הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של עובדים - ספקים

1. ‫מאובטח‬ ‫בחיבור‬ ‫סייבר‬ ‫והגנת‬ ‫מידע‬ ‫אבטחת‬ ‫אתגרי‬
‫לעבודה‬‫עובדים‬ ‫של‬ ‫מרחוק‬-‫ספקים‬
‫קוברובסקי‬ ‫הילל‬
‫טכנולוגי‬ ‫עתידן‬,‫מרצה‬
‫רב‬ ‫ויועץ‬ ‫מנטור‬-‫סייבר‬ ‫להגנת‬ ‫תחומי‬
‫עסקית‬ ‫כאסטרטגיה‬ ‫וחדשנות‬
054-77009191
Hillel@InnovateOrDie.co.il

2. ‫השתק‬ ‫על‬ ‫שלכם‬ ‫שהמיקרופון‬ ‫תוודאו‬ ‫בבקשה‬
‫שמתחילים‬ ‫לפני‬

3. •14:00-14:45‫הקיימים‬ ‫הטכנולוגיים‬ ‫האתגרים‬ ‫בנושא‬ ‫קצרה‬ ‫מצגת‬,‫סקירה‬
‫בתחום‬ ‫כיום‬ ‫הקיימות‬ ‫המובילות‬ ‫הטכנולוגיות‬ ‫של‬,‫לתת‬ ‫שחייבים‬ ‫הדגשים‬
‫הדעת‬ ‫את‬ ‫עליהם‬,‫מודל‬ ‫במימוש‬ ‫מאובטח‬ ‫לחיבור‬ ‫הפתרונות‬ ‫של‬ ‫הבא‬ ‫הדור‬
Zero Trust
•14:45 - 15:15‫שאלות‬‫המשתתפים‬ ‫של‬‫פתוח‬ ‫דיון‬
•15:15-16:15‫ערן‬‫אברגל‬‫מחברת‬Safe-T‫במצגת‬‫הלכה‬ ‫יישום‬ ‫על‬ ‫קצרה‬
‫מודל‬ ‫של‬ ‫למעשה‬Zero Trust‫במערכת‬‫מאובטחת‬ ‫גישה‬ ‫טכנולוגיית‬ ‫המיישמת‬
‫בחיבור‬Black Cloud SDP
•16:15 - 16:30‫שאלות‬‫המשתתפים‬ ‫של‬‫פתוח‬ ‫דיון‬
‫על‬‫מה‬‫נדבר‬

4. ‫להכיר‬ ‫נעים‬ ‫קוברובסקי‬ ‫הילל‬
‫הסייבר‬ ‫בתחום‬ ‫טרנדים‬ ‫וחוקר‬ ‫טכנולוגי‬ ‫עתידן‬,‫מרצה‬
‫רב‬ ‫ויועץ‬ ‫מנטור‬-‫עסקית‬ ‫כאסטרטגיה‬ ‫וחדשנות‬ ‫סייבר‬ ‫להגנת‬ ‫תחומי‬
054-77009191 | Hillel@InnovateOrDie.co.il

5. ‫תשתיות‬ ‫מנהל‬ ‫כל‬ ‫של‬ ‫החזון‬
‫מרחוק‬ ‫עבודה‬-‫של‬ ‫החזון‬‫כל‬‫מנכ‬"‫ל‬‫ית‬(‫למציאות‬ ‫שמחוברים‬)

6. ‫תשתיות‬ ‫מנהל‬ ‫כל‬ ‫של‬ ‫החזון‬
‫מהבית‬ ‫עבודה‬-‫של‬ ‫החזון‬‫כל‬‫מנכ‬"‫ל‬‫ית‬(‫למציאות‬ ‫שמחוברים‬)
‫רבים‬ ‫מחקרים‬+‫שעבודה‬ ‫מראים‬ ‫בפועל‬ ‫המציאות‬‫מהבית‬:
•‫תפוקה‬ ‫מעלה‬(‫ישיבות‬ ‫זמן‬,‫קפה‬ ‫פינת‬,‫פקקים‬ ‫זמן‬)
•‫חוסכת‬‫כסף‬‫לארגון‬(‫נכסים‬,‫דלק‬,‫חנייה‬,‫כיבוד‬‫במשרד‬,‫ציוד‬‫מחשוב‬)
•‫עובדים‬ ‫רצון‬ ‫שביעות‬ ‫מעלה‬(‫שלהם‬ ‫המשפחה‬ ‫הרצון‬ ‫שביעות‬ ‫ואת‬)
•‫משפרת‬‫זמני‬‫תגובה‬‫בעבודה‬ ‫יעילות‬
‫חיסרון‬
•‫חוסר‬‫אנושית‬ ‫באינטגרציה‬‫ישיר‬ ‫ניהול‬–‫לזה‬ ‫שזקוקים‬ ‫עובדים‬ ‫ויש‬
•‫שליטה‬ ‫בחוסר‬ ‫המעסיק‬ ‫של‬ ‫תחושה‬ ‫בגלל‬ ‫ארגון‬ ‫לכל‬ ‫מתאים‬ ‫לא‬
https://hbr.org/2019/08/is-it-time-to-let-employees-work-from-anywhere

