מגמות חדשות באבטחת רשתות ומכשירי קצה בארגונים ובעסקים

הקדמה

פעם אחרי פעם חווים ארגונים ועסקים שילוב של בעיות, שמביא לקריסת מערכות: החל מתקיפת והפלת הפורטל הארגוני וכלה מהיעדרות עובדים, שלא יכולים או לא רוצים להגיע למקום העבודה הקבוע במצבי לחץ שונים. זאת במצב שבו לא הוכנו הכלים לעבודה מאובטחת שלהם מרחוק (מהבית או מכל מקום אחר). בנוסף, קיימות הבעיות הרגילות שיש כל הזמן בעסקים ובארגונים, החל מ"דליפת מידע" דרך הצורך לענות על תקנים חדשים לאבטחה, וכלה באבדן ושיבוש מידע, תקלות ופרצות מגוונות.

יש כמה מגמות חדשות בתחום אבטחת המידע, שאנו מביאים בפניכם. להזכיר, התחום ה"חם" ביותר הוא תחום ה- NAC , ותחום שני חשוב לא פחות הוא תחום ההגנה על חוות שרתים (Data Centers ).

 

איך מאבטחים את העבודה מכל מקום ומכל ציוד קצה?

מנהלים, אנשי מכירות, ובעלי מקצוע רבים (החל ממהנדסים, רופאים, דרך טכנאים, אנשי מכירות ושיווק, וכלה באנשי מודיעין וכיו"ב), נעים ממקום למקום כשהמידע הרגיש שלהם מצוי לא פעם על Disk-On-Key מסוג זיכרון פלאש, על המחשב הנייד שלהם ו\או על המכשיר הנייד שלהם (טלפון סלולארי, או PDA מכל סוג). הם נעים עם מידע רב, החל מתכניות עסקיות, מידע על לקוחות, "לידים" עסקיים, דוחו"ת, מצגות, מפרטים, ותכנים רגישים אחרים החשובים לבעליהם או לעסק. רוב הפתרונות שיש בשוק להגנה על המידע היו, עד כה, כאלו של סיסמת גישה. הגנה כזו, היא די "בעירבון מוגבל", זאת בלשון המעטה. גישה זו לא הקנתה את השקט הנפשי למי שעלול לאבד את המכשיר שלו עם המידע הרגיש עליו.

פתרונות של מוצרים עם זיהוי ביומטרי (כמו טביעת אצבע), לא זכו להצלחה רבה בשוק, בגלל הסרבול הכרוך בשימוש בטביעת אצבע, רמת זיהוי נמוכה עם צורך בתרגול המשתמש בתהליך הזיהוי, מגבלות רבות בזיהוי (באצבע יבשה או לחלופין רטובה מזיעה), איטיות ברמת הביצועים של הזיהוי הביומטרי, ועוד. כיום, המגמה בשוק היא לעבור לאבטחה באמצעות חומרה ייעודית המוטמעת בתוך המכשיר, עם רמות הצפנה של AES (Advanced Encryption Standard ), שנחשבת לטובה בעולם. כיוון נוסף ודי נפוץ בעולם, הוא אכיפת האבטחה מרחוק, כחלק ממדיניות האכיפה הארגונית. ברוב המקרים, כיוון זה משתלב עם מערכת ה- NAC . אך לאחרונה, סייענו בהטמעת מערכות כאלו בארגונים גדולים וחשובים בישראל כמו בכנסת. מערכות כאלו נועדו לניהול מרכזי של מדיניות האבטחה הארגונית, בכל רחבי הרשת הארגונית וגם דרך רשת האינטרנט, לכל מכשיר קצה, לא חשוב מה הוא, כולל מצלמות רשת, PDA , מדפסות, מרכזיית IP , מחשבים ניידים וכיו"ב. ניתן לקבוע לכל מכשיר קצה מכל סוג, היכן ודרך איזה סוג חיבור או סוג מחשב מותר לו להתחבר לאינטרנט, מה מותר לו לשמור על הזיכרון העצמי שלו, אילו יישומים מותר לו להפעיל, מה מותר לו לראות, מה מותר לו להעביר (לקבל קבצים או למסור קבצים), למי ומתי.

 

יש ורצוי לוודא במערכות כאלו (גם במערכות המבוססות על הצפנות מקומיות בחומרה וגם במערכות השליטה מרחוק), שילוב של מנגנונים מתקדמים לאבטחה כמו: Anti-Phishing, Anti-Malware, Anti-Worms ו- Anti-Pharming . יש בכך מענה לכמה תקני אבטחה ארגוניים, למשל לתקן HIPPA של ארגונים בתחום הרפואה, ותקנים חשבונאיים לארגונים כמו: SOX , GLBA , FISMA, BASEL II Standards וכמובן ISO 17799 ו- NIST 800-53 לארגונים ממשלתיים וצבאיים. בתקנים אלו ניתן דגש רב להגנת הפרטיות, שמירת מידע עסקי, שמירת תכתובות מכל סוג, הגנה על נכסי המידע ושמירה על שלמות ואמינות המידע הארגוני והעסקי.

