Recommended
More Related Content
Similar to 213071739 rt-zero-day-attacks-may-2013
Similar to 213071739 rt-zero-day-attacks-may-2013 (20)
More from Inbalraanan
More from Inbalraanan (20)
213071739 rt-zero-day-attacks-may-2013
- 1. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 1 מתוך 02 שולחן מפגש סיכום - עגול Zero Day Attacks מאי 3102 מנחה רוסין סיגל
- 2. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 0 מתוך 02 ,שלום נכבדים לקוחות עגול שולחן במפגש השתתפותכם על תודה Round Table בנושא Zero Day Attacks . עקרי סיכום מצ"ב במפגש .המפגש במהלך שעלו הדברים בסיכום שתומצתו מהותיים נושאים עלו מתן אלא ללקוחות גורפת המלצה זה בסיכום אין .שעלו כפי פרספקטיבה ההתלבטויות של והצגה .""מהשטח כלומר במפגש שעלו ממוקדות להתקפות והבשלות סייבר המילה מהות zero day .ביטוי לידי לבוא מתקשה בארגונים בכלי שימוש עושים מהלקוחות חלק ,אחד מצד .הסייבר לנושא שונה בצורה מתייחסים לקוחות לבדוק מנסים אשר לקוחות יש ,שני מצד .הכלים של הקונפיגורציה של בדיקה ,קיימים מידע אבטחת אבטחת לעולם התרחבות איתו מביא גם המובייל נושא .הסייבר לתחום הקשורים חדשים כלים ועמד המידע .בחשבון זאת לקחת ויש הקצה ות ,כן כמו הגברת לשם פועלים הארגונים מרבית ה שונות בדרכים עובדיהם בקרב מודעות .בארגון המידע אבטחת מדיניות וחשיבות מדובר שלא לזכור יש הסייבר במלחמת ו אר רק בשינוי פנים בהסתכלות גם אלא מידע אבטחת מוצרי ארגונית הארג משאבי הגנת על כללית .ון ,בברכה רוסין סיגל תוכן עניינים רקע ................................ ................................ ................................ ................................ ........ 2 התייחסות לסייבר בארגונים ................................ ................................ ................................ ......... 6 מודעות משתמשי הארגון ................................ ................................ ................................ ............ 8 מדיניות אבטחת מידע ................................ ................................ ................................ ................ 9 כלי הגנה zero day / סייבר ................................ ................................ ................................ ......... 01 המלצות STKI בנושא סייבר ................................ ................................ ................................ ........ 02 נספח מיוחד התייחסות ספקים ויצרנים לנאמר במפגש ................................ ................................ ..... 02 התייחסו ת חברת WE ................................ ................................ ................................ ........... 02 התייחסות חברת Prodware ................................ ................................ ................................ .. 01 התייחסות חברת Mobisec ................................ ................................ ................................ .... 01 התייחסות חברת מטריקס ................................ ................................ ................................ ..... 01 התייחסות חברת טלדור תקשורת גלאסהאוס ................................ ................................ ............. 09 התייחסות חברת HP ................................ ................................ ................................ ............ 31
- 3. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 3 מתוך 02 רקע סוגי ממספר מורכבת הסייבר מלחמת ה :תקפות 0 ) Cyber terror - מלחמת סייבר המנוהלת באמצעות ארגון טרור או כנופיה , כנגד מדינה או אוכלוסייה של מדינה כלשהי . 3 ) Cyber warfare - המנוהלות אחרות מערכות (או מחשבים מערכות של תקיפות סידרת ,טרור ארגון או ,)בה קבוצות (או אחת מדינה מצד מבוצעות אשר ,)מחשבים באמצעות או לאומיות תשתיות ,ביטחוניות או ,ממשלתיות (מערכות שניה במדינה מטרות כנגד .)פרטיות 2 ) Cyber crime - התקפה או סדרת התקפות של גורם כלשהו , על מערכות מחשבים כלשהן , אשר המניע שמאחוריהן , גניבה / הונאה , או כל היבט כלכלי או טובת הנאה כספית אחרת . 1 ) Cyber security - מתייחס להיבט הטכני של הגנת מערכות מידע , ללא קשר להיבט הרעיוני ( פוליטי / פלילי / אחר .) המושג ,לעומת hacking ( תקיפת מערכת מידע ) מתייחס להיבט הטכני של תקיפת מערכות מידע , ללא קשר להיבט הרעיוני ( פוליטי / פלילי / אחר .) :מתוך see security מידע וללוחמת מידע לאבטחת ספר בית :כיום מתמודדים ארגונים איתם ידועות התקפות סוגי מספר i . DDOS - Distributed Daniel of Service Attack - התקפת מניעות שירות מפוצלת . התקפת DDOS היא הניסיון לגרום לשרת VPS , אתר אינטרנט או שירותים אחרים להפוך ללא זמינים ע " י ניצול מירבי של אחד מה מ שאבים של השירות ( מעבד , זיכרון , רוחב פס וכו .)'
- 4. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 4 מתוך 02 ii . APT - Advanced Persistent Threat - מצב בו " ש מים את הארגון על הכוונת ," ותוק פים אותו ספציפית בצורה שיטתית ומתוחכמת , לאורך זמן . מדובר בתקיפות שמאחוריהן עומדים גופים עוצמתיים ובעלי משאבים גדולים במיוחד , שיכולים להרחיב את מאמציהם ולעשות זאת לאורך זמן , כמו למשל מדינות או ארגוני טרור . iii . Zero day attack - מבוסס על פרצות אבטחה שקיימות במערכת אך אינן מוכרות ל ארגונים ( לא ליצרן המערכת ולא לצרכנים שלה ) עד ' יום האפס ,' כלומר עד היום שהם מגיעות לתודעה ציבורית . אחרי שפריצה כזו נודעת , כמובן שה ארגון וחברות האנטי - וירוס פועל ים מיד
