בשעת משבר: פתרונות הענן משגשגים
המעבר לעבודה מהבית של מאות ואלפי ישראלים מציב מספר אתגרים בפני מנהלי אבטחת מידע בארגונים. העיקרי ביניהם הוא כיצד עובדים מהבית
עמי רוחקס דומבה
| 22/03/2020
bigstockphoto
המעבר לעבודה מהבית של מאות ואלפי ישראלים מציב מספר אתגרים בפני מנהלי אבטחת מידע בארגונים. העיקרי ביניהם הוא כיצד עובדים מהבית. חלק מהמעסיקים בוחרים בחלופה של VPN והגנה על תחנת הקצה של העובד (EDR). בצורה כזו ניתן ליישם תווך תקשורת מוצפן ומאובטח לצד הגנה על תחנת הקצה מפני נוזקות. חלופה אחרת להסתמך על פתרונות של בידוד דפדפן. פתרונות אלו מאפשרים לעבוד על הדפדפן בצורה מבודדת מרשת האינטרנט כאשר העיבוד של הדפדפן מתבצע בשרת מרוחק, והמידע שעובר לתחנת הקצה מגיע בפורמט תמונות ואינו מאפשר לנוזקות לעבור.
פתרונות נוספים מאפשרים עבודה בפלטפורמות ענן כמו אופיס 365 למשל, כאשר המשתמש בכלל לא מגיע לרשת החברה בפועל על מנת לבצע את המשימות שלו. בצורה כזו, המידע שהמשתמש שולח או מקבל מתנהל סביב פלטפורמת הענן בלבד ולא במחשב שלו והוא גם לא נכנס לרשת החברה. הסיכון במצב כזה הוא הדבקה של מחשבי העובדים, וכאשר אלו יתחברו לרשת החברה, הם יזהמו אותה.
אחת מחברות ההזנק החדשות בתחום אבטחת תוכן בענן היא חברה ישראלית בשם perception-point. החברה שהוקמה על ידי בוגרי המערך הטכני באגף המודיעין בשנת 2015 קמה על מנת למצוא פתרון לשיטת "ארגז החול" (Sand Box). שיטה זו הינה הנפוצה ביותר לבדיקה האם קבצים מכילים קוד זדוני, אך בשנים האחרונות תוקפים החלו לעקוף שיטה זו בשיטות שונות.
הפתרון של החברה מבוסס על פיצ'ר של אינטל המאפשר בדיקת תקינות עבודה של המעבד. הפתרון של אינטל אינו נועד במקור לשוק ההגנה בסייבר, אבל החברה עשתה בו שימוש כזה. "אתה מרים מכונה וירטואלית, מריץ דברים ומסתכל על המעבד. אם אתה לוקח את הCPU ומסנכרן אותו עם הזיכרון של התהליך שאתה מריץ יש לך סגירת מעגל", מסבירים בחברה. "צריך לדעת מה אתה מריץ. כל תוכנה בעולם צריכה לרוץ לפי גרף ידוע. אנחנו מריצים תוכנה X, יש לה גרף איך היא אמורה להתנהג, אם מזהים חריגות, אז בצורה מוחלטת מישהו מנסה לעשות מעשה אסור."
אחת השאלות שעולות היא מה קורה כאשר מתכנת עשה טעות בקוד בתמימות כמו אלוקציה של זיכרון למקום שאסור לו ומקריס את התוכנה. במקרה כזה עושים רשימה לבנה לכשלים באותה תוכנה ומבדלים אותם וניסיונות תקיפה.
אבל בדיקת המעבד אינה מספיקה לבדה ולכן פיתחו בחברה מנועים נוספים למציאת נסיונות התחמקות של נוזקות וכן זיהוי של פישינג בהודעות דוא"ל. כל השירות מבוסס ענן בAWS, כאשר כלל התעבורה של הארגון עוברת דרך המנועים של החברה. "הפתרון מבוסס כולו על ענן. אין התקנה. מנתבים את כל התעבורה דרכנו ולאחר רבע שעה רואים תוצאות", מסבירים בחברה.
