור בבית מקדש מזכוכית, במרכזו שכן ה-Mainframe וכדי להיכנס למשכנו היית צריך לקבל אישור מהכוהן הגדול, למערכת פרוצה לגמרי, נגישה מכל נקודת קצה של האינטרנט. ואנחנו שמחים שהיא פרוצה, כי כך היא נותנת לנו מגע ישיר עם הלקוח, והיום רק הלקוח מעניין את החברה. השאלה היא, האם אפשר בכלל במצב הנוכחי של סיכוני סייבר להתקדם לכיוון הזה? כל יום אנחנו לומדים שעוד מבצר IT מוגן היטב של חברה עולמית קרס וסודותיו נגנבו – אז איך אפשר לעשות ביזנס בסביבה שמזכירה עיירת פושעים במערב הפרוע עם שריף חסר ישע? מי רוצה להגיב?

שושי ליבוביץ, 5F: הטרנספורמציה הדיגיטלית משפיעה על חברות בכל הגדלים ובכל סוגי התעשיות, דבר שיוצר הזדמנויות חדשות,  אבל גם סיכונים. השינוי גורם לכך שהסביבה העסקית מונעת יותר ויותר על ידי יישומים, דבר שמציג מורכבות חדשה בארגון וחושף מידע קריטי לאיומים פוטנציאליים חדשים. בנוף האיומים המשתנה, מנהלי אבטחת המידע בארגון נמצאים תחת אתגר תמידי להשאר עם היד על הדופק ולעמוד בקצב. לכן, אנחנו טוענים שיש לשנות את הגישה מהיסוד ולשלב בה נראות, תוכן ושליטה. אבטחת היישומים היא המפתח לאבטחת המידע שכן 70% מהמתקפות כיום מתמקדות בזהות המשתמש וביישומים, אבל למרבה הפלא רק 10% מתקציב אבטחת המידע אכן מיועד להגנה עליהם.

שושי לייבוביץ, F5

שושי לייבוביץ, F5

רעות מנשה,White Hat : בתור יועצים אני יכולה להגיד לך שהאתגר לא פשוט בכלל אבל, אנחנו משתדלים בסביבה שהינה מאוד דינמית וכל הזמן שואפת לחדשנות ליצור בעבור הארגון את כללי אבטחת המידע הבסיסיים הפשוטים ביותר, וככה בעצם ליצור תשתית כבר מן הבסיס של הבנה בעולם אבטחת המידע.  אבטחת המידע והסייבר צריכה להיות חלק מעולמו היומיומי של הארגון ועל הארגון לתת לו את התשומות הראויות לו וזאת בהתאם כמובן לתהליך של ניהול סיכונים.  אנחנו משתדלים להיות הקמ״ן של הארגון בתחום הסייבר ולספק לו את כל המידע שהוא צריך בשביל להגן על עצמו וזאת כמובן בהתאם להיכרותינו עם הארגון.

משה רז, IPSec: אנו צריכים להגדיר מה הוא המידע שעליו אנו רוצים להגן. הביזנס שעליו אנחנו שומרים והנקודות הקריטיות עליהן צריך לשים את הדגש, ומצד שני לאפשר לארגון לצמוח ולגדול.

יהודה אלידע:  מה גורם לך להאמין בכלל שזה אפשרי? אם כל הטיטאנים האלה נכשלו.

משה רז, IPSec: ארגון שחושב שהוא לא נפרץ, פשוט אינו יודע שכן! עליכם להאמין שגם בארגון שלכם כבר מסתובבים הסוסים הטרויאנים – והדלתות האחוריות, שדרכם הם נכנסו, ולקחת אך ורק את מה שאתם חייבים להגן עליו, אם זה על פי חוק ואם זה על פי הרגולציות הארגוניות, אחרת אתם מונעים מהארגון להתפתח.

אלי פרנס, פורטינט: ב-5 השנים האחרונות, גבולות הארגון נפרצו לחלוטין, אי אפשר יותר להגדיר סביבה ארגונית כמשהו פיזי. כל ההתקדמות שהתבצעה בשנים האחרונות, ובכלל זה הנושאים של ה-Intertnet of Things, המכשירים הניידים שנכנסים לתוך הארגון וכמובן ה-Big Data, הביאו לכך שהשאלה 'איך אנחנו מצליחים להתגונן בפני כל האיומים?' הפכה לקריטית. עבור הארגון, מדובר פה בעניין של לשרוד או לחדול מלהתקיים. בהקשר זה, ניתן לראות כי תפקיד המנמ"ר השתנה פלאים בשנים האחרונות – ממנהל שאחראי רק על אבטחת מידע, הוא הפך לממונה על הגנת הארגון. הוא צריך להיות מספיק חכם כדי להבין את האיומים שעלולים לסכן את הארגון ומספיק מקצוען כדי לנצח על תזמורת רכיבי אבטחה מרובים ומגוונים, אשר שילובם ינתן מענה הולם לאתגרי האבטחה.

משה רז,

משה רז, IPSec

יהודה אלידע:  וזה אפשרי?

אלי פרנס, פורטינט: כן, זה אפשרי. המנמ"ר צריך היום את הכלי שיאפשר להצליב בין אירועים רבים המתרחשים ברשת ולדעת איך להתגונן מפני הגורמים שחשודים כגורמים להם. אם מסתכלים על המתקפות החדשות, רואים שהן הופכות להיות אוטונומיות ואוטומטיות, וזו בעיה מאוד גדולה לכל הארגונים, בייחוד כאשר הטקטיקה של ההאקרים מבוססת הצלחה. חשוב להבין שיש להאקרים סטטיסטיקה לגבי איזו גישה תצליח או לא תצליח בכל סוג של יעד תקיפה. לכן היכולת להבין ולראות את העתיד היא מאוד קריטית לארגון.