7. Remote Access Challenges

8. Remote Access Challenges
• Pulse Secure (Juniper SA / MAG )
• Cisco + Duo Security
• Check Point – Infinity
• Fortinet
• Palo Alto
• F5
• Citrix
• Microsoft
• Safe-T
• Mobileiron
• AKAMAI (Enterprise Application Access)
• Zscaler Private Access
• BeyondTrust (Bomgar)

9. ‫העולמי‬ ‫בשוק‬ ‫קורה‬ ‫מה‬?

10. Fantasy Vs Reality
o‫אמיתית‬ ‫מאובטחת‬ ‫גישה‬!‫ולא‬"‫פתרונות‬RDP"
o‫כספית‬ ‫עלות‬
o‫טכנולוגית‬ ‫מורכבות‬
o‫קצה‬ ‫התקני‬ ‫תאימות‬
o‫הרשת‬ ‫לטופולוגית‬ ‫התאמה‬
o‫מציאות‬-‫ללא‬ ‫רשת‬‫גבולות‬(‫הבא‬ ‫שקף‬)
o‫מגבלות‬‫דרישות‬‫של‬‫הרגולציה‬
o‫ביצועים‬‫אלסטית‬ ‫יכולת‬
o‫מערכת‬ ‫גמישות‬‫בפרוטוקולים‬ ‫תמיכה‬
o‫מערכת‬ ‫שרידות‬
o‫יכולת‬‫ניטור‬‫תיעוד‬
o‫פעילות‬‫משתמש‬‫בזמן‬‫עבודתו‬
o‫חריגים‬ ‫אבטחה‬ ‫אירועי‬
o‫זמן‬‫עבודה‬"‫עבודה‬‫בעיניים‬"‫הקלטת‬‫סשן‬

11. Business Apps
Workplace
Desktop
Critical
Infrastructure
Amazon, Azure Etc. Office 365, Salesforce, Etc.
Roaming LaptopBranch Office
‫סביבות‬‫מחשוב‬‫בשנ‬‫ת‬2020
‫עולם‬"‫גבולות‬ ‫ללא‬"
- Headquarters ( Users + Servers)
- Data Center
- Public Cloud (Azure , AWS , Google
Cloud , Ali Cloud ,
Oracle Cloud
- SAAS Platform
- Private Cloud (VMware ,Hyper-V ,
KVM , Citrix Xen)
- Branch Office
- Roaming Laptop
- Smartphone , Tablet
- IOT / IoMT Device
- Non PC / OT / SCADA

12. ‫גבולות‬ ‫ללא‬ ‫רשת‬–‫מקום‬ ‫מכל‬,‫התקן‬ ‫מכל‬,‫זמן‬ ‫בכל‬
‫יכולות‬‫הדרושות‬ ‫ההגנה‬ ‫אבטחה‬‫להתקן‬‫הקצה‬
✓AV | CDR | SANDBOX
✓ANTI-BOT | SPYWARE
✓APPLICATION CONTROL
✓URL FILTERING | DNS FILTERING
✓VPN TUNNEL | SSL VPN | DNS TUNNEL
✓IPS / IDS
✓PERSONAL FIREWALL TRAFFIC IN / OUT
✓ANTI-SPAM
✓DISK ENCRYPTION
✓DEVICE CONTROL
✓PATCH MANAGEMENT
✓SECURE INTERNET ACCESS (PROXY)
✓MSSP | CLOUD BASE MANAGEMENT
✓MULTI OS SUPPORT : WIN 7 /10 | MAC OS | LINUX
‫גבולות‬ ‫ללא‬ ‫רשת‬–‫מקום‬ ‫מכל‬,‫התקן‬ ‫מכל‬,‫זמן‬ ‫בכל‬

