סיכום מפגש שלחן עגול על פרוייקטים בחדרי מחשב

המפגש הפעם התנהל בצורה שונה ממפגשים דומים בעבר בכך שהוא חולק לשלושה חלקים עיקריים:
בחלק הראשון אני הצגתי מגמות בסביבת חדרי המחשב ויוזמות חדשות בתחום חדר המחשב הירוק. בין השאר הוזכר בהרחבה פרוייקט שנעשה ע"י ה Silicon Valley Leadership Group ובו נעשה ניסיון להדגים האם ארגון "מן השורה" יכול ליישם טכנולוגיות best practice כפי שאלה הוגדרו ע"י הסוכנות האמריקאית להגנת הסביבה (EPA) בנייר רשמי שהוגש לקונגרס באוגוסט 2007 (ראו רשומה נפרדת בבלוג זה).
בחלק השני הוצגו שלושה סיפורי לקוח: מר שוקי לוי, מנהל התשתיות הפיזיות במעבדות סיסקו, הציג שינויים שנערכו בחברה בסביבת חדרי המחשב במעבדות כדי לעמוד בדרישות המיחשוב בארגון בשנים הקרובות; סיפור לקוח נוסף היה תיאור פרוייקט חדר המחשב מקורר המים של תהיל"ה מממשל זמין, אותו הציג מר חיים אפריים, מנהל חדר המחשב ובו סופר על השיקולים שהובילו את אנשי תהיל"ה לטכנולוגיית קירור מבוססת מים שאינה שכיחה בישראל ועל בעיות או אתגרים בתפעול המתקן. סיפור לקוח שלישי, אותו הציג מר איתן דן, ראש ענף מערכות תפעול בבנק לאומי הציג את השיקולים שהובילו את הבנק להתחיל פרוייקט בינוי גדול לחדר מחשב ממוגן ותת קרקעי אשר נבנה בימים אלה.
בחלק השלישי של המפגש התנהל דיון קצר בין הארגונים סביב השולחן על סוגיות שונות בתכנון חדרי מחשב ובעיות קיימות בתחום. אתם מוזמנים לעיין בסיכום בקישור הזה.

מניעת זליגת מידע בכל יום ובימי משבר

תחום מניעת זליגת המידע (DLP או Data Leak Prevention) הולך ותופס מקום חשוב באסטרטגיית ההגנה של יותר ויותר ארגונים בעולם. DLP מתקשר למציאת פתרונות להתמודדות עם איומים פנימיים על הארגון, התפתחות אסטרטגייות הגנה שלא מבוססות על ההיקף (perimeter), גישות הגנה שמתבססות על עמדות הקצה (end points) וחשיבה "עסקית" בכל הקשור לאיזה ידע יש חשיבות גדולה לארגון ולכן עליו יש לשמור.
בעולם מתחילה תנועה של חלק מהארגונים לכיוון פתרונות הגנה מוטי נתונים (data-centric) בנוסף לתפיסות ההגנה השכיחות יותר של הגנה פריפריאלית, או הגנה על הרשת. פתרונות הצפנה, DLP, EPS ובחלק מהמקרים EDRM (Enterprise Data Rights Management) מנסים להתמודד עם אתגר לא פשוט זה. מכיוון שהעולם העסקי דורש דינמיות והסתגלות מהירה מאוד של נותני השירות בארגון ובתוכם תחום אבטחת המידע, יישום ואינטגרציה מוצלחת של פתרונות מוטי נתונים יכולים לתמוך בצד העסקי של הארגון ולאפשר עבודה דינמית וממוקדת יותר של הממונים על אבטחת המידע בארגון.
אבולוציה
בתחילת הדרך פנה השוק לחפש פתרונות DLP כחלק מהצורך לעמוד ברגולציות שונות וכן כדי למנוע איבוד מידע בעיקר דרך צינורות ארגוניים כמו מיילים ומסרים מיידיים. גם היום חלק גדול מהיצרנים מציעים פתרונות שנוגעים בעיקר בתחומים אלה. עם כניסתם של התקנים ניידים לשימוש נרחב, חלק מהפוקוס עבר לפיקוח על תחנות הקצה. חלק מחבילות ה DLP החלו להציע פתרונות מבוססי סוכנים על תחנות הקצה שיאפשרו מניעת העתקה של חומר מסויים לדיסק, USB או מדיה נתיקה אחרת. בחלק מהמקרים משולבים פתרונות DLP מבוססי סוכנים ביחד עם פתרונות EPS (Endpoint Security) ופתרונות NAC (Network Access Control) על אותו הסוכן. כיום, הבעיות שהכי מעסיקות ארגונים הן שמירה על נתונים שמצויים על פורמטים יותר "אקזוטיים", באפליקציות או במקורות נוספים שאינם נכללים בקבוצות היותר סטנדרטיות של המסמכים או הקבצים. בין השאר ניתן להזכיר שורות קוד קריטיות לארגון, נתונים מאפליקציות חיוניות כמו למשל נתוני לקוחות ממערכות CRM, קבצי PDF ועוד.
מה כולל פיתרון DLP?
היצרנים מבינים היום טוב מאוד שאין די בפיתרון טכנולוגי שיאתר נתונים מסויימים בתעבורה הארגונית. בין המשתמשים בעולם עולה הצורך בכלי ניהול שיאפשר למשתמשים עצמם יכולת לסווג את המידע לפי חשיבותו ויאפשר אינטראקציה טובה בין יוצר המידע למשתמש הסופי במידע. כלי DLP טוב צריך לתת מענה מעבר לטכנולוגיה גם לתהליכים עסקיים ולתרבות ארגונית.
פיתרון מקיף של DLP צריך לטפל במידע בשלושה מצבים: בשימוש –דהיינו בתחנות הקצה, בתנועה –כלומר בדרכו ברשת ובמנוחה – כלומר בבסיסי הנתונים או בכל מקום בו ניתן לאגור מידע ארגוני. כל זאת בהתאם למדיניות בארגון ולהגדרות המערכת. הפיתרון בשימוש צריך לדעת למנוע דליפת מידע מכל משאב ארגוני ברמת התוכן עצמו וברמת ההקשר. לדוגמא: כלי DLP לצריך להגדיר התמודדות ארגונית עם צילומי מסך ממערכת ה CRM והעתקה שלהם למסמך WORD ע"י מי שאינם מורשים. האם לאפשר? האם למחוק חלק מהנתונים הרגישים כמו פרטי לקוח? וכו'.
פיתרון DLP צריך לדעת להשתלב עם פתרונות אבטחה נוספים רלוונטיים כמו מערכות SIM (Security Information Management) או EPS שהוזכר כבר. כמו כן קיימים מספר תחומים חופפים ומשלימים לתחום ה DLP, כמו הצפנה ו EDRM (enterprise data rights management) שיוצרים ביחד חבילת הגנה מוטת מידע מקיפה.
DLP והמצב הכלכלי הנוכחי
בימים אלה בעקבות המצב הכלכלי הקשה והענן הכבד של פיטורים שמרחף מעל התעשייה העולמית, מניעת זליגת מידע מקבלת פרשנות מעודכנת מתמיד.
אחד האלמנטים שמדרבנים ארגונים ליישם פתרונות למניעת זליגת מידע הוא הידע העצום שאגור בקרב העובדים עצמם. חלק מארגונים מפחדים מאוד ממצב בו מפוטר עובד ששובץ במהלך עבודתו בתפקידים רגישים וצבר הרשאות רבות לאפליקציות שונות ולמסדי נתונים רגישים. עובד כזה שיוצא מהארגון עם מטען רגשי לא קל אוצר בתוכו ידע רב ויכול לגרום לנזק תדמיתי וכספי כבד לחברה שאותה עזב. אומנם, בחלק מהתקדימים המשפטיים ניתן ביטוי לזכות הארגונים על קניינם הרוחני, אולם ידוע, כי חלק גדול מהמקרים כלל אינם מגיעים לדיון משפטי וחלק אחר כלל אינם מדווחים לאף גורם רשמי מחשש הארגונים מחשיפת עצם איבוד המידע ברבים וגרימת נזק היקפי גדול עוד יותר.
כלי DLP מסוגלים לסייע בשני מישורים עיקריים לבעייה זו: ראשית, כלים אלה מאפשרים לארגון לשייך טוב יותר את תנועת המידע הקריטי בארגון למשתמשים שעושים בו שימוש. כך, במקרה שמידע אובד או זולג החוצה, ניתן להגיע בקלות רבה יותר למקור הדליפה. שנית, כלים אלה מהווים גורם מרתיע טוב מבעבר מפני מחשבות של עובדים לנצל לרעה את המשאבים הארגוניים שבידיהם.
גורם משלים לטיפול בפריבילגיות הרבות שבידי העובדים הוא שימוש בכלי ניהול זהויות (IDM) שנועדו להסדיר את תהליך עזיבת העובד ו"לנקות" את השולחן שלו מכל ההרשאות שצבר במערכות השונות. חלק מהארגונים, שאינם ערים לבעייתיות של השארת סיסמאות אצל עובדים שעזבו את הארגון, נוקטים בדר"כ בפעולות חלקיות בלבד, כמו למשל ביטול שם המשתמש של העובד ב Active Directory. במצב זה אומנם נמנעת הגישה של העובד למיילים ולחלק גדול מהמשאבים הארגוניים, אולם אין זה אומר שעובד שמעוניין לנצל את מעמדו הקודם לא יוכל לגשת ישירות לבסיס הנתונים של הארגון, להשתמש בסיסמא הישנה שלו (שלא בוטלה עדיין...) ולגשת לרגישות שברשומות הארגון.

גניבת הקלדות באמצעות סורקים אלקטרו מגנטיים בזמן אמת

צירפתי סרטון מגניב ודיי מדהים שארז בן ארי שלח אליי. הסרטון לקוח מאתר של LASEC (The Security and Cryptography Laboratory). בסרטון הזה ניתן לראות הדגמה כיצד ניתן לצותת בזמן אמת להקלדה שנעשית על מקלדת פשוטה באמצעות סורק אלקטרומגנטי ותוכנה שממירה את האותות לאותיות.
בהדגמה הוצבה אנטנת הסריקה במרחק של כמטר מהמקלדת. כמו כן הוסרו מסך המחשב המקורי ומקור המתח החיצוני והוחלפו במחשב נייד, כדי לבודד את סביבת ההקלדה מגירויים חיצוניים עד כמה שניתן ולשלול גורמים אחרים שאולי מסייעים בשידור האותות החוצה. על פי הסרטון נעשו ניסויים דומים ב 11 סוגי מקלדות ומחשבים ניידים. הסורקים הוצבו במרחקים שונים של מטר עד 20 מטרים גם מעבר לקירות. על פי מבצעי הניסוי ניתן לצוטט לכל מקלדת מהדגמים שנבחנו לפחות בסוג אחד של התקפה שאותה בחנו.
ההדגמה הזו מוכיחה כי גם כאשר הרשת מנותקת לחלוטין מהעולם החיצון וגם כשלא נעשה שימוש באמצעים אלחוטיים וחוטיים כאלה או אחרים, עדיין ניתן "להקשיב" למידע המוקלד על המחשב. בהחלט מידע שימושי לתשומת ליבם של מנהלי אבטחת מידע בארגונים רגישים.

Data Center Energy Forecast –Final report, July 2008

Data Center Energy Forecast –Final report, July 2008
(https://microsite.accenture.com/svlgreport/Documents/pdf/SVLG_Report.pdf)

אני מצרף את סיכום העבודה שנעשתה ע"י ארגון ה SVLG (silicon valley leadership group) וה LBNL (Lawrence Berkeley National Laboratory) ביחד עם גופים מסחריים ובפיקוח של חברת Accenture, יולי 2008.
עבודה זו היא רק אחת ממספר יוזמות דומות בארה"ב ובארצות אחרות להתמודדות עם בעיית צריכת החשמל בחדרי מחשב והצורך בצמצום בעיית פליטת הפחמן הדו-חמצני לאטמוספירה ומניעת החמרת "אפקט החממה".

