Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic ...
Upcoming SlideShare
Loading in …5
×

כנס אבטחת מידע מוטו תקשורת V2

1,176 views

Published on

הרצאה מתוך כנס אבטחת מידע של היריחון סטאטוס
18.11.2010

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,176
On SlideShare
0
From Embeds
0
Number of Embeds
49
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • חסר: חומרה שקשורה לאבטחת מידע. כלול במקומות אחרים בסקר (מכירות שרתים או מקומות נוספים).
  • יחס מספר אנשי אבטחה מול כלל העובדים בארגון: מהנתונים שלי עולה כי היחס הזה עומד בממוצע על 0.1% - בארגונים מהתחום העסקי בעלי גישה אבטחתית פחות מחמירה וללא רגולציות מיוחדות בתחום (למשל אמדוקס) ויכול להגיע ל סביבות ה 0.5% בארגונים אזרחיים רגישים יותר (פיננסים, בנקים). מדידת היחס באופן כללי מאוד "חמקמקה": איך תמדוד את העובדים ב SOC, למשל? יש ארגונים שיספרו אותם דווקא בשו"ב. דוגמא אחרת: בחלק מהארגונים מי שמטפל באבטחת מידע מטפל בנושאים אחרים (תקשורת, סיסטם). לא תמיד "סופרים" אותו כאיש אב"מ. כדי להקשות עוד יותר, בחלק מהארגונים אבטחת מידע היא גוף שאינו קשור ל IT (קב"ט, כספים, ביקורת וכו'). מכל מקום, המספרים הללו נאספו ע"י מנהלי התשתיות ומנהלי אבטחת מידע שיודעים להגדיר טוב יחסית מי כוח האדם שלהם.
  • במשך השנים עלו מאוד רמות התחכום בהתקפות. לעומתם ירדה מאוד רמת התחכום הנדרשת בהפעלת הכלים להובלת התקפות.
  • הטכנולוגיה של היום –רשתות ,מובייל ועוד-הומצאו בהקשר אופטימי לחיים אבל לא התחשבו בפוטנציאל הנזק שהם גורמים.
    נאום יובל דיסקין, נאום ראש אמן ידלין על טרור קיברנטי
  • אבטחת מידע בישראל –מיקרוקוסמוס. המון ידע שמגיע מהצבא ומהמוח היהודי.
  • GW פתרונות שיושבים בגייט
    Access/Authentication ניהול זהויות הרשאות הזדהות ועוד
    EPS/mobile
    DCS הגנה על המידע וזליגת מידע
    DB/DC SEC הגנה על משאבי חדרי מחשב מסדי נתונים סביבות וירטואליות ועוד
    Market/Trends מגמות יחסים מהאחרים עושים ועוד
    Encryption
    Miscellaneous
    SIEM/SOC
    Network Sec FW IPS וכל מה שברשת גם BB
    Regulations
    Vendors/Products מה קורה עם זה ומה עם ההוא מה לגבי המוצר X או אלטרנטיבות
  • R.2 LOSS OF GOVERNANCE
    In using cloud infrastructures, the client necessarily cedes control to the CP on a number of issues which may affect security. For example ToUs may prohibit port scans, vulnerability assessment and penetration testing. Moreover, there may be conflicts between customer hardening procedures and the cloud environment (see R 20). On the other hand, SLAs may not offer a commitment to provide such services on the part of the cloud provider, thus leaving a gap in security defenses.
    Moreover the cloud provider may outsource or sub-contract services to third-parties (unknown providers) which may not offer the same guarantees (such as to provide the service in a lawful way) as issued by the cloud provider. Or the control of the cloud provider changes, so the terms and conditions of their services may also change.
    The loss of governance and control could have a potentially severe impact on the organization’s strategy and therefore on the capacity to meet its mission and goals. The loss of control and governance could lead to the impossibility of complying with the security requirements, a lack of confidentiality, integrity and availability of data, and a deterioration of performance and quality of service, not to mention the introduction of compliance challenges (see R.3).
    R.3 COMPLIANCE CHALLENGES
    Certain organisations migrating to the cloud have made considerable investments in achieving certification either for competitive advantage or to meet industry standards or regulatory requirements (e.g., PCI DSS). This investment may be put at risk by a migration to the cloud:
     if the CP cannot provide evidence of
    their own compliance to the relevant
    requirements;
     if the CP does not permit audit by the
    CC.
    In certain cases, it also means that using a public cloud infrastructure implies that certain kinds of compliance cannot be achieved and hence cloud hosted services cannot be used for services that need them. For example, EC2 says customers would be hard-pressed to achieve PCI compliance on their platform. So EC2 hosted services cannot be used to handle credit card transactions.
    R 22 -RISK FROM CHANGES OF JURISDICTION
    Customer data may be held in multiple jurisdictions, some of which may be high risk. If data centres are located in high-risk countries, e.g., those. lacking the rule of law and having an unpredictable legal framework and enforcement, autocratic police states, states that do not respect international agreements, etc, sites... s could be raided by local authorities and data or systems subject to enforced disclosure or seizure. Note that we are not implying here that all subpoena law-enforcement measures are unacceptable, merely that some may be so and that some legitimate seizures of hardware (which appear to be rare)may affect more customers than the targets of a law-enforcement action depending on how the data is stored (19), (20).
    R.9 ISOLATION FAILURE
    Multi-tenancy and shared resources are two of the defining characteristics of cloud computing environments. Computing capacity, storage, and network are shared between multiple users.
    This class of risks includes the failure of mechanisms separating storage, memory, routing, and even reputation between different tenants of the shared infrastructure (e.g., so-called guest-hopping attacks, SQL injection attacks exposing multiple customers’ data stored in the same table, and side channel attacks).
    Note that the likelihood (probability) of this incident scenario depends on the cloud model considered; it is likely to be low for private
    clouds and higher (medium) in the case of public clouds.
    The impact can be a loss of valuable or sensitive data, reputation damage and service interruption for cloud providers and their clients.
    R.10 CLOUD PROVIDER MALICIOUS INSIDER - ABUSE OF HIGH PRIVILEGE ROLES
    The malicious activities of an insider could potentially have an impact on: the confidentiality, integrity and availability of all kind of data, IP, all kind of services and therefore indirectly on the organization’s reputation, customer trust and the experiences of employees. This can be considered especially important in the case of cloud computing due to the fact that cloud architectures necessitate certain roles which are extremely high-risk. Examples of such roles include CP system administrators and auditors and managed security service providers dealing with intrusion detection reports and incident response. As cloud use increases, employees of cloud providers increasingly become targets forcriminal gangs (as has been witnessed in the financial services industry with call centre workers (13), (14)).
