ארכיון עבור פברואר, 2008

26
פבר
08

בחירת מערכת למניעת זליגת מידע רגיש – Information Leakage Prevention

מערכות למניעת זליגת מידע: Information Leakage Prevention או בקיצור ILP. ויש כאלה המכנים את הפתרון Date Leakage Prevention.

המדע הבדיוני של תחילת האלף הפך למציאות בזכות מוצרים כאלה. ישנן מערכות שונות המונעות גישה לא מורשית לנתונים אבל היופי במערכות ILP הוא שהן מאפשרות לנטר וגם לחסום נסיונות של משתמשים לשלוח מידע רגיש אל מחוץ לרשת הארגון. כלומר, לא מדובר בגישה פסיבית של מניעת גישה למידע, אלא בגישה אקטיבית של איתור וחסימה של משתמשים שכבר יש להם גישה למידע והמנסים להוציא את המידע החוצה.

היפה בפתרון מסוג זה הוא שלא מדובר רק בזליגת קבצים. ניתן להגדיר ביטויים רגישים שייחסמו במידה ויימצאו בכל מידע טקסטואלי (מיילים, פוסטים ל – Web). למשל, אני לא יודע היכן ישנן טבלאות עם מספרי כרטיסי אשראי. אבל אם מישהו שולח קובץ החוצה המכיל 10 מספרי כרטיסי אשראי ומעלה, המערכת תחסום בלי לדעת מה מקור המידע.

כמובן שישנה תפיסה שונה המתבססת על מתן הרשאות על קבצים (כגון IRM) אבל פתרון מסוג זה מטפל גם במידע שאינו בקבצים ואינו מתבסס על נכונות ויכולות המשתמש.

ישנן 2 גישות עיקריות לבחירת פתרון מתאים לארגון:

  1. מערכת המותקנת ב – Gateway ברשת.
  2. מערכת המותקנת על תחנות הקצה.

כל גישה מתאימה לאופי שונה של ארגון. הטבלה הבאה תפרט מספר פרמטרים שיש לקחת בחשבון בבחירת הגישה המתאימה לארגון: 

פתרון מבוסס רשת

פתרון מבוסס תחנות קצה

עיוור למתרחש בתחנות הקצה. למשל, לא מנטר העברת קבצים לכרטיס זכרון. בד"כ, מאפשר גם להגדיר הרשאות לאילו אמצעי זכרון נתיקים המשתמש יוכל לחבר למחשב, אם בכלל.
אינו רואה תעבורה מוצפנת מהרשת. למשל לא מנטר תעבורה ב –  SSL (כגון gmail). אינו מנטר גישה לבסיסי נתונים רגישים. לצורך חסימה, מצריך הגדרת ביטויים רגישים כגון: משכורות, כרטיסי אשראי וכדומה.
עלול להצריך שינויים בארכיטקטורת הרשת. מצריך תחזוקה שוטפת של תחנות הקצה. למשל התקנת Patches מתאימים. זהו חסרון גדול העלול לפגוע בזמינות תחנות.
עלול לחייב התקנה על שרתים רגישים (כגון בסיסי נתונים) עובדה שתפגע בביצועי שרתים. התקנה שעלולה להכביד מבחינת CPU על תחנת הקצה.
במידה ויש יותר מ  Gateway אחד לרשת, יתכן ותידרש התקנה של יותר מרכיב אחד. כדי להיות אפקטיבי, מחייב התקנה על כל תחנות הארגון.
כנראה לא מסוגל לנטר אפליקציות P2P כגון Messenger. לא יתפוס זליגת מידע הנובע מסוס טרויאני המותקן על שרת ושולח מידע החוצה.

על הארגון למפות את הצרכים שלו ולבחור גישה מתאימה לפני בחירת הפתרון מהספקים.

למשל, בארגונים שחייבים לסגור את כל הפורטים כגון USB, פתרון רשתי לא מתאים. מאידך, ארגונים הרגישים לביצועי תחנות הקצה (למשל, ריבוי גרסאות מערכת הפעלה ו – Patches) עשוי לשקול פתרון רשתי. 

