יום שלישי , ספטמבר 19 2017
מבזקים
דף הבית > תוכנות > אבטחת מידע וניהול משתמשים > סיסקו Web & Mail Security – ארכיטקטורת אבטחה המאפשרת פיתוח עסקים

סיסקו Web & Mail Security – ארכיטקטורת אבטחה המאפשרת פיתוח עסקים

BMI Salaf Ramadan Promo (A5 Flyer)השינויים העוברים על תחום אבטחת מערכות המידע ב-20 השנים האחרונות הם חסרי תקדים הן בהיקף והן באיכות. הדבר נובע, כמובן, מההתפתחויות הדרמטיות במרחב האינטרנטי מאז שניתנה גישה חופשית ל-Web וגורמים מסחריים החליפו את הממשלה והאקדמיה כמובילי שינויים.התהליך ההיסטורי דומה לזה שקרה בסחר הבינלאומי בעקבות עידן "מגלי העולם", כאשר ה-Mainstream בדרכי המסחר העולמי עבר משיירות גמלים נודדות בנתיבי "דרך המשי" המדברית לציי ספינות סוחר המפליגות באוקיינוס הפתוח ו"מכווצות" את העולם לבלי הכר. הובלת מטען מסין לאירופה התקצרה משנה ויותר בערבות אסיה המרכזית – לחודשיים של הפלגה, כאשר הרוח לקחה את תפקיד הגמלים וניווט כוכבים החליף את הכרת דרכי המדבר המסורתיות. וכמו בתעבורת הסחר העולמי, כך גם במערכות המידע;השינוי הדרמטי דרש הסתגלות לסיכונים חדשים והטמעה של דרכי אבטחה חדשות.

חיסול הפיראטים מבשר את עידן אימפריות הסחר

בתעבורת הסחורות הימית לא ניתן להגן על שיירה עם שכירי חרב הרוכבים חמושים לצד הגמלים או  להסתגר בלילה ב"חאן" מבוצר תחת חסות שליט מקומי. בים יש צורך במדיניות אבטחה גלובלית, שאינה מכירה בגבולות שבטיים, משום שכל פיראט יכול לשוט לכל מקום בלי לחצות אף גבול. מצד שני ספינות הסוחרים אינן מסוגלות להגן על עצמן בעצמן משום ששודדי הים לעולם יהיו יעילים ונחושים יותר מצוות המלחים האזרחי. הפתרון לביטחון בים הגיע כאשר מעצמות הסחר הימי לקחו על עצמן להכחיד את שודדי הים בפעילות התקפית יוזמת, לרדוף את הפיראטים בכל מקום וכל זמן ולא להשאיר אף נמל מבטחים לבוקאנירים Buccaneers)). המערכה הימית הצליחה, הבטחון שב ותוך שנים לא רבות הפכו דרכי הים לצירי הסחר העולמי והמעצמות ששלטו באוקיינוסים צמחו להיות האימפריות הגדולות בתולדות האדם. השמש לא שקעה על הדגל האנגלי הויקטוריאני משום שהצי שלה נפרס בכל מקום אליו הגיעו סוחריה, ואבטח אותם.

ב-Web עוד לא הגענו למצבבו ביטחון העוסקים בשווקים המקוונים נגזר מהאבטחה הגלובלית של המדיום על ידי גופים ממשלתיים אדירי עוצמה. אך בהחלט ניתן לראות התקדמות לקראת המטרה כתוצאה מכניסה של חברות עולמיות גדולות המספקות תשתיות חומרה ותוכנה לרשת ה-Web ולשירותים השונים שרצים עליה.
דואר אלקטרוני, תעבורת קול ותמונה, רשתות וירטואליות פרטיות ו-VoIP – וכמובן שירותי ענן IT, חולקים היום תשתיות IP ב-Web ומאפשרים, לראשונה, לרכז את אסטרטגית ההגנה על פלטפורמה משותפת לתקשורת ולמערכות המידע. הלקוחות היום מעוניינים להפקיד את האבטחה בידי החברה המספקת את מרבית טכנולוגיות התקשורת למרבית המשתמשים בעולם, משום שרק כך אפשר להוריד דרסטית את מפלס האיומים ברשת. סיסקו, חברת התקשורת המובילה בעולם, אינה צריכה לשלוח ספינות תותחים לסייר באוקיינוס הווירטואלי. המערכות שלה – נתבים, מתגים, רכזות רשת וקונסולות ניהול, פתרונות Conferencing ושרתי מדיה, שרתים אינטגרטיביים משולבי אחסון, מוצרי תוכנה ותקשורת – כבר נמצאות בכל מקום בו טכנולוגיות האבטחה נדרשות. מאז שהנהלת סיסק החליטה לשלב את פתרונות האבטחה המתקדמים ביותר בסל המוצרים שלה, החלה גם להתפשט בתעשייה כולה ההבנה, שאבטחה היא חלק אינטגרלי מכל פתרון תקשורת ולכן כדאי שהוא יגיע מהחברה המובילה את עולם התקשורת כבר יותר מחצי יובל שנים.

