"מסרים מיידיים היא תצורת המייל החדש - הם הופכים להיות נפוצים יותר ויותר בקרב התכתבויות פנימיות בין עובדים בארגונים. הבעיה היא, שבמקביל לעלייה באופן התקשרות זה, גם גדלה כמות האיומים הפועלים מול המסרים המיידיים", אומר קווין ביילי, מנהל חטיבת מוצרים בכיר בסימנטק EMEA, שהיה הדובר המרכזי בכנס Symantec FunTech2007 שנערך באילת. "בין השנים 2005 ו-2006 חלה עלייה דרמטית בכמות איומים אלו, בסדר גודל של 1,695% - כך עולה ממחקר שעשינו בקרב עשרות אלפי לקוחותינו", אמר במסגרת נאומו בכנס בן היומיים, שנערך במלון רויאל ביץ' באילת, בהפקת אנשים ומחשבים, ובהשתתפות כ-200 מנמ"רים ומנהלי אבטחת מידע – לקוחות של סימנטק, עובדי הסניף הישראלי ושותפיה העסקיים. הכנס נערך תחת הכותרת "ביטחון ואבטחה בעולם מתוקשר".

בראיון ל'אנשים ומחשבים' אמר ביילי, כי "היחס בין האיומים החיצוניים לאלו הפנימיים אינו משתנה, וממשיך לעמוד, מזה שנים, על 70:30, ל'טובת' האיומים הפנימיים. ארגונים חוששים כל הזמן מפני האיומים החיצוניים, שהם חשובים לכשעצמם, אולם אינם שמים את המיקוד במקום הנכון – פנימה. שם נמצאת רוב הבעיה, אלא מכיוון שהמדובר בעובדים שלך, קשה להם להבחין שהם עלולים להיות ה'רעים' – אם בזדון ואם בשוגג".

לדברי ביילי, המסריים המיידיים החלו להיות נפוצים בקרב ארגונים העוסקים במסחר במניות, ומשם התופעה עברה לארגונים במגזרים אחרים. "הבעיה קיבלה משנה חשיבות בתקופה האחרונה, כאשר המסרים המיידיים הפכו להיות כלי עבודה נורמטיבי ונפוץ בארגונים. אז הם הפכו להיות בעיית אבטחת מידע חדשה, לצד צורת ההתקשרות בדואר אלקטרוני. כיוון שהמיקוד באבטחה השתנה ועבר מאבטחה של המערכות לאבטחה של המידע, הרי נוצר פה שדה חדש להעברת מידע, דרך המסריים המיידיים".

הפתרון לבעייה זו, ציין ביילי, הוא יצירת מדיניות אבטחת מידע ארגונית, אכיפתה באופן גורף תוך הקשחת העונשים על העובדים שאינם עומדים במדיניות, וזאת לצד פתרון טכנולוגי, של אבטחת נקודות הקצה. הוא ציין, כי בקרוב תשיק סימנטק מוצר, "קוד המלט" שמו, אשר יספק הגנה מלאה עבור תחנות הקצה, כך שישלב בין פתרונותיה המסורתיים של סימנטק להגנה מפני וירוסים ושאר הנוזקות, לבין פתרון ההגנה על תחנות הקצה של חברת סייגייט, אותה רכשה סימנטק בעבר. הייחודיות של המוצר, ציין, היא בהיותו התקן אחד, המכיל את כל הרכיבים, וכך מקל על הטמעתו בקרב משתמשי הקצה.

"הייחודיות של הפתרון היא ביכולתה להיכנס לתוך מסמכים מצורפים ולחפש מילות מפתח על פי מדיניות וחוקים שנקבעו מראש", אמר ביילי, "אם מדובר בארגון בטחוני, הוא יחפש את המילה 'טרור', אם בארגון פיננסי הוא יחפש את הסימן 'דולר' וכו'. כך, נקבל פתרון אשר עונה גם על הבעייתיות בשדה החדש אותו ציינתי – מסרים מיידים, וגם על בעיית משלוח נתונים אסורים בדואר האלקטרוני. ארגונים יקבלו פתרון מאוחד, אשר יטפל בכל תחנות הקצה, כולל כל הרכיבים בעולם הנייד, תוך יצירת מסגרת מדיניות אבטחת מידע אחת, שתיכפה על כל אותן תחנות", אמר ביילי, "וכך יתאפשר למנהל האבטחה להגיב, מקונסולה אחת, ובצורה מסודרת במקרה של אירוע אבטחה, אם יש וירוס, נוזקה, או השבתה. מצד שני, זה יאפשר להם יכולת גמישות, במקרה של הוספת תחנות קצה. בדרך זו אנו עונים על חששם הגדול של המנהלים בארגונים – דליפת מידע. אנו מספקים יכולת לזהות דליפה שכזו במגוון נקודות במערך ה-IT הארגוני, או מזהים שמישהו ניגש לבסיס הנתונים והוציא ממנו מידע שאסור לו על פי תנאי ההרשאה שלו, או שחל שינוי באופן בו עובד פועל".

