27
יונ
11

האפקטיביות של בקרות מפצות

כל מי שעבר ביקורת בארגון, בפרט ביקורת המבוצעת ע"י רואי חשבון (גם כאלה שמתיימרים להבין באבטחת מידע) אבל לא רק, מכיר את המושג בקרה מפצה. אותם רו"חים (שעושים הרבה רוח), לא יכולים שלא לאשר מאזן, ולכן הם ממליצים ליישם בקרות מפצות במקומות שאין מנגנון מניעה אפקטיבי. אבל כשם שהם לא מבינים במערכות מידע/אבטחת מידע (למרות שהם מגיעים עם כרטיסי ביקור מפוצצים כגון שותף, מנג'ר, מומחה…), הם לא מבינים בבקרות מפצות ולא מבינים מה להמליץ. זה נכון גם למבקרים שאינם רואי חשבון, אבל מה לעשות שרוב המבקרים הם רואי חשבון.

בואו נתחיל מההתחלה. מה זו בקרה מפצה אתם שואלים? ראשית, נבחן מהו מנגנון מניעה. נאמר שרוצים למנוע גישה לשרתים ברשת מסוימת. מגדירים חוק Drop ב – Firewall ואף אחד לא מגיע לשרתים. זהו מנגנון מניעה.
מה קורה אם בין המשתמש לשרתים אין Firewall? אנחנו בבעיה. אפשר להגדיר לוג על השרתים שידווח למערכת SIEM על כל ניסיון התחברות לאותם שרתים. זה בקרה מפצה –  אמצעי לבדוק בדיעבד (בין אם דקה לאחור ובין אם בעיון בדוח מלפני חודש) האם בוצעה עבירה על הנהלים.

אז היכן הבעיה? במקרים רבים לא מגדירים בקרה מפצה מתאימה (וזה נושא לדיון נפרד). ובמקרים עוד יותר רבים, שוכחים את הדבר הכי בסיסי (גם אם הבקרה עצמה מתאימה) –  עצם הסקירה של התוצר של הבקרה. התוצר יכול להיות דוח או חיווי (מייל, SYSLOG, SMS) הנשלחים ליעד כלשהו, או רישום בקובץ לוג. זה יפה שכל שבוע נוצר דוח. האם מישהו בודק את הדוח שאין בו פעולות לא תקינות?

וישנה עוד השלכה שארגונים אינם לוקחים בחשבון. העלות של הבקרה המפצה. שוב, בואו נחזור לרגע להתחלה. מדוע מגדירים בקרה מפצה? כי מסובך מידי או יקר מידי להתקין מנגנון מונע (להפריד בין השרתים למשתמשים ע"י Firewall). לא תמיד אפשר לשים רכיב אבטחת מידע באמצע (בין אם זה Firewall, Database Firewall, הרשאות הדוקות, יוזר אישי לכל איש סיסטם עם הרשאות אדמין ועוד).

במקרה כזה, הולכים לפתרון הקל ואומרים, נגדיר בקרה מפצה. הבעיה היא שמנהלים בכירים לא מבינים (או שעושים את עצמם לא מבינים) שצריך להקצות משאב (עובד) קבוע למעבר על תוצרי הבקרה המפצה. עד שמגיעה ביקורת נוספת שמגלה שאף אחד לא בוחן את יעילות הבקרה המפצה. ואז מזדרזים להוסיף תקן לביצוע בקרות.

ארגונים שאינם מנהלים את עצמם בצורה מסודרת – וזה מכסה כנראה כמעט כל ארגון בארץ – מוצאים את עצמם מכבים שריפות ומוציאים יותר משאבים דרך אותן עלויות עקיפות. כל זאת, במקום לתקוף מההתחלה את הבעיה כראוי ולעבוד קשה כדי למנוע את הבעיה במקום לקחת כדור נגד כאב ראש.
אולי לבנות הרשאות נפרדות לפעולות מסוימות (עם כל כאב הראש והצעקות מהמשתמשים), זה פתרון נכון וטוב יותר מאשר להגדיר דוח על אותן פעולות – דוח שמישהו יעבור עליו פעם בשבוע, כל שבוע?

מודעות פרסומת

4 Responses to “האפקטיביות של בקרות מפצות”


  1. 09/07/2011 ב- 11:10

    CISO שלום,
    בארצנו קיימים ארגונים אשר הרגולטור האחראי עליהם הוא רמו"ט.
    מהכרותי עם משרד המשפטים מעבר לרואי חשבון שעברו הסמכה של ISACA וכדומה ישנן פינות שהרגולטר מצמיד
    אליהם מומחה אמיתי לאבטחת מידע מהשורה הראשונה בארץ.
    המומחה מבדיקות Pentration testing ל-infrastructure ועד ל-Code Review ו-Network Security Design מה שגם לעיתים הוא מפנה אותך
    לחברה חיצונית שתבצע לך את הבדיקות.
    יחד עם זאת אין לזלזל ברואי החשבון שבהרבה מהפעמים חושפים מחדלים שכבר בתחילת ה-standards compliance‏ מציגים לך מצב עגום של תפקוד אנשי הסיסטם.
    זה מתבטא בחשיפה של הרשאות מיותרות,אי אכיפת עקרון הפרדת תפקידים,יוזרים פעילים שלא בשימוש וכו'.
    בנוגע לבקרות מפצות בארגונים רציניים נהוג לחלק את נושא האבטחה לשכבות ולהתייעץ עם אותו מומחה בנושא.
    בקרה מפצה לעניות דעתי היא Prevention ולא סוג של Auditing/Monitoring ב-Real Time.
    החל מ-Endpoint Control לתחנות שמתבחרות ב-SSL VPN ,התקנת HIDS/‬IPS על התחנות,AV,הגדרת Device Control ,שימוש ב-Strong Aauthentication,הזדהות באמצעות Certificate לשרתים
    המוגדרים כ"חוליה חלשה".
    לעניות דעתי בקרה מפצה הינה פירושה לפצות על חולשת האבטחה ולתת מענה הולם לסוגיה ולא לפצות בדיעבד(סוף מעשה במחשבת תחילה). עם קורלציה כזו או אחרת ל-SEIM , מה שגם בהרבה ארגונים שראיתי
    קיים SEIM ואין SOC.
    אין לראות ב-SOC בקרה מפצה אלא כגורם מבקר של המערכת.
    בהרבה מקרים הרגולטור מחייב את הארגונים מעבר לביצוע בקרה ומעבר על Logs של מערכות השו"ב גם תחקור של כל אירוע,הגשת דו"ח וכן יישות אשר תישא באחריות ותחתום על קבצי הלוג.
    אני מסכים עם המתודולוגיה של Secured by Design is אבל כאשר הרגולטור מנחית עליך בכל שני וחמישי נוהל חדש,אין לך יותר מידי ברירות ,מלבד להשתמש בבקרות מפצות.
    הבלג מאוד מענין,אשמח אם תמשיך לעדכן אותו.

    רונן

  2. 10/07/2011 ב- 8:19

    ראשית, פגשתי בעבר רו"ח אשר מבינים באבטחת מידע ומסוגלים לבצע ביקורת מצוינת ולהמליץ על בקרות נאותות. אני מסכים גם שמבקרים שהינם רו"ח חושפים הרבה מחדלים אשר לא היו אמורים להתקיים.
    עם זאת, רוב רו"ח אשר פגשתי, אינם מבינים מאומה באבטחת מידע למרות שעברו הסמכות כאלה ואחרות. אני אשאל שאלה רטורית. האם מנהל אבטחת מידע שיעבור קורס חשבונאות, יכול לבקר ולאשר מאזן חשבונאי? לדעתי כן באותה רמה שרו"ח יבצע ביקורת אבטחת מידע.
    בקרה מצפה אינה מנגנון Prevention. התרגום המילולי הוא מניעה ומקובל שמנגנון מניעה מיושם כדי למנוע פעילות אסורה. בקרה מפצה הינה פעילות המיושמת במקומות בהם לא ניתן למנוע פעילות אסורה והיא מורכבת מבדיקת פעילות מסוימת בדיעבד.
    תודה, ותמשיך להנות מהבלוג.

  3. 3 l
    09/12/2011 ב- 13:04

    ראשית כל הדוגמה שהצגת כללית מידי "נאמר שרוצים למנוע גישה לשרתים ברשת מסוימת."
    כשאתה מדבר על גישה לשרתים עליך לדעת על איזה מערכת/מערכות מדובר, ולפני זה מה ההשפעה של מערכת זו על התהליכים העסקיים בחברה, מה הסבירות ורמת החומרה בהתממש האיום שעליו אתה מדבר , ומה הנזק שייגרם כתוצאה מכך, כשמדברים על חברה ועל תהליכים עסקיים חשוב להבין מה הנזק ובעיקר הנזק הכספי, יתכן שמדובר בנזק לא מהותי במספרים, בכסף ולכן הנהלת החברה תשקול באם להקים מערך שלם של בקרות מפצות כגון SIEM או כל פתרון אחר , או שיוחלט לסגור את הליקוי בבקרה מפצה "זולה" לצורך העניין כמו בדיקת דוחות בדיעבד.
    אל נא תזלזל ברואי החשבון, במיוחד כשלך אין שום הבנה עסקית, ראיה רוחבית ומהם בכלל תהליכים עסקיים.

    באהבה.
    KPMG

  4. 11/12/2011 ב- 9:48

    שלום,
    ראשית, אני מסכים שצריך להתאים את אבטחת המידע לרגישות הסביבה. ולא בכל מקום נדרש להטמיע מנגנוני מניעה יקרים. הדיון עצמו נכתב סביב אפקטיביות של בקרות מפצות (ולא מונעות).
    עם זאת, אני מבקש להאיר את תשומת ליבם של מבקשי הבקרות המפצות (מנהלים בארגון, מבקרים ואחרים). בקרה מפצה בוחנת אירועים בדיעבד. כלומר, אם זלג החוצה קובץ כרטיסי אשראי המכיל המון רשומות, לא יעזור שבעוד חודש נעלה על זה ונתחיל לטפל במקרה. ועוד מילה למבקרים ויועצים; האפקטיביות של בקרות מפצות דועכת עם הזמן שכן אנשים מתחלפים, לא מוצאים זמן לבצע את הבקרה או שפשוט יש יותר מידי בקרות מפצות.
    לגבי הבנה בתהליכים עסקיים, אני יכול לקבוע שההבנה של מנהל אבטחת מידע עולה בהרבה מזו של מבקרים חיצוניים שמעבירים גיליון אקסל עם המון שורות. מנהל אבטחת מידע חי את הארגון זמן רב בעוד שמבקר חיצוני עונה על כמה עשרות שורות באקסל. וזה עוד לפני שמציינים את העובדה שבכל שנה מתחלף המבקר או אפילו רק העובדים המבקרים בתוך חברת הביקורת.
    ועוד הערה חשובה: רואי החשבון מבקרים את הארגון מזווית הכסף בלבד. ישנם סיכונים אחרים שלא נוגעים בכספים, שאבטחת מידע נותנת להם מענה. למשל זליגת מידע רגיש שאינו כספי.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


יוני 2011
א ב ג ד ה ו ש
« אפר   ספט »
 1234
567891011
12131415161718
19202122232425
2627282930  
מודעות פרסומת

%d בלוגרים אהבו את זה: