אבטחת מידע

אבטחת מידע בארגון הינה בבסיסה תהליך תמידי המבוצע בצורה ספיראלית, ומשלב תכנון, מימוש, תחזוקה שוטפת, בקרה וטיוב – וחוזר חלילה. חברת קומפיסי אמונה על תכנון, יישום ובקרה על פתרונות אבטחת מידע, מתוך תפיסה מערכתית כוללת וראיה תשתיתית.

קומפיסי אינה מייצגת אף יצרן ואינה מצויה בקשרי אינטרסים כאלה ואחרים עם יצרן או משווק של מערכות אבטחת מידע, דבר המאפשר לנו מתן ייעוץ אובייקטיבי, נטול פניות, המונחה ע"י האינטרסים של הלקוח בלבד.

כתחום בעל חשיבות מכרעת ביציבותם וצמיחתם של ארגונים, אבטחת המידע עברה בשנים האחרונות תהליך של סטנדרטיזציה ורגולציה. מומחי אבטחת המידע שלנו בקיאים בתקני אבטחת מידע (BS7799 / ISO17799 וכן ISO27001), חוקים בינ"ל (SOX, HIPPA) והוראות מקומיות (הוראה 357 של המפקח על הבנקים, והוראת המפקח על הביטוח ) ואמונים על בניית פתרונות התואמים סטנדרטיים אלה.

תכנון ויישום מערך אבטחה כולל לארגון
תהליך מובנה הכולל תכנון ויישום של אבטחת-מידע בארגונים. התהליך מכסה בעצם את מכלול המרכיבים של אבטחת המידע בארגון: קונספט האבטחה, נהלים ומדיניות, מערכות IT ו-Security ליישום ואכיפה של הקונספט והמדיניות, וכן תהליכי בקרה וטיוב המהווים חלק ממהלך החיים של מערך האבטחה. בכלל זה השירות שלנו מאפשר:
  מיפוי צרכים קיימים ועתידיים, ותפירה מותאמת (בשיתוף הלקוח) של קונספט האבטחה, מדיניות, נהלים, ומערך האבטחה עצמו.
  כתיבת נהלי אבטחת מידע ומסמכי מדיניות, בהתאמה לתקנים וההוראות הרלוונטיים.
  תכנון של ארכיטקטורת מערכות ה-Security, ובכלל זה מערכות סינון, צופן, ניהול זהויות, ריכוז התרעות ואירועי אבטחה ואחרות.
  סיוע בכתיבת RFI ו-RFP למערכות אבטחה.
  יישום של מערך האבטחה עצמו (ראה פירוט בהמשך).

סקר סיכונים (Risk Assessment)
סקרי סיכונים של מערכות IT הן נדבך חשוב באבטחת המידע של ארגונים, בהיותם כלי בקרה המאפשר קבלת תמונת מצב בלתי תלויה וחיצונית אודות אבטחת המידע בארגון. מטרתו של סקר הסיכונים לסקור את מידת האבטחה של מערכות המידע, ולפרט את החשיפות והסיכונים במערך זה בהיבטים של סודיות המידע, שלמותו וזמינותו, בלווי המלצות אופרטיביות לצמצום או מניעה של סיכונים אלה.
סקרי סיכונים מבוצעים במתודולוגיה של white-box, כאשר כלל נתוני התכנון והקונפיגורציה של מערכות המידע עומדים לרשות הסוקרים. הסקר מכסה את היבטי התכנון (קונספט, נהלים ומדיניות, תכנון וארכיטקטורה) ואת היבטי מימוש (מידת ההקשחה של ציודי תקשורת, ציודי אבטחה ושרתים).
נקודת המוצא של סקר הסיכונים היא מיפוי של גורמי הסיכון, זיהוי של המערכות בהן יושב ה"ביזנס" של הארגון וכיול של חומרת הנזקים בראיית הנהלת הארגון. פרמטרים אלה מסייעים במיקוד ותחימה של התחום הנבדק בסקר, ובדירוג של הממצאים עצמם.
תוצר הסקר הינו דו"ח המפרט את החשיפות והסיכונים (מדורגות לפי חומרתן וקלות/סבירות מימושן), משמעותם העסקית, והמלצות כיצד למנוע או לצמצם חשיפות אלה.

