תוכן שיווקי
בעקבות כנס אינפוסק

קורונה והמשך עבודה מהבית בצורה מאובטחת

משבר הקורונה הולך ומתעצם, ועלול להגביר את הצורך בעבודה מהבית ● איך עושים זאת נכון, מבחינת אבטחה והמשכיות עסקית? ומה המחיר שעל הארגון לשלם?

05/03/2020 17:10
עידן אבגי, ה-CTO של פורטק תוכנה. צילום: דודו גינת

כתב: עידן אבגי, ה-CTO של פורטק תוכנה.

מי חשב שנפתח את 2020 במחשבה על המשכיות עסקית? אך המציאות עולה לפעמים על כל דמיון והנה אנחנו מוצאים את עצמנו בפני צורך מידי להמשיך ולספק שירות, להוסיף ולהפעיל את הארגון, ולספק לעובדים מהבית את היכולת לגשת למערכת הארגון מרחוק בצורה קלה ופשוטה אך מאובטחת.

כל ארגון אשר הכין תכנית BCP (ר"ת Business continuity planning) חשב על הצורך להמשיך לעבוד מרחוק על מערכות הארגון, אך חשיפה לפגיעות ברמת אבטחת מידע במקרה של עבודה מרחוק, לרבות מהבית, עלולה להיות קריטית. מהו המחיר אותו אנחנו מוכנים לשלם עבור המשכיות עסקית? מהי רמת החשיפה? ומהי רמת היעילות של עבודה מרחוק? כל ארגון צריך לחשוב ולתת את הדעת על כך, על פי שיקול דעתו.

איך נהוג לחבר עובדים מרחוק לארגון?

ארגונים רבים ביססו את פתרון ההמשכיות העסקית על טכנולוגיית ה-VPN המוכרת. הבעיה המרכזית היא שבדרך כלל, חיבור תחנת עבודה של עובד מהבית (מחשב אישי/ביתי) לא עומדת במדיניות אבטחת המידע הארגונית, שכן חלק גדול מהארגונים לא מעוניינים לפתוח את הרשת הפנים ארגונית לעולם החיצוני, ולהתיר גישה לאפליקציות קריטיות מרכזיות של הארגון.

לצורך חיבור העובדים מרחוק ועל מנת לממש תהליך הזדהות חזקה ומאובטחת, מממש הארגון לרוב פתרונות משלימים, כגון OTP והוספת שרתי טרמינל. זאת, על מנת למנוע גישה ישירה למשאבי הארגון ובמטרה לייצר חציצה בין המשתמשים לסביבת ה-IT .

החשיפה

חסרונה העיקרי של תצורת עבודה זו הינה חשיפה החוצה של רשת הארגון ובעייתיות בהפרדת סגמנטים.

בתקופה האחרונה התרחשו מספר לא מועט של אירועי אבטחת מידע שניצלו פגיעות בעולם ה-VPN, בשרתי הטרמינל ואפילו בפתרונות חיבור מרחוק של יצרנים שונים. החשיפה המרכזית הנוכחית נובעת מיצירת תעבורת רשת ישירה בין העולם החיצוני לעולם הפנימי.

VPN הינו תווך מוצפן וישיר לארגון, אך הוא פתוח לשני הכיוונים ועל כן יוצר חשיפה ומועד לפגיעות:

  • חיבור מסוג זה מקשה מאוד על הארגון לאכוף מדיניות אבטחה בתוך התווך עצמו.
  • המשתמשים מחוברים ישירות לרשת הארגונית – דבר המאפשר לרוגלה שנמצאת על המחשב האישי/ביתי של המשתמש לחדור דרכו לארגון.
  • רוב החיבורים מבוססי ה-VPN אינם מספקים הקלטה וניטור בזמן אמת של החיבור.
  • ה-VPN מעמיס על הפיירוול הארגוני, ומצריך הגדרות והתעסקות שוטפת. טעות אנוש יכולה לסכן את הארגון.
  • על מנת לנטר ולמנוע מהמתחבר לנצל לרעה את החיבור לארגון, מיישם הארגון לרוב כלים רבים נוספים, אשר מכבידים על קלות השימוש של משתמש הקצה ועל התפעול השוטף של אנשי מערכות המידע.

אלה הן רק חלק מבעיות האבטחה והתפעול המרכזיות, ועדיין לא נגענו בנושא העלויות הכספיות הכרוכות ביישום כלים אלה, ובעלויות התקורה של כוח האדם לארגון.

איך עושים זאת נכון?

פתרון ה-PRA (ר"ת Privileged Remote Access) של Bomgar, הידועה גם כ-BeyondTrust, מבוסס על טכנולוגיה ייחודית לחיבור ושליטה מרחוק של החברה, המספק יכולת גישה מאובטחת למשאבי הארגון בצורה הבטוחה ביותר בעולם באמצעות שבירת והפרדת ערוצי תקשורת. הפתרון כולל ניטור ומעקב אחר העובד בכל שלבי תהליך ההתחברות: החל מבקשת הגישה על ידי שליחת בקשה לגורם המאשר, הגבלת העובד לגישה ממוקדת לשרתים ומערכות הארגון ושליטה בפעולות המשתמש עד לרמה אפליקטיבית.

פתרון ה-PRA מכיל מספר רכיבים ומאפשר עבודה מרחוק בצורה מאובטחת, כגון: הזדהות כפולה וחזקה, שליטה מלאה בגישה למשאבי הארגון (זמני התחברות, סוג ההתחברות ושליטה ברמה אפליקטיבית), אכיפת מדיניות מובנת לחיבור מרחוק, היכולת להקליט, לנטר ולנתק את המשתמש בכל זמן החיבור, יכולת שליטה בהעברת קבצים (במידת הצורך) בצורה מוצפנת וכמובן, התממשקות המערכת למרכז ה-SOC של הארגון.

הפתרון מבוסס על שרת וירטואלי שנמצא באזור מפורז (DMZ) ומאפשר חיבור בשני ערוצי תקשורת נפרדים, שונים ומוצפנים בפרוטוקול TLS AES256, וכן חיבור מאובטח ולא ישיר לארגון.

אנחנו, בפורטק, משווקים בישראל החל מ-2006 את פתרונות השליטה מרחוק של Bomgar ומיישמים אותם בעשרות ארגונים פיננסיים, ממשלתיים וביטחוניים במשק הישראלי. לסיכום, פתרון ה-PRA של BeyondTrust יאפשר לך, כארגון, להמשיך לעבוד מכל מקום בעולם ובכל זמן בצורה המאובטחת ביותר בעולם.

אירועים קרובים