"בכל הקשור לאיומים דרך הרשת – אנחנו מפסיקים לשחק חתול ועכבר עם התוקפים"
לרגל זכייתם בקטגוריית אבטחת מידע בפרס IT Awards, שוחחנו עם שי גוטמן, סמנכ"ל מערכות מידע ודיגיטל של O.P.S.I, הזכיין בישראל של UPS, דוד בנזנו, מנהל תשתיות ואבטחת מידע ב-O.P.S.I, וארז גולדשטיין, מנכ"ל אינטגריטי תוכנה.
על איזה פרויקט בעצם מדובר?
"ידוע לכל שהאינטרנט מהווה איום אבטחה משמעותי ביותר על ארגונים", אומר בנזנו. "עובד שגולש לאינטרנט מתוך הרשת הארגונית חושף את הארגון לאינספור סכנות כמו וירוסים, רוגלות, פישינג וכמובן הלהיט האחרון – מתקפות כופר".
"בעצם, הדפדפן של העובד הוא 'משטח נחיתה' מצוין לכל תוקף באשר הוא. ב-O.P.S.I כמובן ניסינו את כל השיטות המוכרות עד כה: אנטי-וירוס, סינון אתרי אינטרנט, FireWall וכו'. העניין הוא שהגנות אלה כבר ידועות לתוקפים ואינן מצליחות למנוע התקפות מסוג יום אפס (Zero Day). הפרויקט שאותו בחרנו ליישם היה בידוד האינטרנט מהארגון. במסגרת הפרויקט עשינו שני דברים:
● חסמנו יציאה החוצה לאינטרנט של עובדים בעודם מחוברים לרשת הארגונית.
● דאגנו לשמור להם על חוויית משתמש כמעט זהה – על ידי שימוש בדפדפן מרוחק וירטואלי שנפתח אוטומטית בזמן יציאה לאינטרנט החיצוני".
איך בעצם מיישמים פתרון כזה, והאם הוא באמת עובד?
"נתחיל מהסוף – זה עובד נקודה", מבהיר גולדשטיין. "הפתרון מבוסס על המוצר Crusoe Security פרי פיתוח שלנו בשנים האחרונות".
"הלקוחות הראשונים שלנו היו ארגונים מהמגזר הפיננסי שעליהם חלה רגולציה להפרדת סביבת האינטרנט (כדוגמת בנק הפועלים ומגדל ביטוח), אולם לאחרונה אנו עדים לגל של ביקושים גם מחברות תעשייה ושירותים שמכירות בצורך הדחוף לבודד את האינטרנט מהארגון. נכון להיום יש כבר עשרות חברות שמשתמשות בפתרון באופן אינטנסיבי, כאשר כל הפעילות האינטרנטית בארגונים אלה מתבצעת באמצעות הפתרון".
וכיצד זה עובד בפועל?
לדברי גולדשטיין, "העיקרון הוא פשוט – אנחנו מעבירים אוטומטית את ה-Session של הדפדפן מתוך הרשת הפנימית לביצוע על ידי דפדפן וירטואלי – במקרה של O.P.S.I, דפדפן מבוסס סיטריקס (Citrix) שנמצא מחוץ לרשת הארגונית (DMZ)".
"בעצם מי ש'גולש' זה שרת סיטריקס מרוחק, והמשתמש מקבל רק תמונות באמצעות פרוטוקול מאובטח (שנחשב הכי מאובטח ומעולם לא נפרץ). נציין כי הפתרון שלנו נתמך על ידי כל הפלטפורמות המובילות ביניהן סיטריקס, VMware ו-Microsoft RDP".
"אנו מטפלים לא רק בהפניית הלינקים האוטומטיים, אלא גם בכל מה שקשור להורדה והעלאה של קבצים באופן מאובטח, למנגנון הזדהות אחיד (Single Sign On), לשיפור ביצועי הגלישה וכמובן גם להפרדה ובידוד של אפליקציות אינטרנטיות נוספות כמו Skype for Business, Lync, אתרי מסחר וכדומה.
שי, בתור ה-CIO של הארגון – היכן אתה רואה את הערכים המוספים של הפתרון?
"אני חייב לומר בכנות שהייתי סקפטי אם אכן נצליח לבודד את האינטרנט שהינו כלי גישה ועבודה מרכזי בארגון שלנו. אני מאד שמח לאכול את הכובע במקרה הזה. לצד 100% אבטחת מידע אנחנו מצליחים לספק למשתמשים חוויה מצוינת. Crusoe Security, באמצעות אינטגריטי תוכנה שהינה ספק מוערך שלנו כבר שנים רבות, משקיעה רבות בשיפור מתמיד של המוצר כך שאנחנו נהנים מחווית לקוח מעולה".
"אוסיף ואומר על דברי ארז, שלא רק שהצלחנו לבודד את הסיכונים שמגיעים מרשת האינטרנט, אלא גם מנענו וחסמנו איומים שחדרו לתוך הארגון בדרכים אחרות (מייל או גורם פנימי) ואשר נזקקים לרשת האינטרנט על מנת להדליף חומרים מסווגים החוצה או לקבל קבצי הצפנה לצרכי כופר. בכך הכפלנו ואף שילשנו את הערכים המגיעים מהמערכת"!