הירשמו
  1. ראשי
  2. בארץ

אתגרי אבטחת מידע בסביבת ספקי שירותים

אנו חיים בסביבה טכנולוגית המשתנה ללא הרף וכך גם ההשפעה על תחום אבטחת המידע; ככל שעולם ה-IT הופך וירטואלי בעידן ה-IP, כך גוברת כמות האיומים בעולם התקשורת
עילי אנגלרד |

ישנן שתי שאלות בסיסיות שאנו חייבים לשאול את עצמנו בבואנו לתת מענה אבטחת מידע: "על מה אנו רוצים להגן?", ו"מפני מה אנו שואפים להתגונן?". בסביבה של ספקי שירותים שתי השאלות הללו הופכות כיום למורכבות ביותר.

על השאלה הראשונה- "על מה להגן?", יש יותר מתשובה אחת- האם להגן על התשתית? להגן על הלקוחות העסקיים? להגן על השירותים או על משתמשי הקצה? על השאלה השנייה- "מפני מה אנו שואפים להתגונן?", פשוט יותר לענות- צריך להתגונן מכולם: מרשתות שכנות, מהאינטרנט, משתמשי קצה, לקוחות עסקיים ואיומים מתוך הארגון.

שאלות אלו הינן מהותיות ויכולות להוות בסיס טוב לבניית מתודולוגית אבטחת מידע וניהול סיכונים, אולם קיים מימד נוסף שעוטף את הדילמות הללו. מימד זה עוסק בצורך להשקיע באבטחת מידע בו בזמן שהשקעה דומה בהשקת שירותי ערך מוסף (VAS) חדשים שלא מוצעים על ידי המתחרים תגדיל את הכנסות המפעיל. מדוע, איפוא, על המפעיל להשקיע כסף וכוח הנדסי בתחום אבטחת המידע, תחום שלכאורה אמור למנוע הפסדים (במידה ויוכיח את עצמו תחת מתקפה), אך יחד עם זאת אינו מייצר רווח?

בשלב זה נזכיר שאנו חיים בסביבה טכנולוגית המשתנה ללא הרף וכך גם ההשפעה על תחום אבטחת המידע. ככל שעולם ה-IT מתרחק מעקרונות הפיזיקה של העברת תקשורת נתונים, קול או וידאו מקצה לקצה, והופך לעולם ווירטואלי בעידן ה-IP, כך עולה וגוברת כמות החששות והאיומים שלא סיכנו אותנו בעולם התקשורת המסורתי. הישענות על יישומים מבוססי IP דורשת מאיתנו לשנות את מודל המענה לאיומים, וליצור מתודולוגיה שונה לשמירה על הלקוחות ועל נכסיו של המפעיל.

בחזון אותו אנו מממשים כיום, עולם ה-NGN המאפשר איחוד מדיות (Convergence) ופלטפורמת מתן שירותים אחידה מבוססת IP כדוגמת IMS ו-FMC, מרכיב האיום משתנה לחלוטין. כל שרת, מחשב נישא, מכשיר סלולארי ומשתמש משרדי נייח או נייד מהווה כתובת IP ברשת; לפיכך, כל לקוח קצה הינו יעד פוטנציאלי למתקפה או לתוקף בפני עצמו, ביודעין או שלא ביודעין. אם ניקח בחשבון את הכמות הגוברת של מתקפות DDoS ומתקפות קודים זדוניים למיניהם על ספקי תקשורת וארגונים, והפשטות היחסית בהן ניתן לבצע אותן, נגיע מהר מאוד למסקנה שרשת IP שלא תהיה מוגנת וזמינה לא תוכל להוות תשתית לשירותים מתקדמים.

אחת הדרכים לשלב בין הצורך להגדלת הרווחיות הממוצעת ללקוח והצורך באבטחת תשתית ספק התקשורת והלקוחות, הינה הצעת פתרונות אבטחת מידע כשירות מנוהל (Managed Service) שעליו אפשר לגבות כסף מן הלקוחות וליצור מנועי צמיחה נוספים.

