משה בירנשטוק, HP: "קל להיות האקר מתחיל – צריך רק להיכנס לגוגל"

"קל כיום להיות האקר מתחיל. כל מה שצריך הוא להיכנס ל-Dork של גוגל (Google) ושם אפשר למצוא רשימות של מחרוזות שיכולות להוביל לשורה של אתרים פגיעים. לחלק מאותם אתרים לא יהיה קשה במיוחד לפרוץ", כך אמר משה בירנשטוק, מהנדס קדם מכירות בחטיבת התוכנה של HP.

בירנשטוק דיבר בכנס HP Protect 2013, שנערך באחרונה באולם האירועים סטוקו בתל אביב, בהפקת אנשים ומחשבים.

הוא הציג דוגמאות לביצוע פריצות באמצעות SQL Injection ו-Cross Site Scripting. לדבריו, "מדובר רק בשתי דוגמאות ויש עוד רשימה ארוכה מאוד של דרכים לפרוץ לאתר דרך יישומים". בירנשטוק אף הציג את מערכת HP Fortify ואמר שהיא "מערכת של פתרונות שמאפשרת לבחון את היישומים ואת המערכים, וכן לנהל אירועי אבטחה כמו ניסיון פריצה לאתר. המערכת מסוגלת לזהות את הפגימויות, באמצעות האותות שהיא מקבלת, וכן להתחיל את העבודה לתיקון הבעיה",

כמו כן, הוא ניצל את הבמה כדי להסביר כיצד צריך לשלב אבטחת יישומים בניהול מחזור החיים של הארגון. זאת מכיוון שאנחנו נמצאים בעולם בו הפריצות מבוצעות יחסית בקלות, אם משאירים פערים בתוכנה.

"הרעיון שלנו הוא לקחת את הכוח ואת היכולת לביצוע פריצה ולמקד אותם בכלים שלנו", ציין בירנשטוק. "למעשה, אנחנו מבצעים בדיקה של כל מסלולי הכניסה ליישום, תוך שמירה ותוך יכולת לקבוע איזו בדיקה לבצע בכל מסלול ומסלול. או אז יש סט של כלים מעמיקים יותר אותם ניתן להפעיל רק על האירועים שנמצאו בסריקה הקודמת. כשמזוהה אירוע אבטחה הוא נרשם, מה שמאפשר לבצע תהליך חסימה או טיפול ראשוני לפני שמספקים פתרון מלא, כדי למנוע אפשרות חדירה למערכת".

"האתגר: להבין מה קרה וכיצד להגיב"
דורי פישר, סמנכ"ל טכנולוגיות אבטחת מידע ב-!We, דיבר על תגובה לאירועים. "השאלה היא מתי אנחנו מגיבים?", אמר. "זה נכון לנו, הן כבני אדם והן כאלה שמרכזים את אבטחת המידע, בעולם האמיתי ובסביבה ממוחשבת. בלי ודאות אי אפשר להגיב ואי אפשר לעשות זאת היטב".

"האתגר הוא להבין מה קרה וכיצד להגיב", הוסיף. "אנחנו זקוקים למספר אינדיקציות בכדי לדעת מה קרה וחלק מהן מתקבלות בעזרת מעקב אחר השינויים שמרחשים במערכות השונות. באמצעות התאמה בין אירועים וכתיבת תרחישים שמשקפים את השינויים במערכות אנחנו יכולים לאתר אירועי אבטחת מידע מורכבים".

לפי פישר, הכיוון צריך להיות פתרון פשוט לשימוש ולדבריו, פתרון כזה מגיע אחרי שמתכוננים היטב. "ההכנה היא השלב הראשון בתגובה לאירועי אבטחת מידע ובמסגרתה ייאספו כל הנתונים מכל המשתנים שנזדקק להם בקבלת ההחלטה", ציין. "המטרה היא לבצע זאת באופן אוטומטי ככל שניתן". הוא פנה אל המשתתפים ואמר: "אם אתם יודעים לאילו נתונים אתם זקוקים כדי לקבל את ההחלטה, אספו אותם מראש, כדי שברגע האירוע הם יהיו זמינים. הרעיון הוא שהמערכת תהיה 'מורכבת' מבפנים ופשוטה מבחוץ, כך שהלוגיקה, המתודולוגיה והידע יבוצעו בתוך המערכת, ללא התערבות המפעיל, שהאחריות היחידה שלו תהיה להפעיל את הפתרון שנקבע, בהתאם לסוג האירוע".

"אי אפשר שחתול אחד ירדוף אחרי כל העכברים"
עופר שזף, מנהל מוצרי האבטחה הארגוניים ב-HP ישראל, דיבר על ניהול סיכונים. "רוב הבעיות הן דברים שלא סוגרים, אבל כולם יודעים שהבעיה האמיתית היא לקבוע היכן לשים את הכסף ומה לסגור. זהו, למעשה, ניהול סיכונים. יש הרבה עכברים, אבל אי אפשר שחתול אחד ירדוף אחרי כולם".

שזף הציג את Enterprise View, כלי נראות לסיכונים, ואמר ש-"הסיכונים קשורים למודל ה-IT העסקי. למה חשוב לדעת מה הקשרים בין המערכות? כי אנחנו לא מתעסקים במחשב בודד אלא בדברים שרלבנטיים לחלקים גדולים של הארגון, כמו רגולציות, וכל מה שרלבנטי עבור מערכת מסוימת רלבנטי גם עבור כל מה שנמצא מתחתיה. אנחנו רוצים להציף למעלה את הסיכון הזה, שלא עמדנו, לדוגמה, ברגולציה מסוימת בתת מערכת. זה הבסיס לניהול סיכונים והמידע הזה יופיע בדרך כלל במערכת שיש בה ניהול IT".

השורה הסופית, לפי שזף, היא הדיווח להנהלה. "בסופו של דבר, אנחנו רוצים הוא לקבל את תמונת הסיכום, כדי להראות למנהלים. כמובן שאנחנו צריכים לדעת מהם המדדים שקובעים את הציון של כל סיכון אפשרי, רמת הטלאים, רמת העמידה ברגולציות, רמת העדכונים וכדומה. איך מיישמים את זה? מתחילים מהסוף, מהצגת מפת הסיכונים למנהלים, כדי לקבוע היכן לשים את הכסף. את המפה קובעים על ידי זיהוי הסיכונים שאת התהליך לקביעתם מבצעים בסגנון של 'מה אם'. Enterprise View אמור לאבחן היכן לשים את הכסף".