<
יום שבת , דצמבר 16 2017
מבזקים
דף הבית > תוכנות > אבטחת מידע וניהול משתמשים > אבטחה מובנת ביישומים ארגוניים: המתודה של IBM

אבטחה מובנת ביישומים ארגוניים: המתודה של IBM

כריסטין לאבג'וי, מנהלת תחום שירותי האבטחה ביבמ

כריסטין לאבג'וי, מנהלת תחום שירותי האבטחה ביבמ

כריסטין לאבג'וי, מנהלת תחום שירותי האבטחה ביבמ: "אתגר האבטחה מחייב גישה חדשה ושינוי תהליכים ארגוניים מן היסוד". התסריט הגרוע ביותר מבחינת יבמ הוא כזה שבו אנחנו רוכשים מוצר שמסכן את אחד הלקוחות שלנו.

זרמי הנתונים המגיעים מדי יום לארגונים הולכים וגואים – על מנת לאפשר ניתוח מקיף יותר בזמן אמת של תמונת המציאות אותה מייצגים הנתונים האלה, וקבלת החלטות נכונות יותר. עובדים, לקוחות, מנהלים וספקים קשורים זה לזה במגוון רחב של ערוצים. אלא שריבוי הרשתות, מכשירי הקצה, היישומים ומאגרי המידע יוצרים גם מספר אינסופי כמעט של נקודות העלולות להיות חשופות להתקפה ופריצה. כך, למשל, דו"ח של חברת האבטחה קספרסקי קובע כי 91% מעובדים בחברות ובארגונים המחזיקים בטלפון חכם משתמשים במכשיר הזה גם על מנת לגשת אל הדואר האלקטרוני הארגוני שלהם – אולם רק שליש מהמשתמשים האלה נדרשים על ידי מנהלי האבטחה להתקין תוכנת אבטחה הולמת על גבי מכשיר הקצה שלהם. הפרסום המקוון  Computerweekly.comמדווח כי 20-30% מהמחשבים האישיים המשרתים משתמשים פרטיים נגועים בתוכנה זדונית – כאשר כל מחשב כזה עלול לגרום נזק משמעותי לרשת ארגונית עימה הוא עשוי להיות קשור.

כריסטין לאבג'וי, המנהלת הכללית של תחום שירותי האבטחה בחטיבת השירותים הגלובאלית של יבמ, מרכזת גם את הפעילות הפנימית ביבמ בתחום סיכוני האבטחה. במסגרת ביקורה בארץ, מבקשת לאבג'וי להעביר לקהל הישראלי מסר ברור לגבי הצורך בהתמודדות עם אתגר האבטחה – גם אם המסר הזה אינו חדש: "הניסיון שלי כמי שנמצאת בתעשייה זמן רב, הוא שאנשים דואגים לאבטחה בגלל שתי סיבות: צורך בעמידה בדרישות חקיקה ותקנות החלות על תחום הפעילות של הארגון שלהם – או כאשר הם ניצבים כבר בפני בעייה הפועת בהם. המסר שלי ושל יבמ, הוא הרעיון לפיו ההתייחסות לאבטחה צריכה להיות כמו אל כריות אוויר או בלמיABS  במכונית: אתה רוכש אותן מהתחלה, כשהן משולבות במכונית – ולא מתקין אותן בנפרד". שילוב כזה הוא גם ערובה לחיסכון. על פי התחשיב של יבמ, מחיר שילוב רכיב אבטחה בשלב הבניה המוקדם של יישום חדש עומד על לא יותר מ- 60 דולר. תוספת הרכיב הזה בשלב מאוחר יותר של תהליך התכנות, כבר עלולה לעלות 6,000 דולר ומעלה. בכל מקרה, היא מציעה לבנות סביבה המאזנת בין מימוש היעדים העסקיים, וגמישות מערכות הנדרשת לצורך זה – ובין הטיפול בסיכוני האבטחה.

