להפסיק את המרדף ולבודד את המשתמשים

להפסיק את המרדף ולבודד את המשתמשים

אנחנו במרדף אין-סופי אחרי התוקפים בניסיון לעצור את מתקפות הסייבר ולזהות את צעדם הבא, אך ללא הצלחה. לא ניתן למנוע לחלוטין את התקיפות ואת הפגיעה, אך ניתן להרחיק את הפגיעה למקום מרוחק על-ידי בידוד האינטרנט מתחנות הקצה וגלישה מאובטחת (Internet Isolation)

מאת: שפר אבלסון
טכנולוגיה והייטק סייבר

שפר אבלסון (צילום: יח"צ)

שפר אבלסון (צילום: יח"צ)

עולם הסייבר מאיים על כולנו ומעסיק אותנו ללא הפסקה. האינטרנט הוא המקור המרכזי להתקפות, שרבות מהן מועברות למשתמשים ארגוניים באמצעות פעולות יום-יומיות של גלישה באינטרנט, או שימוש באפליקציות אינטרנט. התוקפים עוקפים בקלות מנגנוני הגנה, כגון סריקה של תוכנות malware מבוססות חתימה, Firewalls או Secure Gateways. התקפות מבוססות דפדפן הן וקטור האיום העיקרי של התוקפים כאשר המיקוד הוא משתמשי הקצה, אך הן לא היחידות. הדפדפנים הם משטח ההתקפה המרכזי והם יעד קל. לא משנה כמה טוב אנחנו חושבים שאנחנו מגנים על הארגון, זה אף פעם לא מספיק. ניתן לראות זאת בעלייה הגבוהה של התקפות Ransomware בתקופה האחרונה.

משתמשי קצה בארגונים מבצעים פעולות רבות באינטרנט, החל מגלישה באתרים, דרך הורדת קבצים ועד שימוש באפליקציות כגון SKYPE ועוד. כדי להגן על הארגון מאיומים הכוללים: תוכנות כופר, גניבת מידע, קישורים חשודים והונאות, מנסים הארגונים לשלב שכבות רבות ושונות של מערכות הגנה. תוכנות כגון: FireWall, Web Filtering, Sand Box, Honey pots, Antivirus, ועוד, נמצאות כמעט בכל ארגון. כל מערכת כזו מנסה לתת מענה לבעיה מאוד ספציפית, או תקיפה מאוד ספציפית. מנהלי אבטחת מידע מנסים לייצר תמהיל של מערכות בארגון, על מנת לתת מענה טוב ככל שניתן לבעיות, אך זה אף פעם לא מספיק.

ריבוי מערכות ההגנה שכל ארגון מיישם, מהווה אתגר גדול לניהול ושליטה, וכמובן מהווה אתגר תקציבי וכלכלי. היקף ההשקעה של הארגונים, בפתרונות אבטחת מידע, מהווה חלק משמעותי מהתקציב, והוא גדל מידי שנה בקצב מסחרר. לאחר תקופה משמעותית, בה הפתרונות בשוק ניסו למנוע את התקיפות והפגיעה, מגיעים פתרונות אחרים ששמים את הפוקוס על זיהוי וטיפול בפגיעה כאשר היא מתממשת. כלומר, השוק כבר מבין, שלחשוב שנצליח למנוע את הפגיעה, זו אשליה ושאין באמת אפשרות למנוע את הפגיעה בארגון.

===========================================================================

כיצד מתגוננים מאיומי סייבר ברשת בארגון פיננסי?

"כארגון פיננסי, אנו מחויבים לנקוט במדיניות אבטחת מידע גבוהה ביותר. בשל כך, עלה בין השאר, הצורך לבודד את דפדפן האינטרנט ויישומי אינטרנט מהרשת הפנימית. אחד האתגרים המרכזיים בתחום זה הוא שאיום חדש יכול להופיע בכל רגע ופתרונות מסורתיים כמו אנטי וירוס, חומת אש, sandboxes ופתרונות מבוססי חתימה אחרים אינם מספיקים", כך אומר גיל צבר, סמנכ"ל מערכות מידע במיטב דש, על פתרון בידוד האינטרנט. "מדובר במאבק אין-סופי נגד 'הרעים'. במיטב דש נזקקנו לפתרון אחר כדי להתמודד עם האיומים הידועים והבלתי מוכרים.

בשנת 2014 יישמנו את Crusoe Security, הפתרון של חברת אינטגריטי תוכנה, לבידוד יישומי אינטרנט ויישומי רשת. Crusoe יכול להשתמש בכל פרוטוקול וירטואליזציה שוטף (Microsoft RDS, Citrix HDX, VMware) למטרה זו ולתמוך בכל מערכת הפעלה וכל דפדפן".

===========================================================================

ניתוק האינטרנט מתחנת הקצה של המשתמש

כיום יש פתרון נוסף אשר נוקט בגישה שונה. הפתרון של Crusoe Security הוא בידוד תחנות העבודה מרשת האינטרנט (Internet Isolation), המוביל בישראל. ניתוק האינטרנט מתחנת הקצה של המשתמש, מונע כ-70% מהאיומים הקיימים על תחנות הקצה ומרחיק אותם לסביבה מרוחקת. במאמר של גרטנר, הומלץ לכל מקבל החלטות לבחון את הפתרון של גלישה מרוחקת ובידוד האינטרנט במהלך 2017 כאחד הפתרונות המשמעותיים ביותר, שבהם ארגון יכול להפחית את יכולת ההתקפות המבוססות אינטרנט על משתמשים, לגרום נזק.

היתרונות של שימוש בפתרון בידוד אינטרנט ושימוש בדפדפן מרוחק הם מיידים. תחנות העבודה של משתמשי קצה והמערכות הארגוניות נשמרים מבודדים מתקיפות שמקורן באינטרנט, או שמשתמשות באינטרנט על מנת לממש את האיום. פתרון בידוד האינטרנט ודפדפן מרוחק יכול להגן על הארגון מפני התקפות מבוססות דפדפן, Plug-ins ומתקפות Zero Day. התקפות יתרחשו, אך יכולתן לגרום לנזק נשמרת מבודדת בסביבה המרוחקת (DMZ או בענן). תחנת המשתמש עדיין יכולה להידבק מאיומים, כגון תוכנות כופר או רוגלות שיגיעו ממקורות אחרים כגון דואר אלקטרוני, או קבצים שמועברים דרך שירותי כספות, אך גם במקרים אלה, אותם איומים, לא יוכלו לממש את הפעולה שלהם או להפעיל את עצמן, מכיוון שלתחנה אין חיבור לאינטרנט.

יחד עם זאת, פתרון כזה טומן בחובו אתגרים רבים כגון:

• חוויית שימוש של משתמש הקצה

• ביצועי מערכת

• משאבי המערכת הנדרשים

• הורדת קבצים

• חיבור התקנים פריפריאליים

• שימוש באפליקציות WEB שונות

• התממשקות למערכות הארגון (AD, Web Filtering, SIEM, מוצרי הלבנה ועוד)

• ROI ו-TCO

המוצר Crusoe נותן מענה מלא ומיטבי לכל אותם אתגרים ומביא איתו את כל היתרונות של בידוד האינטרנט וגלישה מרוחקת, תוך שמירה על חווית שימוש מצוינת וביצועים מעולים.

===========================================================================

"הצלחנו לבודד את הסיכונים שמגיעים מרשת האינטרנט"

חברת O.P.S.I, הזכיין בישראל של UPS, זכתה בפרס IT Awards, בקטגוריית אבטחת מידע, על יישום פרויקט בידוד האינטרנט בארגון, באמצעות הפתרון מבוסס על המוצר Crusoe פרי פיתוחה של חברת Crusoe Security.

שי גוטמן, סמנכ"ל מערכות מידע ודיגיטל של O.P.S.I אומר: "אני חייב לומר בכנות שהייתי סקפטי אם אכן נצליח לבודד את האינטרנט, שהינו כלי גישה ועבודה מרכזי בארגון שלנו. אני מאד שמח לאכול את הכובע במקרה הזה. לצד 100% אבטחת מידע אנחנו מצליחים לספק למשתמשים חוויה מצוינת. Crusoe Security, באמצעות אינטגריטי תוכנה שהינה ספק מוערך שלנו כבר שנים רבות, משקיעה רבות בשיפור מתמיד של המוצר כך שאנחנו נהנים מחוויית לקוח מעולה.

