ענף אבטחת המידע מכונה בקיצור גם InfoSec או פשוט "IS" – קיצור למונח המקובל: Information Security. מרחב הידע העצום הנכלל במסגרת הענף מחייב קיומם שלמקצועות היררכיים מגוונים (דגש עלשליטה בכמות נושאים רבה), ולצידם - מקצועות שמאופיינים כהתמחויות צרות, אך עמוקות. בישראל פועלים אלפי אנשי מקצוע, והענף נחשב לבעל פוטנציאל התפתחות המוביל בענף ה- IT עקב התפתחות התקשורת בכלל, והאינטרנט בפרט. כללי אבטחת מידע הינו תחום רחב במיוחד המתייחס לאבטחת מערכות המידע מפני סיכונים שונים החלים עליהם בעידן המודרני, לרבות הנתונים שבהן (נכסי המידע), המערכות הפיזיות ("חומרה") והתוכנות המתלוות אליהן, ויש המייחסים לענף גם את ההגנה הפיזית הכרוכה בכך (מצלמות, דלתות מפוקחות וכו'). יש אשר המירו את המונח "אבטחת מידע"
במונח הרחב יותר – "הגנת מידע". משמעות "הגנה על מערכות מידע" הינה – הגנה על כל השכבות, על כל הכלים, על כל הטכנולוגיות, על כל רכיבי האחסון, על כל קווי התקשורת ועוד, ומכאן – היקפו העצום של התחום. על-מנת להתמודד עם אתגרי ההגנה, יש צורך במינוי אנשי "אבטחת מידע" יעודיים אשר יסנכרנו את המאמצים המשותפים עם בעלי מקצוע אחרים בתחומי המחשבים, ירכזו אותם, יתוו דרך, ידריכו ויפקחו על המאמץ המשותף. אך כדי להגן על כל אלו, אין די באנשי אבטחת המידע היעודיים. על-מנת להצליח במשימה זו, מחייב היקף האתגר סיוע מבעלי מקצועות שונים אחרים בתחום מערכות המידע, לסייע בהגנה על דל"ת אמותיהם. כך – יגן ה- DBA על מסדי הנתונים, מנהל הסיסטם יגן על מערכות ההפעלה, מנהל התקשורת על קוים והפרוטוקולים, התוכניתן על הקוד וכן הלאה. מומחים בכירים בתחום האבטחה נוהגים להתלוצץ על-כך ש"כל מי שהתקין Anti-Virus מכנה עצמו "איש אבטחת מידע", כל מי שהתקין Firewall מכנה עצמו "מומחה אבטחת מידע", וכל מי שיודע ’לקרוא’ Firewall Log, מכנה עצמו "יועץ" ועונב עניבה. אין ליכולות אלו דבר וחצי-דבר עם מקצוע אבטחת המידע, והן שייכות לעולם טכנאות האבטחה וניהול
הרשתות. כאן, מתחייב לומר, שלא קיים מקצוע המכונה "איש אבטחת מידע", אלא סדרת מקצועות שונים זה מזה. לכן, גם אין "קורסים באבטחת מידע", כי אם קורסים המיועדים למקצועות נפרדים, ולהתמחויות שונות. מקצועות אבטחת מידע מקצועות אבטחת מידע הינם ממקצועות היוקרה בעולם ההייטק. ככל מקצוע הנוגע למיגור פשיעה, הרי שהתחזית גורסת המשך עליה ניכרת בצרכי אבטחת המידע של ארגונים ומוסדות. בעולם אבטחת המידע קיימים 6 מקצועות ראשיים, וכן מספר רב נוסף של מקצועות התמחותיים. המקצועות הראשיים: 1. מינהלן אבטחת מידע - Information Security Administrator: ISAD אחראי על מנגנון אישור ובקרת הרשאות גישה לאנשי הארגון במחלקת אבטחת מידע, על ניהול מערכת ה- IDM, על הגדרת מדיניות בקרת גישה למערכות מידע בחברה, אחריות על בקרות SOX הקשורות לעניין הרשאות גישה. בדרך-כלל נדרשת הכרות עם סביבת Active Directory, היכרות עם מבנים ארגוניים טיפוסיים על מחלקותיהם, והכרות עם מבנה אפליקציות ארגונית, שרתים ומערכות הפעלה. 