הקדמה:

בעקבות דוח ה EPA לקונגרס ב 2007 בנושא חיסכון באנרגיה בחדרי מחשב והמלצות לפעולות כדי להוריד את צריכת האנרגיה במרכזי המחשוב בארה"ב, החלו מספר חברות לבדוק אצלן בארגון את הנושא כדי לראות כמה ניתן, אם בכלל, לחסוך מייעול עבודת חדר המחשב ומה זה דורש מהארגון בהיבט הטכנולוגי והכלכלי. הפרוייקט שלפנינו שנקרא Data Center Demonstration Project לוקח תוצאות של מספר מקרי בוחן אמיתיים ומשווה אותן למדידות ולתחזיות שנעשו ע"י ה EPA. תוצאות העבודה הזו יוכלו לעזור למנהלי חדרי מחשב לקבל החלטות על סמך הידע שנצבר בעבודה, לסייע למקבלי ההחלטות הרשמיים במדינה עם תוצאות אמיתיות בשטח כדי להיטיב ולקבוע אמות מידה בתחום חדרי המחשב לשנים הקרובות ולסייע בחינוך השוק לגבי הדרך ליישם פתרונות מובילים במטרה לחסוך באנרגיה בחדרי המחשב.

כאמור, אחת הנקודות החשובות ביותר במחקר הזה היא שמדובר ב 17 מקרי בוחן אמיתיים שנערכו במרכזי מיחשוב של ארגונים מסחריים עובדים ובדקו 11 יוזמות טכנולוגיות שונות בתחום ייעול עבודת חדר המחשב. זאת בשונה ממחקרים אחרים שנעשים בדר"כ בחדרי מחשב של ספקי מוצרים בעלי אינטרסים כאלה ואחרים או בסביבות מחקר של גופים שונים והטענה נגדם היא שהתוצאות לא בהכרח מייצגות את "החיים האמיתיים".

ההדגמה של מקרי הבוחן נערכה במספר אתרים שונים במקביל. בחלק מהמקרים בוצעו הטמעות של פתרונות טכנולוגיים כאלה ואחרים כחלק מהפרויקט ונמדדו הממצאים במשך תקופת זמן מסויימת. בחלק אחר מהמקרים נערכו מדידות של טכנולוגיות מתקדמות שכבר הוטמעו בארגון כזה או אחר בלי קשר לפרוייקט.
הארגונים השותפים לפרוייקט התחלקו לארגונים מארגנים ומפקחים, ארגונים שארחו מקרי בוחן אצלם וספקי טכנולוגיות שמימנו בחלק מהמקרים הטמעת פתרונות בחדרי המחשב שהשתתפו.

עיקרי דו"ח ה EPA לקונגרס:

חדר מחשב מורכב בדר"כ ממספר גורמים עיקריים: ציוד ה IT (שרתים, מכונות אחסון וציוד תקשורת), מערכות לחלוקת אנרגיה לציוד ה IT (מערכות אל פסק –UPS, יחידות פיזור אנרגיה –PDU וכדומה) ומערכות תומכות (מערכות קירור: צ'ילרים, מאווררים, משאבות. מערכות היקפיות: כיבוי אש ומערכות תאורה לחדר). כל גורם מהגורמים הנ"ל צורך אנרגיה. ייעול צריכת החשמל בחדר המחשב כרוכה בזיהוי צרכני האנרגיה הכבדים בחדר המחשב וטיפול נקודתי בהם. ה EPA חילק את הגורמים בחדר המחשב לשתי קבוצות: תשתית IT (שרתים, אחסון ותקשורת) ותשתית האתר (כל השאר). הדו"ח ניתח את האפשרויות השונות לחיסכון בעלויות חשמל בחדר המחשב והראה כי שיפור וייעול צריכת האנרגיה יכול להתמקד במספר רמות: ברמת השרת הבודד ניתן למצוא שרתים מרובי ליבות ובעלי מערכות לניהול אנרגיה אשר מעלים בצורה משמעותית את הביצועים לכל וואט שנצרך. ברמת קבוצת השרתים ניתן לבצע איחוד של מספר שרתים פיסיים בעלי נצילות נמוכה לשרת אחד וירטואלי שמריץ עליו מספר מערכות וירטואליות. שרת זה מנוצל באחוזים גבוהים יותר ומביא לחיסכון רב במקום בחדר ועל ידי כך לחיסכון באנרגיה. ה EPA ניתח פעולות שונות שניתן לעשות על ציוד אחסון ותקשורת, אך לגורמים אלה השפעה פחות גדולה על צריכת החשמל הכללית בחדר.
בצד תשתית האתר מצויין ע"י ה EPA כי ניתן לבצע מספר פעולות בייעול מערכות מיזוג והולכת האוויר, שיפור פעולת הצ'ילרים ומערכות המים, שיפור מערך התאורה ופעולות נוספות שיכולות לייעל את צריכת החשמל מצד תשתית זו, אשר אחראית ל 50% ויותר מסך צריכת האנרגיה בחדר.
אחד החלקים החשובים ביותר בדו"ח מדבר על מספר תסריטים אפשריים להתפתחות צריכת החשמל בחדרי המחשב בתעשייה. התסריטים "historical trends" "current trends" מבוסס על נתונים קיימים של חדרי מחשב בארה"ב כפי נאספו ע"י ה EPA. התסריטים "improved operations", "best practice" ו "state-of-the-art" מבוססים על הערכות של גורמי מקצוע בתעשייה לגבי התפתחויות אפשריות של השימוש בטכנולוגיות שונות בחדרי המחשב. התסריטים מבוטאים במונחי חיסכון בחשמל יחסית למצב כיום (current trends). לדוגמא, על פי תסריט של state of the art, שהוא מקסימום הפוטנציאל הטכני שניתן להגיע אליו בנתונים הקיימים, ניתן לחסוך כ 55% בשימוש בחשמל יחסית למצב כיום.

