DAG זהב: הגנה פרואקטיבית על המידע הארגוני
הגנה פרואקטיבית על המידע הארגוני ב-3 שלבים
חיים הלפרן
| 23/11/2016
צילום: AP
בעולם בו פרצות אבטחה וחשיפת מידע ארגוני הופכות להיות דבר שבשגרה, ארגונים עברו ממצב עבודה של "האם זה יקרה לי?" למצב של "מתי זה יקרה לי?". כאשר הארגון נפרץ והמידע נחשף, ההשלכות הן כבר לא רק כספיות, אלא גם תדמיתיות ואפילו רגשיות. ברוב המקרים, פריצות לארגונים מתבצעות במטרה להשיג כמה שיותר מידע ארגוני, ולעתים גם בניסיון לגרום להשבתה אפשרית של הארגון, תוך מיקסום הערך הכספי לתוקף.
לרוב, התגובה הראשונית של הארגון המותקף תהיה חסימה מיידית של הגישה למערכות המידע, אך תגובה זו עלולה לגרום ליותר נזק מאשר תועלת עקב השבתת העבודה הארגונית. מאחר ותקיפות מתגלות בממוצע לאחר 206 ימים, יש להניח שהתוקף כבר מזמן נעלם ואיתו המידע הארגוני שהצליח להוציא. אם לארגון אין שליטה על הגישה למידע מלכתחילה, חסימת הפריצה והניסיון להתחקות אחר הפורץ הופכים להיות קשים ביותר.
מחקרים מראים כי למעלה מ-80% מהמידע בארגונים נמצא במאגרים "לא-מובנים" (Unstructured) כדוגמת שרתי קבצים ו-SharePoint, וברור לחלוטין שחלק גדול מהמידע הרגיש שוכן באזורים אלה. עוד יותר ברור שהמידע אינו מוגן באופן הרמטי. הדרך הטובה ביותר למנוע סיכונים מיותרים ולשלוט בכמה המידע חשוף בזמן מתקפה, היא ליזום הגנה אקטיבית על המידע.
כפי שיוצג בהמשך, הגנה פרואקטיבית על המידע הארגוני מתחלקת לשלושה שלבים. תהליך הגנה שיבוצע באופן זה יאפשר לארגונים לצמצם מבעוד מועד את החשיפה לסיכונים שנובעים מפריצה ומחשיפת מידע רגיש.
שלב א' – איתור וזיהוי המידע הרגיש בארגון: השלב הראשון בהגנה על המידע הוא מציאת המידע הרגיש. הגודל והכמות הרבה של המידע עלולים ליצור משימה אינסופית, במיוחד בביצוע ידני. מדובר במיליוני קבצים, לרוב אף יותר מכך, המפוזרים בשרתי קבצים, כונני רשת, פורטלים ארגוניים, אחסון ענן ועוד. על כן מוטב לבצע זאת באופן אוטומטי במידת האפשר.
שלב ב' – וידוא רמת הגישה וההרשאות למידע: לאחר איתור המידע הרגיש אנו נדרשים לענות על השאלה: "למי יש גישה אליו?" מטרתה של תכנית Data Access Governance היא לוודא שלמשתמשים הנכונים יש את הגישה הנכונה לאפליקציות ולמידע הנכון, בזמן הנכון. באמצעות שימוש במערכת המתאימה ניתן בקלות לראות למי יש גישה לאיזה מידע ומהיכן הגישה הזו ניתנה (מקבוצות, ישירות, מהרשאות ישנות וכד'). ניתוח אוטומטי של המצב הקיים יספק תובנות רבות לגבי תהליך מתן ההרשאות בארגון, ויאפשר לנהל את התהליך בצורה נכונה יותר מעתה והלאה. לאחר הניתוח מתחיל תהליך ארוך של הסרת כל ההרשאות המיותרות ומאמץ לשמור על מצב נקי לאורך זמן.
שלב ג' – בחירת "בעלי המידע": בכדי שנוכל לשמור על התובנות שהתגלו בשלבים א' וב', עלינו לבחור את בעלי המידע שיוגדרו כאחראים למידע הרגיש. ברוב הארגונים מוגדרים משתמשים עסקיים כאחראים על תחומים אפליקטיביים, אך לא תמיד הם מוקצים גם כאחראיים למידע רגיש. בחירת בעל המידע המתאים היא לא תמיד משימה קלה, שכן ההצבעה על בעל מידע אינה תמיד טכנית. כך למשל, בעל ההרשאה הגבוהה ביותר או המשתמש התדיר ביותר במידע, הם לא בהכרח האחראים על המידע.