דוגמא טובה להתמודדות שיטתית עם סיכוני אבטחה, מציגה יבמ בתהליך הקליטה והמיזוג של חברות אותן היא רוכשת על מנת לשלב את מוצריהן והשירותים אותם פיתוח בהיצע אותו היא מביאה ללקוחותיה: "יש שני היבטים לרכישות ומיזוגים: אנשי עסקים אינם מודעים במקרים רבים לסיכוני האבטחה. ברגע בו אתה מכריז על רכישה – תוקפי מערכות ופורצים מבינים שיש שם הזדמנות בשבילם. כשהם יודעים שאתה עומד לרכוש מישהו – הם מזהים את האפשרות לפרוץ לרשת של החברה הרוכשת דרך המערכות של החברה הנרכשת. מיום ההכרזה על העסקה ועד ליום הסגירה והמיזוג בפועל, יש פער זמנים שבו אפשר להשיג גישה לארגון דרך המערכות של החברה הנרכשת, כך שבעת שילוב המערכות והארגונים אפשר יהיה לנצל את הפרצות האלה".

"כשאנחנו ביבמ רוכשים חברה היא עוברת תהליך גילוי נאות, הבוחן את שלמות הנכסים שאנחנו רוכשים ומבנה ההגנה סביבה". כמי שהגיעה בעצמה ליבמ בעקבות רכישת חברת Council Risk Management שבה עבדה כמנהלת הטכנולוגיות הראשית, היא מסבירה כי "חלק מתהליך המעבר הוא להבטיח שליטה בארגון הזה, כך שאינך מגדיל את האיום: יש לנו תוכנית מוגדרת של מה שמכונה 'שטיפה כחולה': התאמת דפוסי ההתנהלות של הארגון הנרכש לאלה של יבמ. יש הרבה לחשוב עליו, וצריך להשקיע תכנון באופן הביצוע של רכישות – מה שמוביל להגדרה ברורה של שלבים בתהליך הרכישה, תוך התייחסות לנכסים שאתה רוכש – תוכנה, חומרה, שירותים ואנשים, כמו גם לתשתיות התומכות בהם".

תהליך הקליטה הזה מורכב עוד יותר כאשר מדובר בקליטת קוד של תוכנה ויישומים שפותחו בחברה הנרכשת. יבמ מבצעת תהליך מקיף של הערכת קוד מקור, שבו קוראים מומחים שלה שורת קוד אחר שורת קוד, על מנת לוודא שאין סיכון בהצעת המוצר ובשילובו במוצרים של יבמ. "שלמות קוד היא עניין מרכזי. אי אפשר למכור מוצר לפני שבדקנו אותו: התסריט הגרוע ביותר מבחינת יבמ הוא כזה שבו אנחנו רוכשים מוצר שמסכן את אחד הלקוחות שלנו. כשזה מגיע לתוכנה, נדרשת אנליזה סטטית הכוללת קריאת שורות קוד המקור, ויש לנו כלים מצויינים לביצוע שהגיעו אלינו בין השאר בעקבות רכישת Q lab. בנוסף, יש צורך באנליזה דינאמית שמתבצעת בתהליך העבודה, ומוודאת שאין שינויים ואיומים חדשים – בתהליך המתאפשר בעזרת כלים של WatchFire, שנרכשה בעסקה אחרת, ומפעילה בין השאר מרכז פיתוח בישראל".

מעבר לאיומים המסתתרים בקוד המחשב – אנשים ומשתמשים עשויים להיות האיום הגדול ביותר. לאבג'וי קובלת כי "אין בשוק מישהו שמבין לעומק כמה משמעותי התהליך שבו מביאים אנשים את מכשירי הקצה שלהם ומשתמשים בהם במסגרת הארגונית – BYD – ואין בשוק מי שמבין את חוסר הבגרות של השוק. התהליך הזה של  BYD מתפתח במהירות מתפרצת: כשאני מביאה איתי מכשיר פרטי למקום העבודה, השאלה הראשונה היא מה המשתמש הקצה עושה עם זה. האם הוא קורא דואר? האם הוא מדבר בטלפון? האם הוא ניגש ליישומים ארגוניים? רוב הארגונים רוצים לתת לעובדים להשתמש במכשיר הפרטים – משום שזה לכאורה זול יותר: אני נותן לעובד לרכוש את המכשיר וחוסך את המחיר. אלא שניהול מכשיר קצה של עובד עולה כ- 120 דולר לשנה לעובד. הרכיב היקר ביותר הוא זה של אבטחת המכשיר הפרטי".

במקרה של יבמ עצמה, הוחלט כי גם אם העובד הוא בעל המכשיר, קבלת גישה לרשת הארגונית מחייבת אותו להעביר לידי יבמ אחריות כוללת לניהול האבטחה והמכשיר הזה. התקשרות לרשת של יבמ מורידה אל מכשיר הקצה תוכנת ניהול המנטרת את פעילותו, ומשתמש מחוייב למדיניות החברה. כך, למשל, עובד המחבר  iPad לרשת הארגונית לא ישתף את המכשיר הזה בשעות אחרות עם אחרים.

"יותר מדי ארגונים נכשלים בהגנה על עצמם, ואין פתרון אחד שמכסה את כל הסיכונים בכל הארגונים. הייתי רוצה שזה יהיה פשוט יותר. השוק אינו בוגר, וקודם כל אנחנו צריכים להתמקד באסטרטגיה: לקבוע למי מותר להפעיל מכשירים, למה ולאלו שימושים – ואלו סיכונים אנחנו מוכנים לקחת על עצמנו".

בחברות רב לאומיות שעושות עסקים סביב העולם, וכאשר לא כל המכשירים זמינים בכל העולם –  אתה חייב להבטיח גמישות. אתה מתמקד במערכת ההפעלה, ואנחנו מכירים בכך שלמשתמשים שונים יש צריכים ופרופילים שונים. ביבמ למשל יש לנו 200,000 משתמשים בעלי הרשאה גבוהה – מפתחים ומנהלי מערכת, שדורשים אבטחה מיוחדת, ולצידם משתמשים במידע המפעילים יישומים מרכזיים דוגמת אנשי כספים, כמו גם שאר המשתמשים. על מנת לשמור על רמת אבטחה גבוהה, אנחנו מספקים למשתמשים סביבה בסיסית של תמונת מערכת לעבודה הנטענת מחדש עם כל הפעלה, ומעליה מפעילים סביבה אישית. הגישה הזאת נשענת על הניסיון המצטבר שלנו: אנחנו רואים הרבה ניסיונות התקפה שקשורים בפורצים מתוחכמים, המנסים לבצע תהליך פריצה שיטתי לאורך זמן. כשאתה מקים מחדש תמונת מערכת מדי הפעלה, אתה מונע מהם להפעיל תהליך פריצה כזה".

עידן הענן מציג לדבריה אתגרים חדשים ומורכבים במיוחד: "אנחנו רואים שתמונות מערכת המוקמת בענן משמשות לפיתוח יישומים עסקיים: כשתוקפים מזהים תמונת מערכת חדשה הם משתמשים בה להתקפות מניעת שירות, DOS. הבעייה הגדולה ביותר של עידן הענן היא שהפכנו את ה- IT זמין לאנשים שאינם מתחום ה- IT – והעובדה שאיננו כופים על האנשים האלה לאבטח את עצמם".

לאבג'וי מציעה ליישם את אותה קונצפציה של אבטחה המוכרת במרכז עיבוד הנתונים גם בענן – תוך ביצוע ההתאמות המתחייבות. בנוסף, נדרש להדריך ולחנך את המשתמשים: "אנשי שיווק שרוצים הדגמה ללקוח – אינם יכולים להקים מערכת בלי להתייחס לסוגיית אבטחה. צריך למנוע שגיאות אנוש – ועדיין אנחנו צריכים אנשים בעלי ידע. מדיניות אבטחה תותאם בסופו של דבר לצרכים העסקיים".