רעות מנשה,White Hat : אני חושבת שיחידת אבטחת מידע שמכירה בצורה מעולה את כלל הטכנולוגיות של הארגון, את התהליכים העסקיים החשובים בו ומסוגלת לנהל גם את צוות היחידה בצורה יעילה, ועם זאת, הארגון עדיין קשוב לעולם החיצון. כלומר, שם  דגש על שיתופי פעולה עם ארגונים דומים ודואג לעדכן את הידע שלו ושל עובדיו בתחום, נמצא במקום בעל יותר סיכוי הצלחה בהתמודדות מול התוקף הפוטנציאלי. אבל זה לא מספיק, על הממשלה להתערב, השוק לא יכול לתקן את הכשלים במצלמות האבטחה שנמכרות בכמויות ובסופו של דבר מהוות אמצעי התקפה על הארגונים בעקבות כשל בו אשם יצרן המצלמה. נדרשת פה רגולוציה עולמית, חברות יצטרכו בסופו של דבר להשתמש בתוכנה אחת ולא בכמה שונות.

גדי גילאון, מוביסק: צריך לעשות סדר לוגי במה שקורה היום בארגונים. פחות או יותר החל מ-2011 מתחילה תופעה חדשה של ארגון

גדי גילאון, מוביסק

גדי גילאון, מוביסק

חדש לחלוטין שמאפיניו הם:

  1. הארגון עושה שימוש במערכות ומקורות מידע חיצוניים בנוסף על מערכי המידע בתוך הארגון.
  2. עובדי הארגון עברו שינוי. יש להם רצונות משלהם, שאיפות בתחום העבודה, והם לא מוכנים לקבל את הפתרונות שנתנו להם בעבר. הלקוח הפנימי, עובד הארגון, הוא לקוח חדש לחלוטין, שרוצה להיות מחובר למערכות 24/7, לעבוד בצורה אינטואטיבית, דורש להוריד את מורכבות הגישה למערכות ואת כמות הסיסמאות שהוא נדרש להם.
  3. קישור התקני IoT למערכות הארגון יוצר סוגיות מורכבות של אבטחת מידע ופרטיות.
  4. הפעילות של הלקוחות מול הארגון מעלה מספר סוגיות הנוגעות להזדהות, פרטיות וניהול משתמשים. המשמעות הינה שהארגון צריך להתייחס ללקוח כמו אל משתמש פנים ארגוני, אבל אם בתוך הארגונים טיפלנו מאות לקוחות, עכשיו מדובר באלפים, עשרות ומאות אלפי לקוחות.

תפקיד מנהל אבטחת המידע עובר שינוי משמעותי. לא רק המנמ"ר, גם מנהל אבטחת המידע נדרש לדבר בשפה חדשה, שהוא לא הכיר עד עכשיו. ברירת המחדל של מנהל אבטחת המידע היתה "לא". כל דבר שאפשר לחסום, חוסמים, כל דבר שלא מוכרחים לתת לא נותנים. ופתאום משתלטת שפה חדשה, צריך לאפשר, להגיד "כן" כי הפעם שיקולי הארגון הינם מוטי פעילות ותחרות עסקית. העובדה שאנחנו נדרשים היום לאפשר כמה שיותר ולא לחסום כל דבר באופן אוטומטי, אומרת שאנחנו לא

רעות מנשה,

רעות מנשה, White Hat

יכולים להגן על הארגון ב-100% מפני התקפות סייבר. אנחנו יכולים למנוע ולצמצם נזקים, אנחנו יכולים למנוע השבתת פעילות של 100%, אבל זה בעצם רק השלב הראשון של Trade-Off עסקי, בין רמת הסיכונים שאנחנו יכולים לקחת על עצמנו, לבין רמת ההשקעה שאנחנו מוכנים לעשות.

יהודה אלידע:  האם אתה אומר, שסיכון זה תמיד הצד השני של מטבע הסיכוי?

גדי גילאון, מוביסק: נכון.

יהודה אלידע:  אם אתה רוצה לעשות משהו חדשני, תמיד יהיה סיכון.

משה רז, IPSec: צריך לשנות את התואר של מנהל אבטחת מידע, להגנת מידע ומניעת איומי סייבר.

שושי ליבוביץ, 5F: ללא ספק, מניעה עדיפה על תרופה. ארגונים מתחילים לחנך את העובדים שלהם בצורה טובה יותר על הסיכונים הפוטנציאלים. יחד עם זאת, עליהם להבטיח שהיישומים המשולבים במערכות המידע מוגנים היטב מפני התקפות מתוחכמות. ראשית, עליהם לבצע הערכה של התשתית הנוכחית, על מנת לאמוד האם ניתן לעמוד בפני התקפה בהיקף שהאקרים יכולים לייצר כיום. מעבר לכך, שילוב של שירותים on premise ובענן הוכיח עצמו כיעיל. לבסוף, יש לוודא כי העסק מוגן סביב השעון. גישה למומחים, דוחות ואנליזה היא כיום דרישה הכרחית. חשוב לציין שעסקים מראים כיום נטייה גוברת לשירותי אבטחה מנוהלים מאחר שהם מספקים רמה גבוהה של מומחיות.

אריה דנון

אריה דנון, קספרסקי

גדי גילאון, מוביסק: פעם כתבתי מאמר על הצורך לשנות את Ciso ל-CBSO, שזה Chief Business Security Officer. מנהל אבטחת המידע במציאות החדשה צריך לדווח למנכ"ל, לא למנמ"ר משום שזה תפקיד עסקי בחלק מניהול הסיכונים הארגוני, כבר לא תפקיד טכנולוגי נטו.