השירות מהווה חלק מהמוצר

"ההבדל העיקרי בין מוצרי האבטחה למוצרי תקשורת מסורתיים יותר הוא החיבור המתמשך, הרצוף והאינטנסיבי, בין המוצר לבין השירות שתומך בו", אומר סבסטיאן קומרו, מנהל פיתוח עסקי לתחום אבטחת דואר ו-Web בחברת סיסקו. "במרבית מוצרי ה- IT והתקשורת הפתרון אינו מגיע כמוצר המותקן ומכוון פעם אחת ופותר את הבעיה לנצח. כל מערכות התוכנה דורשות עדכונים תקופתיים, תיקוני באגים וטלאים, הוספת פונקציות חדשות ומתודות משופרות. אבטחת התקשורת היא אחד התחומים האינטנסיביים ביותר מבחינת דרישות העדכון, הן מבחינת המשמעות הקריטית של ביצוע העדכונים והשדרוגים והן מבחינת משך הזמן הקצר שבין הופעת הצורך בעדכון לרגע בו נסגר חלון הזמן של עבודה בטוחה. באבטחה לא מדובר במהירות תגובה שגרתית, מחזור עדכונים שגרתי אותו אפשר לנהל בקצב של עדכונים שבועיים או אפילו יומיים. בעולם ההאקרים המקצועיים, המנצלים חולשות אבטחה לרווח כספי או כחלק ממלחמה פוליטית, מדובר בדקות ספורות. הדימוי הישן של "דומינו", לבנה המפילה לבנה  – התחלף בדימוי של קריסה פתאומית ודרמטית –  כמו רעידת אדמה או צונאמי. מדובר בהתקפות מתוכננות היטב המבוצעות ע"י גופים מאורגנים ועשירים, ומכוונות בצורה ממוקדת ומדויקת למטרות שמופו מראש ורגישותן נבדקה. לכן יש צורך בריכוז אמצעים ומיקוד תשומת לב שרק חברה גדולה יכולה להקצות לנושא.
סיסקו, שהקימה את המנגנון העוצמתי ביותר בתעשייה, מציעה את יתרונותיה כשירות ללקוחות הזקוקים לסיוע מבחוץ כדי להתמודד עם אתגרי האבטחה."

הניסיון להתמודד מול איומי הרשת והדואר מראה, שאבטחה אפקטיבית דורשת גישה פרו-אקטיבית לכל הרבדים של הפתרון:

  • מערך ניטור, איבחון, ניתוח סיכונים ופיתוח מענה מיידי לכל שפע הסיכונים המתפתחים במדיום האינטרנטי הגלובלי, הכרות מעמיקה עם האויב והכנה מקדימה של כל ארסנל הטכנולוגיה הדרוש להתגוננות.
  • מערך תמיכה בלקוחות הכולל הפצת התראות ממוקדות, ייצור והטמעה של אמצעי חיסון וריפוי מפגעי קוד זדוני ידוע או חשוד, כלי הדרכה ומתודות תגובה לאירועי חדירה, עזרה בהתאוששות וחזרה לעבודה סדירה.
  • הפקת לקחים, שיפור מתמיד של שיטות הפעולה, סתימת פרצות ושדרוג מנועים, ניתוח וזיהוי מגמות לשם הכנת המערכת לסוג ההתקפות הצפויות בעתיד, שיתוף ידע בין משתמשים ויצירת פלטפורמות להגנה קבוצתית.
  • שיפור ביצועים וסילוק צווארי בקבוק ביטחוניים מתהליכים האמורים להתרחש בזמן אמת, הפחתת העלות הכוללת באמצעות הקטנת מורכבות, פישוט האחזקה והגדלת האוטומציה של טיפול בבעיות שגרה.