לא רק שהצלחנו לבודד את הסיכונים שמגיעים מרשת האינטרנט, אלא גם מנענו וחסמנו איומים שחדרו לתוך הארגון בדרכים אחרות (מייל או גורם פנימי) ואשר נזקקים לרשת האינטרנט על מנת להדליף חומרים מסווגים החוצה, או לקבל קבצי הצפנה לצרכי כופר. בכך הכפלנו ואף שילשנו את הערכים המגיעים מהמערכת!”.

===========================================================================

טכנולוגיה ו-ROI מוכחים

Crusoe Security, משתמש בפרוטוקולים מובילים ומוכחים כגון Citrix XenApp, VMware Horizon, Microsoft RDS וגם Linux RDP על מנת לממש את הפתרון בצורה מיטבית ומאובטחת, ויכול להיות מיושם הן בתצורה של התקנה מקומית והן בתצורת ענן. יישום בתצורת ענן אף מגדיל משמעותית את ה-ROI של הפתרון עקב ניצול נכון ויעיל של משאבי המחשוב הנדרשים להפעלת הפתרון.

הפתרון של Crusoe Security הוא הפתרון המוביל בישראל לבידוד האינטרנט, ומותקן בארגונים המובילים בארץ ממגזרים שונים, לרבות הפיננסי, שירותים, ממשלתי וביטחוני, עם הוכחת יכולת ברורה, פיצ’רים רבים וניסיון עשיר, ועבר בהצלחה מבחני חוסן רבים באותם ארגונים.


הכותב הוא סמנכ"ל פיתוח עסקי ומכירות, Crusoe Security

===========================================================================

איך מיישמים פתרון אבטחה ברשת מבלי לפגוע בחוויית המשתמש?

כשמדברים על מערכות אבטחת מידע, חוויית המשתמש, העובד בארגון, נחשבת לאחד המרכיבים החשובים ביותר. עובד שנתקל במערכות מסורבלות, שמקשות עליו את העבודה היום-יומית, בבעיות בגלישה שדרושה לו לצורך עיסוקו וגם, יש להודות (הרי מי לא עושה את זה…), בגלישה מפעם לפעם לאתרים חיצוניים, הוא עובד פחות מרוצה. עובד שלוקח לו זמן רב יחסית להתחבר למערכות ולעבור מאתר לאתר, בין היתר בגלל האבטחה, ישקיע פחות בעבודה, בין אם במודע או שלא. וזה עולה לארגונים כסף והרבה.

כמה וכמה חברות מנסות להציע פתרונות לבעיית הגלישה המאובטחת, עבור ארגונים רבים עוד יותר שמחפשים אותם. מעסקים קטנים ועד לארגונים בינוניים וגדולים. בין הארגונים שהתעורר אצלם הצורך במערכות כאלה הוא בית ההשקעות הגדול פסגות, שלדבריו הוא המוביל בישראל. החברה הוותיקה (הגלגול הראשון שלה נוסד ב-1963) עוסקת באחד הנושאים הרגישים ביותר – כסף. היא מציעה אפיקי השקעות וחיסכון פנסיוני שונים, וגם ביטוח. לכן, היא צריכה מצד אחד מערכת אבטחה חזקה ואמינה, שתשמור על המידע והכסף של אלפי הלקוחות, וכזו שמצד שני תעניק לעובדים חוויית משתמש נוחה, כדי שיוכלו לשרת טוב יותר את הלקוחות. על כל אלה מתווספות הדרישות הרגולטוריות שעל פסגות לעמוד בהן.

"לקוח ששם את הכסף שלו אצלנו רוצה לדעת שהוא מנוהל בחברה ששומרת על סודיות המידע ומשקיעה בזה משאבים. שהמידע עליו לא נגיש לאף אחד מבחוץ. הלקוחות שומעים על שלל האיומים שיש בימינו על המערכות הקיברנטיות ורוצים להיות בטוחים", אומר עופר קריצ'מן, סמנכ"ל מערכות המידע של פסגות. "כמובן שזה חשוב גם למותג שלנו. המותג פסגות צריך להכיל גם את האמינות שתגרום ללקוח הפוטנציאלי להגיד: 'אני מוכן לשים שם את הפנסיה'". לדבריו, "יש כאן התנגשות מסוימת, משום שלצד הדרישה שהמידע יהיה מאובטח, אנחנו צריכים לעבוד עם העולם הפתוח. צרכן השירותים שלנו רוצה שהאינטרנט יהיה אחד הכלים המרכזיים לעבודה מולנו".