אריה דנון, קספרסקי:  אני מסכים לגמרי, הוא צריך להיות כפוף למנכ"ל. מנהל הסיכונים של הארגון צריך להכיר את הביזנס של הארגון, לא רק את המידע של הארגון. דיברנו עד עכשיו על ארגונים שיש להם IT, אך הבעיה חמורה יותר בארגונים יצרניים שיש להם פסי ייצור ממוחשבים, בקרים משובצים בפסי הייצור. זו הסתכלות שונה לגמרי על סיכוני סייבר. תארו לכם מפעל אחד במערך רשויות המים בישראל, שמישהו השתלט על בקרת איכות המים והכפיל פי 10 את כמות הכלור שמוזרמת למי השתיה או ההשקייה… זה עולם אחר לגמרי של הגנה.

יהודה אלידע:  מה שאתה אומר צריך עוד תפקיד הנהלה ראשית, Chief Paranoia Officer…

משה רז, IPSec: יש כזה…

יהודה אלידע:  קוראים לו מנכ"ל?

משה רז, IPSec: נכון!

אריה דנון קספרסקי: אכן כן, הפרנויה צריכה לבוא מהמנכ"ל. איומים נוצרים עם כוונה לרווח, תסתכלו רק על תחום קטן בעולם של סייבר. הנושא של סחיטת דמי כופר. מסתובבים בשוק מעל 62 משפחות חדשות של איומי כופר. היום אתם יכולים להתקשר לחבורות נוכלים, לקנות כלי כופר ולהשתמש בו לסחיטת כסף כמטרה "עסקית" – אך יש גם התקפות סייבר המנוהלות על ידי מדינות, בהן המטרה היא לגרום נזקים לתשתיות לאומיות, לגנוב מידע, לעצור תהליכים פוליטיים, או ליצור הסחת דעת מנושאים קריטיים.

יהודה אלידע:  הפיתרון הוא טכני או פוליטי? לדוגמה, אם אתה מדבר על כופר, התשלום מותנה בכך שיהיה bitcoins, שהסוחט יכול להשתמש בכסף שלא עובר דרך בנקים. את זה אפשר למנוע בחקיקה, זה פוליטיקה.

משה רז, IPSec: לא, אתה לא יכול למנוע, זה הבעיה, איך אתה יכול למנוע bitcoin?

אלי כהן, אקספריס סייבר.  צילום ליבי נאור קטן

אלי כהן, אקספריס סייבר. צילום ליבי נאור קטן

אריה דנון, קספרסקי: קודם כל לא לשלם. כופר לא משלמים. שנית, יש דרכים להתגוננות נגד איומי כופר. נתחיל בזה שיהיה לך מערך גיבוי כמו שצריך, שתשמור על המידע שלך, שתחנך את העובדים.

שושי ליבוביץ, 5F:  במהלך השנים האחרונות ראינו שינוי במגמה – עסקים מגיבים מידית לדרישות הכופר של ההאקרים. זאת לעומת שנים קודמות, בהן ראינו שהתחילו לקחת אותן ברצינות רק כאשר הן מתחילות להראות את השפעתן בפועל. למרות שתגובה מהירה בהגנה מפני התקפה היא חיובית, ארגונים אחרים עוברים לקיצוניות השנייה שכוללת תשלום להאקרים מבלי לבדוק את הדברים לעומק, דבר שרק יכול להעצים את הבעיה, שכן האקרים שמשלמים להם פעם אחת יחזרו וידרשו עוד ועוד כספים וימשיכו ויסחטו את הארגון. נקיטת האמצעים המתאימים לאבטחת יישומים תרגיע את הדאגות מפני סחטנות סייבר, תסריט עדיף בהחלט על פני מסירת כספי הארגון ללא צורך.

אלי פרנס, פורטינט:   חברים, הייתה עכשיו מתקפה של כופר בארה"ב, מבחינה טכנית מדובר בהתקפה מאוד מאוד פשוטה, שאפשר למנוע בהתקנת Patch מסוים לשרת אורקל. הבעיה היא שהיום מדובר בסכומי כופר קטנים, אבל התפוצה מכוונת במסות ענקיות. הטקטיקה של ההאקרים המקצועיים היא להפיץ את נשק הכופר הזה בתפוצה גדולה. ואז, במקום לדרוש 100 אלף דולר מקורבן אחד, הם דורשים 2 דולר כופר מחצי מיליון קורבנות.

יהודה אלידע:  איך יקטינו בצורה דרמטית את דרישות הכופר בעולם המערבי? בדרום אמריקה, למשל, אירוע סחיטה קורה כמה פעמים ביום – מישהו נחטף, מגיעה דרישת כופר ומשלמים כי אי אפשר לסמוך על המשטרה. זה לא קורה בארה"ב, למרות שפעם זה היה שכיח גם שם. איך עצרו את הסחיטה האלימה? לא באמצעות הגנה צמודה לאנשים עשירים, אלא באמצעות שיטה נורא פשוטה: כסף מסומן קראו לזה. ברגע שאנשים שעוסקים בסחיטת כופר יודעים שיחד עם הכסף הם מושכים פעילות משטרתית, הענף העסקי הזה פשוט איבד מהאטרקטיביות שלו.

אלי פרנס, פורטינט

אלי פרנס, פורטינט

משה רז, IPSec: אבל יש מדינות שמאפשרות לארגוני האקרים מסוימים לפעול אצלן, כי הן עצמן משתמשות באותם ארגונים לצרכים ממשלתיים.

יהודה אלידע:  אתה יכול לחסום להם את האינטרנט.