- 5. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 5 מתוך 02 לחסום אותה . אבל עד יום האפס , בעל המידע על הפריצה , מחזיק למעשה בנשק יקר מפז ואין שום מנגנון הגנה שמכיר אותו . באם הינה בכך הסכנה הצלחת להמציא Zero-Day , אתה יכול למכור אותו בזירות מכירה מיוחדות במרחב ה dark net . זה הופך יותר לנגיש אותו , כולל התמקדות בסביבה מסוימת , ארגונים למשל .'וכד ביטחון ,בריאות ,פיננסיים iv . Rootkit - ערכה ( kit ) המכילה אפליקציות קטנות ושימושיות שמאפשרת לתוקף להשיג גישת " Root " למחשב הנתקף – הגישה הכי גבוהה שיכולה להינתן למשתמש . ,כלומר Rootkit הוא אוסף של אפליקציות ופונקציות אשר מאפשרים נוכחות קבועה ובלתי ניתנת לזיהוי של התוקף על המחשב של הנתקף , לרוב אלו נמצאים ברמת הקרנל ( ה - Rootkit הוא דרייבר ) . .עולה ההפעלה שמערכת לפני לפעמים קורה משאבי את העוטפת המסורתית החיצונית השכבה על ולהגן להמשיך יש הסייבר במלחמת ,לסיכום כגון הארגון IPS , FW , ANTI VIRUS ולנסות בארגון הפנימית לשכבה לב לשים יש אך .וכדומה .בארגון המערכות או המשתמשים של חשודות התנהגויות לזהות
- 6. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 6 מתוך 02 התייחסות ל בארגונים סייבר .השונים הארגונים בקרב לסייבר בהתייחסות קטנה לא שונות שישנה נראה לדעתו כי מספר נוסף לקוח זה סייבר מעין להיות יכול buzzword אבל המידע אבטחת של אבולוציה גם וכך השתנתה כוונות .ההאקרים מפני להגנה חיצוניים הגנה אמצעי נקט הארגון DDOS כעת . ארגון אותו נמצא פרויקט בסיום המהווה מאובטחת גישה משתמשים של .לאינטרנט ארגון אותו לגישה ורק אך המשמשות נוספות ""כבדות קצה עמדות מדי יותר שיש מספר הארגון לכן .לאינטרנט הקים נפרדת רשת מעין של סוג DMZ אליה שמתחברים לאיטנרנט לגישה טרמינל כמו של בשימוש או סיטריקס .ג'טרו למשתמש שדפדפן עד שניות כמה לוקח האינטרנט שקוף הכל לכאורה אך עולה למשתמש שלו הקצה לעמדת כלל קשורה שאיננה לאינטרנט חיצונית גישה לו ויש . אם ברשת רץ סוס סקריפט או טרויאני חשוד של הקצה עמדות כל את ידביק ולא הטרמינל על רק ירוץ הוא המשתמשים . כבר לגלוש יכול עובד כל , חשודים אתרים של באינטרנט החסימה למרות היא הבעיה פייסבוק נחסום אם ,לדוגמה .כלום חסום לא ששם אלחוטית ברשת שלו המובייל מכשיר דרך במסג דרך במובייל לגלוש יוכל העובד בארגון העבודה רת 3G . הם כי מספר אחר ארגון הגדירו עבודה לשם עצמו לארגון כשייכות הקצה עמדות את , כלומר רכוש עבודה ולכן , של זכותו לבדוק הארגון בהתאם ולחסום מחשב בכל רץ מה . לדוגמה .חברתיות רשתות חסימה אין במובייל מודע לא הלקוח .בעיה וזו במובייל לפגוע יכול הסייבר עולם כמה במשאבי ובכלל .במובייל גישה יש אם הארגון .בעתיד למובייל יותר יפרוץ הסייבר עולם לדעתו של בהקשר הסייבר נושא הוזכר עגול בשולחן ,כן כמו ועולם טלפוניה call center . לדוגמה , התחזות הטלפון דרך שיחו גניבת , לקוחות של רגישות ת - דבר לכל לקרוא אפשר אי ?סייבר זה אם השאלה .סייבר
- 7. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 7 מתוך 02 .בשטח הסייבר נוכחות את ומרגיש רואה הוא כי מספר אחר לקוח ב 1 לאפריל כי אמר ההתקפות ,השתכללו מי נגד מי היה ברור כך כל לא שני מצד אך כארגון . הם משתמשים של דרישות רואים פנימיים ל הל למערכות גישה הארגון של יבה המובייל דרך . מידע אבטחת של סכנה המהווה דבר .פשוט לא ואתגר כי מספר אחר לקוח המלצות של רשימה יש לחוקים ב FW לחסימה ויש במידה רק פורט ופותחים אירוע קריטי זאת הדורש . כי מספר הלקוח אפילו העולם מכל לבוא יכולות התקפות מ ישראל עצמה אחד אף על לסמוך ואין . , שני מצד הרשת את לסגור אפשר אי חייב הארגון ,לגמרי הארגונית .לתפקד להמשיך ,בנוסף עגול בשולחן עלה חדש תפקיד .סייבר מנהל למשרת ותקן כבר בצבא תקנים קיימים ב נושא זה זאת רואים שלא אזרחיים ארגונים לעומת המידע אבטחת משרות תקני ובכלל יחסית בארגונים .מצומצמים לקוח אחר מידע אבטחת לנושא ההנהלה של למודעות תרם סייבר כי ציין . בישיבות עולה הנושא .בהתאם מתוקצב ואף דירקטוריון .חשמל ,כגון לאומיות תשתיות על תחילה מאיים סייבר כי מספר הלקוחות אחד המידע אבטחת עולם השתנה שהיה מה לעומת מאד לפני 21 שנה . אבטחת והתרחבה דינמי באופן משתנה המידע .משמעותי באופן בארגון אצלו כי ציין הלקוח שלוחות יש .פתוחות להיות חייבות והם בחו"ל ישנה הסייבר בתחום פעילות המון בארגון . מה כי מציין הלקוח להנהלה הגיעה אשר מידע לאבטחת המודעות זו בסייבר טוב שהכי . כי טוען אחר לקוח צ אין עם טוב מספיק מוגנים כולם ,לדעתו .מסייבר להגנה מוצרים ולרכוש לרוץ ורך כי ציין הלקוח .היום מידע אבטחת של הנוכחים הכלים ההתקפה לפני עם הרמטית עצמם סגרו הם מידע אבטחת מוצרי קיימים מחו"ל חסימה ע"י גם . נוספת דוגמה .בשירות פגע לא זה מצב , בארגון יש נם שמוג שרתים גם ע"י נים ARBOR , קונפג לא והוא היות .כך כל הגן לא המוצר התקיפות ובזמן תקין . .פרצות למצוא מנת על בארגון קיימים במוצרים וחוקיות קונפיגורציה על ולעבור לב לשים יש זו לאופטי הקיימים המוצרים את ולהביא ליישם צריך ארגון שכל דוגמה מיזציה . המילה כי מספר אחר לקוח סייבר על דגש ולשים מידע אבטחת בנושא יותר להיערך לארגונים גרמה בארגון והלקוחות העובדים מודעות . הם באפריל שהייתה המתקפה לפני שבועיים כי ציין הלקוח כולל מצב הערכת ועשו אבנט עם התייעצו ב חוקים סידור FW .האבטחה מוצרי ובשאר שגרם מה הצ בין הפעולה שיתוף הינו להצליח לנושא בארגון וותים - וה ,האבטחה ,הסיסטם צוות help desk . .לכך תרמו הנהלים שגם כמובן מוצרים מספר הכניס הארגון NAC - SWAT של וחסימה פוליסי לבדיקת אינטרנט גלישת ,חיצוניים גורמים ,מאובטחת גם fireye תרם גדולה היערכות גם הייתה .לנושא הארגון משתמשי מבחינת . מאמין אחר לקוח זה שונים מוצרים למכור מנסים ספקים שאם טוען הוא .סייבר המילה של במהות .בשטח משהו קיים שאכן אומר לדעתו לסייבר אמיתי מענה אין כ"א עם ,חמ"ל של הקמה רק , שיושבים ומערכות 31/1 . .אליו מודעים כולם ולא היום צעיר יחסית הסייבר תחום לדעתו אבטחת המסורתי מידע יודע ת ת להתמ סוס כמו קטנים איומים מול ודד טרויאני אם השאלה . ארגונים יודעים פשע ארגוני מול להתמודד להפיל ומנסים אחד ארגון על מתמקדים בהם ארגונים ?בסין הקיימים .אותו ש האקרים ישנם באר יושבים מקיומם יודע לא אחד ואף שנים מספר גון לדעתו . סייבר זה רק לא
