משנים את ההגנה ההיקפית בסייבר
סייפטי, חברת הזנק ישראלית, משיקה את פתרון RSAccess המצמצם למינימום מתקפות סייבר באמצעות החלפה של שרתי ה-DMZ בהתקן המיוחד של החברה
עמי רוחקס דומבה
| 06/12/2014
רונן קניג, סמנכ"ל שיווק וניהול מוצר בחברת Safe-T (יח"צ)
סייפטי (Safe-T), ספקית פתרונות אבטחת מידע לארגונים, הודיעה על השקת פתרון RSAccess Secure Front End המשנה את כללי המשחק בתחום ה- Web Front End. באמצעות שימוש בטכנולוגיה של סייפטי המעוגנת בפטנט, RSAccess מבטל את הצורך לאחסן מידע רגיש ב-DMZ ולפתוח פורטים נכנסים בחומת-האש הארגונית (firewall), אשר עלולים לחשוף את רשת הארגון למתקפות סייבר.
"רשתות ה-DMZ במקור נועדו לפרסם דפים סטטיים ולשים אותם מחוץ לארגון ולמנוע ממשתמשים חיצוניים להיכנס לארגון. מה שקרה הוא שארגונים בגלל גורמי צד ג' (לרוב ספקים של הארגון), פתחו את ה-DMZ ליותר מידע", מסביר רונן קניג, סמנכ"ל השיווק וניהול המוצר של סייפטי.
"כיום יש כמעט שכפול מלא של המידע בין הרשת הפנימית לרשת ה-DMZ. זה עולה הרבה כי צריך לשכפל את סביבת השרתים כולל חומרה ורשיונות תוכנה. כמו כן, זה מחייב את הארגון לפתוח בפיירול פורטים באופן קבוע על מנת שהשרתים משני הצדדים (LAN ו-DMZ) יוכלו לתקשר. מדובר בפרצת אבטחה לגיטימית שמנהל אבטחת המידע חייב לחיות אתה".
העובדה שיש פורטים פתוחים המאפשרים תעבורה מבחוץ לתוך הארגון היא יעד להאקרים שיכולים להשתלט על השרתים ב-DMZ ודרכם להיכנס לארגון. בתרחיש כזה, ההאקר יכול להצפין את התעבורה בין השרתים עליהם הוא השתלט, הפנימי והחיצוני, ולארגון לא תהיה אפשרות לדעת איזה חומר יוצא החוצה.
הפתרון של סייפטי בנוי משני חלקים, פנימי וחיצוני. החלק הפנימי מותקן ב-LAN של הארגון והחיצוני במקום סביבת ה-DMZ הקיימת. הייחודיות שלו היא בכך ששני החלקים לא צריכים פורט פתוח לתעבורה נכנסת בפיירוול (טכנולוגיה מוגנת בפטנט של החברה). במילים אחרות, כל התעבורה בין הרשת הפנימית של הארגון לרשת האינטרנט נעשית דרך הפורט של התעבורה היוצאת בפיירוול והאקר לא יכול להיכנס לארגון, אלא באמצעות פריצה להתקנים של סייפטי. "עד היום, בכל בדיקות החדירה שביצענו להתקנים שלנו לא הצליחו לפרוץ אליהם", אומר קניג.
"ההתקן החיצוני שלנו לא מריץ אפליקציות אלא גרסה מאד רזה של לינוקס (קרנל בלבד). לכן, אין להאקר מה לפרוץ. כמו כן, הנתונים שעוברים בין ההתקן החיצוני לפנימי מוצפנים על ידי טכנולוגיית SSL. אם זה לא מספיק, ההתקן הפנימי גם כולל סינון תעבורה ברמה האפליקטיבית".
הפתרון של סייפטי מאפשר לארגונים גם לחסוך את ההוצאות הגלומות בתחזוקה של סביבת ה-DMZ, וגם להפחית את הסיכון הכרוך באבטחת סביבה זו. יתרון נוסף בפתרון טמון בכך שהוא מצמצם את מספר הבדיקות שהארגון צריך לבצע בעת ביצוע מבדקים לצורך עמידה ברגולציה. אם אין סביבת DMZ, לא צריך לבדוק אותה.
