עמיחי שולמן, אימפרבה: "בניגוד לתפיסה המקובלת תקיפות APT ניתנות לביצוע באמצעים פשוטים, ומצריכות מעבר להגנה מבוססת ניטור של הפעילות ברשת"

"הנזקים הפוטנציאליים לארגון של תקיפות מסוג APT, ראשי תיבות של Advanced Persistent Threat, יכולים להיות עצומים ולהוביל לזליגת המידע הרגיש ביותר של הארגון לידיהם של גורמים עוינים, בין אם מדובר במתחרים או גופים אחרים שמטרתם להזיק לארגון. הנזק הרב שגרמו תקיפות מסוג זה לארגונים גדולים הובילה לתפיסה המקובלת בקהילת אבטחת המידע, שמדובר בתקיפות מתוחכמות במיוחד, ושמאחוריהן בהכרח עומדים גופים גדולים כדוגמת מדינות, ארגוני טרור או ארגוני פשיעה גדולים. תפיסה זו אומנם מקובלת בתחום, אולם אין לה יותר אחיזה במציאות הטכנולוגית הנוכחית. מעבדות המחקר שלנו גילו שתקיפות APT יכולות לצאת לפועל תוך שימוש באמצעים פשוטים ובטכניקות פשוטות ", כך אמר עמיחי שולמן, CTO בחברת אבטחת המידע אימפרבה (Imperva), בראיון לרגל השקתה של גרסא 10.5 של פלטפורמת הגנת המידע שלה SecureSphere.

אימפרבה הוקמה בשנת 2002, היא פעילה בתחום ההגנה על מרכזי המידע הארגוניים, ומתמחה בפתרונות המיועדים להגנה על בסיס הנתונים מפני חדירות לא מורשות ולהגנה על אפליקציות מבוססות ווב. פתרונות החברה נוגעים בין היתר בחסימת "תוקפים פנימיים" (Insider Threat), עובדים בתוך הארגון שמסיבות שונות פועלים לפגיעה במידע או להוצאתו מחוץ לארגון, או תוקפים חיצוניים שהצליחו להשתלט על תחנות קצה על מנת להוציא מידע רגיש מחוץ לארגון. לחברה מעל ל-3,000 לקוחות ביותר מ-75 מדינות, שעושים שימוש בפלטפורמת פתרונות הגנת המידע שפיתחה.

עמיחי, מה אתם מזהים כאתגרים המרכזיים בתחום הגנת המידע?
אחד האתגרים המרכזיים אותו אנו מזהים בתחום הגנת המידע כיום נוגע בתסכול ההולך וגדל של מנהלי אבטחת מידע, שמצד אחד מצטיידים בפתרונות שנחשבים המובילים בתחומם, אך מצד שני עדיין חשים את הפער המתרחב שבין האיום ובין הפתרון. אם ניקח לדוגמא את התחום של "התוקף הפנימי", בין אם מתוך הארגון או חיצוני שהשתלט על תחנות קצה או יישויות, הדרך המקובלת להילחם בתופעה זו היא על ידי ייצור של מנגנון הרשאות חזק בתוך הארגון. אולם מנגנון ההרשאות הטוב ביותר יקרוס כאשר באמצעים פשוטים יחסית יכול תוקף להשתלט על הרשאות של גורמים אחרים בארגון, ולהשתמש בהן לצורך הוצאת מידע מחוץ לארגון, או כדי לפגוע בתשתיות המידע של הארגון. כך לדוגמא, תוקף חיצוני יכול להשתלט על מכשיר הקצה של גורם שאינו קריטי בארגון, ודרכו בתוך פרק זמן קצר של יום או יומיים לאסוף מספיק הרשאות של משתמשים בתוך הארגון, כך שיספקו לו את הגישה לכול המידע בארגון.

מה הפתרון שאתם מציעים לאיום של "התוקף הפנימי"?

בבסיס של הפתרון עומדת התפיסה אותה פיתחנו ואשר מדברת על ניטור הפעילויות בארגון כדי לאתר בזמן אמת את ניסיון התקיפה. כך לדוגמא, לאתר את המשתמש שמוריד בצורה חריגה קבצים או מידע מהמאגרים הארגוניים, או תחנת קצה שפועלת דרך מספר רב של חשבונות, לאתר פעילות מול שרתי קבצים בשעות לא שגרתיות, וכולי. מדובר ביכולות פרואקטיביות שמסתכלות על המשתמשים לא רק בהיבט של יש או אין הרשאה, אלא בהיבט רחב יותר של ניטור פרואקטיבי של מכלול הפעילויות ברשת על ידי המשתמשים.
יכולות אלו ונוספות שולבו בגרסא 10.5 החדשה של פלטפורמת הגנת המידע שלנו SecureSphere. בין היכולות הנוספות שהוספנו אפשר גם לציין תכונות להגנת הפורטל הארגוני SharePoint, או תכונת Data Owner Portal המאפשרת למשתמש העסקי יכולת להגן על מידע שהוא מגדיר כקריטי לארגון.
לפרטים נוספים: [email protected]