אריה דנון, קספרסקי: האינטרפול יחד עם כמות מכובדת של חברות אבטחת מידע פתחו ארגון שנקרא No more handsome, ויש פתרונות לחלק, לא ל-100%, מהאיומים. גורמי אכיפת החוק היום משתפים פעולה עם חברות אבטחה מידע בצורה הרבה יותר הדוקה, מכפי שהייתה לפני שנים ספורות. לדוגמה, איום מאוד גדול, שקראו לו קרבאנאק והסתכם בשוד מעל 1.3 מיליארד דולר, נעלם אחרי שעצרו חלק גדול מהכנופיה.

משה רז, IPSec: תראה, הרבה הרבה יותר קל לבקש חצי ביטקוין ממיליון אנשים, מאשר לבקש מאה אלף ביקטוינים מאחד ולכן זה כל כך נפוץ. כמו כן, אל תשכחו שגם מדינות רבות מנהלות חשבונות נסתרים עבור הצרכים הפיננסיים שלהן, שגם המוסדות החשאיים שלהן נזקקים לביטקוין, מטבע שיודע לעבור גבולות בלי להשאיר עקבות. המדינות עצמן לא יילחמו במשהו שיכול לירות להן ברגל.

שושי ליבוביץ, 5F: למרות השכיחות הגוברת של אירועי הסייבר, נראה כי ארגונים אינם מודעים לאופן ההתנהלות התקין בכל הנוגע לתגובה לדרישות כופר. מחקרים מראים שרוב מקרי הסחיטה בתחום הסייבר כלל אינם מדווחים לרשויות, דבר שמעיד על כך כי הקורבנות מעדיפים לשלם את הכופר יותר מאשר להסתכן בשחרור המידע הרגיש ובפרסום ציבורי שלילי. הדאגה הגוברת למידע הארגוני היא בדיוק הדבר שעליו סומכים פושעי הסייבר. פריצה למערכות הארגוניות יכולה להביא לחשיפה של מידע רגיש לציבור ולפגיעה עסP1570098קית.

אלי כהן, אקספריס סייבר:      הביטקוין, שאייני מזלזל בו, הוא לא הבעיה הגדולה של עולם הסייבר. בעיני זה לא נעים אבל לא נורא. נעשו פרויקטים בהשקעה של מאות מיליוני דולרים, ובסופו של דבר אנחנו יודעים שיש 2 סוגי ארגונים: אלה שנפרצו והאחרים שעדיין לא יודעים שהם נפרצו. כיום מורידים את הפוקוס ממניעה, ועוברים לעולם של זיהוי ותגובה להתקפה. אנחנו יוצאים מנקודת הנחה, שאם מישהו רוצה לפרוץ הוא יכול לעשות את זה, מכירים בנתון המדהים שהאקרים נמצאים בממוצע בתוך הארגון 200 ימים, לפני שההתראה מתחילה לעבוד. דבר שני, רוב בתי העסק לא מסוגלים להתמודד עם האיומים בכוחות עצמם, ולכן צריכה להיות פתיחות לתפיסה של שירותי הגנה מנוהלים מתוך הבנה שמאוד קשה לארגון להתמודד עם בעיות פשעי הסייבר. עבור ארגונים, הקושי הולך ומתעצם, כי מדברים על סדר גודל של מיליון מומחים שחסרים בהגנת הסייבר עד 2020. והדבר השלישי הוא שיתופי הפעולה, כי אי אפשר לנצח קרוב למיליון איומים חדשים כל יום (!) מבלי שמשתפים פעולה, כולל שיתוף פעולה בין גופים אזרחיים למגזר הממשלתי.

רעות מנשה,White Hat : כולם מדברים על שינוי שהתחולל ב 2011 בהבנה מה זה בכלל סייבר. מאז ומתמיד המסקנה שלנו היא שהיתרון הוא אצל התוקף, ותמיד הוא ישאר בידי התוקף, מה שמחייב אותנו לחשוב כמו תוקף. להבין איך התוקף עובד, באיזה כלים הוא משתמש, באיזה שיטות הוא משתמש, איך לזהות התקפה, איך מכוננים שיתוף פעולה בין ארגונים ובין ממשלות לארגונים. התקפה יותר קלה מהגנה, מסיבות רבות, מה שמשנה זה המורכבות של המערכות, קשה לאבטח מערכות מורכבות מסיבות רבות, זה מאוד נכון למחשב ובטח שלאינטרנט, האינטרנט המכונה המורכבת והמתוחכמת ביותר שבנה המין האנושי והיא קשה מאוד לאבטחה. לכן לתוקפים היתרון. בנוסף, לעולם הקישוריות ההולכת וגדלה בעולמינו הדיגיטלי יש משמעויות רבות, כשלים של dvr ומצלמות אינטרנט אפשרו לתוקפים להוריד אתרי שירות גדולים בעולם. (מתקפת dyn הגדולה). נושא נוסף שמעצים את הבעיה הוא האינטרנט עצמו, כמו שאנחנו משתמשים באינטרנט לצרכי הגנה, האינטרנט מעצים את התוקפים, האינטרנט הוא כלי מרכזי ובעל כוח רב שמאפשר לתוקפים להשיP1570113ג ידע ולהפוך את עצמם ואת הכלים שלהם להרבה יותר יעילים. בקלות יחסית.

משה רז, IPSec: שיטות ההתקפה מרובות, מגוונות ורחבות כל כך, שאם ננסה להגן על עצמנו לדעת, נפסיד את כל היתרונות של הטכנולוגיות המקוונות. ברגע שאני בא להגן באמצעות מוקשים וגדרות, אני מפריע. אני צריך לזהות על מה אני רוצה להגן, כדי שהביזנס ימשיך, וכל השאר יהיה פתוח.