    R.11 MANAGEMENT INTERFACE COMPROMISE (MANIPULATION, AVAILABILITY OF INFRASTRUCTURE)
    The customer management interfaces of public cloud providers are Internet accessible and mediate access to larger sets of resources (than traditional hosting providers) and therefore pose an increased risk especially when combined with remote access and web browser vulnerabilities. This includes customer interfaces controlling a number of virtual machines and, most importantly, CP interfaces controlling the operation of the overall cloud system. Of course, this risk may be mitigated by more investment in security by providers.
    R.14 INSECURE OR INEFFECTIVE DELETION OF DATA
    Whenever a provider is changed, resources are scaled down, physical hardware is reallocated, etc, data may be available beyond the lifetime specified in the security policy. It may be impossible to carry out the procedures specified by the security policy, since full data deletion is only possible by destroying a disk which also stores data from other clients. When a request to delete a cloud resource is made, this may not result in true wiping of the data (as with most operating systems). Where true data wiping is required, special procedures must be followed and this may not be supported by the standard API (or at all).
    If effective encryption is used then the level of risk may be considered to be lower.
    R.26 NETWORK MANAGEMENT (IE, NETWORK CONGESTION / MIS-CONNECTION / NON-OPTIMAL USE)
    V38. Misconfiguration
    V39. System or OS vulnerabilities
    V6. Lack of resource isolation
    V41. Lack of, or a poor and untested, business continuity and disaster recovery PLAN
  • מפת ארועי איבוד מידע לפי כיוונים.
  • מחקר בקרב מנהלי אבטחת מידע בעולם מדרג את איומי אב"מ ע"פ הרצינות שהמנהלים רואים באיומים עצמם. שני האיומים הגדולים והרציניים ביותר מדברים על "עבודה מבפנים" כאיום המרתיע ביותר כיום.
  • עצם ידוע העובדים על ניטור מוריד את רמת העבירות. ומצמצם את אחוז הלא נורמטיביים...
  • אמנם דיברנו על תחום המובייל מספר שנים ברציפות, אבל שנת 2010 היא זו שתהיה שנת המובייל. אימוץ כמעט אקפוננציאלי של טלפונים ניידים אפשר להסביר ע"י מספר סיבות. יש לזה סיבות חבתיות, טכנ' וכלכליות
  • Smart mobile devices (SMD) have become widespread among employees in organizations from all sectors of economy. In contrast to the past, SMDs are not for "executives only" anymore. During the last two years we have witnessed a rise in the demand for SMDs among all levels of employees. Despite resistance on behalf of IT PROFESSIONALS and especially information security professionals, there is a high pressure by senior managers to "synchronize my new IPHONE 4G to email". Today it is common by most organizations to allow synchronization or push mail services. In the next few years we will probably face more and more services, including enterprise applications, being downloaded to SMDs.
    In a special session that was held by STKI, four different security vendors have demonstrated their solutions to an audience of 56 IT professionals from 30 enterprises in Israel. Among these enterprises 38% of the corporate mobile devices are considered SMDs.
    Which SMDs brands are most common? Although it is not an official survey, one can get a very good perspective about consumer preferences: according to the respondents ' answers to a questionnaire, most organizations are using, not surprisingly, BlackBerry (61%), Nokia (65%), and iPhone (57%). Android devices are still less common with 9%. Windows-based devices can be found in 13% of organizations.
    What services? Not many enterprises in Israel can ignore trends: Only 4% of the respondents reported denying any services to SMDs. In 88% of the cases, calendar and mail services are being pushed / synchronized to SMDs. Only 13% of organizations provide additional services that include other enterprise applications. There is no doubt that as the use of SMDs grows, more and more enterprise applications will be downloaded to SMDs.
    What is holding everyone back? 100% of the respondents to this survey noted that the security solution in place (if there is one) provide partial solution or less. All attendees to the session said that there is NO centralized solution for managing and securing SMDs.
    So what are the customer needs? Or "what does the customer wants?" In any case, this is a good question. I'm not sure if the clients themselves know what they need or want. It may be because the SMDs market has a very rapid growth rate, much higher than the evolvement of security measures. Maybe. But the main reason, probably, is that the customer doesn't know what are the abilities of the SECURITY solutions in this domain. When asked, customers define three main capabilities to be very important to them:
    Manage SMDs as if they were another endpoint. One of the limitations in this context is that traditional system management tools still can't "communicate" with SMDs. Another factor is the lack in proper support by some of the vendors to integrate third-party solutions into their OSs.
    Multi-platform support. Infrastructure managers in most enterprises understand that there's not much to do against the SMD trend, so they look for a solution that can manage as many types of devices as possible.
    Protecting business information on your device, keep both business and private environments separate. One of the greatest challenges when protecting SMDs is the ability to isolate the business information on each mobile device.
    To sum up, there are two major approaches to handle (in an enterprise-IT perspective) SMDs: security and management. There is no doubt that both approaches will be unified into one during the next year or so. In order to be prepared, every CISO must be familiar with all vendors and approaches to mobile security. Don’t wait! next iPhone is on its way to your LAN.
  • 2010
    אבטחת מידע על מכשירים ניידים חכמים
    (סיכום שני מפגשי שולחן עגול בנושא)

