ממש לאחרונה, מוסד רפואי גדול, עשרות חולים, חדר צילום רנטגן כזה או אחר (כבר לא זוכר את הפרטים).
משאירים אותי לבד ליד מכונה צילום/סריקה רגישה. גם במקומות כאלה אי אפשר שלא לתהות לגבי אמצעי אבטחת מידע…
ממש לאחרונה, מוסד רפואי גדול, עשרות חולים, חדר צילום רנטגן כזה או אחר (כבר לא זוכר את הפרטים).
משאירים אותי לבד ליד מכונה צילום/סריקה רגישה. גם במקומות כאלה אי אפשר שלא לתהות לגבי אמצעי אבטחת מידע…
פוסט אורח נוסף שכתב ליאור מזור, הפעם בנושא פיתוח אפליקציות מובייל לא מאובטחות.
שנת 2014 הייתה שנת המפנה עבור אפליקציות מובייל שבה עקפו את כול התוכנות האחרות שניגשו לאינטרנט מהמחשב האישי או מהדפדפן הקונבנציונלי. לצד זאת גם עלו בצורה משמעותית מספר הפגיעויות באפליקציות, שגרמו לעלייה חדה במספר התקיפות ובפעילות הפלילית באפליקציות השונות. לפי פרסומי חברת האבטחה FireEye הייתה עלייה חדה של כ- 188% אחוזים בפגיעויות באפליקציות במכשירי אנדרואיד בהשוואה לשנת 2011 ועד 262% במכשירי IOS.
האפליקציות במובייל הפכו לחלק אינטגרלי מהחיים שלנו וצפויות להפוך משמעויות ודומיננטיות אפילו יותר, יחד עם זאת, בשנים האחרונות אנו עדים למתקפות אפליקטיביות שמתמקדות בגניבת מידע רגיש (כגון: מספרי כרטיסי אשראי), חשיפת מידע, ביצוע שינויים או מחיקת מידע ישירות מבסיס הנתונים. מתקפות אלה מתבצעות באמצעים שונים, בין היתר, באמצעות עקיפת מנגנון ההזדהות של האפליקציה, גניבת זהות דיגיטלית של משתמשים אחרים וקבלת הרשאות יתר במערכת. המתקפות האפליקטיביות עלולות אף לכלול העלמת ראיות, פגיעה בזמינות המערכת ובאמינות האפליקציה. פועל יוצא של הצלחת המתקפה הוא פגיעה כספית, גרימת פתח לתביעות משפטיות, אי עמידה ברגולציה (כגון: תקן PCI – תקן כרטיסי אשראי) ופגיעה חמורה בתדמית החברה המספקת שירות דרך האפליקציה וכן גם בחברת פיתוח האפליקציה.
מחקר אבטחה של חברת HP משנת 2014 העלה כי עולם האפליקציות בכללו בעייתי ביותר בהיבט אבטחת המידע. המחקר העלה כי 80% מהאפליקציות אינן מאובטחות – כיוון שהן הוטמעו בצורה לא נכונה, או שיש בהן שגיאות מובנות, כוללות בעיות בהגדרות, גרסאות מיושנות ובעיות תצורה. יותר ממחצית מהאפליקציות שנבדקו הציגו חולשות לחשיפת מידע אודות היישום, אופן הטמעתו, או מידע אודות המשתמשים בו. הסיבות העיקריות לריבוי הפגיעויות מצוי באופן פיתוחן:
אז כיצד ניתן לשלב אבטחת מידע בפיתוח אפליקציות למובייל:
על כותב המאמר:
ליאור מזור, מהנדס תוכנה. בעל תואר ראשון B.sc למדעי המחשב ומתמטיקה, ניסיון של למעלה מ 9 שנים באבטחת מידע ביישום והטמעה של מערכות אבטחת מידע וניסיון בניהול פרויקטים בארץ ובחו"ל. מוסמך מת"י כ Leading Auditor לתקן ISO 27001, מוסמך CISSP . וכן בעל ניסיון מקצועי בפיתוח, ביצוע מבדקי חדירה אפליקטיביים, בדיקות קוד, תקיפות והגנת סייבר.
האם ארגונים מאפשרים כיום לעובדים לחבר במשרד מחשבים ניידים פרטיים שלהם לרשת? הרוב המוחלט לא. זה עדיין טאבו שארגונים לא מוכנים לשמוע עליו. לא בטוח שזה יישאר כך לעד.
האם עד לפני שלוש-ארבע שנים ארגונים אפשרו לעובדים לסנכרן טלפונים פרטיים שלהם לתיבת המייל? היום תופעת ה – Bring Your Own Device (או BYOD) נפוצה והרבה ארגונים מאפשרים זאת לעובדים במטרה לחסוך עלויות רכש. הרבה ארגונים מאפשרים לעובדים שלהם לסנכרן את המכשירים החכמים הפרטיים (טלפון או טאבלט) למייל.
הצידוק הוא, שאני לא לגמרי מסכים איתו, שנאפשר לעובד לסנכרן את המכשיר הפרטי שלו במידה והוא יסכים להגדרת למדיניות האבטחה הארגונית על המכשיר, וכך נגן על עצמנו. זה נכון שבמקרה כזה, המכשיר יהיה מוגן בדומה למכשירים שהארגון מנפיק, אך ישנם מספר גורמים חבויים שמנהלים לא מבינים. יעילות האבטחה אינה רק ב – Policy עצמו אלא גם במהות המכשיר. המגבלות הבאות יבהירו למה אני מתכוון.
אז אם הארגון שלכם עדיין אינו מאפשר BYOD, תבהירו טוב למנהלים את החסרונות האלה. כי את היתרונות הם מכירים (או חושבים שהם יודעים לחשב).
הענן הפך לבאז שיווקי שמנהלים מאמצים מבלי להבין את הסיכונים הגלומים בו. אחד הטרנדים החמים כיום מתייחס למערכות לניהול מכשירים חכמים (MDM) ומערכות אבטחה למכשירים אלה, כאשר מערכת הניהול מותקנת בענן.
לכאורה, הטענה היא שפתרונות אלה בטוחים כיוון שהמיילים עצמם אינם עוברים דרך המערכת בענן, אלא רק ההגדרות לניהול המכשיר. על פניו, נשמע שאין כאן סיכון. אך כשבוחנים את הארכיטקטורה של הפתרון, מתגלים הסיכונים. אני מציין כאן מספר סיכונים, ואני מניח שישנם נוספים:
אז תזכרו שלעננים אין תחתית יציבה ואפשר ליפול לקרקע בקלות מגובה רב. תבחנו טוב את השירות המוצע והאם פתרון ענן למכשירים חכמים (ובכלל לכל השירותי) עונה לא רק לצרכי תפעול, אלא גם לסיכוני אבטחת מידע.
פוסט קצר כדי לעשות קצת סדר בנושא.
ישנם מנהלים המבלבלים בין השניים. ראשי התיבות של MDM הם Mobile Device Management והם מתייחסים ליכולות ניהול של הטלפונים משרת מרכזי. הניהול כולל נושאים תפעוליים ולוגיסטיים. פתרון MDM אינו חייב לכלול יכולות אבטחת מידע למכשירים.
לעומת זאת, פתרון אבטחה למכשירים יכיל כנראה יכולות MDM. עם זאת, לא בטוח שפתרון אבטחה טוב יהיה חזק גם בתחום ניהול המכשירים.
לכן, כמו בכל דרישה אחרת, יש להגדיר מהם הצרכים. כאשר בוחנים פתרון עבור אבטחת מכשירים, חשוב מאוד לוודא שפתרון MDM נחשב חזק בתחום ה – Security. לא כולם חזקים בתחום. אפילו לא הפתרונות המובילים.
בארץ ההטמעה של פתרונות כאלה עוד לא מאוד נפוצה. אין הרבה התקנות מוצלחים של פתרונות אבטחה. כדאי לברר עם ארגונים גדולים לגבי ההתקנה. אם ספק אומר לכם שישנה התקנה גדולה, תבררו אם הם מרוצים. יש לפחות ארגון אחד שמחליף את פתרון האבטחה שלו.
ממליץ לכם על השוואה עדכנית למוצרי MDM בלינק הבא.
עוד לא פגשתי ארגון שאוהב לבצע תהליך של סקירת הרשאות רוחבית. זה כמו שמבקשים מכם לסדר את הבוידעם. זה לא נשמע חשוב, אז דוחים. או לא מבצעים בכלל ('זה לא תורם לביזנס…').
מספר סיבות מדוע סקירת הרשאות חשובה:
כיצד מנהלים סקירת הרשאות:
עוד מילה על הסרת הרשאות. כאשר עובד מסיים העסקה בארגון, חשוב להסיר לו את כל ההרשאות ולחסום את היוזר שלו. כבר ראיתי מקרים בהם עובד שעזב המשיך לקבל מיילים לטלפון שלו ומקרים בהם עובדים התחברו ליוזרים של עובד שעזב כיוון שלהם לא היו הרשאות מסוימות.
כדי לוודא שמסירים הרשאות לכל עובד שעוזב, אפשר להכניס שורה בטופס הטיולים המחייבת את העובד העוזב להחתים את הגורם האחראי על הסרת הרשאות. משאבי אנוש לא יסיימו את יחסי העובד-מעביד ללא חתימה על כל טופס הטיולים.
לא מזמן נשאלתי בישיבת דירקטוריון האם החברה מתמודדת כיאות בפני סיכוני אבטחת מידע. התפתח דיון כללי מאוד בנושא סיכונים וכמובן שלא צללנו לפתרונות. זמן קצר לאחר מכן היתה לי פגישה עם חברת מוצרים גדולה שניסתה להפחיד אותי בסיכונים רבים (ודי חופפים) והצורך לרכוש המון מוצרים שהם משווקים.
החלטתי לנסות ליצור תרשים אחד שיכלול סיכונים ומנגנוני מניעה לאותם סיכונים. גיליתי שזו משימה קשה. אני משקיע כבר זמן רב בשרבוטים ושינויים ונסיונות לצייר תרשים כזה מכיוונים שונים. בין השאר, קשה מאוד לסווג סיכונים לקטגוריות שונות מבלי שתהיה חפיפה. החלטתי להסתפק בארבע קטגוריות שלטעמי מייצגות את הסיכונים העיקריים.
לאחר בחינה של הפרטים, הגנתי למסקנה שצריך להציג גם את שכבות המידע העיקריות השונות, כיוון שלכל שכבה מתאים סט אחר של פתרונות (עקב מגבלות טכנולוגיות). גם כאן ניתן לפרט שכבות מידע רבות או לנסות לקבצן למספר מקורות. תשעת המקורות הבאים מייצגים כיום את הערוצים עליהם שומעים בהקשרים של פרצות אבטחת מידע.
אשמח לשמוע את דעתכם. תגיבו גם אם חסרים לדעתכם שכבות מידע, סוגי סיכונים ומערכות הגנה. במידת הצורך, אעדכן את התרשים.
הערות כלליות:
הערות על מערכות:
תגובות אחרונות