הפרדת רשתות אינה מגינה בפני האיום מבפנים

עופר גיגי,

חברות בתעשיות הביטחוניות נוהגות ליצור הפרדה בין רשתות מסווגות, מתוך כוונה לצמצם את חשיפת המידע. יחד עם זאת, קיימים ליקויים בבקרות על מה שנעשה בתוך הרשתות עצמן, ונוצרות חשיפות אבטחת מידע מצד המשתמשים שבתוך הארגון. במקרים רבים, לא מתקיימות כלל בקרות על מהות הרשאות העובדים בעלי גישה לנתונים מסווגים, ולפיכך קשה להניח כי עקרונות של מידור מידע אכן נאכפים כראוי בתוך הארגון.

מוגנים היטב, מבחוץ

אז יש לכם גדר חשמלית היקפית, שערים גדולים, בידוק בטחוני מוקפד ואפילו מידור בכניסה לבניינים ולחדרים השונים. בכל יום, אלפי עובדים בארגון עוברים באופן מבוקר ומסודר את כל מנגנוני הבקרה הללו בדרכם אל שולחן העבודה שלהם, מתיישבים אל מול המחשב ומבצעים את עבודתם.

האם אנו בטוחים שכל עובד מסוגל לגשת אך ורק למידע הנחוץ לו?

המידע הרגיש בארגון נשמר על ידי "מעגלי אבטחה" רבים, אך בסופו של דבר, ישנם רק שני מרכיבים וודאיים שמגדירים מי יכול לגשת לאיזה מידע. אלו הם: זיהוי המשתמש בכניסה למחשב / לרשת (Authentication), והרשאות הגישה שלו בכל רגע נתון (Authorization / Permissions / Access Rights).

יחד עם זאת, יצירת תמונת הרשאות מדויקת ומלאה יכולה להיות קשה מאד.

אם ניקח לדוגמא ארגון שבו פועלים אלפי משתמשי מחשב מול מאות יישומים – מתקיימת למעשה מציאות של מיליוני "מסלולי גישה" אפשריים בין משתמשים להרשאות (מכפלות של משתמשים, סוגי הרשאות ופריטי מידע שונים). לפיכך, לא ניתן להבין בקלות (או בכלל) מי מסוגל לגשת לאיזה מידע.

קיימים כמובן אמצעים טכנולוגיים המנסים למנוע זליגת מידע כתוצאה משימוש לא ראוי בהרשאות, אך אלה אינם יכולים להוות תחליף לטיפול בבעיה מה"שורש": בקרה הדוקה יותר של הרשאות, גם בהיקפים עצומים. המציאות מוכיחה זאת שוב ושוב, גם במוסדות ביטחוניים בעת האחרונה.

מעגלי אבטחה: להוסיף או לשפר?

כולנו מבינים כי חוזק השרשרת תלוי דווקא בחוליה החלשה שבה. לפיכך - הוספת עוד ועוד מעגלי אבטחה לא תמיד מפצה על חולשה יחסית במעגלי אבטחה קיימים. ארגונים שונים מיישמים מספר מעגלי אבטחה נפרדים, בהם: אבטחה פיזית מחמירה, הפרדה בין רשתות תקשורת עם רמות סווג שונות, מניעת חיבור התקנים ניידים לרשת, סריקת מידע שזורם ברשת, וכן אמצעים נוספים.

יחד עם זאת, חייבים לזכור שבכל הארגונים, ללא יוצא מן הכלל, קיים "מעגל האבטחה" של ההרשאות למידע. מעגל זה הנו ה"צמוד" ביותר למידע עצמו, ולפיכך זהו קו הגנה שאמור להיות יעיל וברור, ולא "רפוי" באופן שחושף את הארגון. ניצול נכון ומבוקר של שכבת האבטחה הזו יכול להיות יעיל יותר מהוספת שכבות אבטחה נוספות, ולעצור בעיות לפני שהן מנוצלות לרעה והופכות לאירוע אבטחה. יחד עם זאת, בגלל מורכבותו של נושא ההרשאות (וכמות הפרטים העצומה שבו), לא ניתן לסמוך על נהלים בלבד. הדרך האפקטיבית צריכה לשלב מנגנונים ייעודיים לבקרת הרשאות, המסוגלים לאתר ו"לסמן" אוטומטית משתמשים בעלי דרגת סיכון גבוהה, משתמשים בעלי הרשאות חריגות שלא לצורך, וכיוצא בזה. מנגנונים כאלה יכולים להציף בעיות כלפי מנהלים רלוונטיים כדי לאשר או להורות על הסרת הרשאות חריגות, ובזמן.

זהוי הפירצה לפני שהיא מנוצלת

גם במקרים מפורסמים כמו הדלפות לוויקיליקס (גניבת מידע מסווג), אחד הגורמים שככל הנראה אפשרו את הפירצה הוא חוסר הבנה אמיתית של תמונת ההרשאות הארגונית. במילים אחרות: היעדר דרך לדעת לאיזה מידע בדיוק יכול כל משתמש מחשב להגיע, ואילו פעולות הוא מסוגל לעשות.

חוסר האונים הקיים בנושא זה, נובע לעיתים מחוסר היכולת לאתר גם הרשאות "עקיפות" למידע, ולזהות עובדים להם יש הרשאה ש"נגזרת" (בעקיפין) מהרשאות אחרות שהוענקו למשתמש.

ללא קיום מערכת שמנתחת ומבינה את תמונת ההרשאות הארגוניות המלאה, הן ההרשאות שניתנו באופן ישיר, והן ההרשאות שמשתמעות באופן עקיף, תתקיים הבנה מוגבלת מאד של "למי יש גישה למה".

אודות מנגנוני בקרת הרשאות

מערכת בקרת הרשאות (Access Governance) מאפשרת לחזק מאד את מעגל האבטחה הפנימי ביותר, ה"צמוד" למידע עצמו: הרשאות הגישה של המשתמשים. מיד עם איתור פוטנציאל בעיה - מבוצעות פעולות מתקנות כמו הסרת הרשאות "מסוכנות" או לפחות התראה בפני גורמי אבטחת מידע.

תוכנות לבקרת הרשאות מרכזות אליהן באופן שוטף מידע חשבונות והרשאות מכלל מערכות הארגון, ומאפשרות לראשונה את קיומו של תהליך בקרת הרשאות ארגוני אמיתי. תהליך זה מאפשר לארגונים לעמוד במשימה המורכבת של מעקב מתמיד אחר תמונת ההרשאות, תוך שילוב מקבלי החלטות רלוונטיים לכל תחום ידע.

יתר על כן, כלים כאלה מאפשרים לא רק לאתר את הבעיות במצב הקיים, אלא גם למכן ו"להכניס סדר" בכל תהליך מתן ושינוי ההרשאות בארגון, כמו במצב של קליטת עובד חדש, שינוי תפקיד של עובד וכמובן – עזיבת עובד את הארגון.

קישורים רלוונטיים:
קישור לידיעה באתר ישראלדיפנס
קרא עוד בנושא זה