ארכיון עבור פברואר, 2009

24
פבר
09

פעילות בבלוג #2

עברו חודשיים, ובדקתי שוב את הפעילות בבלוג בחודש האחרון. מסיבות אישיות לא נעימות, כתבתי פחות בתקופה האחרונה, אך להפתעתי הפעילות גדלה. הנה כמה נתונים:

  • מספר ביקורים בבלוג: 473

  • זמן שהייה ממוצע: קצת פחות משתי דקות

  • הגיעו לבלוג דרך חיפוש (לרוב בגוגל): 180

  • הגיעו לבלוג דרך לינק ישיר או RSS או מועדפים: כ – 240

היום היה (למעשה טרם הסתיים) יום שיא בפעילות. מעל 40 קוראים הגיעו רק היום לאתר. חצי! מהם הגיעו בעקבות פוסט שפרסם עומר טרן בבלוג שלו.זו הזדמנות לציין שני בלוגים של אנשים שאינני מכיר, אך מידי פעם מגיעים מהם קוראים. כיוון שקהילת כותבי הבלוגים בעברית באבטחת מידע מאוד קטנה, שווה להכיר את הבלוגים האלה:

מודעות פרסומת
10
פבר
09

שיווק אבטחת מידע

אם אתם מנהלי אבטחת מידע, או בתפקיד אחר עם נגיעה באבטחת מידע, כמה פעמים שמעתם משפטים מהסוג הבא?

  • אבטחת מידע זה גורם מעכב.

  • אבטחת מידע עולה הרבה כסף לארגון.

  • "לא", "אי אפשר", "לא מאושר" אלה הביטויים היחידים של אבטחת מידע.

  • אני משתגע מאבטחת מידע, לא נותנים לעבוד.

הסיבה לכל זה היא שאנחנו עובדים בתפקיד כמעט בלתי אפשרי. מצד אחד חייבים להגן על נכסי המידע של החברה והלקוחות, מצד שני יש ביזנס שאסור לפגוע בו.

הסיבה העיקרית, לדעתי, לתפיסה השלילית של גוף אבטחת מידע בארגון היא שמרוב שאנחנו שקועים ביום-יום – בתכנון והטמעה של מנגנונים ובקרות של אבטחת מידע – אנחנו שוכחים פרט חשוב: כמו כל דבר, חשוב לשווק את אבטחת מידע בארגון.

כשם שאנשי הביזנס מוכרים להנהלה כמה פתיחת מערכת 'אבג' לאינטרנט תביא מכירות ושיפור שירות, יש מקום לשווק את אבטחת מידע בצורה דומה. אז הנה כמה רעיונות לשיפור התדמית של אבטחת מידע.

  1. אירועי אבטחת מידע: תארזו בעטיפה יפה את האירועים שאתם עולים עליהם. למשל, תפסתם זליגת מספרי כרטיסי אשראי או מסמכים רגישים ע"י מערכת מניעת זליגת מידע (DLP).
    אם אתם ארגון מספיק גדול ויוצא לכם לעלות על כמה אירועים בחודש, דרגו אותם ברמות חומרה שונות, צרו גרפים יפים של כמות האירועים בכל חודש מהשנה האחרונה. אתם יכולים גם להעריך את הנזק שנחסך לארגון אם חסמתם את המעשה האסור או תפסתם זמן קצר את המבצע לאחר ביצוע האירוע. לאחר אריזת האירוע במסמך (חודשי) יפה, תעבירו להנהלה או למנהל המתאים. לא תאמינו כמה שיתוף פעולה והערכה תקבלו גם ממנהלים שאינם טכנולוגיים כשיראו את העטיפה השיווקית.

  2. אל תגידו "לא" מיד: חקרו יותר לעומק את הצורך העסקי, תתפרו מנגנונים מאובטחים ובקרות מפצות ותציגו בסוף הפרויקט את התרומה של אבטחת המידע לאפשרות לסיים את הפרויקט ללא חסימתו עוד בחיתוליו. ברור שלא תמיד זה אפשרי, אבל ישנן בקשות שבעבר לא היו מאושרות וכיום ניתן לאשרן לאחר תפירת פתרון אבטחה מתאים. תשדרו שהגישה כיום הינה לנסות לתפור פתרונות במקום להגיד לא. "לא" נשאר כמפלט אחרון – ובמקרים כאלה אנשי הביזנס מבינים אתכם טוב יותר.

  3. תירמו לשיפור השירות: אם אתם חלק מתהליך אישור הרשאות למערכות, הרי שאתם יודעים כמה תהליך כזה כואב בארגונים גדולים. כ-ו-ל-ם מתלוננים כמה זמן לוקח לפתוח הרשאות. במקום לומר "אין ברירה", תבצעו בעצמכם ניתוח תהליך הרשאות ותראו כיצד ניתן לשפרו. אולי טפסים ברורים יותר, אולי מחשוב חלק מהתהליך, אולי הטמעת מערכת IDM. חפשו תהליכים אחרים שיש לכם נגיעה אליהם וחשבו כיצד לשפר.