יהודה אלידע:  אמרת שהיתרון תמיד אצל התוקף, האם פירוש הדבר ששיטת ההתגוננות האפקטיבית היא סיכול ממוקד? להפוך את ההתגוננות לשיטה התקפית.

רעות מנשה, White Hat: , האם אתה אומר The Best Defense Is Offense ?

יהודה אלידע:  לא, אני אמרתי משהו שהישראלי מתחבר אליו, סיכול ממוקד. אם מישהו מפוצץ מטעני חבלה באוטובוסים, אגד לא צריכה לתקוף אותו, הצבא צריך לתקוף אותו.

P1570105רעות מנשה, White Hat: המטרה שלנו היא לחשוב כמו תוקף ובסופו של דבר להבין איך הוא עובד ולא לתקוף אותו בחזרה כמו שאתה מתאר: סיכול ממוקד יותר בסגנון של מודיעין ממוקד, הכר את אויבך עד כמה שניתן וזאת כמובן לאחר הגדרת האיום והנכסים הרלוונטיים.

אלי פרנס, פורטינט: אני חושב שלא דיברנו מספיק על כל נושא הענן, שזה עקב אכילס של ארגונים רבים שעוברים לענן. ואנחנו יכולים לקחת כדוגמה את מתקפת ה-DDoS על שרתי ה-DNS בארה"ב – מדובר במיליוני מכשירים שתקפו את הענן.

יהודה אלידע:  יש משהו שאני לגמרי לא מבין, ולגמרי לא תלוי בדברים הטכניים. הייתה מלחמה בימי המערב הפרוע, בין השודדים לבין בעלי הבנקים, מי ניצח? הבנקאים, לא התוקפים. מי עשיר היום? הבנקאים, לא השודדים, איך הם עשו את זה? בעיקר בשיטות משפטיות-חברתיות. לא כל בנקאי נעמד בפתח הבנק חמוש ברובה וניסה לפגוע בשודדים שמנסים להיכנס. הורידו את הפשיעה על ידי זה שרדפו אחרי הפושעים מסביב לשעון בכל הארצות.

רעות מנשה, White Hat: אני חושבת שההשוואה הזאת שכבודה במקומה מונח, פחות רלוונטית לעולם בו המרחב הפיזי מקבל תפנית ולמעשה הופך להיות כמעט חסר משמעות. לתוקף זה לא משנה אם הוא נמצא בהואי או במדינת הקורבן שלו. למעשה, לפעמים בתור מגנה, אני מתמודדת מול תוקף שהוא כמעט ולא קיים והוא משנה צורה ומחר הוא משנה את מיקומו בהינף מקלדת.

משה רז, IPSec: זה רק מתחיל להיוולד, הקימו את מטה הסייבר, שצריך לתכנן את האסטרטגיה, ובמקביל את רשות הסייבר, שצריכה להנחות את המגזר העסקי. בונים את הקריה P1570073בבאר שבע, בתקווה שתיתן מענה בעוד 5, 6 או 7 שנים עד שהדברים יוטמעו בתעשייה כהנחייה מרצון..

גדי גילאון, מוביסק: ארגונים צריכים לעבור מתפיסה ממוקדת בהגנה הפיזית על ה-Domain הארגוני להבנת הסינרגיה של רובד היישומים ועולם המחשוב הארגוני החדש. ארגונים אינם משקיעים מספיק בלימוד השינויים הארכיטקטוניים, ענן, מובייל ו IOT. חוסר הבנה משאירה הרבה מאוד פתחים שקוראים לגנב ומצד שני הפארנויה חוסמת הרבה מאוד פעילויות עסקיות שהינן תנאי מוקדם להתפתחות הארגונית. בעוד 3-4 שנים עולם המחשוב יחווה את המהפכה הגדולה של עולם המחשוב ולכך הוא צריך להערך גם ברמת הגנת הסייבר כי הסיכונים יגלשו לפעילות החוץ דומיינית ושם נמצא סיכון רב. היום צריך להשקיע בהגנת End User Computing  לא פחות מאשר בהגנה על ה Domain הארגוני.

שושי ליבוביץ, 5F: הזכרתם כאן כמה מגמות מעניינות שיש לתת עליהן את הדעת בשנה הקרובה כאשר מתכננים אסטרטגיה של אבטחת מידע. מצד אחד, התקני IoT נמצאים בשימוש נרחב יותר ויותר, אבל לא כך אמצעי האבטחה שאמורים להגן עליהם. קיימות בהם פגיעויות רבות, ולכן הם חביבים ביותר על פושעי הסייבר. האקרים יכולים בכמה קליקים למנף את הכוח של ה- IoT ולגרום לאנדרלמוסיה באמצעות התקפות DDoS מסיביות, שיכולות להפיל אתר אינטרנט ופעילות שלמה של ארגון. ארגונים צריכים לנהוג בחשדנות כלפי התקני IoT. מצד שני, אנחנו רואים מגמה שבה יותר ויותר ארגונים מעבירים את התשתית שלהם לענן. יחד עם זאת לא בטוח שחברות יודעות כיצד לפעול באופן מאובטח בענן, או יודעות מי בכלל מחזיק במפתח למידע שלהם, בהתחשב בכך שהוא כבר לא נמצא בדטה-סנטר שלהן. חשוב לציין שקיימים פתרונות שמאפשרים לארגונים לנהל באופן מאובטח את המעבר שלהם לענן וליישם מדיניות אבטחת מידע בשרותי ענן מרובים, דבר שמספק לצוותי ה- IT שליטה בגישה לשירותי הענן, ובו בעת מבטיח כי המידע של החברה מוצפן באופן יעיל.