השוואת תוצאות פרוייקט ההדגמה לתחזיות ה EPA:

מטרת הפרוייקט היא, כפי שכבר כתבתי, לנסות ולבדוק האם תחזיות והשערות החיסכון שהובאו בדו"ח של ה EPA באמת יישוימות בחדרי מחשב מסחריים. המבדק הזה לא נועד לחזות מה תהיה התוצאה אם יעשה שימוש בטכנולוגיות מתקדמות וכן הוא לא נועד לחזות את השימוש בפועל באנרגיה בחדרי מחשב ברחבי ארה"ב. הוא כן נועד להראות חיסכון אמיתי בחדרי מחשב מסחריים. כמו כן מטרתו השוואת החיסכון הזה עם הערכות המומחים שסייעו למחקר של ה EPA בבניית תסריטי החיסכון וכן לבדוק עד כמה יישימות הנחות ה EPA בעולם האמיתי. תוצאות המבדק מובאות במונחי חיסכון בחשמל והמשמעות הכספית של החיסכון. רוב הארגונים המשתתפים בחרו שלא לחשוף את עלות ההטמעה של הפיתרון הטכנולוגי שאותו בחנו, אולם ברוב המקרים התנאי שהוצב ע"י החברות עצמן הוא החזר השקעה של עד 18 חודשים.

מקרי הבוחן חולקו לארבע קטגוריות כדי ליצור ארבעה "טיפוסים" של חדרי מחשב:
חדר "legacy production", חדר "legacy R&D", חדר "new production" וחדר "new R&D". כל חדר היווה למעשה תוצאה תיאורתית של חיבור מספר טכנולוגיות מתוך כלל מקרי הבוחן במינון שונה בכל פעם כדי ליצור תוצאה שונה, אשר תתאים לסביבה אמיתית בחברות מסחריות. כך למשל, חדר חדש שנועד לשמש למו"פ (כלומר טיפוס "new R&D") צריך סביבת מיחשוב מספיק גמישה מצד אחד שתוכל לבצע בדיקות ופיתוח במהירות ובדינמיות, תוך קבלת מספיק משאבים ומקורות אנרגיה לפיתוח, שהם בדרך כלל גבוהים יותר מסביבת ייצור. כמו כן מדובר בחדר חדש שניתן לתכנן אותו במיוחד לפי הדרישות של העסק. בהרכבת הטיפוס הזה אפשר לראות, לכן, כי סביבת מו"פ היא סביבה מתאימה לניסוי של וירטואליזציה ואופטימיזציה של משאבים וניתן ליישם בה תשתיות של קירור מודולרי, מערכות PDU מתוחכמות וכדומה.