  4. תנו למערכות שלכם לעזור לאפליקציות: לפעמים, אנשי הפיתוח נדרשים להוסיף יכולות לאפליקציה כגון לוגים, או לחקור DB Links בין בסיסי נתונים. מערכות אבטחת מידע (כגון Database Firewall, SIEM) יכולות לעזור ולזרז את התהליך. אנשי האפליקציות יודו לכם. רק תדאגו שהתודה שלהם מגיעה גם למנמ"ר.

  5. 'תתערבבו' עם מנהלים עסקיים: במקום להיות נגדם, צרו יחסי עבודה טובים איתם. תזינו אותם כל הזמן בבעיות ולבטים שלכם. קשה לקלוט כמה שזה שם אותם בצד שלכם עד שאתם משתפים אותם. לא מעט מנהלים מגיעים אלי היום עם רעיונות לבעיות שהצגתי להם בתהליכים שלהם. הם גם יוזמים מהלכים לשיפור אבטחת המידע בתהליכים העסקיים שלהם באופן יזום. במקום לומר להם "לא, אני משתף אותם בבעיה ולפעמים מבקש מהם לחשוב על פתרונות.

  6. תובילו: אל תהיו מובלים ע"י אחרים. אל תחכו למנתחי מערכות ואנשי פיתוח לאפיין פתרון/מערכת שאינו מאובטח/ת. תהיו מעורבים עם הלקוח (המשתמש) מההתחלה ותעזרו לו להבין את מגבלות אבטחת המידע של הבקשות שלו. לאחר שהוא יבין, הוא זה שיאמר למנתח המערכות שהפתרון שהוא מאפיין בעייתי שכן זה עשוי לחשוף את המערכת באופן כזה או אחר.

05
פבר
09

מגמות סיכוני אבטחת מידע לשנת 2008

חברת Sophos פרסמה לאחרונה דוח על סיכוני אבטחת מידע על נתוני 2008. לא מחדש הרבה. ריכזתי כמה נתונים שנראו לי חשובים. 

נאמר בדוחות אחרים, ומודגש גם בזה, האקרים ותוקפים כיום מונעים בעיקר מסיבות כלכליות ומתמקדים בגניבת מידע מלקוחות וארגונים.
כמות הסיכונים כלפי מערכות מבוססות Windows עדיין גדולה באופן משמעותי מסביבות אחרות.
האיום המשמעותי ביותר ב – 2008: SQL Injection ואיומי Scareware. (כיוון שאני לא מתיימר להיות אבשלום קור, נמציא לזה שם: מפחידונים.)מה זה מפחידון: מדובר בתרמית הגורמת לגולש להבין בטעות שהוא נפגע מאיום אבטחת מידע ולכן עליו לרכוש בהקדם את המוצר המזויף שהמפחידון מפרסם. המפחידון יכול להיות אנטי-וירוס או המלצה להכניס מהר סיסמא כדי לקבל פתרון לבעיה. המפחידון יכול להיות מתוכנן לגנוב כרטיסי אשראי. חברת Sophos מגלה בממוצע 5 אתרי מפחידונים ביום.
בכל 4.5 שניות, מתגלה דף אינטרנט חדש נגוע.

אתרי אינטרנט מותקפים לעיתים רחוקות באופן מכוון, לרוב ההתקפה נובעת מניצול פגיעות של האתר.

שלוש המדינות המאכלסות את רוב אתרי הקוד הזדוני: ארה"ב (37%), סין (28%), רוסיה (9%).

אתרים חברתיים מהווים סיכון גבוה מתמיד לשתילת לינקים זדוניים. למשל, פייסבוק הודתה שהתקפה מוצלחת גרמה להתקנה של סוס טרויאני בפרופילים של 1800 משתמשים.

לינקים זדוניים מופעים גם במיילים הנשלחים כספאם. למשל, בספטמבר 2008, נשלח ספאם המכיל לינק לקישור וידאו פורנוגרפי של ברק אובמה. מאחורי האתר אליו הלינק הפנה הסתתר וירוס בשם Hupig-D.

רוב הספאם בעולם מגיע ממחשבי קצה נגועים (נקראים 'בוט' או 'זומבי'). המחשבים הנוגעים מפיצים את הספאם במקום ממחשב הספאמר.

מישהו אמר: אנטי-וירוס מעודכן ו – Personal Firewall?

קוד עויין המועבר דרך התקן USB מסוג DoK גם הפך נפוץ יותר ב – 2008. המקרה המפורסם והמוזר במהלך השנה היה שאסטרונאוטים החדירו בטעות קוד נגוע ופגעו במחשבים של תחנת החלל. ועל זה נאמר: יוסטון, יש לנו בעיה (של אבטחה)…

כמעט 30% שומרים נתונים פיננסיים, מידע על לקוחות, חוזים ומידע אישי על חשבונות על התקני זכרון ניידים. זה הוביל למספר גדול של אירועי זליגת מידע – לרוב מקריים ולא זדוניים.

מי אמר להצפין מחשבים ניידים ו – DoK?




פברואר 2009
א ב ג ד ה ו ש
« ינו   מרץ »
1234567
891011121314
15161718192021
22232425262728
מודעות פרסומת