13. The onion model of defense in depth
The onion model of defense in depth

14. A Layered Approach To Security
A Layered Approach To Security

15. The onion model of defense in depth

16. The onion model of defense in depth

17. ‫מאובטחת‬ ‫מרחוק‬ ‫גישה‬ ‫לא‬ ‫זה‬ ‫מה‬?
• Adobe.Connect_M.R.Control
• Ammyy.Admin
• AnyDesk
• Apple.Remote.Desktop
• Bomgar
• Chrome.Remote.Desktop
• DameWare
• GoToAssist
• GoToMyPC
• LogMeIn
• RDP / RDP.over.HTTPS
• ShowMyPC
• TeamViewer
• SSH / Telnet / Rlogin
• VNC
• pcAnywhere R.I.P
• And moor ( ~85 )
‫בעצם‬ ‫לא‬ ‫למה‬ ‫אז‬?
•‫בחלק‬‫מהן‬‫מצאו‬‫פרצות‬‫אבטחה‬‫חמורו‬‫ת‬
•‫בחלק‬‫מהן‬‫אין‬‫בכלל‬‫בקרה‬
•‫מתחברים‬ ‫מתי‬‫מחוברים‬ ‫היו‬ ‫זמן‬ ‫כמה‬
•‫מי‬‫התחבר‬(‫זהות‬,‫מס‬'‫חיבורים‬‫בו‬‫זמנית‬)
•‫התחבר‬ ‫מאיפה‬–‫ל‬ ‫יכולת‬ ‫אין‬-Host Checker
•‫פיקוח‬ ‫יכולת‬ ‫ללא‬ ‫קבצים‬ ‫העברת‬‫ניטור‬
•‫אין‬‫תיעוד‬‫אין‬‫מסודר‬ ‫ניטור‬
•LOG / ALERT
•SIEM / SOC
•‫אין‬‫יכולת‬‫ליישם‬‫זיהוי‬‫קצה‬ ‫התקן‬‫חזק‬ ‫משתמש‬
•2FA / 3FA

18. ‫לקרב‬ ‫איתן‬ ‫לצאת‬ ‫כיום‬ ‫הנפוצות‬ ‫הטכנולוגיות‬ ‫מה‬?

19. IPSEC VPN Client

20. IPSEC VPN Client
‫בזה‬ ‫להשתמש‬ ‫והפסיקו‬ ‫כמעט‬ ‫למה‬?
•‫למערכות‬ ‫תאימות‬‫הפעלה‬‫קטסטרופה‬!
•‫גבוהות‬ ‫עבודה‬ ‫תקורות‬–‫קטסטרופה‬!
•‫דרש‬‫פתיחת‬‫פורטים‬‫שלא‬ ‫ספציפיים‬‫היו‬‫פתוחים‬‫בכל‬‫רשת‬
•‫כתובות‬ ‫בין‬ ‫חפיפה‬IP‫ביעד‬ ‫לרשתות‬ ‫המקור‬ ‫של‬–IPSEC Overlap
•‫ניתוב‬‫מ‬‫ואל‬‫הקצה‬ ‫תחנת‬
•‫יכולת‬‫להטמיע‬‫כתובת‬‫קבועה‬DHCP‫הקצה‬ ‫בתחנת‬
•‫יכולת‬‫להתחבר‬‫אחרי‬‫תרגום‬‫כתובות‬Hide-NAT
•‫בעיה‬‫רצינית‬‫להחזיק‬‫כמה‬VPN Client‫מחשב‬ ‫באותו‬ ‫שונים‬ ‫יצרנים‬ ‫של‬-‫סיוט‬
•‫דרש‬‫הרבה‬‫הגדרות‬‫הן‬‫בצד‬‫של‬‫מערכת‬‫ה‬FireWall/VPN‫והן‬‫מבחינת‬‫ה‬Client
•‫חיסרון‬:
•‫לרשת‬ ‫ישירה‬ ‫גישה‬=‫לצרות‬ ‫פתח‬!
•‫קושי‬‫בהגדרת‬"‫מיקרו‬‫גישה‬"