בדיקת חדירה (Penetration Test)
בדיקה שמטרתה לבחון יישום של מערך אבטחת מידע, במתודולוגיה המאמצת את שיטת העבודה של פורץ המנסה לחדור למערכות אבטחת המידע בארגון (מבפנים או מבחוץ). בדיקה זו מהווה נדבך נוסף בבקרה על מערכות אבטחת מידע, והיא באה לענות על השאלה הבסיסית: "כמה רחוק יכול להגיע פורץ המנסה לחדור או לבצע מניפולציות על מערכות המידע בארגון?".
בדיקות החדירה יכולות להתבצע ברמת התשתית ו/או ברמה האפליקטיבית. הפורצים של קומפיסי אמונים על ביצוע בדיקות חדירה גם בתצורות לא סטנדרטיות, בהן כלים אוטומטיים אינם ישימים, או שיעילותם שולית.
התהליך של בדיקת חדירה כולל שלב של הגדרת היעדים לבדיקה, הפעלה של כלים אוטומטיים למיפוי וחדירה ברמה בסיסית, וניסיון חדירה ידני, מונחה יעדים, המבוצע ע"י פורצים מיומנים.
המתודולוגיה לבדיקה יכולה להיות black-box, או white-box, בהתאם למערכת ולדרישות הלקוח. במקרים רבים, אנו מיישמים ביצוע הדרגתי המתחיל כ-black-box, והופך בהדרגתיות ל-white-box ע"י חשיפת מידע ודימוי של סיוע "מפנים".
תוצר הבדיקה הינו דו"ח המפרט את הפגיעויות שנמצאו, משמעותן והמלצות כיצד למנוע או לצמצם חשיפות אלה.

אבטחת אפליקציות (Application Security)
תחום אבטחת האפליקציה הוא כיום התחום הצומח ביותר בתחום אבטחת המידע. באופן מסורתי, מערכות אבטחת המידע התמקדו באבטחת התשתיות (ציודי תקשורת ושרתים) ולא באפליקציות עצמן. על פי נתוני מיקרוסופט, גם כיום אפליקציות רבות ממשיכות להיות מפותחות בצורה "נאיבית" ולא בטוחה, כזו אשר פותחת פתח לניצול פגיעויות ע"י תוקפים, סוסים ושאר מריעין.
אמנם הגנה (חלקית) על אפליקציות שכבר פותחו אפשרית ע"י שימוש בכלי אבטחה כגון Application FW, אולם ככל שזה נוגע לאפליקציות חדשות המפותחות – חזקה על הארגונים המפתחים להימנע מחכמת חלם, ולפתח אותן מראש במתדולוגיה של פיתוח בטוח ומתוך ראיה אבטחתית.
שירותי הייעוץ של קומפיסי בתחום אבטחת האפליקציה מכסים מסלול חיים שלם של פתוח בטוח, ובכלל זה:
  ניתוח התכנון בהיבטי אבטחת מידע, והמלצה על Security Architecture בהתאמה ל-HIPPA ו-SOX.
  ביצוע Threat Modeling לפי המתודולוגיה המומלצת ע"י מיקרוסופט.
  כתיבת מסמכי הנחיה לקידוד בטוח ומסמכי דרישות אבטחה.
  העברת הדרכות בנושא אבטחת אפליקציה ותהליכים לקידוד בטוח ע"פ מתודולוגיית SDL של מיקרוסופט (Security Development Lifecycle).
  ביצוע Code Inspection שוטף כחלק מתהליך הפיתוח, לאפליקציות .net ו-J2EE.
  הטמעת תהליכים, שיטות עבודה וכלים בתהליך הפיתוח של המפתחים.
  ביצוע בדיקות חדירה whitebox, במהלך הפיתוח (אבני דרך) ובפאזת הסיום.
  ביצוע Final Security Review עם סיום תהליך הפיתוח.

אינבסטיגציה, איתור סוסים טרויאניים וחקר כשלונות
בעידן ה-RootKits, בו סוסים טרויאניים הופכים מתוחכמים יותר ויותר, ובעלי יכולת הטמעות גבוהה במערכת הנתקפת, קשה שבעתיים האיתור וההסרה של כלי לוחמת המידע. פרשיית הסוס הטרויאני חשפה את מוגבלות מערכות האבטחה הקיימות בהתמודדות עם סוסים טרויאניים "תפורים" – מרגע שהוחדרו למערכת, הפעילות שלהם נראית לגיטימית, וקשה לאתר אותם – ומכאן הצורך בביצוע של חקירה תפורה וידנית לאיתור של כלים תפורים אלה.
במסגרת של אינבסטגציה אנו מבצעים חקירה של אירועי אבטחה, או מערכות החשודות כנגועות בסוסים טרויאניים. הבדיקה מבוצעת ע"י בודקים הבקיאים במערכות הפעלה ופרוטוקולי תקשורת – בקיאות המאפשרת להם לזהות "נטע זר" במערכת הנבדקת, לאתר אותו ואת פעילותו ולהסיר אותם. החקירה מבוצעת באמצעות בחינה ידנית, ובסיוע של כלים אוטומטיים – כלי Forensics וכלים לניטור של תצורת מערכת ההפעלה והפעילות במערכת.

יישום הטמעה ותפעול של מערכות אבטחה
התקנה, אופטימיזציה, ותפעול של מערכות FireWall, IDS/IPS, Content Filtering, AntiVirus, Patch Management, Device Control, SOC, PKI, OTP, IDM.

תגובה אחת "אבטחת מידע"

  • אוקטגון מערכות says:
השאר תגובה