P1570086רעות מנשה, White Hat: אני רוצה לחדד. עובד מגיע לארגון חמוש בסמארטפון פרטי, שזה מחשב לכל עניין, ומתחבר ל-WiFi של הארגון. לפעמים ה – wifi הוא נפרד מה – lan הארגוני, לפעמים לא, בכל מקרה בכך הארגון עוזר להאקר להשלים עוד צעד לכיוון המטרה שלו:  עוד מידע על הארגון, ולפעמים גם מדובר במידע משלים שהתוקף משתמש בו בשביל לחדור לארגון עצמו.

שושי ליבוביץ, 5F: העלייה במגמה של "העובד הנייד" הביאה לכך שעובדים משתמשים במגוון רחב של יישומים על מנת לגשת לנכסים הארגוניים מתוך מגוון רחב של התקנים ומיקומים. כל נקודה חלשה ברשת כזאת, דוגמת טלפון חכם שהודבק בנוזקה, יכולה לתת לפושעי הסייבר את המפתח לממלכה. אם פושע סייבר יכול להשיג הרשאות דומיין של עובד, הוא יכול באופן פוטנציאלי לגשת לכל המידע הארגוני. ארגונים יכולים לאבטח את עצמם בצורה טובה יותר על ידי שינוי גישת אבטחת המידע בארגון, כשהמיקוד צריך להיות הגנה על היישומים ועל זהות המשתמשים. בעתיד הלא רחוק וכבר היום, כל דבר הוא מחשב, המקרר הוא מחשב, הכספומט הוא מכונה פולטת כסף שיש לה מחשב, המכונית היא לא רק מכונה מכנית היא מחשב! פעם היו מדברים במושגים של אבטחת מחשבים או אבטחת רשת, היום זה האבטחת ה-הכל. Everything security.

גדי גילאון, מוביסק: ארגונים מבינים את סכנת השימוש במובייל ואת היתרונות רבים לארגון באימוץ הגישה של ניידות עסקית ולכן אין להם ברירה. העובדים דורשים גישה נוחה ממכשירים ידידותיים, אך על הארגון לעשות את הצעדים הדרושים להגן על עצמו, כמו הרחבת השימוש בתעודות אותנטיקציה, הצפנות וכל אמצעי אחר המאפשר להם אבטחת מידע מוגברת מבלי להקשות על המשתמש ועל ההתקן.

אלי פרנס, פורטינט: עקב האכילס של כל החברות זוהי הראייה ההוליסטית של כל רכיבי האבטחה שיש ברשת, והרכיבים הללו גורמים היום כאב ראש ענק למנהל אבטחת המידע. כדי להבין מה קורה, הוא לא יכול להסתפק בלוגים של הפיירוול, של הראוטר או ברכיבים אחרים. הפיתרון הוא מודיעין – מודיעין שמצליח להצליב מידע ולנתח אותו. הדבר השני, אם נסתמך על התחזית לעתיד, הוא שעד שנת 2020 לכל בן אדם יהיו לפחות 20-30 רכיבים שיתחברו לאינטרנט. לכן, כל היצרנים – ולא רק יצרני אבטחת מידע – יצטרכו לשים דגש על אבטחת P1570075מידע, וזאת משום שהממשלות יכריחו אותם לעמוד בסטנדרטים של אבטחת מידע.

יהודה אלידע:  סליחה, אתה מציע משהו כמו הסידור שקיים היום בחברת החשמל? שאומר שלפני שאתה מקבל טופס 4 בא חשמלאי ובודק את החיווט בבית שלך?

אלי פרנס, פורטינט: יש פה אינטרס ברמת המדינה. בסופו של דבר, המכונית, מכשירי החשמל בבית, מכונת הכביסה והמקרר שהופכים להיות חכמים, הם בעצם מחשבים עם כתובת IP. והמשמעות היא שניתן להתחבר לכל מי שיש לו IP ולגרום באמצעותו נזקים למשתמשי רשת אחרים. אם אותו IP יתקיף מוסדות פיננסיים, יהיה פה הפסד כספי ברמת מדינה. לכן, אני חושב שכן תיווצר רגולציה כדי להעמיק את רמת האבטחה הלאומית מעבר לדרישות מחברות אבטחת המידע.

גדי גילאון, מוביסק: הבעיה היום היא, שהרבה ארגונים ממשיכים לקנות Firewalls בצורה מטורפת, נדמה להם שכך הם בונים חומה סביב הארגון. זה לא אומר חלילה, שאין להשקיע באבטחת המידע המסורתית, אך בה בשעה, הם לא מבינים שברגע שהעובדים שלהם מבצעים גישה לגיטימית למשאבי הארגון באמצעות מובייל וענן והתקנים באמצעות IoT והם חשופים למתקפה, ההאקרים משתמשים בה בצורה לא לגיטימית. לכן התקפות אבטחת מידע רבות מגיעות בצורה לגיטימית לתוך הארגון אחרי גניבת זהויות והארגון בכלל לא מודע לכך שהייתה אצלו פריצה. לכן צריך להגן על הארגון בצורה אחרת ולחשוב מה עושים אחרי שכבר בוצעה חדירה לא לגיטימית לארגון. יש פתרונות לעולם הזה, ראשיתם הגנה על המובייל והענן ולצידם הגנה על הפעילות בתוך Domain הארגוני. אלה פתרונות קו אחרון. עד עכשיו השקענו בקו ראשון, חשבנו שאם תהיה חומה גבוהה, לא יהיו חדירות. עכשיו צריך לחשוב על מה קורה אם כבר התרחשה חדירה, איך בכל זאת מונעים לפחות חלק מהנזק.

אריה דנון, קספרסקי:  אנחנו יושבים פה, אנחנו לא יודעים מה יהיה בעוד 5 שנים…

יהודה אלידע:  גם לא מה שיהיה בעוד 5 דקות…

אריה דנון, קספרסקי: אין לי ספק שהעולם יהיה פתוח יותר, מתוקשר יותר, לכל דבר יהיה IP, וכל דבר שיש לו IP הוא פרוץ, יש מכשירים ניידים ויהיו רק יותר, וה-data ישב בכל מיני מקומות. צריך מערכת ניהול מאוד טובה, שתאסוף מידע מכל המקומות, לנתח ולעשות קורלציות בין המידע שמגיע ממערכות שונות ולענות על השאלה, מה עושים עם זה? אנחנו יודעים שאנחנו מותקפים, אנחנו יודעים מאיפה מגיעה ההתקפה, אבל אנחנו לא יודעים מה לעשות איתה. בנוסף, האנשים תמיד ישארו החוליה החלשה.

אלי כהן, אקספריס סייבר: לשאלה, איזה פעילות אופרטיבית אני יכול לעשות במינימום השקעה, אני חושב שהדבר הראשון הוא למסד תכנית פעולה, לנסח בחוקים מה קורה כשיש אירוע סייבר בתוך הארגון שלך. אנחנו נמצאים בהרבה מאוד ארגונים, ואנחנו רואים טכנולוגיות state of the art, שהוטמעו במחיר גבוה ובכל זאת בשורה התחתונה אין Security. כי אין תהליכי עבודה נכונים, לא ברור מי אחראי על מה, מי הסמכות למהלך אסקלציה, מה צריך לעשות בכל שלב, וכדומה. ניסוח תהליכי טיפול במה שנקרא First Response זה הצעד הראשון שהייתי עושה כמנהל אבטחת מידע. הדבר השני שאני רוצה להתייחס אליו הוא נושא הענן, שלעיתים מקובע בטעות תפיסתית של מנהלי תשתיות. יכול להיות שזה באשמת ספקי הענן, שמספרים P1570069ללקוחות שהענן שלהם הוא הכי מאובטח עם הכי הרבה טכנולוגיה. הטעות היא לחשוב שברגע שהוצאת את המידע שלך לאיזשהו ספק ענן, פתרת לך את בעיית אבטחת המידע. זה מדהים אותנו. אנחנו לא אחראים על המידע שלכם, חברים. ניתן לכם תשתית טובה, אבל המידע נשאר באחריות שלכם.

מאיר עשת: איך אתם הייתם מציעים רגולציה ברמת ממשלתית, סטנדרטים לסקטור הפרטי, אותם מעשי לחוקק. להשאיר כמובן Tolerance למגזר הפרטי, אבל לתקנן שכבת רגולציה מחייבת, חוקית, שקובעת סף איכות לשירותי האבטחה?

גדי גילאון, מוביסק: הבעיה בלתי אפשרית, ואני אסביר למה. רוב הפעילות העסקית מרוכזת בארגונים קטנים ובינוניים, היא מסתכמת בהרבה יותר מהפעילות של מעט הארגונים שעושים היום את רוב הכסף. ל-SMB אין את המשאביים הכספיים להשקיע ולכן הסיכונים של אבטחת המידע ואובדן הפרטיות גבוהים יותר במגזר זה. קל לנו לדבר על בנקים ועל מוסדות גדולים, אבל רוב הפעילות העסקית היומיומית נמצאת במקום בו אי אפשר להגן על המידע, כי הם לא יכולים לממן את ההגנה.

משה רז, IPSec: אני לא יודע מי יכול לממן ומי לא, אבל נוכל לקבוע ברגולציה שאת כרטיסי האשראי ושמות הלקוחות אסור לשמור באינטרנט.

אלי פרנס, פורטינט: אני חושב שהרעיון פה הוא מה שנקרא ענן SIEM-SOC, בו כל ארגון יוכל להעלות את המידע שלו, לבצע הצלבה בין כל מקורות המידע ברמת הורטיקל ולהבין האם המתקפות זהות או שונות. כי בסופו של דבר, רוב המתקפות הן דיי זהות. תוקף שמתקיף את Y, יתקיף גם את X ו-Z באותה צורה, או אולי בשינוי קטן.

אלי כהן, אקספריס סייבר: אנחנו רואים את הרגולציה שעברה לאחרונה באירופה, ה-GDPR, כאיזשהו סמן, שלדעתי מדינת ישראל יכולה להסתכל עליו. הרעיון מדבר על כך  שלעסקים ובעלי עסקים יש אחריות על המידע של הלקוחות, והרגולציה מגדירה  איפה המידע יישב, והאם המידע יוצפן, ומה יהיו הקנסות במידה ולא יעשו את הדברים האלה.

שושי ליבוביץ, 5F: הרגולציות האירופאיות הן לא רק אבן דרך חשובה בנהלי אבטחת מידע. חשוב שארגונים ישראליים יהיו מודעים לכך שהחל מ- 25 למאי 2018, חברות שרוצות לעשות עסקים עם אירופה או מעוניינות ליצור קשרים עם לקוחות אירופאיים, יצטרכו לעמוד בחוקי ה- GDPR, כסטנדרט בכל מדינות אירופה. הרגולציות החדשות כוללות חובות נשיאה באחריות P1570044חדשות, זכויות צרכנים חזקות יותר והגבלות על הזרמת מידע בינלאומית. היוזמה תגרום לארגונים לחשוב מחדש על הדרך שבה הם מתייחסים למידע אישי. עם קנסות שיכולים להגיע ל- 4% מהמחזור או 20 מיליון יורו, חברות בכל סדרי הגודל לא יכולות להרשות לעצמן פריצות למידע. הרעיון של רגולציה אחידה לאבטחת מידע בשוק האירופי הוא רעיון טוב. הוא תוכנן כך שיוכל לגשר על הפערים שקיימים בסקטורים של המסחר הדיגיטלי שבהם אנחנו פועלים.

