כפתור הקפץ למעלה

02 מבוא ותקצירים

בתקציר זה נסקור את כל הנושאים בהם אנו עוסקים בספר כולו. למעשה, כתבנו עבורכם ספר, שהוא גם קורס קריאה. ניתן לעשות שימוש במידע כמקשה אחת, ולקרוא פרק אחר פרק בסדר המומלץ. אך התעקשנו שכל פרק יהיה גם עצמאי, ולכן, אפשר לקרוא רק נושא או פרק שמעניין אתכם, ולדלג ישירות אליו, אם אתם שולטים בחומרים הקודמים.

כיצד מתחילים לכתוב קורס מקיף כל כך?

למכללת See Security ניסיון רב מאוד. זוהי המכללה הראשונה שקמה באירופה לתחום הסייבר. לכן, אנחנו מנוסים מאוד במיון, ובסינון מידע, ובעלי הבנה רבה שמאפשרת להבדיל בין עיקר לטפל, דליל ועמוק, וכמובן – יודעים מהם השלבים הנכונים בהנחלת המידע.

הספר נגיש לכמה אוכלוסיות והידע יתאים לכל רמה בהתפתחות המקצועית:

 

  1. לאנשי IT / אנשי מחשבים: כל פרק שמעבר לפרק "יסודות ודרכי למידה", הוא חשוב לכם. הפרקים בנויים במתכונת של פירמידת ידע. אל תדלגו על שום פרק, כי המידע יחסר לכם. "איש מחשבים / IT" הינו מי שמכיר לפחות שניים משלושת הדומיינים (סיסטם/ תקשורת/ פיתוח).
  2. לאנשי סייבר במקצועות שונים, שרוצים להבין באמת את מכלול הגנת הסייבר. גם את מוזהרים שלא לדלג על פרקים, אם ברצונכם לרכוש ידע מעמיק על הכל. מאידך - כל נושא בנפרד שתרצו להעמיק בו – אמור להימצא כאן. מיישם הגנת סייבר, הינו מי שעוסק ביישום כלי הגנת סייבר, קרי: התקנה, תחזוקה ופתרון תקלות ("מיישם"), או בתכנון טכני ובניהול הגנה טכנית ("ארכיטקט"), או גם בתחום הטכני וגם בתחומי המינהל בהגנת סייבר, רגולציה או ארגון ושיטות ("CISO"), או בתורת התקיפה (Penetration Tester) לענפיה (מודיעין, מחקר, וכו'), או מחקר בסייבר
  3. למתחילים מוחלטים במחשבים: קהל זה יכול ללמוד רבות על עולם הסייבר, ויוכל להבין את החלקים הראשונים של הספר. רצוי מאוד כי קהל זה, ילמד היטב את פרק יסודות הסייבר (מערכות מידע), ואם אפשר - גם מעבר למצוי בספר זה. לאחר מכן, ניתן להמשיך ללמוד "עד הסוף", אך יש לקבל בהבנה ובסובלנות את המגבלה, שחלק מהידע לא ייקלט, עקב חסך ידע ב"יסודות", וחוסר ניסיון במערכות מידע. "מתחיל" הינו מי שלא מכיר ברמה סבירה כלשהי אף אחד מהדומיינים (תחומים) הבאים: (1) סיסטם של שרתים, (2) תקשורת מחשבים, (3) פיתוח קוד. את שני הדומיינים הראשונים ניתן ללמוד באמצעות קורס "ניהול רשתות". 

לצורך ריכוז המידע נעזרנו במרצים שלנו, במומחים אחרים, במאמרים במרחבי הרשת, במערכות AI, ואף בויקיפדיה.

מדובר ב-א-מ-ת במיטב אנשי הסייבר בישראל. המכללה קיבלה את השם שלה בזכות רמתם ומחויבותם של המרצים, שביום-יומם משמשים כאנשי מקצוע בענף, בגופים ממלכתיים ובגופים עסקיים.

קדימה. בואו נתחיל.

הספר נגיש לכמה אוכלוסיות והידע יתאים לכל רמה בהתפתחות המקצועית:

בפתיחתו של ספר זה נעסוק בכל מה שמגיע לפני עולם הסייבר: "כיצד ללמוד סייבר". 

מכאן, נעבור על היסודות שלפני הסייבר (מערכות מידע: ידע בתשתיות IT). 

נדון בעולם הסייבר מסביבנו: שחקני סייבר בעולם ובישראל, ומכאן, אל אחד הפרקים החשובים בספר: יסודות הגנת סייבר: נדון בעקרונות ה-CIA וה-PPT, ה- DiD ושאר העקרונות הקריטיים בהגנת סייבר, ונבין את המונח "בקרה" (אמצעי הגנה טכנולוגי או מינהלי). כאן, גם נכיר את תורת ההגנה של מערך הסייבר הלאומי.

לאחריהם – נעבור אל עולם ניהול הסיכונים: זיהוי והערכה של הנכסים, האיומים וסיכוני הסייבר. במסגרת פרק זה נעסוק גם באיום התוקפים, התקיפות והקוד הזדוני.

מכאן ואילך: נדון בבקרות, ועוד בקרות : בקרת גישה, הגנה על נתונים ומידע, הגנה בשכבה הפיזית, אבטחה של חומרה, של רשת, של מערכות הפעלה, של נקודות קצה, של יישומים, של מסדי נתונים, של סביבת האינטרנט, ובקרות ניטור וניהול מידע אבטחתי (SIEM). נמשיך לתחום של תגובה לאירועי סייבר.

עד כאן, מרבית הידע הוא טכני-הנדסי במהותו, ורק מעט, עסק בפן של מתודולוגיה. אבל "סייבר" עושים גם עם כלים מנהליים, משפטיים, כלכליים, ועוד. וכאן – המקום להבין את עולם "ממשל הגנת סייבר", שהוא הצד המתודולוגי של ההגנה.

למעשה, "כמעט" השלמנו את לימודינו, אך עדיין נותר לנו ללמוד מזווית ראייה אחרת, את מוסד ה-CISO ותפקידיו. מזווית ראייה זו נעסוק בהרבה מהפנים שלמדנו קודם (אם כי נחווה גם נושאים חדשים), אך כתורה של "מה עושים עכשיו ומדוע, ואת מי מפעילים".

הספר מסתיים עם סדרה של נספחים להרחבת ידע בנושאים שונים. להלן הנושאים בספר, בתקצירים.

 

נבהיר את המונחים "אבטחת מידע" או "הגנת סייבר" עצמם, ומדוע כה קשה להגן על ארגון. נזכיר כאן מונחים ורכיבים שבאמצעותם מתקיימת הגנת סייבר (אך ההסבר עבורם – יינתן בפרקים הבאים). בפרק זה נזכיר את ההיסטוריה ואת ההתפתחות של הגנת הסייבר, ואת התפתחות הסייבר כענף שלם הכולל מקצועות ותפקידים שונים, ונבהיר את ההבדלים בין בעלי המקצוע, ואת שילוב הכוחות ביניהם.

כאן נמצא מידע ראשוני על מקצועות הסייבר, אודות גופים ישראליים הפועלים במרחב הסייבר, ובהם: מערך הסייבר הלאומי (לרבות מרכז ה- CERT הלאומי המהווה חלק ממנו), הרשות להגנת הפרטיות, רשות המאגר הביומטרי, איגוד האינטרנט הישראלי, משטרת ישראל, איגוד האינטרנט הישראלי, חטיבת הסייבר בצה"ל.

נגדיר גם 'שחקנים' במרחב הסייבר, מה'טובים' ומה'רעים'. מפרטיים ועד מדינות. כאן גם נספר על 'העולם התחתון' של הדיגיטל: הרשת האפלה ועולם הצ'אט המוצפן, ככלי עבודה עיקרי של מי שמעדיפים להסתיר את מעשיהם.

לסיכום פרק זה, נספק לכם "סיפור": סימולציה של אירוע תקיפה שמתנהל בחברה דמיונית. תסריטים מסוג זה מתרחשים בגלובוס מדי יום. ה'סיפור' ישכיל לתת לנו מושג על "מה קורה בארגון באמת בזמן התקפה".

יסודות ודרכי למידה

נדון תחילה ביסודות הידע החיוניים לפני לימודי סייבר: מבנה מחשבים, מערכות הפעלה, רשתות ותקשורת, ואפילו שפת תכנות קלה וידידותית במיוחד.

נדון בכל הנדרש ובדרכים הקיימות ללימודי סייבר: לימוד עצמי "בבית", או "קורס באינטרנט", או קורס פרונטלי, או לימודים אקדמאיים (ספין: לא קיימים לימודים אקדמיים למקצועות הסייבר). נספק "טיפים" בנושא הלימודים מחד, וטיפים בנושא הסייבר מאידך. נדבר על קורס קצר לעומת ארוך, ונדבר על הסמכות בינלאומיות ועל "לימודי תעודה" או "תואר".

למי שמעוניין להרחיב את השכלתו ולעבוד בתחום הסייבר, נמליץ שלא להסתפק בפרק זה, ולבחון אפשרות ללימודים מסודרים של רשתות מחשבים ומערכות הפעלה.

מערכות מידע

מערכות מידע הן מערכת של רכיבים, אשר נועדו לאסוף, לאחסן, לעבד ולהפיץ מידע. 

מערכות מידע מורכבות ממספר רכיבים, כגון:

• חומרה: החומרה היא הרכיב הפיזי של מערכת המידע, כגון מחשבים, שרתים, התקני אחסון והתקני קלט/פלט.

• תוכנה: התוכנה היא החלק הלא פיזי של מערכת המידע, כגון מערכות הפעלה, יישומים ותוכנות שירות.

• נתונים: הנתונים הם המידע אשר מאוחסן במערכת המידע.

• נהלים: נהלים הם רשימות של כללים המגדירים את דרך ביצועה של משימה מסוימת.

• אנשים: אנשים הם חלק חיוני מכל מערכת מידע, והם אחראים על הפעלת וניהול המערכת.

• מרחב האינטרנט: רשת עולמית של מחשבים המחוברים זה לזה באמצעות רשתות תקשורת.

מערכות מידע הפכו לחלק חיוני מחיינו. הן משמשות בכל תחומי החיים, החל מעסקים ועד לממשלה, וחיוניות לתפקודם התקין של ארגונים ואנשים.

מזל טוב. אנחנו בעולם הסייבר! ואנחנו אפילו עמוק מאוד בתוך המושגים החשובים ביותר בעולם הסייבר.

במרחב הגדול של המידע שעלינו לרכוש בנושא הגנת סייבר, נרצה ללמוד קודם את רכיבי המפתח שמרכיבים את העולם הזה, ואז, "להרגיש" מעט כל אחד מהם.

הרשימה של רכיבי המפתח שלנו, היא:

  1. "מושגי מפתח" מכל הסוגים (והחשובים תחילה): להכיר את השפה הנהוגה בענף שלנו.

  2. "עקרונות מפתח": יש מספר עקרונות שמהווים בסיס לכל פעולה בכל מרחב ההגנה, ולכן, יש להכירם תחילה.

  3. "אמצעי הגנה" טכניים (טכנולוגיות) או מנהליים. אנחנו מכנים את האמצעים הללו בשם "בקרות".

  4. "מתודולוגיה של הגנת סייבר": רשימה נרחבת של תורות הנהוגות במקומות שונים בעולם ובישראל, חלקן הן "חוק" או רגולציה ("חוק קטן"), אחרות נחשבות ל"תקן", חלק אחר מהן נקראות "מסגרת" (Framework), וחלקן זוכות לכינוי "Best of Practices". כולן מסייעות לנו לפעול נכון בהגנה.

כאשר נשלב את כל אלו בתודעה ובזיכרון ובהבנה, נשכיל לפעול נכון.

נדון במושגי מפתח בעולם הסייבר. מהמוקד: CIA: השמירה על סודיות, שלמות וזמינות של מידע, עבור בצורך בתכנון האבטחה עוד לפני הבנייה של המוצר או התהליך שעליו מבצעים אבטחה, עבור בהבנה שאבטחה היא תהליך ולא אירוע חד פעמי. נפעל להבהרת ההבנה של המסגרת "אנשים, תהליכים, טכנולוגיה" (PPT), נדבר על עקרונות כמו הרשאות, מידור, אימות, בקרת זרימת מידע, בקרת קריסה,  'ניקוי' תקופתי למערכות ועוד. נזכיר את עיקרון הבצל בהגנה, את האדם כחוליה חלשה, את חשיבות תהליך זיהוי וסיווג נכסי מידע יסודות חישוב עלות-תועלת באבטחה, ונזכיר את עיקרון הערכת הסיכונים.

כל לימודינו עד כה, נועדו להכין אותנו לחטיבה המשמעותית והכבדה העוסקת ב"בקרות הגנת סייבר".

בקרת סייבר היא אמצעי אבטחה או אמצעי מניעה, לגילוי, זיהוי, נטרול או הפחתה של סיכוני סייבר.

קיימים שלש סוגים עיקריים של בקרות: בקרה מונעת (כלי המונע מבעוד מועד מפעולה שלא רצוי שתתרחש), בקרה מגלה (מנטרת) (כלי שמטרתו לגלות פעולות לא רצויות שהתרחשו כך שיתאפשר לארגון לתקן אותן לאחר מעשה), ובקרה מפצה (בקרה שמטרתה לתת מענה במקום שבו בקרה אחרת אינה חזקה מספיק).

בשיטת סיווג אחרת, קיימים 2 סוגי בקרות: בקרה טכנולוגית (כדי למנוע, לגלות או לפצות על אירועי סייבר. לדוגמה: חומות אש, תוכנת אנטי-וירוס, תוכנת הצפנה). או בקרה ניהולית (בקרות המבוססות על תהליכים, נהלים ותרבות ארגונית. לדוגמה: מדיניות אבטחת מידע, הדרכות עובדים, ניהול סיכונים). 

במסגרת פרק זה, נעסוק בהבנה של סיווגים שונים של הבקרות.

בפרק איומים אנו דנים גם בתוקפים, באמצעי תקיפה ובטכניקות תקיפה נהוגות. הבנתם, תורמת רבות בתכנון ההגנה ובמימוש הבקרות בהגנה. המכנה המשותף לכל גורמי האיום: הם משתמשים בהאקרים: מומחים להתקיפה ולמודיעין. כאן – נרחיב את נושא "האקרים וטכניקות", ונסקור בצורה עמוקה את מגוון הטכניקות הקיימות לתקיפה, ולפעילות נפשעת ברשת, לרבות הבנת רשת אפלה, Darknet, שימוש בצ'אטים מוצפנים ועוד. לבסוף, נדון כאן במסגרת Cyber Kill Chain (לוקהיד מרטין), ובמתודולוגיית ATT&CK MITRE להבנת תהליך התקיפה.

כאן אנו מדברים על Malware. אנו מתכוונים לניצול פגיעויות (או ניסיון לניצול פגיעויות) ברכיבים תקשוביים כדוגמה: מחשב מקומי, רשת מחשבים, ציוד תקשורת וכו'. Malware יכול להגיע בדרכים רבות כמו השתלת קוד זדוני כחלק משרשרת האספקה \ תהליכי הפיתוח, ניצול חולשות ידועות ו\או שאינן ידועות, פוגענים טיפשים ו\או מתוחכמים, פוגענים מסחריים ו\או ייעודיים.

מטרותיו העיקריות של ה-Malware, הינם פגיעה בסודיות המידע, משמע, ריגול וגניבת מידע ו\או פגיעה באמינות וזמינות המידע, קרי, שיבוש יכולות הרכיב התקשובי (המחשב, הרשת, ציוד התקשורת וכו').

חשיבותה של בקרת גישה נובעת מכך שרוב נכסי המידע והמערכות בארגונים רגישים ויקרי ערך, וחדירה אליהם או ניצולם בידי גורמים עוינים עלולים לגרום נזק משמעותי. בקרת גישה היא שכבת ההגנה הראשונה מפני פריצה או חבלה. היא מסייעת לארגונים להגן על נתונים רגישים, כגון מידע אישי, קניין רוחני, ומידע פיננסי. 

בקרת גישה היא משימה מורכבת שדורשת ידע מעמיק, התמדה ועדכניות תדירה כדי להבטיח את אבטחת המידע.

ננסה לבטא את התשובה הארוכה הזו כך: כל-כך הרבה משתמשים שצריכים לקבל גישה לכל-כך הרבה מערכות שיושבות על כל-כך הרבה פלטפורמות שונות, הן מקומיות והן מרוחקות ואף ניידות או בענן, ושבכל אחת מהן יש כל-כך הרבה יישומים וכל-כך הרבה נתונים שחלקן כפופות להוראות רגולטיביות שדורשות כך או כך...

בקרת גישה מבוססת על מספר עקרונות יסוד:

  • אימות (Authentication): אימות זהות של המשתמשים (או המערכות) המבקשים לגשת למשאבים.

  • הרשאה (Authorization): מתן הרשאות גישה ברמות משתנות למשתמשים המאושרים.

  • חשבונות (Accounting): ניהול מסודר של חשבונות המשתמשים, כולל מעקב אחר פעילויות הגישה שלהם.

  • רישום וניטור פעילות

בקרת גישה היא מערכת של מדיניות ופרוצדורות שמטרתן להגביל את הגישה של משתמשים למידע ורשתות מחשב. בקרת גישה יעילה יכולה לעזור להגן על מידע מפני גניבה, שימוש לרעה או השמדה. היא יכולה גם לעזור להגן על רשתות מחשב מפני חדירה.

בקרת גישה מבוססת על עקרונות כמו: הפרדת תפקידים, ברירת מחדל שהיא "אין גישה", אישור גישה לפי המינימום הנדרש לתפקיד, הקצאת הרשאות אישיות, ומערכות ניטור ובקרה לכל אירועי הגישה.

קיימים סוגים רבים ושונים של בקרות גישה המבוססים על גישות שונות: לפי תפקידים, לפי מועד גישה, לפי כללים, לפי סיכונים, לפי מדיניות, לפי רשימה קבועה ועוד. כולן תוסברנה בפרק זה בהמשך. קיימים גם אמצעים ניהוליים שמנהלים בקשת גישה.

הרשאות JIT

הרשאות "Just-In-Time" באבטחת מידע, מתייחסות לגישה שבה הרשאות מוענקות למשתמשים רק כאשר הן באמת נחוצות, ולפרק זמן מוגבל. זה שונה מהרשאות קבועות, שבהן משתמשים מקבלים הרשאות לצורך תפקידם והן נשארות פעילות ללא תלות בצורך הספציפי או בזמן.

