יום שלישי, 29 במרץ 2011

The changing landscape of Information technology drives changes in information technology security

I thought this subject to be interesting enough for the global IT & security community so I decided to write it in English instead Hebrew. The article will follow the evolving history of IT & IT security from the start point of IT security somewhere during the 60's of the 20th century till today, the beginning of the 2nd decade of the 21st century, about 50 years altogether. I'll not hide the reasons behind writing this blog entry, It's a combinations of my personal knowledge & thoughts about what happened during the past 50 years in IT & IT security and what lies ahead in the coming years. I was also inspired by an interesting white paper called: "Rethinking Information Security to Improve Business Agility", By Intel IT. Published January 2011:


So Its going to be a combination of history and some prophecy.


1. 20th century: 60's – 70's – Computers were found almost only at companies. Computers were BIG machines located at specially designed Computer Centers that needed careful design, special cooling systems etc. Users used a terminal but had no independent computing power of their own.

Security: Information security was mainly the business of those handling those big machines coupled with a never ending problem - the human factor. The known answer was (and still is): user awareness.

2. During the 70's started to appear on the market early "Personal Computers" like: commodore 64, Atari machines, Sinclair computers (I had one) and others. Those were computers with limited capabilities, but they started a revolution. No more computers at companies only. These were the first wave of computers owned by people. NO connection of these early computers to the company computers.

Security: Security? Nothing changed as a result of these newcomers.

3. 12 August 1981 – IBM PCG the first PC (Personal Computer) from IBM is announced and arrives at the market. It costs between 1,500 $ (the basic configuration) up to 6,000$ for a fully loaded version with color graphics. A lot of other companies rise, fall or merge to create today a huge industry of Personal Computers. The beginning was modest. A clumsy machine for personal use. NO connection to corporate computers. What changed the way the organizations looked at the PC was one application: THE SPREADSHEET. Then it was called Lotus 1-2-3. It was a huge success. Now we all use Excel for personal and organizational usage.

Security: At this point, information security was not a word mentioned together with personal computing. The challenge was to make it something worthwhile for business. This will take sometime.

4. The 80's saw the emergence of Networks based on PCs instead of Main computers and terminals. In this new era, the "main computer" is called "A server" and the workstations are called "Clients". The important point is that the end user has a computer on his desk, not just a "dumb terminal". It started as a Local Area Network (LAN) and his parallel Wide Area Network (WAN). During this decade emerged the connection of computers by telephone lines using modems. Across the world and in Israel BBSes started to emerge. A BBS (Bulletin Board System) used to be like a "mini Internet". It's a computer managed by somebody (organization or private). He keeps the information and manages connections of others to this information & enables the communication among the subscribers to his service. BBSes used to provide much of what Internet provides today.

Security: As those PCs started to become part of the "organizational computing infrastructure", the problem of securing them arose and from that time on the words "PC, server, workstation or endpoint" and "security" or "Insecurity" (depending who is the speaker and when) are inseparable.

5. In the 90's a lot starts to change:

5.1. Slowly but steadily, Internet emerged as a powerful tool for the working environment and for personal use.

5.2. PC industry develops a new "branch", the laptops, a portable personal computer. A PC that can be taken by the end users in a bag, weights a few kilos and holds anything as if it was the PC in the office.

5.3. The connection possibility using the telephone lines from any point to any point made it possible to connect people (generally system administrators and technical staff) from home to the main company computers to assist in problem determination and solving after "normal" working hours. At that time, this was the main reason to allow remote access to the main "crown jewel of the IT at the company", the main computers. We all remember the famous software PC Anywhere used for this purpose.

5.4. Then came the Y2K crisis and almost everybody replaced the old Technology and bought new hardware and software to avoid this coming crisis. Now at the beginning of the new century, the 21st century, the companies had a lot of modern IT. This was a good reason to explore new directions with this new & advanced technology.

Security: Information Security in general is following the changes in the use of IT described above, but always lagging behind new technological innovations of IT and the ways they are being used.


