אין "קליע כסף" באבטחת מידע

ג'ון פרקס, סגן נשיא לטכנולוגיה במקאפי, אומר בכנס הלקוחות של החברה כי האתגר הגדול בתחום ההגנה באבטחת מידע, הוא היתוך מידע בזמן אמת

ג'ון פרקס (Jon Parkes ), סגן נשיא לטכנולוגיה במקאפי (יח"צ)

ביום שני לפני שבוע, ערכה חברת מקאפי את כנס הלקוחות השנתי שלה בארץ בסינמה סיטי בגלילות. לצד דוברים כמו צבי יחזקאלי ורמי אפרתי ( ראש אגף למגזר האזרחי ברשות הסייבר הלאומית), הגיע גם ג'ון פרקס (Jon Parkes ), סגן נשיא לטכנולוגיה במקאפי. פרקס, שמגיע לארץ מספר פעמים בשנה, הגיע הפעם בכדי לדבר על החשיבות של נושאים כמו היתוך מידע וביג-דאטה בעולם אבטחת המידע.

על הפרק: תשתיות קריטיות

"אחד הנושאים שכולם מוטרדים מהם הוא תקיפת תשתיות קריטיות כמו נפט, מים או חשמל", מסביר פרקס. "מדובר על תחומים המנוהלים על ידי מערכות ישנות, שבמהותן מנהלות תהליכים, כמו מערכות סקדה או מערכות אחרות לניהול תשתיות. גם האנשים שמתפעלים את המערכות הללו הם לא אנשי IT , הם אנשי תפעול. גם יצרני המערכות האלה כמו סימנס, invensys ואחרים, לא בנו את המערכות לאתגרי הסייבר של היום.

"אחת הטענות הרווחות אומרת שמדובר על מערכות שלא מחוברות לרשת האינטרנט, ולכן לא נמצאות תחת איום. ובכן, גם אם הן לא מחוברות לרשת, עדיין יכולה להיות בעיה. ראינו זאת ב סטוקסנט (Stuxnet ) או בפליים (Flame ). עצם העובדה שהן לא מחוברות לרשת יכולה להוות גם בעיה מכיוון שאי אפשר להתקין במערכות הללו עדכונים תכופים. כל עדכון מתבצע ידנית על ידי טכנאים, ולעיתים מוותרים עליו היות והוא יקר ומסורבל. בחלק מהמקרים, אנשי המחשוב של החברה אפילו לא מכירים את המערכות הישנות הללו, כי מי שדאג להם יצא לפנסיה או עזב את החברה.

"בדרך כלל אנחנו מקבלים תשובה מלקוח שאין בעיה במערכת שלו. יחד עם זאת, כמעט כל שבוע אפשר למצוא בחדשות דיווחים על פריצה לחברת תשתיות כמו נפט או מים. צריך לזכור שכל מערכות המחשוב בנויות בסוף מאבני בניין ידועות כמו מערכת ההפעלה ופרוטוקולי תקשורת. כאשר האקר לומד ומכיר את אבני הבניין האלה, יותר קל לו לפרוץ למערכת ולעשות עליה מניפולציות.

"לפעמים אנחנו צריכים לחכות עד שהלקוח מותקף כדי להציע לו פתרון. לא תמיד לקוחות מוכנים להשקיע כל עוד לא תקפו אותם. בנוסף, מקאפי יודעת לספק גם שירות של בדיקת חדירות (PenTest ). יש לנו יחידה בחברה תחת השם Foundstone , והיא יכולה לבדוק "חורים" באבטחת המידע של הארגון, במגוון פלטפורמות, ולתת ללקוח אבחנה עד כמה המערכות שלו מאובטחות. ביחידה הזו עובדים האקרים "אתיים" (Ethical Hacker ) עם יכולות גבוהות, כאשר הכל נעשה תחת בקרה והסכמה של הלקוח".

תחום נוסף שפרקס מדגיש בראיון הוא אבטחה במערכות משובצות. חשוב להזכיר כי חברת מקאפי נרכשה בחודש פברואר 2011 על ידי אינטל, שרכשה גם את חברת וינד ריבר ב-2009. במילים אחרות, לאינטל היום יש זרוע בעולם התוכנה למערכות משובצות וזרוע נוספת בעולם אבטחת המידע. הקישור בין וינד ריבר למקאפי מאפשר לאינטל לספק פתרונות אבטחת משובצים (embedded security ) ובכך למכור לצרכן מעטפת הגנת מידע באמצעות יצרן המערכות ולא דרך מכירה ישירה.