    מכשירים ניידים חכמים (מנ"ח) הופכים במהרה לנפוצים בקרב עובדי ארגונים מכל המגזרים במשק. בניגוד לעבר, מנ"חים הם לא נחלתם של מנהלים בלבד. במהלך השנתיים האחרונות אנו עדים לעליה בדרישה לאישור השימוש במנ"חים וחיבורם למשאבי הארגון. למרות ההתנגדות הטבעית של אנשי ה IT ובמיוחד אנשי אבטחת המידע, גדלים הלחצים מצד עובדים ומנהלים בכירים "לחבר את ה IPHONE החדש שלי לדוא"ל". כיום מקובל לאשר סנכרון או דחיפה של שירותי מייל ויומן בחלק ניכר מהארגונים המובילים בישראל ובשנים הקרובות יורחבו ככל הנראה השירותים הניתנים למנ"ח גם ליישומים ארגוניים נוספים.
    לשתי ההדגמות, שבהן הוצגו פתרונות של ארבעה יצרנים שונים, הגיעו 56 נציגים מ 30 ארגונים במשק ממגוון מגזרים.
    בין הארגונים ניתן למצוא 4 ארגונים שיחידת ה IT שלהם משרתת 0-1,000 משתמשים, 12 ארגונים המשרתים 1,000-5,000 משתמשים, 4 ארגונים המשרתים 5,000-10,000 משתמשים ו 4 ארגונים שמשרתים יותר מ 10,000 משתמשים ו 6 ארגונים נוספים שלא מסרו פרטים על מספר המשתמשים בהם.