- 8. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 8 מתוך 02 buzzword .ריאלי אכן זה כי מספר הלקוח רצינית מתקפה חוו ימים מספר במשך . לדעתו לכן אי ש להגיד אפשר ו היות קיימות לא התקפות מתקפה מול התמודדו הם של .אנונימוס לסייבר אין ברורות תשובות .בנושא מוצרים המון בוחנים וארגונים כי טוען הלקוח אם מוצר כל לפרוץ ניתן מתאמצים למרות מאד penetration test . אחד אף על לסמוך אפשר ואי מזה להתעלם אפשר אי . הלקוחות אחד מידע אבטחת ביקורת מתחום דווקא בנושא ובשלותו הארגון היערכות על מספר בשם סטרטאפ בעזרת נערך ,סייבר cyber arm . כל את לקח הספק ,למעשה ,המוכרים התוקפים ,התקיפה יכולות מערכות ,לתקיפה הסתברות ה ארגוניות לתקיפה קשורות ויצרו גדול אקסל ניתן בו ראה הארגון זה בעזרת .לארגון הרלוונטיים הסיכונים מהם לראות המערכות של הבשלות רמת את ל הארגוניות סייבר . ,להתמקד כדאי איפה לדעת חשוב כי מציין הלקוח להשקיע ו מערכות באילו חולשות בעלות ארגוניות . כי טוען אחר לקוח טובה גישה זו זאת לערוך קשה מאד אך . הם המדדים נכונה בצורה ולהסתברות לסבירות לקלוע וקשה ואיכותיים כמותיים לא הארגון כלפי שהיה איום לכל בכלל המגזר או . כיום הארגוני למצב וראייה הערכה נותן זה שני מצד אך . זו כי טוען הלקוח ,בנוסף שגויה הערכה עקב אך מצוינת פתיחה נקודת ו ייתכן ל במשאבים יטפלו א ל לפספס ועלולים מטה שה דברים ו קטנים ם חשודים יותר . גם זאת לעשות ניתן חברתיות ברשתות לארגון הקשורות או מסוימת ארגונית ברשת . הארגון משתמשי מודעות האחרונה בתקופה .בארגון המידע אבטחת לנושא רבה מודעות קיימת כי מספר הלקוחות אחד רבות מתקפות מפורסמות הם .מוזר מייל אליהם מגיע אם מודיעים ואף נלחצים והעובדים בחדשות נלחצים המנהלים גם .להנהלה למעלה צף המודעות נושא .בנושא מידע אבטחת למחלקת מדווחים ועדות יש בנוסף ,בעבר היה שלא מה, לשבועיים אחת מידע אבטחת פורום ומקיימים מהנושא מצב חדר אין בארגון .בנושא תכופות .מנוהל הכל בו חמ"ל או להתקפות בנושא כי מספר אחר לקוח מודעות ה עושים עובדים .הרבה תרגול עושים לא עדיין אבטחת אנשי של מידע . מידע אבטחת בנושא ביקורות נערכים שדרכם רגולציות הרבה ישנם . הארגון מתמקד מאד ה מודעות בנושא ו עובדים auditing .הארגון בתוך בו תהליך פיתחו הם ה מי לדעת יכולים משתמש ל שניגש DB חיצוניים כלים לא . כי ציין הלקוח ,כן כמו ה נושא שנה כל SIEM לשנה ונדחה עולה הרגולציה היא הגדולה הבעיה .הבאה והמ היות י ד ע בארגון רגיש כמו לא נמצא הוא איפה לדעת ויש ידוע לא כי החוצה ארגוני מידע להוציא קשה .בענן .הארגון מבחינת בעיה וזו עובר הוא איפה בעזרת ביטוי לידי בא המודעות נושא אצלם כי מספר נוסף לקוח הדרכות לעובדים בנושא סרטונים , מידע אבטחת באיומי חדשים מחקרים עם שמוציאים ניוזלטר על מספר אחר לקוח ,מידע אבטחת .ווירוסים באזז עושה הסייבר כי מספר אחר לקוח .אדם כח לא ואף ,לנושא רבים משאבים הוקצו לא ולצערו הקיימים הכלים את לנצל ולנסות היום עד שהיה כמו מידע אבטחת בנושא לטפל ממשיכים הם ,לכן .הלקוח טענת לפי מספיק עושים לא הם העובדים מודעות בנושא .בארגון בארגון כי מספר נוסף לקוח מודעות בנושא האחרונה בשנה השקיעו כל רבעון מייל יוצא לכלל עובדי ה ארגון .חדשים איומים בנוש ,בנוסף יצרו מצגת הארגוני המידע הגנת בנושאי ומובנת פשוטה והכריחו את המשתמשים לעבור 31 דק עליה ות פעם בשנה .
- 9. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 9 מתוך 02 יצרו כי מספר אחר ארגון ייעודית הדרכה של כנס מיני מעין ,שנה בחצי פעם ההדרכה מחלקת של מידע אבטחת באם שוטפים מילים יש מידע אבטחת מדיניות מבחינת .העובדים מודעות להעלאת של קורס עשה הארגון .בנושא וערנות מתקפה מתוכננת 5 .סייבר ממוקד מחשוב מנהלי לכל ימים אליו מודעות כלל היה שלא נושא .מאובטחות אפליקציות פיתוח בנושא היה השיעורים אחד לדוגמה הרבה ובעוד בארגון היה כי מספר הלקוח .וחולשות פרצות המון להיות יכולים פיתוח בקוד .ארגונים זה הכל לא .מאובטח קוד וביצירת בפיתוח אבטחה של המשמעות את להכניס קשה false positive . עם עובד הארגון כיום .מאובטח קוד של קורס עברו הפיתוח צוותי כל גם כי לציין יש checkmarks . לאנשי קשה קצת המידע אבטחת אנשי את הביאה זו דרישה .ברירה אין אבל זאת להבין הפיתוח .בקוד וחולשות תקינות לבדוק ה נושא כי מציין אחר לקוח מודעות ל להביא יכול וסייבר היות חשוב במוניטין פגיעה .הארגון בארגון מודעות יש - עובדים שלהם המחשוב בעמדות חשוד למשהו או למיילים ערניים פנימיות הדרכות יש . לעובדים עוברים וכולם לומדה בנושא מבחן עם ,פעמיים או בשנה פעם חובה סופי . יש ,כן על יתר סרטוני ם .ומופצת בהתאם מתעדכנת מידע אבטחת ומדיניות מהעולם וחדשות מידע אבטחת בנושא נוסף לקוח כי מספר ע"י המשתמשים מודעות את הגבירו שליחת וירוס בסיסי מספ פעמים ר דרך PDF או , PPT עובד פרטי מזינים בהם התוצאה .הגרלות לשם היו עובדים שהתפתו בודדים את ופתחו הקובץ . שלחו ,למשל מ של משכורות עם אקסל ש עד ללחץ נכנסו ואנשים בארגון נהלים למנהל הגיעו אנוש משאבי כך על .אותם שמתקיפים מ וזה חשוד מייל כל לפתוח פוחדים המשתמשים עולה . מידע אבטחת מדיניות ההתקפות תכיפות נושא על עגול בשולחן דיברנו גנריות ,סייבר של לנושא רגולציה של הנחיות יש . ו ספציפיות הנחיות אין לנושא פ לא בצורה הכל . ו .בינתיים רמלית ,לכן לב לשים צריך ארגון כל ,למדיניות לבצע בחוץ מודיעיני מידע ואיסוף זיהוי ובפנים לבנות פרו הגנה - אבטחת כלי של אקטיבית !הכל לנצח אפשר אי .