 

כדי להגיע לקבלת החלטה איזו מערכת הגנה יש צורך ליישם בארגון, השלב הראשון הוא ניתוח צרכים ואיומים. בלי קביעת "רמת הסיכון" ע"י דרגי ההנהלה הגבוהים ביותר, שממנה נגזרות תכנית האבטחה, מדיניות האבטחה והוצאות האבטחה, אין סיכוי בכלל להצליח ביישום תכנית אבטחה כלשהי. אבטחה אינה בניית טלאי על טלאי ותגובה לאיומים בסגנון "מכבי אש" – מכבים שריפה לאחר שהיא מתחילה ומתגלית לעין כל. זו בדיוק הדרך הלא נכונה ללכת בה. ההשקעה הראשונה והגדולה ביותר היא ניתוח, תכנון ושוב פעם תכנון.

השלב השני הוא ההחלטה אם לבצע את האבטחה In House או במיקור חוץ (Outsourcing ). ואם ב’מיקור חוץ’, אילו חלקים יוצאו ל’מיקור חוץ’, הכול או רק חלקים ממערכות האבטחה. היתרונות של מיקור חוץ ברורים, כי מדובר בחברות שזה תחום התמחותן הבלעדי, עם ניסיון רב שנים בתחום. אם כי, אין בכך כדי לתת ודאות וחסינות של 100% מפני כשלים ותקלות. חשוב להבין: אין בתחום האבטחה 100%. לכן, ההנהלה הבכירה ביותר, לרבות מועצת המנהלים, צריכה להחליט על "רמת הסיכון". קביעה זו צריכה להבחן לפחות אחת לחצי שנה מחדש (ובכל מקרה לא פחות מאחת לשנה), ובהתאם לכך להקצות את המשאבים הנדרשים לרמת האבטחה שנקבעה.

 

האם יש עצות ראשוניות חשובות במסגרת המגמות החדשות באבטחה בעסקים ובארגונים?

בהחלט. יש כמה כללים ברורים שמומלצים, לאור ניסיון שהצטבר בשוק בשנים האחרונות:

·להחליף את החיווט הפנימי (רמת ה"קמפוס" ואם ניתן גם לשלוחות מרוחקות) בחיווט של סיבים אופטיים (ככל שניתן), ובשילוב של רשת אתרנט (במקום שניתן). מערכות סיבים אופטיים מוגנות יותר, מאובטחות הרבה יותר מכל מערכת חיווט אחרת, עם רמת שרידות ואמינות גבוהים ביותר. מערכות חוטי הנחושת הוותיקות והלא מאובטחות מקומן בפח המחזור, או רצוי למכור אותן לסוחרי נחושת...

· בעבר היה ויכוח די סוער בקרב המומחים מה יותר טוב לאבטחת התקשורת ב- WAN הארגוני: MPLS (לרבות VPLS ), IP-Sec או SSL . היום התשובה מאוד ברורה: שילוב (ככל שניתן) של כל 3 הטכנולוגיות גם יחד. דוגמה בולטת: עובד שניגש מביתו או ממקום אחר ברחבי העולם לרשת הארגונית לצורך "עבודה מרחוק", יקבל קישור עם כל 3 הטכנולוגיות הללו במשולב, גם יחד.

השוואת התכונות של שלוש שיטות אלו מובאת בטבלה הבאה:

·תעבורת SIP-Trunking בין כל שלוחות הארגון לא רק זולה יותר מחיבורי PRI , היא הרבה יותר מאובטחת (למעשה, תעבורת PRI בכלל לא מאובטחת). כל מעבר של מידע, קול, וידיאו או תקשורת אחרת ב- PSTN חושפת את מה שעובר בה בצורה הכי קלה לחדירה.

·וירטואליזציה, SOA ו"מחשוב עננים" קשים ליישום ולניהול, וסובלים מבעיות אבטחה. יש לפתור את בעיות האבטחה בטרם קופצים ל"מים סוערים".


·
חובה שמערכות הגיבוי והתקשורת מחוות השרתים ואליהן תיבנינה בשרידות מרבית. במרבית המקרים נדרשת כפילות מערכות. רבים שוכחים, שגם מערכות הטלפוניה (ובמיוחד IPT ) דורשות מערכות הגנה, לא פחות ממערכות ה- IT .


·
מערכות התקשורת End-to-End תוגנה במערכת NAC (Network Access Control ).


