ארכיון עבור נובמבר, 2007

24
נוב
07

האם המשתמש עצלן?

בשנה האחרונה הייתי שותף ועד, הן במקום העבודה והן באינטרנט, לדיון שחוזר על עצמו בווריאציות שונות. האם המשתמש עצלן? במילים נכונות יותר: האם ניתן להסתמך על פעולות אקטיביות של המשתמש לצורך הגנה על מידע?

כאשר עולה הצורך בהגנה על מידע בתוך ארגון – בין אם בפני עובדים אחרים ובין אם בפני אנשים מחוץ לארגון – ישנן כמה גישות אפשריות. באופן כללי ניתן לחלק את הגישות לשתיים.

  1. פתרונות שאינם מסתמכים על המשתמש כגון מערכת למניעת זליגת מידע רגיש

  2. פתרונות המסתמכים על המשתמש כגון הצפנת קבצים או Digital Rights Management (DRM)

 

הפתרון המסתמך על המשתמש מדויק יותר שכן בד"כ המשתמש מכיר את המידע שהוא יוצר טוב יותר מאחרים. ניתן להניח שמידע רגיש שהוגן ע"י המשתמש לא יזלוג לידיים לא רצויות ושמידע שאינו רגיש לא ייחסם בצורה מיותרת (False Negative). מצד שני, פתרון כזה מסתמך על כך שהמשתמש לא שכח להגן על מידע או השאיר אותו 'לאחר כך'.

לאחר שניסיתי מספר פעמים לבדוק היתכנות לפתרון המסתמך על המשתמש, בצורת IRM של Microsoft, אני יכול לומר שזה יהיה אתגר גדול מאוד לגרום למשתמשים להגן בעצמם על המידע. אפילו כשהיה מדובר על משתמש שממש ביקש פתרון כזה, כשזה הגיע לרגע בו הוא התבקש להגדיר הרשאות על מסמך (לאחר שהתוכנה הותקנה אצלו) הוא לא ביצע את הבדיקה הפשוטה שזה עובד לו. 

בין אם זה נובע מעצלות ובין אם זה מפחד מטכנולוגיה, הבדיקה לא התקדמה לשימוש אחד מוצלח בארגון (פרט לניסוי שאני ערכתי מול משתמש אחר כדי לוודא שזה בכלל עובד). אני מניח שחיפוש פשוט בגוגל יניב ממצאים דומים. כאשר אני נשאל כיום  בנושא, התשובה שלי נוטה באופן ברור לגישה הראשונה שאינה מסתמכת על המשתמש, גם אם לשיטה זו יש חסרונות רבים. 

CISO

 

מודעות פרסומת
12
נוב
07

התגוננות מפני גניבה מחשבון הבנק דרך האינטרנט

לפני ימים ספורים, התפרסמה ידיעה בדבר גניבה מאתר בנק לאומי ע"י שימוש בסוס טרויאני. אני מנחש שמדובר ב – Key Logger, אבל לצורך הדיון זה לא משנה.

כיצד בנקים צריכים להתמודד עם זה:

  • לא לאפשר העברת כספים לצד ג'.

  • אם מתעקשים לאפשר העברת כספים לצד ג', לממש זיהוי חזק (לא רק סיסמא).

  • להשתמש ברכיב המבצע בדיקה על תחנות הקצה כנגד וירוסים, סוסים טרויאניים,
    Key Logger וכדומה. רכיב כזה ניתן למצוא לרוב על SSL VPN או Firewall שממילא מותקנים בבנקים. ארחיב על כך בעתיד. 

 CISO

10
נוב
07

PCI DSS

ראשי התיבות של: Payment Card Industry – Data Security Standard.
בעברית מדוברת: תקן אבטחת מידע של אגוד תעשיית כרטיסי התשלום (אשראי). החברות העיקריות הן ויזה, מאסטר קארד, אמריקן אקספרס ועוד.

מי חייב לעמוד בתקן? כל ארגון שמחזיק ומעבד נתוני כרטיסי אשראי. זהו אחד התקנים היחידים בתחום אבטחת מידע שמפרט דרישות טכניות שעל הארגון ליישם. בנוסף, בצעד לא שגרתי, האגוד מגדיר עונשים לארגונים אשר תתגלה אצלם פרצה באבטחת מידע אשר תוביל לאובדן מידע הקשור בכרטיסי אשראי. הארגון אינו מחויב ליישם את דרישות התקן, אך במקרה של אובדן נתונים הקנס יהיה כבד אם יוכח שהתקן לא יושם.

התקן מגדיר דרישות אבטחה בנושאים שונים:

  • אבטחת הרשת
  • אבטחת המידע עצמו
  • ניהול מפגעים (כגון אנטי-וירוס, ואבטחת אפליקציות)
  • בקרת גישה
  • בדיקות שוטפות
  • מדיניות אבטחת מידע

חלק מהארגונים, בהתאם לסוג הפעילות והיקף הפעילות, יחויב בביצוע הסמכה לרמות השונות של התקן. את התקן ניתן למצוא באתר של PCI.

CISO

09
נוב
07

ילד, לך לצחצח שיניים. כמה פעמים אפשר לבקש ממך?

האם זה נכון לצפות מילדים שיזכרו את החשיבות שבצחצוח שיניים? האם ניתן לצפות מהמשתמשים לנקוט בפעולות יזומות על מנת למנוע דליפת מידע רגיש? או שמא הפתרון צריך לבוא מההורים לגבי צחצוח שיניים, או ממנהל אבטחת המידע בכל הקשור בשמירה על מידע?

אין פלא שפתרונות הגנה על התקנים נתיקים, לדוגמא, או מניעת זליגת מידע הופכים לנפוצים, בפרט בשוק הישראלי. זה בניגוד לפתרונות התלויים בנכונות המשתמש, ופעמים רבות בכישורי המחשב שלו, בביצוע פעולה אקטיבית. דוגמא טובה לכך היא חוסר ההצלחה של IRM של חברת Microsoft ופתרונות DRM דומים. כמה משתמשים באמת טורחים להגדיר הרשאות גישה על מסמכים?

עוד ארחיב בנושא בהמשך.

CISO




נובמבר 2007
א ב ג ד ה ו ש
« אוק   דצמ »
 123
45678910
11121314151617
18192021222324
252627282930  
מודעות פרסומת