Trends in the Israeli Infrastructure Services/STKI Summit -Update June 2008
כנס אבטחת מידע מוטו תקשורת V2
1. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 1
Shahar Geiger Maor, CISSP
Senior Analyst at STKI
shahar@stki.info www.shaharmaor.blogspot.com
18.11.2010
2. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 2
Presentation’s Agenda
General Trends
Cloud Security
Data-Centric Security
Mobile Security
Regulations: PCI
3. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 3
Presentation’s Agenda
General Trends
Cloud Security
Data-Centric Security
Mobile Security
Regulations: PCI
4. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 4
Information Security:
Israeli Market Size (M$)
2009 changes 2010 changes 2011 changes 2012
Security
Software
85.0 23.53% 105.0 4.76% 110.0 9.09% 120.0
GRC &
BCP
50.0 50.00% 75.0 9.33% 82.0 9.76% 90.0
Security
VAS
85.0 11.76% 95.0 8.42% 103.0 6.80% 110.0
totals 25.00% 7.27% 8.47%220.0 275.0 295.0 320.0
5. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 5
Information Security Spendings
1. Usually very “dynamic”
2. Crisis/regulation driven instead of policy driven
3. Part of budget may be embedded within other IT units
projects
Approximately 5% of IT budget*
* Including manpower
6. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 6
Security Staffing Ratios
Organization Type Ratios of Security Personnel
(Israel)
Average Public Sector 0.15% of Total Users
“Sensitive” Public Sector 0.5% of Total Users
7. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 7
Information Security “Threatscape”
8. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 8
The Web is Dead!
http://www.wired.com/magazine/2010/08/ff_webrip/
9. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 9
Is Technology Good or Bad?
10. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 10
Israel: a Security Empire
11. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 11
Real Empire!!
Source: http://search.dainfo.com/israel_hitech/Template1/Pages/StartSearchPage.aspx
12. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 12
Local Security Vendors and CISO’s Decision
Making
CISO is usually
considering
technology, local
support and price
Is a local solution
available?
Most chance it will
be among last
three bidders
13. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 13
What’s on the CISO’s Agenda?
(STKI Index 2010)
EPS/mobile
14%
Market/Trends
13%
Access/Authenti
cation
12%
Network Sec
12%
GW
10%
DCS
9%
DB/DC SEC
9%
Vendor/Product
8%
Regulations
7%
SIEM/SOC
3%
Miscellaneous
2%
Encryption
1%
14. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 14
Presentation’s Agenda
General Trends
Cloud Security
Data-Centric Security
Mobile Security
Regulations: PCI
15. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 15
Cloud Security
Source: http://csrc.nist.gov/groups/SNS/cloud-computing/
16. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 16
Is Cloud Security Important??
http://www.thepeople.co.il/Index.asp?CategoryID=82&ArticleID=1281
17. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 17
How Does Cloud Computing Affect the
“Security Triad”?
Confidentiality
IntegrityAvailability
18. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 18
Cloud Risk Assessment
Probability
Impact
LOSS OF
GOVERNANCE COMPLIANCE
CHALLENGES
RISK FROM
CHANGES OF
JURISDICTION
ISOLATION
FAILURE
CLOUD PROVIDER
MALICIOUS INSIDER -
ABUSE OF HIGH
PRIVILEGE ROLES
MANAGEMENT INTERFACE
COMPROMISE (MANIPULATION,
AVAILABILITY OF
INFRASTRUCTURE)
INSECURE OR
INEFFECTIVE
DELETION OF DATA
NETWORK
MANAGEMENT
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-
19. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 19
Cloud Security: What’s Missing?
Standards & Regulations
20. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 20
Presentation’s Agenda
General Trends
Cloud Security
Data-Centric Security
Mobile Security
Regulations: PCI
21. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 21
Data-Centric Security
DCS
DLP
IRM
Endpoint
Security
Encryption
monitoring
22. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 22
Incidents by Vector (2009)
http://datalossdb.org/statistics
23. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 23
The Relative Seriousness of IT Security Threats
Source: Computer Economics
24. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 24
DLP Scenario in Israel
No Data
Classification
Poor
Security
Policy
Project is a
failure
25. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 25
What Should be Done in Order to
Succeed?
Look for your
assets!
Classify and
label!
Discover and
protect
confidential data
wherever it is
stored or used
Monitor all data
usage
Automate policy
enforcement
Safeguard
employee
privacy
26. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 26
Presentation’s Agenda
General Trends
Cloud Security
Data-Centric Security
Mobile Security
Regulations: PCI
27. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 27
Y 2010 - Going Mobile!
28. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 28
29. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 29
Real Mobility is Coming to the Enterprise
30. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 30
Mobile Security: What worries CISOs?
Internal users:
No central management
How to protect corporate data on device?
Device’s welfare ???
External users:
Sensitive traffic interception
Masquerading Identity theft
31. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 31
Mobile Security: What Do CISOs want?
1. Manage SMDs as if they were another endpoint
2. Protecting business information on your device
3. Multi-platform support
32. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 32
Presentation’s Agenda
General Trends
Cloud Security
Data-Centric Security
Mobile Security
Regulations: PCI
33. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 33
Network
DSL Router
POSServer
POSTerminals
Requirement 1
Requirement 2
Requirement 3
Requirement 4
Requirement 5
Requirement 6
Requirement 7
Policies
Requirement 8
Requirement 9
Requirement 10
Requirement 11
3rd Party
Scan Vendor
Requirement 12
PINPads
PCI-DSS -Challenges
34. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 34
What is the Incentive?
Source: http://datalossdb.org/statistics?timeframe=all_time (2000-2010)
•Data loss incidents2,754
• Credit-card related data loss396 (35%)
• How?Hack (48%)
• CCN compromised297,704,392
• …CCNsIncident751,779
• Actual $$$ loss…?
35. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 35
Israeli PCI: Market Status
(May 2010)
PCI “Newborns”
Gap
Analysis
PCI work
plan
(Prioritized
Approach?)
1-4
Milestones
4+
Milestones
Financial
Sector
TelcoServices
Sector
RetailWhole
saleManu’ Sector
Healthcare Sector
PCI
Compliance
36. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 36
PCI Challenges:
The “New trend Syndrome”
37. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 37
PCI Challenges: Customer Experience
System heterogeneity –Sensitive data is scattered around
in all sorts of formats
Main-Frame and other legacy systems –how is it possible
to protect sensitive data without changing the source
code?
What happened to risk management??? (PCI vs. SOX)
38. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 38
PCI Challenges: Customer Experience 2
“My DB does not support PCI” –the “Upgrade vs. pay the
fine” dilemma
“Index token is cheaper than other alternatives” –True or
false?
Inadequate knowledge of the QSAs?
Who audit the auditors?
should be
answered by the
PCI Council
39. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 39
PCI Challenges -The PCI paradox
PCI
compliance
1 security
patch is
missing
A data loss
incident
occurs…
An
investigation
starts
Remember
that security
patch?
40. Your Text hereYour Text here
Shahar Maor’s work Copyright 2010 @STKI Do not remove source or attribution from any graphic or portion of graphic 40
Visit my Blog: shaharmaor.blogspot.com
Notas del editor
חסר: חומרה שקשורה לאבטחת מידע. כלול במקומות אחרים בסקר (מכירות שרתים או מקומות נוספים).
יחס מספר אנשי אבטחה מול כלל העובדים בארגון: מהנתונים שלי עולה כי היחס הזה עומד בממוצע על 0.1% - בארגונים מהתחום העסקי בעלי גישה אבטחתית פחות מחמירה וללא רגולציות מיוחדות בתחום (למשל אמדוקס) ויכול להגיע ל סביבות ה 0.5% בארגונים אזרחיים רגישים יותר (פיננסים, בנקים). מדידת היחס באופן כללי מאוד "חמקמקה": איך תמדוד את העובדים ב SOC, למשל? יש ארגונים שיספרו אותם דווקא בשו"ב. דוגמא אחרת: בחלק מהארגונים מי שמטפל באבטחת מידע מטפל בנושאים אחרים (תקשורת, סיסטם). לא תמיד "סופרים" אותו כאיש אב"מ. כדי להקשות עוד יותר, בחלק מהארגונים אבטחת מידע היא גוף שאינו קשור ל IT (קב"ט, כספים, ביקורת וכו'). מכל מקום, המספרים הללו נאספו ע"י מנהלי התשתיות ומנהלי אבטחת מידע שיודעים להגדיר טוב יחסית מי כוח האדם שלהם.
במשך השנים עלו מאוד רמות התחכום בהתקפות. לעומתם ירדה מאוד רמת התחכום הנדרשת בהפעלת הכלים להובלת התקפות.
הטכנולוגיה של היום –רשתות ,מובייל ועוד-הומצאו בהקשר אופטימי לחיים אבל לא התחשבו בפוטנציאל הנזק שהם גורמים.
נאום יובל דיסקין, נאום ראש אמן ידלין על טרור קיברנטי
אבטחת מידע בישראל –מיקרוקוסמוס. המון ידע שמגיע מהצבא ומהמוח היהודי.