"כאן נכנסת הגלישה המאובטחת", הוא מציין. "יש הרבה פתרונות בתחום, אבל לזה של Crusoe Security יש ערך מוסף, משום שמדובר בפתרון שהוא גם מאובטח וגם 'מדבר' בתוך הארגון, בניגוד לפתרונות אחרים, שעושים רק את אחד מהם".

אז איך ניתן להפוך לארגון פתוח בלי לייצר בעיית אבטחה?

"פסגות" פנתה לחברת אינטגריטי, שעוסקת בווירטואליזציה של תחנות קצה ובאבטחת מידע, ומפיצה את פתרון Crusoe. לדברי המייסד והמנכ"ל שלה, ארז גולדשטיין, "משנת 2000 ארגונים פיננסיים מתמודדים עם השאלה כיצד יוכל עובד בתוך הארגון לצאת מהדסקטופ לאינטרנט מבלי שהוא מייצר בעיה של אבטחת מידע. זאת השאלה המרכזית. הדפדפן מהרשת הפנימית, כל סוג של דפדפן, הוא בור גדול של סיכון אבטחתי, ובזה Crusoe בא לטפל. זה פער אבטחת המידע שעליו צריך לגשר".

לדבריו, "הפתרון, שנקרא Crusoe Security, מאפשר לבודד את סביבת הגלישה כך שהיא מתנהלת דרך שרת טרמינל, שנמצא מחוץ לרשת הארגונית. הפרדת הרשת הפנימית מסיכון הגלישה מגדיל בסדרי גודל את אבטחת המידע בארגון, כאשר Crusoe Security מטפל בחוויית המשתמש, כולל: הפנייה אוטומטית של לינקים חיצוניים, ניהול הורדה והעלאה של קבצים, הזדהות SSO, טיפול בפלאש (Flash) ועוד. אחד האלמנטים הבולטים במערכת של החברה הוא שלא צריך להתקין כל עדכון על כל מחשב. הארכיטקטורה 'נטולת סוכן' לחלוטין. במקום להפיץ גרסה חדשה בארגון, ניתן לעשות שינוי בתוכנה הקיימת".

אינטגריטי הקימה עבור "פסגות" את הפתרון בפרק זמן קצר. גולדשטיין מציין, כי המערכת מבוססת על תשתית של סיטריקס (Citrix) ובעלת אינטגרציה עם וובסנס (WebSense), אך מזכיר גם את היכולת לעבוד גם עם פרוטוקולים של VMware, Microsoft RDS, Linux ויכולה להתממשק לכל מערכת סינון או הלבנה.

לסיכום, קריצ'מן וגולדשטיין מציינים, כי גרטנר (Gartner) הכריזה על פתרונות הפרדה (Isolation), כמו זה של אינטגריטי, כעל אחד מעשרת פתרונות אבטחת המידע הרלוונטיים ביותר בעשר השנים הקרובות, בכלל זה ניהול המותג מול העובדים והמשתמשים מבפנים ומבחוץ. לדברי גולדשטיין, "הארגונים יותר ויותר מאוימים והאינטרנט הוא אחד האיומים הגדולים. אחד המרכזיים שבהם הוא איום פנימי, מעובד בארגון, שבטעות מכניס למערכת איזה דיסק-און-קי נגוע בנוזקה, למשל. משום כך, ארגונים יותר ויותר נוטים לפתרונות אבטחה בתחום, גם אם הרגולציה לא מחייבת אותם. הם עושים את זה כי הם יודעים שפתרונות כאלה מאובטחים יותר. ארגונים מבינים שלאבטח כל תחנה ותחנה זה לא פתרון, והם הולכים לפתרונות של הפרדה מבלי לפגוע בחוויית המשתמש".

===========================================================================

תגובות

Comments are closed