    ב 30 ארגונים אלה 38% מהמכשירים הסלולריים הניתנים לעובדים נחשבים למכשירים חכמים . ממצא זה אינו משתנה בצורה יוצאת דופן כפונקציה של גודל הארגון או מספר המשתמשים בו.
    סוגי המכשירים הנפוצים בקרב הארגונים שהשתתפו במפגש מוכרים לכולם. נכון לזמן קיום המפגש ב 26% מהארגונים המשתתפים לא קיימת מדיניות ברורה לגבי סוגי המכשירים המאושרים בארגון. בארגונים אלה, בעיקר ארגונים מורכבים וגדולים או ארגונים ממגזרים פחות רגישים, מותר השימוש במנ"חים על פי בחירת המשתמש מתוך סל מכשירים מוצעים.
    אילו מכשירים הם הנפוצים ביותר? אומנם לא מדובר במדגם מייצג מטעם חברות הסלולר, אולם ניתן לקבל תחושה טובה על העדפות הצרכנים בכל הקשור לשימוש במנ"חים בקרב הארגונים שהגיעו למפגשים:
    על פי תשובות המשיבים לשאלון, ברוב הארגונים נעשה שימוש, לא מפתיע, במכשירי Blackberry, Nokia ו iPhone (57%, 65% ו 61% בהתאמה). מכשירי אנדרואיד עדיין פחות נפוצים והם קיימים אצל 9% מהארגונים. מכשירים מבוססי Windows קיימים ב 13% מהארגונים.
    לא הרבה ארגונים בישראל מסוגלים להתעלם מהאופנות האחרונות. רק ב 4% מהם לא ניתנים כלל שירותי משרד למנ"חים. ב 88% מהארגונים שהגיעו למפגשים ניתנים שירותי דואר ויומן בסנכרון\דחיפה למכשירי הסלולר. רק ב 13% מהארגונים ניתנים שירותים נוספים הכוללים אפליקציות ארגוניות שונות. אין ספק שככל שיעמיק השימוש במנ"חים בארגונים, יעלה מספר השירותים הניתנים למכשירי הקצה. מגמה זו תקבל עידוד כאשר יינתן מענה מספק מבחינת אבטחת המידע למכשיר הסלולרי, שכן, ארגונים רבים מציינים זאת כגורם מעכב מרכזי בשיפור השירות למנ"חים בארגון. לראיה, 100% מהארגונים שמלאו את הסקר ציינו כי הפיתרון האבטחתי שברשותם מהווה פיתרון חלקי במקרה הטוב לצרכי האבטחה של הארגון בכל הקשור בניהול והגנה על מנ"חים. באף ארגון מהארגונים הנוכחים בחדר (0%) לא הוטמע פיתרון מרכזי לניהול ואבטחת מכשירים חכמים. מצב זה מאפיין, ככל הנראה, את רוב השוק הישראלי והיווה קרקע פוריה לקיומם של שני המפגשים המתוארים כאן.

    אז מה הלקוח צריך???
    או "מה הלקוח רוצה"? בכל מקרה זו שאלה מצויינת. לא בטוח שהלקוח עצמו יודע מה הוא צריך או רוצה. התחום מתפתח בקצב מהיר מאוד ועושה רושם שקצב הצמיחה בשוק המנ"חים גדול בהרבה מהצמיחה של פתרונות ההגנה. אחד הביטויים המעניינים של מגמה זו מבוטא בדוגמא הבאה:
    אחד היצרנים הוזמן להציג את הפיתרון שלו בפני אחד הלקוחות במשק. המציג מטעם היצרן שאל בפתיחת הדיון את נציג הלקוח מה הם התכונות החשובות להם בהגנה על מכשירים סלולריים. הלקוח גירד בראשו וענה שאינו יודע. התחום חדש לו והוא מעוניין ללמוד. "תראה לי מה אתה יודע לעשות" ביקש לבסוף.
    לא הרבה לקוחות יודעים היום להגדיר במפורש מה הם רוצים מפיתרון הגנה על מנ"חים. הסיבה הראשונה במעלה היא שאין להם מושג מה פתרונות בתחום זה מסוגלים לעשות. כששואלים נציגי ארגונים גדולים במשק מה הם מחפשים בפיתרון הגנה על מנ"חים הם בדר"כ יגדירו שלוש יכולות כלליות עיקריות שמאוד חשובות להם:
    1. יכולת לנהל את המכשירים בארגון כמו כל תחנת קצה.
    2. תמיכה בכמה שיותר סוגי מכשירים.
    3. יכולת לאבטח את המידע העסקי על המכשיר, תוך הפרדה של הסביבה העסקית מזו הפרטית.

    כלומר בשוק יש שתי גישות מרכזיות לטיפול במנ"חים: גישת האבטחה וגישת הניהול. אין ספק שהמשך הבשלה של השוק תביא לחיבור בין שתי היכולות ושילובן בפיתרון אחד.

    הערה לגבי הדרישה הראשונה: אחת המגבלות בהקשר זה היא חוסר היכולת של פתרונות הניהול בארגון "לדבר" עם מכשירים סלולריים. קושי זה נובע מהבדלים במערכות ההפעלה, "הרכות" היחסית של מערכות הפעלה אלה בהשוואה למערכות גדולות יותר על תחנות הקצה בארגון והעדר תמיכה מתאימה של חלק מספקי המנ"חים לשילוב פתרונות צד ג'. דוגמא לכך היא הסגירות היחסית של אפל בכל הקשור לתמיכה בקליינטים של מערכות שליטה ארגוניות במכשירים שלה.

    הערה לגבי הדרישה השניה: מנהלי תשתיות ברוב הארגונים מבינים כי נגד אופנות וטעמי הצרכנים אין הרבה מה לעשות ולכן הם מחפשים פיתרון אבטחתי\ניהולי שידע לתמוך "בכל מכשיר". אפילו מכשירי בלקברי שמנוהלים בצורה אבטחתית טובה מאוד יחסית למנ"חים אחרים, עדיף שינוהלו ביחד עם שאר המכשירים הניידים בארגון.

    הערה לגבי הדרישה השלישית: אחד הקשיים הגדולים ביותר של פתרונות להגנה על מנ"חים הוא היכולת לבודד את המידע העסקי על המכשיר הנייד. קושי זה מעמיד בספק את יכולת הפיתרון המוצע לספק מענה טוב לבעיות האבטחה של מנ"חים. בשונה ממחשבים ניידים, אשר ניתן להגדיר בהם סביבות עסקיות מוגנות, במכשירים סלולריים יכולת ההתערבות של פתרונות חיצוניים במערכות ההפעלה מוגבלת מאוד נכון להיום. בדר"כ תיבחר שיטת הגנה המכלילה את כל המידע על המכשיר כמידע רגיש אשר דורש התייחסות.
    נושא נוסף המטריד את הלקוחות הוא "בריאות" המכשירים. נושא זה ונושאים נוספים נמצאים בעדיפות נמוכה בהרבה ולכן אין כיום דרישה גבוהה לפתרונות אנטי וירוס או antiX אחרים למכשירים.
    מה היה במפגשים?

    שני המפגשים שהתקיימו ב STKI היו זהים מבחינת תוכנם. בכל מפגש התבקשו נציגים של ארבעה יצרנים להדגים את יכולותיהם בתחום ניהול ואבטחת מכשירים ניידים חכמים.
    לכל מציג ניתנו כ 40 דקות להציג את הפיתרון והתפיסה. כל מציג קיבל תסריט כללי המתאר סביבה עסקית מוכרת בשוק הישראלי והתבקש לנסות לספק פיתרון לכמה שיותר בעיות שהועלו בתסריט, כמו למשל ניטרול מכשיר מרחוק במקרה גניבה, הפצת עדכונים למכשיר, הדגמת תצורת הצפנה במכשיר ותפעולו על ידי המשתמש וכו'. כל מציג היה רשאי להדגים מספר יכולות ייחודיות נוספות (לפי בחירת הספק) במסגרת הזמן שניתן לו.

    חוסר הבשלות בתחום זה הביאו לכך שלא כל היצרנים המוכרים בשוק הגיעו לגיבוש פיתרון אבטחתי מלא. סוגיה זו ניכרת הן בקושי בגיוס אותם יצרנים אופציונאליים להדגמה כחלק מההכנות למפגש והן בחלקיות הפיתרון בקרב היצרנים אשר כן מציעים פיתרון.
    נושא נוסף שנבדק הוא יכולת הספקים לתת פיתרון אבטחתי למספר סוגי מכשירים נפוצים. הדגש במפגשים היה על מתן מענה אבטחתי למכשירי Nokia, iPhone ואנדרואיד. מכשירי בלקברי קיבלו התייחסות קטנה יחסית בשל המענה האבטחתי המובנה שכבר קיים בשרתי המכשירים.

  • חשש נוסף שחוזר ועולה בקרב המשתתפים הוא מפגיעה אפשרית בביצועי המערכות במקרה שייושם פיתרון כזה או אחר. סביב השולחן ניכר, כי חסר ניסיון פרקטי בעבודה עם חלק גדול מהפתרונות הקיימים כיום בשוק וקשה להעריך את השפעתם, אם בכלל, על ביצועי המערכות בארגון.
    בחדשנות נטו –לא תהיה בעיה. תמיד יהיו ארגונים חדשניים מאוד, אבל פה התמריץ הוא רגולציה ולכן יותר קשה למצוא דוגמאות...
  • ברבים מהארגונים בסקטורים אלה קיימות מערכות מורכבות מאוד ונתוני כרטיסי האשראי מבוזרים במגוון סביבות מיחשוביות בארגון. אופי עבודה זה מקשה מאוד על התמודדות עם דרישות כמו 3 ו 4 בתקן. נציגי הארגונים שהשתתפו סיפרו, לשם המחשה, כי בארגון ביטוחי טיפוסי קיימים נתוני כרטיסי אשראי של לקוחות על מסמכי הפוליסות. מסמכים אלה נסרקים לשם אירכוב ואחזור מאוחר יותר במגוון פורמטים (PDF, TIFF וכן הלאה). דרישות התקן מדברות על הצפנה של כל הנתונים הרגישים של הלקוחות. בגלל אופי העבודה, נגישות המשתמשים למידע ופיזור הקבצים, נוצר מצב כמעט בלתי אפשרי שמקשה על איתור והגנה על המידע בארגון על פי התקן.
     
    ארגונים מבוססי main-frame ומערכות ותיקות אחרות מוצאים עצמם מתקשים בניטור והגנה על המידע המאוחסן במערכות אלה, במיוחד לאור הבעייתיות בנגיעה ממשית בקוד האפליקציות הרצות על מערכות אלה. רבות מהאפליקציות נכתבו לפני 10, 20 ואף 30 שנים. נגיעה נדרשת בקוד בחלק מהמקרים מעכבת מאוד את התקדמות תהליך ההסמכה לתקן בארגונים רבים והיא נובעת מהחשש המוצדק שנגיעה אפשרית תפגע בליבת הפעילות של הארגון.
     
