1. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax. 972-97442444
‫סיכום מפגש שולחן-עגול‬
‫אבטחת מידע‬
2007 ‫41 נובמבר‬
‫מנחה המפגש: ארז בן-ארי‬
Moshav Bnei Tzion P.O.Box 151, 60910 Israel
Tel: (972)-9-7444474 Fax: ( 972)-9-7442444

2. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫תוכן‬
‫שיקולי אבטחה במקרה של אובדן וגניבה. ..................................................................3‬
‫שיקולי ציתות לתקשורת. ........................................................................................3‬
‫שיקולי הגנה מפני איומים. ......................................................................................3‬
‫שיקולי תמיכה טכנית. ............................................................................................3‬
‫שיקולי פלטפורמה.................................................................................................4‬
‫שיקולים פוליטיים. .................................................................................................4‬
‫סיכום .................................................................................................................4‬
‫נושאים אחרים שעלו בדיון ......................................................................................5‬
‫הצפנה של דואר אלקטרוני . ............................................................................5‬
‫מערכות ‪5.................................................................................... SIEM/SOC‬‬
‫מערכות ‪5.............................................................................................. NAC‬‬
‫ניהול סיסמאות .............................................................................................6‬
‫הגורם האנושי ..............................................................................................6‬
‫סינון אתרים ( ‪6...................................................................... )URL FILTERING‬‬
‫נספח: תגובות מאת וונדורים לגבי הנושאים שעלו במפגש: ...........................................7‬
‫הצפנה של דואר אלקטרוני. .............................................................................7‬
‫מערכות ‪8...............................................................................................NAC‬‬
‫ניהול סיסמאות ..............................................................................................9‬
‫הגנה על טלפונים ומחשבי כף יד - שיקולי אבטחה במקרה של אובדן וגניבה. ..........01‬
‫הגנה על טלפונים ומחשבי כף יד - שיקולי הגנה מפני איומים................................01‬
‫הגנה על טלפונים ומחשבי כף יד - שיקולים פוליטיים. .........................................11‬
