הקלות הבלתי נסבלת של הפריצה - אל הרשת והמחשב שלך
רונן קביאטקובסקי, מנהל המכירות ב- 3Com ישראל, בוחן את בעיות אבטחת המידע הארגוני בעידן הרשתות האלחוטיות, ומציע אסטרטגיית הגנה.
כמות ומגוון התקפות האבטחה מצליחות להפתיע כיום את טובי מומחי אבטחת המידע, אומר רונן קביאטקובסקי, מנהל המכירות ב- 3Com ישראל. אין כמעט בנמצא מערכת הפעלה, שירות, אפליקציה, בסיס נתונים, תעבורת רשת או פרוטוקולים שלא מתגלים עבורם כמויות אדירות של פריצות על בסיס יומי. רשתות המחשוב המודרניות מנהלות את שגרת חיינו במישור הפרטי, העסקי והציבורי ומחייבות פתרונות אבטחה מתקדמים ותדירים.
בתחרות Pwn2Own, שהתקיימה בקנדה, התחרו האקרים מי מהם יפרוץ במהירות המירבית לפלטפורמות מיחשוב שונות. לחוקר האבטחה צ'ארלי מילר נדרשו שניות ספורות כדי לפרוץ למחשב MacBook Apple, בעל מערכת ההפעלה שעודכנה בכל טלאי אבטחה אפשרי, תוך שהוא משתמש בדפדפן הספארי של אפל עצמה.
האתגר - תקשורת אופטימלית עם הגנה מקסימלית
רשת המחשוב הופכת מורכבת עם הזמן. הרשתות כוללות רשת מקומית LAN, רשת מרחבית WAN, רשת אלחוטית Wireless, רכיבי אבטחת מידע, טלפוניית IP, ניהול רשת NMS ועוד. מורכבות זו קוראת מחד לקשר טוב יותר בין המערכות – עליהן לדעת 'לדבר' ביניהן, 'לתרגם' כל אחת את השפה שלה לרכיבים של יצרנים אחרים ולבסוף לספק תמיכה מקיפה לאבטחת המידע בכל רבדי הרשת. מאידך, קצב וסוגי התקיפות גוברים משנה לשנה ובאופק לא נראה פתרון אמיתי.
הבעיה - איומים חדשים על המידע הארגוני
עם גילוי פרצה חדשה, עליה להיות מאומתת על ידי חברות אבטחת המידע, המדווחות עליה ליצרן. זה מצידו כותב טלאי, ואנו מורידים אותו, מתקינים, מאתחלים את המערכות ומתפללים שהכל ימשיך לעבוד. בזמן זה, הנמשך בדרך כלל מספר שבועות עד חודשים, הפורץ כבר המשיך הלאה.
המגמה הרווחת בשנים האחרונות במרבית הארגונים היא של מערכות IPS למניעת חדירות בכניסה החיצונית לרשת, באמצעות מערכות כמו Firewall Mail Relay. אולם, גישה זו אינה מספקת עוד, וכך גם הדגשים שניתנו לקישוריות חיצונית כגון: אינטרנט, סניפים, נותני שירותים ועוד. דווקא יישומים תמימים, כמו תמונות וקבצי Office, מכילים סכנת פריצה עבור הארגון. בנוסף, התקפות Zero Day - התקפות ידועות שהיצרן טרם פרסם להם טלאי - הפכו לבעייתיות יותר.
הרשת עצמה הפכה לאיום עבור הארגון. המשתמשים ורכיבי הרשת פגיעים, כאשר מדפסות וטרמינלים הם בעלי פוטנציאל גבוה להתקפות כמו סוסים טרויאניים, וירוסים ותולעים. מוסיף לפגיעות של רשתות הארגון גם המעבר לטלפוניית VoIP, החושף להתקפות את שרת המרכזיה, רוחב הפס והפרוטוקולים , ואף יוצר זירה בה ניתן לפגוע ולצותת לשיחה.
התגוננות אפקטיבית - חשיבה היקפית של ˚360
לאחרונה חלה התפתחות רבה במערכות ה- IPS וניתן לומר שכיום הגישה לרשת ומערך ההרשאות מבוצעים על השרתים ברמת מערכות ההפעלה, קבצים ובסיסי הנתונים. עם זאת, גישה מסורתית זו אינה מתמודדת עם קשיים עתידיים, המצריכים חשיבה מחודשת והיקפית.
האפשרויות שעומדות לרשותנו לצורך יצירת מערך הגנה היקפי:
• קודם כל IPS - על ארגונים לדאוג להגנה מפני התקפות אלו חודשים לפני שנודעו בציבור ואשר לרבות מהם עדיין אין טלאי. קיימים כיום מיזמים המעסיקים חוקרי אבטחת מידע, אשר חוקרים פרצות חדשות תוך שיתוף פעולה עם היצרנים לשם כתיבת טלאי. ארגון, המעוניין בהגנה שלמה ומקיפה, חייב להצטייד ב- IPS מתוחכם, זריז ומעודכן.
• מערכות בקרת גישה כוללניות - מערימות קשיים על התוקף הפוטנציאלי. הפעלת תהליך גישה יאפשר בקרה של כל מכשיר שנכנס לרשת ושל המשתמש, באמצעות סיסמא או חתימה דיגיטלית. לאחר הזיהוי על ידי המתגים מופעל מעין Firewall, המאפשר גישה אך רק לשירותים מותרים עבור אותו משתמש. כך מוגבלות למעשה אפשרויות ההתקפה על הרשת. פתרון כזה ניתן לממשק גם עם Wireless ארגוני, באמצעות מערכת שיכולה לקבל הוראות ולחסום, למשל, גישה של תחנה אלחוטית ארגונית המפיצה תולעת. כמו כן ניתן להוסיף CLIENT בתחנות הקצה, המוודא כי התחנה עומדת בדרישות האבטחה של הארגון ורק אז לאפשר לה גישה למשאבים הנדרשים.
לסיכום, אבטחת המידע ברשתות האלחוטיות והמקומיות עברה כברת דרך בשנים האחרונות וכיום ניתן לקבל פתרונות אבטחה ברמה גבוהה ומקיפה, מבלי להתפשר על יעילות פעולת הרשתות ורמת התקשורת בין כל חלקיה של רשת המחשוב.