המעבר לעבודה מהבית של מאות ואלפי ישראלים מציב מספר אתגרים בפני מנהלי אבטחת מידע בארגונים. העיקרי ביניהם הוא כיצד עובדים מהבית
bigstockphoto
המעבר לעבודה מהבית של מאות ואלפי ישראלים מציב מספר אתגרים בפני מנהלי אבטחת מידע בארגונים. העיקרי ביניהם הוא כיצד עובדים מהבית. חלק מהמעסיקים בוחרים בחלופה של VPN והגנה על תחנת הקצה של העובד (EDR). בצורה כזו ניתן ליישם תווך תקשורת מוצפן ומאובטח לצד הגנה על תחנת הקצה מפני נוזקות. חלופה אחרת להסתמך על פתרונות של בידוד דפדפן. פתרונות אלו מאפשרים לעבוד על הדפדפן בצורה מבודדת מרשת האינטרנט כאשר העיבוד של הדפדפן מתבצע בשרת מרוחק, והמידע שעובר לתחנת הקצה מגיע בפורמט תמונות ואינו מאפשר לנוזקות לעבור.
פתרונות נוספים מאפשרים עבודה בפלטפורמות ענן כמו אופיס 365 למשל, כאשר המשתמש בכלל לא מגיע לרשת החברה בפועל על מנת לבצע את המשימות שלו. בצורה כזו, המידע שהמשתמש שולח או מקבל מתנהל סביב פלטפורמת הענן בלבד ולא במחשב שלו והוא גם לא נכנס לרשת החברה. הסיכון במצב כזה הוא הדבקה של מחשבי העובדים, וכאשר אלו יתחברו לרשת החברה, הם יזהמו אותה.
אחת מחברות ההזנק החדשות בתחום אבטחת תוכן בענן היא חברה ישראלית בשם perception-point. החברה שהוקמה על ידי בוגרי המערך הטכני באגף המודיעין בשנת 2015 קמה על מנת למצוא פתרון לשיטת "ארגז החול" (Sand Box). שיטה זו הינה הנפוצה ביותר לבדיקה האם קבצים מכילים קוד זדוני, אך בשנים האחרונות תוקפים החלו לעקוף שיטה זו בשיטות שונות.
הפתרון של החברה מבוסס על פיצ'ר של אינטל המאפשר בדיקת תקינות עבודה של המעבד. הפתרון של אינטל אינו נועד במקור לשוק ההגנה בסייבר, אבל החברה עשתה בו שימוש כזה. "אתה מרים מכונה וירטואלית, מריץ דברים ומסתכל על המעבד. אם אתה לוקח את הCPU ומסנכרן אותו עם הזיכרון של התהליך שאתה מריץ יש לך סגירת מעגל", מסבירים בחברה. "צריך לדעת מה אתה מריץ. כל תוכנה בעולם צריכה לרוץ לפי גרף ידוע. אנחנו מריצים תוכנה X, יש לה גרף איך היא אמורה להתנהג, אם מזהים חריגות, אז בצורה מוחלטת מישהו מנסה לעשות מעשה אסור."
אחת השאלות שעולות היא מה קורה כאשר מתכנת עשה טעות בקוד בתמימות כמו אלוקציה של זיכרון למקום שאסור לו ומקריס את התוכנה. במקרה כזה עושים רשימה לבנה לכשלים באותה תוכנה ומבדלים אותם וניסיונות תקיפה.
אבל בדיקת המעבד אינה מספיקה לבדה ולכן פיתחו בחברה מנועים נוספים למציאת נסיונות התחמקות של נוזקות וכן זיהוי של פישינג בהודעות דוא"ל. כל השירות מבוסס ענן בAWS, כאשר כלל התעבורה של הארגון עוברת דרך המנועים של החברה. "הפתרון מבוסס כולו על ענן. אין התקנה. מנתבים את כל התעבורה דרכנו ולאחר רבע שעה רואים תוצאות", מסבירים בחברה.