‫הגורם האנושי .............................................................................................11‬
‫סינון אתרים (‪11....................................................................... )URL Filtering‬‬
‫מערכות ‪12................................................................................... SIEM/SOC‬‬
‫מכשירים ניידים (הנושא לא נידון במפגש) ........................................................21‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

3. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫מבוא‬
‫משתתפי המפגש הנם מנהלי אבטחת מידע ב-21 חברות מסקטורים שונים. הנושא המנחה במפגש‬
‫היה אבטחה של התקנים ניידים כדוגמת ‪ Smart-Phones‬ו – ‪( PDA‬לא כולל מחשבי פי.סי. ניידים).‬
‫נושא זה הנו בחיתוליו, ולכן רק חלק מועט מהמשתתפים צברו ניסיון מעשי בתחום. נושאים נוספים‬
‫שעלו במהלך הדיון הם הצפנה של דואר אלקטרוני, מערכות ‪ ,SIEM/SOC‬מערכות ‪ ,NAC‬ניהול‬
‫סיסמאות, הגורם האנושי ו - סינון אתרים.‬
‫שיקולי אבטחה במקרה של אובדן וגניבה.‬
‫תופעה נפוצה במחשבי כף יד וטלפונים היא אובדן או גניבה, והמשתתפים הביעו חשש מהמידע‬
‫שעשוי לדלוף במקרה כזה. במכשירים סלולריים חברות הסלולר מציעות אפשרות להעביר פקודה‬
‫למכשיר המשמידה את המידע שעליו, אך זו אפשרות זמינה רק במקרה שהגנב / המוצא הבלתי ישר‬
‫לא הוציא את ה – ‪ SIM‬מהמכשיר. אחד מהמשתתפים, מתחום הבריאות, הסביר כי הוא בחר‬
‫להשתמש באופן אקסקלוסיבי במכשירים של חברת פלאפון, המבוססים על טכנולוגיה שונה שבה אין‬
‫כרטיס ‪ ,SIM‬ולכן אפשר לחסום את המכשיר ולמחוק את תוכנו בכל מקרה. המשתתף גם תיאר כיצד‬
‫קבצים הנמצאים על המכשירים מוצפנים וחתומים בעזרת תעודה-דיגיטלית, והם משתמשים במערכת‬
‫המאפשרת לאחסן את הקובץ במקום מאוד ספציפי על המכשיר, כדי שתהיה אליו גישה מהמכשיר.‬
‫ללא התעודה, לא ניתן לפתוח את הקבצים, ולכן במקרה של אובדן או גניבה של המכשיר, אין‬
‫אפשרות לפתוח אותם ותוכנם מוגן. מזווית אחרת, סיפר המשתתף כי בארגון קיימת מדיניות קשיחה‬
‫בנושא אובדן של ציוד, ועל עובדים המאבדים פריט כגון מחשב נייד או מפתח-אבטחה ‪)Token‬‬
‫(‬
‫מוטלים קנסות כספיים וכן עונשים מנהלתיים ( על העובד להמתין פרק זמן מוגדר לקבלת ציוד חלופי).‬
‫לדבריו, מדיניות זו הביאה לירידה משמעותית במקרי אובדן.‬
‫שיקולי ציתות לתקשורת.‬
‫התקשורת בין המכשיר הסלולרי לבין ספק השירות עשויה להיות מקור לדליפה של מידע. פתרון אחד‬
‫אפשרי לנושא הוא הצפנה של התקשורת, ומשתתף מתחום הבריאות סיפר כי המכשירים בארגונו‬
‫מקבלים תעודות-דיגיטליות המונפקות בעזרת ‪ Certificate Authority‬שקיים בארגון בכל מקרה (ולכן‬
‫אין בכך תוספת עלות) ונוצר ערוץ תקשורת מאובטח בין המכשירים לבין חברת התקשורת. אותה‬
‫תעודה דיגיטלית משמשת גם לפתיחת קבצים המגיעים אל המכשיר בדואר אלקטרוני או נמצאים‬
‫בזיכרון המכשיר. משתתף אחר מחברה בתחום הבטחוני ציין כי עקב תקלה ידועה ומתועדת‬
‫במערכת ההפעלה חלונות-מובייל 5, המפתח-הפרטי המותקן על המכשיר נמחק במידה ושרת ה-‬
‫‪ Exchange‬אינו זמין, ותופעה זו גורמת לתקלות רבות בארגונו שעד כה לא נמצא להן פתרון. בגרסה‬
‫6 של המערכת הבעיה איננה קיימת, כך נטען, אך זה מחייב החלפת המכשיר כולו ברוב המקרים,‬
‫וזוהי החלטה יקרה וקשה.‬
‫שיקולי הגנה מפני איומים.‬
‫כמה משתתפים מתחומי הבריאות והביטוח ציינו כי הם משתמשים בפיתרון של חברת ‪Trend-Micro‬‬
‫להגנה מפני וירוסים בטלפונים סלולריים, אך שביעות הרצון אינה מוחלטת מכיוון שיש למוצר השפעה‬
‫מורגשת על הביצועים. אחד המשתתפים טען כי המוצר אינו מזהה את כל הוירוסים שקיימים, ואף‬
‫סיפר כיצד קרה בחברה הקשורה לארגונו שמנהל בכיר בחברה הכניס וירוס למחשבי החברה (ללא‬
‫כוונת זדון) דרך הטלפון שלו. משתתף אחר סיפר כי מנגנון עדכון-החתימות הנו בעייתי מכיוון‬
‫שהסבילות שלו לתקלות תקשורת נמוכה. לדבריו, זה מוביל למצב בו אם המשתמש נמצא באזור שבו‬
‫הקליטה הסלולרית אינה טובה, הוא עלול להיות בלתי-מעודכן במשך תקופה ארוכה. חברת טרנד,‬
‫לדבריו, מבטיחה פתרון לבעיה בקרוב.‬
‫שיקולי תמיכה טכנית.‬
‫המשתתפים ציינו כי הם אינם נתקלים בבעיות רבות בתמיכה טכנית למוצרים, אך עובדי החברה‬
‫הנמצאים בחו"ל וזקוקים לעזרה מהווים קושי לא פשוט, בעיקר על רקע השונות והמגוון של‬
‫המכשירים הזמינים. אחד המשתתפים ציין כי הוא משקיע משאבים רבים בבדיקה מעמיקה של כל‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

4. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫מכשיר, על אף הקושי הכרוך בכך, וזאת על מנת להבטיח את הארגון. הוא גם ציין כי משתמשים‬
‫הנמצאים בחו" ל וזקוקים לעזרה מקבלים הנחייה לפנות לחברה מקומית באותו אזור, לבצע את‬
‫התיקון ולקבל החזר כספי לאחר מכן.‬
‫שיקולי פלטפורמה.‬
‫בשוק קיימות כמה פלטפורמות נפוצות של מכשירים חכמים. הנפוצים ביותר הם מכשירים של נוקיה,‬
‫המריצים את מערכת ההפעלה סימביאן (כגון סדרת ‪ .)N‬הפלטפורמה השנייה הנפוצה ביותר היא‬
‫חלונות-מובייל בגרסה 5, כאשר מכשירים עם גרסה 6 נכנסים בימים אלה לשוק. פלטפורמה נוספת‬
‫היא של חברת ‪( RIM‬בלקברי). מערכת התקשורת של בלקברי היא במהותה מאובטחת יותר, אך‬
‫אחד המשתתפים המגיע מארגון בטחוני טען כי לחברת ‪ RIM‬יש יכולת להאזין לתקשורת בכל זאת,‬
‫ולכן זוהי אינה מערכת מאובטחת כלל. המוצרים המבוססים על חלונות ידועים בהיותם לא מאובטחים‬
‫במיוחד, אם כי מיקרוסופט טוענת שבגרסה החדשה (6) וכן בגרסה החדשה של שרת ‪Exchange‬‬
‫(7002) יש שיפורי אבטחה משמעותיים.‬
‫שיקולים פוליטיים.‬
‫בין נציגי החברות שהשתתפו במפגש קיימות שתי גישות לפוליטיקה של אבטחת המידע. חלק‬
‫מהארגונים סיפרו כי אצלם אבטחת המידע היא הגורם החזק, ולכן החברה כפופה להחלטותיו של‬
‫מנהל האבטחה, גם אם הן לא נעימות או קלות ליישום. בארגונים אחרים המצב הוא הפוך, וארגון‬
‫האבטחה צריך להתאים את עצמו לצרכי ורצונות המשתמשים, תוך ניסיון להגיע לאבטחה מקסימלית.‬
‫בחברות ביטוח, למשל, המצב קל, כך נטען, מכיוון שהוראות המפקח על הבנקים (רגולציה) הנן‬
‫בלתי- מתפשרות וברור לכל המעורבים כי לארגון אין ברירה אלא לעמוד בדרישות, גם אם הן קשות או‬
‫כואבות. גם בתחום הבריאות ישנה רגולציה, אך היא בשלב זה היא עדיין איננה מיושמת בצורה‬
‫מקיפה. במקרים מסוימים, כך סיפר משתתף מתחום הבריאות, לא ניתן היה למצוא פתרון סביר‬
‫מבחינה אבטחתית, ולכן בחרנו באלטרנטיבה אחרת, כגון מחשב נייד או מסופון נייד, והם עובדים על‬
‫בסיס ‪ )Server Based Computing( SBC‬המבטיח אבטחה טובה מאוד.‬
‫סיכום‬
‫אבטחה של טלפונים חכמים היא ללא ספק אחד האתגרים הקשים כיום, בעיקר עקב היותם של‬
‫המוצרים בתחום בלתי-בשלים לארגון גדול. הירידה במחירים של מכשירים ממשפחה זו גורמת‬
‫לאימוץ גדל והולך שלהם בארגונים, וגדילה זו צפויה להמשיך, כאשר כבר בתוך שנה אנו מעריכים כי‬
‫רוב המכשירים בארץ יהיו מסוג זה. ככל שהמכשירים יהיו נפוצים יותר, כך יגבר הלחץ הפוליטי על‬
‫הנהלת הארגון לספק מכשירים כאלה באופן רשמי למנהלי הארגון, ואולי אף לעובדים. המידע‬
‫המאוחסן על המכשירים, שהנו מוגבל כיום בעיקר למספרי-טלפון או פגישות, יהפוך למגוון יותר עם‬
‫הופעתן של אפליקציות עשירות (כגון פתרונות לניהול מידע ארגוני) ויהיה מטרה קורצת-יותר עבור‬
‫האקרים. נטייתם של המכשירים להיגנב או ללכת לאיבוד מהווה גם היא סיכון ולכן אנו צופים‬
‫שהפתרונות הזמינים יבשילו, במקביל להופעתם של פתרונות נוספים. אנו צופים גם כניסה של‬
‫גורמים גדולים לתחום, שתיעשה, כמקובל, על ידי קנייה של חברות קטנות יותר. האתגרים עבור‬
‫מפתחי הפתרונות הם התמודדות עם הנדסת-האנוש המאפיינת שימוש במוצרים מסוג זה,‬
‫והתמודדות עם מגוון גדול של מכשירים ופלטפורמות הזמינות בשוק. האתגר הצפוי למנהלי אבטחת‬
‫מידע הוא בעיקר התמודדות עם סוגיות פוליטיות הנוגעות להגבלת יכולות המכשירים.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

5. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫נושאים אחרים שעלו בדיון‬
‫הצפנה של דואר אלקטרוני.‬
‫המשתתפים דנו בסוגיית הצפנה של דואר, הן בתוך החברה והן מחוצה לה. כמה משתתפים‬
‫ציינו כי הם משתמשים בתכונת ‪ RMS‬המשולבת בשרתי הדואר של מיקרוסופט, אך תכונה‬
‫זו מתאימה לתקשורת תוך ארגונית. לתקשורת חוץ ארגונית סיפר אחד המשתתפים,‬
‫מחברה בתחום התקשורת כי הוא משתמש בטכנולוגיה של ‪ .PGP‬במקרה כזה, לקוח‬
‫המקבל את הדואר המוצפן מזדהה מול שרת ציבורי ומקבל את המפתח לפתיחת הקובץ.‬
‫משתתפים מתחום הביטוח סיפרו כי נושא זה נדרש על ידי הרגלוציה, אך החברות בתחום‬
‫זה לא מצאו פיתרון סביר לנושא, בעיקר מכיוון שיש להם התכתבויות מזדמנות שבהן עובר‬
‫מידע רגיש.‬
‫מערכות ‪SIEM/SOC‬‬
‫כמה משתתפים סיפרו כי הם נמצאים בתהליכי הטמעה של מערכות ‪ .SIEM/SOC‬חלקם‬