כיום מותקן הפתרון בחברת ECI, בחברות ביטוח, ובנקים בארץ. בחו"ל מותקן הפתרון במגזר הפיננסים, וגם בבתי חולים הנדרשים לעמוד ברגולצית אבטחת מידע בשל הרשומות הרפואיות האלקטרוניות שהם מנהלים. החברה גייסה השקעה מקרן ההשקעות של קיבוץ סאסא - Sasa Software.
סייפטי (Safe-T), ספקית פתרונות אבטחת מידע לארגונים, הודיעה על השקת פתרון RSAccess Secure Front End המשנה את כללי המשחק בתחום ה- Web Front End. באמצעות שימוש בטכנולוגיה של סייפטי המעוגנת בפטנט, RSAccess מבטל את הצורך לאחסן מידע רגיש ב-DMZ ולפתוח פורטים נכנסים בחומת-האש הארגונית (firewall), אשר עלולים לחשוף את רשת הארגון למתקפות סייבר.
"רשתות ה-DMZ במקור נועדו לפרסם דפים סטטיים ולשים אותם מחוץ לארגון ולמנוע ממשתמשים חיצוניים להיכנס לארגון. מה שקרה הוא שארגונים בגלל גורמי צד ג' (לרוב ספקים של הארגון), פתחו את ה-DMZ ליותר מידע", מסביר רונן קניג, סמנכ"ל השיווק וניהול המוצר של סייפטי.
"כיום יש כמעט שכפול מלא של המידע בין הרשת הפנימית לרשת ה-DMZ. זה עולה הרבה כי צריך לשכפל את סביבת השרתים כולל חומרה ורשיונות תוכנה. כמו כן, זה מחייב את הארגון לפתוח בפיירול פורטים באופן קבוע על מנת שהשרתים משני הצדדים (LAN ו-DMZ) יוכלו לתקשר. מדובר בפרצת אבטחה לגיטימית שמנהל אבטחת המידע חייב לחיות אתה".
העובדה שיש פורטים פתוחים המאפשרים תעבורה מבחוץ לתוך הארגון היא יעד להאקרים שיכולים להשתלט על השרתים ב-DMZ ודרכם להיכנס לארגון. בתרחיש כזה, ההאקר יכול להצפין את התעבורה בין השרתים עליהם הוא השתלט, הפנימי והחיצוני, ולארגון לא תהיה אפשרות לדעת איזה חומר יוצא החוצה.
הפתרון של סייפטי בנוי משני חלקים, פנימי וחיצוני. החלק הפנימי מותקן ב-LAN של הארגון והחיצוני במקום סביבת ה-DMZ הקיימת. הייחודיות שלו היא בכך ששני החלקים לא צריכים פורט פתוח לתעבורה נכנסת בפיירוול (טכנולוגיה מוגנת בפטנט של החברה). במילים אחרות, כל התעבורה בין הרשת הפנימית של הארגון לרשת האינטרנט נעשית דרך הפורט של התעבורה היוצאת בפיירוול והאקר לא יכול להיכנס לארגון, אלא באמצעות פריצה להתקנים של סייפטי. "עד היום, בכל בדיקות החדירה שביצענו להתקנים שלנו לא הצליחו לפרוץ אליהם", אומר קניג.
"ההתקן החיצוני שלנו לא מריץ אפליקציות אלא גרסה מאד רזה של לינוקס (קרנל בלבד). לכן, אין להאקר מה לפרוץ. כמו כן, הנתונים שעוברים בין ההתקן החיצוני לפנימי מוצפנים על ידי טכנולוגיית SSL. אם זה לא מספיק, ההתקן הפנימי גם כולל סינון תעבורה ברמה האפליקטיבית".
הפתרון של סייפטי מאפשר לארגונים גם לחסוך את ההוצאות הגלומות בתחזוקה של סביבת ה-DMZ, וגם להפחית את הסיכון הכרוך באבטחת סביבה זו. יתרון נוסף בפתרון טמון בכך שהוא מצמצם את מספר הבדיקות שהארגון צריך לבצע בעת ביצוע מבדקים לצורך עמידה ברגולציה. אם אין סביבת DMZ, לא צריך לבדוק אותה.
כיום מותקן הפתרון בחברת ECI, בחברות ביטוח, ובנקים בארץ. בחו"ל מותקן הפתרון במגזר הפיננסים, וגם בבתי חולים הנדרשים לעמוד ברגולצית אבטחת מידע בשל הרשומות הרפואיות האלקטרוניות שהם מנהלים. החברה גייסה השקעה מקרן ההשקעות של קיבוץ סאסא - Sasa Software.