     
    טענה אחרת שעלתה על ידי המשתתפים מסקטור זה היא שתקן ה PCI לא מתייחס להיבטי ניהול הסיכונים הכרוכים במושאי התקן. לשם השוואה צויין על ידי חלק מנציגי הסקטורים הללו, כי תקנים אחרים שהסקטור הפיננסי נדרש לעמוד בהם, כמו למשל 357\באזל 2 ו 257 (בנקים וחברות ביטוח בהתאמה), מביאים בחשבון את נושא ניהול הסיכונים ומשאירים לארגונים הנדרשים לעמידה בתקן "חופש פעולה" מסויים בבחירת אופי העמידה בו. תקן ה PCI מאוד חד משמעי ברוב המובנים ואינו לוקח בחשבון קשיים אובייקטיבים שיש לארגונים מורכבים במיוחד. גישה דיכוטומית זו מקשה מאוד על העמידה בתקן באותם ארגונים ו"דוחפת" אותם לאמץ מדיניות של ניהול סיכונים עצמאית. במקרים מסויימים יהיה חשש שיהיו ארגונים שיאלצו להסתכן בקנסות של מועצת התקן מול אלטרנטיבה בלתי אפשרית ליישם את התקן "כמו שצריך".
  • קיימת תחושה בקרב הארגונים שבחירה בפתרונות טוקניזציה תחסוך הרבה כסף יחסית לפתרונות הצפנה. אחד המשתתפים ציין כי ספקי פתרונות הטוקנים מבינים את שינוי הכיוון בשוק לכיוונם ומעלים כל הזמן את המחירים. נציג אחד הארגונים שבחן בתחילת הדרך פיתרון טוקנים ציין, כי המחיר שמוצע כיום עבור אותו שירות גבוה בהרבה מהמחיר שהוא נחשף אליו בתחילת הדרך.
    בהרבה מהארגונים סביב השולחן קיימות מערכות ארגוניות בגרסאות שלא הותאמו לעמידה בתקן PCI. כך, לדוגמא, מוצא עצמו ארגון מסויים עם DB בגרסה שיצאה ללא התחשבות בתקן PCI (כי היא יצאה לשוק לפני התקן). כדי לעמוד בתקן, מחוייב הארגון לבצע שידרוג לגרסה חדשה שמשמעותו הכספית כבדה מאוד. נציג אחד הארגונים שעומדים בפני בעיה זו ציין, כי מנהלי הארגון יכולים להחליט מראש לא לעמוד בתקן ולהסתכן בקנסות מאחר ושידרוג המערכת מסתכם בעלויות גבוהות מדי.
    מקצועיות ה QSA וסוגיות אי בהירות בתקן:
    חלק מהמשתתפים ציינו כי הם נתקלים בבעיות ושאלות שה QSA לא יודעים לתת עליהן תשובות מספקות.
    במקרים בהם ישנה אי בהירות, איך ניתן לקבל תשובות חד משמעיות?
    האם יש גוף שדואג לבקר את ה QSA ולסייע בהדרכה מקצועית לארגונים בעבודתם מול QSA?
    אחד המשתתפים ציין כי בארגונו קיימות מספר סוגיות הקשורות למערכות מורכבות בארגון וקיימת בקרב ה QSA פרשנות משלו לגבי יישום התקן על מערכות אלה.
    איזה מנגנון קיים ב PCI ובמועצת התקן שיוכל להגן על האינטרסים של הארגון?
    משתתף זה חושש מפעולות מיותרות או שגויות שיבוצעו כתוצאה משיקול דעת מוטה או מוטעה של חברת הייעוץ.
    מר הרמן ציין, כי בעיות פרשנות של התקן או אתגרים אחרים שבהם נתקל ה QSA יכולים וצריכים לקבל תשובה ברורה על ידי מועצת התקן בפניה של ה QSA או כל חבר מועצה למועצה (ראו איזכור בתחילת המסמך).
    נקודה נוספת שמאוד מטרידה את הנוכחים היא חוסר הבהירות שיש בשוק לגבי מספר נקודות בתקן. דוגמא לחוסר בהירות זו היא בהיקפי בדיקות החדירות (penetration tests) ומה בדיוק עליהן לכלול. חלק מהמשתתפים סיפרו כי ה QSA המליץ להם על בדיקות חדירות למערכות מסויימות בארגון שכלל לא ברור הקשר שלהן לעמידה בתקן. נקודות אחרות נוגעות לנושא מידע שקיים על מסמכים סרוקים או בשרתי אחסון וכן בקבצים שטוחים (flat files) במערכות MF.
    מר הרמן ציין כי נושאים אלה ואחרים מקבלים הסבר באתר המועצה וביקש להפנות את הקוראים לקישור הבא לקבלת אינפורמציה נוספת על הנושא:
    http://selfservice.talisma.com/display/2/index.aspx?c=58&cpc=MSdA03B2IfY15uvLEKtr40R5a5pV2lnCUb4i1Qj2q2g&cid=81&cat=&catURL=&r=0.499874770641327
  • שיגרה ודברים מובנים מאליהם הם האוייב הגדול של ה. אל תרדם (לקורבנות) ואל תיתפס (למתקיפים)
  • כנס אבטחת מידע מוטו תקשורת V2

