2. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
תוכן
שיקולי אבטחה במקרה של אובדן וגניבה. ..................................................................3
שיקולי ציתות לתקשורת. ........................................................................................3
שיקולי הגנה מפני איומים. ......................................................................................3
שיקולי תמיכה טכנית. ............................................................................................3
שיקולי פלטפורמה.................................................................................................4
שיקולים פוליטיים. .................................................................................................4
סיכום .................................................................................................................4
נושאים אחרים שעלו בדיון ......................................................................................5
הצפנה של דואר אלקטרוני . ............................................................................5
מערכות 5.................................................................................... SIEM/SOC
מערכות 5.............................................................................................. NAC
ניהול סיסמאות .............................................................................................6
הגורם האנושי ..............................................................................................6
סינון אתרים ( 6...................................................................... )URL FILTERING
נספח: תגובות מאת וונדורים לגבי הנושאים שעלו במפגש: ...........................................7
הצפנה של דואר אלקטרוני. .............................................................................7
מערכות 8...............................................................................................NAC
ניהול סיסמאות ..............................................................................................9
הגנה על טלפונים ומחשבי כף יד - שיקולי אבטחה במקרה של אובדן וגניבה. ..........01
הגנה על טלפונים ומחשבי כף יד - שיקולי הגנה מפני איומים................................01
הגנה על טלפונים ומחשבי כף יד - שיקולים פוליטיים. .........................................11
הגורם האנושי .............................................................................................11
סינון אתרים (11....................................................................... )URL Filtering
מערכות 12................................................................................... SIEM/SOC
מכשירים ניידים (הנושא לא נידון במפגש) ........................................................21
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
3. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
מבוא
משתתפי המפגש הנם מנהלי אבטחת מידע ב-21 חברות מסקטורים שונים. הנושא המנחה במפגש
היה אבטחה של התקנים ניידים כדוגמת Smart-Phonesו – ( PDAלא כולל מחשבי פי.סי. ניידים).
נושא זה הנו בחיתוליו, ולכן רק חלק מועט מהמשתתפים צברו ניסיון מעשי בתחום. נושאים נוספים
שעלו במהלך הדיון הם הצפנה של דואר אלקטרוני, מערכות ,SIEM/SOCמערכות ,NACניהול
סיסמאות, הגורם האנושי ו - סינון אתרים.
שיקולי אבטחה במקרה של אובדן וגניבה.
תופעה נפוצה במחשבי כף יד וטלפונים היא אובדן או גניבה, והמשתתפים הביעו חשש מהמידע
שעשוי לדלוף במקרה כזה. במכשירים סלולריים חברות הסלולר מציעות אפשרות להעביר פקודה
למכשיר המשמידה את המידע שעליו, אך זו אפשרות זמינה רק במקרה שהגנב / המוצא הבלתי ישר
לא הוציא את ה – SIMמהמכשיר. אחד מהמשתתפים, מתחום הבריאות, הסביר כי הוא בחר
להשתמש באופן אקסקלוסיבי במכשירים של חברת פלאפון, המבוססים על טכנולוגיה שונה שבה אין
כרטיס ,SIMולכן אפשר לחסום את המכשיר ולמחוק את תוכנו בכל מקרה. המשתתף גם תיאר כיצד
קבצים הנמצאים על המכשירים מוצפנים וחתומים בעזרת תעודה-דיגיטלית, והם משתמשים במערכת
המאפשרת לאחסן את הקובץ במקום מאוד ספציפי על המכשיר, כדי שתהיה אליו גישה מהמכשיר.
ללא התעודה, לא ניתן לפתוח את הקבצים, ולכן במקרה של אובדן או גניבה של המכשיר, אין
אפשרות לפתוח אותם ותוכנם מוגן. מזווית אחרת, סיפר המשתתף כי בארגון קיימת מדיניות קשיחה
בנושא אובדן של ציוד, ועל עובדים המאבדים פריט כגון מחשב נייד או מפתח-אבטחה )Token
(
מוטלים קנסות כספיים וכן עונשים מנהלתיים ( על העובד להמתין פרק זמן מוגדר לקבלת ציוד חלופי).
לדבריו, מדיניות זו הביאה לירידה משמעותית במקרי אובדן.
שיקולי ציתות לתקשורת.
התקשורת בין המכשיר הסלולרי לבין ספק השירות עשויה להיות מקור לדליפה של מידע. פתרון אחד
אפשרי לנושא הוא הצפנה של התקשורת, ומשתתף מתחום הבריאות סיפר כי המכשירים בארגונו
מקבלים תעודות-דיגיטליות המונפקות בעזרת Certificate Authorityשקיים בארגון בכל מקרה (ולכן
אין בכך תוספת עלות) ונוצר ערוץ תקשורת מאובטח בין המכשירים לבין חברת התקשורת. אותה
תעודה דיגיטלית משמשת גם לפתיחת קבצים המגיעים אל המכשיר בדואר אלקטרוני או נמצאים
בזיכרון המכשיר. משתתף אחר מחברה בתחום הבטחוני ציין כי עקב תקלה ידועה ומתועדת
במערכת ההפעלה חלונות-מובייל 5, המפתח-הפרטי המותקן על המכשיר נמחק במידה ושרת ה-
Exchangeאינו זמין, ותופעה זו גורמת לתקלות רבות בארגונו שעד כה לא נמצא להן פתרון. בגרסה
6 של המערכת הבעיה איננה קיימת, כך נטען, אך זה מחייב החלפת המכשיר כולו ברוב המקרים,
וזוהי החלטה יקרה וקשה.