מערכת DAG - Data Access Governance יכולה לעזור לארגון למצוא את בעלי המידע בשיטות מתקדמות, כמו למשל באמצעות תשאול כל מי שמשתמשים במידע בפועל, על מנת שיצביעו בעצמם על מי שאחראי בעיניהם למידע. ללא הגדרה של בעל מידע מתאים, המידע עלול להפוך בקלות לבלתי רלוונטי, הרשאות רחבות מדי יכולות להינתן למידע ובעיות אבטחה ואיכות עלולות לצוץ.
אחרי ששלושת השלבים הושלמו, מגיע הזמן לבצע אוטומציה לתהליכים השונים. תהליכי אישור הרשאות תקופתיים (הנקראים Access Certification Campaigns) כמו גם בקשות הרשאות חדשות, וכמובן איתור וטיפול במידע רגיש חדש שנוצר בארגון באופן תדיר – כל אלה הם תהליכים שחייבים לעבור אוטומציה וניהול מלא על מנת שההישגים של השלבים הקודמים ישמרו לאורך זמן.
האתגר המרכזי הוא שהכול צריך לקרות באופן שוטף ועם כמה שפחות התערבות מצד ה-IT. התהליכים הם תהליכים עסקיים עם אישורים עסקיים ו-Workflow עסקי, בעוד שה-IT הופך להיות זה שמאפשר את ההרמוניה בקונצרט הזה.
לסיכום, במקום לקוות שהפריצה לא תגיע לארגונכם, עדיף לפעול לצמצום הסיכונים מבעוד מועד עד כמה שרק אפשר. תכנון קדימה ופריסת הגנה פרואקטיבית על כמה שיותר מידע בארגון לפני שהתקיפה תגיע, והיכולת לעמוד במתקפה ולצמצם את נזקיה תוך כדי, הינם נושאים קריטיים למניעת פגיעה בעסקי הארגון ואף במוניטין ובתדמיתו הציבורית.
הכותב, חיים הלפרן, מנהל חטיבת אבטחת מידע וסייבר ב-One1
הגנה פרואקטיבית על המידע הארגוני ב-3 שלבים
בעולם בו פרצות אבטחה וחשיפת מידע ארגוני הופכות להיות דבר שבשגרה, ארגונים עברו ממצב עבודה של "האם זה יקרה לי?" למצב של "מתי זה יקרה לי?". כאשר הארגון נפרץ והמידע נחשף, ההשלכות הן כבר לא רק כספיות, אלא גם תדמיתיות ואפילו רגשיות. ברוב המקרים, פריצות לארגונים מתבצעות במטרה להשיג כמה שיותר מידע ארגוני, ולעתים גם בניסיון לגרום להשבתה אפשרית של הארגון, תוך מיקסום הערך הכספי לתוקף.
לרוב, התגובה הראשונית של הארגון המותקף תהיה חסימה מיידית של הגישה למערכות המידע, אך תגובה זו עלולה לגרום ליותר נזק מאשר תועלת עקב השבתת העבודה הארגונית. מאחר ותקיפות מתגלות בממוצע לאחר 206 ימים, יש להניח שהתוקף כבר מזמן נעלם ואיתו המידע הארגוני שהצליח להוציא. אם לארגון אין שליטה על הגישה למידע מלכתחילה, חסימת הפריצה והניסיון להתחקות אחר הפורץ הופכים להיות קשים ביותר.
מחקרים מראים כי למעלה מ-80% מהמידע בארגונים נמצא במאגרים "לא-מובנים" (Unstructured) כדוגמת שרתי קבצים ו-SharePoint, וברור לחלוטין שחלק גדול מהמידע הרגיש שוכן באזורים אלה. עוד יותר ברור שהמידע אינו מוגן באופן הרמטי. הדרך הטובה ביותר למנוע סיכונים מיותרים ולשלוט בכמה המידע חשוף בזמן מתקפה, היא ליזום הגנה אקטיבית על המידע.
כפי שיוצג בהמשך, הגנה פרואקטיבית על המידע הארגוני מתחלקת לשלושה שלבים. תהליך הגנה שיבוצע באופן זה יאפשר לארגונים לצמצם מבעוד מועד את החשיפה לסיכונים שנובעים מפריצה ומחשיפת מידע רגיש.