6. The 21st century:

6.1. Emergence of more remote access to the organizational computers connectivity. Organizations allow remote access not solely for problem solving, but many if not all business activities have the ability to be carried out by the relevant employees from outside the organization via remote access, by using secured channels over the unsecured Internet.

6.2. Emergence of customers accessing the organizational computers as part of the service to customers, replacing many of the traditional physical engagements between the customer and the service giver.


6.3. As we turn the page and enter the 2nd decade of the 21st century starts a new revolution. Instead of two separate devices, a computer and a mobile phone, one device being both: a computer and a cellular phone. This is the SMARTPHONE.


Security: We are at the beginning phase of a revolution in security architecture. Till now we are accustomed to use a static architecture. We implement a lot of security features. On the servers, throughout the entire enterprise network, end point security on every end point workstation inside the enterprise, the perimeter of the enterprise is filled with a lot of security features comprising H/W & S/W, security on laptops, encrypted DOK and monitoring capabilities with siem/soc functionality etc. What is emerging is the need to adjust to a dynamic situation instead of a static one. We start to use sometimes our own mobiles, from different places (home, internet café's, planes, different countries etc.), asking for various kinds of using rights from the enterprise where we work or other organizations where we are registered as clients or support team or whatever it be. This new security architecture should be able to identify the risk that a connecting device poses to the device it wishes to connect to, or the risk posed by the services the connecting device asks for throughout the IT infrastructure. I'll not go further into details of this architecture but I believe this is the revolution IT security will undergo in the coming years.


יום ראשון, 27 במרץ 2011

‏הדלפת המסמכים הגדולה בוויקיליקס והמענה שיינתן

הסיבות: צירוף של צורך לשתף מידע בין מחלקת המדינה (מידע דיפלומטי) וסוכנויות ביון שונות, קושי ביישום עיקרון "הצורך לדעת" במערכות מודיעיניות והסתמכות על ההכשר הביטחוני ללא בקרה טכנולוגית על הוצאת חומר מסווג. המענה: מניעה ובקרה טכנולוגית על הוצאת מידע מסווג ושינויי חקיקה שמשמעותם איבוד פנסיה לעובד פדרלי בסוכנות ביון שידליף חומר ואפילו איננו מסווג.


ב-8 במרץ התקיים שימוע בוועדת הסנט לביטחון וענייני המדינה שבה הציגו פטריק קנדי, תת שר המדינה האמריקני, ותומס פרגוסון, סגן תת השר העיקרי למודיעין של משרד ההגנה, כיצד התאפשרה התקלה במנגנוני האבטחה שגרמה בסופו של דבר שהחייל הזוטר, טוראי ברדלי מנינג מצליח לשלוף מעל רבע מליון מסמכים מסווגים ומברקים דיפלומטיים רגישים מהרשת המאובטחת של משרד ההגנה ה-SIPRNet ולהעתיקם ל-CD's. המברקים הללו נמסרו לויקיליקס אשר פרסם אותם במהלך חודש נובמבר 2010. ההעתקה בוצעה במהלך כחצי שנה: נובמבר 2009 – מאי 2010. באותו השימוע, המנמ"רית של משרד ההגנה, טרזה טקאי מציגה כיצד משרד ההגנה מתכנן לשפר את מערך אבטחת המידע על מנת להגן טוב יותר מפני נסיונות עתידיים של גניבת מידע מסווג. ועוד בבלוג זה, על מהלכי חקיקה עתידיים ותוכנית ה-Director of National Intelligence בנושא.


1. כיצד התאפשרה הדליפה הענקית של מסמכים מסווגים לוויקיליקס

1.1. לשאלה מדוע רשת המחשוב המסווגת של ה-DoD תכיל מסמכים דיפלומטיים של מחלקת המדינה האמריקנית ותהיה נגישה למישהו שאיננו נדרש להם לשם ביצוע תפקידו ניתנה התשובה שהמברקים האלו נמצאים ברשת משרד ההגנה על מנת שקציני המודיעין הצבאי יהיו נגישים להם. כמו באינטרנט, חלק מהמידע ב-SIPRNet מוגן סיסמה וחלק לא. המברקים הללו לא היו מוגני סיסמה.