הערות:

  1. כיום ישנה מגמה שחברות בתחום זה הולכות לקראת פתרון משולב. זה יקח עוד זמן.
  2. מוצרים שכל יעודם הגדרת הרשאות על התקני זכרון נתיקים אינם נחשבים לפתרון ILP  (למרות שהם טוענים כך).
מודעות פרסומת
14
פבר
08

גריסה באופן מאובטח

לא רק שרתי אפליקציה זקוקים לאבטחה, גם רכיב אבטחה שמגינים על השרתים גם זקוק להקשחה. בד"כ, ארגונים דואגים לבצע באופן שוטף בדיקות כאלה.

ארגונים מפיקים נייר רב שחלקו מכיל מידע רגיש. הקשחת האבטחה במקרה כזה כוללת גריסה הנייר. מתי בדקתם בפעם האחרונה את אבטחת תהליך הגריסה? הנה מקרה שארגון דאג לגרוס ניירת רגישה, אך נפל בתהליך האבטחה (גריסה) עצמו.

מסקנות:

  1. צריך לבקר באופן שוטף את מנגנוני האבטחה.

  2. אנשים הם חוליה חלשה נוספת בשרשרת.
13
פבר
08

תחנות הצדק

באבטחת מידע, כמו בכל תחום בחיים, אמצעי מניעה יעילים, אך עד גבול מסוים. כאשר כבר תופסים עבריין, אנו תלויים בתחנות הצדק ולצערי שופטי בתי המשפט שלנו ידועים כרחמנים מידי. אומנם זה עניין של פילוסופיה, אך אני טוען שלא ניתן לחנך עבריינים. גם אם מתן עונשים כבדים לא ירתיעו אותם, עונשים כבדים יסלקו את האיום (מהאפשרות לבצע עוד עבירות) לתקופות זמן ארוכות.

היום התפרסמה ידיעה שהחוקר הפרטי, צבי קרוכמל, קצין בכיר לשעבר 'ומלח הארץ', המעורב בפרשת "הסוס הטרויאני" הורשע ונידון ל – 32 חודשי מאסר וקנס כספי כבד. האדם הנחמד הזה מתייפח כעת שהוא נותר חסר כל, התגרש ונוּדה ע"י משפחתו. אני מאמין שחברות מסחריות לא ימהרו לעשות שימוש באמצעי ריגול כאלה בעתיד.

כולי תקווה שבתי המשפט יחמירו גם בעבירות נוספות הקשורות באינטרנט ובכלל בחיים. גזר דין כזה ירתיע אנשים ישרים מלהתפתות למעשים אסורים וירחיק עבריינים מהשכונה לתקופה ארוכה.

קצת Off Topic, אך אני מרגיש חייב… אפרופו עונשים, הנה הצעת חוק שתרתיע עבריינים מסוג אחר ותאפשר לשמור על חיינו – חוק 'שי דרומי'. אולי חוקים כאלה יעזרו להפוך את החברה המודרנית למקום מעט יותר בטוח ומאובטח.

06
פבר
08

שום Firewall לא יעזור

גם לא Patching לשרתים ומחשבים.

עובד לוקח חומר מודפס רגיש הביתה כדי לקרוא בערב ושוכח למחרת את הניירת בתחבורה הציבורית. אז משנים סיסמאות ומטפלים בבעיות אחרות שצצו מאיבוד החומר, אבל אם זה היה מגיע לעיתונות, הם היו עושים מכך מטעמים.

סוף טוב, הניירת נמצאה ע"י מפעילי התחבורה הציבורית ולא ע"י גורם לא רצוי.

זה מזכיר לי שלפני כמה שנים אחד מהבנקים שלח ניירת רבה עם שליח על ווספה וכל הניירת עפה לו באיילון בלי שהוא ירגיש. הבנק קיבל פניה מאזרח ישר שמצא חלק מהניירת שלא התפזרה.




פברואר 2008
א ב ג ד ה ו ש
« ינו   מרץ »
 12
3456789
10111213141516
17181920212223
242526272829