מידע מראש ההיערכות חשובה של תהליכי ,נהלים והתמודדות תרגולים ,ם אירוע לאחר . חשוב שאחרי ליום להתכונן בארגון והתגובה ההתקפה . לב לשים חשוב שמצליחים ל רק ולא נהלים להטמיע אותם תת המוצר הטמעת הוא התוצאה מבחן. ים ו בשטח עוזרים הם האם הסייבר מציאות כנגד . לקיים יש ,בנוסף צוות של תירגולים המידע אבטחת בפרקטיקה . ,כלומר מי את ליידע צריך .קריטיים בנושאים לטיפול נוהל ועד לפעול איך ,אירוע בזמן כי מספר אחר לקוח הארגון .קיימת מידע אבטחת במדיניות ביטוי לידי בא הסייבר נושא הכניס לנושא הרחבה בעזרת במדיניות המידע אבטחת סעיפים כמה בעקבות .הסייבר הארגון בח ן לפני לסייבר כללי מאד פתרון שנה הנקרא cyber sense .בהתחלה היו שעוד מתעסק הפתרון ב honeypots .ברשת כרגע ממתינ להתקדמות עד הפרויקטים לסיום ים .הפרויקטים שאר הבעיה ש כ"א הרבה אין .מידע לאבטחת הקשור להעלות חובה .לפעם מפעם המתעדכנת אבטחת מדיניות על מסודר מעקב יש כי מספר אחר לקוח לכלל מפיצים באישורם ואז לדירקטוריון המדיניות מסמכי את בשנה פעם .הארגון
- 10. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 12 מתוך 02 הגנה כלי zero day סייבר / ב להיעזר יש כי מתאר אחד לקוח שיושבים כלים ,ברשת מאזינים ומזהי .אנומאליות ם כי לציין חשוב הכל עסקיים במונחים - פורטים רק לא עסקית שפה ופרוטוקולים . ממה יותר הדפיס אדם אם ,לדוגמה ,להדפיס היה שאמור ל פניות DNS הללו הדוגמאות כל ,בארגון שאסור מה חיצוני לדיסק העתקה או .בהתאם ולטפל לבדוק יש אשר חשודות התנהגויות מהווים באותו ולפיקוח לאכיפה שאחראי מי ארגון הוא אגף הביטחון מהו המגדיר מידע אבטחת מנהל יש . טכנולוגי וזרוע הרגיש המידע ה ת לייש וטכנולוגיות כלים על אחראית ו מ אם .בארגון ם שתמש הדפיס ,מדי יותר מקבלים הטכנולוגיה אנשי ה את התראות .החשודה הפעולה על לביטחון אומרים הם לבדוק הנו את חיצוני להתקן רגישים קבצים העתיק או המידה על יתר הדפיס המשתמש ולמה שא .התקרית על ודו"ח הנושא של תחקור יש .בהתאם פועלים והם בעזרת לדוגמה מתגלה כזה דבר מערכת SIEM SOC .בארגון גם מתמקד הארגון בעולם ה מובייל .להתרחש גם עלולה הסייבר מלחמת בו ה עסקיות דרישות גוברו ו ת בנושא האבטחה ועם איתם להתמודד שיש פרויקטים המון ישנם . ,הלקוח לדעת לבנות חשוב וארכיטקטורה מדיניות .המובייל נושא לכל מערכת כל הפעלה היום כוללת פיצ'ר ים חדש ים וחייבים לארגון זאת לאפשר ולהנהלה . נגמר זה היום ,לא דבר לכל אמרו מידע אבטחת אנשי בעבר . אותו ארגון אנומליה לזיהוי במערכות גם מתמקד . כי טועם הלקוח ה כל מעטפת החיצוני בארגון ת כבר מכוסה :כגון מידע אבטחת בכלי FW , IPS . AV ל מאפשרים איך . משתמש מידע להוציא ללקוחות מוצרי ,ורוניס כמו הרשאות לניהול במוצרים להשתמש ניתן ?החוצה DLP נת איך . משת פוס משים המבצעים לגיטימיים פ חשודות עולות כמו כלים יש ?ברשת netwitness לוגים המון האוספים ואז בשם סטרטאפ עם פיילוט ביצעו כי ציין הלקוח .פעולה כל ולבדוק ברשת קורה מה להבין ניתן light cyber מ המורכב חכם אלגוריתם אלא לוגים המון צובר שלא אנומליות מחפש ברשת .אמת בזמן כי מספר הלקוח ה העולם להגיע וניתן שתכלל ו הארגון ספקי דרך הארגון למשאבי לקוחות .יו עם המתמודדים כלים להם אין כי מספר אחר לקוח zero day התקנת נושא , patches מורכב מאד ס בנושא חדשים מוצרים שום בחנו לא כרגע .בתכיפות לעדכן יוצא ולא אצלהם ארגונים ישנם .ייבר בנושא המטפלים zero day בעזרת כלי DLP – .מידע זליגת לקוח כי מתאר אחר שאחראי מי מחלקת זה ברשת חשודות להתנהגויות המידע אבטחת ו ה סיסטם בשילוב . משתמש ארגון אותו .הביטחון קצין של התערבות יש הארגונית ברשת קריטי משהו יש אם מפני להגנה אינטרנט ספק של בשירות DDOS . היום יכולים בה מהקלות מאד מוטרד אחר לקוח או להתאמץ בלי ארגונים של אינטרנט אתרי להפיל להגיע הארגון לתוך . כי מספר ארגון אותו הטמעת patches אצלהם מהירה הינה - גג 3-2 חודשים על ה .שרתים עובר הארגון לוגים על ומסמן יותר קריטיים שרתים בעייתי יותר האתחול בהם הש רוב . רתים מספיק לא בארגון וניתן קריטיים הלילה בשעות איתחול לבצע ה התקנת ולכן patches מהירה . דבר של בסופו כי מספר הלקוח מידע אבטחת הנחיות נותנים ל ונהלים סיסטם ה שרתים על אחראים בפועל המדיניות את ומבצעים . הם כי מספר ארגון אותו מריצים אותו את patch א וירטואלי שרת על סביבה ו מצומצמת מנת על ב בעיה שאין לבדוק אותו .עדכון פיילוט עשו כי מספר לקוח אותו ,כן כמו של בשם מוצר fireeye שלא הוכיח את מלא באופן עצמו . המשתמשים מרבית .מדי יקר המחיר כי טענו לקוחות מספר ,כן כמו שימוש עושה הארגון .הרצה קבצי להריץ מורשים לא ולכן , התחנות על הרשאות בעלי לא בארגון
- 11. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 11 מתוך 02 ""רזות קצה בעמדות thin client כי ייתכן מכך וכתוצאה fireeye .הועיל לא העניין את הבנתי [לא - הארגוני המשתמש אומנם את להריץ ניתן לא האם אבל אדמין סיסמת אין fireye עם מהמרכז ]?אדמין של הרשאות הלקוח כי טוען מערכות אבטחה בשלות מספיק לא אחרות האנומליה לנושא . לדעתו כי אומר הלקוח בנוסף שיכול מערכת אין ה לתפוס zero day .טובה ממש בצורה הם כי מספר אחר ארגון אנומליה פתרון שוקלים של sourcefire גם שהוא FW , IPS , ובודק אנומליה למוצר שיש נראה כי טוען הארגון . ברשת מדהימות יכולות אך המסמך סמך על יי לא עדיין ושם בפועל . המוצר .מדי יקר נמצא כרגע הארגון בחינ בתהליך ת IPS , מתקפות עם להתמודד להם שיעזור הסייבר . להכניס שוקל הארגון ,כן כמו SIEM להתמודדות עם zero day . שכנראה טוען הארגון לא תהיה אנומליה מוצר להכניס ברירה גם הארגונית לרשת . חוסם הארגון ברמת ,מחו"ל תקשורת ISP , .ארגונית וגם .עסקי צורך מהווה דבר כל ולא היות לחו"ל גישה צריך אם להבין יש עובד ,למשל של האתר את לראות שרוצה בינלאומי הארגון מ פעמי חד חו"ל - כל את לפתוח צריך באמת האם ?