"המוצרים לא מספקים הגנה מלאה; הפתרון: גיבוי המידע"

"כל חברה שמבטיחה פתרון הגנה לא יכולה להבטיח הגנה מלאה. החברות מתאמצות ומשתדלות להגן על המידע, אבל מתישהו יצליח הפורץ לפרוץ. הפתרון הוא גיבוי המידע", אמר אלי לופז, מנהל ברדוקסיו.

לופז דיבר בכנס InfoSec 2017. האירוע, בהפקת אנשים ומחשבים, נערך זו השנה ה-18, והוא התקיים באחרונה במרכז הכנסים אווניו שבקריית שדה התעופה, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי לופז, "בשנות ה-80-90 בוצע גיבוי פעם ביום ואם קרה אירוע – היו מפסידים את מה שהיה באותו היום. בשנות ה-90, נט-אפ (NetApp) המציאה את ה-SnapShot, שביצע גיבוי אחת לכמה שעות. משתמשים בטכנולוגיה הזו עד היום, 25 שנים אחרי שהיא הומצאה, ואף חברת אחסון לא שינתה בה דבר מאז. זה מוזר, מפני שכשיש מתקפה – מפסידים את כל מה שקרה בשעות האלה, זה לא מגובה. הדבר גורם לארגון נזק רב".

עוד סיבות מדוע העובדה שלא פיתחו מאז ה-SnapShot טכנולוגיות שיחליפו אותה או יצטרפו אליה מוזרה הן ש-"ארגונים מאחסנים כיום הרבה יותר מידע, הוא קריטי להם, יש הרבה יותר סכנות ועדיין – כל יצרני האחסון משתמשים באותה טכנולוגיה בת 25 שנים וגורמת נזק".

אלי בניטה, מנהל הטכנולוגיות הראשי של ווי-אנקור. צילום: ניב קנטור

"האם יש דרך אחרת?", שאל לופז והשיב: "רדוקסיו היא חברת אחסון שמציעה יכולת לחזור לכל שנייה בזמן. כל המידע נשמר וחוזר ואפשר לעבוד איתו. אפשר לומר שאנחנו מספקים לארגון מכונת זמן".

SOC – בתוך הארגון או מנוהל?

אלי בניטה, מנהל הטכנולוגיות הראשי של ווי-אנקור, דיבר על SOC (מרכז תפעול אבטחת מידע) ועל SOC מנוהל. לדבריו, "אף אחד לא שואל מה ניתן לעשות ב-SOC אלא איפה ואיך מקימים אותו".

"הבעיה הכי גדולה ב-SOC היא האנשים", אמר בניטה. "צריך שלושה אנשים לתפעולו במשך שמונה שעות ביום בלבד; כמעט שליש מהמשרות בתחום אבטחת המידע מיועדות ל-SOC; קשה להתמודד עם הגיוס של האנשים האלה, כי הם מבקשים שכר מטורף; ארגונים רבים לא משקיעים בבדיקת האנשים האלה – פוליגרף, בדיקת סיווג, מבחנים וכדומה; לוקח חודש להכשיר בקר וההכשרה אמורה להיעשות ב-SOC עצמו, תוך כדי עבודה – מה שעלול להפריע לה, מה גם שאחרי ההכשרה, הבקר ממשיך ללמוד; בנוסף, בודקים אנשים, מגייסים את המועמדים ומשקיעים בהם הרבה משאבים, והם עלולים לעזוב את החברה אחרי שנה-שנתיים".

בעייתיות נוספת ב-SOC מצויה בנהלים ובתהליכים. "אין כמעט אף SOC בארץ שיש בו נהלים כתובים וברורים מה לעשות בכל מקרה ומקרה. או שהם נמצאים בתהליך של כתיבת הנהלים או שיש משהו מלפני כמה שנים, שזמנו עבר. נהלים הם דבר שצריך להתעדכן כל הזמן", ציין.

הוא דיבר על היתרונות של SOC מנוהל: "יש הרבה מאוד כלים שהוא יכול לתת, בהם כלים לתחקור אירועים וללמידה. כמו כן, SOC מנוהל צובר ניסיון ויש לו נהלים ברורים מה לעשות כשקורה אירוע אבטחה או סייבר".

בניטה עמד על כמה נושאים שעל ארגונים לברר, לדבריו, כשהם מחליטים ללכת ל-SOC מנוהל. "עליהם לדאוג להפרדה של המידע שלכם מזה של לקוחות אחרים, לדעת איך מקבלים את המידע והאם הוא מתעדכן, לוודא שה-SOC פועל 24/7, ולשאול האם יש לארגון גישה לנתונים או שהוא רק מקבל התראה, והאם הוא יכול לתחקר את האירועים גם בעצמו", אמר.