ישנן דוגמאות רבות בארץ ובעולם לשירותי אבטחה מנוהלים: החל משירותי Secured Hosting בסיסיים, כגון: Network Firewall או Network IPS וכלה בשירותים מתקדמים יותר, כגון: שירותי Secured Remote Access, הגנה מפני מתקפות DosDDoS, סינון SPAM לסוגיו השונים (לרבות SMS ו-MMS), סינון תכנים, הגנה מפני קודים זדוניים למיניהם וכיוצא באלה.

לצורך כך, יצרנים רבים בשוק אבטחת המידע מאפשרים וירטואליזציה וחלוקת משאבים במנגנון האבטחה למספר לקוחות שונים וכן ניהול עצמאי מרוחק של הלקוחות כאשר המוצר מוטמע בסביבת ספק השירות. דרך זו מאפשרת לנו "להרוג שתי ציפורים במכה אחת"- הגנה על תשתית ספק השירות לטובת זמינות מירבית של הרשת לצד הצעת שירותים חדשים ללקוחות. חלק מיכולות האבטחה שפורטו לעיל, אינן בגדר "המלצה".

נושא השליטה בתכנים ושירותים הינו אתגר משמעותי עבור ספקי שירותים למיניהם ובימים אלו נדרשים ספקי תקשורת ליישם מנגנונים לסינון תכנים המועברים ללקוחות על פי דרישות רגולציה של משרד התקשורת. דוגמא לכך היא גישה לאתרים המכילים תוכן למבוגרים בלבד באמצעות HTTP (כדוגמת אתרי סקס והימורים). תכנים אלה יכולים לעבור לדוגמא גם כקובץ מדיה או כ-MMS, מה שמרחיב את האתגר מעבר לסינון URL בסיסי. במקרה הזה הרגולטור מאלץ את ספקי התקשורת להשקיע בהטמעת מערכות- Content and Application Access Controlעל סביבות רשת שונות, בצורה גורפת או על פי פרופיל משתמש, וזאת תוך פגיעה מינימלית בביצועים או בזמינות השירותים השונים.

השקת שירותי אבטחת מידע וסינון תכנים ברשת הינן צעד אפקטיבי שניתן לפרוס בהדרגה לפי הצורך והמדיניות. שירותים אלו אינם תחליף להגנה מתמדת על תשתית ספק השירות בדגש על ליבת הרשת וסביבת השירותים. רשת נתונים המהווה תשתית להעברת שירותים, כגון: Voice, Video, IP-VPN ואפילו אינטרנט צריכה להיות זמינה ומהימנה בכל עת.

עם זאת, ספקי תקשורת רבים בעולם זונחים לעתים הגדרות בסיסיות להגנה על הרשת, כגון הקשחת נתבי קצה, אבטחת פעולת פרוטוקולי הניתוב, הגבלת מספר הניתובים ברשתות VPN של לקוחות, אבטחת הגישה לאלמנטים ברשת, הגנה על סביבת הניהול, ניטור פרוטוקולים ואפיון דפוסי הפעולה של הרשת. נטקום ממליצה ללקוחותיה ליישם מרבית ממנגנונים חיוניים אלה כברירת מחדל.

מיום ליום ספקי התקשורת תופסים תפקיד מרכזי יותר בחיינו. בין אם במתן שירותי תקשורת עסקית, או פרטית ובין עם באספקת תכנים אינטראקטיביים למשתמשי קצה מסוגים שונים. אותם ספקי תקשורת שישכילו לשלב לצד התפתחות הרשת גם תפיסה ויכולות באבטחת מידע, יוכלו לחסוך כסף בעתיד כשהאיומים יתממשו וימשיכו לספק שירות מהימן ללקוחותיהם.

* הכותב הינו מהנדס מערכות בחברת נטקום.

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה