ה Conficker מגיע! ה Conficker מגיע!!!

אם התחזיות השחורות ל 1 באפריל יתממשו (כאילו שחסרות לנו תחזיות שחורות השנה), העולם יוכה בוירוס אכזר הקרוי בגרסתו הנוכחית Conficker C. הוירוס הזה, או יותר נכון "תולעת", הוא בעצם קוד זדוני שמנצל פרצות אבטחה במערכות מבוססות מיקרוסופט וכן ססמאות חלשות כדי לחדור לרשתות ולמחשבים ברחבי העולם. הוירוס הזה מתאפיין ביכולת יצירת מוטציות גבוהה מאוד והוא מסתנכרן מדי פעם מול האינטרנט גם כאשר הוא כבר נמצא בתוך מערכות ההפעלה עצמן. זאת בדומה למתקפה הקודמת בתחילת השנה שגרמה נזק רב ואובדן שעות שינה לאנשי תשתיות במספר ארגונים בארץ.
מה שמעצבן, לדעתי, בצונמי התקשורתי סביב המתקפה הנוכחית הוא הרושם שנוצר כאילו יש צורך בחיסון מיוחד נגד "המחלה הטרופית הנדירה". הוירוס הספציפי הזה הוא רק אחד מתוך אלפי איומים שנחשפים כל שנה ע"י מהנדסי מיקרוסופט וע"י ציבור המשתמשים העולמי במערכות ההפעלה שלה. שמירה דרך קבע על מדיניות אבטחת מידע קפדנית הכוללת תוכנות אנטי וירוס מעודכנות, הפצת עדכוני אבטחה בזמן סביר לתחנות, הקפדה על שימוש בססמאות חזקות וכן הלאה שומרת על הארגון ועל משתמשים פרטיים מפני הרבה מאוד איומים, כולל Conficker. כלומר בסיפור הזה Conficker הוא סימפטום לתופעה חמורה שקיימת לא רק בקרב משתמשים פרטיים אלא בקרב לא מעט ארגונים: העדר מדיניות ניהול ססמאות ועדכוני אבטחה מסודרים. מדיניות ססמאות חלשה בארגון חושפת אותו להרבה יותר מהאיום של Conficker.
תשאלו את עצמכם: אם צבא שלם מגיע לתקוף אתכם, הרי לא תתמקדו בנטרול של חייל אחד, נכון? מה גם שאולי מדובר בהטעייה מכוונת ויצירת באז מוגזם סביב הוירוס הזה כדי לפגוע במקום שלא ציפו לו?

לסיכום, מדיניות אבטחת מידע סדורה מגנה על המשתמשים בפני קשת איומים ומורידה את הסיכון להתפס לא מוכנים. כך גם נגד האיום הנוכחי ואחרים שבוודאי יגיעו.

STKI Summit 2009

תודה רבה לכל המשתתפים הרבים שהגיעו לכנס ה 16 שלנו!

זה לא מובן מאליו בעיני לראות כל כך הרבה משתתפים ומציגים (למעלה מאלף!) בזמנים קשים כמו שהשוק עובר בימים אלה. המצגת שלי שהוצגה בכנס היא גרסה מקוצרת למצגת המלאה שנמצאת בקישור הבא: http://www.docsntalks.com/group/stki-summit-2009/docs/israeli-infrastructure-services-trends. האתר מחייב רישום חד פעמי.

אופציה נוספת לראות את המצגת היא באתר SlideShare ביחד עם מצגות נוספות שלי:http://www.slideshare.net/shaharmaor/stki-summit-2009-infrastructure-services-trends

למרות התחזיות לשנה הקרובה, אני מקווה שנצא מהמיתון מהר יותר מממה שאנחנו האנליסטים חושבים...

נתראה, שחר

לקראת כנס STKI ב 24.3.09 -מה חדש בתחום שירותי התשתיות

אני מצרף את סקירת השוק שלי על עולם שירותי התשתיות בישראל 2008-9. אם אתם מעוניינים בסקירה רחבה יותר על שוק מערכות המידע, הכנסו לבלוג של ג'ימי לקישור: STKI first report (in hebrew) about Israel's IT spending in 2009

להרשמה לכנס (הזדרזו, זה בשלישי הבא, 24.3.09): רישום לכנס.

תחום שירותי התשתיות הכולל ב STKI את נושאי אבטחת המידע, התקשורת וה IT הירוק סובל כמו כולם מהמיתון הקשה. רבים מהפרוייקטים שתוכננו לשנת העבודה 2009 הוקפאו ובחינת פרויקטים חדשים נעשית בעין ביקורתית מבעבר, תוך תשומת לב דקדקנית לשיפור שיביא הפרוייקט לתזרים המזומנים הארגוני.

בעולם אבטחת המידע וניהול הסיכונים בארגון, בניגוד למגמה הרווחת בשאר עולם מערכות המידע, ממשיכה הצמיחה אם כי בקצב נמוך בהשוואה לשנה הקודמת. שוק זה מוערך ע"י STKI בכ 135$ מיליון בשנת 2009 (עלייה שלקצת פחות מ 4% בהשוואה לשנת 2008).
בחלוקה בין שני תתי התחומים (GRC ואבטחת מידע)ניתן לראות כי הוצאות בגין GRC צפויות לעלות גם השנה ואילו התקציב המוקצה לתת-התחום אבטחת המידע צפוי להשאר ברמה דומה לזו שהיתה בשנה הקודמת ואף קצת לרדת במקצת. רוב פרוייקטי המיחשוב מחייבים תשומות אבטחתיות כחלק אינטגרלי מהפרויקט ולכן עיקר הקיצוץ השנה נובע מעצירה כללית של פרויקטים ארגוניים בעקבות המצב הקשה.
החלק התקציבי המוקצה לניהול סיכונים בארגונים אינו נפגע ברוב המגזרים בעיקר בשל הרגולציות המושטות עליהם. בנושא זה נשמעו טענות בשוק לפיהן על הרגולטור להתחשב במצבם הכלכלי של חלק גדול מהארגונים הפיננסיים ולדחות את מועדי היישום של חלק מהתקנות לשנה הבאה. הטענה הנגדית היא שרגולציות כמו תקנה 357 או 257 לענף הבנקאות ושאר שוק ההון בהתאמה פורסמו טרם פרוץ המשבר ועד תחילת 2009 היה על הארגונים הרלוונטים לסיים חלק גדול מיישום התקנות.
האיומים המרכזיים המטרידים את רוב הסקטורים בישראל כיום מתחלקים לשני סוגים בחלוקה גסה:
איומים מחוץ לארגון –רמת התיחכום גבוהה יותר מאי פעם והרקע על פי רוב הוא כלכלי (למעט איומים על רקע לאומני שמוכרים מאוד בארץ). כבר לא מדובר בילדים שפורצים לשם האתגר לאתר זה או אחר אלא בחבירה בין ארגוני פשע להאקרים והשקעה רבה של כסף על מנת להרוויח כמה שיותר כסף מכמה שיותר גורמים. ההתמודדות עם איומים אלה תלוייה בעיקר בטכנולוגיות המיושמות בארגון כמו למשל שימוש בחומות אש, מסנני דואר אלקטרוני ופתרונות להגנה מפני וירוסים.
איומים מתוך הארגון –הונאות, מעילות וגניבת משאבים ארגוניים הם תופעה ששכיחותה עולה במתאם כמעט מלא עם חומרת המשבר. גלי הפיטורים והוצאת עובדים מהארגון מביאים לעליה במספר מקרי זליגת המידע מחוץ לשליטת הארגון. סקר שנערך לאחרונה בחו"ל הראה כי 80% מהמשיבים ישאירו לעצמם את רשימת פרטי הקשר של הלקוחות גם לאחר עזיבתם את מקום העבודה. ההתמודדות עם איומים אלה נעשית, במקביל לשימוש בכלי ניטור וניהול מדיניות הרשאות ברורה, גם באמצעות חינוך, הסברה והרתעה. לעובדים חשוב להראות כי "האח הגדול" מודע לתנועותיהם של הנכסים הארגוניים.