לחו"ל הפורטים לקוח ברמת ההיקפית ההגנה כי טוען אחר ISP מספיקה לא כבר כיום לבחון ויש ל מוצרים זיהוי כמו אנומליה netwitness גם ,לסוף .שבחנו הטמיעו light cyber . ה כי מספר הלקוח יפה מאד מוצר לזהות הצליחו ובעזרתו ברשת עליהם ידעו שלא דברים כיום . ומעבדים הלוגים את בודקים אותם ל SIEM שעדיין בהטמעה גם . בעזרת כי טוען הלקוח מוצרים קיימים קשה ל זהות zero day צריך ממש זה לשם הרשת בתוך לחפור . אצלו כי מספר הארגון אחד גלישה יש לאינטרנט דרך VDI , נפרדות עמדות כולל whitelist אתרים של לא או חשודים . של לוגים לניהול בכלי משתמש הארגון HP ארקסייט בשם אשר התראות זורק בארגון .בהתאם בין הפרדה יש המידע אבטחת מחלקת ל IT . לארגון לוגים לניטור מערכת יש והתראות - שלהם עצמי פיתוח מודיעין של ונושא SOC גם . עצמו להשוות לארגון תורם המודיעין נושא בכלל ומתחרים אחרים ארגונים מול . החיצונית ברשת קורה מה יודע הארגון המודיעין נושא בעזרת ואז האתרים בכל התקפה מתוכננת אם יודעים הם .וכמה מתי ,לקרות הולך מה ,באינטרנט לוקחים עותק ויוצרים .הגנה לשם בענן האתר של הם כיום במערכות הקטנים השינויים כי אומר אחר לקוח למשל כמו אמיתי מענה שנותנים אלה מחו"ל פורטים חסימת ]?לא לתקוף יכולים מישראל שגם אמרנו אבל [ באותו שהייתה במתקפה . הארגון שעשו מה זה כ .ראשון צעד בעולם מסתובבים לקוחות ויש היות מחו"ל גישה לחסום בעיה זו בארגון לשירות גישה ורוצים . ב גדול סיכון קיים כי להבין יש הבדל יש כי מספר הלקוח .לחו"ל גישה לארגון .ישירות ו נפרדת סביבה דרך לאינטרנט הגלישה בנושא עצום כך כל עם להתמודד קשה הרבה IP פתוחים החוצה . של תוצאה זו הכל סיכונים ניהול זאת לעצמו מאפשר ארגון כל והאם . ,למשל ב ארגונים ב י חוסמים טחוניים סיכון לוקחים ולא הכל . מול שעומדים סייבר של במקרה אדם וכח כלים לך יאפשרו באמת ההנהלה - התקפה באותה .ואיך איזה השאלה כי ציין הלקוח ספקיות האינטרנט לא מבחינת להתקפה נערכו קינפוג ,לכן .המוצרים מסודר תהליך היה של הפקת מול לקחים ה ספקיות הכלים וקינפוג בחוקים והחמרה . הארגון ,בנוסף הרי ץ על סריקות המון במקביל האתרים והקשיח שלו משמעותית יותר בצורה כלים כמו WAF היום . הארגון לא ב מאובטח 011% כי חולשה או פרצה איזו תהיה תמיד קטנה ואפילו מסוימת . .בארגון בעיה זו לשרתים עדכונים ,למשל ו היות בייצור לסיכון חשיפה יש יש אם המידע באבטחת פגיעה ר מאד וזה .גיש
- 12. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 10 מתוך 02 כי מספר אחר לקוח ש מהצבא הגיע ם ה סביבה עשו סיכון לכל .פרנואידית הייתה גם ,איומים ניתוח .איומים יש הרמטית סגורה ברשת כיום בארגון שלו א על דגש פחות יש מידע בטחת . גם הכל אם מהאינטרנט מנותק עדיין .איומים יש ואף חיצוניים מלקוחות להגיע יכולים איומים ספקים הנ י גשים .הארגון למשאבי כי מספר הלקוח מידע ודליפת מידע זמינות ,מידע שיבוש הקריטיים הנושאים הם דגש לשים צריך הארגון עליהם . ארגון באותו מאד קשה לעשות denial of service מחוברים לא אם .לרשת מוצרי בחן הארגון zero day ב המטפלים .לארגון ייעודיים וירוסים כתיבת הלקוח שהם חושב מעניינים לא רלוונטי לא כבר וירוס אנטי .לסייבר מתאימות בפעולות לנקוט יש עדיין אך האקרים היום . כיום יש נם חיצוני טכנאי בהם תרחישים בארגון לפגוע גם יכולים מנקה או רגיש מידע גניבת ע"י העתקתו או . שעשו איומים ניתוח לפי הלקוח בר אותו ישימו לא שהאקרים חושב .העדיפויות סדר אש ש להיות יכול י זה .בעתיד שתנה את בחן הארגון סימנטק whitelist .בנושא מקאפי של גם מוצר ויש זה .חשודים נחשבים ברשימה שאינם השאר וכל במערכת ירוצו קבצים אילו מגדירים עצמו במוצר לכלול עלולים חשודים קבצים אילו מגדירים בהם אחרים ממוצרים ההפך למעשה וירו אנטי .וירוס ס .מהמחשב גבוהים משאבים צורך רגיל המוצא לכן קובץ כל מנטר לא אלא ומי מעניינים קבצים רק אותם לשנות שמנסה הוא לשנות נותן לא המוצר .מתריע הקבצים את ו .איך אז השתנה אם נוסף לקוח גם כי מספר מלא באופן לממש הצליחו לא fireeye . כעת של אחר מוצר בוחנים websense של בשיטה שעובד sandbox של סוג יש אלטו לפאלו גם , sandbox ה כלי . DLP משמש ל בינתיים הארגון את zero day ,בתחנות המשתמשים הרשאות של בדיקה יש . segregation of duties את גם לבחון מנסים .חיצוניים התקנים חסימת , Sourcefire ומ חדשני אחד מצד מזכיר שני צד את snort .קיים שכבר .בארגונים מידע אבטחת מנהלי בקרב נוסף לחשש גרם גם המובייל הקצה עמדות התרחבות יש .במובייל גם כיום פעילים מוצרים של מודולים להטמיע ניסיון ה נושא כי מספר אחר לקוח NAC – network access control עובדים כיום .בארגונים מאד חשוב גם עם SWAT הארגונים במרבית נערכו הסייבר על הבאז בעקבות . penetration test הקיימים לכלים .ברשת ואיומים חולשות ולמציאת
- 13. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 13 מתוך 02 המלצות STKI סייבר בנושא נספח מיוחד התייחסות ספקים ויצרנים לנאמר במפגש חברת התייחסות WE פישר דורי :קשר איש 1532329111 can.co.il - dori@we בחברת We ! אנו מאמינים כי העידן הנוכחי באיומים הוא עידן ה Post Prevention , הכוונה הינה לכך שווקטור ההדבקה של תחנות שרתים בארגון אינו ידוע ואינו ניתן לחיזוי מראש . יתכן ויצרן התוכנה החביב על הארגון , אפשר קוד זדוני בתוך הדיסקים שסופקו וכך דיסקים מקוריים של יצרנים אינם עוברים הלבנה או לחלופין שדיסק חיצוני חובר פיזית או שמדובר במחשב נייד שהדביק וכן הלאה . מכיוון שווקטור ההדבקה אינו ניתן לחיזוי ואף סביר שכבר קיימת הדבקה מסוימת בארגון , אנו מאמינים שיש לרכז את המאמצים בזיהוי מוקדם ככול האפשר של הנוזקה . בסקר שבצערה וריזון ( DBIR 2013 http://www.verizonenterprise.com/DBIR/2013 ,)/ המתייחס ל 11,111 אירועי אבטחת מידע , נמצא כי זמן זיהוי הנוזקה עומד על חודשים בכ 66% מהארגונים ! הנזק שנגרם בחודשים בהם פעלה הנוזקה ללא הפרעה הוא זה אשר ארגון חייב למזער באופן משמעותי .
