עקרונות יסוד לאבטחת המידע הארגוני

עובדה ידועה היא, כי המידע ומערכות המיחשוב בארגונים גדולים – רובם ככולם – נמצאים תחת מתקפה מתמדת. המצב אף חמור יותר לאור מתקפות פנים-ארגוניות. לכך יש להוסיף את המורכבות של הארגונים בני-ימינו, את הדרישה לשיתוף מידע עם לקוחות ושותפים, את הצורך בפריסה מהירה, גמישה ויעילה ואת הקצב המהיר של השינויים בכל החזיתות. התוצאה היא, שההגנה על המידע בארגון הופכת לאתגר קשה במיוחד.

על מנת להגן על נכסי המידע וה-IT החשובים, יש להכיר במספר מרכיבים של הבעיה:

1.    ישנן פרצות הטבועות במערכות השונות, ולאור התכנון החכם והקהילתי של המתקפות, קשה מאוד להגן על כל הפרצות בטלאים הנכונים בזמן הנכון – בעיה שמקבלת משנה תוקף לאור הקושי לשלוט בריבוי התצורות והמערכות בסביבות מיחשוב גדולות. מהסיבות הללו, עומדות לרשות התוקפים מספר דרכי חדירה לארגון.

2.    מרבית הארגונים, במגזר הפרטי והציבורי גם יחד, מחזיקים מידע בעל ערך גבוה עבור גופים מתחרים. ככל שהמידע בעל ערך גבוה יותר, כך המתחרים עשויים להשקיע מאמצים רבים יותר באיתור נקודות חולשה שיאפשרו להם לשים את ידם עליו.

3.    ארגונים שמיישמים מערך IT בעל רמת תחכום גבוהה, אינם מנהלים במרבית המקרים מסגרת ניהול סיכונים מפורטת אשר מזהה את נכסי המידע וה-IT המרכזיים, מגדירה את רמת ניהול הסיכונים של כל נכס, מתעדפת וממפה אותם. מסגרת כזו מאפשרת ליצור זיקה ישירה בין ניהול הסיכונים העסקי – הדבר שבאמת מעניין את המנהלים – לבין תהליכים תפעוליים וטכניים שמאבטחים את הארגון.

4.    אלו שמשתמשים במערכות השונות על מנת להגיע למידע, הם אחרי הכל אנשים – אנשים שעושים טעויות בתום לב (ולפעמים פועלים בזדון), באופן שמסכן את המערכות ואת אמינות הנתונים. על כן, יש לנטר את כל הפעולות של כל המשתמשים ברשת, הן בעבר והן בהווה.

בסופו של דבר, ישנה משוואה בסיסית וכואבת: אלו שמגנים על המערכות, נדרשים לפקח, לבחון ולחסום את כל דרכי החדירה האפשריות, ולפעול בערוצים רבים במקביל. עם זאת, התוקף נדרש לאתר רק דרך או נקודת חולשה אחת על מנת לחדור לארגון.

התגובה המעשית היחידה שתקפה מול מרכיבי הבעיה השונים, הינה לאמץ גישה מפוכחת לניהול סיכונים – ניהול סיכונים ואיומים ברמה הארגונית (ETRM, ר"ת Enterprise Threat and Risk Management). גישת ה-ETRM מאפשרת "לראות" מי נמצא ברשת, מה מעשיו, והאם מעשים אלו אינם מסוכנים או שמא הם סותרים את המדיניות הארגונית. נכון, לא ניתן להבטיח הגנה הרמטית בארגון שמחובר לעולם, אבל אפשר להשיג אפקטיביות גבוהה מאוד של ה-ETRM אם יוצרים סביבת אבטחה מלאה אשר כוללת מספר רכיבים:

1.    מודל ניהול סיכונים שמזהה את הדאגות העסקיות העיקריות של הארגון, בין אם מדובר בארגון הפועל במגזר הפרטי ובין אם במגזר הציבורי. זיהוי היעדים העסקיים העיקריים של הארגון ופריטי המידע הקריטיים להצלחתו. תיעדוף יחסי של יעדי המידע ושל האופן בו הם תומכים בלקוחות או בפעילויות עסקיות. הגדרת דרכי פעולה ותהליכים תפעוליים המשקפים את התיעדוף העסקי ומראים כיצד האבטחה הופך מגורם הוצאה שיעילותו אינה ברורה, לגורם מאפשר של הפעילות העסקית.

2.    הבנה של האיומים, הבנת האופן בו בנויות המתקפות והאופן בו מרכיבי המתקפה השונים משתלבים ליצירת הנזק. קביעת סוגי החיישנים הנדרשים לזיהוי מוקדם של המתקפות, האופן הטוב ביותר לשילוב שלהם ברשת והדרכים לאיסוף, אחסון והצלבה של הנתונים הנאספים – כך שתתקבל תמונת מצב מדויקת בזמן אמת. בליבת התהליך צריך לפעול מנוע קורלציה חזק, שמסוגל לקשר מיליוני אירועים (ואף מאות מיליוני אירועים) לכדי תמונה מרכזית וקוהרנטית של ניהול הסיכונים ארגון. "מתקפות עומק" רבות מתגבשות במהלך מספר ימים או שבועות, דבר שמשאיר חלון זמן נרחב מספיק לקשר בין הנתונים שנאספים על ידי החיישנים השונים ו-"לראות" את המתקפה המתגבשת.

3.    ניטור האנשים בארגון. משתמשים בעלי זכויות יתר נחשבים כמקור הסיכון האחיד הגדול ביותר בארגונים. מחקרים אחרונים מלמדים, כי כ-65% מהפגיעות ברמת האבטחה נובעות מניצול לרעה של מערכת ניהול הזהויות ושל מערכת ניהול הבקרה. היכולת לבחון את המשתמשים ואת ההרשאות שלהם הינה המפתח לא רק לאיתור גורמים חיצוניים שחודרים לארגון – אלא גם, ובעיקר, לחשיפת פעולותיו של גורם פנימי, שפועל בזדון או בשגגה, אשר יכול לגרום לנזק רב על אף שעל פניו הוא נראה כמשתמש תמים. השילוב בין תמונת המצב ברשת הארגונית לבין ניטור של פעולות המשתמשים השונים ושל ההרשאות שלהם, מרכיב את הסיפור האמיתי של רמת האבטחה ותקינות המערכות בארגון.

4.    לבסוף, קישור אמצעי הניטור ובקרת התהליכים המרכיבים את מערך האבטחה למסגרת הניהול והניהול של מערך ה-IT הארגוני. אינטגרציה בין ניטור תפעול הרשת (NOC) לבין מרכז תפעול האבטחה (SOC), מספק תובנות חשובות אודות הכשלים, הסיבות להם והשפעתם על העמידה ביעדים העסקיים – בין אם מדובר בבעיות בביצועי הרשת, בכשל אבטחתי או בחדירה יזומה מבחוץ.

באמצעים אלו, הארגון יכול להצטייד בהגנה חזקה, למנוע פגיעה בנכסי מידע חשובים, לחסום מתקפות פנימיות, לחשוף הונאות ולהבטיח את המשך החתירה להשגת המטרות והיעדים העומדים מול עיני הארגון.

הכותב הוא CTO בחטיבת אבטחת המידע (ESP) של HP