ההבדל העיקרי בין הרשאות JIT להרשאות רגילות הוא בגישה לניהול סיכונים ובאבטחת מידע. בעוד שבהרשאות רגילות משתמשים רבים יכולים לקבל גישה רחבה למשאבים לפרק זמן ארוך, בהרשאות JIT הגישה מוגבלת לפרק זמן קצר ורק כאשר היא נחוצה. זה מקטין את הסיכון שמידע רגיש ייחשף או ייפגע על ידי התקפות או שגיאות פנימיות.

בנוסף, הרשאות JIT מקלות על מעקב ובקרה על גישות ושימושים במשאבים, מכיוון שהן מאפשרות לראות בבירור מתי ולמה ניתנה הגישה. זה מסייע בזיהוי ומניעת פעולות חשודות או לא מורשות.

אמצעי בקרת גישה

ישנם מגוון אמצעי בקרת גישה המשמשים להגן על נכסים. אמצעי בקרת גישה נפוצים כוללים:

  • סיסמאות: סיסמאות הן אמצעי בקרת גישה פשוט אך יעיל. סיסמאות חייבות להיות חזקות וייחודיות כדי להגן מפני פריצה.

  • אימות דו גורמי: גורמים כפולים הם אמצעי בקרת גישה המשתמש בשני גורמים שונים כדי לאמת את זהות המשתמש. גורמים כפולים נחשבים לבטוחים יותר מסיסמאות בלבד.

  • זיהוי ביומטרי: זיהוי ביומטרי הוא אמצעי בקרת גישה המשתמש בתכונות פיזיות של המשתמש, כגון טביעת אצבע או זיהוי פנים, כדי לאמת את זהותו. זיהוי ביומטרי נחשב לבטוחים יותר מסיסמאות וגורמים כפולים.

  • מדיניות סיסמאות: מדיניות סיסמאות היא סט של כללים לגבי סיסמאות, כגון אורך הסיסמה, מורכבות הסיסמה, ותדירות החלפת הסיסמה. מדיניות סיסמאות טובה עוזרת להגן מפני פריצות סיסמאות.

  • בקרת גישה היא אמצעי חיוני להגנה על הנכסים שלך מפני גישה בלתי מורשית. היא יכולה לעזור להגן על הדברים הבאים:

  • נתונים: בקרת גישה יכולה לעזור להגן על נתונים רגישים, כגון מידע אישי, נתוני כספים, ונתוני עסקיים.

  • אפליקציות: בקרת גישה יכולה לעזור להגן על אפליקציות קריטיות, כגון מערכות ERP ו-CRM.

  • שירותים: בקרת גישה יכולה לעזור להגן על שירותים חיוניים, כגון שירותי אינטרנט ושירותי ענן.

למעשה, האלמנט של בקרת גישה מיושם בפועל בטכנולוגיות שונות כל העת. אלו הם מנגנוני אימות: בסיסמאות,  בזיהוי פנים, בטביעות אצבע, בכרטיסי חכם, בתוכנות אנטי-וירוס, בחומות אש ועוד אין ספור כלים.

בלב האתגר של בקרת גישה, עומד נושא "ניהול זהות וגישה" (IAM). זוהי מסגרת השוזרת אימות זהות עם בקרות גישה כדי להגן על מידע ומשאבים. IAM היא מערכת כוללת המגדירה, מאמתת ומנהלת את זהויות המשתמש. 

מערכות בקרת גישה משתמשות ב"פרוטוקולים" שונים כדי לזהות משתמשים ולאפשר או לאשר את כניסתם.

בנוסף לפרוטוקולים מבוססי כרטיס או זיהוי ביומטרי, קיימים גם פרוטוקולים מבוססי רשת המשמשים לצורך בקרת גישה. פרוטוקולים אלו מאפשרים למשתמשים לגשת למערכות או נכסים מרחוק, ללא צורך להיות פיזית במקום.

בקרות טכניות כמו: אבטחת רשת: אמצעי הגנה כגון חומות אש, תוכנות אנטי-וירוס ו-VPN, אמצעי הגנה כגון אימות רב-גורמי וניהול זכויות גישה.

בקרות ארגוניות כמו מדיניות אבטחת מידע, הכשרת עובדים ועוד.

בקרות משפטיות כמו תקנות הגנת הפרטיות, הסכמי סודיות (NDA) ועוד.

הבקרות הללו משרתות גם מטרות נוספות, ולכן נדון בהן בפרקים שונים.

השימוש בשילוב של בקרות הגנה הוא הדרך הטובה ביותר להגן על נתונים ומידע.

אנחנו נדון במסגרת פרק זה בהצפנה ובמניעת דלף מידע.

הצפנה וקריפטוגרפיה

הצפנה היא תהליך של קידוד מידע, שממיר את הייצוג המקורי של המידע, (שנקרא: טקסט גלוי) לצורה חלופית, המכונה טקסט מוצפן. מידע שהוצפן ניתן לאחזור לצורתו השימושית המקורית על ידי משתמש מורשה המחזיק במפתח הקריפטוגרפי, דרך תהליך הפענוח. קריפטוגרפיה משמשת בהגנת סייבר כדי להגן על מידע מפני גילוי בלתי מורשה או מקרי בזמן שהמידע במעבר (אלקטרונית או פיזית) ובזמן שהמידע מאוחסן.

סביבת הצפנה עושה שימוש באבני בניין מבוססות הצפנה כגון צופן סימטרי, צופן זרם, מפתח פומבי, פונקציות גיבוב, קוד אימות מסרים, מחולל פסבדו אקראי וכדומה. נכיר בהמשך את המונחים.

זהו פרק "שונה" בנוף הגנת הסייבר. לא נדרוש "נטייה חזקה למתימטיקה", לא במדעי המחשב  ואפילו לא יותר מדי חשיבה לוגית. 

דלף מידע

טכנולוגיות DLP (Data Leakage Prevention), יכולות למנוע להוציא, להעלות, להעביר, או אפילו להדפיס מידע קריטי בצורה לא בטוחה. הן מזהות, מנטרות, ומאבטחות מידע המועבר בתקשורת או מצוי במאגרי מידע וביחידות הקצה, באמצעות כלי לניהול מרכזי, בהתאם למדיניות וחוקים שנקבעו מראש. 

דלף מידע יכול להיות פנימי - כאשר עובדים בתוך הארגון מדליפים מידע רגיש, חיצוני, כאשר אנשים או קבוצות מחוץ לארגון משיגים גישה למידע הארגוני באופן לא מורשה, לעיתים בטעות, ולעיתים במכוון.

דליפת מידע יכולה להיווצר ממידע העובר ברשת, או מידע "חונה" בעמדת קצה. 

כדי לייצר מניעת דלף (DLP) יעילה, יש לתכנן ולכתוב מדיניות ברורה, ולגבש באמצעותה תהליכים ונהלים ארגוניים.

קיימות תוכנות DLP לרשתות ארגוניות, או לנקודות קצה, או לנתונים במנוחה, או לנתונים בתנועה. יש לדעת לבחור בפתרון הנכון לפי סוג הבעיה העיקרי בארגון.

הערה: קיימים מנגנונים נוספים של הגנה על המידע, בפרט מנגנוני הגנה על אמינות (Integrity) המידע, חתימה דיגיטלית ומניעת התכחשות (NON REPUDIATION) אשר יידונו בהמשך הספר.

אבטחה פיזית מתארת דרכים וכלים של אבטחה שיכולים למנוע גישה בלתי מורשית למתקנים, או ציוד ולהגן על כוח האדם ורכוש מפני נזקים. אבטחה פיזית משמעה שימוש בכמה שכבות של מערכות, כמו טלוויזיה במעגל סגור, מאבטחים, מחסומים, מנעולים, מערכות  איתור פריצות היקפי, מערכות הרתעה, הגנה מפני אש, ומערכות אחרות שנועדו להגן על אנשים ורכוש.

תחום האבטחה הפיזית, אף שהוא מטופל בדרך-כלל באמצעות מחלקת הבטחון, ולא על ידי מחלקת הסייבר, הוא חלק ממערך האבטחה המשמש גם את עולם הסייבר.

אבטחת חומרה היא הגנה מפני פגיעות של מכשיר פיזי ולא תוכנה שמותקנת על החומרה של מערכת מחשב.

אבטחת החומרה יכולה להתייחס למכשיר המשמש לסריקת מערכת או לניטור תעבורת רשת. דוגמאות נפוצות כוללות חומות אש של חומרה ושרתי פרוקסי. דוגמאות פחות נפוצות כוללות מודולי אבטחת חומרה המספקים מפתחות הצפנה עבור פונקציות קריטיות כגון הצפנה, פענוח ואימות עבור מערכות שונות. מערכות חומרה יכולות לספק אבטחה חזקה יותר מתוכנה ויכולות לכלול גם שכבת אבטחה נוספת עבור מערכות קריטיות למשימה.

כל אלו, הם חלק מחומרה, עליה אנחנו דנים: לוח אם, המעבד, הזיכרון הראשי, ספק כוח, כרטיס גרפי, כרטיסי מולטימדיה, יציאות שונות (מקבילי, טורי, FireWire, USB) לציוד הקפי, סורק ומדפסת, אמצעי אחסון, כמו דיסק קשיח, כונן DVD, צורב, רכיבי תקשורת: כרטיס רשת, נתב, מתג. רק התחלנו...

מנין הם הגיעו? מי בנה כל אחד מהם? האם נשתל בהם קוד זדוני? רוגלה? מה עושים?

הפרק הזה מהווה הקדמה חיונית לסדרת פרקים העוסקת באבטחת תקשורת מחשבים. הוא מציג תמונת מצב מקיפה של האתגרים והפתרונות בתחום אבטחת רשת, מתחיל בהגדרת המונחים הבסיסיים והאתגרים העיקריים באבטחת רשת.