- 14. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 14 מתוך 02 אתגר נוסף שקיים בארגונים שכבר הטמיעו מערכות ניהול אירועי אבטחת מידע ( SIEM ,) הינו שלאחר זיהוי מוצלח של תחנה או משאב פנימי שסורק את הרשת למשל או מבצע כישלונות רבים בהזדהות , הארגון חסר את הידע והניסיון לאתר את הנוזקה בתחנה שבהרבה מקרים אינה מזוהה על ידי האנטי וירוס המותקן . כיום , מעל 01,111 תחנות ושרתים במדינת ישראל כבר מוגנים ע " י ECAT - http://www.siliciumsecurity.com / ואנו מזהים וחוקרים קוד עוין באותן תחנות . ברמה הרשתית חברת ווי מייצגת את דמבלה https://www.damballa.com / אשר מאפשרת זיהוי של תעבורה חשודה ע " י Sandbox ברמת הענן וניתוח מבוסס פטנט של DNS , כחמישה מתוך 01 ספקי האינטרנט העולמיים עושים שימוש בפתרון של דמבלה ללקוחותיהם . חברת התייחסות Prodware בן אלון :קשר איש - טולילה 123111110 1 abentolila@prodware.fr כאינטגרטורים למערכות ERP , CRM , SharePoint ומערכות IT אחרות , אנו נחשפים לארגונים רבים בהיבטים של אבטחת מידע , סיווג ומידור מידע . הניסיון שלנו מראה שהגופים המסווגים בטחונית משקיעים תקציב גבוה יותר באבטחת מידע מאשר הגופים המסווגים עסקית . בנוסף , מנסיונינו , המודעות להיבטי אבטחת מידע גבוהה יותר בקרב גופים הבטחוניים מאשר בגופים העסקיים . מכאן , המלצתינו היא לשתף ידע ממוקד Cyber ואבטחת מידע בכל הדרכים האפשריות , בין הגופים הבטחוניים לגופים העסקיים וכך לצמצם את הפער . חברת התייחסות Mobisec דולפין ליאור :קשר איש 1511215619 lior@sourcefire.com התאמת אמות מידה של הגנה לגל האיומים הבא נראה שכל חמש שנים בערך אנו עומדים בפני מחזור איומים חדש – החל בווירוסים , עד ' תולעים ,' תוכנות ריגול ( spyware ) וערכות שורש ( rootkit .) היום אנו מוצאים עצמנו נאבקים בגל האחרון – תוכנה זדונית מתקדמת , מוכוונת להתקפות ולאיומים מתקדמים נמשכים ( APT .) בזמן שאיומים אלו הוכיחו עצמם כהרסניים יותר , עלינו רק לבחור באלו טכנולוגיות מתאימות לנו וליישם אותם בצורה נכונה . בנוף איומים זה , המתפתח כל הזמן , עליך לשאול את עצמך : האם אני נוקט באמות המידה הנכונות בבואי להגדיר את הדרך הטובה ביותר להגנה על הארגון שלי מפני מתקפות מתקדמות ?
- 15. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 15 מתוך 02 מודול AMP – Advance Malware Protection חברת Sourcefire פיתחה טכנולוגיה חדישה המאפשר זיהוי קוד זדוני בקבצים העוברים ברשת והתנהגות תעבורת רשת של רוגלות , קיים גם מודול endpoint למערכות הפעלה מבוססות windows ו - Android ( . מתוכנן גם מודול עבור MAC ו - iOS .) טכנולוגיה זו מתבססת על טכנולוגיית ענן כך שכל קובץ העובר דרך הסנסורים של חברת Sourcefire לוקח " תביעת אצבע " ( Fingerprinting ) של כל קובץ אשר נשלח אל הענן ( למען הסר ספק , קבצים לא מועלים לענן , אלא רק תביעות האצבע שלהם ) ומשם מתקבלת תשובה לגבי מהות הקובץ – האם הקובץ לגיטמי ומוכר ? האם הקובץ זדוני ומוכר ? האם הקובץ אינו ידוע ? במידה והקובץ אינו ידוע תמשיך המערכת לעקוב אחרי תנועה שלו על המחשב ו או ברשת עד לקבלת מידע חדש לגביו . במסגרת מחשוב הענן חברת Sourcefire מנתחת מליוני קבצים ביום . ניתוח קבצים אלו מתבצע בארבעה אלמנטים עיקריים : 0 . ניתוח מבוסס חתימות 3 . ניתוח היוריסטי – ניתוח באלגוריתמים ייחודיים הממפים מספר פולימורפים בקובץ לזיהוי קוד זדוני . 2 . ניתוח קובץ למול האפליקציה המריצה . 1 . ניתוח מבוסס Sandboxing – בין מערכות הניתוח קיימות למעלה מ - 111 מערכות Sandbox לניתוח של קבצים על מערכות חיות . 5 . ניתוח מבוסס מנועים אנליטיים . השימוש ב - AMP נותן בידי גופי אבטחת המידע בארגון כלים לניהול התפרצות ( Outbreak Control ) תחת התקפה . בין הכלים ניתן למנות : • חסימת קובץ / קוד • יצירת חתימה • יצירת Group Policy Control ( באמצעות ה - Real-time User Awareness ) • יצירת Whitelisting לקבצים לגיטימיים וקבצים שנכתבו " בבית ( " Homegrown Applications .) • חסימת תקשורת ויצירת Blacklist בנוסף , המערכת תייצר תרשים זרימת של מעבר הקבצים השונים ברשת המאפשרים להסיק איזה קובץ ייצר קובץ זדוני ועם מי ברשת נוצר קשר / הדבקה וכיו " ב על פני ציר הזמן : בגישה של לפני ההתקפה , תוך כדי ואחרי ההתקפה אנו מספקים פיתרון הגנה מלא מפני רוגלות ו Zero Day לרשתות הארגוניות , למחשבים והתקנים ניידים , אשר יוצאים מהארגון והם ללא ההגנה אותה מספק הארגון מקיים ביציאה לאינטרנט מהרשת הארגונית ולמכשירים מבוססי אנדרואיד . על מנת לספק את מירב ההגנה , חברת סורספייר מאמינה כי על הפיתרון להיות משולב רשת ומכשירי קצה . הטכנולוגיה מספקת אפשרות " לחזור " בזמן ולנתח בכל זמן ארוע שהתרחש בארגון ולספק נראות והגנה מפני שרשרת התקיפה " Attack Chain , " ומציגה כיצד היתבססות על פתרונות אנטי רוגלה ( כמו אנטי וירוסים ) ופתרונות מבוססי טכנולוגיית Sandbox בלבד יכולים לייצר תחושה מוטעת של אבטחה .