‫רק בשלב הבחירה, וחלקם כבר בשלבי הטמעה מתקדמים יותר. המשתתפים סיפרו כי הם‬
‫מבצעים בדיקות ‪ P.O.C‬על מוצרים של ‪ ArcSight ,EMC‬ו – ‪ .CA‬המשתתפים ציינו כי‬
‫המוצר של ‪ EMC‬נחמד, אך זה של ‪ ArcSight‬הוא המוביל בארץ, לדעתם. אחד‬
‫המשתתפים מתחום הביטוח ציין כי שימוש בפתרון ‪ SOC/SIEM‬מחייב כמות גדולה של כח‬
‫אדם, וציין כדוגמא את אחד הבנקים בישראל, המפעיל 01 אנשים לטיפול בנושא זה בלבד.‬
‫המשתתף ציין גם כי גם הוא צופה שיצטרך לשלב בצוות כח אדם נוסף לטיפול ב ‪ ,SOC‬והוא‬
‫-‬
‫צפוי לקבל תקן לשם כך.‬
‫מערכות ‪NAC‬‬
‫אחד המשתתפים תהה אם מי מהארגונים הנוכחים משתמש בטכנולוגיית ‪ ,NAC‬מלבד מוצר‬
‫‪ SWAT‬של חברת ‪ .XOR‬המשתתפים סיפרו כי זוהי טכנולוגיה מעניינת, אך נמצאת רק‬
‫בשלבי בחינה או תכנון, ויתכן שבשנה הבאה תיכנס לשימוש מעשי. מוצר ‪ ,SWAT‬לדברי‬
‫אחד המשתתפים מהתחום הבטחוני, הוא טוב ועושה את העבודה, אך הוא אינו נותן פתרון‬
‫מלא ואינו מסייע, לדוגמא, בבדיקה אם משתמש מסוים עומד בדרישות הארגון לאנטי וירוס‬
‫או עדכון טלאי אבטחה. חיסרון של המוצר, לדברי אותו משתתף, הוא העובדה שכתובת‬
‫‪ ,MAC‬שהיא הבסיס לפעילותה של התוכנה, ניתנת לזיוף, ואילו מוצר ‪" NAC‬אמיתי"‬
‫מאפשר לבצע פעולות מתקדמות יותר במידה משמעותית. המשתתפים סיפרו כי הם בוחנים‬
‫מוצרים של החברות סיסקו , סימנטק, ‪ Forescout‬ומקפי, אך בדיקות אלה הן בעיקר‬
‫בשלבים ראשוניים. כמה משתתפים ציינו כי הם בשלבי הטמעה מתקדמים של פתרונות‬
‫מבוססים ‪ ,802.1X‬אם כי אלו גוררים עלות לא פשוטה של החלפת ציוד-תשתית רשת רב.‬
‫אחד המשתתפים מתחום הביטוח ציין כי הוא מבצע רענון של ציוד הרשת בכל מקרה, ולכן‬
‫זוהי איננה בעיה חריפה. המשתתף הוסיף גם כי מאפיין ייחודי של חברות ביטוח הוא היותן‬
‫מורכבות מהרבה מאוד חברות קטנות-יותר שצורפו במשך השנים, וזה יוצר שונות גדולה‬
‫בציוד ובתקנים, ומסבך מאוד את ההטמעה.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

6. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫ניהול סיסמאות‬
‫המשתתפים דנו בסוגיית הסיסמאות, ובעיקר בקושי של החלפת סיסמאות בשרתים השונים‬
‫בארגון. משתתף מתחום הבריאות סיפר כי הם מחזיקים בסיס-נתונים של הסיסמאות,‬
‫ונעזרים בסקריפטים לשם ביצוע ההחלפה עצמה. משתתף אחר מתחום התעשייה סיפר כי‬
‫המשימה נעשית אצלם בצורה ידנית, על ידי אחד מעובדי החברה, שזוהי משימתו העיקרית.‬
‫משתתף מארגון בטחוני ציין כי פתרון בשם ‪ CyberArk‬מאפשר להתמודד עם הבעיה בצורה‬
‫טובה, אך מדובר במוצר יקר מאוד.‬
‫הגורם האנושי‬
‫המשתתפים ציינו כי האתגר הגדול של ארגונים מסוימים הוא לאו דווקא באבטחת מערכות‬
‫מידע, אלא בגורם האנושי. צוינו מקרים בהם מידע שהנו מאובטח מאוד מטבעו עשוי לדלוף‬
‫עקב התנהגות בלתי תקינה של אנשים, כגון מנהלי בסיסי-נתונים (‪ )DBA‬או אנשי מקצוע.‬
‫אחד המשתתפים ציין כי בתחומים מסוימים, כגון מערכת הבריאות, דליפת מידע עלולה‬