עולם התקשורת הארגונית בישראל התאפיין השנה במספר מגמות מעניינות ובאי ודאות מדאיג לגבי אחד היצרנים החשובים בתחום. גודל שוק התקשורת הישראלי, הכולל את תקשורת ה LAN, ה WAN והטלפוניה הארגונית על כל מרכיביהן עומד על כ 132$ מיליון בשנת 2009 לאחר ירידה של יותר מ 22% לעומת שנת 2008.
השנה ראינו המשך במגמת ההתכנסות בין פלטפורמות תשתית התקשורת לבין שירותי הערך המוסף שהן מספקות. מתגי התקשורת ממשיכים להוסיף לעצמם "שכל ארגוני" כמו יכולות ניהול וניטור מורכבות יותר, יכולות שונות של אבטחת מידע ויכולות עבודה בתצורה וירטואלית על בסיס שיתופי פעולה מסקרים בין יצרני תקשורת כמו סיסקו, ג'וניפר HP ואחרים עם VMWARE ו MICROSOFT.
בתחום הטלפוניה הארגונית אפשר לראות המשך למגמת המעבר לתשתית ארגונית מבוססת IP. מגמה זו בולטת במיוחד בשני מצבים עיקרים: מעבר של הארגון למשרדים חדשים או עקב בעיות תפקוד במרכזיות המסורתיות. תחום נוסף שבולט בתחום התקשורת הפנים ארגונית הוא שילוב של פלטפורמות תקשורת אחודה (Unified Communication) ככלי עבודה ארגוני לכל דבר.
המצב הכלכלי הקשה בעולם הביא את חברת NORTEL, אחת מספקיות התקשורת הבולטות בישראל, אל סף פשיטת רגל. ל NORTEL לקוחות רבים בישראל ומיצובה בשוק בתחומי ה LAN והטלפוניה מעמיד אותה כאחת ממובילות השוק. פרסום תוצאות הרבעון השלישי של 2008 של החברה ביחד עם הפסדי הענק שרשמה הביאו לצניחת מניית החברה והורדת דירוג האשראי שלה. בעקבות כך ולמרות הודעות החברה על תוכנית הבראה אגרסיבית, הגישה החברה בקשה לפי פרק 11 בחוק פשיטת הרגל לחברות בארה"ב להגנה בפני נושים. למרות כל אלה NORTEL היא עסק חי ופעיל לכל דבר, אך עתידה לוט בערפל ולקוחותיה הקיימים והחדשים מהססים ומודאגים לגבי המשך ההתקשרות עימה.

עולם ה IT הירוק המשיך לקבל חשיפה גדולה בישראל, אם כי לא הדאגה לגורל כדור הארץ היא זו שמטרידה את רוב הארגונים בארץ אלא הרצון להתייעל ולחסוך.
המיתון והצורך הארגוני לחסוך בעלויות הביא לעליה בביקוש לפתרונות חסכוניים הן ברמת החומרה והן ברמת התוכנה. רמת המודעות בישראל לטרנד הירוק גבוהה מבעבר, אולם יש תחושה שהעלאת נושא זה כקונספט מתקדם מיצתה את עצמה. מנהלי התשתיות בישראל מכירים מצויין את קשת האפשרויות הירוקות לחיסכון וחלק מהארגונים אף מדווחים על אינפלציה מסויימת בגישת הספקים לתחום והפיכתו למקדם מכירות: "היום כל פיתרון חדש נמכר תחת כותרת ירוקה".
תחום זה ימשיך לצמוח בשנים הקרובות, אך עצם ההתייחסות אליו תמשיך להתאפיין בתרומתו לחיסכון בארגון ולא לאיכות הסביבה.