- 16. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 16 מתוך 02 בהינתן שרשרת ההתקפה ( Attack Chain ,) אנו יכולים בקלות לראות שתוקפים מתוחכמים ובעלי מוטיבציה יכולים ואף בפועל גוברים על טכנולוגיות גילוי גם רב שכבתיות . למעשה , דוח חקירות פריצות המידע משנת 3103 ( Verizon 2012 Data Breach Investigations Report ) גילה שבכמחצית מהמקרים שנחקרו , נדרשו חודשים ולפעמים אף שנים לגלות פריצה קיימת בארגון . זה הרבה יותר מהזמן הנדרש לתוקף להשלים את משימתו , למחוק עדויות ואולי אף לבסס " דלת אחורית " שתאפשר גישה עתידית לפריצות שיבואו לאחר מכן . גילויים תמיד יהיו חשובים , אך טכנולוגיות גילוי סורקות קבצים רק פעם אחת . בנקודת זמן מסוימת . על מנת לזהות אם הן זדוניות או לא . אם הקובץ לא זוהה כחשוד או אם הוא מתפתח והופך לזדוני לאחר שכבר חדר לסביבה , בשלב זה טכנולוגיות גילוי כבר לא יעילות בזיהוי פעילות מתקדמות של התוקף . ומכאן לא קיימת נראות של הארגון ביחס לארוע זה , אלא אם משלבים טכנולוגיות ואנשי מחקר ( Forensic . ) סיכול תקיפות אינו מסתכם בגילוי אלא גם בהקטנת ההשפעה בהנחה שתוקף חדר למערכת . כשעוסקים באבטחת מידע לעולם יש להניח את ההנחה " אילו כלים טכנולוגיות ידע יעמוד ברשותי כאשר אהיה תחת תקיפה ?" יש לנקוט בעמדה פרואקטיבית להבנה ואומדן הנזק , להכיל את הארוע , לתקנו ולהבין שבחלון זמן שהיינו תחת התקפה על מחשב מסוים . האם יש בידנו כלים לדעת עם מי המחשב הנגוע תיקשר ? מהרגע שהוא נחשף לרוגלה ועד לרגע שניקינו אותו ? תוכנת רוגלה לרוב לא באה לבד , היא באה עם רוגלות נוספות .. גם אם נתקן את הנזק שיצרה רוגלה מסוימת , אנחנו יכולים בוודאות לדעת כי לא באו עוד רוגלות ? מה הנקודה בה נכריז כי הארע הסתיים ונחזיר את התפעול לשגרה ? טכנולוגיות המאפשרות ניתוח אבטחה רטרוספקטיבית ( היכולת להביט לאחור , לנקודת זמן מסויימת ולהבין מה התרחש מאותו רגע ואליך ) באופן שוטף הינן הכרחיות לסיכול תוכנות רוגלה . • אבטחה רטרוספקטיבית עושה שימוש בידע המבוסס על אבטחה בזמן אמת על מנת לקבוע את גודל הנזק , להכיל אותו ולתקן את הנזק . רוגלות והתקפות שנמשכו שבועות ואף חודשים כעת ניתנות לזיהוי , הגדרה , הכלה וניקוי מהיר ובעיקר נותנות לך כלים להבין מאותו רגע נתון שהתרחש ארוע מסוים על מחשב מסוים תוכל לקבל מידע מאד חשוב שבראייה לאחור אף קריטי – עם מי המחשב הנגוע דיבר ? מול אילו מערכות ? האם שונו קבצים במחשב ? ועוד . איומים יכולים לחצות היום את ההגנות הקיימות , כיום , כבר לא מספיק שיהיה גילוי וחסימה בנקודת זמן מסוימת . טכנולוגיות צריכות לפנות לרצף המתקפה השלם – לפני ההתקפה , במהלכה ולאחריה , באמצעות שימוש ביכולת רציפה , תקבל נראות ותזהה גישות אבטחה שמשתמשות בניתוחים בענן , כדי להעריך קבצים חשודים או לא מוכרים אל מול מודיעין האיום המתקדם ביותר , לתקופה מורחבת של זמן ולקבל בזמן אמת מקהיליית המשתמשים במידע מודיעיני זה , להשגת ' חיסון קולקטיבי .' היכולת לבצע ניתוח עמוק כדי לקשור בין אירועים , למצוא מערכות שמדגימות סימפטומים של פשרה פעילה ולאחר מכן להפוך לאוטומטי את הניתוח וסדרי
- 17. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 17 מתוך 02 ההעדפה של הסיכונים , יכולה לשכך את הנזק ולהאיץ את תהליך השיקום בארוע מסוים . שאלות עיקריות שכדאי לשאול : • כיצד ניתוח התוכנה הזדונית שאתה עושה מעדכן באופן אוטומטי את יכולות הגילוי בנקודות השליטה ואצל כל הלקוחות ? • איך אתה אוסף מידע מודיעיני לגבי איומים שמופיעים ? • איך אתה מסוגל לוודא אם בהתקן או במערכת מתקיימת פשרה עכשיו , או האם התקיימה פשרה אתמול ? IOC - Indicator Of Compromise - גישה זו , באה לתת מענה וציון לכל קובץ . ישנם תהליכי בדיקה מורכבים לכל קובץ ולכל סוג של קובץ . למשל – 0 . קצבים יקבלו ציונים " גרועים " אם הם בודקים האם על המערכת הפעלה קיימת סביבת VM ( קבצים אילו מנסות לעקוף מערכות SANDBOX ) 3 . קבצים אשר מחפשים שרתי DNS שהם לא שרתי הארגון ( למשל , קובץ אשר פונה לשרת DNS של חברת גוגל , אקמאי ואחרים ) 2 . קבצים אשר בזמן הרצתם בודקים אם קיימות תוכנות כגון Wireshark ותוכנות DEBUG אחרות 1 . קבצים אשר פונים לשרתי תעודות בעולם ( שרתי CA ) ומבקשים לשנות או לעדכן רשומות דבר אחד בטוח , אין שום סיבה שניתן לקבצים מסוג זה לרוץ על תשתיות ארגוניות ובטח לא על ניידים אשר נמצאים מחוץ לארגון נטולי הגנה של ה GATEWAY וכאשר חוזרים לארגון , הם בתוך הארגון ומפה מתחיל ארוע שעד היום היה מאד קשה לקבל נראות לגביו כשזה נוגע להגנה על הרשת שלך כיום , זה דיי ברור כי אין באמת פתרונות מיידיים ( silver bullets ) ואולי אפשר לומר גם כי הן לא קיימים . לא עובר יום מבלי שנשמע על פריצה שהצליחה . תוקפים חושבים מחוץ לקופסא וכך גם עלינו לעשות . מטריקס חברת התייחסות :קשר איש :'טל ,במטריקס וסייבר מידע אבטחת התמחות מרכז מנהל ,בוטנרו שלומי 151-3318156 , :אימייל ShlomiBo@tangram-soft.co.il האקסיומה הבסיסית בעולם הגנת הסייבר הנה שניתן לעקוף כל שכבת הגנה . מתחברת אליה העובדה כי כנראה לעד יהיו קיימים Zero Days ולכן יש לספק לארגון יכולת לזהות ולהיערך למצבים אלה .