GW פתרונות שיושבים בגייט
Access/Authentication ניהול זהויות הרשאות הזדהות ועוד
EPS/mobile
DCS הגנה על המידע וזליגת מידע
DB/DC SEC הגנה על משאבי חדרי מחשב מסדי נתונים סביבות וירטואליות ועוד
Market/Trends מגמות יחסים מהאחרים עושים ועוד
Encryption
Miscellaneous
SIEM/SOC
Network Sec FW IPS וכל מה שברשת גם BB
Regulations
Vendors/Products מה קורה עם זה ומה עם ההוא מה לגבי המוצר X או אלטרנטיבות
R.2 LOSS OF GOVERNANCE
In using cloud infrastructures, the client necessarily cedes control to the CP on a number of issues which may affect security. For example ToUs may prohibit port scans, vulnerability assessment and penetration testing. Moreover, there may be conflicts between customer hardening procedures and the cloud environment (see R 20). On the other hand, SLAs may not offer a commitment to provide such services on the part of the cloud provider, thus leaving a gap in security defenses.
Moreover the cloud provider may outsource or sub-contract services to third-parties (unknown providers) which may not offer the same guarantees (such as to provide the service in a lawful way) as issued by the cloud provider. Or the control of the cloud provider changes, so the terms and conditions of their services may also change.
The loss of governance and control could have a potentially severe impact on the organization’s strategy and therefore on the capacity to meet its mission and goals. The loss of control and governance could lead to the impossibility of complying with the security requirements, a lack of confidentiality, integrity and availability of data, and a deterioration of performance and quality of service, not to mention the introduction of compliance challenges (see R.3).
R.3 COMPLIANCE CHALLENGES
Certain organisations migrating to the cloud have made considerable investments in achieving certification either for competitive advantage or to meet industry standards or regulatory requirements (e.g., PCI DSS). This investment may be put at risk by a migration to the cloud:
if the CP cannot provide evidence of
their own compliance to the relevant
requirements;
if the CP does not permit audit by the
CC.
In certain cases, it also means that using a public cloud infrastructure implies that certain kinds of compliance cannot be achieved and hence cloud hosted services cannot be used for services that need them. For example, EC2 says customers would be hard-pressed to achieve PCI compliance on their platform. So EC2 hosted services cannot be used to handle credit card transactions.
R 22 -RISK FROM CHANGES OF JURISDICTION
Customer data may be held in multiple jurisdictions, some of which may be high risk. If data centres are located in high-risk countries, e.g., those. lacking the rule of law and having an unpredictable legal framework and enforcement, autocratic police states, states that do not respect international agreements, etc, sites... s could be raided by local authorities and data or systems subject to enforced disclosure or seizure. Note that we are not implying here that all subpoena law-enforcement measures are unacceptable, merely that some may be so and that some legitimate seizures of hardware (which appear to be rare)may affect more customers than the targets of a law-enforcement action depending on how the data is stored (19), (20).
R.9 ISOLATION FAILURE
Multi-tenancy and shared resources are two of the defining characteristics of cloud computing environments. Computing capacity, storage, and network are shared between multiple users.
This class of risks includes the failure of mechanisms separating storage, memory, routing, and even reputation between different tenants of the shared infrastructure (e.g., so-called guest-hopping attacks, SQL injection attacks exposing multiple customers’ data stored in the same table, and side channel attacks).
Note that the likelihood (probability) of this incident scenario depends on the cloud model considered; it is likely to be low for private
clouds and higher (medium) in the case of public clouds.
The impact can be a loss of valuable or sensitive data, reputation damage and service interruption for cloud providers and their clients.
R.10 CLOUD PROVIDER MALICIOUS INSIDER - ABUSE OF HIGH PRIVILEGE ROLES
The malicious activities of an insider could potentially have an impact on: the confidentiality, integrity and availability of all kind of data, IP, all kind of services and therefore indirectly on the organization’s reputation, customer trust and the experiences of employees. This can be considered especially important in the case of cloud computing due to the fact that cloud architectures necessitate certain roles which are extremely high-risk. Examples of such roles include CP system administrators and auditors and managed security service providers dealing with intrusion detection reports and incident response. As cloud use increases, employees of cloud providers increasingly become targets forcriminal gangs (as has been witnessed in the financial services industry with call centre workers (13), (14)).