21. IPSEC VPN Client
‫היה‬ ‫כן‬‫בסדר‬. . .
•‫תקן‬‫מעל‬25‫היצרנים‬ ‫כל‬ ‫ידי‬ ‫על‬ ‫שנתמך‬
•‫לעבוד‬ ‫יכולת‬‫עם‬‫אוטניטקציה‬LDAP/RADIUS/ TACACS
•‫היכולת‬‫לתמוך‬‫בכל‬‫פרוטוקול‬,‫להעביר‬ ‫כולל‬Broadcast
•‫תמיכה‬‫הצפנה‬ ‫בפרוטוקולי‬‫חזקים‬AES / SHA
•‫בחלק‬‫מהיצרנים‬‫נתמך‬‫במאיצי‬‫חומרה‬ASIC
•‫תמיכה‬‫ב‬PKI
•‫היו‬‫בשוק‬VPN Client‫שהיו‬‫תואמים‬‫למספר‬‫יצרנים‬
•‫ידי‬ ‫על‬ ‫ממשק‬ ‫ללא‬ ‫לינוקס‬ ‫ממחשבי‬ ‫גם‬ ‫תמיכה‬L2TP

22. IPSEC VPN Client

23. SSL VPN Client
‫כללי‬ ‫רקע‬
•‫של‬ ‫שילוב‬PPTP(‫ניתוב‬+‫אוטניטקציה‬+ )TLS(‫לתווך‬ ‫הצפנה‬)
•‫ב‬ ‫תמיכה‬2‫ראשיים‬ ‫מצבים‬Tunnel Mode‫או‬Secure Web Portal

24. SSL VPN Client
•Tunnel Mode
•‫התקנת‬ ‫דורש‬Client‫תוסף‬ ‫או‬(light agent)‫שעושה‬Bind‫לממשקי‬‫רשת‬
•‫בכל‬ ‫תמיכה‬‫פרוטוקול‬,‫כולל‬Broadcast
•‫יכולות‬‫ניתוב‬‫קלה‬‫ליישום‬‫מ‬‫קצה‬ ‫תחנת‬ ‫ואל‬+‫מ‬‫אחרת‬ ‫מרוחקת‬ ‫רשת‬ ‫כל‬ ‫ואל‬
•‫ב‬ ‫תמיכה‬Split Tunnel‫או‬Hub Mode
•‫הטמעת‬‫כתובות‬+‫הגדרות‬DNS/WINS‫הקצה‬ ‫בתחנת‬
•‫יכולת‬‫לבצע‬Host Checker
•‫תמיכה‬‫מלאה‬‫ב‬PKI
•‫תמיכה‬‫מלאה‬‫ב‬2FA / 3FA
•‫ב‬ ‫תמיכה‬Windows Login / SSO
•‫יכולת‬‫מוגבלת‬‫לסינון‬‫תוכן‬AV / Sandbox / CDR
‫חיסרונות‬‫אבטחה‬ ‫בעיות‬:
•‫הארגונית‬ ‫לרשת‬ ‫מסוכנת‬ ‫גישה‬ ‫מאפשר‬ ‫החיבור‬ ‫נכונה‬ ‫לא‬ ‫בקונפיגורציה‬
•‫ליישם‬ ‫יכולת‬ ‫חוסר‬"‫גישה‬ ‫מיקרו‬"

25. SSL VPN Client
•Secure Portal
•‫התקנת‬ ‫דורש‬ ‫לא‬Client‫בתחנה‬|‫הדפדפן‬ ‫ברמת‬ ‫פעיל‬ ‫קוד‬ ‫הרשאות‬ ‫דורש‬ ‫כן‬
•‫תמיכה‬‫מוגבלת‬‫בפרוטוקולים‬
•HTTP / HTTPS
•TELNET / SSH
•CISF / FTP
•RDP / VNC / CITRIX
•‫ניתוב‬ ‫יכולות‬‫מוגבלת‬
•‫לבצע‬ ‫מוגבלת‬ ‫יכולת‬Host Checker
•‫תמיכה‬‫מלאה‬‫ב‬PKI
•‫תמיכה‬‫מלאה‬‫ב‬2FA
•‫ב‬ ‫תמיכה‬Windows Login / SSO
‫חסרונות‬‫אבטחה‬ ‫בעיות‬:
•‫רבים‬ ‫משאבים‬ ‫דורש‬
•‫תחנה‬ ‫ביצועים‬ ‫בעיות‬‫מע‬'‫ה‬FW
•‫מ‬ ‫הפנימית‬ ‫הרשת‬ ‫של‬ ‫חשיפה‬‫ה‬ ‫של‬ ‫הפנימית‬ ‫הכתובות‬ ‫ואל‬FWSSLVPN