מקום ראשון במבחני Next Generation Fire Wall

"השילוב הזה, בין מוצרים לתמיכה שוטפת, מותג על ידי סיסקו בשם סיסקו ASA with FirePOWER", אומר סבסטיאן. "בשנתיים האחרונות רכשה סיסקו שורה של חברות צעירות שפיתחו מוצרים פורצי דרך בתחום האבטחה, כדי לארוג מהם פתרון כולל, רב ממדי, לכל אתגרי האבטחה ב-Web וב-Email". בין החברות תופסת מקום מרכזי חברת SourceFire, שפעלה בישראל תחת ניהולו של ליאור דולפין. הטכנולוגיה פורצת הדרך של SourceFire מוטמעת היום בבסיס ה- FirePOWER כאשר ליאור מנהל את תחום הסייבר בסיסקו ישראל. "התפיסה האינטגרטיבית, האומרת כי לקוח עסקי רגיל רוצה לקבל את שירות האבטחה כחבילה מלאה ולא להתעסק בהטמעה ובתיאום של חצי תריסר או יותר פתרונות חלקיים, הוכיחה את עצמה בכל השווקים", אומר ליאור. "בשנה האחרונה היא הפכה למגמה המרכזית בעולם העסקי תחת הכותרת Next Generation Fire Wall. מעבדות NSS, הגוף הבלתי תלוי המוסמך לבדוק את איכות ההגנה שמספקים מוצרי NGFW, מיקם בדוח המחקר  שלו לשנת 2014, את פתרונות ASA ו-FirePOWER של סיסקו במקום הראשון, גבוה משמעותית מכל המתחרים. בין המתחרים שדורגו: SonicWALL, צ'ק-פוינט, WatchGuard ומק'אפי. למעשה, צריך זכוכית מגדלת כדי לראות שפתרונות סיסקו לא יושבים ממש על קו של 100% יעילות! תוצאה מושלמת זו מעידה כמה נכון עשתה סיסקו בשימה את הדגש על אינטגרציה, קלות שימוש ותמיכה שוטפת של מרכז ידע שאין שני לו."

"את ההכרה שקיבלנו ממעבדות NSS אנו חבים בין היתר לצוות TALOS שאחראי על ההצלחה במבחנים", מצטרף סבסטיאן לליאור. קבוצת TALOS היא גוף המודיעין והמחקר של סיסקו בנושאי סייבר. החוקרים ביחידת עילית זו סורקים ללא הרף את המחוזות הנידחים של ה-Web, המחשכים בהם מחליפים האקרים מידע, סוחרים בכלי חבלה ופריצה, מפרסמים את כישוריהם ומגיבים ל"מכרזי עבודה" של גורמים תוקפניים וקרימינליים. "ככלל, חוקרי TALOS לומדים כל מה שיש לדעת על העולם התחתון הדיגיטלי, מתעדכנים בכל טכנולוגיה חדשה שיוצאת לשוק ההאקרים, מפתחים אמצעי נגד וחיסון ומספקים התראות בזמן אמת על התקפות שיוצאות לדרך". למעשה מדובר במאמץ קבוצתי אינטר-דיסציפלינרי הכולל מומחים לקוד זדוני (Malware), מנתחי איומים המעריכים תוצאות של חדירת הקוד למערכות לקוח שונות, אנשי תפעול המנהלים בזמן אמת את פעולות ההתגוננות והתאוששות, מפתחי "טלאים" (Patchesׂ) ומעקפים (Work-Around), מנהלי IT שהתמקצעו בשמירה על ביצועים של מערכות תחת התקפה, ועוד. "הצוותים שלנו מספקים מענה לכל שכבות ההגנה: לממשקי הרשת, לזיהוי והשמדת חדירות, לזיהוי ונטרול וירוסים, תולעים וסוסים טרויאניים, לסינון תכנים נכנסים ויוצאים, להגנת מידע מאוחסן וטרנסאקציות במהלך הביצוע, לניהול נגישות והרשאות, ניהול משתמשים ואפליקציות.

TALOS היא ללא ספק, קבוצת המו"פ המובילה את המלחמה בסיכוני הרשת".

הנדסת אנוש מפיצה קוד זדוני

האופי של התקפות ההאקרים משתנה כל הזמן. הם נעשים מתוחכמים יותר מבחינת הסוואה, חדירה שקטה ופעולה מתחת "לגובה הראדאר". הם משתמשים בכיסוי של אתר לגיטימי כדי לחדור בשקט, למעשה ברשות המשתמש, למערכות קריטיות הנגישות למשתמשים מתוך הארגון אך לא לזרים. לדוגמה: כניסה תמימה שלכם לאתר לגיטימי כדי להוריד עדכון לתוכנה בטוחה הנמצאת מזה זמן בשימוש הארגון, יכולה להפוך להורדת סוס טרויאני, בעקבות חדירת קוד זדוני לשרת ההפצה, או להורדת  רובוט הנשלט על ידי האקר, או גורם סיכון אחר. כמשתמש, לא תראו את הורדתו, כיון שהיא נעשית בצל ההורדה של הקובץ הרצוי. תהליך הזרקת קוד זדוני דומה יכול להתרחש תוך כדי פתיחת מה שנראה כפרסומת או סרט וידיאו. ההאקרים מתמחים גם ב"הנדסת אנוש" ובהכרות עם התנהגות הגולשים, כדי לפתות משתמשים לפתוח נספחים לדואר אלקטרוני שנראה על פיו תמים אם לא מגרה סקרנות.

בכל הדרכים האלה ובהרבה אחרות, זיהוי הנוזקה מחייב לתת לה מקום להתבטא בפעילות מנוטרת ומפוקחת בתוך "ארגז חול", אזור לוגי שלא מאפשר לתוכנה שרצה בתוכו להתפשט מחוץ לתחום ההסגר ולהדביק חלקים אחרים במחשב (למשל על ידי כתיבה לדיסק). שיטת ארגז החול אינה חדשה, אבל לאחרונה היא נאלצת להתמודד עם התפתחות חדשה: קוד זדוני המתוכנן להתחיל את פעילות ההרס רק זמן רב אחרי החדירה. ההשהיה יכולה להגיע לחודשים רבים, במהלכם בעל המחשב המותקף כלל לא מודע לכך שהוא נושא בקרבי מערכת האחסון פצצת זמן. רוב המשתמשים העסקיים לא יכולים לעכב קבצים חשודים בארגז החול ליותר מימים ספורים, וכך הקוד המסוכן עובר ללא גילוי למערכת האחסון עם חותמת כשרות. במרכז הניטור של TALOS יש סבלנות – ושפע משאבים. "זמן הדגירה" יכול להיות גם חצי שנה ועדיין הקובץ ישאר בתוך ארגז חול וירטואלי תחת ניטור התנהגות. מעבדות סיסקו עורכות ניתוח בדיעבד, (Retrospective Analysis), לכל אירוע המתרחש על פלטפורמת הניטור וביכולתן לזהות את מחולל האיום גם זמן רב לאחר ההדבקה. במקרים אלה נשלחת ללקוחות הרלוונטיים התראה והנחיות איך לאתר את הקובץ המזיק ולחסל אותו בתקווה שלא איחרו את הרכבת. "זו טעות חמורה לחשוב, שאם קובץ מסוים התנהג כשורה בעבר סימן שאין בו סכנה לעתיד", אומר סבסטיאן. "אבל אנו מודעים לכך שאת העבודה אי אפשר לעצור ולכן שירות FirePOWER דרוך כל הזמן להתערב ברגע שמתברר כי מישהו הצליח לחדור ולהסתתר במערכת. הודות לניטור ארוך זמן אנו יודעים איך חדר הקוד למחשב, איפה לחפש אותו ואיך ניתן לסלק אותו בלי לגרום נזק סביבתי. מדובר ביכולות שרק גופים גדולים מאוד, עם תקציבי ענק לאבטחה, יכולים לפתח בכוחות עצמם. עבור לקוחות סיסקו ASA + FirePOWER יכולות אלה הן חלק מחבילת השירות".

סינון דואר על בסיס מוניטין

כאשר אתם מנסים, כפי שמנהלי אבטחה בימינו חייבים לעשות, לזהות סיכון לא מוכר עוד לפני שמאפייניו הזדוניים באים לביטוי, האסטרטגיה היעילה ביותר היא מסד נתוני מוניטין. כולנו מנסים לסנן SPAM, כאשר מגיע Email ממקור לא מוכר, על בסיס המוניטין של השולח לכאורה. האקר מקצועי לא יתקשה להערים על מרבית המשתמשים ולמצוא את הפרצה האנושית בחומת האש.