‫להוביל לאובדן חיי אדם, ולכן הדבר דורש רגישות מיוחדת, וגם גמישות בניהול המערכות.‬
‫המשתתפים ציינו כי חשוב להקפיד על אבטחה פיזית במקביל לאבטחת מידע, כדי לצמצם‬
‫סכנות של דליפת מידע באמצעים אלה, ואחד מהם סיפר כי בארגונו מופעל צוות מיוחד‬
‫שתפקידו הוא לבצע ביקורות אקראיות במתקני החברה. במקביל, סיפר המשתף, החברה‬
‫מספקת לעובדים הדרכה תקופתית לגבי צורות התנהגות לצמצום סיכונים ודליפת מידע.‬
‫סינון אתרים (‪)URL FILTERING‬‬
‫המשתתפים ציינו כי סינון אתרים הוא טכנולוגיה חשובה, אך בעלת השלכות פוליטיות, מכיוון‬
‫שהיא מחייבת בחירה במצב עבודה של רשימה-שחורה (כלל האתרים זמינים, מלבד כאלה‬
‫שהוגדרו לחסימה) או רשימה-לבנה (כלל האתרים חסומים, מלבד כאלה שהוגדרו כזמינים).‬
‫אחד המשתתפים סיפר כי לאחר שבדקו כמה מוצרים בתחום, כגון ‪ ,BlueCoat‬הגיעו‬
‫למסקנה כי עדיף להשתמש בטכנולוגיה בתצורה של "שירות" ולא כמוצר עצמאי. משתתף‬
‫אחר מחברה בתחום הפיתוח סיפר כי הם דווקא מאוד מרוצים מהמוצר של ‪ ,BlueCoat‬והוא‬
‫מבצע עבורם כמה תפקידים נוספים.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

7. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫נספח: תגובות מאת וונדורים לגבי הנושאים שעלו במפגש:‬
‫הצפנה של דואר אלקטרוני.‬
‫מענה חברת מלם-תים:‬
‫נושא דואר מוצפן הוא בהחלט נקודה כואבת בהרבה ארגונים, החוששים מזליגת מידע לא רצוי או‬
‫מדרישות הרגולציה. הכלים להצפנת דואר אינם פשוטים ואינם קלים לתפעול שוטף.‬
‫אנו במלם-תים מציעים פתרון מאת חברת ‪( Ironport‬חטיבה נפרדת של סיסקו) לנושא ההצפנה של‬
‫דואר אלקטרוני, וזהו פיתרון מצוין. החברה מספקת פתרון בתצורת ‪ Appliance‬המהווה פתרון כולל‬
‫לאבטחה של דואר אלקטרוני, ומטפל בכל סוגי האיומים. ניתן כאופציה לשלב בו אנטי-וירוס וכן אנטי-‬
‫ספאם. המערכת כוללת יכולת זיהוי מילות מפתח וביצוע מדיניות מוכתבת מראש. כמו כן, המערכת‬
‫תומכת בהצפנת מיילים מבוססת מדיניות. ניתן לקבוע הצפנה לפי יעד, לפי מילות מפתח וכדומה.‬
‫למשתמש הקצה לא נדרשת תוכנה מיוחדת. ההצפנה היא חזקה ומבוססת ‪ , ,AES‬כאשר לכל מייל‬
‫יש מפתח הצפנה נפרד. מדובר בפתרון יעיל ושימושי הן לצורך הצפנה בלבד, והן לטיפול כולל בכל‬
‫איומי הדואר. המוצר מותקן בהצלחה רבה בארגונים עם אלפי משתמשים.‬
‫מענה חברת אמן:‬
‫חברת אמן מספקת פתרונות הצפנת דואר ברמת שער (‪ .)GATEWAY‬פתרונות ברמה זו מאפשרים‬
‫הטמעה קלה ויישום פשוט הן מבחינת הארגון והן מבחינת משתמש.‬
‫מענה חברת ליבי טכנולוגיות:‬
‫אחת הדרכים למנוע זליגת מידע הנה עבודה במצב ‪ On-line‬בלבד, להבדיל ממצב המבוסס על‬
‫שליחה או אחסון קבצים על המכשירים הניידים. קיימים פתרונות לתחום, כגון ‪,!Cognos GO‬‬
‫המאפשרת יכולות ‪ BI‬מהמכשיר החכם הנייד. המערכת מתבססת על עבודה באונליין מול מערכת ה-‬
‫‪ BI‬המרכזית תוך שימוש בהצפנות מלאות על התעבורה. המשתמש יכול לקבל דוחות, גרפים,‬
‫התרעות וכו' מתוך מערכת ה-‪ BI‬ללא ייצוא מידע רגיש החוצה. שיטת עבודה זו נותנת יתרון גם בכך‬
‫שהמידע עדכני בכל רגע.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

8. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫מערכות ‪NAC‬‬
‫מענה מלם-תים:‬
‫מלם-תים מתמחה בהטמעת פרויקטי ‪ NAC‬ו – ‪ .802.1x‬אנשינו ביצעו הטמעות ‪ 802.1x‬על בסיס‬
‫ציודי נורטל ו – ‪ Enterasys‬בהצלחה רבה. אנו מספקים פתרון הכולל הזדהות המשתמש ב -‬
‫‪ 802.1x‬וזהות תחנת הקצה באמצעות ‪ MS Certificate Authority‬וחלוקת סרטיפיקטים לתחנות‬
‫הקצה. בתצורה זו נשמרת זהות המשתמש המורשה ונשמרת מניעת חיבור התקנים לא מורשים‬
‫לרשת. היישום הוא מורכב ומאתגר, אך בהחלט ניתן לביצוע על ידי אינטגרטור בעל ידע רחב‬
‫והתמצאות בטכנולוגיות מבוססת מיקרוסופט ובתקשורת ואבטחת מידע. כמו כן, ביצענו מספר‬
‫פרויקטים מוצלחים המבוססים על מוצר ‪ Swat‬של ‪ .XOR‬נכון שזיהוי ‪ MAC‬הוא אבטחת מידע‬
‫חזקה. קיימת חברת ישראלית נוספת המציעה פתרון דומה בשם ‪.insightix‬‬
‫מענה חברת ‪:IBM‬‬
‫נכונה ההגדרה כי הנושא נמצא בתחילת דרכו, אך עם זאת, אנו מזהים מגמה חזקה של התעניינות‬
‫בתחום, וכן תחילת עבודה ומימוש בציוד הנתמך, כמו גם הרחבת הפתרון על פי קצב הארגון. אנו‬
‫מזהים בתחום זה יותר ויותר החלטות בסגנון "עדיף מה שיש על פני לא כלום".‬
‫בתחום ה – ‪ NAC‬ישנו מוצר חדש מעניין של חברה ישראלית בשם ‪ .Access Layers‬המוצר נקרא‬
‫‪ Port Nox‬ומאפשר ישום ‪ NAC‬ללא תלות בציוד התקשורת וללא צורך בהתקנה בתחנות הקצה.‬
‫המוצר מאפשר גרנולריות רחבה בסוגי ההזדהות של ציוד הקצה. המוצר יוצר קשר אל הספריה‬
‫הארגונית בעת הצורך ומאפשר ניטור של הרשת בזמן אמת. אנו מזהים הרבה התעניינות במוצר זה‬
‫ולקוחות אשר בדקו אותו מחזירים משובים טובים מאוד.‬
‫ארגונים אשר הטמיעו פתרונות מתחום ה-‪ NAC‬מתחבטים לגבי מהו פרק הזמן בו יש לבצע סריקה‬
‫מחודשת למחשב שקיבל אישור להתחבר. מסתבר שלא ניתן לבצע את הסריקה בכל פעם שהמחשב‬
‫רוצה להתחבר שכן הדבר גורם לבזבוז זמן רב (גם הסריקה וגם התיקון, באם נדרש). ניסיוננו בקרב‬
‫לקוחותינו מראה כי משך הזמן הסביר בו לא נגרם נזק משמעותי על ידי חיבור מחשבים לרשתהוא‬
‫כחודש ימים.‬
‫מענה חברת ‪:XOR‬‬
‫מערכת ‪ SWAT‬היא המערכת הנמכרת ביותר בארץ בתחומה, ונמכרה לעשרות רבות של ארגוני‬
‫‪ Enterprise‬וטלקום גדולים בארץ ובעולם. המערכת נבחנה ע"י גופים ביטחוניים ואף הוגדרה כתקן‬
‫‪ NAC‬לגופים אלו. ‪ SWAT‬מספקת ‪ NAC‬עם בדיקות מקיפות הרבה מעבר לכתובת ה - ‪.MAC‬‬
‫נשמח להציג בפני המשתתף אשר טען כי ‪ MAC‬אינו מספיק, את יכולות המערכת החדשות‬
‫המאפשרות לוודא שייכות מחשב לפי סוגי חומרה, שייכות ל‪ ,Active directory‬תוכנות מותקנות ו/או‬
‫רמת העדכון שלהן כחלק מאימות המחשב לרשת.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

9. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫ניהול סיסמאות‬
