Extrusion Prevention (Hebrew)

Main Menu

Site Search

Threat modeling tools

Download a free copy of PTA: the world's most popular threat modeling tool with over 15,000 users world-wide

Extrusion Prevention (Hebrew) - Part 2

The hebrew language version of Extrusion Prevention - Part 2 - How do you deal with trusted insiders and Data Leakage Threats?

Extrusion : זליגת מידע ע"י מורשים. חלק ב' : איך מתמודדים?

"אני לא מוטרד מזליגות מידע אצלנו. מערכות המידע שלנו מופעלות במיקור חוץ אצל אחד הבנקים הגדולים והם מיומנים באבטחת מידע. אני תמיד יכול לנתח את הלוגים ולברר מה קרה אם יש אירוע."
מנהל בכיר בענף הבנקאות

זליגה (Extrusion) היא העברה לא מורשית של נכסים דיגיטליים חיוניים ורגישיים כרטיסי אשראי, רשומות לקוחות, תוכנות מקור ומידע מסווג אחר. זליגה גורמת נזק כלכלי כבד למותג החברה ומהווה את פשע המחשב מספר אחד בעולם.

לזליגת מידע יש אופי 'חמקמק' היא תוצאה של פעולות של אנשים מורשים אנשים שאנו מכניסים למעגל הפנימי של המידע האירגוני כי אנו בוטחים בהם. מסיבה זו, מניעה של זליגת מידע דורשת מרקם מורכב של ניהול וטכנולוגיה. בכתבה זו נסקור את הנוהלים הרווחים בארבע פונקציות בקרה ביחידה העסקית; משאבי אנוש, ביקורת פנים, בטחון ומערכות מידע. בכל תחום נציג נקודת תורפה מרכזית אחת, ונסכם בקצרה best practices למניעת זליגה באותו תחום. לסיום המאמר, נציג הצעה לדפ"א דרך פעולה אפשרית.

משאבי אנוש

נקודת תורפה: מחלקת משאבי אנוש לא נושאת באחריות ישירה למותג החברה, ולכן לא משלמת את המחיר כאשר עובד או קבלן גונב מידע.

הבטחת נאמנות ויציבות העובדים מתחילה במחלקת משאבי אנוש, עליה מוטלת האחריות לגיוס, הערכה ופיתוח עובדים. ארגונים בעלי פרופיל בטחוני גבוה (כגון קבלנים למערכת הביטחון וסוחרים בשוק ההון) מוסיפים לתהליך קבלת העובד אמצעי סינון כגון פוליגרף או תעודת יושר. במהלך הזמן, יתכנו שינויים באישיות העובד, בעיות בבית או מצוקה כלכלית, דברים שעלולים להגדיל את סיכון זליגת המידע מצד עובד במקום עבודה רגיש.

ביקורת פנים

נקודת תורפה: מחלקת ביקורת נושאים באחריות לזליגת מידע, אך חסרים כלים למילוי המשימה.

מניעת זליגות מידע היא חלק מהליך כולל של ביקורת פנים. הליך זה מסייע ליחידה העסקית להשיג את מטרותיה בשלושה תחומים:

יעילות בביצועים
אמינות בדוחות הכספיים
היענות לחוקים ותקנות רלוונטים

מבקרי פנים בתחום הביטוח אומרים שתקנות המפקח מהוות מניע מרכזי בהערכת סיכונים ויישום נהלים וכלים לאבטחת מידע. החל משנות השישים ועד ימינו ימי ה חלונות והLinux , ניתוח לוגים משמש כלי מרכזי לביקורת מערכות מידע. בשנים האחרונות, המיחשוב התפתח לטכנולוגיות שרת/לקוח, אינטרנט ורשתות תקשורת שמשלבות דיבור, נתונים ווידיאו. בעולם שלנו, היכולת לבקר את זרימת המידע ברשת בעייתית ותלויה בשלל מרכיבים כגון איזה גרסאות של חלונות מותקנות בתחנות העבודה ובשרתים. מנגד, כלי הבקרה לא עמדו בקצב ומפגרים רחוק אחר ההתקדמות הטכנולוגיה. התוצאה היא שמבקר הפנים מגיע מאוחר מדי עם מעט מדי נשק לקרב ההגנה על נכסים דיגיטליים יקרי ערך של הארגון.

ביטחון

נקודת תורפה: ביטחון פיזי מושלם יכול לקרוס בעזרתו הנדיבה של טלפון סלולרי עם מצלמה.

ביטחון פיזי מתחיל במגרש החנייה, וממשיך בתגי העובד ובבקרת כניסה. בנייני משרדים יכולים לתכנת את מערכת הדלתות, כדי לודא שכל תג שיוצא מהבניין, אכן נכנס אליו. חברות רבות מדריכות עובדים למודעות לשמירה על מידע מסווג ולתשומת לב להתנהגות מחשידה של עמיתים ואורחים. למרות הכל, די במכשיר סלולרי או אלחוטי פשוט להוצאה קלה של מידע.

אבטחת מידע

נקודת תורפה: להסתמך על ניהול הרשאות בלבד, דומה לחנות בגדים שמבצעת בדיקה בטחונית בכניסה, אך מאפשרת לקונה לצאת לבוש בחולצה יקרה, כי אין תגים מגנטים על הבגדים. ברוב הארגונים, מחלקת אבטחת מידע כלל לא עוסק בענין של extrusion כי טרודים מדי במגננה נגד איומים מבחוץ.

אבטחת מידע מודרנית מושתתת על שכבות של פיירוולים, ניהול הרשאות ואבטחת-תוכן ברשת.

הכלים לניהול הרשאות וזהות מספקים בקרת גישה לנכסים דיגיטליים כגון מערכות מידע ומחסני נתונים. תשתית ההרשאות מקנה תחושה של בטחון ושקט נפשי למנהלים, אך אל להם לשכוח שפיירוול מאפשר תעבורה נכנסת ויוצאת לארגון, ושמערכות הרשאות, על פי הגדרתן, מעניקות גישה לאנשים מורשים. לאותו מתכנת בקבוצת הבילינג יש הרשאה לגשת לבסיס הנתונים ולשלוף מידע בעזרת פקודות SQL. בקלות רבה מדי הוא יכול לדחוס את הקובץ ולשלוח אותו החוצה בעזרת חשבון דואר webmail פרטי לתמתחרה.

הכלים לאבטחת תוכן מיועדים למנוע חדירה של ספאם ווירוסים נכנסים לארגון, אך לא מתאימים למנוע זליגת מידע החוצה. כלים אלה סורקים ערוצי אי-מייל מורשים ולא מסוגלים להתמודד ביעילות עם "הקרים" או טעויות אנוש שיוצרות פרצות במערכות ההרשאות. הם תלויים במבנים ספציפיים של קבצים ויוצרים בעיות ניהול ועומס תחזוקה שוטפת. דווקא, במחסור של כלים מסחרים, ישנם לקוחות שמיישמים פתרונות יצירתים ויעילים בעזרת תוכנות קוד-פתוח כגון Snort.

דפ"א א' - המתווה למניעת גניבת מידע

כדי לתקן את נקודות התורפה לעיל, ורבות אחרות, וכדי להגן על נכסי המידע של הארגון, יש ליישם גישה משולבת שמונחית ע"י המנכ"ל ומיישמת כלים ונוהלים נאותים בפונקציות הבקרה העסקית:

בקרה "רכה": תרבות ארגונית, קרי, טיפוח ערכים לשמירה על מותג החברה
בקרה ישירה: גיוס, בטחון, מערך הרשאות והגנות על נכסים דיגיטליים
בקרה עקיפה: ביקורת פנים, ביקורת תקשורת בזמן אמת.

מערכת אבטחת המידע שלכם שברירית וחסרה כלים לביקורת עצמאית שימנעו extrusion. צוות אבטחת המידע באירגון חייב ליישם פתרונות לבקרה וחקירה של כל תעבורת הרשת בזמן אמת, תעבורה נכנסת וגם יוצאת. הבקרה חייבת להיות מבוססת על האזנה לרשת, ללא תלות במערכות התוכנה. דרך פעולה זו תאפשר עבודה קלה, תאימות למערכות עתידיות והצגת תמונה מלאה של הפעילות ברשת התקשורת הארגונית שכה חסרה היום.

< Prev		Next >

Software Associates - Business security specialists for hi-tech firms