ארכיון עבור יוני, 2009

26
יונ
09

פעילות בבלוג #4

כבר מספר חודשים שלא בדקתי את הנתונים.

זמן לעדכון חודשי (30 יום לאחור).

  • מספר ביקורים בבלוג: 435  

  • זמן שהייה ממוצע: בערך 2.5 דקות

  • הגיעו לבלוג דרך חיפוש (לרוב בגוגל): 220

  • הגיעו לבלוג דרך לינק ישיר או RSS או מועדפים: כ – 200

ירידה במספר המבקרים (ככה זה כשכותבים פחות).

שהייה ארוכה יותר. האם יותר מעניין? יותר מפורט?

לא מעט מבקרים הגיעו בחודש האחרון דרך האתר: security.caspi.org.il.

לא מעט דרך חיפוש המילה CISO במנועי חיפוש.

מודעות פרסומת
21
יונ
09

הערכות להטמעת מערכת לניהול אירועי אבטחת מידע SIEM

כמה פעמים יצא לכם לשמוע על מערכות (לאו דווקא של אבטחת מידע) שהותקנו בארגון ושעומדות כמו פיל לבן? מערכות שעובדות (כלומר החשמל עובד ויש תקשורת לשרת), אך לא מספקות את הפונקציונליות הנדרשת? הפוסט הזה מתייחס לשלב המקדים בהטמעת SIEM – שלב שלעיתים נוטים לדלג עליו.

לאחרונה קיימתי שיחה על הטמעת פתרון SIEM עם מנהל אבטחת מידע בארגון בינוני. הוא נמצא בשלבים ראשונים של בחינת פתרונות SIEM לארגון שלו. הצורך העיקרי שלהם הוא בניטור של שרתים שונים ברמה האפליקטיבית – האם ביצעו פעולות אסורות, ומעט ברמת התשתית.

מהר מאוד, הגעתי למסקנה שאם הארגון שלו ירכוש עכשיו מערכת SIEM, זה יהיה בזבוז רב של כסף. בעת הקמת מערכת SIEM, חייבים להיות ערוכים לכך. הדגשים הבאים חייבים לקבל מענה בשלב האפיון, הרבה לפני בחינת מוצרים שונים והשוואה ביניהם. כל הנקודות הבאות לא נלקחו בחשבון באותו ארגון.  

הערכת סיכונים

זה לא חוכמה לומר: צריך לנטר אירועי אבטחת מידע ולכן צריך SIEM. לכל ארגון יש צרכים שונים וייתכן שאירוע שנחשב לרגיש בארגון אחד, אינו רגיש באחר. אולי יש מערכות שלא שומרות מידע רגיש.

רצוי מאוד – וללא קשר בפתרון SIEM – שארגון יבצע תהליך של סיווג נכסי מידע שיוביל להערכת סיכונים. זהו תהליך שמצמיד תג רגישות לכל מערכת וממפה את המידע הרגיש באותה מערכת.

נכון שישנן מערכות שקל לומר שהן רגישות (אתר החשוף לאינטרנט ומאפשר תשלום בכרטיסי אשראי). מצד שני, מערכת תשלומים בתוך הארגון שבאינטואיציה נחשבת לרגישה, אך בפועל אינה שומרת על  כרטיסי אשראי ועל פרטים מלאים של לקוחות, עשויה להתגלות כבעלת רמת סיכון בינונית בלבד. 

הגדרת/אפיון צרכים

לאחר שה – CISO מיפה את המערכות והצמיד להן רמת סיכון, מגיע השלב של אפיון צרכי הניטור במערכות:

  1. מהו המידע עליו רוצים לשמור (ולכן רוצים לנטר אותו)? לפעמים יש מידע רגיש שמחליטים לא לנטר מסיבות שונות.

  2. כיצד יטפלו באירוע ב – SIEM? האם יש ידע טכנולוגי מספק בארגון? האם ישנה מערכת לניהול אירועים/קריאות?

  3. מי יטפל באירועים? האם בכלל יש כח אדם מתאים לטיפול באירועים (באותו ארגון לא היה כח אדם מספיק לטיפול באירועים). האם מסוגלים לעמוד ב – SLA מינימלי?

  4. האם יש גיבוי הנהלה לטיפול באירועים? אם תתפוס עובד חשוב מחטט במידע רגיש, אולי ההנהלה תהיה חלשה מידי בכדי לגעת בו.

הצורך בלוגים (איכותיים)

מערכת SIEM חיה (ומתה) על המידע שמזינים אליה. במהלך אותה שיחה, הסתבר שבארגון יש מערכות מאוד ישנות שלא מפיקות לוגים בכלל, וכמה מערכות חדשות עם לוגים ברמת IIS (כלומר, לא ברמה האפליקטיבית). על קצה המזלג, מערכת SIEM צריכה לוגים מהמקורות הבאים:

  1. תעבורת SYSLOG

  2. גישה ל – Repository של לוגים בשרתים (למשל MS-SQL)

  3. קבצי טקסט על השרת המכילים לוגים

  4. תעבורת SNMP

הציור הבא מציג גרפית שרתים, שרובם מפיקים לוגים איכותיים הנשלחים ל – SIEM.

 siem-logs.jpg 

עם זאת, שימו לב לשרת הימני. בשרת זה יש מידע רגיש אך אין בו לוגים ולכן אינו ניתן לניטור ע"י מערכת SIEM. אם כל הארגון שלכם הוא כזה, חכו כמה שנים למערכת SIEM.  לסיכוםבסוף השיחה הוא הודה שלא היה מודע לכל הנקודות האלה ושהוא חושב להקפיא את תהליך הבחינה כרגע.

פרויקט SIEM הוא פרויקט ענק שלא מעט ארגונים נכשלו בו. זה מסוג הפרויקטים שמאוד מומלץ לקחת יועץ טוב שמבין בתחום עוד משלב אפיון הצרכים הראשוני, הרבה לפני שבוחרים פתרון (לפעמים אפילו שנתיים לפני).

12
יונ
09

סינון אתרים בשירות אבטחת מידע

לפני מספר חודשים (ולא הרבה פוסטים – לא מוצא זמן פנוי לאחרונה), ציינתי שלנושאים כגון סינון אתרים יש נגיעה לאבטחת מידע למרות שמדובר בדרישה שברובה קשורה למדיניות ארגונית כללית.

פוסט אחר דן בקושי לחסום אתרים המאפשרים להשתלט על מחשבים דרך HTTP.

אחד היתרונות של מערכות לסינון אתרים הוא ביכולת לחסום אתרים כגון אתרים המציעים תוכנות השתלטות כדוגמת WebEx. למוצרים אלה יש קטגוריות מובנות שרק צריך להפעיל אותן (ניתן להגדיר איזה קטגוריות נחסמות), ואז אתרים כאלה – גם אם לא כל האתרים – נחסמים. היופי בקטגוריות האלה הוא שלא צריך להכיר את הכתובות. מנוע האתרים מאחורי המוצר מכיל רשימה ארוכה של אתרים.




יוני 2009
א ב ג ד ה ו ש
« מאי   יול »
 123456
78910111213
14151617181920
21222324252627
282930  
מודעות פרסומת