1.2. לדברי המשתתפים בשימוע הם מאמינים בחשיבות שיתוף מידע. תהיה זו טעות גדולה וסיכון לביטחון הלאומי אם מחלקת המדינה תנסה להגדיר כל אחת מ-65 הסוכנויות שאיתן משתפים מידע כדי לומר: "טוראי סמית יכול לצפות במברק זה, לויטנט ג'ונס יוכל לצפות במברק אחר". המדיניות שבתוקף כבר שנים רבות בין מחלקת המדינה והסוכנויות האחרות הינה שאנו מספקים את המידע לסוכנות אחרת והסוכנות האחרת אחראית לבקרת הגישה של עובדיה למידע שאנו מספקים לה.

1.3. חוקי אבטחת מידע אחרים מיושמים במערכות IT באזורי קרבות. בשונה מההומוגניות של מערכות IT אשר משתפות מרכיבים דומים בארה"ב, כפי שנמצא ב-Bank Of America, מחשבים באזורי קרבות בהרבה מקרים מחוברים באופן בלתי מקצועי / ברשלנות. ולעתים על מנת להעביר מידע ביניהם, פשוט ומהיר יותר להשתמש במדיה נתיקה, במיוחד כאשר באזורי קרבות אלה, צבא ארה"ב עובד יחד עם צבאות אחרים שלהם מערכות מיחשוב אחרות. המיקוד בשדה הינו מהירות וגמישות - (Speed & Agility). נלקח סיכון מחושב של הענקת הרשאת גישה לא רק לטוראי מנינג, אלא גם לרבים אחרים אשר משרתים שם "לנוע באותו הקצב". לכל מי שהותרה גישה לרשת ה-SIPRNet יש הכשר בטחוני. רוב המיקוד שלנו בנושא מענה לאיומים, כוון כנגד הסיכון של חדירת גורם עויין חיצוני. ולא לאיום הפנימי.


2. המענה המתוכנן של משרד ההגנה האמריקני

2.1. על מנת למנוע פריצות עתידיות, המנמ"רית של משרד ההגנה אמרה שתתחיל הנפקה למשתמשי רשת ה-SIPRNet של כרטיסים חכמים הזהים לאלו שחולקו למשתמשי הרשת הלא מסווגת שלהם. המספר הגדול של כרטיסים שנדרש לחלק (חצי מליון), ביחד עם קוראי כרטיסים ותוכנת העזר הנלווית, משמעותו שהחלוקה תסתיים בסוף שנת 2012. ויקח עד מחצית 2013 כך שכל שרתי SIPRNet יכירו בכרטיסים.

2.2. זמן ההנפקה הארוך נגרם מאחר ויש להנפיק מספר גדול של כרטיסים בסביבה ברת אמון, ובנוסף, מספר גדול של מחשבים וכח אדם אשר אמורים לקבל את הכרטיסים, קוראי הכרטיסים והתוכנה מצויים באתרים מבודדים, כגון ספינות בלב ים.

2.3. המנמ"רית הוסיפה שהמשרד מקווה למנוע הישנות דליפת מידע בעתיד באמצעות הטמעת מערכת אבטחה אשר מנטרת את קונפיגורציית המחשב. מודול במערכת מבצע בקרה על שימוש בהתקנים ומאפשר לבטל את היכולת לעשות שימוש במדיה נתיקה. עבור מקרים יוצאים מן הכלל האמור, יופק דוח בזמן אמת לכל נסיון לכתיבה למדיה נתיקה. במחשבים שבהם לא תוטמע מערכת האבטחה ייעשה שימוש באמצעים אחרים, כגון: הורדת התוכנה המאפשרת כתיבה ל-CD. המנמ"רית ציינה שהמשרד ביטל את אפשרות הכתיבה ב-90% ממחשביו ורכיביו. בשאר אלו שבהם הושארה יכולת הכתיבה למדיה נתיקה חיצונית מסיבות של דרישה מבצעית, ביצוע העתקה נעשה תחת בקרה אנושית הדוקה.

2.4. המנמ"רית הוסיפה כי המשרד בוחן מודול ביקורת ייעודי שפותח ע"י ה-National Security Agency הניתן לשילוב במערכת האבטחה. המודול משפר את יכולות מערכת הביקורת הקיימת ומדווח למפעילי הרשת על התנהגות חשודה של משתמשים ברשת.

2.5. בתשובה לשאלה מדוע משרד ההגנה איננו מתבסס על תוכנה מבוססת תפקיד (roll based software) המגבילה את המשתמשים למידע שקיבלו היתר לגשת אליו מתוקף תפקידם (Need To Know) ענתה המנמ"רית שאומנם הטכנולוגיה ישימה, אך במקרים רבים יהיה קשה לקבוע עפ"י הגדרת התפקיד מהן ההרשאות שיש להעניק למי שמבצע את אותו התפקיד. לדבריה, בעוד שייתכן שאפשר יהיה למנוע מהאנליסט הכלכלי מלקבל גישה להיקפים גדולים של מידע מודיעיני, עדיין יידרש כי האנליסט המודיעיני או מתכנן הפעילות יידרש לגישה לכמות עצומה של מידע מאחר וגישה כזו הינה חיונית להצלחת הפעילות של הפונקציה אותה הוא משרת.


3. שני צעדים נוספים נחשפים גם הם במהלך חודש מרץ

3.1. חקיקה שתלויה ועומדת בוועדת הסנט לענייני מודיעין תחייב עובדים פדרליים המועסקים ברשויות מודיעיניות לחתום על נספח לחוזה שבו הם מתחייבים לוותר על הפנסיות הפדרליות שלהם באם ייתפסו מדליפים אפילו מידע לא מסווג לגורמים חיצוניים דמויי וויקיליקס או אפילו לחברי קונגרס. הדרישה הזו הופכת את המדליפים לגרועים ממרגלים וזו נקודה מעניינת למחשבה. אשתו של אחד מרבי המרגלים רוברט הנסן, הצליחה לקבל מחצית מהפנסיה של בעלה לאחר הגעה להסדר טיעון עם השלטונות בעוד בעלה הואשם והורשע בריגול חמור ויושב מאחורי סורג ובריח. שאלה נוספת האם מנסות סוכנויות המודיעין לחפות על "פשעים אזרחיים" כדוגמת הונאה ומעילה (והיו כאלו) בשם הביטחון הלאומי.

3.2. מנהל הביון הלאומי (Director of National Intelligence-DNI) מפרסם ב-11 במרץ הנחיה (דירקטיבה) לקהיליית המודיעין הדורשת גישת פעילות אחידה להגנת סביבת המידע של קהיליית המודיעין. סביבה זו היא סביבה מקושרת של סיכון משותף כאשר סיכון שנלקח ע"י גורם אחד של הקהילייה הופך מעשית לסיכון של כולם. על כן הגנה משולבת של סביבת המידע הינה חיונית על מנת לשמר את הסודיות, שלמות ואמינות וזמינות של המידע המצוי בכל אחד ממרכיבי הקהילייה. בעוד שההנחייה איננה מפרטת את אמצעי ההגנה שיינקטו היא קובעת שיכללו בה "איתור, בידוד, הכלה ותגובה לאירועים הכוללים דלף, הפסקת פעילות, ניצול פגיעויות, תקיפות ופגיעויות אחרות". יוקם מרכז תגובה לאירועים עבור הקהילייה אשר יאפשר קבלת תמונת מצב של טופולוגיית הרשת, כולל נקודות החיבור שבין רשתות חברי הקהילייה, איומים, ופעילויות אשר עלולות לפגוע בסביבת המידע של הקהילייה והצגת המצב הכללי של הגנת סביבת המידע של הקהילייה.