רשימת שלבים בבניית מדיניות אבטחה

כצעד ראשון בבניית מדיניות אבטחה, מציעים ביבמ לבנות תרבות ארגונית המודעת לסיכוני אבטחה. הארגון חייב להיות מודעים לתוצאות האפשריות של כל הקשה על קישור נגוע – והמודעות הזאת צריכה לכלול כל עובד ועובד, ולא רק את מנהלי האבטחה או ההנהלה הבכירה. כאשר מתגלות בכל זאת בעיות – יש לנהל מקרי אבטחה ותהליכי תגובה לאירועים. מערך מקיף של מודיעין אבטחה, הנשען על כלי ניתוח אנליטי מתאימים, יידע לקשר בין אירועים שונים גם אם הם נראים בלתי קשורים זה לזה, להצביע על מגמות ולחזות בעיות על מנת לגבש את נהלי ההתמודדות עימן – עוד בטרם גרמו לבעיות בפועל. כיוון שפושעי סייבר מחפשים ללא הרף אחר פרצות – יש להגן על סביבת העבודה. כל תחנת עבודה, מחשב נייד או טלפון חכם מהווים נקודת חדירה פוטנציאלית לקוד זדוני. הגדרות התצורה והפעלת תוכנת ההגנה על גבי כל מכשיר כזה אינן יכולות להיות עניינו של משתמש הקצה בלבד: יחידת טכנולוגיית המידע חייבת לשלוט באבטחת מכלול נקודות הקצה, כמו גם להגדיר אזורי תוכן ברשת הארגונית ולשלוט בזרימת הנתונים בין איזור לאיזור.

ניהול עדכוני תוכנה בהיקף כלל ארגוני מהווה אתגר מורכב – ועדיין חובה לשמור על תמונה ברורה ונקיה של מצאי התוכנה והיישומים הפועלים בארגון. לא מעט אנשים מעדיפים להמשיך ולעבוד בסביבת כלים מוכרים, ולהימנע משדרוג. חברות תוכנה מפסיקות לתמוך בגרסאות ותיקות – לטובת מהדורות חדשות יותר. פורצי מחשבים מכירים היטב את המציאות הזאת – ומתמחים בחדירה לאותן מערכות בלתי-מעודכנות, שלא עברו הטלאה ושדרוג המתחייבים עם גילויים של איומים חדשים.

סביבה מאובטחת חייבת לשלוט בגישה לרשת. ממש כשם שמערכות שיטור עירוניות נשענות על מוקד ניטור אחד, המודע לסטטיסטיקה של עומסי תנועה ואיומי פשיעה, ולמיקום הניידות המתמודדות עימם – צריכה סביבת הניהול המאובטחת לשלוט במכלול עומסי התנועה ברשת, לדעת לנתב אותם – ולזהות את איומי האבטחה.

עולם האבטחה הארגוני עובר לענן. סביבת ענן המחשוב מאפשרת ייעול משמעותי של משימות המחשוב הארגוני – ומציגה אתגרי אבטחה חדשים. המעבר לסביבת ענן מציב את היישומים הארגוניים בשכנות קרובה ליישומים המופעלים על ידי ארגונים אחרים – ומחייב הגדרת כלים, תהליכים, מערכות ניטור ושליטה הנדרשים על מנת לבודד את הארגון ולהגן עליו.

תרבות האבטחה הארגונית חייבת לפעול מעבר לתחומי הארגון עצמו. כך, למשל, יש להגדיר וליישם שיטות לשילוב מאובטח משתמשים חיצוניים – ספקים או לקוחות – בתהליכים המנוהלים על גבי הרשת הארגונית. ככל שהפתיחות הזאת גוברת – ומייעלת את המשימות העסקיות – חובה להגן במשנה זהירות על יהלומי הכתר של הארגון. על מנת להצליח במשימה הזאת, חייב הארגון להגדיר במפורט את המידע והיישומים הקריטיים ביותר שלו: נתונים הנדסיים, נתונים פיננסיים או מידע אודות עסקות רכישה ומיזוג עתידיות. תהליך ההגדרה הראשוני הזה חיוני על מנת להקים חומות הגנה ולהגדיר את הרשאות הגישה אל כל פריט מידע – בהתאם לרמת הסודיות שלו.

לסיום, מזכירים ביבמ כי ניהול אבטחה מקיף כולל מעקב המאפשר לדעת בכל רגע נתון מי הוא מי. עובדי קבלן עשויים להפוך לעובדי חברה; עובדי חברה עשויים לשנות את הגדרת התפקיד ותחומי העיסוק – וההרשאות הנגזרות מההגדרות האלה; עובדים מסיימים את העסקתם בחברה ועוברים לעבודה מחוץ לה. כל מעבר או שינוי כזה מחייב עדכונים של הגדרות האבטחה. אי-הקפדה על עדכונים כאלה עלולה להיות מתורגמת – בסופו של דבר – לזליגה בלתי רצויה של מידע.

 

 

 

אודות מערכת ITnews

נגישות