"הדרך הטובה ביותר לפתור את בעיות אבטחת המידע בתשתיות קריטיות היא לדבר עם יצרני הציוד כמו סימנס, invensys ואחרים. אנחנו משתפים אתם פעולה, כאשר הם מספקים את הציוד ללקוח ואנחנו את מעטפת אבטחת המידע. ככה כאשר חברה בונה קידוח נפט או תחנת כוח, היא יכולה לקנות את מערכות ניהול התהליכים מאותם יצרנים, ולהוסיף את פתרון אבטחת המידע של מקאפי. היתרון טמון בכך שהתוכנה שלנו נבדקה על הציוד של אותו יצרן והלקוח חוסך לעצמו את כאב הראש הכרוך באינטגרציה. יתרון נוסף הוא בעובדה שבדרך כלל מאד קשה לתוכנות צד ג' להיכנס למערכות כמו סקדה.

"העובדה שאנחנו חברה 'אחות' של וינד ריבר, מאפשרת לנו ליישם טכנולוגיות כמו 'רשימה לבנה' בתוך המערכות של וינד ריבר . זו טכנולוגיה שקובעת איזה מידע יכול להיכנס למערכות המשובצות. מה שלא נמצא ברשימה - לא נכנס. בצורה כזו אפשר לצור סביבות סגורות של מערכות משובצות מאובטחות. עתיד המוצרים של המגזר הפרטי והעסקי טמון במערכות משובצות. מוצרים כמו טלוויזיות, אלקטרוניקה בידורית, מחשבים ניידים או נייחים, סמארטפונים ועד מכוניות. דרך וינד ריבר אנחנו מצליחים לספק פתרונות אבטחה לתעשייה הזו".

שליטה ובקרה מרכזיים

פתרון נוסף של חברת מקאפי הוא מערכת ERP לעולם אבטחת המידע. מדובר על מערכת SIEM מתקדמת שתהיה מסוגלת לאסוף אירועים ממספר עצום של מקורות בארגון ובענן, לעשות היתוך מידע בזמן אמת ולהוציא התרעות לאנשי אבטחת המידע הרלוונטים.

"מזה מספר שנים אנחנו מנהלים פעילות עם 150 שותפים שונים כאשר המטרה היא לעשות אינטגרציה לתוך האקו-סיסטם שלנו", אומר פרקס. "אחד מהם למשל מספק מידע על כל אינטרקציה ממוחשבת שעובד עושה בארגון. כל האירועים הללו זורמים לתוך מקום מרכזי, ואתה יכול לקבל תמונה מלאה על הפעילויות בארגון עד רמת העובד. מערכת כזו מאפשרת להסתכל על כל האיומים בצורה מרכזית, כולל איומים בתחום הנדסה חברתית. יחד עם זאת, בחלק מהמדינות איסוף מידע כזה עדיין לא חוקי. הטכנולוגיה בכל אופן קיימת.

"יש לנו במקאפי נתונים שנאספים מהרשת ומנקודת הגישה של המשתמש, ואנחנו עושים היתוך של כל המידע מזוויות שונות כדי להציג את הסיכונים. אנו אוספים גם מידע ממלכודות דבש (honeypot ) ויחד עם המידע המגיע מאלפי השירותים שלנו הפרוסים בעולם, נוצרת רשת איסוף מידע עולמית של סיכונים בסייבר. אנחנו כמובן לא שולחים מידע פרטי, אבל הפריסה של אלפי נקודות בעולם מאפשרת לנו, באמצעות היתוך מידע מתקדם, לזהות סיכונים מבעוד מועד ולהפיץ את המידע עליהם לכל הלקוחות בעולם.

"המידע המגיע מהרשת העולמית מאפשר ללקוח להתאים את מדיניות אבטחת המידע שלו למציאות משתנה בסייבר. השילוב של המידע מהענן עם המידע המקומי של הארגון יכול להתריע גם על כשלי אבטחה של אנשים. מישהו יכול למצוא USB על הרצפה, והוא ישר יחבר אותו למערכת של הארגון כי הוא קיבל את זה בחינם. לדעתי חברות עדיין לא הפנימו שחייבים לחבר בין אבטחת מידע ואבטחה פיזית. במרבית החברות מדובר על תחומים נפרדים. יחד עם זאת, בחלק מהחברות שאני מכיר, התחומים אחודים והמידע נאסף לא רק ממחשבי הארגון או רשתות התקשורת, אלא גם מקוראי כרטיסים , שערי כניסה ואמצעים פיזיים נוספים.