שירות TALOS מתחזק מסד נתוני מוניטין בגודל ובתחכום שאין כדוגמתם, המתמצת ערכי מוניטין מבדיקה המבוססת על יותר משליש מתעבורת הדואר האלקטרוני בעולם! מאמץ אדיר מושקע בייצור "מסנן מוניטין" מדויק ומהיר תגובה, גדול  יותר מכל מה שחברת Enterprise או אפילו ארגון ממשלתי יכולים לפתח ולתחזק בכוחות עצמם. "שליש מתעבורת ה-Email העולמית משמעותו עשרות מיליונים בכל שעה", אומר ליאור דולפין. "כל מה שנמצא בהודעת הדואר או בנספחים, נבדק  מול מסד חתימות של Malware ידועות ומול "ספר הגדרות" גנריות; נעשה ניתוח ביחס נתונים הנוגעים לשולח ההודעה ולכל השרתים וצמתי האינטרנט בהם עברה ההודעה, אליהם ניתן היה אולי להזריק תוכן מזיק ל-Email; ובמידת הצורך האלמנטים החשודים נשלחים לניתוח נוזקה מתקדם, (Advanced Malware Analysis), כולל הרצת הקוד בארגז חול תחת ניטור דקדקני". כאשר מתגלה סימן חשוד יוצאת ממרכז ניהול האבטחה (SOC) התראה מתפרצת לכל הלקוחות: זהירות! נוזקה בפתח! יש לעדכן את הגדרות האבטחה! "מחזור העדכונים הזה פועל כל כך מהר, עד שמרבית הלקוחות עוברים למצב מוגן לפני שהגורם החשוד מגיע לחומת האש. עבור האחרים ההתראה מספקת קריטריונים לחסימת הקוד ב"שטח ההפקר" (DMZ) או בארגז החול הפרטי".

"למרות שסיסקו מספקת בחבילת סיסקו ASA + FirePOWER את שילוב המוצרים והשירותים העוצמתי ביותר, חומת אש שאי אפשר לצלוח, הם אינם פוגעים בתפיסת היסוד של חברת תקשורת: את הביזנס אסור לעצור", אומר סבסטיאן. "אנחנו כאן כדי לאפשר עסקים, להפעיל תהליכים, להעצים משתמשים ולהזרים מידע ביעילות – למרות הסיכונים. החובה להתגונן, לחסום פרצות, להתייחס בחשדנות לאירועים לא צפויים ולהערים קשיים על חודרים לא רצויים אסור שתפגע ביכולת הארגון לתפקד ביעילות, בזריזות עסקית ולהוביל חדשנות בתחומו. יישום נכון של אבטחה רב-שכבתית הוא תרגיל אנליטי באיזון דרישות מתנגשות, או כאלה הנראות כמתנגשות. לכן, חשובה כל כך האינטגרציה המוקדמת של כל המוצרים בחבילה". כולם מודעים לכך שבבניית מערכת אבטחה מאוסף אלמנטים שנשלפו מסלי המוצרים של חברות שונות, הלקוח מסתכן בחוסר תאימות. מוצרים של חברה אחת יכולים להכשיל או לנטרל מוצרים של חברה אחרת ובמקרים קיצוניים אפילו למוטט את מערך ההגנה כולו. ברור שיש מומחים לתצורות אבטחה שמסוגלים לפתור בעיות כאלה, אך אלה מעטים ומחירם גבוה. "לקחנו על עצמנו לשנות את הסטאטוס קוו ולספק אבטחה הולמת לכל לקוח, קטן כגדול".

עבודה בהרמוניה ישר מהקופסא

סיסקו רוצה לספק סביבת תקשורת בטוחה לכל לקוחותיה, בלי שיסתבכו באינטגרציה, ולכן פיתחה את התפיסה של Threat-Focused Next-Generation כפתרון הוליסטי. "זו חבילה שכל חלקיה עוצבו לעבוד בהרמוניה ושאפשר להתקין אותה "ישר מהקופסא" בלי להסתבך בעיצוב התצורה. זו חבילת אבטחה התומכת גם בציוד ובתוכנות של צד ג', במידה ורוצים לשלב בפתרון מוצרים שכבר קיימים בארגון, ומאפשרת הרחבות עתידיות בקצב ובכיוון הדרושים לארגון", אומר ליאור. "מערכת סיסקו  ASA + FirePOWERמותאמת לעבודה ב-Data Center פרטי, בענן פרטי, בענן ציבורי או בכל תמהיל רצוי של משאבי IT. היא מספקת מענה לכל האיומים המוכרים ב-Web וב-Email עם ארכיטקטורה המאפשרת הטמעת טכנולוגיות חדשות בכל שכבות ההגנה ככל שאלה נעשות זמינות וככל שתנאי הסביבה באינטרנט משתנים. ולא פחות חשוב, היא מעניקה לעסק קטן ובינוני (SMB) יכולות הגנה שאינן נופלות מאלה של Enterprise בינלאומי.

איך שוברים את הכד ושומרים על היין? אלה היתרונות של סטנדרטיזציה משולבים ביתרונות הגודל והנסיון של סיסקו. אנו, פשוט, מסוגלים לספק את מה שאחרים רק חולמים לעשות".

אודות מערכת ITnews