תוצאות ההדגמה:

מדידות צריכת האנרגיה בחדרי המחשב שהשתתפו בניסוי בתחילה ולאחר הטמעת הפתרונות הטכנולוגיים וחלוקת התוצאות לטיפוסים השונים של חדרי מחשב, כפי שאלה הוגדרו ע"י צוות הפרוייקט, הראו כי ניתן להגיע ליעד שהציב ה EPA לחיסכון בחשמל ע"פ תסריט של best practice, כלומר הממצאים של צוות הפרוייקט מאששים את תחזיות ה EPA לחיסכון בחשמל בחדרי מחשב במידה וינקטו האמצעים שהוגדרו בדוח לקונגרס. בחלק מהמקרים אף הוכח, כי יישום פתרונות לייעול סביבת חדרי מחשב קיימים יכולה להביא לחיסכון שכמעט אינו נופל מיישום טכנולוגיות לייעול חדרי מחשב חדשים. המשמעות של ממצא זה, היא שארגונים שמעוניינים לייעל את ניצול האנרגיה בחדר המחשב שלהם ולהוריד עלויות, אך מתלבטים האם יש צורך בהקמת חדר חדש או שיפור הישן, מקבלים כאן גושפנקא לכך ששיפור הקיים בחלק מהמקרים יכול להביא לתוצאות כמעט דומות למתקן חדש. את התוצאות של ההדגמה ריכזו הבודקים על אותו גרף של ה EPA שמתאר תסריטים וצריכת חשמל עבור כל תסריט. מהגרף ניתן ללמוד כי כל טיפוסי חדרי המחשב שתוארו בהדגמה עומדים בקריטריונים של best practice ואף בחלק מהמקרים עולים עליו ומתקרבים לחיסכון שניתן להשיג בתסריט של state of the art.

מפגש שולחן עגול על הגנה על מידע (Data-Centric Security)

בשנים האחרונות הגנה על המידע הולכת ותופסת מקום מרכזי בשדה הראיה של מנהל אבטחת המידע. מצד אחד הארגון תופס יותר אחריות על המידע שאצור אצלו ונזהר מלחשוף אותו כלפי חוץ. מצד שני הדינמיות העסקית והשינויים התכופים מאלצים את מנהלי מערכות המידע לספק נגישות הולכת וגדלה למשאבי הארגון דרך יותר פלטפורמות מבעבר.
את המעבר לתפיסת אבטחה שמתרכזת במידע עצמו כינה פול סטאמפ מחברת פורסטר בשם "Data-Centric Security": בעוד שאיומים שמקורם מחוץ לארגון "פשוטים" יותר לטיפול מכיוון שמקור ההתקפה ברור, מה אפשר לעשות כדי לפקח על משתמשי על בארגון? איך מונעים גישה של עובדים לא מאושרים למשאבים הרגישים של הארגון? איך אפשר להתמודד עם רשלנות של העובדים בהעברת מידע בתוך הארגון והחוצה? איך שומרים על מידע האגור על הדיסק של מחשב נייד או ב PDA של איש המכירות?

במפגש הקרוב שיערך במשרדנו ב9.11.08 נדבר על דרך ההתמודדות של הארגונים השונים עם שמירה על הנכס החשוב ביותר: המידע.