מרכז הפרק מתמקד בעיצוב ארכיטקטורת רשת עם מבט להגנתה. נדון בחשיבות של תכנון מערכתי ומדוד לבניית רשתות חזקות, גמישות ובטוחות. מוצגים עקרונות וטכניקות לעיצוב ארכיטקטורת רשת, כמו הפרדת רשתות, שימוש בפיירוולים, והגדרת מדיניות בטיחות רשת, וכן בחשיבות התיעוד והמיפוי של הרשת.

הפרק מסיים בהדגמת כיצד עקרונות אלה משמשים יסוד לנושאים המתקדמים יותר שידונו בפרקים הבאים, כמו Perimeter Security, שמתמקד בהגנה על הגבולות החיצוניים של הרשת, ניטור רשתות, הכרחי לזיהוי ותגובה לאיומים בזמן אמת, גישה מרחוק, קריטית לעבודה מרחוק בטוחה, ואבטחת תשתיות רשת ותעבורה, הדורשים הבנה מעמיקה של הרשת והאיומים המשתנים שהיא נתקלת בהם.

נדרשת שליטה במנגנוני ההגנה של רשתות המחשבים שבארגון, מוצרי אבטחה, גישה מרחוק למשאבי הארגון וההגנה על דרכי גישה אלו. היבטי אבטחה בעת קישור הארגון לאינטרנט. מנגנוני אבטחה ופרוטוקולים אפליקטיביים של השכבות הגבוהות במודל OSI. יש לשלוט בפרוטוקולים המרכזיים, בשימושם ובהיבטי אבטחה של הפרוטוקולים, היבטי הגנת סייבר הנובעים מקישור הרשת הארגונית כולה/ או חלקה  לאינטרנט, מנגנוני הגנה, סוגי הפרוטוקולים השונים המשמשים לקישור אפליקטיבי, וחולשות מרכזיות בתקשורת. 

נדון כאן בעקרונות כמו ארכיטקטורה שכבתית, מדרגיות, יתירות וחוסן, נזכר ב"הגנה לעומק", ועל עקרונות אבטחת מידע נוספים שמהותיים גם בארכיטקטורת הגנה לרשת.

הפרק על Perimeter Security מתמקד באסטרטגיות וטכנולוגיות להגנה על הגבולות החיצוניים של הרשת הארגונית. הוא מתחיל בהסבר על החשיבות הגוברת של הגנת הגבול הדיגיטלי.

בפרק זה, נדונים תפקידים ומרכיבים מרכזיים של ביטחון הגבול, כולל שימוש בפיירוולים, מערכות זיהוי ומניעת פריצות, מערכות לסינון מנות, ועל איזורים מפורזים (DMZ). מוסברת החשיבות של הגדרת מדיניות ביטחון קפדנית ומתוחכמת, שמאפשרת פיקוח ובקרה על תעבורת הנתונים הנכנסת והיוצאת מהרשת.

הפרק מציג גם דיון מעמיק באתגרים הייחודיים של Perimeter Security, כולל ההתמודדות עם תקיפות מתקדמות והצורך לשמור על איזון בין הגנה יעילה לבין גמישות תפעולית. 

לסיכום, הפרק מדגיש את התפקיד המרכזי של Perimeter Security בהגנה על הארגון מפני איומים חיצוניים ומספק כלים ומדריכים לתכנון ויישום של אסטרטגיה יעילה בתחום זה. הדיון בפרק זה מהווה בסיס להבנת האבטחה הכוללת של הרשת, כפי שתידון בפרקים הבאים.

הפרק הזה מתמקד בנושא של ניטור רשתות במסגרת אבטחת רשת. ניטור רשתות הוא תהליך חיוני לאיתור ומניעת איומים, כמו גם לשמירה על ביצועים תקינים וזמינות הרשת.

הפרק מתחיל בהסבר על חשיבות ניטור הרשת בסביבה המודרנית, עם דגש על האתגרים השונים שמערכות הרשת נתקלות בהם, כולל תקיפות סייבר, זליגת מידע, והתמודדות עם תנועה גדולה ברשת.

מעבר לכך, הפרק מפרט על טכניקות וכלים שונים לניטור רשתות. נדונים כלים כמו מערכות זיהוי פריצות (IDS) ומערכות מניעת פריצות (IPS), ומוסברת חשיבותם בזיהוי פעילות חשודה והגנה מפני איומים. כמו כן, מתוארות טכניקות לניהול ואנליזה של נתוני הניטור, כדי לאפשר זיהוי מוקדם של בעיות ותגובה מהירה לאירועים.

הפרק גם מתמקד בחשיבות של שמירה על זמינות הרשת, עם דיון בטכניקות מיתון תקיפות שירות מכוונות (DDoS). מוסבר כיצד ניטור יעיל יכול לתרום לשמירה על הרשת פעילה ויעילה, גם תחת עומסים גבוהים ונסיבות קשות.

לסיכום, הפרק מדגיש את החשיבות של ניטור רשתות כחלק מאסטרטגיית האבטחה הכוללת של הארגון. ניטור אפקטיבי ומתמשך הוא כלי חיוני לאיתור ומניעת איומים, ומבטיח את הזמינות והביצועים התקינים של הרשת.

הפרק הזה עוסק באתגרים ובפתרונות של אבטחת גישה מרחוק לרשתות ארגוניות. בעידן שבו עבודה מרחוק הופכת לשגרתית יותר, חיוני להבין כיצד לאבטח חיבורים אלה.

הפרק מתחיל בדיון על VPN (רשת פרטית וירטואלית), שהיא אחת הטכנולוגיות המרכזיות לאבטחת גישה מרחוק. נבחנים הסוגים השונים של VPN, כמו PPTP, L2TP, ו-IPSec, והשימוש בהם להקמת תעלות תקשורת מאובטחות.

מעבר לכך, הפרק יתמקד בנושאים כמו אבטחת נתונים בעת גישה מרחוק, כולל שימוש בהצפנה ובפרוטוקולים מאובטחים. יודגש כיצד ניתן להגן על נתונים רגישים בעת שהם עוברים דרך רשתות לא מאובטחות.

לבסוף, יוצע לדון באסטרטגיות למניעת פריצות והתקפות על גישה מרחוק, כולל תכנון תשתיות להגנה על נקודות קצה והערכת סיכונים למשתמשים מרחוק. כמו כן, יתוארו פתרונות לזיהוי ותגובה לאירועי אבטחת מידע הקשורים לגישה מרחוק.

הפרק שדן בשירותי גישה מבוססת רשת (NAC) מטופל בפרק "בק'רת גישה".

הפרק עוסק ב-Secure Web Gateway, תוך דיון בכיצד הוא מסייע בסינון תעבורת אינטרנט ובהגנה מפני אתרים זדוניים ותוכן מזיק. מדובר גם על אבטחת יציאות רשת, כולל ניתוח ומניעת זליגות נתונים ותקיפות.

הפרק ממשיך בדיון על אבטחת מערכות מסרים ודואר אלקטרוני, תוך התמקדות בזיהוי וחסימת תוכן זדוני וניסיונות פישינג. נדונים גם באסטרטגיות להגנה על רשתות אלחוטיות, כולל הגנה מפני תקיפות על פרוטוקולים אלחוטיים והצפנת רשת.

בחלק הבא של הפרק, נעסוק באבטחת מערכות PBX ו-VoIP. זה כולל דיון באתגרים הייחודיים של אבטחת שיחות קול ווידאו על רשתות ממוחשבות, כמו הגנה מפני תקיפות סייבר על שיחות VoIP, ואבטחת תשתיות PBX.

מערכת הפעלה היא התוכנה הבסיסית המנהלת את המחשב. היא אחראית על ניהול המשאבים החומריים של המחשב, כגון זיכרון, מעבד, כונן קשיח וכונן רשת. היא גם אחראית על ניהול התוכנות והשירותים הפועלים על המחשב. הגנת מערכות הפעלה היא נושא חשוב באבטחת מידע. מערכת הפעלה פגיעה יכולה להיות נקודת כניסה לתוקפים, המאפשרת להם להשיג גישה למידע רגיש או לגרום לנזק למערכת.

ישנן מספר דרכים להגן על מערכות הפעלה מפני התקפות סייבר. אחת הדרכים החשובות ביותר היא להתקין עדכוני אבטחה באופן קבוע. עדכוני אבטחה מספקים תיקונים לתקלות אבטחה הידועות במערכת ההפעלה.

דרך נוספת להגן על מערכות הפעלה היא להשתמש בתוכנות אבטחה מתאימות. תוכנות אבטחה יכולות לספק הגנה מפני מגוון רחב של איומים, כגון וירוסים, תוכנות זדוניות וחדירות.

מסמכי STIG ‏(Security Technical Implementation Guides) שמפותחים על ידי הסוכנות לאבטחת מערכות מידע של משרד ההגנה האמריקאי (DISA) כוללים המלצות מפורטות להגנה והקשחה של מערכות הפעלה.

להלן מספר טיפים להגנה על מערכות הפעלה:

  • התקינו עדכוני אבטחה באופן קבוע.

  • השתמשו בתוכנות אבטחה מתאימות.

  • השתמשו בשמות משתמש וסיסמאות חזקים.

  • הימנעו מהתקנת תוכנות לא מאומתות.

  • השתמשו בתוכנת אנטי-וירוס גם עבור התקני אחסון ניידים.