מגמות בעולם האבטחה

לדברי ביילי, חל שינוי בצורכי אבטחת המידע הארגוניים, לצד השינוי שחל במערכי ה-IT בהם. "וירוסים היו פעם מה שקיבלת כשהסתובבת בחוץ בקור בגינה ללא מעיל, ודואר היה מה שהיית מקבל בתיבה שליד הבית. אלא שעולם זה חלף עבר לו", אמר. המגמות המשפיעות על עולם אבטחת המידע, לדבריו, הן: הפיכת המיילים והמסרים המיידיים לכלי תהליכי-ארגוני בארגון, אשר בהיותו פלטפורמה לשינוע מידע, הופך גם לסיכון אבטחתי; טיפול במידע בעולם האחסון והאירכוב; הצורך בזמינות של מערכות ה-IT, בשל היות יותר ויותר יישומים קריטיים בארגון; רמה גבוהה של שרידות במקרה אסון; טיפול בתחנות הקצה בשל חשיבותם של האיומים הפנימיים; אבטחת תחנות הקצה בשל השינוי בתרבות העבודה – עבודה מהבית, ועבודה מרחוק, עם רכיבים נישאים מחוץ למשרד. "ארגונים נדרשים לעבוד באופן שונה מבחינה תפעולית, על מנת להבטיח שמערכות ה-IT תהיינה זמינות מסביב לשעון", אמר ביילי, "הדבר נחוץ בשל החשיבות של יצירת הקשר המתמיד עם הלקוחות, העלייה שחלה בשימוש במסחר האלקטרוני, והעובדה שיותר ויותר נתונים נמצאים כיום בעולם הדיגיטלי ומשונעים באופן מקוון".

ביילי אמר, כי סימנטק עברה שינוי תפיסתי במסגרת "סימנטק החדשה", ופיתחה תפיסה משולבת המטפלת בכמה מימדים: אבטחת שכבות ה-IT השונות בארגון – מערכות ההפעלה, שרתים, תוכנות ויישומים, תוך יצירת סטנדרטיזציה; טיפול במידע הארגוני, לרבות העובדה ש-65% ממנו הוא מידע לא-מובנה; הבטחת הקישוריות המאפיינת ארגונים כיום; טיפול בהיבטי הזמינות והביצועים; מיטוב סביבת היישומים; בניית מדיניות אבטחה ואכיפתה, תוך מתן מענה לרגולטורים הפועלים במגזרים השונים. במסגרת המיזוג עם וריטאס, ציין, חלו שינויים ארגוניים בחברה, וכיום מערך המוצרים שלה מטפל בכל שדות אלו.

ביילי אמר, כי בסקר שערכו אנשי סימנטק, עלה כי ישנם ארבעה היבטים המעניינים את מנהלי האבטחה ומנהלי ה-IT בארגונים: הגנה מפני איומים חיצוניים ופנימיים, הלימה לרגולציות החיצוניות ואכיפת נהלי האבטחה הפנימיים; טיפול בתפיסת האבטחה הקלאסית – שמירה שה'רעים' יישארו בחוץ ומניעת דליפת מידע ארגוני סודי ובעל ערך מחוצה לו, אם בזדון ואם בשוגג; הגדלה מירבית של ביצועי ה-IT, תוך ניצולם בצורה המיטבית, ומבלי שכלי האבטחה יפגעו בכך; זמינות מירבית, והתאוששות מהירה במקרה אסון, תוך טיפול בהיבטי השרידות.