שלב א' – איתור וזיהוי המידע הרגיש בארגון: השלב הראשון בהגנה על המידע הוא מציאת המידע הרגיש. הגודל והכמות הרבה של המידע עלולים ליצור משימה אינסופית, במיוחד בביצוע ידני. מדובר במיליוני קבצים, לרוב אף יותר מכך, המפוזרים בשרתי קבצים, כונני רשת, פורטלים ארגוניים, אחסון ענן ועוד. על כן מוטב לבצע זאת באופן אוטומטי במידת האפשר.
שלב ב' – וידוא רמת הגישה וההרשאות למידע: לאחר איתור המידע הרגיש אנו נדרשים לענות על השאלה: "למי יש גישה אליו?" מטרתה של תכנית Data Access Governance היא לוודא שלמשתמשים הנכונים יש את הגישה הנכונה לאפליקציות ולמידע הנכון, בזמן הנכון. באמצעות שימוש במערכת המתאימה ניתן בקלות לראות למי יש גישה לאיזה מידע ומהיכן הגישה הזו ניתנה (מקבוצות, ישירות, מהרשאות ישנות וכד'). ניתוח אוטומטי של המצב הקיים יספק תובנות רבות לגבי תהליך מתן ההרשאות בארגון, ויאפשר לנהל את התהליך בצורה נכונה יותר מעתה והלאה. לאחר הניתוח מתחיל תהליך ארוך של הסרת כל ההרשאות המיותרות ומאמץ לשמור על מצב נקי לאורך זמן.
שלב ג' – בחירת "בעלי המידע": בכדי שנוכל לשמור על התובנות שהתגלו בשלבים א' וב', עלינו לבחור את בעלי המידע שיוגדרו כאחראים למידע הרגיש. ברוב הארגונים מוגדרים משתמשים עסקיים כאחראים על תחומים אפליקטיביים, אך לא תמיד הם מוקצים גם כאחראיים למידע רגיש. בחירת בעל המידע המתאים היא לא תמיד משימה קלה, שכן ההצבעה על בעל מידע אינה תמיד טכנית. כך למשל, בעל ההרשאה הגבוהה ביותר או המשתמש התדיר ביותר במידע, הם לא בהכרח האחראים על המידע.
מערכת DAG - Data Access Governance יכולה לעזור לארגון למצוא את בעלי המידע בשיטות מתקדמות, כמו למשל באמצעות תשאול כל מי שמשתמשים במידע בפועל, על מנת שיצביעו בעצמם על מי שאחראי בעיניהם למידע. ללא הגדרה של בעל מידע מתאים, המידע עלול להפוך בקלות לבלתי רלוונטי, הרשאות רחבות מדי יכולות להינתן למידע ובעיות אבטחה ואיכות עלולות לצוץ.
אחרי ששלושת השלבים הושלמו, מגיע הזמן לבצע אוטומציה לתהליכים השונים. תהליכי אישור הרשאות תקופתיים (הנקראים Access Certification Campaigns) כמו גם בקשות הרשאות חדשות, וכמובן איתור וטיפול במידע רגיש חדש שנוצר בארגון באופן תדיר – כל אלה הם תהליכים שחייבים לעבור אוטומציה וניהול מלא על מנת שההישגים של השלבים הקודמים ישמרו לאורך זמן.
האתגר המרכזי הוא שהכול צריך לקרות באופן שוטף ועם כמה שפחות התערבות מצד ה-IT. התהליכים הם תהליכים עסקיים עם אישורים עסקיים ו-Workflow עסקי, בעוד שה-IT הופך להיות זה שמאפשר את ההרמוניה בקונצרט הזה.
לסיכום, במקום לקוות שהפריצה לא תגיע לארגונכם, עדיף לפעול לצמצום הסיכונים מבעוד מועד עד כמה שרק אפשר. תכנון קדימה ופריסת הגנה פרואקטיבית על כמה שיותר מידע בארגון לפני שהתקיפה תגיע, והיכולת לעמוד במתקפה ולצמצם את נזקיה תוך כדי, הינם נושאים קריטיים למניעת פגיעה בעסקי הארגון ואף במוניטין ובתדמיתו הציבורית.
הכותב, חיים הלפרן, מנהל חטיבת אבטחת מידע וסייבר ב-One1