2. מיישם מערכות אבטחת מידע: Information Security Systems Integrator: ISSI אחראי להתקנה, הגדרה, תחזוקה ותפעול שוטף של כלי אבטחת מידע כגון: Firewall, IDS, IPS, Anti-Virus, Anti-Spam, Anti-Spy ועוד. בדרך-כלל יבוצע תפקיד זה באמצעות טכנאי המחשבים או מנהל הרשתות. בארגונים גדולים במיוחד יְיוּחד בעל מקצוע נפרד לתפקיד זה. בדרך-כלל מדובר בבעלי רקע או הסמכה מהסוגים CheckPoint-CCSA, Cisco-CCNA, או Microsoft-ISA. ההכשרה: באמצעות גופים מסחריים המשווקים קורסים, או במקרים נדירים יותר – בהכשרה עצמית. 3. מהנדס/ארכיטקט אבטחת מידע: Information Security Engineer: ISE אחראי לתכנון ולבניית ההגנה על מערכות ההפעלה, רשת התקשורת, הקוד והיישומים כנגד האקרים. את תפקידו יבצע באמצעות הנחיות למיישם אבטחת המידע. יימצא בארגונים כלליים בינוניים וגדולים ובחברות יעוץ ושירות בתחום אבטחת המידע. בחברות קטנות יבוצע התפקיד על-ידי מנהל הרשתות, מנהל הסיסטם או מנהל התקשורת. תחומי הידע הנדרשים: הקשחת תשתיות מיחשוב, הקשחת יישומים, כלים וטכנולוגיות אבטחת מידע והבנה של עולם התקיפה (האקינג). בדרך-כלל ימלאו תפקיד זה בעלי הכשרה ממסלול CISO של שיא,או בעלי ניסיון מהכשרה עצמית בעלי הסמכת CISSP או בלעדיה. ההכשרה –קיימת ב- See. נדיר למצוא גופי הכשרה איכותיים נוספים ל מקצוע זה. לפיכך – עד לאחרונה היתה נהוגה במקרים רבים הכשרה עצמית. לבוחרים במסלול זה, מומלץ להשלים השכלתם בהמשך גם באמצעות תואר אקדמי בתעשיה וניהול, כלכלה וניהול, מנהל עסקים, ומסלולים אקדמאים בעלי אוריינטציה דומה. 4. מנהל אבטחת מידע ביח' המחשב: ISSO - Information Systems Security Officer: לא יפורט כאן. 5. מנהל אבטחת מידע ארגוני: Chief Information Security Officer: CISO תפקידו דומה לתפקיד מהנדס אבטחת המידע, אך כולל היבטים ניהוליים והיבטים הקשורים לטיפול בפן העיסקי – ניהול סיכונים, טיפול בהיבטי חוק ורגולציה, וטיפול בסתירה האינהרנטית שבין משימות האבטחה לצרכי הפתיחות של הארגון. במקרים רבים – אחראי גם לביצוע ביקורת טכנית ומינהלית על מנהל צוות אבטחת המידע. מיקומו – מחוץ למחלקת ה- IT. תחומי הידע הנדרשים: הקשחת תשתיות מיחשוב, הקשחת יישומים, כלים וטכנולוגיות אבטחת מידע והבנה של עולם התקיפה (האקינג), וכן מימשל אבטחת מידע וניהול יחידת אבטחת מידע.