"המנהלים הבכירים בארגונים כבר הבינו כי ה-IT זה העסק", אמר ביילי, "כבר אין את אותה הפרדה מלאכותית שהיתה בעבר בין השניים. לכן דרוש להגדיל את רמת אבטחת המידע בעסק, דבר שיביא להגדלת הביטחון של הלקוחות והשותפים העסקיים בו. אבטחת המידע ויצירת אמינות ומוניטין לארגון חשובים לכשעצמם, בשל היותם המהות של העסק, לא בגלל שה-IT 'מככב' בהם. רק בעזרת רמת אבטחת מידע מוגברת, ניתן להגיע למצב של יותר לקוחות ויותר לקוחות שבעי רצון מהארגון". הוא סיכם בציינו, כי החברה משקיעה כ-15% ממחזור המכירות שלה במחקר ופיתוח, תוך שצוותי פיתוח רבים פועלים כסטארט-אפים עצמאיים לכאורה, על מנת לאפשר פיתוח יצירתי של רכיבי אבטחה.

SIM ו-SOC

אופיר זילביגר, מנכ"ל חברת הייעוץ לאבטחת מידע SECOZ, פתח את יומו השני של הכנס ותיאר מה נדרש לארגונים השוקלים להטמיע SOC. הוא ציין, כי SECOZ הטמיעה כבר 15 פרויקטים שכאלו וצברה ניסיון בתחום. לדברי זילביגר, תפיסת SIM היא פשוטה למדי, אשר מקשרת בין צד אחד - מקורות המידע המגוונים שיש אודות אבטחת המידע, ומצד שני יש כלי דיווח וניתוח, שהם תוצר פעילות הניתוח. לדבריו, לאחר שהמידע נאסף מתוך רכיבי אבטחת המידע וממוצרים תשתיתיים אחרים, נעשות עליו כמה מניפולציות: איחוד, מציאת מכנה משותף, פישוט, הצלבה והתאמה, - על מנת לקבל תוצר נהיר אך מפורט דיו.

הוא ציין, כי אחת הבעיות העומדת בעת הטמעת SIM היא הצורך לקבל את הנתונים בזמן אמת. הסיבה לדבריו, להטמעת מערכת שכזו, היא כיוון שיש יותר מדי נתונים במערכות, ומנגד – יש פחות מדי מידע. הזרזים להטמעת ה-SIM, ציין, הן הרגולציות, שהחלו בעולם הבנקאי, וכעת עברו לעולם הביטוח. "הרגולטור דורש לדעת מתי יש סיכון, שהוא מכפלת הנזק העסקי, בהסתברות שהוא יקרה", הסביר.

לדברי זילביגר, כמות הנתונים הנאספים היא אדירה, ולכן הדרך לטפל בכך היא על ידי יצירת תעדוף, הרואה את הדברים דרך נקודת מבט עסקית. המשמעות, פירט, היא בחינה מהם נכסי המידע החשובים לארגון בהיבט העסקי, ומהן התשתיות שאליהן מקושר מידע זה. "יש ליצור חוקים שעל בסיסם תתקבלנה ההתראות – בצורה המותאמת לסיכונים העסקיים", הסביר, "המפתח להצלחה בבניית SOC הוא להבין מהן ההתרעות הבודדות והמועטות ככל האפשר שנדרש לקבל בזמן אמת, הקשורות לסיכונים העסקיים הכי חשובים".

בשלב ניתוח החוקים , ציין, יש צורך להביט בכל נכס מידע, תוך בחינת מימדי ההזדהות, האותנטיקציה, ההרשאות, ניהול המערכות, יכולת לשדרג את ההרשאות, ניהול המשתמשים, והיישומים. כך, ציין, נוצרת בסופו של דבר ארכיטקטורה שעל בסיסה מוטמעת המערכת.

בהמשך עבר זילביגר לדבר על SOC, מרכז תפעול האבטחה, והסביר כי זהו רכיב ארגוני, אשר עוסק בתצוגה של הנתונים שנאספו ונותחו, ומשדרג את הארגון. הוא סיים בפרטו את מחזור החיים של ה-SOC, המבוסס על ניתוח עסקי: הבנת התהליכים העסקיים; הבנת האיומים על תהליכים אלו; בחינת הסיכונים אליהם הארגון חשוף; התחברות למקורות המידע; איסוף נתוני אבטחה; בניית חוקים; בניית תהליכי עבודה ממוקדים לניהול אירועי האבטחה; התאמה וטיוב, תוך שאיפה לפרואקטיביות. "מעבר לטכנולוגיה וליכולת לאסוף את המידע ולנתחו", סיכם זילביגר, "ישנם תהליכים שונים שנדרש לבצע, תהליכים ארגוניים אשר יכולים לשדרג את התועלות שניתן להפיק מה-SOC".