שיקולי הגנה מפני איומים.
כמה משתתפים מתחומי הבריאות והביטוח ציינו כי הם משתמשים בפיתרון של חברת Trend-Micro
להגנה מפני וירוסים בטלפונים סלולריים, אך שביעות הרצון אינה מוחלטת מכיוון שיש למוצר השפעה
מורגשת על הביצועים. אחד המשתתפים טען כי המוצר אינו מזהה את כל הוירוסים שקיימים, ואף
סיפר כיצד קרה בחברה הקשורה לארגונו שמנהל בכיר בחברה הכניס וירוס למחשבי החברה (ללא
כוונת זדון) דרך הטלפון שלו. משתתף אחר סיפר כי מנגנון עדכון-החתימות הנו בעייתי מכיוון
שהסבילות שלו לתקלות תקשורת נמוכה. לדבריו, זה מוביל למצב בו אם המשתמש נמצא באזור שבו
הקליטה הסלולרית אינה טובה, הוא עלול להיות בלתי-מעודכן במשך תקופה ארוכה. חברת טרנד,
לדבריו, מבטיחה פתרון לבעיה בקרוב.
שיקולי תמיכה טכנית.
המשתתפים ציינו כי הם אינם נתקלים בבעיות רבות בתמיכה טכנית למוצרים, אך עובדי החברה
הנמצאים בחו"ל וזקוקים לעזרה מהווים קושי לא פשוט, בעיקר על רקע השונות והמגוון של
המכשירים הזמינים. אחד המשתתפים ציין כי הוא משקיע משאבים רבים בבדיקה מעמיקה של כל
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
4. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
מכשיר, על אף הקושי הכרוך בכך, וזאת על מנת להבטיח את הארגון. הוא גם ציין כי משתמשים
הנמצאים בחו" ל וזקוקים לעזרה מקבלים הנחייה לפנות לחברה מקומית באותו אזור, לבצע את
התיקון ולקבל החזר כספי לאחר מכן.
שיקולי פלטפורמה.
בשוק קיימות כמה פלטפורמות נפוצות של מכשירים חכמים. הנפוצים ביותר הם מכשירים של נוקיה,
המריצים את מערכת ההפעלה סימביאן (כגון סדרת .)Nהפלטפורמה השנייה הנפוצה ביותר היא
חלונות-מובייל בגרסה 5, כאשר מכשירים עם גרסה 6 נכנסים בימים אלה לשוק. פלטפורמה נוספת
היא של חברת ( RIMבלקברי). מערכת התקשורת של בלקברי היא במהותה מאובטחת יותר, אך
אחד המשתתפים המגיע מארגון בטחוני טען כי לחברת RIMיש יכולת להאזין לתקשורת בכל זאת,
ולכן זוהי אינה מערכת מאובטחת כלל. המוצרים המבוססים על חלונות ידועים בהיותם לא מאובטחים
במיוחד, אם כי מיקרוסופט טוענת שבגרסה החדשה (6) וכן בגרסה החדשה של שרת Exchange
(7002) יש שיפורי אבטחה משמעותיים.
שיקולים פוליטיים.
בין נציגי החברות שהשתתפו במפגש קיימות שתי גישות לפוליטיקה של אבטחת המידע. חלק
מהארגונים סיפרו כי אצלם אבטחת המידע היא הגורם החזק, ולכן החברה כפופה להחלטותיו של
מנהל האבטחה, גם אם הן לא נעימות או קלות ליישום. בארגונים אחרים המצב הוא הפוך, וארגון
האבטחה צריך להתאים את עצמו לצרכי ורצונות המשתמשים, תוך ניסיון להגיע לאבטחה מקסימלית.
בחברות ביטוח, למשל, המצב קל, כך נטען, מכיוון שהוראות המפקח על הבנקים (רגולציה) הנן
בלתי- מתפשרות וברור לכל המעורבים כי לארגון אין ברירה אלא לעמוד בדרישות, גם אם הן קשות או
כואבות. גם בתחום הבריאות ישנה רגולציה, אך היא בשלב זה היא עדיין איננה מיושמת בצורה
מקיפה. במקרים מסוימים, כך סיפר משתתף מתחום הבריאות, לא ניתן היה למצוא פתרון סביר
מבחינה אבטחתית, ולכן בחרנו באלטרנטיבה אחרת, כגון מחשב נייד או מסופון נייד, והם עובדים על
בסיס )Server Based Computing( SBCהמבטיח אבטחה טובה מאוד.
