יום שלישי, 21 ביולי 2009

הארגון לאירועי אבטחה מאפשר גישה למסד הנתונים של אירועי אבטחה במערכות תפעוליות (RISI)

במהלך שנועד לאפשר קידום הטיפול בנושא אבטחתן של מערכות תפעוליות, מפרסם הארגון (שלא למטרות רווח)לאירועי אבטחה (Security Incidents Organization) שהוקם לאחרונה, על נגישות הציבור למסד הנתונים הכולל את המידע על אירועי אבטחה שבמערכות אלו - Repository of Industrial Security Incidents (RISI).
מסד הנתונים הנו רחב היקף ומיועד לאיסוף, חקירה, ניתוח ושיתוף מידע חיוני בהתייחס לאירועי אבטחה הפוגעים במערכות סקדה ובמערכות ייצור ושליטה ובקרה.
במסד הנתונים מעל 150 אירועים. RISI הנן מסד הנתונים הגדול ביותר הידוע של אירועים מסוג זה, כך לדבריהם..
RISI עוצב עפ"י מסדי נתונים דומים בתחום הבטיחות ומספק למנוייו מידע אמין המאפשר להם ללמוד מנסיונם של אחרים, להבין את הסיכונים הנלווים לאיומי מחשוב בתעשייה ולהתאים את מדיניות אבטחת המידע הנוכחית שלהם לדינמיקה המשתנה של האבטחה בתחום זה.
RISI הנו התפתחות של מסד נתונים קודם שהחל את דרכו במכון הטכנולוגי של קולומביה הבריטית ונקרא אז:
Industrial Security Incidents Database (ISID).
חלוץ וראשון ליצירת מסד נתונים חשוב זה הנו Eric Byres, אחד מחשובי העוסקים מזה כמה עשורים בתחום אבטחתן של מערכות תפעוליות.
שתי אפשרויות קיימות לקבלת גישה למידע:האחת, לשלם ולקבל גישה, השניה, להוסיף אירוע ולקבל גישה חינמית לשאר המידע.
הפרטים כמובן באתר של הארגון:

