האמת על סינון גלישה – ואיך יודעים שצריך שינוי?
כתב: ג'קי אנג'ל, מומחה אבטחת מידע ומנהל הטכנולוגיות של סייברקום (CYBERcom).
כמעט כל ארגון מיישם כיום מדיניות גלישה כלשהי. שיטות המימוש והתפעול השוטף שונות – החל ממדיניות של "הכול מותר לכולם", ועד למתן הרשאות מינימליות לאפליקציות ויעדים ספציפיים. ממתן הרשאות פרטניות ועד להרשאות לפי שיוך ארגוני. מאסור להוריד קבצים דרך מותר רק מסמכים (דבר מסוכן באותה המידה) ועד למעבר בהלבנה. מפתיחת תעבורה מוצפנת ועד להתעלמות מרוב התעבורה. מהגנה ראויה בתוך הארגון ועד להכול פתוח מחוצה לו.
השינויים של השנים האחרונות בעולם הסייבר והאיומים שינו את כללי המשחק. בחודשים האחרונים ראינו מתקפה על ספק שירותי אירוח מקומי, שגרמה לקוד עוין להגיע למספר רב של אתרים ישראליים קטנים ומשם להרצה בדפדפני המשתמשים.
בהקשר זה עולות כמה שאלות: האם ההגנה הקיימת בארגונכם הייתה מונעת מהקוד העוין להגיע למחשב בתוך הארגון? האם עובד שירות לקוחות שמותרת לו "גלישה רגילה בלבד" ורק ניגש לאתר של צימרים בצפון שנפרץ לפני שעה יהיה מוגן? האם עובדת סיסטם שמותרת לה הגישה להכול (חוק זמני לבדיקות שירשה מקודמה בתפקיד) תהיה מוגנת בזמן גישה לפורום תשתיות כשבאחת התגובות הוזרק קוד זדוני?
מערכות URL Filtering מסורתיות = מערכות סינון תוכן
חשוב להבין: מערכות URL Filtering מסורתיות הן מערכות סינון תוכן. הן לא מערכות אבטחה, וכך ראוי להתייחס אליהן כשבונים ארכיטקטורה של רשת מאובטחת.
שלא יהיה ספק, יש חשיבות רבה למערכת סינון גלישה בארגון שעוזרת, בין היתר, למניעת חשיפת עובדים לתוכן פוגעני, מיני והפרת זכויות יוצרים, מדיניות להתאמה לאוכלוסייה הדתית, צמצום תעבורה ולעתים גם ניתובה למערכות אבטחה נוספות. אך חייבים לשאול: אחרי כל ההשקעה, מה זה אומר מבחינת רמת האבטחה של הארגון? האם הארגון מוגן יותר? אילו סיכונים צמצמנו?
יש חמישה סימנים שבאמצעותם ניתן לדעת שפתרון האבטחה הקיים לא מתאים:
חברי הנהלה בכירה מוחרגים ולא שמורים כמו נכס קריטי – המשמעות היא שהמערכת לא מטויבת או לא מספקת חווית משתמש טובה.
המערכת לא פותחת תעבורה מוצפנת – תוצאה של Sizing לא נכון, בעיות ביצועים או הטמעה לא מוצלחת.
מערכת הקריאות מלאה בבקשות "פתיחת גישה לאתר" – מדיניות האכיפה לא תואמת למדיניות הארגונית ולאופי העבודה.
אין הגנת גלישה משרתים – המערכת לא מטויבת או שההטמעה הייתה חלקית.
המערכת מספקת הגנה למשתמשים רק בתוך הארגון – הפתרון לא מתאים לאופי הארגון.
ככל שהסעיפים מעלה נכונים לגבי ארגונכם, אמליץ על חשיבה מחדש לגבי אסטרטגיית ההגנה על גישה לאינטרנט.
באיזה פתרון כדאי לבחור?
יש כמה פתרונות מעולים בשוק, ויש גם כאלה שניתן ליישם ללא מערכת ייעודית. הכול תלוי באופי הארגון.
בכל מקרה, אמליץ להרחיק את הסיכון ממחשבי הקצה על ידי יישום גלישה מבודדת (Web Isolation) ומערכת סינון גלישה ייעודית, שתדע לפתוח תעבורה מוצפנת ולנתב תוכן מסוכן לבידוד. במצב זה, הדפדפן שמעבד את המידע שמגיע מהאינטרנט נמצא בסביבה מבודדת ולא במחשב המשתמש. ואם כבר מרחיקים את הסיכון, כדאי גם להרחיק את עלויות התחזוקה ולשאוף לשירות מנוהל בענן, שכן מערכות אלה דורשות משאבים משמעותיים ביחס לכמות המשתמשים.
אצלנו, בסייברקום, פרויקט של אבטחת גלישה מתחיל בלמידת המצב הקיים של הארגון, מצב האבטחה, אופי העבודה, המדיניות הקיימת מול היישום בפועל והצרכים הייחודיים של הארגון. לאחר מכן נאפיין יחד פתרון שיתאים בצורה המיטבית לרמת האבטחה הנדרשת של הארגון וליכולות הניהול השוטף של הצוות. וכמו כל פרויקט שלנו, נקודת המוצא היא Secured by Design.
צרו קשר עוד היום – נשמח לבחון את המצב הקיים ולהמליץ על תוכנית לשיפור רמת האבטחה בצורה היעילה ביותר.
לאתר החברה לחצו כאן. לפניות עסקיות שילחו מייל למכירות.