סיכום
אבטחה של טלפונים חכמים היא ללא ספק אחד האתגרים הקשים כיום, בעיקר עקב היותם של
המוצרים בתחום בלתי-בשלים לארגון גדול. הירידה במחירים של מכשירים ממשפחה זו גורמת
לאימוץ גדל והולך שלהם בארגונים, וגדילה זו צפויה להמשיך, כאשר כבר בתוך שנה אנו מעריכים כי
רוב המכשירים בארץ יהיו מסוג זה. ככל שהמכשירים יהיו נפוצים יותר, כך יגבר הלחץ הפוליטי על
הנהלת הארגון לספק מכשירים כאלה באופן רשמי למנהלי הארגון, ואולי אף לעובדים. המידע
המאוחסן על המכשירים, שהנו מוגבל כיום בעיקר למספרי-טלפון או פגישות, יהפוך למגוון יותר עם
הופעתן של אפליקציות עשירות (כגון פתרונות לניהול מידע ארגוני) ויהיה מטרה קורצת-יותר עבור
האקרים. נטייתם של המכשירים להיגנב או ללכת לאיבוד מהווה גם היא סיכון ולכן אנו צופים
שהפתרונות הזמינים יבשילו, במקביל להופעתם של פתרונות נוספים. אנו צופים גם כניסה של
גורמים גדולים לתחום, שתיעשה, כמקובל, על ידי קנייה של חברות קטנות יותר. האתגרים עבור
מפתחי הפתרונות הם התמודדות עם הנדסת-האנוש המאפיינת שימוש במוצרים מסוג זה,
והתמודדות עם מגוון גדול של מכשירים ופלטפורמות הזמינות בשוק. האתגר הצפוי למנהלי אבטחת
מידע הוא בעיקר התמודדות עם סוגיות פוליטיות הנוגעות להגבלת יכולות המכשירים.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
5. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
נושאים אחרים שעלו בדיון
הצפנה של דואר אלקטרוני.
המשתתפים דנו בסוגיית הצפנה של דואר, הן בתוך החברה והן מחוצה לה. כמה משתתפים
ציינו כי הם משתמשים בתכונת RMSהמשולבת בשרתי הדואר של מיקרוסופט, אך תכונה
זו מתאימה לתקשורת תוך ארגונית. לתקשורת חוץ ארגונית סיפר אחד המשתתפים,
מחברה בתחום התקשורת כי הוא משתמש בטכנולוגיה של .PGPבמקרה כזה, לקוח
המקבל את הדואר המוצפן מזדהה מול שרת ציבורי ומקבל את המפתח לפתיחת הקובץ.
משתתפים מתחום הביטוח סיפרו כי נושא זה נדרש על ידי הרגלוציה, אך החברות בתחום
זה לא מצאו פיתרון סביר לנושא, בעיקר מכיוון שיש להם התכתבויות מזדמנות שבהן עובר
מידע רגיש.
מערכות SIEM/SOC
כמה משתתפים סיפרו כי הם נמצאים בתהליכי הטמעה של מערכות .SIEM/SOCחלקם
רק בשלב הבחירה, וחלקם כבר בשלבי הטמעה מתקדמים יותר. המשתתפים סיפרו כי הם
מבצעים בדיקות P.O.Cעל מוצרים של ArcSight ,EMCו – .CAהמשתתפים ציינו כי
המוצר של EMCנחמד, אך זה של ArcSightהוא המוביל בארץ, לדעתם. אחד
המשתתפים מתחום הביטוח ציין כי שימוש בפתרון SOC/SIEMמחייב כמות גדולה של כח
אדם, וציין כדוגמא את אחד הבנקים בישראל, המפעיל 01 אנשים לטיפול בנושא זה בלבד.
המשתתף ציין גם כי גם הוא צופה שיצטרך לשלב בצוות כח אדם נוסף לטיפול ב ,SOCוהוא
-
צפוי לקבל תקן לשם כך.
מערכות NAC
אחד המשתתפים תהה אם מי מהארגונים הנוכחים משתמש בטכנולוגיית ,NACמלבד מוצר
SWATשל חברת .XORהמשתתפים סיפרו כי זוהי טכנולוגיה מעניינת, אך נמצאת רק
בשלבי בחינה או תכנון, ויתכן שבשנה הבאה תיכנס לשימוש מעשי. מוצר ,SWATלדברי
אחד המשתתפים מהתחום הבטחוני, הוא טוב ועושה את העבודה, אך הוא אינו נותן פתרון
מלא ואינו מסייע, לדוגמא, בבדיקה אם משתמש מסוים עומד בדרישות הארגון לאנטי וירוס
או עדכון טלאי אבטחה. חיסרון של המוצר, לדברי אותו משתתף, הוא העובדה שכתובת
,MACשהיא הבסיס לפעילותה של התוכנה, ניתנת לזיוף, ואילו מוצר " NACאמיתי"
מאפשר לבצע פעולות מתקדמות יותר במידה משמעותית. המשתתפים סיפרו כי הם בוחנים
מוצרים של החברות סיסקו , סימנטק, Forescoutומקפי, אך בדיקות אלה הן בעיקר
בשלבים ראשוניים. כמה משתתפים ציינו כי הם בשלבי הטמעה מתקדמים של פתרונות
מבוססים ,802.1Xאם כי אלו גוררים עלות לא פשוטה של החלפת ציוד-תשתית רשת רב.
