22
ינו
09

סינון אתרים – זה לא אבטחת מידע

כל אחד מאיתנו, כשהוא שקוע בעבודה השוטפת שלו, נוטה להתמקד בפרטים הקטנים של העבודה ולא תמיד מוצא זמן להסתכל על התמונה הרחבה יותר. מנהלים בכלל, וכאלה בתחום ה – IT בפרט, נוטים לנכס לעצמם פרויקטים מעניינים רבים. לפעמים, בלי לשאול את עצמם האם זה בכלל בתחום העיסוק שלהם.

לאחרונה אני מוצא את עצמי מתעסק בנושא שרק בשוליים שלו נוגע באבטחת מידע. לא מזמן הגיע אלי ספק (ומגיעים רבים מהם) להציג לי את "הפתרון המושלם ששום ארגון לא יכול בלעדיו, עם ROI מוכח, זמן התקנה של שעה…" וכל הסיסמאות האחרות שלא מחזיקות מים (והרגע עלה לי רעיון לפוסט נוסף). הוא הציג פתרון של סינון אתרים – Web Filtering. במקביל, התחילו בארגון לשקול את הצורך ולברר איתי מה היכולות ואיזה פתרונות קיימים בשוק.

זו דוגמא קלאסית לתיחום גבולות שכל מנהל צריך לעשות. בואו נבחן בקצרה את היכולות של פתרונות נפוצים בשוק:

  • מניעת גישה לאתרי הימורים – לא אבטחת מידע.

  • מניעת גישה לאתרי פורנו – כנ"ל.

  • חסימת אתרים הידועים כמכילים קוד עוין – כן אבטחת מידע, אך ניתן להגן באופן חלקי על הארגון באמצעים אחרים.

  • הגבלת גלישת עובדים לשעות מסוימות ו/או זמן גלישה – ממש לא אבטחת מידע.

  • ניטור ביצועי עובדים – אנשי אבטחת מידע צריכים להתרחק ממנהלים המבקשים יכולות כאלה. זה רק יגביר את הטינה שעובדים רוחשים לאבטחת מידע. 

אני מביא את נושא סינון האתרים כדוגמא לנושאים שאנשי אבטחת מידע אמורים לזהות שאינם בתחום אחריותם. כמובן, שאם יש ל – CISO מוצר לסינון תכנים, ומנהל מבקש לנצל את אחת היכולות האלה, צריך לספק לו, אך בצורה חכמה. אפשר להגדיר לו דוחות אוטומטיים מהמערכת שיישלחו אליו ושהוא יטפל בתוצאות הדוח בלי המעורבות שלנו. אפשר לבנות לו Dashboard או להגדיר הרשאה למסך מסוים ושינבור בנתונים הגולמיים (שאינם קשורים באבטחת מידע). לא כל מערכת המוצעת למנהל אבטחת מידע באמת נותנת מענה לאבטחת מידע. לפעמים צריך לדעת לומר – זה לא אבטחת מידע. 

{ואני רק מקווה שהפוסט הזה לא יהווה ירייה ברגל שלי…}


5 Responses to “סינון אתרים – זה לא אבטחת מידע”


  1. 22/01/2009 ב- 17:18

    מסכים לכל מילה. אני באופן עקבי משאיר דיונים כאלה למנהלים הישירים או למשאבי אנוש.

    למרות שיש הטוענים שמכיוון ש-malware נפוץ יותר באתרי הימורים ופורנו, לפיכך יש בהם סיכון אבטחתי.
    לי אין הוכחה לאמיתות הטיעון הזה.

    יש פה גם עניין עקרוני אחר – ישנם מנהלי אבטחת מידע ששמחים להיות מעורבים בכל נושא שיערבו אותם. 🙂

  2. 2 קובי
    23/01/2009 ב- 9:49

    בעיקרון אני מסכים עם מה שנאמר.
    אלא שלא תמיד יש בארגון מוצרים כדוגמת esafe שמבצעים content inspection שבאמצעותם ניתן לדעת אם האתר מכיל קוד זדוני. במקרה כזה מה שנשאר זה סינון תכנים פשוט.

  3. 23/01/2009 ב- 17:37

    ארגון ללא שרת AV בכניסה לרשת לא צריך להיקרא ארגון.
    שרת esafe לא מבצע בדיוק בדיקת אתרים, אלא בדיקת תוכן לקבצים שנכנסים לרשת.
    סינון אתרים זו נישה קרובה אך לא זהה וזו הדוגמא שאוזכרה בפוסט.

  4. 4 ניב
    23/01/2009 ב- 21:10

    העלית נקודה נכונה וכפי שאתה אומר בעצמך, רלבנטית בכלל לתחום מערכות מידע ולא רק לאבטחת מידע. אבטחת מידע, אשר מעצם טיבה נוגעת בהכל, היא כר פורה להתערבות בכל מיני דברים משום שהכל איפשהו עובר דרכך וכל אחד עם הענין האישי שלו לעתים רוצה בכל זאת לצאת קצת מהנישה הזו של אבטחה טהורה ולהתעסק קצת גם בנושאים שמביאים תועלת אמיתית…

    לגבי הנושאים שציינת, אני גם בגישה שחסימת אתרים אינה אבטחת מידע (אלא אם מדובר למשל באתרים שניתן להעלות אליהם מסות של קבצים בצורה בלתי מנוטרת) ויותר מכך, אני חושב שזו שטות שאבד עליה הכלח בפן האבטחתי ומשמעותה יותר בצד הרגולטורי או מנהלתי/משמעתי. אגב מקרה מעניין, החברה בה אני עובד עוסקת בין היתר בפתרונות אבטחה מסויימים לבתי קזינו (אמיתיים לא וירטואליים) ולכן צריך לאפשר גישה לאתרים של בתי קזינו אלה, שרבים מהם מפעילים גם קזינו וירטואלי…
    אגב נכון שאתרי פורנו רבים (חבר סיפר לי…) מכילים פוגענים ואפילו וירוסים כך שיש בזה סיכון מסויים, אבל כפי שנאמר, כל גייטווי נורמלי ואפילו דפדפן עם הפאצ'ים העדכניים ואנטי וירוס אמור לדעת להתמודד עם זה.

  5. 14/05/2009 ב- 0:27

    דרך אגב,
    לנושא סינון האתרים יש פתרון חינמי שניתן ליישם בקלות בזמן קצר.
    קוראים לשרות opendns
    כדאי לנסות ניתן ליישם גם בבית כל מה שצריך לעשות הוא להחליף את שרת ה-DNS של ספק האינטרנט בשרת ה-DNS שלהם ואז ניתן להגדיר אלו אתרים לחסום.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


ינואר 2009
א ב ג ד ה ו ש
« דצמ   פבר »
 123
45678910
11121314151617
18192021222324
25262728293031

%d בלוגרים אהבו את זה: