Thinking Security

בלוג בתהליך בניה

Security Concepts

• הבנה של צרכי ה ארגון באיזה רמת תקינה הוא צריך לעמוד אם זה רגולציות

• חשיבות של המידע והזמינות בארגון

• אבטחת מידע והגנה חזקה ב 7 השכבות

• ניהול סיכונים

• ומטודולוגיה של תהליכי אבטחת מידע ב Life Cycle שלנו בארגון

סביבה בעולם הסייבר = איך שומרים על C.I.A

Confidentiality, integrity and availability

סודיות זמינות שלמות\ויושרה

מטודולוגית הגנה ( Defense in Depth )

כיצד מגנים על המידע בשבע השכבות

Data Application Host Network Perimeter Physical Security

איך לאבטח את הארגון לפי מודל OSI

פורטים ב Fire Wall שצריך לדעת עליהם ועל רמת האבטחה שלהם

Policies,Procedures,Awareness

תהליכים, מדיניות ,ומודעות ארגוניים

על מנהל האבטחה מידע לדאוג שיהיו תהליכים חוזרים ונישנים ב life cycle של הארגון לאכיפת חוקים ומדיניות בארגון

האכיפה צריכה להיות בדרך מטודולוגית ( Check List ) בהתאם לנכסי הארגון והמערכות וכל היוצא בזה

תהליכים אוטומטים יכולים להקל על העבודה ולדאוג לסדר. לדעת שהכל נאכף בארגון בקפידה

לדוגמא:

יצירת קריאות בצורה אוטומטית כך שזה משוייך לצוות האחראי על Siem

בתוך הקריאה יהיו דוחות שבועיות/ויומיות ,בהתאם ממערכת הרשאות , מערכת FW וממערכת סריקות של AV

(ברוב המערכות יש שליחת אמייל ברוב המיקרים שוכחים לכן עדיף שזה יהיה בקריאה )

בהמשך לתהליכים הארגוניים מנהל האבטחת מידע צריך להפחית את הסיכונים של הארגון על ידי בקרות מפצות בהתאם

למידע הפנים ארגוני ,לרגולציה , ולתקן (לדוג' 270001ISO) הנדרש על הארגון לעמוד בו .

ניהול מדיניות אירגונית:

אחריות מנהל האבטחת מידע ללמד את הארגון על מדיניות האבטחת מידע בארגון ועל האיומים הקיימים בארגון ועל הדרך נכונה

להגן על הארגון התנהלות שיכולה להביא את הארגון להפסד.ההדרכההה תיהיה בתהליך מטודולוגית להאצלת סמכויות בארגון

העברת הרשאות ,ובקרה

וכמן כן צריך לעשות בדיקות אבטחה שהכל מתנהל כראוי לארגון ושאין שיתוף משתמשים או סיסמאות בין משתשמים

וגם לוודא שהשולחן נקי מסיסמאות ואין דפים על השולחן הניתנים לגניבה .

מתוקף אחריותו על המידע עליו גם לדאוג לאבטחה פיזית בארגון, הכוונה ל מידור מחלקות

מדינייות הגנת הפרטיות :

טכנולוגיות שיש בהם מידע הנוגע בנושא הפרטיות (PCI-PII) פרטים אישיים של לקוחות וכרטיסי אשראי מידע רפואי

או כל מידע הקשור לצנעת הפרט

וודוא שיש בקרה על המידע מי פונה אליה ולמה . על ידי מערכת ניתור לוגים וחסימה במידה

מדיניות של מורשה:

מעבר על תיקיות רשת ארגוניות ומיפוי לפי סיווג מחלקות אירגונייות ולפי סודי,חשוב ביותר ,ללא חשוב לבין סמנכל, מנהל ,משתמש רגיל

לשים לב שאין הרשאות יתר. או העברת תפקידים בדרך לא ישרה ומסודרת .לוודא שיש תאימות בין המשתמשים

ו לוודא שאין משתמשים לא פעילים מעבר על מערכת מסוג IDM ולוגים הקשורים בהרשאות וניהול הרשאות

