See Security
המכללה לאבטחת מידע וללוחמת מידע

צרו איתנו קשר

שם מלא
טלפון
דוא"ל
תוכן
קוד אבטחה:

חדשות ועדכונים

כל החדשות ›

הסבר לענף אבטחת מידע: תחומים

הערות:
1. המיפרט נבנה על-בסיס חוות דעתם של מנהלי אבטחת מידע בכירים בישראל, ועל-בסיס מיפרטי DoD, ISO, NIST, CISM, CISSP
2. הפירוט הינו חלקי - עד שתי רמות עומק. (המיפרט המלא נלמד במסגרת לימודי מסלול CISO).

אבטחת מידע מבוצעת על-ידי שילוב מאמץ בדיסציפלינות אחדות, בדיוק כשם שהדבר נכון בעולם האבטחה הפיזית. אנו משתמשים בגדרות, במוקשים, בכיתת שמירה, בכיתת כוננות ותגובה, בתאורה, בחיישני נפח וחום, במצלמות (כלים), אך גם בשיטה (טכניקה), בנהלים ובבקרת משאבי אנוש ותהליכים.

העולמות השונים המהווים יחד "אבטחת מידע" או "הגנת מידע", מפורטים להלן. לכל אחד מהעולמות, ניתן להתייחס מאחת מהדיסציפלינות הבאות:

א. זוית הראייה של מיישם (הפן הטכני של התקנה ותחזוקה).
ב. זוית הראייה של מהנדס/ארכיטקט (פן התכנון המרחבי).
ג. זוית הראייה של מנהל אבטחת המידע הארגוני (משימות, נהלים ותהליכים).

1. עולם האסטרטגיה ותורת ההגנה הכוללת

בנייתה של תורת אבטחת מידע רבת שכבות ומימדים, ההתכוננות לקרב ההגנה וניהולו של הקרב באופן מוצלח, מחייבים תשתית איתנה ושורשים עמוקים של הבנה אסטרטגית, לצד הכרת הכלים, הטכנולוגיות, והטקטיקה הטכנית.
הבנה שכזו, תתבסס על תורות חיצוניות לעולם האבטחה (“The Art of War”), על תורות ואסטרטגיות מתוך עולם האבטחה (NSA’s Defense in Depth – DiD), על-בסיס טכניקות ו- Best of Practices מתוך עולם האבטחה הפיזית, ועל בסיס כל אלה – עקרונות אבטחת המידע המיועדים לכל אחד ממקצועות האבטחה בנפרד. התורה האסטרטגית תשען על שלושת יסודות אבטחת המידע: (1) טכנולוגיות, (2) אנשים (3) ותהליכים. לכן – זוכה הנושא התובנה האסטרטגית לכותר עצמאי ורב משמעות בפני עצמו.

2. עולם אבטחת תשתיות מיחשוב

התקנה והגדרה של כלי אבטחת מידע אינה מבטיחה הגנה נאותה, כשם שקיומם של תותחים, מטוסים וצוללות אינה מבטיחה ניצחון. תורת הלחימה דורשת הבנה ארכיטקטונית, ראייה רחבה, ויכולת להפעיל טקטיקות הנובעות – הן מהראייה הרחבה, והן מתוך הבנה של “הפרטים הקטנים”. עולם זה עוסק בראייה הארכיטקטונית, בתורת הלחימה, בהפעלה האסטרטגית של הטכנולוגיות ובטכניקה הכרוכה בהפעלת הכלים, ומכאן - באבטחתן ובהגנתן של תשתיות המיחשוב הארגוניות ותשתיות ה- Cyber שמחוץ לגבולות הארגון.
עולם זה כולל את הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתן ובהגנתן של תשתיות המיחשוב הארגוניות ותשתיות ה- Cyber שמחוץ לגבולות הארגון. הנושאים העיקריים בתחום ההקשחות:

2.1 אבטחת חומרה וקושחה

התפתחות תורת התקיפה וההנדסה לאחור (Reverse Engineering) מחד, והמונוליטיות הטכנולוגית (יצרנים מועטים) בעולם מאידך, הביאו להתפתחות איום חדש. תקיפת קושחה נחשבת למיומנות שאיננה מצויה בתחומי היכולת של התוקף הבודד, אך אפשרית ומצויה כאשר מדובר בהתמודדות עם תקיפה שלמדינה (Cyber Warfare).

2.2 הקשחת מערכות ההפעלה (System Hardening)

מערכות ההפעלה הנהוגות במערכות ארגוניות הינן מבוססות Microsoft, מבוססות Linux, או Mainframe. פעילות אבטחת מידע כוללת בין השאר, אטימת מערכות ההפעלה מפני פגיעויותאבטחה. יש לדעת כיצד ניתן לעשות שימוש בפונקציות הגנה המשולבות במערכת ההפעלה על-מנת לשפר את בטיחותן, וכן כיצד ניתן לעשות שימוש בתוכנות-עזר נוספות שניתן להצטייד בהן להגנה על בטיחותן. הפעולות הינן בעלות אופי שונה במערכות הפעלה של תחנות הקצה (Clients) או של השרתים (Servers).

2.3 הקשחת רכיבי התקשורת (Network Hardening)

נהוג לתאר את הרבדים השונים של תקשורת מחשבים באמצעות מודל בן 7 שכבות הנקרא Open Systems Interconnection – OSI. שכבות אלו כוללות אלמנטים שונים השותפים בתהליך התקשורת: טופולוגיות רשתומיבנים לוגיים, רכיבי תקשורת (כרטיסי רשת, נתבים, מרכזות, גשרים, מתגים, מדיות חיווט), פרוטוקולי תקשורת (TCP/IP בראשם, וכן: SMTP, SSL, DHCP, SNMP ורבים נוספים). גם רכיבים אלו מחייבים צמצום השטח החשוף לפגיעת התקפה למינימום הנדרש לשםתפעול תקין של התקשורת, וסילוק כל אופציה ל"הרחבת הפתחים" כאשר הם מיותרים.

2.4 הקשחת מסד הנתונים (Database Hardening)

בסיס הנתונים הינו, מטבע הדברים, היעד של כל תוקף. לפיכך – גם כאן, יש לבצע סידרת פעולות הקשחה והגנה על "איזור" זה. גם כאן, קיימים מנגנונים שונים, אופציות "פתוחות מדי" שיש להגבילן, הןבאמצעות נהלים והן באמצעות כלים טכנולוגיים מגוונים אשר יביאו לכך שהמערכת תהיה "פתוחה" רק כפי הנדרש על-מנת לאפשר תפעול ושימוש תקין במידע לצרכיו המקוריים של הארגון.

2.5 אבטחת מכשירים ניידים (Mobile Security)

הגנת מכשירים ניידים הנה מורכבת, עקב ניידותם אל מחוץ לגבולות הארגון מחד, וקישורן למערכות הארגון מאידך. יתר-על-כן, הגורם האנושי מהווה פרמטר רבמשמעות בשגיאות אבטחה טיפוסיות לתחום מכשירים ניידים.

2.6 אבטחת תשתיות אינטרנט ותקשורת עולמית (Cyber Infrastructure Security)

הכוונה במונח "התשתיות הבינלאומיות של האינטרנט" הינה לכל הרשתות, הפרוטוקולים, טכנולוגיות הרשת ומרכזי המידע המשמשים את רשת האינטרנט העולמית, בתוך המדינה (במסגרת ה- ISP's) ומחוצה לה. מרכיב זה איננו בשליטה של אנשי האבטחה בארגון.

2.7 עולם אבטחת אפליקציות וקוד (Application Security)

כולל את הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתם ובהגנתם של קוד התוכנה, היישומים, ומערכות משולבות קוד.

כשם שתשתית מהווה כר פורה לפעילויות תקיפה, כך גם קוד יכול להוות "נשא" ל"קוד זדוני" שמטרתו להזיק למערכת או לשאוב ממנה מידע.

האפליקציה, סובלת ממספר אתגרי אבטחת מידע השונים מאתגרי האבטחה במערכות הפעלה ותקשורת. התשתיות מפותחות בדרך כלל על-ידי גורמים בינלאומיים רחבי היקף, וכאשר מתגלה "חור אבטחה", נוהגים גופי ענק אלו להפיץ "עדכון" ותיקון. מאידך – האפליקציות הן בדרך-כלל מקומיות, ופותחו בהתאמה ללקוח אחד. לכן – כאשר מתגלה "חור אבטחה" – תיקונו אינו פשוט כי מחיר התיקון אינו "מתחלק" על-פני מאות אלפי לקוחות.