- 18. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 18 מתוך 02 על מנת לזהות איומי סייבר מתקדמים ( APT ) יש לבצע Auditing במערכות הארגון , אולם לא להסתפק רק בעולם התוכן של קבצי הלוג ברכיבים השונים ברשת , אלא לחבר אותם עם התקשורת הזורמת בארגון . לשם ביצוע פעולות אלה , נדרשת מערכת בעלת מנוע קורלציה ואנליזה מתקדמים כדוגמת QRadar מבית IBM. QRadar מספק פתרון לחיבור של עולמות תוכן המגיעים מקבצי לוג וחיבורם למידע הזורם בתקשורת ( למשל בעזרת תקנים כדוגמת NetFlow,SFlow ו - JFlow .) בנוסף , קיימת היכולת של QFlow אשר מאפשר לבצע DPI (Deep Packet Inspection ) למידע הזורם ברשת ולזהות חריגות ( למשל כמות תעבורה גדולה של תקשורת לכיוון VLAN מדפסות שאינה במבנה של Spooler , או תעבורה בפורט 81 שאינה HTTP ) – קיימת יכולת כזאת גם לסביבות וירטואלית הנקרא VFlow . בעזרת יכולות אלו ניתן ליצור Baseline של אופן עבודת המערכות בארגון , לזהות אנומליות ולאתר את אותן התקפות מת קדמות . חשוב לזכור שעצם זיהוי האירוע רק מתחיל את הטיפול בו ( אירוע מזוהה שאינו מטופל דינו כאירוע שלא זוהה ) ולכן יש צורך באנשים מיומנים ומתורגלים שיגיבו בזמן וברמה הנדרשת . לשם כך יש לתרגל את האנשים הרלוונטיים ( למשל גופי SOC ) ולהכשיר אותם בהתאם . מרכז התמחות אבטחת מידע וסייבר במטריקס , מסייע לארגונים בבניית " המערכת החיסונית " של הארגון ושימורה , מול איומי סייבר ואבטחת המידע . המרכז מספק כלים ופתרונות להתמודדות עם איומים ואתגרים בתחומי אבטחת המידע והסייבר . מומחי מרכז ההתמחות הינם בעלי מומחיות ייחודית בתחומי הסייבר ופעילים בארגונים המובילים בתחום . המרכז מציע מגוון פתרונות לאיזון בין השקעות לסיכון , ליווי ארגונים גדולים בתהליך הפיכתם לגופים מונחי רגולציה , לווי הקמת " חמ " ל סייבר ( " מרכז מודיעין ומבצעים שנועד לעקוב אחרי איומים מתפתחים , לאתר התקפות ולטפל במתקפות ובתהליכי ה התאוששות מהן ,) ייעוץ הכולל ניתוח צרכים ואיומים ובניית תכניות רב - שנתיות להיערכות ולהתמודדות עמם וכן חבילת קורסי הכשרה והדרכה באמצעות מרכז ההדרכה ג ' ון ברייס מכללת הי - טק . בנוסף , מרכז התמחות טכנולוגיות למידה במטריקס , העוסק בפיתוח הדרכה והפקת תוצרי הדרכה והטמעה , פיתח ערכה הכוללת יחידת לימוד , מהלך של הטמעת השינוי , כלי לניהול ובקרת תהליך הלמידה ומנגנון תחזוקה שוטף לעדכון תכנים משתנים אשר מאפשרת למנהל אבטחת המידע הארגוני להוביל את הטמעת השינוי ולשמור על תכנים עדכניים בארגון . הערכה מספקת מענה לצורך עקרוני של שינוי ה תנהגות עובדים בתוך עולם משתנה , בו הארגונים חשופים באופן מתמיד לחדירות והתקפות סייבר ממוקדות . הערכה מאפשרת למידה אקטיבית , יעילה התורמת להטמעת השינוי וכוללת לומדה אינטראקטיבית המבוססת על תרחישים מחיי הארגון בהם נדרש העובד לזהות כשלי אבטחת מידע ולהפעיל שיקול דעת בעניין דיווח והמשך טיפול ו / או מניעת התנהגות דומה בהמשך . הנושאים אליהם נחשף הלומד הם : הגורם האנושי – ריגול , הנדסה חברתית , פישינג , גניבת זהויות , אבטחה פיזית – משרדים , מתקנים , מבקרים ואורחים , אבטחה דיגיטאלית – מערכות מידע , דואר אלקטרוני , שימוש באינטרנט , טלפונים חכמים , וירוסים והתחברות מרחוק , דרכי הימנעות – הגנה , דיווח , ניהול , בקרה , אחריות ומודעות .
- 19. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444 עמוד 19 מתוך 02 לפרטים נוספים : שחר טביב , מנהל מרכז התמחות טכנולוגיות למידה במטריקס , טל :' 153- 6158211 אימייל : stabib@johnbryce.co.il טלדור חברת התייחסות תקשורת גלאסהאוס ניר :קשר איש שפריר , nirsha@taldor.co.il 151-1111926 בעת הזו אנו נתקלים בהרבה שאלות ותהיות מצד לקוחותינו בנוגע למהות הגנת הסייבר ולאיומים הקשורים לעולם הסייבר , אז כאן המקום כמובן לומר שעולם הסייבר ועולם אבטחת המידע המוכר לנו כבר 05 שנה הינם למעשה אותה הגברת בשינו אדרת . תחום אבטחת המידע כיום מכיל מוצרים המגנים הן מפני התקפות ידועות , מבוססות חתימות , והן מפני התקפות Zero Day שאינן ידועות ולא קיימות בעבורן חתימות , נוסף על כך , עולם החיתום ( יצירת חתימות חדשות - מונח מעולם הביטוח שהשתחל לעולם אבטחת המידע ) כיום איננו מצליח להתמודד עם כמות ההתקפות החדשות וכן איננו מסוגל להתמודד עם אובייקטים זדוניים בעלי יכולות הסתרה ופולימורפיזם אשר הנדסתם נעשתה מתוך כוונה לחמוק מכל המוצרים מבוססי חתימות . בעוד שבעת הזו מרבית מוצרי אבטחת המידע הקיימים בארגונים הינם בעלי יכולות זיהוי וחסימה המבוססים על חתימות ונגזרותיהן , ההתקפות המשמעותיות המתרחשות חדשות לבקרים הינן דווקא התקפות מבוססות Zero Day שאינן רלוונטיות למוצרים אלו , כאן המקום לומר כי מוצרים אלו קיימים כבר למעלה מ - 05 שנים ובבסיסם יוצרו לצורכי מניעה של התקפות שהיו נכונות לתקופה ההיא . אם כן , כל ארגון שמבין כי עליו להתגונן ממתקפות עכשויות ובין היתר ממתקפות Zero Day , חזקה עליו שיצטייד במערכות המתאימות להתגוננות ממתקפות אלו , יש להסב נתח השקעה שמבוצעת במוצרים קונבנציונליים להשקעה במוצרים מתקדמים בעלי יכולות המתאימות למתקפות המתקדמות , נוסף על כך יש להסב שעות אדם מטיפול שוטף במוצרים קונבנציונליים ( הגדרות , תקלות , חוקים ועוד ) לטובת חקירת אירועים אנומליים ברשת הפנימית והחיצונית באמצעות המוצרים המתאימים לכך . מבחינת סט המוצרים הנכון למתקפות העת החדשה , יש לשים דגש על מוצרים הנותנים Visibility ( נראות ) על המתרחש ברשת התקשורת ובתחנות הקצה , יש לבחון ולהטמיע מוצרים המנתרים פעילות החורגת מהשגרה הן ברמת תעבורת רשת התקשורת והן ברמת מערכות ההפעלה בתחנות הקצה , לעניין זה , רק מערכות המבינות את המתרחש ברמת מערכת ההפעלה וה - Kernel יכולות לראות אירועים הקשורים לפעילות של rootkit ואף פעילות של Bot ' ים מתוחכמים , כמו כן , רק מערכות המבינות התנהגות פרוטוקולי תקשורת גלויים ומוצפנים , יזהו אירועים זדוניים בהסתברות גבוהה . ולבסוף , יש להקנות לצוותים המקומיים את יכולות הניתוח וההבנה של אירועי רשת ואירועים על תחנות הקצה לצרכי הסקת מסקנות , הלבנת תהליכים לגיטימיים והתראה ממוקדת בעת זיהוי חריגות או אירועים בעלי אופי זדוני , בארגוניים אשר אין בנמצא יכולות שכאלו או צוותים מתאימים , יש להסתייע בשירותי PS של מומחי אבטחת מידע חיצוניים ברמה רבעונית לפחות .