בדרך-כלל ימלאו תפקיד זה בעלי הכשרה ממסלול CISO של See Security, או בעלי ניסיון מהכשרה עצמית בעלי הסמכת CISM או בלעדיה. ההכשרה –נדיר למצוא גופי הכשרה איכותיים למקצוע זה. לפיכך – עד לאחרונה היתה נהוגה במקרים רבים הכשרה עצמית. לבוחרים במסלול זה, מומלץ להשלים השכלתם בהמשך גם באמצעות תואר אקדמי בתעשיה וניהול, כלכלה וניהול, מנהל עסקים, ומסלולים אקדמאים בעלי אוריינטציה דומה. 6. מבקר אבטחת מידע:- Information Security Systems Auditor: ISSA תפקידו – לבצע את הבדיקות והמבדקים הנדרשים על-מנת לוודא תקינות מינהלית ומבצעית של מערכי ההגנה והאבטחה, בהיבטים תהליכיים, טכנולוגיים ואישיים, תוך השוואת המימצאים מול המחויבויות של יחידת אבטחת המידע כלפי היעדים העסקיים, החוקיים והחברתיים של הארגון. רשימה חלקית של מקצועות ההתמחותיים: (ISSE – InfoSec Specific Expert) A מומחה ניטור אירועי אבטחה: ISIEInfoSec Incident Expert
B מומחה בדיקות חדירות: ISPTEInfoSec Penetration Testing Expert
C מומחה חקירות למערכות מידע: ISFE - Information Systems Forensics Expert
D מומחה אבטחה פיזית למערכות מידע: ISSPE - Physical InfoSec Expert
E מומחה אבטחת יישומים ופיתוח: ADSE- Application Development Security Expert
F מנהל פרוייקט למערכות אבטחת מידע: ISSPM - InfoSec Systems Project Manager ראוי לציין, כי המונח "יועץ אבטחת מידע" הינו בחזקת "תפקיד" או "מעמד", ואינו מצביע על תחום
ידע כזה או אחר. כל אחד מבעלי המקצוע שפורטו, יכול להוות "יועץ", כאשר הידע שברשותו
ובתחומו איכותי, ובדרך-כלל – הכוונה היא לבעל מקצוע אשר נשכר על-ידי ארגון מטעם חברת יעוץ,
לצורך פרוייקט מוגבל בזמן או בהיקף. באותה מידה, כל בעל מקצוע יכול לשאת גם במעמד "Free-Lancer" או מעמד "Outsourcer",
והכוונה במקרה כזה – בעל מקצוע "עובד-חוץ" אשר נשכר על-ידי ארגון מטעם גוף חיצוני לצורך
תקופה נתונה. עולמות ידע ותחומים באבטחת מידע אבטחת מידע מבוצעת על-ידי שילוב מאמץ בדיסציפלינות אחדות, בדיוק כשם שהדבר נכון בעולם האבטחה הפיזית. אנו משתמשים בגדרות, מוקשים, תאורה, במצלמות (כלים), אך גם בשיטה (טכניקה), בנהלים ובבקרת משאבי אנוש
ותהליכים. העולמות השונים המהווים יחד "אבטחת מידע" או "הגנת מידע", מפורטים להלן. לכל אחד מהעולמות, ניתן להתייחס מאחת מהדיסציפלינות הבאות: א. זוית הראייה של מיישם (הפן הטכני של התקנה ותחזוקה).
ב. זוית הראייה של מהנדס/ארכיטקט (פן התכנון המרחבי).
ג. זוית הראייה של מנהל אבטחת המידע הארגוני (משימות, נהלים ותהליכים). 1. עולם אבטחת תשתיות מיחשוב כולל את הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתן ובהגנתן של תשתיות המיחשוב הארגוניות ותשתיות ה- Cyber שמחוץ לגבולות הארגון. אבטחת חומרה וקושחה
התפתחות תורת התקיפה וההנדסה לאחור (reverse Engineering) מחד, והמונוליטיות הטכנולוגית (יצרנים מועטים) בעולם מאידך, הביאו להתפתחות איום חדש. תקיפת קושחה נחשבת למיומנות שאיננה מצויה בתחומי היכולת של התוקף הבודד, אך אפשרית ומצויה כאשר מדובר בהתמודדות עם תקיפה של מדינה (Cyber Warfare). הקשחת מערכות ההפעלה (System Hardening)
מערכות ההפעלה הנהוגות במערכות ארגוניות הינן מבוססות Microsoft, מבוססות Linux או Main Frame. פעילות אבטחת מידע כוללת בין השאר, אטימת מערכות ההפעלה מפני פגיעויות אבטחה. יש לדעת כיצד ניתן לעשות שימוש בפונקציות הגנה המשולבות במערכת ההפעלה על-מנת לשפר את בטיחותן, וכן כיצד ניתן לעשות שימוש בתוכנות-עזר נוספות שניתן להצטייד בהן להגנה על בטיחותן. הפעולות הינן בעלות אופי שונה במערכות הפעלה של תחנות הקצה (Clients) או של השרתים (Servers). הקשחת רכיבי התקשורת (Network Hardening)
נהוג לתאר את הרבדים השונים של תקשורת מחשבים באמצעות מודל בן 7 שכבות הנקרא Open Systems Interconnection – OSI. שכבות אלו כוללות אלמנטים שונים השותפים בתהליך התקשורת: טופולוגיות רשת
ומיבנים לוגיים, רכיבי תקשורת (כרטיסי רשת, נתבים, מרכזות, גשרים, מתגים, מדיות חיווט), פרוטוקולי תקשורת (TCP/IP בראשם, וכן: SMTP, SSL, DHCP, SNMP ורבים נוספים). גם רכיבים אלו מחייבים צמצום השטח החשוף לפגיעת התקפה, למינימום הנדרש לשם תפעול תקין של התקשורת, וסילוק כל אופציה ל"הרחבת הפתחים" כאשר הם מיותרים. הקשחת מסד הנתונים (Database Hardening)
בסיס הנתוניםהינו, מטבע הדברים, היעד של כל תוקף. לפיכך – גם כאן, יש לבצע סידרת פעולות הקשחה והגנה על "איזור" זה. גם כאן, קיימים מנגנונים שונים, אופציות "פתוחות מדי" שיש להגבילן, הן באמצעות נהלים והן באמצעות כלים טכנולוגיים מגוונים אשר יביאו לכך שהמערכת תהיה "פתוחה" רק כפי הנדרש על-מנת לאפשר תפעול ושימוש תקין במידע לצרכיו המקוריים של הארגון. אבטחת מכשירים ניידים (Mobile Security)
הגנת מכשירים ניידים הנה מורכבת, עקב ניידותם אל מחוץ לגבולות הארגון מחד, וקישורן למערכותהארגון מאידך. יתר-על-כן, הגורם האנושי מהווה פרמטר רב משמעות בשגיאות אבטחה טיפוסיות לתחום מכשירים ניידים. אבטחת תשתיות האינטרנט והתקשורת העולמיות (Cyber Infrastructure Security) הכוונה במונח "התשתיות הבינלאומיות של האינטרנט" הינה לכל הרשתות, הפרוטוקולים, טכנולוגיות הרשת ומרכזי המידע המשמשים את רשת האינטרנט העולמית, בתוך המדינה (במסגרת ה- ISP's) ומחוצה לה. מרכיב זה איננו בשליטה של אנשי האבטחה בארגון. 