R.11 MANAGEMENT INTERFACE COMPROMISE (MANIPULATION, AVAILABILITY OF INFRASTRUCTURE)
The customer management interfaces of public cloud providers are Internet accessible and mediate access to larger sets of resources (than traditional hosting providers) and therefore pose an increased risk especially when combined with remote access and web browser vulnerabilities. This includes customer interfaces controlling a number of virtual machines and, most importantly, CP interfaces controlling the operation of the overall cloud system. Of course, this risk may be mitigated by more investment in security by providers.
R.14 INSECURE OR INEFFECTIVE DELETION OF DATA
Whenever a provider is changed, resources are scaled down, physical hardware is reallocated, etc, data may be available beyond the lifetime specified in the security policy. It may be impossible to carry out the procedures specified by the security policy, since full data deletion is only possible by destroying a disk which also stores data from other clients. When a request to delete a cloud resource is made, this may not result in true wiping of the data (as with most operating systems). Where true data wiping is required, special procedures must be followed and this may not be supported by the standard API (or at all).
If effective encryption is used then the level of risk may be considered to be lower.
R.26 NETWORK MANAGEMENT (IE, NETWORK CONGESTION / MIS-CONNECTION / NON-OPTIMAL USE)
V38. Misconfiguration
V39. System or OS vulnerabilities
V6. Lack of resource isolation
V41. Lack of, or a poor and untested, business continuity and disaster recovery PLAN
מפת ארועי איבוד מידע לפי כיוונים.
מחקר בקרב מנהלי אבטחת מידע בעולם מדרג את איומי אב"מ ע"פ הרצינות שהמנהלים רואים באיומים עצמם. שני האיומים הגדולים והרציניים ביותר מדברים על "עבודה מבפנים" כאיום המרתיע ביותר כיום.
עצם ידוע העובדים על ניטור מוריד את רמת העבירות. ומצמצם את אחוז הלא נורמטיביים...
אמנם דיברנו על תחום המובייל מספר שנים ברציפות, אבל שנת 2010 היא זו שתהיה שנת המובייל. אימוץ כמעט אקפוננציאלי של טלפונים ניידים אפשר להסביר ע"י מספר סיבות. יש לזה סיבות חבתיות, טכנ' וכלכליות
Smart mobile devices (SMD) have become widespread among employees in organizations from all sectors of economy. In contrast to the past, SMDs are not for "executives only" anymore. During the last two years we have witnessed a rise in the demand for SMDs among all levels of employees. Despite resistance on behalf of IT PROFESSIONALS and especially information security professionals, there is a high pressure by senior managers to "synchronize my new IPHONE 4G to email". Today it is common by most organizations to allow synchronization or push mail services. In the next few years we will probably face more and more services, including enterprise applications, being downloaded to SMDs.
In a special session that was held by STKI, four different security vendors have demonstrated their solutions to an audience of 56 IT professionals from 30 enterprises in Israel. Among these enterprises 38% of the corporate mobile devices are considered SMDs.
Which SMDs brands are most common? Although it is not an official survey, one can get a very good perspective about consumer preferences: according to the respondents ' answers to a questionnaire, most organizations are using, not surprisingly, BlackBerry (61%), Nokia (65%), and iPhone (57%). Android devices are still less common with 9%. Windows-based devices can be found in 13% of organizations.
What services? Not many enterprises in Israel can ignore trends: Only 4% of the respondents reported denying any services to SMDs. In 88% of the cases, calendar and mail services are being pushed / synchronized to SMDs. Only 13% of organizations provide additional services that include other enterprise applications. There is no doubt that as the use of SMDs grows, more and more enterprise applications will be downloaded to SMDs.
What is holding everyone back? 100% of the respondents to this survey noted that the security solution in place (if there is one) provide partial solution or less. All attendees to the session said that there is NO centralized solution for managing and securing SMDs.
So what are the customer needs? Or "what does the customer wants?" In any case, this is a good question. I'm not sure if the clients themselves know what they need or want. It may be because the SMDs market has a very rapid growth rate, much higher than the evolvement of security measures. Maybe. But the main reason, probably, is that the customer doesn't know what are the abilities of the SECURITY solutions in this domain. When asked, customers define three main capabilities to be very important to them:
Manage SMDs as if they were another endpoint. One of the limitations in this context is that traditional system management tools still can't "communicate" with SMDs. Another factor is the lack in proper support by some of the vendors to integrate third-party solutions into their OSs.
Multi-platform support. Infrastructure managers in most enterprises understand that there's not much to do against the SMD trend, so they look for a solution that can manage as many types of devices as possible.
Protecting business information on your device, keep both business and private environments separate. One of the greatest challenges when protecting SMDs is the ability to isolate the business information on each mobile device.
To sum up, there are two major approaches to handle (in an enterprise-IT perspective) SMDs: security and management. There is no doubt that both approaches will be unified into one during the next year or so. In order to be prepared, every CISO must be familiar with all vendors and approaches to mobile security. Don’t wait! next iPhone is on its way to your LAN.
2010
אבטחת מידע על מכשירים ניידים חכמים
(סיכום שני מפגשי שולחן עגול בנושא)
מכשירים ניידים חכמים (מנ"ח) הופכים במהרה לנפוצים בקרב עובדי ארגונים מכל המגזרים במשק. בניגוד לעבר, מנ"חים הם לא נחלתם של מנהלים בלבד. במהלך השנתיים האחרונות אנו עדים לעליה בדרישה לאישור השימוש במנ"חים וחיבורם למשאבי הארגון. למרות ההתנגדות הטבעית של אנשי ה IT ובמיוחד אנשי אבטחת המידע, גדלים הלחצים מצד עובדים ומנהלים בכירים "לחבר את ה IPHONE החדש שלי לדוא"ל". כיום מקובל לאשר סנכרון או דחיפה של שירותי מייל ויומן בחלק ניכר מהארגונים המובילים בישראל ובשנים הקרובות יורחבו ככל הנראה השירותים הניתנים למנ"ח גם ליישומים ארגוניים נוספים.
לשתי ההדגמות, שבהן הוצגו פתרונות של ארבעה יצרנים שונים, הגיעו 56 נציגים מ 30 ארגונים במשק ממגוון מגזרים.
בין הארגונים ניתן למצוא 4 ארגונים שיחידת ה IT שלהם משרתת 0-1,000 משתמשים, 12 ארגונים המשרתים 1,000-5,000 משתמשים, 4 ארגונים המשרתים 5,000-10,000 משתמשים ו 4 ארגונים שמשרתים יותר מ 10,000 משתמשים ו 6 ארגונים נוספים שלא מסרו פרטים על מספר המשתמשים בהם.
ב 30 ארגונים אלה 38% מהמכשירים הסלולריים הניתנים לעובדים נחשבים למכשירים חכמים . ממצא זה אינו משתנה בצורה יוצאת דופן כפונקציה של גודל הארגון או מספר המשתמשים בו.
סוגי המכשירים הנפוצים בקרב הארגונים שהשתתפו במפגש מוכרים לכולם. נכון לזמן קיום המפגש ב 26% מהארגונים המשתתפים לא קיימת מדיניות ברורה לגבי סוגי המכשירים המאושרים בארגון. בארגונים אלה, בעיקר ארגונים מורכבים וגדולים או ארגונים ממגזרים פחות רגישים, מותר השימוש במנ"חים על פי בחירת המשתמש מתוך סל מכשירים מוצעים.
אילו מכשירים הם הנפוצים ביותר? אומנם לא מדובר במדגם מייצג מטעם חברות הסלולר, אולם ניתן לקבל תחושה טובה על העדפות הצרכנים בכל הקשור לשימוש במנ"חים בקרב הארגונים שהגיעו למפגשים:
על פי תשובות המשיבים לשאלון, ברוב הארגונים נעשה שימוש, לא מפתיע, במכשירי Blackberry, Nokia ו iPhone (57%, 65% ו 61% בהתאמה). מכשירי אנדרואיד עדיין פחות נפוצים והם קיימים אצל 9% מהארגונים. מכשירים מבוססי Windows קיימים ב 13% מהארגונים.
לא הרבה ארגונים בישראל מסוגלים להתעלם מהאופנות האחרונות. רק ב 4% מהם לא ניתנים כלל שירותי משרד למנ"חים. ב 88% מהארגונים שהגיעו למפגשים ניתנים שירותי דואר ויומן בסנכרון\דחיפה למכשירי הסלולר. רק ב 13% מהארגונים ניתנים שירותים נוספים הכוללים אפליקציות ארגוניות שונות. אין ספק שככל שיעמיק השימוש במנ"חים בארגונים, יעלה מספר השירותים הניתנים למכשירי הקצה. מגמה זו תקבל עידוד כאשר יינתן מענה מספק מבחינת אבטחת המידע למכשיר הסלולרי, שכן, ארגונים רבים מציינים זאת כגורם מעכב מרכזי בשיפור השירות למנ"חים בארגון. לראיה, 100% מהארגונים שמלאו את הסקר ציינו כי הפיתרון האבטחתי שברשותם מהווה פיתרון חלקי במקרה הטוב לצרכי האבטחה של הארגון בכל הקשור בניהול והגנה על מנ"חים. באף ארגון מהארגונים הנוכחים בחדר (0%) לא הוטמע פיתרון מרכזי לניהול ואבטחת מכשירים חכמים. מצב זה מאפיין, ככל הנראה, את רוב השוק הישראלי והיווה קרקע פוריה לקיומם של שני המפגשים המתוארים כאן.
אז מה הלקוח צריך???
או "מה הלקוח רוצה"? בכל מקרה זו שאלה מצויינת. לא בטוח שהלקוח עצמו יודע מה הוא צריך או רוצה. התחום מתפתח בקצב מהיר מאוד ועושה רושם שקצב הצמיחה בשוק המנ"חים גדול בהרבה מהצמיחה של פתרונות ההגנה. אחד הביטויים המעניינים של מגמה זו מבוטא בדוגמא הבאה:
אחד היצרנים הוזמן להציג את הפיתרון שלו בפני אחד הלקוחות במשק. המציג מטעם היצרן שאל בפתיחת הדיון את נציג הלקוח מה הם התכונות החשובות להם בהגנה על מכשירים סלולריים. הלקוח גירד בראשו וענה שאינו יודע. התחום חדש לו והוא מעוניין ללמוד. "תראה לי מה אתה יודע לעשות" ביקש לבסוף.
לא הרבה לקוחות יודעים היום להגדיר במפורש מה הם רוצים מפיתרון הגנה על מנ"חים. הסיבה הראשונה במעלה היא שאין להם מושג מה פתרונות בתחום זה מסוגלים לעשות. כששואלים נציגי ארגונים גדולים במשק מה הם מחפשים בפיתרון הגנה על מנ"חים הם בדר"כ יגדירו שלוש יכולות כלליות עיקריות שמאוד חשובות להם:
1. יכולת לנהל את המכשירים בארגון כמו כל תחנת קצה.
2. תמיכה בכמה שיותר סוגי מכשירים.
3. יכולת לאבטח את המידע העסקי על המכשיר, תוך הפרדה של הסביבה העסקית מזו הפרטית.
כלומר בשוק יש שתי גישות מרכזיות לטיפול במנ"חים: גישת האבטחה וגישת הניהול. אין ספק שהמשך הבשלה של השוק תביא לחיבור בין שתי היכולות ושילובן בפיתרון אחד.
הערה לגבי הדרישה הראשונה: אחת המגבלות בהקשר זה היא חוסר היכולת של פתרונות הניהול בארגון "לדבר" עם מכשירים סלולריים. קושי זה נובע מהבדלים במערכות ההפעלה, "הרכות" היחסית של מערכות הפעלה אלה בהשוואה למערכות גדולות יותר על תחנות הקצה בארגון והעדר תמיכה מתאימה של חלק מספקי המנ"חים לשילוב פתרונות צד ג'. דוגמא לכך היא הסגירות היחסית של אפל בכל הקשור לתמיכה בקליינטים של מערכות שליטה ארגוניות במכשירים שלה.
הערה לגבי הדרישה השניה: מנהלי תשתיות ברוב הארגונים מבינים כי נגד אופנות וטעמי הצרכנים אין הרבה מה לעשות ולכן הם מחפשים פיתרון אבטחתי\ניהולי שידע לתמוך "בכל מכשיר". אפילו מכשירי בלקברי שמנוהלים בצורה אבטחתית טובה מאוד יחסית למנ"חים אחרים, עדיף שינוהלו ביחד עם שאר המכשירים הניידים בארגון.
הערה לגבי הדרישה השלישית: אחד הקשיים הגדולים ביותר של פתרונות להגנה על מנ"חים הוא היכולת לבודד את המידע העסקי על המכשיר הנייד. קושי זה מעמיד בספק את יכולת הפיתרון המוצע לספק מענה טוב לבעיות האבטחה של מנ"חים. בשונה ממחשבים ניידים, אשר ניתן להגדיר בהם סביבות עסקיות מוגנות, במכשירים סלולריים יכולת ההתערבות של פתרונות חיצוניים במערכות ההפעלה מוגבלת מאוד נכון להיום. בדר"כ תיבחר שיטת הגנה המכלילה את כל המידע על המכשיר כמידע רגיש אשר דורש התייחסות.
נושא נוסף המטריד את הלקוחות הוא "בריאות" המכשירים. נושא זה ונושאים נוספים נמצאים בעדיפות נמוכה בהרבה ולכן אין כיום דרישה גבוהה לפתרונות אנטי וירוס או antiX אחרים למכשירים.
מה היה במפגשים?
שני המפגשים שהתקיימו ב STKI היו זהים מבחינת תוכנם. בכל מפגש התבקשו נציגים של ארבעה יצרנים להדגים את יכולותיהם בתחום ניהול ואבטחת מכשירים ניידים חכמים.
לכל מציג ניתנו כ 40 דקות להציג את הפיתרון והתפיסה. כל מציג קיבל תסריט כללי המתאר סביבה עסקית מוכרת בשוק הישראלי והתבקש לנסות לספק פיתרון לכמה שיותר בעיות שהועלו בתסריט, כמו למשל ניטרול מכשיר מרחוק במקרה גניבה, הפצת עדכונים למכשיר, הדגמת תצורת הצפנה במכשיר ותפעולו על ידי המשתמש וכו'. כל מציג היה רשאי להדגים מספר יכולות ייחודיות נוספות (לפי בחירת הספק) במסגרת הזמן שניתן לו.
חוסר הבשלות בתחום זה הביאו לכך שלא כל היצרנים המוכרים בשוק הגיעו לגיבוש פיתרון אבטחתי מלא. סוגיה זו ניכרת הן בקושי בגיוס אותם יצרנים אופציונאליים להדגמה כחלק מההכנות למפגש והן בחלקיות הפיתרון בקרב היצרנים אשר כן מציעים פיתרון.
נושא נוסף שנבדק הוא יכולת הספקים לתת פיתרון אבטחתי למספר סוגי מכשירים נפוצים. הדגש במפגשים היה על מתן מענה אבטחתי למכשירי Nokia, iPhone ואנדרואיד. מכשירי בלקברי קיבלו התייחסות קטנה יחסית בשל המענה האבטחתי המובנה שכבר קיים בשרתי המכשירים.
חשש נוסף שחוזר ועולה בקרב המשתתפים הוא מפגיעה אפשרית בביצועי המערכות במקרה שייושם פיתרון כזה או אחר. סביב השולחן ניכר, כי חסר ניסיון פרקטי בעבודה עם חלק גדול מהפתרונות הקיימים כיום בשוק וקשה להעריך את השפעתם, אם בכלל, על ביצועי המערכות בארגון.
בחדשנות נטו –לא תהיה בעיה. תמיד יהיו ארגונים חדשניים מאוד, אבל פה התמריץ הוא רגולציה ולכן יותר קשה למצוא דוגמאות...
ברבים מהארגונים בסקטורים אלה קיימות מערכות מורכבות מאוד ונתוני כרטיסי האשראי מבוזרים במגוון סביבות מיחשוביות בארגון. אופי עבודה זה מקשה מאוד על התמודדות עם דרישות כמו 3 ו 4 בתקן. נציגי הארגונים שהשתתפו סיפרו, לשם המחשה, כי בארגון ביטוחי טיפוסי קיימים נתוני כרטיסי אשראי של לקוחות על מסמכי הפוליסות. מסמכים אלה נסרקים לשם אירכוב ואחזור מאוחר יותר במגוון פורמטים (PDF, TIFF וכן הלאה). דרישות התקן מדברות על הצפנה של כל הנתונים הרגישים של הלקוחות. בגלל אופי העבודה, נגישות המשתמשים למידע ופיזור הקבצים, נוצר מצב כמעט בלתי אפשרי שמקשה על איתור והגנה על המידע בארגון על פי התקן.
ארגונים מבוססי main-frame ומערכות ותיקות אחרות מוצאים עצמם מתקשים בניטור והגנה על המידע המאוחסן במערכות אלה, במיוחד לאור הבעייתיות בנגיעה ממשית בקוד האפליקציות הרצות על מערכות אלה. רבות מהאפליקציות נכתבו לפני 10, 20 ואף 30 שנים. נגיעה נדרשת בקוד בחלק מהמקרים מעכבת מאוד את התקדמות תהליך ההסמכה לתקן בארגונים רבים והיא נובעת מהחשש המוצדק שנגיעה אפשרית תפגע בליבת הפעילות של הארגון.