משה רז, IPSec: חוק הגנת הפרטיות מדבר בדיוק על זה. במיוחד התקנה החדשה, על אחריות בית העסק והמנכ"ל… אם נחזור לרשות הסייבר, זה בדיוק מה שאנחנו מצפים או מקווים שיקרה. שרשות הסייבר תתחיל להנחות את כל המגזרים שבמשק, במה שנקרא הנחיה ברצון, ותקים את ה-SOC הלאומי, שאם תרצה להתחבר אליו, תקבל את כל האינפורמציה שנדרשת להתנהלות בטוחה. וכל בעל שירות ענן יחויב לעמוד באותן רגולציות שהמדינה תקבע כמינימום.

אלי כהן, אקספריס סייבר: כפי שלפתוח עסק עליך לעמוד בתקני כיבוי אש, בעולם הסייבר, יקבעו לך איפה לשמור את המידע שלך, מי הספקים שהוסמכו לשמור על המידע, ומה דרגת האבטחה המינימלית בכל סקטור עסקי.

גדי גילאון, מוביסק: אנחנו מדברים על 2 אלמנטים של הגנת סייבר: האחד הוא המשכיות עסקית, היכולת של העסק לעבוד גם במצבי תקלה חמורים. השני היא הפרטיות של הלקוחות, גם של העובדים. בנושא הפרטיות צריך ליישם אמצעים מאוד מורכבים, כי הפרטיות מתנגשת עם הרצון לבנות מחסן נתונים אחד מרכזי, כי ברור שאז האח הגדול רואה את כל המידע. אנחנו הולכים בין איזונים ובלמים מאוד מאוד לא פשוטים. אתם יודעים בכמה מערכות DOS אני עדיין נפגש בתוך ארגונים? אנחנו גוררים זנב טכנולוגי ארוך של 20 שנה ויותר שעוד לא התגברנו עליו. הבעיה המרכזית היום בסייבר זו התפיסה והחשיבה של אבטחת מידע ארגונית. ארגונים ממשיכים לאמץ פתרונות של האתמול במקום להשקיע בדברים החדשים. לדוגמה, ב 2011 היינו החלוצים בניהול הגישה מטלפונים ניידים. היום ב-2017 אני עדיין מגיע לארגונים שלא מבינים את סוגיית המובייל, לא את הערך ולא את הסיכונים ולכן מאמצים פתרונות שהתאימו לעולם ה PC אך אינם רלוונטיים או אפקטיביים במכשירים ניידים.

אריה דנון, קספרסקי: עובד שאסרו עליו להתחבר לפייסבוק מהרשת הארגונית, אומר "תודה רבה, אני לא עובד פה". ככל שהמשרה נחשקת יותר, העובד יש לו יותר דרישות. וזה אומר פתיחות, ורשתות חברתיות, ובכל מיני אפליקציות, כך שרמת המורכבות היא חלק מהתרבות הארגונית.

P1570059יהודה אלידע:  אנו שוכחים שהעובדים הנהדרים האלה, היצירתיים, עם ההספקים האדירים, הם היו "הפיראטים" של שנות ה-90'. הם גנבו סרטים, מוזיקה וקליפים עוד בימים של נפסטר ז"ל. בכיתה ג' הם כבר ידעו להוריד ולשתף תכנים.

גדי גילאון,מוביסק: לא כולם מבינים שהאיום הגדול של סייבר הוא בכניסה לגיטימית לרשת הארגונית וביצוע "עקיצה" שאינה לגיטימית בין על ידי האקרים מחוץ לארגון או עובדים בתוך הארגון.

אלי פרנס, פורטינט: זה נורא מעניין איך התפיסה של הספקים משתנה. כל הנושא של Bring Your Own Device מדבר על ארגון שבו אין יותר גבולות, המחסומים נעלמו, ההגנות נפרצו ואין יותר שער בכניסה. לכן, היום כל הארגונים הולכים על ביזור הרשת הפנימית כדי לבודד את המתקפות לאזורים קטנים יחסית.

אריה דנון, קספרסקי: אם הייתי מסכם את כל מה שנאמר פה בתובנה מרכזית אחת, הרי היא שאם כל ארגון ידע להגדיר מה באמת הליבה שלו, לזהות את המידע הכי משמעותי, ולהתמקד ברכיבים העסקיים הכי חשובים, עליהם צריך להגן, משם אולי תבוא הישועה.

שושי ליבוביץ, 5F: עם הזמן, מידע הופך קשה יותר לניטור ולמעקב במגוון הרחב של התקנים והתנהגויות של משתמשי מובייל במקום העבודה. משמעות הדבר היא שאם חברות אינן מגדילות את ההגנות שלהן בהתאם, הן למעשה מסכנות את המידע שלהן. הבנת המידע והיכולת לשלוט, לנתח, לשים אותו בהקשר הנכון ולנטר את הזרימה שלו, הם הכרחיים לצורך ניהול מידע אישי וארגוני.

יהודה אלידע:  אוקי חבר'ה, תודה רבה, על השתתפותכם והניסיון שתרמתם לנו. אנו נסיים בינתיים עד לפגישה הבאה, שאז אולי תבואו יותר אופטימיים, אחרי ניצחון כוחות האור על ההאקרים המרושעים.

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.