מדיניות גישה :

על מנהל אבטחת מידע יש לוודא שהגישה ל מידע בארגון מתבצע לפי סיווג ו ועל ידי שכבות הגנה

1. סביבה של חומרה פיזית DATABASE סטורג' מוצפנים\ ESX\HOST

2. גישה של תקשורת גישה לסיביבה בסעיף 1 לפי מחלקה וסיווג

3.ניתור ניסיונות גישה והעתקה או הוצאה מארגון מעבר על לוגים

תאימות אירוגונית: Compliance

חלוקת תפקידים בין המחלקות :

אבטחת מידע \ בטחון

אבטחה פיזית:

• • מדיניות ניהול גישה במתחמים

  • מנעול גישה למתחמים או לחומרה פיזית

  • בניית סביבה בטיחותית לחומרה מבוססת על מיקום ושכבות הגנה

  • הגנה מפני שריפה שיטפון . וקו חשמל נפרד ועצמאי מכלל הארגון

משאבי אנוש \ בטחון

אנשים \ משתמשים \ סמכויות :

• • מדיניות הקמת משתמש

  • ספקים

  • אורחים

  • שותפים עסקיים

  • סוכניות חיצוניים

משאבי אנוש \מערכות מידע

מידע:

• • גישה למידע

  • שמירה על מידע הפנים אירגוני וחוץ אירגוני

  • אגירה של מידע פנימי וחיצוני

צוות תשתיות IT

תשתית טכנולוגיה מאובטחת :

• • מדיניות התחברות ספק ,משתמשים

  • אינגרציה שותף עיסקי

  • חומרה ,אתרים ,תקשורת ,פרוקסי פיירוול

צוות תשתיות IT \ אבטחת מידע

התאוששות עסקית :

• • הכנת מסמכים להתאוששות עסיקית במצב חירום

• ביצוע תהלכים

  • תגובה לאירוע חירום

  • החלטות איך ומתי לחזור לפעילות

אסטרטגיה לניהול סיכונים:

התמודדות עם אירועים - (Incident Response (IR

נושא זה עוסק בהתנהלות והתמודדות מול איום סייבר המצריך ניתוח תעדוף וקטלוג ומעקב ברשתות החברתיות העוסקים

בנושא הסיבר כמו ה NSA וה Cert הלאומי

השלבים הם :

ניתוח האירוע - להבין ולזהות את ההיקף במה הוא פוגע בארגון באיזה חלק . סודיות יושרה וזמינות/שלימות

הבנה דרך איזה Back dor (דלת אחורית) או חולשה\פגיעות (vulnerability) התוקף ניצל ו נכנס לנו לארגון היכן הוא זוהה

על ידי ביצוע פורנזיקה ( סימוני דרך ) איזה דרך איזה מעברים עבר ברשת עד לנוזקה

סיוע בתגובה לאירוע - איך להתאושש מאירוע מול צוות מיחשוב על ידי הדרכה מונחת

מה לחסום ברשת הארגונית להגן על האירגון ולהימנע מהאיום להתפתח בכל התשתית הארגונית

ו איך להחזיר את הארגון למצב קודם

כלים לביצוע וניתוח אירועים

מעבר מערכות Siem Soc

מעבר על לוגים ב WAF ובמערכות IPS IDS למינהם

ומעבר על מנועי AV האם הקובץ עבר ולא זוהה כנוזקה דרך המערכות

ניהול סיכונים & BIA

השפעת הסיכון :

• • השפעה על החברה

  • רווחים

  • מוניטין

  • רגולציה חקיקה עמידה בתקן

הLife Cycle בניהול סיכונים

• • זיהוי סיכונים

  • תהליכים אוטו'

  • ווידוא שהם פעילים

  • ניתור מערכות קריטיות בארגון

  • יתירות ושרידות של תשתית טכנולוגית

  • BCP - DRP

  • תרגיל כל רבעון

תהליכים לישום

מעבר על מערכות טכנלוגיות ופעילותם