טענה אחרת שעלתה על ידי המשתתפים מסקטור זה היא שתקן ה PCI לא מתייחס להיבטי ניהול הסיכונים הכרוכים במושאי התקן. לשם השוואה צויין על ידי חלק מנציגי הסקטורים הללו, כי תקנים אחרים שהסקטור הפיננסי נדרש לעמוד בהם, כמו למשל 357\באזל 2 ו 257 (בנקים וחברות ביטוח בהתאמה), מביאים בחשבון את נושא ניהול הסיכונים ומשאירים לארגונים הנדרשים לעמידה בתקן "חופש פעולה" מסויים בבחירת אופי העמידה בו. תקן ה PCI מאוד חד משמעי ברוב המובנים ואינו לוקח בחשבון קשיים אובייקטיבים שיש לארגונים מורכבים במיוחד. גישה דיכוטומית זו מקשה מאוד על העמידה בתקן באותם ארגונים ו"דוחפת" אותם לאמץ מדיניות של ניהול סיכונים עצמאית. במקרים מסויימים יהיה חשש שיהיו ארגונים שיאלצו להסתכן בקנסות של מועצת התקן מול אלטרנטיבה בלתי אפשרית ליישם את התקן "כמו שצריך".
קיימת תחושה בקרב הארגונים שבחירה בפתרונות טוקניזציה תחסוך הרבה כסף יחסית לפתרונות הצפנה. אחד המשתתפים ציין כי ספקי פתרונות הטוקנים מבינים את שינוי הכיוון בשוק לכיוונם ומעלים כל הזמן את המחירים. נציג אחד הארגונים שבחן בתחילת הדרך פיתרון טוקנים ציין, כי המחיר שמוצע כיום עבור אותו שירות גבוה בהרבה מהמחיר שהוא נחשף אליו בתחילת הדרך.
בהרבה מהארגונים סביב השולחן קיימות מערכות ארגוניות בגרסאות שלא הותאמו לעמידה בתקן PCI. כך, לדוגמא, מוצא עצמו ארגון מסויים עם DB בגרסה שיצאה ללא התחשבות בתקן PCI (כי היא יצאה לשוק לפני התקן). כדי לעמוד בתקן, מחוייב הארגון לבצע שידרוג לגרסה חדשה שמשמעותו הכספית כבדה מאוד. נציג אחד הארגונים שעומדים בפני בעיה זו ציין, כי מנהלי הארגון יכולים להחליט מראש לא לעמוד בתקן ולהסתכן בקנסות מאחר ושידרוג המערכת מסתכם בעלויות גבוהות מדי.
מקצועיות ה QSA וסוגיות אי בהירות בתקן:
חלק מהמשתתפים ציינו כי הם נתקלים בבעיות ושאלות שה QSA לא יודעים לתת עליהן תשובות מספקות.
במקרים בהם ישנה אי בהירות, איך ניתן לקבל תשובות חד משמעיות?
האם יש גוף שדואג לבקר את ה QSA ולסייע בהדרכה מקצועית לארגונים בעבודתם מול QSA?
אחד המשתתפים ציין כי בארגונו קיימות מספר סוגיות הקשורות למערכות מורכבות בארגון וקיימת בקרב ה QSA פרשנות משלו לגבי יישום התקן על מערכות אלה.
איזה מנגנון קיים ב PCI ובמועצת התקן שיוכל להגן על האינטרסים של הארגון?
משתתף זה חושש מפעולות מיותרות או שגויות שיבוצעו כתוצאה משיקול דעת מוטה או מוטעה של חברת הייעוץ.
מר הרמן ציין, כי בעיות פרשנות של התקן או אתגרים אחרים שבהם נתקל ה QSA יכולים וצריכים לקבל תשובה ברורה על ידי מועצת התקן בפניה של ה QSA או כל חבר מועצה למועצה (ראו איזכור בתחילת המסמך).
נקודה נוספת שמאוד מטרידה את הנוכחים היא חוסר הבהירות שיש בשוק לגבי מספר נקודות בתקן. דוגמא לחוסר בהירות זו היא בהיקפי בדיקות החדירות (penetration tests) ומה בדיוק עליהן לכלול. חלק מהמשתתפים סיפרו כי ה QSA המליץ להם על בדיקות חדירות למערכות מסויימות בארגון שכלל לא ברור הקשר שלהן לעמידה בתקן. נקודות אחרות נוגעות לנושא מידע שקיים על מסמכים סרוקים או בשרתי אחסון וכן בקבצים שטוחים (flat files) במערכות MF.
מר הרמן ציין כי נושאים אלה ואחרים מקבלים הסבר באתר המועצה וביקש להפנות את הקוראים לקישור הבא לקבלת אינפורמציה נוספת על הנושא:
http://selfservice.talisma.com/display/2/index.aspx?c=58&cpc=MSdA03B2IfY15uvLEKtr40R5a5pV2lnCUb4i1Qj2q2g&cid=81&cat=&catURL=&r=0.499874770641327
שיגרה ודברים מובנים מאליהם הם האוייב הגדול של ה. אל תרדם (לקורבנות) ואל תיתפס (למתקיפים)