  • הגבילו את הגישה למחשב למשתמשים מורשים בלבד.

נקודות קצה הן כל מכשיר או תוכנה המחוברים לרשת של ארגון. נקודות קצה יכולות לכלול מחשבים שולחניים, מחשבים ניידים, טלפונים חכמים, טאבלטים, מכונות ייצור, התקני אחסון ועוד.

הגנת נקודות קצה היא נושא חשוב באבטחת מידע. נקודות קצה פגיעו יכולות להיות נקודת כניסה לתוקפים, המאפשרת להם להשיג גישה למידע רגיש או לגרום לנזק לארגון.

שנן מספר דרכים להגן על נקודות קצה מפני התקפות סייבר. אחת הדרכים החשובות ביותר היא להתקין עדכוני אבטחה באופן קבוע. עדכוני אבטחה מספקים תיקונים לתקלות אבטחה הידועות בנקודות הקצה.

דרך נוספת להגן על נקודות קצה היא להשתמש בתוכנות אבטחה מתאימות. תוכנות אבטחה יכולות לספק הגנה מפני מגוון רחב של איומים, כגון וירוסים, תוכנות זדוניות וחדירות.

להלן מספר טיפים להגנה על נקודות קצה:

  • התקינו עדכוני אבטחה באופן קבוע.

  • השתמשו בתוכנות אבטחה מתאימות.

  • השתמשו בשמות משתמש וסיסמאות חזקים.

  • הימנעו מהתקנת תוכנות לא מאומתות.

  • השתמשו בתוכנת אנטי-וירוס גם עבור התקני אחסון ניידים.

  • הגבילו את הגישה לנקודות הקצה למשתמשים מורשים בלבד.

  • מניעה ככל שניתן של מתן יכולת ניהול מקומית (Local admin).

  • השתמשו בתוכנות ניטור כדי לזהות פעילות חשודה.

על ידי יישום ההמלצות הללו, תוכלו להגן על נקודות הקצה שלכם מפני התקפות סייבר.

 

יישומים הם תוכנות המבצעות משימות ספציפיות. יישומים יכולים להיות תוכנות שולחניות, יישומי אינטרנט, אפליקציות מובייל ועוד.

אבטחת יישומים היא נושא חשוב באבטחת מידע. יישומים עם פגיעות יכולים להוות נקודת כניסה לתוקפים, המאפשרת להם להשיג גישה למידע רגיש או לגרום לנזק לארגון.

ישנם מספר גורמים שיכולים להוביל לפגיעות של יישומים, כגון:

  • טעויות תכנות: טעויות תכנות יכולות לאפשר לתוקפים לנצל את היישום כדי להשיג גישה לא מורשית.

  • חולשות אבטחה ברכיבי צד שלישי: רכיבי צד שלישי, כגון ספריות, תבניות קוד ועוד, יכולים להכיל חולשות אבטחה שיכולות להוביל לפגיעות של היישום.

  • שימוש לא נכון ביישומים: שימוש לא נכון ביישומים, כגון שימוש בשמות משתמש וסיסמאות חלשים, יכול להוביל לפגיעות של היישום.

מטרות אבטחת יישומים הן להגן על המידע והנכסים של הארגון מפני התקפות סייבר. מטרות אלו כוללות:

  • מניעת גישה לא מורשית למידע ורשתות

  • מניעת שינוי או השמדה של מידע

  • מניעת פגיעה ביישומים או ברשת

מאגר מידע הוא אוסף מסודר של נתונים בתחום מסוים, המאפשר אחזור נתונים אלה לשם הפקת המידע הנחוץ למשתמש. הדרך הנפוצה כיום לניהול מאגר מידע מורכב היא אחסון הנתונים בבסיס נתונים, ועדכונם ואחזורם באמצעות מערכת מידע מתאימה. 

ישנם מספר גורמים שיכולים להוביל לפגיעות של מסדי נתונים, כגון:

  • חולשות אבטחה במערכת הפעלה או בתוכנת מסדי הנתונים: חולשות אבטחה במערכת הפעלה או בתוכנת מסדי הנתונים יכולות לאפשר לתוקפים להשיג גישה לא מורשית למסד הנתונים.

  • טעויות תכנות: טעויות תכנות בקוד של מסד הנתונים יכולות לאפשר לתוקפים לנצל את מסד הנתונים כדי להשיג גישה לא מורשית.

  • שימוש לא נכון במסדי נתונים: שימוש לא נכון במסדי נתונים, כגון שימוש בשמות משתמש וסיסמאות חלשים, יכול להוביל לפגיעות של מסד הנתונים.

נושא זה, כמו נושא ההצפנה שלפניו, נועדים להגנה על המידע עצמו.

אבטחת אתרים

אתרי אינטרנט הם יעדים פופולריים להתקפות סייבר. אתרים עם פגיעות יכולים להיות נקודת כניסה לתוקפים, המאפשרת להם להשיג גישה למידע רגיש או לגרום לנזק לארגון.

ישנם מספר פשעי סייבר טיפוסיים שקשורים לאתרי אינטרנט. להלן כמה דוגמאות:

  • חדירה לאתר: חדירה לאתר הוא פשע סייבר שבמסגרתו האקר פועל כדי להשיג גישה בלתי מורשית לאתר אינטרנט. לאחר החדירה, ההאקר יכול להשתמש בו למגוון מטרות, כגון:

    • גניבה של מידע, כגון מידע אישי של משתמשים, או מידע עסקי רגיש.

    • הפיכת האתר לבלתי זמין למשתמשים.

    • הפעלת תוכנות זדוניות באתר, אשר יכולות להזיק למחשבים של משתמשים.

  • התקפת DDos: התקפת DDos היא פשעי סייבר שבמסגרתו האקרים משתמשים ברשת של מחשבים נגועים כדי לשלוח כמות גדולה של תנועה לאתר אינטרנט. 

  • התקפת DDos יכולה להפוך את האתר לבלתי זמין למשתמשים.

  • הונאה מקוונת: הונאה מקוונת היא פשעי סייבר שבמסגרתו האקרים משתמשים באתרי אינטרנט כדי להונות משתמשים. הונאה מקוונת יכולה להתרחש במגוון דרכים, כגון:

    • פרסום מודעות מתחזות לאתרים לגיטימיים.

    • שליחת דואר אלקטרוני מתחזה.

    • יצירת אתרי אינטרנט מתחזים.

  • פישינג: פישינג הוא פשעי סייבר שבמסגרתו האקרים שולחים דואר אלקטרוני מתחזה לארגון או לחברה. הדואר האלקטרוני עשוי להיראות כאילו הוא נשלח מהארגון או מהחברה, והוא עשוי לבקש מהמשתמש למסור מידע אישי, כגון סיסמאות או פרטים חשבון בנק.

  • קידום אתרים עוין: קידום אתרים עוין הוא פשע סייבר שבמסגרתו האקרים משתמשים בטכניקות SEO כדי להוריד את דירוג האתר במנועי חיפוש. קידום אתרים עוין בגלל תחרות עסקית, או נקמה.

  • ישנם מספר גורמים שיכולים להוביל לפגיעות של אתרי אינטרנט, כגון:

  • חולשות אבטחה בקוד: חולשות אבטחה בקוד של אתר אינטרנט יכולות לאפשר לתוקפים לנצל את האתר כדי להשיג גישה לא מורשית.

  • טעויות תכנות: טעויות תכנות בקוד של אתר אינטרנט יכולות לאפשר לתוקפים לנצל את האתר כדי להשיג גישה לא מורשית.

  • שימוש לא נכון באתר: שימוש לא נכון באתר, כגון שימוש בשמות משתמש וסיסמאות חלשים, יכול להוביל לפגיעות של האתר.

אבטחת ענן

העיקרון של ענן המחשוב הוא לאפשר למשתמשים להתחבר לכל שירותי המחשוב להם הם זקוקים באמצעות האינטרנט, ספקים רבים הקימו "סביבת ענן", ובולטים בהם אמזון (AWS), מיקרוסופט (Azure), וגוגל (GDC). לצידן – עננים פרטיים של ארגונים שונים.

אבטחת מחשוב ענן - מתייחסת לתורה ולעשייה הנדרשת כדי להגן על סביבות מחשוב ענן, יישומים, נתונים ומידע. התורה כוללת אבטחת סביבות ענן מפני שימוש ומפני גישה לא מורשים, התקפות DDOS, האקרים, תוכנות זדוניות וסיכונים אחרים. בעוד שאבטחת ענן חלה על אבטחה בסביבות ענן, המונח הקשור, אבטחה מבוססת ענן, מתייחס לתוכנה כמודל אספקת שירות (SaaS) של שירותי אבטחה, המתארחים בענן ולא נפרסים באמצעות חומרה מקומית או תוכנה.

בפרק זה נדבר על סוגי סביבות ענן, סוגי שירותים, ארכיטקטורה, סיכונים וקשיים של אבטחת מידע, וכמובן – עקרונות ושיטות הגנה מומלצות. בין השאר, נדון במונחים VPC ו- CASB (Cloud Access Security Broker), ברגולציות רלבנטיות, ובהיבטים שצריכים להטריד ארגון ולהביאו לפעולה מונעת.

בנוסף לאלו, גם נצלול מעט ספציפית לשלשת הסביבות הקנייניות המובילות שהזכרנו.

ווירטואליזציה

הוירטואליזציה הפכה לחלק בלתי נפרד מעולם המחשוב, אשר מאפשרת ליצור סביבה וירטואלית שבה משאבים פיזיים כגון מעבדים, זיכרון, מקום אחסון וממשקים רשתיים משותפים בין מספר מערכות הפעלה או יישומים.