אחד המשתתפים מתחום הביטוח ציין כי הוא מבצע רענון של ציוד הרשת בכל מקרה, ולכן
זוהי איננה בעיה חריפה. המשתתף הוסיף גם כי מאפיין ייחודי של חברות ביטוח הוא היותן
מורכבות מהרבה מאוד חברות קטנות-יותר שצורפו במשך השנים, וזה יוצר שונות גדולה
בציוד ובתקנים, ומסבך מאוד את ההטמעה.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
6. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
ניהול סיסמאות
המשתתפים דנו בסוגיית הסיסמאות, ובעיקר בקושי של החלפת סיסמאות בשרתים השונים
בארגון. משתתף מתחום הבריאות סיפר כי הם מחזיקים בסיס-נתונים של הסיסמאות,
ונעזרים בסקריפטים לשם ביצוע ההחלפה עצמה. משתתף אחר מתחום התעשייה סיפר כי
המשימה נעשית אצלם בצורה ידנית, על ידי אחד מעובדי החברה, שזוהי משימתו העיקרית.
משתתף מארגון בטחוני ציין כי פתרון בשם CyberArkמאפשר להתמודד עם הבעיה בצורה
טובה, אך מדובר במוצר יקר מאוד.
הגורם האנושי
המשתתפים ציינו כי האתגר הגדול של ארגונים מסוימים הוא לאו דווקא באבטחת מערכות
מידע, אלא בגורם האנושי. צוינו מקרים בהם מידע שהנו מאובטח מאוד מטבעו עשוי לדלוף
עקב התנהגות בלתי תקינה של אנשים, כגון מנהלי בסיסי-נתונים ( )DBAאו אנשי מקצוע.
אחד המשתתפים ציין כי בתחומים מסוימים, כגון מערכת הבריאות, דליפת מידע עלולה
להוביל לאובדן חיי אדם, ולכן הדבר דורש רגישות מיוחדת, וגם גמישות בניהול המערכות.
המשתתפים ציינו כי חשוב להקפיד על אבטחה פיזית במקביל לאבטחת מידע, כדי לצמצם
סכנות של דליפת מידע באמצעים אלה, ואחד מהם סיפר כי בארגונו מופעל צוות מיוחד
שתפקידו הוא לבצע ביקורות אקראיות במתקני החברה. במקביל, סיפר המשתף, החברה
מספקת לעובדים הדרכה תקופתית לגבי צורות התנהגות לצמצום סיכונים ודליפת מידע.
סינון אתרים ()URL FILTERING
המשתתפים ציינו כי סינון אתרים הוא טכנולוגיה חשובה, אך בעלת השלכות פוליטיות, מכיוון
שהיא מחייבת בחירה במצב עבודה של רשימה-שחורה (כלל האתרים זמינים, מלבד כאלה
שהוגדרו לחסימה) או רשימה-לבנה (כלל האתרים חסומים, מלבד כאלה שהוגדרו כזמינים).
אחד המשתתפים סיפר כי לאחר שבדקו כמה מוצרים בתחום, כגון ,BlueCoatהגיעו
למסקנה כי עדיף להשתמש בטכנולוגיה בתצורה של "שירות" ולא כמוצר עצמאי. משתתף
אחר מחברה בתחום הפיתוח סיפר כי הם דווקא מאוד מרוצים מהמוצר של ,BlueCoatוהוא
מבצע עבורם כמה תפקידים נוספים.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
7. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
נספח: תגובות מאת וונדורים לגבי הנושאים שעלו במפגש:
הצפנה של דואר אלקטרוני.
מענה חברת מלם-תים:
נושא דואר מוצפן הוא בהחלט נקודה כואבת בהרבה ארגונים, החוששים מזליגת מידע לא רצוי או
מדרישות הרגולציה. הכלים להצפנת דואר אינם פשוטים ואינם קלים לתפעול שוטף.
אנו במלם-תים מציעים פתרון מאת חברת ( Ironportחטיבה נפרדת של סיסקו) לנושא ההצפנה של
דואר אלקטרוני, וזהו פיתרון מצוין. החברה מספקת פתרון בתצורת Applianceהמהווה פתרון כולל
לאבטחה של דואר אלקטרוני, ומטפל בכל סוגי האיומים. ניתן כאופציה לשלב בו אנטי-וירוס וכן אנטי-
ספאם. המערכת כוללת יכולת זיהוי מילות מפתח וביצוע מדיניות מוכתבת מראש. כמו כן, המערכת
תומכת בהצפנת מיילים מבוססת מדיניות. ניתן לקבוע הצפנה לפי יעד, לפי מילות מפתח וכדומה.