· האם בכלל ניתן למנוע או לצמצם ניסיונות פגיעה וגניבה מכוונים של עובדים מתוך הארגון?
· אילו כלים אפקטיביים בטיפול בבעיית זליגת המידע מעובדים בארגון: חינוך? הדרכה? הרתעה?
· איך ניתן לפקח על מידע עסקי שעובר לשותפים עסקיים וספקים? אילו פתרונות יכולים לעזור לארגון להגן על נכסיו בפרויקטים משותפים של פיתוח, לדוגמא?
· מה התמריץ העיקרי להטמעת פתרונות כאלה ואחרים? (רגולציות, ריגול תעשייתי, שמירה על מוניטין ועוד?)
· איך ניתן להתמודד עם זליגת מידע בעידן של מוביליות והעברת יותר אפליקציות למכשירים ניידים?
· האם ניתן להתמודד עם זליגת מידע דרך טיפול בתחנות הקצה? האם פתרונות EPS צריכים לשלב גם פתרונות DLP? (פגיעה בביצועים, בשלות הפתרונות)
· DLP -ננסה לראות האם ניתן לבנות על פתרונות לזליגת מידע? האם התחום בשל? מה לגבי בעיות תמיכה בעברית ובעיות אחרות?
· הצפנה והקשחה -נדבר על פתרונות להצפנה של אמצעים ניידים ונתיקים כאמצעי נוסף להתמודדות עם איבוד מידע. האם שימוש בפתרונות כאלה לא מסבך את חיי המשתמש? מה קורה אם מחשב נייד ננעל בטעות? האם הפתרונות הללו מתאימים לכל הסקטורים?
· DRM -נדבר על שימוש בפתרונות rights management והצפנה למיילים וקבצים בארגון כחלק מהצורך באבטחת המידע העובר בהם. מה חדש בתחום הזה? האם פתרונות אלה נותנים מענה מספק למניעת זליגת מידע?
· פתרונות להגנה, ניטור ופיקוח על DB. עד כמה פתרונות כאלה יכולים לצמצם את הפגיעה שנגרמת כתוצאה מגישת עובדים למאגרי הנתונים? האם הגנה ממוקדת סביב המידע הרגיש מספיקה כדי לשמור עליו?

מהו מפגש שולחן עגול?
מפגש שולחן עגול מפגיש אנשי מקצוע רלוונטיים ממספר ארגונים לדיון סביב נושא משותף ומהווה פורום מצויין להחלפת רעיונות ודעות. במפגש משתתפים נציגי 10-20 ארגוני משתמשים בלבד (users) והוא אינו פתוח בפני ספקים, יועצים ואינטגרטורים רלוונטיים.

רוצים להרשם? שילחו אלי מייל ל: shahar@stki.info

גמר חתימה טובה!
שחר

תמצית ההרצאה בכנס של PC Magazine -ספטמבר 2008

צירפתי תמצית של ההרצאה מתוך הועידה השנתית התשיעית לאבטחתמידע של PC MAGAZINE. המצגת עצמה נמצאת כאן. לעיונכם.

1. כיום, פגיעה בארגונים לא מוגנים היא די פשוטה... ההאקרים אינם עוד חובבנים אלא מקצוענים החוברים לפשע המאורגן ויוצרים סיכונים חיצוניים בנוסף לסיכונים שיש לארגונים מבית.
2. בסביבות של ארכיטקטורת וירטואליזציה אנו רואים מודעות גבוהה לנושאי אבטחת מידע ולכן זו פלפורמה די מוגנת.
3. פלטפורמות המיחשוב הנייד והטלפונים נשארו פלטפורמות פגיעות.
4. סיכונים מגורמים פנימיים ממשיכים להוות בעיה ודורשים הערכות מבחינת הארגון, הערכות הכוללת הרתעה, חינוך ומודעות.
   מחקר של דאטא-מוניטור מראה שרוב הארגונים חושבים שפגיעה מתוך הארגון יכולה לגרום נזק תדמיתי גדול אבל לא נזק ממשי גדול.
5. מחקר של STKI שנערך בארץ מראה שאחוז גבוה של העובדים אינם ממלאים אחר תקנות אבטחת המידע.
6. אנטיוירוס ופיירוול הפכו למוצרים בסיסיים, רוב הארגונים משתמשים ב-VPN ותוכנות AntiSpyware. פתרונות פחות נפוצים כוללים ביומטריה, EPS, PKI ועוד.
7. בתחום ה-NAC-Network Access Control יש הרבה עניין אך טרם נקבעו תקנים. אנו מוצאים פתרונות ברמת הרשת (שכבה 2) וכאלה ברמת התחנה (שכבה 3).
8. תחום ה-DLP - Data Leak Prevention הגנה בפני זליגת מידע מהארגון, מטפל היום בסיכוני זליגה כאשר המידע נמצא במנוחה - בבסיס הנתונים, כאשר הוא בתנועה - ברשת, או כשהוא נמצא בתחנת הקצה. תחום זה ירכז הרבה מאוד עניין בשנה הקרובה.
9. עם השימוש המתרחב במחשבי כף יד - PDAs וטלפונים חכמים המקושרים למידע הארגוני נושא ה- Mobile Security הופך ממשי. המכשירים עצמם רגישים לגניבה ואובדן והפתרונות מתמקדים בהצפנות המידע והגנה על המכשירים.
10. המגמות הבולטות ל-2009 הן ביותר ויותר מוצרים האומרים שהם DLP וצריך יהיה לבדוק איזה הגנה הם נותנים בתחום, Data Monitoring, מוצרי אבטחה משלימים ל ERP, Mobile Security ויותר ויותר פתרונות NAC.