היתרונות שלה אינם מאפשרים ויתור, אך נתייחס כאן לאתגרי האבטחה הכרוכים בהפעלתה בארגון, מדיניות אבטחה, כלים וטכנולוגיות שיסייעו להגן על הסביבה שלנו, ותרחישים שונים.

 

העיקרון של ענן המחשוב הוא לאפשר למשתמשים להתחבר לכל שירותי המחשוב להם הם זקוקים באמצעות האינטרנט, ספקים רבים הקימו "סביבת ענן", ובולטים בהם אמזון (AWS), מיקרוסופט (Azure), וגוגל (GDC). לצידן – עננים פרטיים של ארגונים שונים.

אבטחת מחשוב ענן - מתייחסת לתורה ולעשייה הנדרשת כדי להגן על סביבות מחשוב ענן, יישומים, נתונים ומידע. התורה כוללת אבטחת סביבות ענן מפני שימוש ומפני גישה לא מורשים, התקפות DDOS, האקרים, תוכנות זדוניות וסיכונים אחרים. בעוד שאבטחת ענן חלה על אבטחה בסביבות ענן, המונח הקשור, אבטחה מבוססת ענן, מתייחס לתוכנה כמודל אספקת שירות (SaaS) של שירותי אבטחה, המתארחים בענן ולא נפרסים באמצעות חומרה מקומית או תוכנה.

בפרק זה נדבר על סוגי סביבות ענן, סוגי שירותים, ארכיטקטורה, סיכונים וקשיים של אבטחת מידע, וכמובן – עקרונות ושיטות הגנה מומלצות. בין השאר, נדון במונחים VPC ו- CASB (Cloud Access Security Broker), ברגולציות רלבנטיות, ובהיבטים שצריכים להטריד ארגון ולהביאו לפעולה מונעת.

בנוסף לאלו, גם נצלול מעט ספציפית לשלשת הסביבות הקנייניות המובילות שהזכרנו.

ווירטואליזציה

הוירטואליזציה הפכה לחלק בלתי נפרד מעולם המחשוב, אשר מאפשרת ליצור סביבה וירטואלית שבה משאבים פיזיים כגון מעבדים, זיכרון, מקום אחסון וממשקים רשתיים משותפים בין מספר מערכות הפעלה או יישומים.

היתרונות שלה אינם מאפשרים ויתור, אך נתייחס כאן לאתגרי האבטחה הכרוכים בהפעלתה בארגון, מדיניות אבטחה, כלים וטכנולוגיות שיסייעו להגן על הסביבה שלנו, ותרחישים שונים.

מערכות בקרה תעשייתית (ICS) אחראיות על הפעלת תהליכים תעשייתיים קריטיים, כגון ייצור חשמל, הפעלת מתקני מים, ייצור מזון ועוד. מערכות אלו הן בעלות חשיבות קריטית לתפקוד של תעשיות רבות, ולכן חשוב להבטיח את אבטחתן.

אבטחת מערכות ICS היא תחום מורכב, המצריך הבנה של התהליכים התעשייתיים שבהם מערכות אלו משמשות, כמו גם של האתגרים הספציפיים שעומדים בפניהן.
אתגרי אבטחת ICS

מערכות ICS נבדלות ממערכות מידע עסקיות (IT) במספר היבטים, אשר יוצרים אתגרים ייחודיים לאבטחתן:

  • סביבה מוגבלת: מערכות ICS לרוב פועלות בסביבה מוגבלת, כגון מתקן תעשייה או תחנת כוח. תנאים אלו מקשים על יישום פתרונות אבטחה סטנדרטיים, כגון מודיעין אבטחת סייבר (SOC).

  • תלות ברכיבים פיזיים: מערכות ICS תלויות ברכיבים פיזיים, כגון בקרים לוגיים מיתוגים (PLCs), יחידות מסוף מרוחק (RTUs) והתקני חיישן. רכיבים אלו עשויים להיות פגיעים להתקפות פיזיות, כגון פריצה או פגיעה פיזית.

  • חוסר מודעות: עובדים במתקנים תעשייתיים לרוב אינם מוכשרים מספיק בתחום אבטחת הסייבר. חוסר מודעות זה עלול להוביל להפרות אבטחה, כגון שימוש בשמות משתמש וסיסמאות חלשים.

אמצעי אבטחה ל- ICS

ICS (Industrial Control Systems) הוא מונח מערכות בקרה ושליטה, נפוצות בתעשייה ובתשתיות קריטיות. חלק מהמערכות הללו מנהלות ומבצעות בקרה על רכיב בודד, כגון סנסור / מד גובה או טמפרטורה, המיועד לשליטה על פתיחה וסגירה של שסתום או שער.  חלק אחר מיועד לשליטה על סביבה של רכיבים רבים, שנמצאים בפריסה מבוזרת בשטח. רכיבי הקצה משמשים כחיישן או כמפעיל (Actuator). סוגי מערכות ICS נפוצות:

  • מערכות SCADA (Supervisory Control and Data Acquisition): מערכות לניטור ושליטה בתהליכים תעשייתיים מרחוק, משמשות בתשתיות קריטיות ומתמקדות באיסוף וניתוח נתונים.

  • מערכות שליטה מבוזרות (DCS): מערכות המאפשרות שליטה מרכזית בתהליכים תעשייתיים, מתמקדות בפעולה רציפה ובקרה אוטומטית של תהליכים.

  • מערכי בקרת מבנים (BMS): מערכות ממוחשבות לניהול מערכות מבנים, כולל תאורה, חימום, וניטור אבטחה, לשיפור יעילות ונוחות.

  • מערכות בקרה תעשייתיות לביצוע אוטומציה (IACS): מערכות המשלבות חומרה ותוכנה לאוטומציה תעשייתית, כולל בקרה בתהליכים וניטור.

ישנם מספר אמצעי אבטחה שניתן ליישם כדי להגן על מערכות ICS, כגון:

  • אבטחת רשת: יישום אמצעי אבטחת רשת, כגון חומת אש, ניתוב מאובטח ו-IDS/IPS, יכול לעזור להגן על מערכות ICS מפני התקפות רשת.

  • אבטחת מכשירים: עדכון תוכנת מערכות ICS והפעלת הגדרות אבטחה מומלצות יכול לעזור להגן על מערכות אלו מפני התקפות תוכנה.

  • אבטחת מידע: יישום תהליכי אבטחת מידע, כגון אימות רב שלבי, שימוש בשמות משתמש וסיסמאות חזקות וניהול סיכונים, יכול לעזור להגן על מערכות ICS מפני פריצות פיזיות או דיגיטליות.

ניטור איומים ומערכות ניטור ייעודיות

ניטור מתייחס לפעולות שננקטות על ידי ארגון כדי לאתר אירועי אבטחת סייבר לפני שהם מתרחשים. תגובה לאירועים מתייחסת לפעולות שננקטות על ידי ארגון לאחר גילוי אירוע אבטחת סייבר. זהו תהליך מתמשך שמטרתו לאתר אירועי אבטחת סייבר לפני שהם מתרחשים. ניטור יכול להתבצע באמצעות מגוון טכנולוגיות, כגון:

  1. מערכות זיהוי חדירה (IDS): תוכנות או מכונות ייעודיות המנטרות את התעבורה ברשת ומזהות התנהגות חשודה.

  2. מערכות ניתוח התנהגות אנושית (UBA): תוכנות המנתחות התנהגות משתמשים ומזהות התנהגות חשודה.

  3. מערכות ניהול אירועי אבטחת מידע (SIEM): מערכת SIEM היא מערכת מרכזת המאפשרת לארגונים לבצע ניטור באופן יעיל יותר. היא מרכזת נתונים ממערכות ניטור אחרות, ומנתחת את הנתונים הללו כדי לזהות אירועים חשודים.

ניטור יכול לעזור לארגונים להגן על עצמם מפני מגוון רחב של התקפות סייבר, כולל התקפות רשת, התקפות תוכנות זדוניות והתקפות כופר.

ניהול מידע אבטחתי ותגובה לאירועים

תגובה לאירועים היא תהליך המורכב מכמה שלבים. בחרנו להציגם לפי NIST 800-61:

  1. זיהוי ודיווח: השלב הראשון הוא זיהוי ודיווח של אירוע אבטחת מידע. זה יכול להיעשות על ידי גורמים שונים, כגון משתמשי קצה, צוות אבטחת המידע, או מערכות גילוי וניטור.

  2. הערכה ראשונית: לאחר זיהוי האירוע, יש לבצע הערכה ראשונית כדי להבין את היקף האירוע והשלכותיו הפוטנציאליות. ההערכה הראשונית צריכה לכלול את המידע הבא:

  3. תגובה מיידית: אם האירוע מהווה איום מיידי, יש לנקוט בצעדים מיידיים כדי להגן על הנכסים הארגוניים. 

  4. חקירה: לאחר נקיטת הצעדים המיידיים, יש לבצע חקירה כדי להבין את האירוע ולזהות את הגורמים שלו.

  5. תיקון וניהול סיכונים: לאחר סיום החקירה, יש לנקוט בצעדים כדי לתקן את נקודות התורפה ולנהל את הסיכונים שנוצרו בעקבות האירוע. 

  6. הערכה ומשוב: לאחר נקיטת הצעדים לתיקון וניהול סיכונים, יש לבצע הערכה ומשוב כדי ללמוד מהאירוע ולשפר את מוכנות הארגון לאירועי אבטחת מידע עתידיים. 