למשתמש הקצה לא נדרשת תוכנה מיוחדת. ההצפנה היא חזקה ומבוססת , ,AESכאשר לכל מייל
יש מפתח הצפנה נפרד. מדובר בפתרון יעיל ושימושי הן לצורך הצפנה בלבד, והן לטיפול כולל בכל
איומי הדואר. המוצר מותקן בהצלחה רבה בארגונים עם אלפי משתמשים.
מענה חברת אמן:
חברת אמן מספקת פתרונות הצפנת דואר ברמת שער ( .)GATEWAYפתרונות ברמה זו מאפשרים
הטמעה קלה ויישום פשוט הן מבחינת הארגון והן מבחינת משתמש.
מענה חברת ליבי טכנולוגיות:
אחת הדרכים למנוע זליגת מידע הנה עבודה במצב On-lineבלבד, להבדיל ממצב המבוסס על
שליחה או אחסון קבצים על המכשירים הניידים. קיימים פתרונות לתחום, כגון ,!Cognos GO
המאפשרת יכולות BIמהמכשיר החכם הנייד. המערכת מתבססת על עבודה באונליין מול מערכת ה-
BIהמרכזית תוך שימוש בהצפנות מלאות על התעבורה. המשתמש יכול לקבל דוחות, גרפים,
התרעות וכו' מתוך מערכת ה- BIללא ייצוא מידע רגיש החוצה. שיטת עבודה זו נותנת יתרון גם בכך
שהמידע עדכני בכל רגע.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
8. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
מערכות NAC
מענה מלם-תים:
מלם-תים מתמחה בהטמעת פרויקטי NACו – .802.1xאנשינו ביצעו הטמעות 802.1xעל בסיס
ציודי נורטל ו – Enterasysבהצלחה רבה. אנו מספקים פתרון הכולל הזדהות המשתמש ב -
802.1xוזהות תחנת הקצה באמצעות MS Certificate Authorityוחלוקת סרטיפיקטים לתחנות
הקצה. בתצורה זו נשמרת זהות המשתמש המורשה ונשמרת מניעת חיבור התקנים לא מורשים
לרשת. היישום הוא מורכב ומאתגר, אך בהחלט ניתן לביצוע על ידי אינטגרטור בעל ידע רחב
והתמצאות בטכנולוגיות מבוססת מיקרוסופט ובתקשורת ואבטחת מידע. כמו כן, ביצענו מספר
פרויקטים מוצלחים המבוססים על מוצר Swatשל .XORנכון שזיהוי MACהוא אבטחת מידע
חזקה. קיימת חברת ישראלית נוספת המציעה פתרון דומה בשם .insightix
מענה חברת :IBM
נכונה ההגדרה כי הנושא נמצא בתחילת דרכו, אך עם זאת, אנו מזהים מגמה חזקה של התעניינות
בתחום, וכן תחילת עבודה ומימוש בציוד הנתמך, כמו גם הרחבת הפתרון על פי קצב הארגון. אנו
מזהים בתחום זה יותר ויותר החלטות בסגנון "עדיף מה שיש על פני לא כלום".
בתחום ה – NACישנו מוצר חדש מעניין של חברה ישראלית בשם .Access Layersהמוצר נקרא
Port Noxומאפשר ישום NACללא תלות בציוד התקשורת וללא צורך בהתקנה בתחנות הקצה.
המוצר מאפשר גרנולריות רחבה בסוגי ההזדהות של ציוד הקצה. המוצר יוצר קשר אל הספריה
הארגונית בעת הצורך ומאפשר ניטור של הרשת בזמן אמת. אנו מזהים הרבה התעניינות במוצר זה
ולקוחות אשר בדקו אותו מחזירים משובים טובים מאוד.
ארגונים אשר הטמיעו פתרונות מתחום ה- NACמתחבטים לגבי מהו פרק הזמן בו יש לבצע סריקה
מחודשת למחשב שקיבל אישור להתחבר. מסתבר שלא ניתן לבצע את הסריקה בכל פעם שהמחשב
רוצה להתחבר שכן הדבר גורם לבזבוז זמן רב (גם הסריקה וגם התיקון, באם נדרש). ניסיוננו בקרב
לקוחותינו מראה כי משך הזמן הסביר בו לא נגרם נזק משמעותי על ידי חיבור מחשבים לרשתהוא
כחודש ימים.
מענה חברת :XOR
מערכת SWATהיא המערכת הנמכרת ביותר בארץ בתחומה, ונמכרה לעשרות רבות של ארגוני
Enterpriseוטלקום גדולים בארץ ובעולם. המערכת נבחנה ע"י גופים ביטחוניים ואף הוגדרה כתקן
NACלגופים אלו. SWATמספקת NACעם בדיקות מקיפות הרבה מעבר לכתובת ה - .MAC
נשמח להציג בפני המשתתף אשר טען כי MACאינו מספיק, את יכולות המערכת החדשות
המאפשרות לוודא שייכות מחשב לפי סוגי חומרה, שייכות ל ,Active directoryתוכנות מותקנות ו/או
רמת העדכון שלהן כחלק מאימות המחשב לרשת.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
9. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
ניהול סיסמאות
מענה מלם-תים:
בנושא ניהול סיסמאות, אנו מציעים פתרון מדהים של חברת Imprivataהמטפל בכל נושא ניהול
הסיסמאות בתצורה של .SSO- Single Sign Onהמשתמש מזדהה באופן חד פעמי, והמערכת
מאפשרת גישה לכל היישומים שהוא מורשה להם ללא צורך בהזדהות נוספת. המערכת מבוססת על
Applianceבתצורה זוגית, למטרת גיבוי ושרידות. היתרון המשמעותי במוצר הוא זמן ההטמעה
הקצר בארגון. המערכת "מצלמת" כל תהליך כניסה למערכת ושומרת אותו. זמן ממוצע להכנסת
יישום חדש למערכת הנו קצר במיוחד - שעה עד מספר שעות בודד. המערכת תומכת באלפי
משתמשים ונמצאת ביישומים בארגונים גדולים.
מענה חברת אמן:
הארגונים של היום הינם מרובי אפליקציות ומרובי סיסמאות אשר מג ינות על מידע רגיש ויקר ערך. בתקופה
האחרונה תחום ניהול הסיסמאות צובר תאוצה ובניגוד לעבר הוא כבר לא נתפס כחלק מפרויקט של
"ניהול זהויות " אלא ככלי בעל תועלת ו- ROIלכשעצמו . אמן , נציגתה של חברת Citrixבישראל מייצגת את
פיתרון - , Citrix Password Managerשבנו מוצר לניהול הסיסמאות בארגון . המוצר נותן מענה ל צרכים
הבאים:
הרחבת ההגנה על הא פליקציות – הכלי לניהול סיסמאות מ סיר מהמשתמש את האחריות לשינוי וזכירת
הסיסמה ומעביר אותה למנהלי ה- ,ITובנוסף מאפשר לקבוע מדיניות ניהול ואכיפת סיסמאות גם לאפליקציות
אשר אין להן מנגנון סיסמאות, מספר סוגים של סיסמאות אשר קובעות את רמת השימוש באפליקציה .
מפשט את כניסת המשתמשים לאפליקציות – תהליך הכניסה לאפליקציה של המשתמשים הנו אוטומטי
לחלוטין, והמשתמש נדרש לזכור ול הזין סיסמה אחת בלבד.
ציות לתקנות חוקיות –נותן מענה לתקנות רפואיות כגון HIPAAעל ידי כך שמעניק שליטה וניהול מלאים לגבי
בעלי זכות גישה למידע ולאפליקציה ורמת הגישה אליהן.
מפחית את כמות הקריאות לתמיכה – מוריד מהתמיכה את עומס הטיפול בנושאי סיסמאות.
תמיכה בפלטפורמות מרובות – המוצר תומך באפליקציות מסוגים שונים : חלונאיות , אינטרנטיות וכו' , ללא
תלות האם האפליקציה מותקנת מקומית על המחשב או על שרת . Citrix
הטמעה פשוטה ומהירה - לכלי יכולות הגדרה מתקדמות , הגדרת קונסול מבוסס משימות ( ,) task-basedללא
צורך בכתיבת סקריפטים. מסיבה זו, ה- Password Managerהינו כלי נוח להגדרה והטמעתו מהירה במיוחד.
מענה חברת :IBM
בתחום זה ישנן שתי בעיות עיקריות - סיסמאות משתמשים וסיסמאות שירותים. אנו מזהים מספר
מגמות שונות בפתרון סוגיות אלה. בנושא משתמשים, אנו מזהים מגמה של שימוש במוצרי ניהול
סיסמאות כדוגמת ה- Password Vaultשל חברת .CyberArcכמו גם פרויקטים בתחום ה- SSO
( ,(Single Sign ONשלאחרונה מקבל תנופה הולכת וגוברת.
חברת IBMיישמה ומיישמת פתרון SSOמשולב עם ניהול משתמשים המבוסס על מוצרי Tivoli
מבית .IBMהמערכת מנהלת את זהות המשתמשים מרגע הקליטה במערכות כוח האדם ועד
לעזיבת העובד. המשתמש מזדהה רק פעם אחת עבור כניסה לכלל המערכות בארגון. המערכת
דואגת להחליף עבורו את הסיסמא ולסנכרן את המערכות במידת הצורך. המערכת המיושמת
מתחברת גם למערכת בקרת הכניסה הארגונית ומאפשרת שילוב של אבטחת מידע פיזית ולוגית.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
10. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
הגנה על טלפונים ומחשבי כף יד -שיקולי אבטחה במקרה של אובדן וגניבה.
מענה חברת אמן:
חברת אמן הנה נציגת ,UTIMACOומציעה ללקוחותיה פתרון הצפנה למחשבי כף יד המשלב
הצפנה של המידע והזדהות חכמה. שילוב פתרון זה בתוספת כרטיסים המכילים תעודה דיגיטלית
( )Certificateמאפשר התמודדות טובה עם מקרי גניבה ואובדן. כמו כן, חברת אמן בוחנת בימים אלו
מערכות Provisioningשמטרתן לנהל את המידע לגבי מכשירים ממשפחה זו וכמו כן ניהול ה-
ASSETואפשרות נעילת מכשיר מרחוק.
מענה חברת מטריקס:
לחברת מטריקס מספר פתרונות מקו המוצרים של ,Pointsecכאשר ל- Symbian OSיש לקוח קטן
אחד ול- MS Mobile OSיש שני לקוחות שנמצאים בבחינה של הנושא, ולקוח אחד שרכש את
הפתרון אך עדיין לא יישם אותו. בעתיד הלא רחוק מתכננת חברת Checkpointלהציג גם פתרונות
חדשים לתחום, אשר ישלבו יכולות .Onlineכרגע המוצר פועל בתצורת Offlineומאפשר הצפנה של
מידע על המכשירים הניידים וכן בקרת כניסה. עבור עובדים ניידים, המערכת תומכת בתהליך
Challenge-Responseשאינו מחייב חיבור פיזי לרשת של ה- .End Point Device
מענה חברת :SafeEnd
לאחרונה רבו המקרים של אובדן או גניבה של מדיה נתיקה, מדיות אופטיות וכדומה מארגונים.
מלבד אובדן המידע, קיימת גם חובת הדיווח על ארגונים הכפופים לרגולציות שונות ( ,HIPPA, SOX
Bazelוכו'). במקרה זה אובדן המידע הוא רק חלק מהנזק, ויש לקחת בחשבון את הנזק של הפגיעה
במוניטין, וכן את המאמץ הנדרש לשחזור הנתונים שאבדו ולפעמים המאמץ הנדרש בדיווח לאותם
גורמים שהמידע שלהם אבד (במקרה של אובדן פרטים אישיים).
חברת Safendהישראלית ( )www.safeend.comמפתחת מוצר תוכנה להגנה מפני דלף מידע
מתחנות הקצה בארגונים. למוצר Safend Protectorיש כיום יכולות בלעדיות בשוק של אכיפת
הצפנת כל המידע המועתק לכל סוגי המדיה החיצונית ( DOK , CD/DVD , External HDDוכו').
באמצעות התוכנה ניתן לעקוב אחרי המידע שהועתק (במידה ויידרש שחזור) וכמו כן שימוש במדיה
המוצפנת גם מחוץ לארגון.
הגנה על טלפונים ומחשבי כף יד -שיקולי הגנה מפני איומים.
מענה חברת אמן:
חברת אמן הנה נציגת החברות סימנטק ומקאפי, המציעות מוצרי אנטי-וירוס לטלפונים סלולאריים.
מוצרים אלה משרתים לקוחות רבים בעולם, וחברת נוקיה אף בחרה בפתרונות אלו כפתרונות
מובילים. הפתרונות של שתי החברות הללו מספק מענה למגוון הרחב של מערכות ההפעלה המצויות
בטלפונים הסלולאריים הקיימים בשוק.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
11. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
הגנה על טלפונים ומחשבי כף יד -שיקולים פוליטיים.
מענה חברת אמן:
אבטחת מידע באה לספק פתרון לשלושה תחומים מרכזיים: סודיות המידע, שלמות המידע וזמינות
המידע. רגולציות אכן מנרמלות את הארגונים השונים, שכן הן מחייבות את הארגון לעמוד
בסטנדרטים על פי המגזר אליו הוא שייך, אך יחד עם זאת אבטחת המידע נועדה לשרת את הארגון.
חברת אמן שמה דגש רב על שלוב פתרונות אבטחת המידע בתהליך העסקי בכל פתרון אבטחת
מידע. התהליך העסקי מהווה את הליבה, ואבטחת המידע מתמזגת בתוך התהליך העסקי תוך
התחשבות בצרכי הארגון ובמגבלות הרגולטוריות.
הגורם האנושי
מענה חברת אמן:
הכשרת עובדים באופן שוטף והגדלת המודעות באמצעות הדרכות ו PRארגוני מצמצמת את הסיכון
שהוזכר בדיון. אנו מאמינים כי יש לבצע הדרכות באופן שוטף בתדירות של אחת לרבעון, במידה
וקיימת האפשרות. בנוסף, אנו מאמינים כי יש להגביל את היכולת של דליפת מידע באמצעות התקנים
נתיקים וניידים על ידי שימוש בפתרונות ייעודיים לתחום.