יום שישי, 17 ביולי 2009

להיות צעד אחד לפני................ התוקף


תחום אבטחת מידע או בשמו המודרני יותר, ניהול סיכוני טכנולוגיית המידע מספק מענים לאיומים ולסיכונים בשימוש במידע ובטכנולוגיית המידע. אתייחס לשתי דוגמאות:
1. מידע רגיש הנאגר על גבי מחשבים ניידים נחשף כיוון שמחשבים אלה נגנבים/נאבדים בהמוניהם (12,000 בשבוע בנמלי תעופה בארה"ב לבדה, עפ"י סקר של מכון Ponemon מיוני 2008):
מה המענה? הצפנת המידע. אם המידע מוצפן, אזי גם אם יגיע לידי המוצא/הגנב, איננו יכול לצפות בו, לא כל שכן לסחור בו.
2. משתמשי מערכות מבצעים פעילות במערכות אליהן קיבלו הרשאות כדין. דרישות הרגולטורים למיניהן הנן לבצע רישום מלא של פעילות זו. הדרישה מובנת שכן מאפשרת להתחקות אחר פעילות המשתמשים ולחקור האם פעלו כדין או עשו שימוש שלא כדין בהרשאות שהוענקו להם, כמו גם לאתר פעילות שלא נעשית ע"י משתמשים מורשים.
ניקח את שתי הדוגמאות ונתבונן בהם משתי הזוויות: זו של המגן וזו של התוקף.
המגן בשני המקרים עלול לנוח על זרי הדפנה. הנה הגיע המענה המיוחל.
במקרה הראשון, מחשב שנגנב/אבד ובו מידע מסווג. אני כמגן, הסרתי כל דאגה מלבי. המידע מוצפן. מה יעשה המוצא? לא יוכל לגשת למידע.
במקרה השני, מכיוון שכל הפעילויות במערכת נרשמות, אזי כל משתמש אשר יפעל שלא כדין, פעילותו תרשם. ניתן לאתר את הפעילות הזו ועל כן ללא ספק שהוגברה ההרתעה למול משתמשים שינסו לפעול שלא עפ"י הנדרש מהם במסגרת עבודתם.
אבל, זהו רק צד אחד של המטבע. לכל תהליך חדש, במקרה שלנו תהליכי אבטחה חדשים, (הצפנה ותיעוד) ישנו גם מי שינסה להפיק מהם תועלת נזקית, הלוא הוא התוקף.
ננסה כעת להבין את זווית הראיה של התוקף בהתייחס לשני תהליכים אלו.
במקרה הראשון, עד להחלת הקונספט של "הצפנה בכל מקום ובכל עת", שימוש בהצפנה היה יחסית מצומצם. כעת עם נפוצות ההצפנה, הרבה מידע מוצפן יסתובב לו בין הגנבים. יתר על כן, הארגונים יטפלו ככל הנראה פחות במניעת גניבת/אובדן מידע, וישקיעו מאמצים בהצפנתו, מהלך שניתן בהחלט להבין אותו על רקע "פתרון הקסם – הצפנה בכל מקום ובכל עת". מהלך שכזה יביא בהכרח להתעניינות יתר של הגנבים בפיצוחה של ההצפנה. המילה התעניינות הנה בבחינת "הערכת חסר". צפוי על כן, כמו שקורה לכל אמצעי הגנה (לא משנה מאיזה סוג), שהצפנה כשיטה מצויינת להגנה מפני דלף מידע רגיש לגורם בלתי מורשה תהפוך לשיטה פחות מצויינת, ופחות ופחות מצויינת, עד שעלול לאבד עליה הכלח כליל.
ומה באשר לתיעוד הנרחב שאנו מאמינים שמספק תשתית מצויינת הן להרתעה והן לחקירה?
ובכן, מאגר הנתונים הנאסף באופן זה מהווה את מאגר הזהב לתוקף. מה עשוי להימצא בו? ברמה העקרונית מדובר ברישום המידע עליו בוצעה פעילות, כולל כיצד היא מבוצעת ע"י משתמש מורשה כדת וכדין, שלב אחרי שלב, מסך אחרי מסך. אין חולק על כך שרוב הפעילות המתועדת הנה פעילות חוקית, של משתמשים מורשים. מיעוטה יתעד פעילות חריגה ואפילו פלילית. נובע מכך שמאגר זה הנו מאגר שממנו ניתן ללמוד כיצד יש לעבוד כמשתמש חוקי ולבצע צעד אחר צעד פעילות תקינה במערכת. למיטב ידיעתי, זו הפעם הראשונה בתולדות טכנולוגיית המידע שקם ונהייה מאגר מסוג כזה.
אז מה אתה מציע חושב אחרת? לא לעשות אבטחה? לא להשתמש בהצפנה? לא להשתמש בתיעוד? ואולי בוא ונבטל במחי יד את כל אמצעי האבטחה?
לא ולא. לא זה המענה הנכון.
כמי שאמון על המתודולוגיה של שילוב חשיבת התוקף בתפישת ההגנה ומתן מענה משולב, שהם נר לרגלי יש לנקוט בשני שלבי פעולה:
1.להפנים מנטאלית ובאופן מלא ומיידי מתוך הבנה והשלמה, שגם אמצעי האבטחה, למרות היותם חיוניים למתן מענה ולצמצום הסיכון, אינם נטולי סיכון כשלעצמם. מדובר בשינוי מהותי בגישה (State of mind) ולא בשינוי טקטי גרידא.
2. לאתר במדוייק מהו האיום העתידי שנשקף לאחר הטמעת השימוש באמצעי האבטחה ולכלול מענה לאיום זה.
אתייחס לשתי הדוגמאות:
1. הצפנה. על מנת לצמצם את הסיכוי שמספר גדול יותר של רכיבי מיחשוב ובהם מידע רגיש (אומנם מוצפן) ייגנבו/ייעלמו, יש במקביל ליישום ההצפנה דווקא להגביר את פעילות יצירת המחוייבות והמודעות לשמירה על ציוד המחשוב הנייד מפני אובדן/גניבה ולא לצמצמה.
2. תיעוד. חיוני להגדיר בקרה הדוקה על הגישה למאגר המידע התיעודי. במיוחד חיוני לקבוע מהי פעילות חריגה למול מאגר זה, ולהגדיר מי ינטר את השימוש במאגר. חיוני שפעולת ניטור זו תבוצע על ידי גורם בלתי תלוי בארגון (או מחוצה לו) אשר איננו הגורם העושה במאגר זה שימוש שוטף.
להיות צעד אחד לפני התוקף, משמעותו לחשוב כמוהו ולשלב חשיבה זו בהגנה לאורך כל מחזור החיים של מערכת טכנולוגיית המידע.

יום רביעי, 1 ביולי 2009

העלות האמיתית של פגיעת וירוס קונפיקר בעיריית מנצ'סטר = קרוב ל- £1.5m

סוף סוף הסיפור האמיתי שכווווווולם מפחדים לדבר עליו. מהי עלות אמיתית לארגון של פגיעת ווירוס?
בבריטניה, נשבר קשר השתיקה ואירוע תקיפת ווירוס הקונפיקר בעיריית מנצ'סטר בחודש פברואר מוצג עתה לציבור. משמעותו של אירוע במקרה הזה הייתה כספית בלבד. השאלה כמובן כמה זה עלה.
העלות הישירה הייתה אובדן הכנסות של 43,000 שטרלינג (כספי דוחות שנהגים שנתפסו נוהגים במסלולים המיועדים רק לאוטובוסים שלא ניתן היה לגבות) אבל זה כלום לעומת העלויות האמיתיות ואלו מסתבר גדולות בסדרי גודל מהסכום הפעוט הזה.

הנה החשבון המוגש למשלם המיסים:

600,000 שטרלינג - עלות ייעוץ כיצד להתמודד עם הבעייה, כולל ייעוץ מחברת מקירוסופט, וניקוי המערכת מהווירוס
600,000 שטרלינג - רכישת מסופים רזים (Thin Clients) כחלק מעדכון אסטרטגיית הפעילות לשעת חירום (לאחר שהתברר שהתוכנית הקיימת לא הועילה כלל בעת תקיפת הווירוס...).
178,000 שטרלינג - עלויות נוספות עבור פעילויות של עובדים וכוח אדם נוסף לטיפול בצבר הבקשות לקצבה.
לרשימה זו ניתן להוסיף החלטות אסטרטגיות שהתקבלו כגון מניעת השימוש ב-Disk On Key ונעילת USB. לכל אלו השלכות כספיות ותהליכיות אשר לא פורטו בידיעה העיתונאית.

שני לקחים חשובים:

1. פגיעתו של ווירוס בארגון עולה פי כמה מהעלות הישירה של הנזק הנגרם.

2. כאשר האירוע כבר התרחש, ברור שתוכנית ואמצעי אבטחת המידע הקיימים כשלו. עלולות על כן להתקבל החלטות קיצוניות שמטרתן "להפוך באחת את הקערה על פיה" (במקרה שלפנינו, לדוגמה מניעת השימוש ב-Disk On Key). החלטות אלו חתקבלנה בתנאי לחץ, לא תמיד על בסיס מידע שלם וכאשר שיקול הדעת נוטה לפתרונות מהירים. החלטות אלו עלולות לגרום לנזקים נוספים בעתיד.
יש על כן לפעול לקבלת החלטות באופן שקול בטרם התרחש אירוע. הדרך הנכונה הנה לתרגל מצבי אירוע, על מנת לערב את הגורמים הרלוונטיים, הנהלה, משתמשים, לקוחות וכד' במשמעויות של התרחשות האירוע ויצירת מוכנות או לחלופין, שינוי תוכניות ואמצעי האבטחה מכיוון שהקיימות אינן עונות על הדרוש, וזאת מתוך הסכמה מה נדרש על מנת להתמודד באופן המיטבי.

קישור נוסף לידיעה : http://www.theregister.co.uk/2009/07/01/conficker_council_infection

יש לציין כי המקרה שלפנינו הנו יחסית פשוט. מדובר בפגיעה שמשמעותה כספית בלבד. נקל לשער מה עלול להיות המחיר של פגיעת ווירוס במקומות רגישים יותר כגון, מערכות תשתיתיות, מערכות רפואיות וכד', ששם לא רק דמים (כסף) עומדים על הכף, אלא גם דם (חיי אדם).