גמר חתימה טובה,

גישה לאינטרנט בארגונים רגישים בישראל -חלק שני

חלק חשוב מאוד באינטראקציה של הארגון עם העולם החיצון הוא הוצאת והכנסת מיילים או קבצים לארגון.
גם בחלק הזה רוב ההתייחסות שלי היא לארגונים יותר רגישים כמו בנקים, חברות ביטוח ומגזר הביטחון, אשר בהם החשש מזליגת מידע או חדירה של גורמים מזיקים לארגון מקבל משנה תוקף.

בדר"כ בארגונים מסוג זה רוב הדגש הוא בהגנה על שרתי הדואר עצמם ועל העברת המיילים לתוך הארגון בעיקר בארגונים פיננסיים. בחלק מהמקרים מדובר ממש בשתי תיבות דואר נפרדות: אחת לתעבורה פנימית ואחת לאינטראקציה חיצונית עם גופים חיצוניים.
בארגונים פיננסיים עושים בדר"כ שימוש בכלי סינון מתקדמים (כמו פוסטל גארד Symantec ,Ironport PineApp, מיקרוסופט (בגרסאות ה EXCHANGE האחרונות) ואחרים), אשר מזהים קבצים לא תקינים ע"פ מדיניות מוגדרת מראש . במידה והמייל עומד בכל ההגדרות שהמערכת הגדירה – המייל נכנס. ה EXCHANGE החיצוני הוא אינטרנטי ויותר מתירני מהפנימי, כלומר ניתן לשלוח בו מיילים לארגון, אבל הוא מופרד מהסביבה הפנימית ואין סכנה למערכות הרגישות בארגון. המעבר בין הסגמנטים הוא כמו שליחת מייל רגיל לארגון ונעשה דרך המסננים. בגופים אחרים, המייל הוא אותו מייל חיצוני ואין הפרדה בין הסביבות. תעבורת הדואר עוברת פנימה בסגמנט נפרד שעובר דרך כלים כמו Reflex Magnetix וכך מסונן התוכן.

אפשרות נוספת היא עבודה עם פיתרון שמשלב מספר שכבות אבטחה כמו למשל באחד מהבנקים, שפיתחו פיתרון בעצמם: הפיתרון שלהם מבוסס על ארבעה טירים בעלי מנוע אחד בכל טיר. בין שתיים מהשכבות יש פער פיסי והדרך להעביר מיילים מבחוץ פנימה היא דרך השרת שנמצא אחרי ה firewall, אך עדיין בסביבה החיצונית. הכניסה פנימה לתוך הסביבה הפנימית של הארגון מתאפשרת רק לעובדים שרשומים בתוך הדומיין ומאושרים ב AD. במקרה הזה נשלח מייל מהשרת על כך שיש מייל שמחכה לעובד בחוץ.

בכל מקרה ופיתרון מדובר בתחום רגיש מאוד שמקשה על תנועת מיילים לארגונים אלה ולא פעם נחסמים מיילים מלקוחות, ספקים או שותפים של הגוף בגלל מדיניות סינון קשוחה מאוד של הארגון המקבל. מצד שני בעולם שבו על פי חלק מהערכות 75% מתעבורת המיילים היא דואר זבל, מדובר באמצעי אבטחתי שמקל מאוד על שגרת העבודה בארגון ועל העלאת הייצרנות בכך שהוא מוריד את הזמן המוקדש לקריאת מיילים ופתיחת קבצים מצורפים ע"י העובדים.