השלבים הללו הם בסיסיים, וייתכן שיהיה צורך להתאים אותם בהתאם לגודל הארגון, לסוג האירוע ולמגבלות הספציפיות של הארגון.

אירועי סייבר הם תופעה הולכת וגוברת, אשר עלולה להוביל לנזק משמעותי לארגונים. על מנת לצמצם את הנזק ולהגן על האינטרסים של הארגון, חשוב להכין תוכנית תגובה לאירועי סייבר.

תוכנית תגובה לאירועי סייבר היא תהליך מובנה, אשר מטרתו לסייע לארגון להתמודד עם אירוע סייבר בצורה יעילה ויעילה. התוכנית צריכה לכלול את הצעדים הבאים:

  • זיהוי וגילוי: הצעדים הראשונים בתוכנית תגובה לאירועי סייבר הם זיהוי וגילוי של האירוע. על הארגון להקים מערכת גילוי וניהול אירועי אבטחה (SIEM), אשר תוכל לזהות אירועים חשודים ברשת הארגון.

  • הערכת הנזק: לאחר זיהוי האירוע, על הארגון להעריך את הנזק שנגרם. הערכה זו תסייע לארגון להבין את היקף האירוע ולנקוט בצעדים מתאימים.

  • תגובה: לאחר הערכת הנזק, על הארגון להגיב לאירוע. התגובה תכלול פעולות כגון:

o ניתוק המערכות הפגועות מהרשת

o חקירה של האירוע

o נקיטת פעולות למיגור האירוע

o החלמה: לאחר תגובה לאירוע, על הארגון לנקוט בצעדים להשבת המערכות הפגועות לפעילות.

  • היבטים חשובים בתוכנית תגובה לאירועי סייבר

כאשר מכינים תוכנית תגובה לאירועי סייבר, יש לקחת בחשבון את ההיבטים הבאים:

  • היקף הארגון: תוכנית התגובה צריכה להיות מותאמת להיקף הארגון. ארגונים גדולים יצטרכו תוכנית מורכבת יותר מארגונים קטנים יותר.

  • תחום הפעילות: תוכנית התגובה צריכה להיות מותאמת לתחום הפעילות של הארגון. ארגונים העוסקים בתחומים רגישים, כגון ביטחון לאומי או פיננסים, יצטרכו תוכנית מורכבת יותר מארגונים העוסקים בתחומים אחרים.

  • התשתיות: תוכנית התגובה צריכה לקחת בחשבון את התשתיות של הארגון. ארגונים התלויים בתשתיות קריטיות, כגון מתקני ייצור או מערכות תקשורת, יצטרכו תוכנית מותאמת יותר.

  • כחלק מהתוכנית לתגובה לאירועי סייבר, חשוב להכשיר את העובדים של הארגון. הכשרה זו צריכה להתמקד בהבנת הסיכונים לאבטחת הסייבר, כמו גם בהבנה של תהליך התגובה לאירועי סייבר.

עד כה, תיארנו שכבות אנכיות שונות שיש להגן עליהן, תחומים אופקיים שונים שיש לטפל בהם, דיברנו על "עקרונות", והזכרנו אין-ספור "בקרות" (בעיקר טיפלנו בבקרות טכנולוגיות – כלים).

איך ה-CISO מנהל את כל זאת? מה מעמדו בארגון, ומה סמכויותיו? מה מצוי באחריותו, ומה מצוי במחלקת ה-IT או ביחידה אחרת בארגון? כיצד מחליטים על תקציבים? על רכישה של אמצעי אבטחה? על גיוס כח אדם מקצועי? 

מצד אחד, ל-CISO יש כמה "בוסים": המנכ"ל שמחזיק ביעדים עסקיים שחייבים להתממש, ההנהלה והדירקטוריון, שלעיתים משקפים דרישות מעט שונות או נוספות, הלקוחות, שלעיתים "דורשים" תנאי אבטחת מידע מסוימים, בקשר הישיר שלהם עם ה-CISO, והמדינה, בין אם ישירות באמצעות חוק ורגולציות, ובין אם דרך דרישות מגזריות מיוחדות (נהוג בתחומים רגישים כמו אנרגיה, בריאות, ביטחון וכו').

מצד שני, עומד בפניו מבחר שוק עצום של מאות ואלפי טכנולוגיות להגנת סייבר, שעליו להחליט איזה מהם לרכוש, כיצד להשתמש, ולוודא כי יהיה מי שיפעילם באופן מושכל.

מצד שלישי, ה-CISO חייב להתחשב במחלקת ה-IT, במשתמשים ובעוד גורמים, כי "גזרות הגנת סייבר" נוטות להיות מאוד בלתי נוחות, ולכן נדרש שיתוף פעולה משמעותי, אוהד, ומודעות גבוהה של העובדים.

כדי להסביר את המרחב שבו יפעלו הארגון וה-CISO, נהוג להשתמש בראשי התיבות GRC. 

GRC הם ראשי תיבות של Governance, Risk Management, and Compliance (ממשל, ניהול סיכונים ותאימות). זהו מודל ניהול כולל המשלב את שלושת ההיבטים האלה כדי ליצור ארגון מאובטח יותר. השילוב של שלושת הרכיבים הללו מאפשר לארגון לנהל את נושאי האבטחה באופן מושכל ואפקטיבי, תוך כדי דאגה להתאמה לדרישות החוקיות והתעשייתיות, ולזיהוי וניהול סיכונים בצורה יעילה.

השילוב מאפשר לראות את אבטחת המידע כחלק אינטגרלי מכל הפעילות העסקית של הארגון. GRC מאפשר לארגון ליצור אסטרטגיה כוללת לאבטחת המידע שלו, המבוססת על שלושת רכיבי היסוד של GRC (סודיות, שלמות וזמינות).

ממשל / ניהול, הוא החלק האסטרטגי של GRC, והוא עוסק בקביעת הכיוון, המדיניות והמטרות של הארגון. בהקשר של אבטחת סייבר, זה כולל את הקביעה של מדיניות האבטחה, נהלים וסטנדרטים לצורך שמירה על מידע רגיש ונכסי מידע. המונח "ממשל" מתייחס לדרכים שבהן הארגון מנוהל. ממשל אבטחת מידע טוב מבטיח שהארגון פועל באופן מאובטח ושהעובדים שלו יודעים מה לעשות כדי להישאר בטוחים. ממשל תאגידי כולל גם את הגורמים הבאים:

  • הגדרת היעדים והמטרות של אבטחת המידע בארגון

  • קביעת הסמכות והאחריות של גורמי האבטחה בארגון

  • קביעת תהליכי בקרה ואכיפה של אבטחת המידע

הפרק על Governance באבטחת מידע מתמקד בחשיבות ההנהלה והבקרה בתחום אבטחת המידע. Governance, או "מימשל" בתחום אבטחת המידע, מתייחס למערכת ההחלטות והמדיניות שמנחה את הארגון בנושאים ובהיבטים הרב ממדיים של אבטחת מידע.

בפרק זה, אנו מדגישים את חשיבות ה-Governance בקביעת מדיניות ברורה והנחיות לאבטחת המידע. מתוך הבנת העקרונות הבסיסיים של אבטחת המידע והידע בנושא בקרות טכנולוגיות, מובאים דוגמאות, כיצד הנהלה טובה יכולה לשפר את ההגנה על המידע ולמנוע סיכונים.

הפרק מדגיש את הצורך בשילוב של עקרונות אבטחת מידע ובקרות טכנולוגיות במדיניות ה-Governance. תהליך זה מאפשר לארגונים להגיב ביעילות לאיומים מתמידים ולשמור על רמת אבטחה גבוהה. ממשל הגנת סייבר מתייחס למסגרת, לתהליכים ולמנגנונים שבהם משתמשים ארגונים כדי להבטיח את הסודיות, השלמות והזמינות של נכסי המידע שלהם. זה כרוך בהקמת מערך של מדיניות, נהלים ובקרות שמתאימות למטרות העסקיות ועומדות בדרישות החוק, הרגולציה והתעשייה. 

ניהול סיכונים מתייחס לשיטות המשמשות לארגון כדי להעריך ולנהל סיכונים, לרבות זיהוי סיכונים, הערכת הסבירות וההשפעה שלהם, ופיתוח אסטרטגיות להתמודדות עם האיומים והפגיעויות. ניהול סיכוני אבטחת מידע טוב מסייע לארגון להימנע ממתקפות סייבר ולמזער את הנזק אם מתקפה מתרחשת. 

הפרק על Risk Management, או ניהול סיכונים בתחום אבטחת המידע, מתמקד באסטרטגיות ושיטות לזיהוי, ניתוח ומיתון של סיכונים הקשורים למידע ולמערכות המידע של הארגון.

הפרק מתחיל בהסבר על מהותו של ניהול סיכונים ועל הצורך בגישה מערכתית להבנה וטיפול בסיכונים בתחום אבטחת המידע. דגש נוסף מושם על החשיבות של ניתוח סיכונים באופן מתמיד, בהתחשב בשינויים טכנולוגיים ובאיומים חדשים.

מתוך הידע הנרכש בפרקים הקודמים על עקרונות אבטחת מידע ובקרות טכנולוגיות, הפרק מציג את הדרכים בהן ניתן להשתמש באותו ידע לזיהוי והערכה של סיכונים. לדוגמה, הבנת העקרונות הבסיסיים של אבטחת מידע מסייעת בזיהוי הנקודות החלשות במערכת שעלולות להיות פגיעות להתקפות.