"אם מסתכלים על סיסקו, צ'ק פוינט, פאלו אלטו או חברות אחרות שמספקות מוצרי אבטחת מידע, הן לא מתעסקות בכל וקטורי התקיפה. ההתקפות המתוחכמות היום מתבצעות במספר וקטורים כולל וקטור הרשת, משתמש הקצה, התקן קצה או שרת. במערכת שלנו אתה מקבל אירועים מכל הוקטורים שמאפשרים לבנות תמונת מצב עדכנית בזמן אמת".

מידע מובנה ולא מובנה

לפני שנה רכשה מקאפי חברה בשם NitroSecurity שפיתחה מוצר SIEM . אבל לא בגלל זה הוחלט לרכוש את החברה. פרקס מגלה כי מטרת הרכישה הייתה לנכס טכנולוגיה חדשה בתחום בסיסי הנתונים שאינה מבוססת על יחסים (relational database ). מדובר על פיתוח חדשני שעשתה חברת NitroSecurity עבור ממשלת ארה"ב בתחום האנרגיה הגרעינית. "זו טכנולוגיה שפותחה עבור תעשיית הגרעין האמריקאית במקור, שאפשרה לעשות אגרגצייה של מידע מכמות גדולה של מקורות שונים בלי קשר לסוג המידע, מובנה או לא מובנה.

"יכולת זו אפשרה למנוע ניתוח הנתונים לספק תוצאות היתוך מידע בדקות, במקום בימים כמו בבסיסי נתונים אחרים. עבורנו הטכנולוגיה הזו היא הבסיס למערכת ה-ERP לסייבר, זו גישה חדשה שאף חברת אבטחת מידע לא עשתה עד היום.

"במציאות של ימינו, כל היצרנים רודפים אחרי ההאקרים. אלו לא ילדים בחדר השינה, אלא קבוצות האקרים מבוססות. חברות ההגנה נמצאות בעמדת תגובה, הן מחכות שמשהו יקרה. יכולת מרכזית במציאות זו, היא האפשרות לעשות היתוך מידע בזמן אמת. אתה יכול להתקין את התקני אבטחת המידע הטובים ביותר בשוק, אבל אם לא תדע להוציא מהמידע את הדפוסים הנכונים - זה לא שווה כלום. אם לא תמצא את הסדקים בחומת ההגנה שלך, תהיה חלש. ההאקרים תמיד יחפשו את הסדקים האלו.

"חשוב לזכור שאין מוצר אבטחת מידע אחד שיכול לעשות הגנה מושלמת. יחד עם זאת, אפשר לשפר את ההגנה הבסיסית של הארגון באמצעות מערכות שליטה ובקרה לסייבר. מצד שני, חשוב להישאר ערניים ולחפש את הסדק הבא, בדיוק כמו ההאקרים. אסור שהמערכות הללו יהפכו אותנו לעצלנים. בעולם הסייבר תמיד יהיה חלק 'לא ידוע'".

מהם הדרישות הייחודיות בתעשיית הביטחון בעולם?

"בקהילת הביטחון יש הבנה שהיתוך מידע הוא העיקר, יותר מאשר במגזר העסקי", מגלה פרקס. "יש גם תפישה של מעגלי אבטחה וסגמנטציה של הרשת והנתונים. אנשים בתעשיית הביטחון מבינים טוב יותר את עולם אבטחת המידע לעומת המקבילים שלהם בתעשייה האזרחית, ויש להם יותר ידע ויותר הכשרה. הם גם מבינים שאין 'קליע כסף' שיכול לפתור את כל הבעיות ולסתום את כל החורים. הוא פשוט לא קיים.

"יש הבנה שצריך להתאים תרחיש הגנה לכל תרחיש התקפה. אין הגנה אחת לכל התרחישים. האנשים בתעשיית הביטחון יותר חשדניים מאנשים בתעשיות אחרות, ולכן הם תמיד מוסיפים עוד שכבות הגנה מעל המוצרים שלנו. הם גם טובים יותר בשילוב של אבטחה פיזית ואבטחת מידע. אני יכול לציין כי מקאפי היא ספק אבטחת המידע הגדול ביותר לתעשיית הביטחון האמריקאית, וגם ספק של תעשיית הביטחון בישראל. אנחנו מבינים טוב את התחום הזה".

אולי יעניין אותך גם

שרון בריזינוב. צילום: עפרי סלע

הגנה בסייבר: תשתיות קריטיות הופכות להיות החוליה החלשה

בסביבה שבה לא ניתן לסבול השבתה של המערכות אפילו לרגע אחד, אין זה יוצא דופן לראות מערכות Windows 7 מדור קודם ותוכנות מיושנות אחרות שאינן נתמכות פועלות בסביבת הייצור. מאמר של שרון בריזינוב