·
מערכות ה- Firewall צריכות להיות מהדור החדש: NGFW (Next Generation FW ). אלו מערכות, שיודעות להתמודד עם יישומים חדשים (כמו Web 2.0 SOA , IPT , מחשוב עננים, וכיו"ב), ועם מוצרי קצה חדשים (ממכשירי סלולר ועד Disk-On-Key ). מדובר במערכות אינטליגנטיות, שיודעות ללמוד את הרשת ומרכיביה ולהגיב מהר. פתרון NGFW יכלול בתוכו גם רכיב SWG (Secure Web Gateway ) בגלל הצורך ב"עבודה מרחוק" ובמתן קישור מאובטח לאינטרנט.


·
אבטחת הזיהוי והקישור לכל ציודי הקצה מכל סוג (לרבות טלפוני IP , מצלמות IP וכיו"ב) חייבת לענות על התקן החדש 802.1X IEEE .


·
יש צורך בהטמעת מערכות ניטור, שליטה ובקרה ברמה גבוהה עם תאימות לרמות הדיווח וקבלת ההחלטות, בהתאם למדיניות הארגונית.


·
ביצוע מבדקי חדירה לפחות פעמיים בשנה ע"י חברה המתמחה במבדקי חדירה, ורצוי לא אותה חברה שסיפקה את מערכות האבטחה. 


·
ביצוע תרגולי אבטחה והתמודדות עם כשלים עם כל העובדים והמערכות, לפחות אחת לשנה (רצוי פעמיים בשנה).


·
רכישת רישיונות למוצרי אבטחה (כמו גם מוצרי תוכנה אחרים) עוברת כיום למודל של SaaS (Software As A Services ). מודל זה מצמצם עלויות של הרישיונות ומוצע לנהל מו"מ מאוד קשוח בתחום זה.


·
רצוי ומומלץ לבחור פתרונות אבטחה שלמים, מחברה שיש לה פתרונות שלמים, ועד כמה שניתן, תקניים, כדי לא להיתקל בתופעות של "מגדל בבל" בתחום האבטחה ובחוסר יכולת להחליף ספק או ציוד ברשת במהלך העבודה.

להלן "ריבוע הקסם" של חברת המחקר הגדולה בעולם – גרטנר לתחום ה- Firewalls הארגוני:

 

סיכום

אבטחת הרשת הפכה למקצוע מורכב עם רמת פתרונות שלא הכרנו עד היום. אין מיתון בתחום האבטחה, ואין הקלות ברגולציה על העסקים והארגונים, להיפך, האיומים עולים ומתרבים והרגולציה הופכת ליותר חזקה ותובענית.

אנו עומדים לשירותכם לביצוע ייעוץ בנושא. לחץ כאן כדי ליצור קשר, ותתחיל להתכונן לעלות כיתה בתחום האבטחה בארגון.

כותב המאמר : מר מיכאל פנחס

 

לקוחות
דלק
אלקו
טמפו
בנק אוצר החייל
יהודה
פיתוח קיסריה
בריאות כללית
משרד המשפטים
רשות שדות התעופה
החברה לאוטומציה
מכבי
החברה לדרכים בישארל
מנהל המים
שקם אלקטריק
הכנסת
מנהל מקרקעי ישראל
הסוכנות
וולטיר
משרד החינוך
חדש באגניקס
מעוניינים לחסוך בהוצאות התקשורת?! אגינקס תבצע בקרה ובדיקה פרטנית של הוצאות התקשורת שלכם ותספק מנוף לחיסכון ולהתייעלות!  
נמאס לכם לריב עם ספקים בנוגע לחיוביים שגויים?! אגינקס תאתר עבורכם טעויות חיוב בחשבונות ספקים ותבצע משא ומתן מול הספק עד לקבלת הזיכויים רטרואקטיבית!
מתכוננים לעבור למבנה משרדי חדש? אגינקס תלווה אתכם משלב הייעוץ ועד להקמת מערכות התקשורת במבנה החדש 
אגינקס מאחלת לעובדיה וללקוחותיה שנה טובה ומוצלחת!
מחפשים עובדים בהייטק?! אגינקס תבצע את תהליך הגיוס האופטימלי עבורך!
עודכנו משרות חדשות בדף משרות
מחפש משרה בתחום ההייטק?! אל תתפשר! תן למחלקת חטיבת היועצים של אגינקס לחפש את המשרה המושלמת עבורך!
דרושים בהייטק - מאגר למשרות הכי עדכניות ונחשקות בתחום ההייטק! רק באגינקס!
מחלקת בקרת עלויות באגינקס הצליחה לבצע שינוי מהותי בעלויות בקרב הארגונים השונים, בחיסכון של מיליוני שקלים!!
חדש באגינקס!! ניתן לשלוח קורות חיים למשרות באתר!!
יצירת קשר
מלאו את הפרטים ונחזור אליכם בהקדם
שם מלא
דוא"ל
טלפון
Made by Beatman Ltd.