לאחר מכן, הפרק מתמקד באסטרטגיות למיתון סיכונים, כולל שיטות להפחתת הפגיעות ולהגברת ההגנה. ניתוח סיכונים והחלטות על אסטרטגיות מיתון הן מרכיבים חיוניים בבניית מדיניות אבטחת מידע אפקטיבית.

בסיום, הפרק מדגיש את החשיבות של ניהול סיכונים כחלק מהתהליך המתמשך של שיפור אבטחת המידע בארגון. מובאות דוגמאות כיצד ניהול סיכונים מתמזג עם עקרונות ובקרות אבטחת מידע ליצירת מסגרת אבטחה חזקה ועדכנית.

ציות לתאימות מתייחס לדרכים שבהן הארגון תואם לתקנות ורגולציות. זה כולל את הדרישות החוקיות והרגולטוריות החלות על הארגון. התאמת אבטחת מידע טובה מבטיחה שהארגון פוגע בחוק ועומד בדרישות הרגולטוריות. תאימות כוללת את הגורמים הבאים:

  • זיהוי הדרישות הרגולטוריות והעסקיות לאבטחת המידע

  • פיתוח תהליכים להשגת עמידה בדרישות

  • ניטור עמידה בדרישות

כל ארגון "רוצה" בעיקרון להגן על עצמו, והטעמים ברורים: כדי להגן על יכולתו להתקיים ולפעול. אבל ה"רוצה" אינו מספיק, כי ההגנה עולה בממון ובמאמץ רב, והארגון סוטה מהיעד העיקרי שלו, ועוסק ב"מניעת סכנה פוטנציאלית" במקום בקידום מעשי של ענייניו (רווח או שירות לציבור וכו').

גם כל נהג "רוצה" ביטוח לרכב, ביטוח למצב של פגיעה בגופו ובחייו וביטוח לפגיעה בצד ג', אבל ה"רצון" לא מספיק, ורבים מהנהגים לא יעשו ביטוח, כדי לחסוך בהוצאות. הם פשוט ייטלו סיכונים מוגזמים.

לכן, ה"רצון" של ארגון להגן על עצמו, מחייב חוק, בדיוק כשם שה"רצון" של הנהג מחייב חוק מלמעלה, מטעם המדינה. גם הארגון יעדיף להשקיע כספים בקידום המחשוב עצמו, אשר יקדם את העסקים, ולא בהגנה מפני "אולי סכנה עתידית".

כדי לאכוף על הארגונים התנהגות אחראית ורצויה, המדינה מחוקקת חוקים ומתקנת תקנות. 

אם כך, מעל מנהל הגנת הסייבר, קיימים כמה "דורשי דרישות": המנכ"ל, המדינה, ויש עוד (כמו לקוחות למשל, ואפילו ספקים...). 

הדרישות העסקיות והרגולטיביות הללו, מתורגמות על ידי מנהל אבטחת המידע לשורה של בקרות הגנה שמטרתן למזער את הסיכונים לנכסי המידע של הארגון. הבקרות יכולות להיות פרוצדורליות, פיזיות, לוגיות או טכנולוגיות והפעלתן וישומן בארגון מהווים את תוכנית אבטחת המידע הארגוני. על הבקרות הטכנולוגיות נרחיב בפרקים הטכנולוגיים. הבקרות האחרות הן אוסף של מדיניות, נהלים, תקנים והוראות עבודה.

הפרק על Compliance באבטחת מידע מתמקד בחשיבות ההתאמה לתקנים ולחוקים בתחום אבטחת המידע. Compliance, או התאמה לדרישות, מדגיש את הצורך של הארגונים לעמוד בקריטריונים ובדרישות שנקבעו על ידי רגולטורים, תקנים בינלאומיים, וחוקים רלוונטיים.

בפרק זה, מובאת הדגשה על החשיבות של ידע נרחב בתחום אבטחת המידע ובקרות טכנולוגיות לשם הגעה לרמת Compliance גבוהה. מתוך הידע והניסיון שנצברו בפרקים הקודמים, מוסבר כיצד ארגונים יכולים להבטיח שמערכותיהם מתוחזקות בהתאם לדרישות הנדרשות.

הפרק מסביר כיצד ניתן להשתמש בעקרונות אבטחת המידע ובבקרות הטכנולוגיות לצורך זיהוי פגמים וחולשות אשר עלולים להוביל לחוסר תאימות. כמו כן, מוצגות שיטות לתיקון ושיפור המערכות לצורך התאמתן לתקנים הרלוונטיים.

לסיכום, הפרק מדגיש את הקשר ההדוק בין התאמה לתקנים ובין בניית סביבת אבטחת מידע איתנה ומתקדמת, תוך הדגשה על החשיבות של עדכון והטמעה מתמדת של הידע בתחום זה.

הפרק מתמקד בחשיבות וביצירת תרבות אבטחת מידע ארגונית. הדיון נפתח בכיצד כל אחד ממעגלי ההגנה האנושיים - אנשי סייבר, אנשי IT, מנהלים, עובדים, שותפים-ספקים ולקוחות - תורמים לתרבות אבטחת מידע בארגון.

מתוארים גישות וטכניקות להעצמת תרבות זו, כולל חשיבות ההדרכה המתמדת, פיתוח מודעות לסיכונים, והטמעת נהלים שמעודדים התנהגות בטוחה בתחום אבטחת המידע. נדונות גם טכניקות לשילוב מדיניות מעודדת, כגון תגמול והכרה לעובדים המיישמים פרקטיקות אבטחת מידע נכונות.

הפרק מציע גם לבחון כיצד תרבות אבטחת מידע משפיעה על האינטראקציה עם שותפים חיצוניים כמו ספקים ולקוחות, והחשיבות של הפצת עקרונות האבטחה למעגלים אלו.

לסיום, הפרק מציע לבחון את האתגרים של הטמעת תרבות אבטחת מידע בארגון, כולל התמודדות עם התנגדויות פנימיות והצורך בשינוי תפיסתי והתנהלותי בכל שכבות הארגון. הפרק מספק כלים והמלצות לארגונים שרוצים לפתח ולשמר תרבות אבטחת מידע אפקטיבית ומשמעותית.

הפרק מתמקד בחשיבות וביצירת תרבות אבטחת מידע ארגונית. הדיון נפתח בכיצד כל אחד ממעגלי ההגנה האנושיים - אנשי סייבר, אנשי IT, מנהלים, עובדים, שותפים-ספקים ולקוחות - תורמים לתרבות אבטחת מידע בארגון.

מתוארים גישות וטכניקות להעצמת תרבות זו, כולל חשיבות ההדרכה המתמדת, פיתוח מודעות לסיכונים, והטמעת נהלים שמעודדים התנהגות בטוחה בתחום אבטחת המידע. נדונות גם טכניקות לשילוב מדיניות מעודדת, כגון תגמול והכרה לעובדים המיישמים פרקטיקות אבטחת מידע נכונות.

הפרק מציע גם לבחון כיצד תרבות אבטחת מידע משפיעה על האינטראקציה עם שותפים חיצוניים כמו ספקים ולקוחות, והחשיבות של הפצת עקרונות האבטחה למעגלים אלו.

לסיום, הפרק מציע לבחון את האתגרים של הטמעת תרבות אבטחת מידע בארגון, כולל התמודדות עם התנגדויות פנימיות והצורך בשינוי תפיסתי והתנהלותי בכל שכבות הארגון. הפרק מספק כלים והמלצות לארגונים שרוצים לפתח ולשמר תרבות אבטחת מידע אפקטיבית ומשמעותית.

בפרק זה, אנו מתמקדים בדרכי העבודה של ה-CISO בכל הנוגע לביצוע בדיקות, סקרים, וניתוח מדדים חיוניים באבטחת מידע. נדון במגוון רחב של בדיקות וסקרים ש-CISO צריך לשקול לכלול בתוכנית האבטחה של הארגון, כמו בדיקות חדירה, בדיקות תקינות, וסקרי הערכת סיכונים.

הדיון על ביקורות אבטחת מידע היא נקודה חשובה נוספת בפרק, כולל פיתוח שיטות עבודה יעילות לבדיקות אלו. נבהיר מהם הדברים שה-CISO צריך לדרוש ממבצעי הבדיקות והביקורות, כדי להבטיח את איכות התהליך והתוצאות.

ניגע גם בחשיבות הביצועים החוזרים והתקופתיים של בדיקות אלו, לצורך עדכון ושיפור מתמיד של אסטרטגיית האבטחה. דיון זה כולל את הצורך בחזרתיות לצורך עקבות ושיפור מתמיד של התהליכים והמערכות.

פרק זה גם מתמקד במטריקות חיוניות כמו מדדי חומרה ומדדי אבטחה, ומסביר כיצד ניתן למדוד ולנתח את אפקטיביות האבטחה בארגון. נדון בדרכים לשילוב של מטריקות אלו בתהליך הניהולי והאסטרטגי של ה-CISO, כולל השימוש בנתונים אלו לקבלת החלטות מדויקות וברורות בנוגע לתכנון האבטחה העתידי.

לסיום, הפרק מציע להרחיב את הדיון לכלל התחום ולסקור את האתגרים המרכזיים של ה-CISO בניהול מדדים וביקורות אבטחת מידע, תוך מתן דוגמאות ומקרים מעשיים להמחשת הפעולות וההחלטות שנדרשות בתפקיד זה.