27. ‫לאן‬ ‫הבא‬ ‫הדור‬?
•‫רעיון‬‫לדבר‬ ‫שהתחילו‬‫עליו‬‫כבר‬‫ב‬-2010(John Kindervag)Trust But Verify
•‫האתגר‬‫לאפשר‬‫גישה‬‫על‬baseneed-to-know‫כל‬ ‫כאשר‬‫גישה‬(session)
‫הרמות‬ ‫בכל‬ ‫נבחנת‬:‫מקור‬IP|‫קצה‬ ‫התקן‬‫הפעלה‬ ‫מערכת‬|‫זיהוי‬
‫ערכי‬ ‫חד‬ ‫באופן‬ ‫משתמש‬|‫אפליקציה‬‫שירות‬
‫פרוטוקול‬|‫לאן‬:IP‫סגמנט‬|‫ברמת‬ ‫עובר‬ ‫מה‬
‫ה‬-Data(‫הצפנה‬,DLP,AV,‫הקובץ‬ ‫סוג‬)
•‫אתגר‬‫אחד‬ ‫ממקום‬ ‫הכול‬ ‫את‬ ‫לנהל‬:
‫פשוטה‬ ‫בצורה‬ ‫קונפיגורציה‬ ‫יישום‬,‫ניטור‬‫זיהוי‬
‫מלא‬ ‫תיעוד‬ ‫חריגים‬ ‫אבטחה‬ ‫אירועי‬‫של‬‫כל‬‫תהליך‬‫הגיש‬‫ה‬

28. Zero Trust

29. Zero Trust‫למעשה‬ ‫הלכה‬
• Zero Trust Networks
• the ability to “Divide and Rule” your
network
• enforce a “Least Privileged” access
policy
• Zero Trust People
• Single Sign-On, Multi-Factor
Authentication
• Zero Trust Devices
• End Point : Hardware / OS
• Non PC / OT / IOT
• Zero Trust Workloads
• AWS / CGP / AZURE
• Cisco ACI / CISCO ISE
• Zero Trust Data
• Data Encryption
• Data Loss Prevention
• Data Management Categorization and
Classification
• Visibility & Analytics
• Automation & Orchestration
• APIs

30. Zero Trust‫הלכה‬‫למעשה‬

31. Zero Trust
‫המציאות‬ ‫גרסת‬

32. ‫האתגר‬–‫שילוב‬‫של‬‫מספר‬‫פתרונות‬‫לפתרון‬‫אח‬ ‫הוליסטי‬‫ד‬

33. SDP - Software Defined Perimeter (Black Cloud)
The Zero Trust, Software-Defined Perimeter is becoming the de-facto standard for secure network
access. Industry analysts are touting this new approach based on its ability to increase your
security, while at the same time easing the operational burdens associated with traditional
network security and simplifying your environment.
• Gartner says that "SDP enables organizations to provide people-centric, manageable, secure
and agile access to networked systems. It is easier and less costly to deploy than firewalls, VPN
concentrators and other bolt-in technologies
• Forrester recommends implementing a broad range of Zero Trust threat prevention
technologies.
• The Cloud Security Alliance says that “The SDP security model has been shown to stop all
forms of network attacks including DDoS, Man-in-the-Middle, Server Query (OWASP10) as well as
Advanced Persistent Threat.”
As enterprise organizations come to the realization that traditional network security is failing them,
a Zero Trust, Software-Defined Perimeter solution is a network security alternative to secure
hybrid environments.

34. SDP - Software Defined Perimeter (Black Cloud)

35. SDP - Software Defined Perimeter (Black Cloud)

36. ‫מעודכנים‬ ‫נשארים‬ ‫איך‬?
www.youtube.com/channel/UClgTLcUn5z3p1OyeDkUTkTQ
‫של‬ ‫ההקלטה‬‫הוובינר‬
‫לערוץ‬ ‫תעלה‬
‫לערוך‬ ‫כמנויים‬ ‫להירשם‬ ‫לשכוח‬ ‫ולא‬

37. 37
Innovate Or Die - Cyber Security Foresight : Forecasts ✮ Trends ✮ Analysis
https://www.facebook.com/groups/Cyber.Sec.Foresight/
https://www.linkedin.com/groups/8841036/
https://t.me/Cyber_Security_Foresight
https://chat.whatsapp.com/Hl4KrmW5jtz8La50oy9NXr
https://chat.whatsapp.com/CyjjxRGAzt0G4M3PTyPBOK
‫מעודכנים‬ ‫נשארים‬ ‫איך‬?