ערבול נתונים (Data Masking)

אחת הבעיות שבהן נתקל מנהל אבטחת מידע בארגונים גדולים היא שמירה על מידע ארגוני חיוני שעובר ממערכות הייצור לסביבות בדיקה או פיתוח.
פיתוח או בדיקה של מערכות ויישומים ארגוניים מעלים את החשש שמידע ארגוני רגיש יעבור מסביבת הייצור המאובטחת יחסית לסביבות פחות מאובטחות. במקרים רבים מטופלים הנתונים בסביבות אלה על ידי אוכלוסייה שאין לה הרשאת גישה לנתונים. לעתים אף מדובר באנשי מקצוע שאינם עובדי הארגון ולכן נוצר חשש כבד לזליגת מידע ארגוני בטעות או במזיד מחוץ לארגון.

כדי לצמצם את הסיכון מקובל לבצע מניפולציות שונות על נתוני הייצור, כך שהמידע שעובר לסביבת הפיתוח\ייצור ישמור על אמינותו אך לא יהיה מידע אמיתי וחסוי כמו פרטי לקוחות, מספרי כרטיסי אשראי וכדומה.
השמירה על המידע והצורך בערבולו מעוגנת במגזרים מסויימים גם ע"י הרגולטור. זהו המצב במגזר הפיננסי הרפואי ובמגזרים נוספים.
שמירה על מידע והסוואתו יכולה להעשות במספר אופנים: הצפנה, החלפה של המידע, הסתרה, ערבול ועוד. העיקרון המנחה בהעברת נתונים מסביבת ייצור לסביבת בדיקות\פיתוח הוא הצורך בשמירה על אבטחתם, עדכונם ואמינותם.
עקרונות חשובים נוספים שיש לשים לב אליהם בעת ערבול נתונים:
ערבול המידע חייב להיות בלתי הפיך –אם הוא הפיך קל יותר להגיע לנתוני האמת וכך לחשוף אותם מחוץ לארגון.
על מנת לא לפגוע באותנטיות הפיתוח או הבדיקות, המידע המעורבל חייב לייצג נאמנה את המידע המקורי בנפח, בתצורה, בהיררכיית היחסים, במבנה, במיקום המפתחות או בקיצור בשימוש בנתונים קרובים במידת האפשר לנתונים האמיתיים.
העברת המידע המעורבל מחוץ לסביבת הייצור צריך להיות תהליך מובנה, אוטומטי ודימני. העברה חד פעמית של נתונים מעורבלים ידנית לא משרתת על פי רוב את צרכי הארגון ואת ה DB המשתנה ולכן אין בהם טעם.
בחלק גדול מהארגונים שמבצעים ערבול נתונים מקובל לכתוב סקריפט לצורך העניין או להשתמש בפתרונות אחרים שניבנו בתוך הארגון. בשוק קיימים מספר כלים מסחריים שמבצעים ערבול מידע בצורה מובנית ומחזורית על פי דרישת הלקוח, אך הם עדיין לא זוכים להצלחה רבה (אולי מכיוון שמדובר בתחום חדש ופחות מוכר).
בישראל מיוצגים מספר כלים כאלה, ביניהם Optim של IBM , פיתרון של Compuware שנקרא File-AID, , פיתרון של Oracle בשם Enterprise Manager Data Masking שמבצע ערבול על בסיסי נתונים של אורקל, Informatica (PowerCenter) ו Datavantage.
השוק המקומי עדיין לא מבצע, כאמור, שימוש נרחב בכלים אלה וברוב הארגונים כלל לא מיושם פיתרון מסודר לערבול מידע למרות הצורך האמיתי במציאת פיתרון הולם להגנה על מה שנחשב (בלי להשמע מליצי) "הנכס הכי חשוב של הארגון".