אופיר זילביגר, SECOZ: "עולמות אבטחת המידע וניהול הסיכונים מתמזגים"

"עולמות אבטחת המידע וניהול הסיכונים מתאחדים, ונדרש לנהל אותם יחדיו. על מנהלי האבטחה לסייע לדרג הניהולי להבין את מלוא רוחב הסיכונים ולספק להם את הדרך לנהל אותם בצורה יעילה ואפקטיבית", כך אמר אופיר זילביגר, מנכ"ל SECOZ.

זילביגר דיבר בפתח כנס InfoSec2011 – הוועידה העשירית לניהול סיכוני מידע. הכנס נערך היום (ה') במרכז הכנסים אבניו שבקריית שדה התעופה. לכנס, בהפקת אנשים ומחשבים, הגיעו יותר מ-1,400 מקצועני אבטחת מידע, והנחה אותו יהודה קונפורטס – העורך הראשי של הקבוצה.

לדברי זילביגר, "שני הנושאים הם קרובים ומתקרבים, והתעשיה מתיישרת בצורה זו. אבטחת המידע כבר לא עומדת לכשעצמה, יש גם צורך בניהול סיכוני מידע, לרבות המשכיות עסקית. נדרש ניהול מאוחד של ההגנה על המידע, בשל חשיבותו להיבטים העסקיים של הארגונים".

זילביגר הצביע על הבעייתיות הקיימת בכך שבארגונים יש כמה גורמים המטפלים במידע ובאיומים הניצבים מולו: "אנשי אבטחת המידע מביטים על איומי האבטחה, ואילו אנשי ההמשכיות העסקית מטפלים במידע בהקשר אחר. לצידם נמצאים אנשי הבקרות. זה בעייתי יותר ממה שזה נשמע. הגופים השונים בארגון עושים מיפויים שונים, מכנים את אותם תהליכים בשמות שונים, מדברים עליהם בשפות סיכון שונות, ממפים אותם באופן שונה. נדרש ליצור מאגר נתונים אחד ואחוד, מסגרת אחידה לניהול הסיכונים, להערכה שלהם, לניתוח ותעדוף שלהם".

צילום ועריכת וידיאו: גיא רז

זילביגר סיכם בציינו, כי "בדרך זו תתקבלנה תועלות רבות: יהיה שיתוף של מידע אודות הסיכונים שייעשה בשפה אחידה וברורה לכל, תתקבל תמונה אחידה של הסיכון, וכך, כל הגורמים יוכלו לטפל בו במשותף, לצד ההנהלה שתוכל לתעדף אותם בצורה מושכלת. ניהול פרואקטיבי שכזה ייעל את תהליכי הביקורת השונים, ויביא לחסכון בזמן המבוקרים, לצד חיסכון בעלות ניהול הסיכון".

פסקל אוטיקר, מנהל תחום ניהול וזהויות והמשכיות עסקית לאזור EMEA בנובל (Novell), ציין כי החברה מיוצגת בישראל על ידי NessPRO – חטיבת המוצרים של נס טכנולוגיות. לדבריו, המשימה בפניה ניצבים ארגוני ה-IT היא לאפשר למשתמשים לקבל שירותים ויישומים באופן מאובטח וזמין בכל עת, על גבי כל רכיב. זאת, תוך התמודדות עם היבטי וירטואליזציה ומיחשוב ענן. "המעבר לסיבות עבודה אלה לא יהיה יעיל וחסכוני", אמר, "אם לא ישולבו בהן פתרונות אבטחת מידע. כלל הסביבות – פיסית, וירטואלית ומיחשוב ענן צריכות להיות מכוסות על ידי מעטפת אבטחה אחת. המטרה היא הפחתת ההוצאות התפעוליות וצמצום הסיכונים ומניעתם, על גבי כל אחת מהפלטפורמות".

ארגונים, אמר אוטיקר, "כבר אינם חיים במבצרים כבעבר, בשל הפתיחות והחדירה של האינטרנט. העולם השתנה, והוא כולל מיחשוב ענן, שימוש של עובדים מרוחקים ברכיבים ניידים". לדבריו, תפיסת החברה גורסת שיש להטמיע את פתרונות אבטחת המידע במשולב במערכות ה-IT. אלה, ציין, כוללים פתרונות בעולמות ההזדהות וכן בעולמות ניטור הגישה והבקרה על הגישה וההזדהות. אוטיקר הציג את מודל החברה לתחום ניהול הזהויות וההרשאות גישה, הכולל ארבע שכבות: "הראשונה, מי עושה מה ואיך – ניהול זהויות ומדיניות; השניה, מי יכול או לא לעשות – גישה וזיהוי; השלישית, מי עשה מה מתי – הלימה לתקנים ולרגולציות; הרביעית, מי עושה מה ולמי מותר מה לעשות – אבטחת מידע". אוטיקר סיים בהציגו את פתרונות נובל לתחומים אלה.

קובי פרידמן, סגן נשיא קומיטרי (Comitari), אמר כי החברה נוסדה לפני שנתיים. פתרון החברה, ציין, מגן על המשתמשים הארגוניים מפני שלל איומים ומתקפות חדשות בסביבת הווב, ביניהם פישינג, גניבת קליקים, גניבת קבצים ואיומים נפוצים נוספים העושים שימוש בגניבת זהות המשתמשים.

פתרון אבטחת הגלישה של החברה, אמר פרידמן, מגן על המשתמש מתוך הדפדפן בזמן הגלישה ברשתות ווב. "ההגנה המקיפה על פעילות הגלישה מאפשרת לגופים המטפלים במידע אישי ורגיש, להגן על עובדיהם ועל המידע שלהם בזמן אמת", ציין, "הפתרון משלב מנוע למניעת פישינג שאינו מסתמך על רשימות שחורות כמקובל עד כה, אלא על אלגוריתם חדשני, המגן מפני התקפות יום אפס ומזהה ניסיונות גניבת מידע. המערכות מצוידות בכלי דיווח המאפשר לקבל תמונת מצב והתראות על התרחשות מתקפות". פרידמן סיכם בציינו, כי "הפתרון מספק מענה לצורך הולך וגובר כיום של לחימה בהונאות וסכנות אליהם נחשפים משתמשי מחשב בזמן הגלישה באינטרנט".

עודד צור, מנהל תחום אבטחת מידע ב-CA ישראל, פתח את דבריו בציון מקרים בהם לארגונים נגרמו נזקים כספיים משמעותיים בשל גניבת זהויות ושימוש לקוי בהרשאות. הוא אמר, כי אחד מעולמות האבטחה החשובים הוא תחום ניהול זהויות והרשאות.

"למשתמש יש זהות, ובשל כך הוא בעל גישה למערכות המידע, ונדרש שיהיה מישהו שיבקר וינהל את פעילותו במערכות המידע הארגוניות", אמר. הוא קרא "ליצור מחזור חיים של המשתמש במערכות. נדרש לשלוט ולדעת מי המשתמש ומה מותר לו לעשות, ולהצליב זאת מול מה שעשה בפועל". לדברי צור, "יש להרחיב את ההזדהות ולעשותה חזקה יותר. כל היבטי ההרשאות וההזדהות נושקים לאלמנטים שעלולים להוות סיכון אבטחה. ניהול ההרשאות וההזדהות מספק שקיפות ושליטה".

צור ציין, כי המעבר למיחשוב ענן הביא לדחיפה חזקה של טכנולוגיות הווירטואליזציה והאוטומציה, אלא שבשל כך, "המשתמש הפך להיות גורם מסוכן ארגונית, כי הוא יכול 'להזיז' שרתים ולהחזיר מידע אחורה בזמן, ולעשות זאת בצורה קלה".

לדברי צור, "הווירטואליזציה שברה כל מיני גבולות, ועל אנשי אבטחת המידע להקימם מחדש. בעולם הווירטואלי ניתן לגנוב זהויות בקבלות בלתי נסבלת". צור סיים את דבריו בהציגו את השכבות השונות בניהול הזהויות על פי CA, בין השאר, "היכולת לספק חבילת הזדהות הנותנת ציון לסיכונים על אותה טרנזקציה, אף אם המשתמש הזדהה כדין, תוך התייחסות למאפיינים סביבתיים אחרים כמו מיקום גיאוגרפי, שימוש ברכיב נייד לא מוכר ועוד".

משה זריהן, סמנכ"ל טכנולוגיות בטרסטנט – חברה המשמשת כאינטגרטור של סימנטק (Symantec), דיבר על הצורך בהקשחות ובבקרות, וציין כי החברה פועלת בתחום מזה יותר מעשור שנים. "הקשחות של מערכות הפעלה ומערכות וירטואליות מהוות אתגר לא פשוט", אמר זריהן, "אלא שהוא ניתן למימוש".

זריהן ציטט סקרים שנערכו מול מנמ"רים, מהם עולה שגם כיום, כבעבר, תחום אבטחת המידע עומד בראש סדר העדיפויות של המנמ"רים בארגונים בעולם. לצד אלה, אמר זריהן, "הסיכונים תמיד קיימים, והתקציבים לטיפול בהם לא גדלים באותו יחס. מבין שלל הבעיות, אחת המרכזיות שבהן היא ריבוי מערכות ההפעלה בארגונים".

זריהן הציג כמה טכניקות להקשחה: GPO, הקשחה מקומית, שימוש בסקריפט, שימוש בכלים חיצוניים. הוא הציג את הפתרון של סימנטק לתחום ההגנה על מערכות קריטיות, SCSP, המטפל בהקשחה של מערכות הפעלה, ואשר מבוסס על סטארט-אפ שענקית האבטחה רכשה לפני כמה שנים. המערכת, אמר זריהן, "מספקת יכולת לאכוף מדיניות ויכולת לנטר תהליכים עסקיים המתחוללים במערכות ההפעלה, ולספק בקרה טובה יותר. המערכת אחודה, ו-'מדברת' עם כל הפלטפורמות, לצד מעין SIEM, מרכז ניהול אירועי אבטחה שעליהם הוחלט לאכוף את המדיניות". הוא סיכם בציינו כי סימנטק מספקת פתרון נוסף, של בקרה על ההלימה לרגולציות, היכולת להשתלב עם מערכת ההקשחה.