    1. 1. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 1 Shahar Geiger Maor, CISSP Senior Analyst at STKI shahar@stki.info www.shaharmaor.blogspot.com 18.11.2010
    2. 2. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 2 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
    3. 3. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 3 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
    4. 4. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 4 Information Security: Israeli Market Size (M$) 2009 changes 2010 changes 2011 changes 2012 Security Software 85.0 23.53% 105.0 4.76% 110.0 9.09% 120.0 GRC & BCP 50.0 50.00% 75.0 9.33% 82.0 9.76% 90.0 Security VAS 85.0 11.76% 95.0 8.42% 103.0 6.80% 110.0 totals 25.00% 7.27% 8.47%220.0 275.0 295.0 320.0
    5. 5. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 5 Information Security Spendings 1. Usually very “dynamic” 2. Crisis/regulation driven instead of policy driven 3. Part of budget may be embedded within other IT units projects Approximately 5% of IT budget* * Including manpower
    6. 6. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 6 Security Staffing Ratios Organization Type Ratios of Security Personnel (Israel) Average Public Sector 0.15% of Total Users “Sensitive” Public Sector 0.5% of Total Users
    7. 7. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 7 Information Security “Threatscape”
    8. 8. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 8 The Web is Dead! http://www.wired.com/magazine/2010/08/ff_webrip/
    9. 9. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 9 Is Technology Good or Bad?
    10. 10. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 10 Israel: a Security Empire
    11. 11. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 11 Real Empire!! Source: http://search.dainfo.com/israel_hitech/Template1/Pages/StartSearchPage.aspx
    12. 12. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 12 Local Security Vendors and CISO’s Decision Making CISO is usually considering technology, local support and price Is a local solution available? Most chance it will be among last three bidders
    13. 13. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 13 What’s on the CISO’s Agenda? (STKI Index 2010) EPS/mobile 14% Market/Trends 13% Access/Authenti cation 12% Network Sec 12% GW 10% DCS 9% DB/DC SEC 9% Vendor/Product 8% Regulations 7% SIEM/SOC 3% Miscellaneous 2% Encryption 1%
    14. 14. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 14 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
    15. 15. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 15 Cloud Security Source: http://csrc.nist.gov/groups/SNS/cloud-computing/
    16. 16. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 16 Is Cloud Security Important?? http://www.thepeople.co.il/Index.asp?CategoryID=82&ArticleID=1281
    17. 17. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 17 How Does Cloud Computing Affect the “Security Triad”? Confidentiality IntegrityAvailability
    18. 18. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 18 Cloud Risk Assessment Probability Impact LOSS OF GOVERNANCE COMPLIANCE CHALLENGES RISK FROM CHANGES OF JURISDICTION ISOLATION FAILURE CLOUD PROVIDER MALICIOUS INSIDER - ABUSE OF HIGH PRIVILEGE ROLES MANAGEMENT INTERFACE COMPROMISE (MANIPULATION, AVAILABILITY OF INFRASTRUCTURE) INSECURE OR INEFFECTIVE DELETION OF DATA NETWORK MANAGEMENT http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
    19. 19. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 19 Cloud Security: What’s Missing? Standards & Regulations
    20. 20. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 20 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
    21. 21. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 21 Data-Centric Security DCS DLP IRM Endpoint Security Encryption monitoring
    22. 22. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 22 Incidents by Vector (2009) http://datalossdb.org/statistics
    23. 23. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 23 The Relative Seriousness of IT Security Threats Source: Computer Economics
    24. 24. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 24 DLP Scenario in Israel No Data Classification Poor Security Policy Project is a failure
    25. 25. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 25 What Should be Done in Order to Succeed? Look for your assets! Classify and label! Discover and protect confidential data wherever it is stored or used Monitor all data usage Automate policy enforcement Safeguard employee privacy
    26. 26. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 26 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
    27. 27. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 27 Y 2010 - Going Mobile!
    28. 28. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 28
    29. 29. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 29 Real Mobility is Coming to the Enterprise
    30. 30. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 30 Mobile Security: What worries CISOs? Internal users: No central management How to protect corporate data on device? Device’s welfare ??? External users: Sensitive traffic interception Masquerading Identity theft
    31. 31. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 31 Mobile Security: What Do CISOs want? 1. Manage SMDs as if they were another endpoint 2. Protecting business information on your device 3. Multi-platform support
    32. 32. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 32 Presentation’s Agenda General Trends Cloud Security Data-Centric Security Mobile Security Regulations: PCI
    33. 33. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 33 Network DSL Router POSServer POSTerminals Requirement 1 Requirement 2 Requirement 3 Requirement 4 Requirement 5 Requirement 6 Requirement 7 Policies Requirement 8 Requirement 9 Requirement 10 Requirement 11 3rd Party Scan Vendor Requirement 12 PINPads PCI-DSS -Challenges
    34. 34. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 34 What is the Incentive? Source: http://datalossdb.org/statistics?timeframe=all_time (2000-2010) •Data loss incidents2,754 • Credit-card related data loss396 (35%) • How?Hack (48%) • CCN compromised297,704,392 • …CCNsIncident751,779 • Actual $$$ loss…?
    35. 35. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 35 Israeli PCI: Market Status (May 2010) PCI “Newborns” Gap Analysis PCI work plan (Prioritized Approach?) 1-4 Milestones 4+ Milestones Financial Sector TelcoServices Sector RetailWhole saleManu’ Sector Healthcare Sector PCI Compliance
    36. 36. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 36 PCI Challenges: The “New trend Syndrome”
    37. 37. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 37 PCI Challenges: Customer Experience System heterogeneity –Sensitive data is scattered around in all sorts of formats Main-Frame and other legacy systems –how is it possible to protect sensitive data without changing the source code? What happened to risk management??? (PCI vs. SOX)
    38. 38. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 38 PCI Challenges: Customer Experience 2 “My DB does not support PCI” –the “Upgrade vs. pay the fine” dilemma “Index token is cheaper than other alternatives” –True or false? Inadequate knowledge of the QSAs? Who audit the auditors? should be answered by the PCI Council
    39. 39. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 39 PCI Challenges -The PCI paradox PCI compliance 1 security patch is missing A data loss incident occurs… An investigation starts Remember that security patch?
    40. 40. Your Text hereYour Text here Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 40 Visit my Blog: shaharmaor.blogspot.com

    ×