2. עולם אבטחת אפליקציות וקוד (Application Security) כולל את הכלים, הטכנולוגיות והטכניקה הכרוכה באבטחתם ובהגנתם של קוד התוכנה, היישומים, ומערכות משולבות קוד. כשם שתשתית מהווה כר פורה לפעילויות תקיפה, כך גם קוד יכול להוות "נשא" ל"קוד זדוני" שמטרתו להזיק למערכת או לשאוב ממנה מידע. האפליקציה, סובלת ממספר אתגרי אבטחת מידע השונים מאתגרי האבטחה במערכות הפעלה ותקשורת. התשתיות מפותחות בדרך-כלל על-ידי גורמים בינלאומיים רחבי היקף, וכאשר מתגלה "חור אבטחה", נוהגים גופי ענק אלו להפיץ "עדכון" ותיקון. מאידך – האפליקציות הן בדרך-כלל מקומיות, ופותחו בהתאמה ללקוח אחד. לכן – כאשר מתגלה "חור אבטחה" – תיקונו אינו פשוט כי מחיר התיקון אינו "מתחלק" על-פני מאות אלפי לקוחות. תהליך אבטחת יישומים מתחיל כבר בשלב התכנון, נמשך לכל אורך פיתוח יישום, ואף לאחר מכן – בשלב התחזוקה. קיימות התמחויות שונות הנוגעות ליישומים רגילים, ליישומי אינטרנט, להיבט הקוד והשפה של מסדי נתונים, וכן התמחויות הקשורות לטכנולוגיה: Java, ושפות כמו .Net, C / C++ וכן הלאה. 3. עולם מימשל אבטחת המידע (Governance) נושא "מימשל אבטחת מידע" (InfoSec Governance) מהווה אבן יסוד בלימוד עולם הניהול והאו"ש של יחידת אבטחת המידע. רבות מן הדרישות להגנה על המידע בארגון נובעות מחוקי המדינה, מרגולציה של הגופים המבקרים, מתקנים מקומיים או בינלאומיים או מדרישות הספקים והשותפים. חוקים, מטרתם בד"כ להגן על פרטיותם של אנשים או להגן על
נכסיהם, הפיננסיים או הקניינים, של פרטים שהמידע עליהם נמצא ברשות הארגונים. הרגולציות מכוונות להגן על האיתנות הפיננסית של הארגונים המבוקרים ולמנוע פגיעה בפרטים המשתמשים בארגונים אלו להשקעה. כתוצאה מכך, הרגולציות והחוקים מייצרים דרישות בתחום ההגנה על המידע, אף כי אינם מכווני אבטחת מידע בבסיסם. ממשל תאגידי: הארגון עצמו מטיל אף-הוא אחריות על מנהל אבטחת המידע: לנהל את הסיכונים לנכסי המידע הארגוניים, תוך הצבת מטרות ודרישות בתחום אבטחת המידע, הנובעות מדרישות חוק ורגולציה, מחבויות חוזיות וצרכי הארגון להגן על נכסיו, כדי שיוכל לעמוד ביעדים העסקיים שלו ולזכות ביתרון תחרותי. מערך אבטחת המידע אמור לספק את הכלים לעמידה
בדרישות הממשל התאגידי, להכין תכנית אבטחת מידע מכוונת ניהול סיכונים התואמת את נהלי החברה ואת היעדים העסקיים והחזון של הארגון ולדווח על רמת ההצלחה של תכנית אבטחת המידע. הארגון קובע את היעדים האסטרטגיים ארוכי הטווח לפיהם יפותחו תכניות אבטחת המידע ויקבעו היעדים בתחום אבטחת המידע 4. עולם הניהול והאו"ש של יחידת אבטחת מידע הדרישות העסקיות והרגולטיביות מתורגמות על ידי מנהל אבטחת המידע לשורה של בקרות שמטרתן למזער את הסיכונים לנכסי המידע של הארגון. בקרות אלו הן אוסף של מדיניות, נהלים, תקנים והוראות עבודה. הבקרות יכולות להיות פרוצדוראליות, פיסיות, לוגיות או טכנולוגיות והפעלתן וישומן בארגון מהווים את תכנית אבטחת המידע הארגוני. בקרות אלו נמדדות באופן רציף, כדי לזהות את התאמתן לטיפול בסיכונים לנכסי המידע הארגוני, המדידה נעשית באמצעות מדדים כמותיים ובאמצעות ביקורות תקופתיות הכוללות סקרי סיכונים, סקרי אבטחת מידע ומבדקי חדירות. תוצאות המדידות משמשות לעדכון תכנית העבודה. תכנית העבודה של אבטחת המידע להיות מוטמעת בכל רחבי הארגון ולפנות אל כל העובדים. נושא נוסף המטופל ע"י ממונה אבטחת המידע הוא זיהוי וטיפול בתקריות אבטחת המידע, כאשר הבקרות אינן מצליחות למנוע סיכון. כיצד מנהל ה- CISO את ההיבטים הרבים והרב-תחומיים שתוארו? כיצד הוא מתייחס להיבטי האבטחה במימד הטכנולוגיות, במימד התהליכים הארגוניים, ובמימד האנושי? כיצד הוא מסנכרן ומנהל את עשרות ומאות משימותיו, את
