Secoz - SIM/SOC - ניהול אבטחת מידע בעולם משתנה

עמוד הבית

אודות

השירותים שלנו

חדשות

מאמרים

דרושים

יצירת קשר

אנשים
לקוחות

ENGLISH

SIM/SOC - ניהול אבטחת מידע בעולם משתנה

מאת גלעד ירון, CTO, SECOZ

שני צירופים בני שלוש אותיות מתגלגלים על שפתותיהם של אנשי אבטחת המידע – SIM ו-SOC. אם יורשה לי לצטט את מוקי: "כולם מדברים על SIM ו SOC, אף אחד לא מדבר על ביזנס".

מה זה SIM? מה זה SOC? למה בכלל צריך אותם? על כל אלה ועל דברים נוספים תוכלו לקרוא במדור זה.

רוצים ללמוד עוד?

כדאי מאוד!

להתראות בחמישה ביוני באינפוסק.

למה צריך לשים SIM?

מערכות המחשוב הארגוניות מייצרות כמות גדולה ומגוונת של התרעות. קשה להשתלט על שטף המידע המיוצר על ידי מערכות אלה, לזהות באמצעותו את האיומים העומדים בפני הארגון ולטפל בהם מבעוד מועד.

מערכות SIM – Security Information Management נועדו לעזור בהתמודדות עם אתגר זה.

בעזרת מערכות אלו ניתן לזהות בכל רגע נתון את מצב אבטחת המידע בארגון, האיומים עמם הארגון מתמודד ודירוג חומרת הבעיות. ה SIM אף עוזר בניהול ומעקב אחר מהלך הטיפול בתקריות אבטחת מידע (Incident Management).

כוחן של מערכות אלה טמון ביכולתן לבצע הצלבת מידע (קורלציה) שמקורו ממערכות שונות. בעזרת הקורלציה ניתן לזהות קשר בין אירועים שונים שדווחו בזמנים שונים וממערכות שונות ולהפוך אוסף אקראי של אירועים (events) לתקרית (Incident) בעלת משמעות עסקית לארגון.

תקנות שונות מזכירות במפורש את הצורך בהקמת מערך לניהול אירועי אבטחת מידע ובכללם SOX, HIPAA, הוראה 357 של המפקח על בנקים, ההוראה של המפקח על הביטוח ועוד.

מאיזה כיוון שמים את ה SIM?

הגישה אשר הייתה מקובלת בפרויקטים שיצאו לדרך עם תחילת התפתחותו של עולם ה SIM התבססה על תפיסת Bottom Up הגורסת כי ראשית יש להתקין את המערכת על כל התשתיות בארגון, ואז... נראה.

גישה זו דורשת עבודה רבה בפריסה, התקנה והפעלה של טכנולוגיות שונות ברחבי הארגון. בסיום עבודה זו עלול הארגון למצוא את עצמו עם מערך טכנולוגי מפואר – אך לא בהכרח עם מערכת שעונה על היעדים אשר הוצבו לפרויקט.

כדי להבטיח כי פרויקטי SIM יפיקו ערך עסקי אמיתי, יש צורך בגישה שונה. יש צורך לנתח את מערכות ה SIM באופן המונחה סיכונים עסקיים, בגישת Top Down. מתודולוגיה אשר מטרתה לסייע בניתוח של מערכות SIM ברוח זו - Dynamic SOC (DSOC™) - פותחה על ידינו על בסיס הניסיון הרב שצברנו בליווי יישום מערכות SIM בישראל.

להבנתנו, במקום למהר ולפרוש את המערכת לרוחב הארגון במיקוד טכנולוגי, יש לתכנן ולבצע פרויקטים אלה על בסיס הסיכונים העסקיים ורמת הקריטיות שלהם.

התהליך מתחיל בניתוח המערכות הקריטיות והסיכונים העומדים בפניהן. עבור כל אחת מן המערכות הללו יש לזהות את מקורות המידע מהם ניתן לאסוף חיוויים רלוונטיים למצב אבטחות המידע של המערכת. מקורות המידע מורכבים ממספר שכבות: מערכות התקשורת ואבטחת המידע, בסיס הנתונים ומערכות ההפעלה וכמובן – האפליקציות עצמן.

איזה חוקים צריך ה- SIM?

המושג "חוקים" נמצא בשימוש רב בהקשר למערכות SIM. ספקים נוהגים להעיד על כמות החוקים הקיימת בטכנולוגיה שלהם "מן הקופסא" כחלק מיתרונות המערכת. חלק מן האיומים בפניהם ניצב כל ארגון נובעים מן הטכנולוגיה המותקנת בארגון והיא משותפת לארגונים שונים. חשוב ללמוד מניסיונם של אחרים, להוציא את החוקים מן הקופסא ולהשתמש בהם לטובת הארגון. אך בנוסף לחוקים אלה, יש להגדיר במערכת ה- SIM חוקים העוזרים לזיהוי סיכונים במערכות העסקיות של הארגון אשר נובעים מניתוח הסיכונים הייחודיים הניצבים מולו.

כדי לאפשר שימוש יעיל במערכת ה SIM יש לקחת בחשבון שני היבטים. האחד הינו היכולת של הטכנולוגיה ומיישמיה לקלוט הגדרת חוקים בשפה לוגית כללית ולתרגם אותם לשפת המערכת, והשנייה – ביצוע ניתוח והגדרת החוקים הללו בעזרת מתודולוגיות ומומחים בנושא, בהתאם לצרכי הארגון.

צריך לעסוק גם ב-SOC

ה-SIM מהווה חלק מתמונה רחבה יותר – מוקד אבטחת מידע (Security Operation Center – SOC) . מוקד זה מהווה ישות מרכזית לניהול ובקרה של אבטחת המידע של הארגון.

ה-SOC מורכב מארבעה היבטים: טכנולוגיות (מערכת ה-SIM שהוצגה לעיל היא אחת מן הטכנולוגיות הנמצאות בשימוש במוקד), היבטים פיזיים (מיקום המוקד, הגנתו, ריהוטו וכדומה), האנשים העובדים בו (חשוב להקצות כוח אדם מקצועי ומנוסה לתפעול המוקד ולבנות תוכנית הדרכה מסודרת לקליטתו) ואחרון אחרון חביב – הנהלים.

יש לאפיין את תהליך העבודה של המוקד באמצעות הגדרת נהלי תגובה לתרחישים המזוהים במערכת ה-SIM. נהלים אלה מגדירים את תהליכי התחקור והאסקלציה שיש לבצע בהתאם לתוכן התרחיש.

SOC ו-SIM כדרך חיים

חשוב לבצע תהליך טיוב מתמיד של המוקד. אין טוב ממבחן המציאות על מנת להעריך את איכות ביצועי המוקד. יש להגדיר את האופן בו תבחן באורח שוטף איכותו של התהליך , וזאת על מנת לטייבו בהתאם ללקחים הנלמדים מן השטח.

שינויים ארגוניים, הוספת מערכות חדשות, שינויים טכנולוגיים, שינויים סביבתיים, לכל אלה השפעה ישירה על הסיכונים המאיימים על מערכות המידע וכן על האיומים העומדים בפניהן. יש לעדכן את ניתוח המערכת באורח שוטף בהתאם לשינויים אלו.

שימוש במתודולוגיה בדוקה ומנוסה כמו DSOC וסיוע של צוות מקצועי המתמחה ביישום הלכה למעשה של מתודולוגיה זאת יבטיחו של- SIM ול-SOC תהיה תרומה ישירה ליציבותו ועבודתו השוטפת של הארגון.

גרסה להדפסה שליחה לחבר