יום רביעי, 23 במרץ 2011

ניהול יעיל של אבטחת מידע בעשור הראשון במאה ה – 21 מרובת הרגולציות באמצעות הסמכה לתקן אבטחת מידע ת"י 27001 - עדכון למאמר מלפני שנתיים

מאמר שזו כותרתו פורסם בדיוק לפני שנתיים, כאחד מהמאמרים הראשונים בבלוג.
אם נתמצת את האמור בו תוך עדכון להיום, במשפטים הבאים:
ניהול יעיל של אבטחת מידע בארגון יתבסס על יישום אבטחת מידע באופן יזום ע"י מנהל אבטחת המידע לפני שייאלץ לעשות זאת בגין רגולציה מגזרית או חובה חוקית לאומית או בינלאומית. בתהליך זה מומלץ להשתמש בתקן 27001/27002.
היתרון הוא שבתהליך פרואקטיבי (יזום) ע"י מנהל אבטחת המידע יש סיכוי (מותנה במנהל אבטחת המידע ובהשגת התקציבים הדרושים) לבנות מערך אבטחת מידע ארגוני אפקטיבי המספק מענה סביר לאיומים ולסיכונים בכל מערך טכנולוגיית המידע לאורך כל מחזור החיים שלו ובסביבות השונות שבהן הוא מופעל.
תהליך יישום אבטחת מידע שיתבסס רק על חובה רגולטורית אומנם יתרחש, אבל בדרך כלל יש לו שני חסרונות מרכזיים:
1. לוח הזמנים מוכתב ע"י הרגולטור ועל כן המטרה איננה לעשות אבטחת מידע נכון, אלא לעמוד בדרישות עפ"י לוח הזמנים.
2. מסיימים ליישם אבטחת מידע היכן שמסתיימת הדרישה הרגולטורית. הפורץ איננו מסיים לפרוץ עפ"י קווי ההגנה שהרגולטור קבע. להיפך, נקודת ההתחלה שלו היא בדיוק נקודת הסיום של הרגולטור, ובכך הופך את יישום הרגולציה רק עד לנקודה שבה הרגולטור אמר את דברו לבעייתית. שכן היא יוצרת פירצה מצויינת עבורו. הוא אפילו לא צריך להתאמץ לחפש אותה היא מוגשת לו על "מגש של כסף".
לפני חודשיים,מופיע מאמר שכותרתו פרובוקטיבית:
Security: Best practice or ancient ritual? Time to Scrap ISO 27002 security standards says its author
אמירה נוקבת. הוא איננו מאשים אחרים, שכן לדבריו הוא עצמו כתב את רוב הטיוטה של מה שהפך ברבות הימים להיות התקן.
הוא יוצא בעיקר כנגד העובדה שהגיון בריא ויצירתיות פסו מעולם אבטחת המידע. לדבריו לפני שני עשורים עולם אבטחת המידע היה עשיר ברעיונות תחרותיים ואילו כיום כל מצגת דומה לאחרת. מנהלי אבטחת המידע כבולים לטחנת רוח של דרישות ציות שאבד עליהם הכלח ומונע מהם להסתכל קדימה לעבר הסיכונים החדשים.
לדעתי הברנש צודק וטועה. הוא צודק בעובדה שעולם אבטחת המידע קפא על שמריו, יש המון טכנולוגיות חדשות אבל חשיבה חדשנית ויצירתית חסרה. הוא טועה בכך שהוא מאשים את התקן. התקן נולד מתוך מציאות שבה מוצרי היסוד של מערך טכנולוגיית המידע (חומרות ותוכנות) אינן מספקות אבטחה טובה, ועל כן יישום אבטחת המידע נותר לשלב ההטמעה של הטכנולוגיות הללו בארגון.
התקן לניהול אבטחת המידע (27001/27002) איננו פתרון לשאלה מדוע מוצרי היסוד (חומרה ותוכנה) אינם מאובטחים כראוי. זו בעיה אחרת. התקן מספק מענה שבהינתן חומרות ותוכנות אלו, מהי המעטפת האבטחתית שהארגון מספק. בכך זו כבר שאלה של מנהל אבטחת המידע בארגון לאן הוא לוקח את הארגון במסע להסמכה לתקן.
אשמח לקבל תגובות ולשמוע דעותיכם בנידון.