תהליך אבטחת יישומים מתחיל כבר בשלב התכנון, נמשך לכל אורך פיתוח ישום, ואף לאחר מכן – בשלב התחזוקה.

קיימות התמחויות שונות הנוגעות ליישומים רגילים, ליישומי אינטרנט, להיבט הקוד והשפה של מסדי נתונים, וכן התמחויות הקשורות לטכנולוגיה: Java, ושפות כמו .Net, C / C++ וכן הלאה.

3. עולם מימשל אבטחת המידע (Governance)

נושא "מימשל אבטחת מידע" (InfoSec Governance) מהווה אבן יסוד בלימוד עולם הניהול והאו"ש של יחידת אבטחת המידע.

רבות מן הדרישות להגנה על המידע בארגון נובעות מחוקי המדינה, מרגולציה של הגופים המבקרים, מתקנים מקומיים או בינלאומיים או מדרישות הספקים והשותפים. חוקים, מטרתם בד"כ להגן על פרטיות אנשים או להגן על נכסיהם הפיננסיים או הקניינים, של פרטים שהמידע עליהם נמצא ברשות הארגונים. הרגולציות מכוונות להגן על האיתנות הפיננסית של הארגונים המבוקרים ולמנוע פגיעה בפרטי המשתמשים בארגונים אלו להשקעה. כתוצאה מכך, רגולציות וחוקים מייצרים דרישות בתחום ההגנה על המידע, אף כי אינם מכווני אבטחת מידע בבסיסם.

ממשל תאגידי: הארגון עצמו מטיל אף-הוא אחריות על מנהל אבטחת המידע: לנהל את הסיכונים לנכסי המידע הארגוניים, תוך הצבת מטרות ודרישות בתחום אבטחת המידע, הנובעות מדרישות חוק ורגולציה, מחבויות חוזיות וצרכי הארגון להגן על נכסיו, כדי שיוכל לעמוד ביעדים העסקיים שלו ולזכות ביתרון תחרותי. מערך אבטחת המידע אמור לספק את הכלים לעמידה בדרישות הממשל התאגידי, להכין תכנית אבטחת מידע מכוונת ניהול סיכונים התואמת את נהלי החברה ואת היעדים העסקיים והחזון של הארגון ולדווח על רמת ההצלחה של תכנית אבטחת המידע. הארגון קובע את היעדים האסטרטגיים ארוכי הטווח לפיהם יפותחו תכניות אבטחת המידע ויקבעו היעדים בתחום אבטחת המידע.

4. עולם הניהול והאו"ש של יחידת אבטחת מידע

הדרישות העסקיות והרגולטיביות מתורגמות על ידי מנהל אבטחת המידע לשורה של  בקרות שמטרתן למזער את הסיכונים לנכסי המידע של הארגון. בקרות אלו הן אוסף של מדיניות, נהלים, תקנים והוראות עבודה. הבקרות יכולות  להיות פרוצדוראליות, פיסיות, לוגיות או טכנולוגיות והפעלתן וישומן בארגון מהווים את תכנית אבטחת המידע הארגוני. בקרות אלו נמדדות באופן רציף, כדי לזהות את התאמתן לטיפול בסיכונים לנכסי המידע הארגוני, המדידה נעשית באמצעות מדדים כמותיים ובאמצעות ביקורות תקופתיות הכוללות סקרי סיכונים, סקרי אבטחת מידע ומבדקי חדירות.  תוצאות המדידות משמשות לעדכון תכנית העבודה. תכנית העבודה של אבטחת המידע להיות מוטמעת בכל רחבי הארגון ולפנות אל כל העובדים. נושא נוסף המטופל ע"י ממונה אבטחת המידע הוא זיהוי וטיפול בתקריות אבטחת המידע, כאשר הבקרות אינן מצליחות למנוע סיכון.

כיצד מנהל ה- CISO את ההיבטים הרבים והרב-תחומיים שתוארו? כיצד הוא מתייחס  להיבטי האבטחה במימד  הטכנולוגיות, במימד התהליכים הארגוניים, ובמימד האנושי? כיצד הוא מסנכרן  ומנהל  את  עשרות  ומאות  משימותיו,  את תדירות הפעילויות, מהותן, והסדר שבהן? כיצד משתלבת בכל אלו התייחסות לדרישות המדינה (חוקים ורגולציות), של הלקוחות והשותפים (תקני אבטחת מידע), ולדרישות של העסק – הארגון עצמו? כיצד הוא מנהל סדרי  עדיפויות במציאות של מחסור מתמיד במשאבים?

עולם זה עוסק בסדר הנכון של הפעולות, בתדירותן, בחומרי הגלם המוכנסים על-ידי ה- CISO לכל פעולה בודדת ובתוצרים היוצאים מפעולה זו ומשמשים כחומר גלם לפעולה הבאה בתהליך.

פרק עולם הניהול "אורז" את עולמות אבטחת המידע שתוארו עד כה למיקשה אחת, ומתאר תהליך שבו משולבות כל הפעילויות, תוך שהן מתחשבות ברצונות העסקיים של הארגון, ברצונות של המדינה, וברצונות של השותפים – הלקוחות בדרך-כלל.

5. עולם התקיפה והלוחמה הקיבנטית (Hacking & Cyber Warfare)

"אלוהים נמצא בפרטים הקטנים", אמר מאן דהוא. על-מנת לתכנן הגנה על פרטי-פרטיה, יש להבין התקפה על נפתוליה. מכיוון שאבטחת מידע עוסקת בהגנה מפני תוקפים, לא ניתן להסתפק רק בהכרת סביבת ההגנה, ונדרשת
היכרות מעמיקה עם סביבת ההתקפה, מבחינה טכנולוגית, מבחינת טכניקה, ומבחינת הלך-רוח.

כל הגדרה תפעולית של כלי אבטחה מבלי להבין במדויק מפני מה הוא מגן, נדונה לכישלון. הניסיון מלמד, כי מנהלי תשתיות ומומחי אבטחת מידע ותיקים נדהמו לגלות פערים ניכרים בין הדרך שבה הם תופשים בדמיונם תקיפה, לבין הדרך שבה תקיפה מתקיימת בפועל. פערים אלו מהווים יסודות לשגיאות נפוצות רבות מספור בדרך בה מיושמת הגנה על נכסי הארגון.

הבנת שיטות Hacking משמען, הבנת של כל השלבים בתהליך ההתקפה: החל משלב איסוף המידע (חקירה ומודיעין), עבור בריכוז כלי ההתקפה, עבור בחדירה וכלה בשלב ה"ניקיון" שלאחר ההתקפה (House Keeping).

עולם התקיפה מחולק כרונולוגית לשלב החקירה והאיסוף,שלב התקיפה, ושלב הכיסוי.

מבחינה טכנולוגית, מחולק עולם התקיפה לסביבת הסיסטם, התקשורת, מסדי הנתונים, מכשירים ניידים, ישומים הרגילים ואינטרנט), תקיפת הגורם האנושי (Social Engineering), ולבסוף - מערכות מיוחדות במינן (משולבות)
(CAM- Computer aided manufacturing, HMI- Human Machine Interface, SCADA- supervisory control and data acquisition).

תחום Cyber Warfare מתייחס בדרך-כללי לשתי סביבות: האחת – לפעילות תקיפה (והגנה) "ברמת ה- ISP ומעלה"– מפת האינטרנט העולמית, והשניה – לפעילות תקיפה (והגנה) הנוגעת לתשתיות קריטיות (ממלכתיות או פרטיות אשר השפעתן לאומית). יש לזכור כי למלחמת מידע בין מדינות השלכות רבות גם על אבטחת המידע בארגונים "רגילים".
סוגי הפעילות ברמת ה- :Cyber א) פעילות תקיפה ואיסוף מודיעין מטעם מדינות וארגוני טרור, ב) פעילות פשיעה חוצת גבולות מדיניים.

* עולם האבטחה הפיזית לא נכלל במתודולוגיה, אך נושק לעולם אבטחת המידע ואף חופף לו בהיבטים אחדים, בהגנה ובהתקפה.

המשך לתת-פרק: הסמכות אבטחת מידע (הקפד להמשיך לפי הסדר המומלץ)