אבטחת מידע והגנה מפני מתקפות סייבר – חיים בתנאי אי וודאות

במהלך עבודתנו כסוקרים מומחים אשר פוגשים עשרות לקוחות בחודש נתקלנו לאחרונה במקרה מאיר עיניים. לקוח הטמיע מוצר הגנה על עמדות קצה, שעל פי התחייבות היצרן מזהה התנהגות חשודה על העמדה ומונע אותה. היצרן הוא אחד מהיצרנים הגדולים והמוכרים, והמוצר הוא אחד המובילים ברשימות גארטנר.

ביצענו בדיקה פשוטה, הרצנו קובץ זדוני מוכר וראינו שהקובץ זוהה במערכת. לאחר מכן שינינו את חתימת הקובץ (מבלי לשנות את התנהגותו כהוא זה) והקובץ לא זוהה במערכת. פנינו לנציג היצרן, זה גמגם מעט, ובסופו של תהליך ארוך הלקוח החליף את המוצר.

לבחור במוצר הטוב ביותר

מי מאתנו לא נתקל בדילמה דומה במהלך עבודתו? מספר מוצרי אבטחת מידע המבטיחים פתרון לבעיה מסוימת, ניצבים זה לצד זה, ועלינו לבחור במוצר הטוב ביותר על פי ראות עינינו. השיקולים רבים ומגוונים. יצרן מוכר ונפוץ בשוק; תמיכה נוחה וזמינה; עלות נמוכה ועוד, אך באופן טבעי, כאמונים על אבטחת מידע, אנחנו מחפשים לפני הכל את הפונקציונליות, את היכולת לבצע הגנה אמיתית מפני איומים.

להבדיל ממוצרים מעולמות תוכן אחרים, מוצר אבטחת מידע טוב לא נמדד באופן שוטף אלא במקרי קצה. מערכת פתיחת קריאות שירות טובה, למשל, ניתן להעריך על פי הפונקציונליות השוטפת. האם המשתמשים מרוצים? האם הטיפול בקריאות נוח? האם התיעוד מאפשר דוחות מועילים? מוצר אבטחת מידע לא ניתן למדידה באותו אופן, ולכן רב הנסתר על הגלוי.

זאת ועוד, פעמים רבות חולשות אבטחה נגרמות בגלל קונפיגורציה לקויה, ולכן ההיכרות של צוות אבטחת המידע עם מוצר, משמעותית. כשהצוות מכיר היטב מוצר מסוים קל לו לטייב את ההגנה, לנהל את ההתרעות, לפתור בעיות משתמשים ועוד. כך, כאשר אנחנו בוחרים להטמיע מוצר אבטחה, אנחנו מקווים שנוכל להמשיך ולהשתמש בו זמן רב.

אפשרויות נוספות להערכת מוצרים

שני המקורות הנפוצים להערכת מוצרי אבטחה הם אנליסטים כדוגמת גארטנר, מטה-גרופ ודומיהם, ועמיתים למקצוע. אלא שהמהימנות של המקורות הללו לא תמיד מלאה. פעמים רבות תנאי הסף להיכלל בבדיקות שמבצעות חברות האנליסטים כוללים עלות לא זניחה, ההערכה כוללת גם חוסן חברה, ומוצרים חדשים, מוצרי קוד פתוח ואחרים, פעמים רבות לא נכללים בדוחות. העמיתים שלנו מסתמכים פעמים רבות על אותם מקורות, על אותם עמיתים, ואנשי מכירות ושיווק טובים עשויים להטות באופן משמעותי את דעת הקהל.

כמו כן, היות והיכולת לבצע קונפיגורציה היא היבט משמעותי של יעילות ההגנה בפועל, ייתכן שקולגה ימליץ על מוצר שהוא מכיר היטב ויודע לתפעל, אלא שלארגון שלנו לא יהיו המשאבים והיכולת להביא ליעילות דומה. כך, גם לאחר מאמצים מרביים, מנהל אבטחת המידע נותר במידה רבה עם מידע חלקי בלבד על המוצרים ביניהם הוא מנסה לבחור.

ישנן מספר אפשרויות נוספות להערכת מוצרים. אחת מהן היא ביצוע בדיקות פנימיות. אין הכוונה כאן לתקופת הרצה למוצר, שבה בדרך כלל נבדקים היבטי תפעול כגון ביצועים, תאימות למערכות נוספות וכדומה, אלא להקמת מעבדת אבטחת מידע, אולם רוב הארגונים לא מחזיקים בתשתיות ובכוח אדם מתאים לבדיקות מעין אלה. אפשרות נוספת היא פנייה לחברת אבטחת מידע מתמחה, שתוכל לבצע בדיקה עצמאית של המוצרים מול התחייבות היצרן, כך נוכל להעריך את ביצועי המוצר בפועל מול בדיקות בשקיפות מלאה ולטייב את תהליך קבלת ההחלטות.

בחירה באפשרות השנייה, מאפשרת ללקוח לקבל שירות מקצועי של מומחים בתחום, אשר פועלים באופן אובייקטיבי ומאפשרים ללקוח להבין בפרק זמן קצר מהי התמורה האמיתית של המוצר לארגון והאם הוא נותן מענה לצורך שעבורו הוא נרכש.

לפרטים והרשמה לכנס לחצו כאן.

דורון סיון, יו"ר Security MadSec