מענה חברת :SafeEnd
הגברת המודעות לאבטחת מידע עשויה ללא ספק לצמצם את התקלות, וכך גם ביקורת תקופתית,
אך למעשה אין תחליף לפתרון טכנולוגי אשר יצמצם את אבדן המידע מהארגון באמצעות אכיפה. כלי
כזה יכול גם לפעול באמצעות חינוך המשתמש ולאו דווקא אכיפה (על מנת לאפשר המשך עבודה
בארגון). כלי אשר יותקן בכל אחת מתחנות הקצה ישמש תחליף הרמטי לביקורת תקופתית וכמובן
יוסיף יכולת של מעקב ( )Monitoring & Loggingעל המידע. כך ניתן למנוע את הדלף ע"י אכיפה
מתאימה, וגם יכולת מעקב במקרה של דליפה בלתי רצויה. לחברת Safendיש מוצר הגנה לארגונים
המגן מפני דלף מידע (זדוני או עקב התנהגות בלתי תקינה) מתחנות קצה. למוצר יש יכולות מעקב,
דיווח ואכיפה של מדיניות ארגונית.
סינון אתרים ()URL Filtering
מענה חברת אמן:
ניתן לממש פתרון URL FILTERבתצורות שונות ובשילוב עם רכיבים נוספים. חברת אמן היא
נציגת חברת SURFCONTROLשנרכשה לאחרונה ע"י חברת ,WEBSENSEומציעה פתרון
ארגוני מאפשר שליטה מלאה ובקרה בתחום הגלישה.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax
12. 44424479-279 .Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax
מערכות SIEM/SOC
מענה חברת :XOR
מערכת Envisionשל EMCהיא המערכת המובילה בעולם בתחום זה. זוהי המערכת הוותיקה
ביותר עם 11 שנות קיום בשוק, ו - Install Baseעולמי נרחב. EnVisionאינו מוצר "נחמד" – הוא
המוצר המוביל החזק ביותר בתחום על פי חברת גרטנר ומותקן אצל אלפי לקוחות בעולם. בימים אלו
מתחילה הטמעת המערכת בקומברס, שבחרה בו מול כל המוצרים האחרים.
מענה חברת בינת:
חברת בינת מייצגת בישראל את הפתרונות של חברת סיסקו, המציעה את מוצר ,MARSהנחשב
למוביל בעולם ובישראל. כמו כן מציעה החברה פתרונות של חברת ,EMCהמשווקת מוצר בשם
Envisionשנידון במפגש, ומוצר זה הנו גם כן מוביל ומצליח מאוד בישראל, ומציע יכולות מאוד
גבוהות ודומות לאלו של .ArcSight
מכשירים ניידים ( הנושא לא נידון במפגש)
מענה חברת :IBM
למרות שהדיון המקורי לא כלל מחשבי PCניידים, תגובתנו לסיכום תתייחס לתחום זה , שכן המגמה
כפי שאנו רואים זאת אצל מרבית לקוחותינו, היא התייחסות לכלל האמצעים הניידים כמקשה אחת
ואספקת פתרון כולל. ניסיונו מראה כי בטרם יישקל הפתרון הטכנולוגי, יש לבצע הערכה של הצורך
באמצעים הניידים אל מול יעדי הארגון. יש להבין אילו אמצעים דרושים ואלו אמצעים הם ברמה של
" ."nice to haveבכל אופן, יש לזכור שאבטחת המידע משרתת את הארגון ולא להפך. סיכום הדיון
סקר את רובם המוחלט של האיומים בנושא זה. לדעתנו, הדבר הראשון שיש לבצע בתחום זה הינו
חינוך העובדים למודעות לאבטחת מידע. מודעות פותרת חלק גדול מהאיומים עוד בטרם הם
מתממשים. אנו מזהים בקרב לקוחתנו שיפור גדול בנושא החינוך והמודעות, והובלנו מספר תהליכים
מאוד מוצלחים בתחום זה. שני הנושאים העיקריים בהם התמקדו לקוחותינו בתחום זה הינם חיבור
הניידים לרשת הארגון, ושמירת המידע הנמצא במכשיר הנייד. ישנם מספר מוצרים טובים להגנת
המידע על האמצעי הנייד. חברת IBMמציעה מוצר בשם ,Lotus Mobile Connectהמאפשר חיבור
ניידים לארגון בצורה חדשנית:
1. המוצר מתאים לכלל סוגי הניידים, ולכלל מערכות ההפעלה הקימות כיום בשוק.
2. המוצר מאפשר המשכיות עבודה רציפה ללא קשר לתווך ממנו התחבר המכשיר הנייד.
3. המוצר משתמש באלגוריתמים ייחודיים לדחיסה, אשר משפרים ביצועים ברמה ניכרת.
נושא האמצעים הנתיקים ( CD,DoKוכו') תפס גם הוא תאוצה בשנה האחרונה. אנו זיהינו כי המפתח
להצלחה בהגנה מפני איומים אלו תלוי כמעט כולו בפתרון של "בעיית הפוליטיקה" המתוארת
במסמך. זיהינו כי אחת הדרכים לעבור מכשול זה הוא בהבאת התמונה כפי שבוצעה בארגונים בעלי
אופי דומה.
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
4442447-9-)279 ( :Tel: (972)-9-7444474 Fax