תדירות הפעילויות, מהותן, והסדר שבהן? כיצד משתלבת בכל אלו התייחסות לדרישות של המדינה (חוקים ורגולציות), של הלקוחות והשותפים (תקני אבטחת מידע), ולדרישות של העסק – הארגון עצמו? כיצד הוא מנהל סדרי עדיפויות במציאות של מחסור מתמיד במשאבים? עולם זה עוסק בסדר הנכון של הפעולות, בתדירותן, בחומרי הגלם המוכנסים על-ידי ה- CISO לכל פעולה בודדת ובתוצרים היוצאים מפעולה זו ומשמשים כחומר גלם לפעולה הבאה בתהליך. פרק עולם הניהול "אורז" את עולמות אבטחת המידע שתוארו עד כה למיקשה אחת, ומתאר תהליך שבו משולבות כל הפעילויות, תוך שהן מתחשבות ברצונות העסקיים של הארגון, ברצונות של המדינה, וברצונות של השותפים – הלקוחות
בדרך-כלל. 5. עולם התקיפה והלוחמה הקיברנטית (Hacking & Cyber Warfare) "אלוהים נמצא בפרטים הקטנים", אמר מאן דהוא. על-מנת לתכנן הגנה על פרטי-פרטיה, יש להבין התקפה על נפתוליה. מכיוון שאבטחת מידע עוסקת בהגנה מפני תוקפים, לא ניתן להסתפק רק בהכרת סביבת ההגנה, ונדרשת היכרות מעמיקה עם סביבת ההתקפה, מבחינה טכנולוגית, מבחינת טכניקה, ומבחינת הלך-רוח. כל הגדרה תפעולית של כלי אבטחה מבלי להבין במדויק מפני מה הוא מגן, נדונה לכישלון. הניסיון מלמד, כי מנהלי תשתיות ומומחי אבטחת מידע ותיקים נדהמו לגלות פערים ניכרים בין הדרך שבה הם תופשים בדמיונם תקיפה, לבין הדרך שבה תקיפה מתקיימת בפועל. פערים אלו מהווים יסודות לשגיאות נפוצות רבות מספור בדרך בה מיושמת הגנה על נכסי הארגון. הבנת שיטות Hacking משמען, הבנת של כל השלבים בתהליך ההתקפה: החל משלב איסוף המידע (חקירה ומודיעין), עבור בריכוז כלי ההתקפה, עבור בחדירה וכלה בשלב ה"ניקיון" שלאחר ההתקפה (House Keeping). עולם התקיפה מחולק כרונולוגית לשלב החקירה והאיסוף,שלב התקיפה, ושלב הכיסוי. מבחינה טכנולוגית, מחולק עולם התקיפה לסביבת הסיסטם, התקשורת, מסדי הנתונים, מכשירים ניידים, ישומים הרגילים ואינטרנט), תקיפת הגורם
האנושי (Social Engineering), ולבסוף - מערכות מיוחדות במינן (משולבות) (CAM - Computer aided manufacturing, HMI - Human Machine Interface, SCADA - supervisory control and data acquisition) . תחום Cyber Warfare מתייחס בדרך-כללי לשתי סביבות: האחת – לפעילות תקיפה (והגנה) "ברמת ה- ISP ומעלה" – מפת האינטרנט העולמית, והשניה – לפעילות תקיפה (והגנה) הנוגעת לתשתיות קריטיות (ממלכתיות או פרטיות אשר השפעתן לאומית). יש לזכור כי למלחמת מידע בין מדינות השלכות רבות גם על אבטחת המידע בארגונים "רגילים".
סוגי הפעילות ברמת ה- :Cyber א) פעילות תקיפה ואיסוף מודיעין מטעם מדינות וארגוני טרור, ב) פעילות פשיעה חוצת גבולות מדיניים. * עולם האבטחה הפיזית – לא נכלל במתודולוגיה, אך נושק לעולם אבטחת המידע ואף חופף לו בהיבטים אחדים, בהגנה ובהתקפה.
|