‫מענה מלם-תים:‬
‫בנושא ניהול סיסמאות, אנו מציעים פתרון מדהים של חברת ‪ Imprivata‬המטפל בכל נושא ניהול‬
‫הסיסמאות בתצורה של ‪ .SSO- Single Sign On‬המשתמש מזדהה באופן חד פעמי, והמערכת‬
‫מאפשרת גישה לכל היישומים שהוא מורשה להם ללא צורך בהזדהות נוספת. המערכת מבוססת על‬
‫‪ Appliance‬בתצורה זוגית, למטרת גיבוי ושרידות. היתרון המשמעותי במוצר הוא זמן ההטמעה‬
‫הקצר בארגון. המערכת "מצלמת" כל תהליך כניסה למערכת ושומרת אותו. זמן ממוצע להכנסת‬
‫יישום חדש למערכת הנו קצר במיוחד - שעה עד מספר שעות בודד. המערכת תומכת באלפי‬
‫משתמשים ונמצאת ביישומים בארגונים גדולים.‬
‫מענה חברת אמן:‬
‫הארגונים של היום הינם מרובי אפליקציות ומרובי סיסמאות אשר מג ינות על מידע רגיש ויקר ערך. בתקופה‬
‫האחרונה תחום ניהול הסיסמאות צובר תאוצה ובניגוד לעבר הוא כבר לא נתפס כחלק מפרויקט של‬
‫"ניהול זהויות " אלא ככלי בעל תועלת ו- ‪ ROI‬לכשעצמו . אמן , נציגתה של חברת ‪ Citrix‬בישראל מייצגת את‬
‫פיתרון - ‪ , Citrix Password Manager‬שבנו מוצר לניהול הסיסמאות בארגון . המוצר נותן מענה ל צרכים‬
‫הבאים:‬
‫הרחבת ההגנה על הא פליקציות – הכלי לניהול סיסמאות מ סיר מהמשתמש את האחריות לשינוי וזכירת‬
‫הסיסמה ומעביר אותה למנהלי ה- ‪ ,IT‬ובנוסף מאפשר לקבוע מדיניות ניהול ואכיפת סיסמאות גם לאפליקציות‬
‫אשר אין להן מנגנון סיסמאות, מספר סוגים של סיסמאות אשר קובעות את רמת השימוש באפליקציה .‬
‫מפשט את כניסת המשתמשים לאפליקציות – תהליך הכניסה לאפליקציה של המשתמשים הנו אוטומטי‬
‫לחלוטין, והמשתמש נדרש לזכור ול הזין סיסמה אחת בלבד.‬
‫ציות לתקנות חוקיות –נותן מענה לתקנות רפואיות כגון ‪ HIPAA‬על ידי כך שמעניק שליטה וניהול מלאים לגבי‬
‫בעלי זכות גישה למידע ולאפליקציה ורמת הגישה אליהן.‬
‫מפחית את כמות הקריאות לתמיכה – מוריד מהתמיכה את עומס הטיפול בנושאי סיסמאות.‬
‫תמיכה בפלטפורמות מרובות – המוצר תומך באפליקציות מסוגים שונים : חלונאיות , אינטרנטיות וכו' , ללא‬
‫תלות האם האפליקציה מותקנת מקומית על המחשב או על שרת ‪. Citrix‬‬
‫הטמעה פשוטה ומהירה - לכלי יכולות הגדרה מתקדמות , הגדרת קונסול מבוסס משימות ( ‪ ,) task-based‬ללא‬
‫צורך בכתיבת סקריפטים. מסיבה זו, ה- ‪ Password Manager‬הינו כלי נוח להגדרה והטמעתו מהירה במיוחד.‬
‫מענה חברת ‪:IBM‬‬
‫בתחום זה ישנן שתי בעיות עיקריות - סיסמאות משתמשים וסיסמאות שירותים. אנו מזהים מספר‬
‫מגמות שונות בפתרון סוגיות אלה. בנושא משתמשים, אנו מזהים מגמה של שימוש במוצרי ניהול‬
‫סיסמאות כדוגמת ה-‪ Password Vault‬של חברת ‪ .CyberArc‬כמו גם פרויקטים בתחום ה- ‪SSO‬‬
‫(‪ ,(Single Sign ON‬שלאחרונה מקבל תנופה הולכת וגוברת.‬
‫חברת ‪ IBM‬יישמה ומיישמת פתרון ‪ SSO‬משולב עם ניהול משתמשים המבוסס על מוצרי ‪Tivoli‬‬
‫מבית ‪ .IBM‬המערכת מנהלת את זהות המשתמשים מרגע הקליטה במערכות כוח האדם ועד‬
‫לעזיבת העובד. המשתמש מזדהה רק פעם אחת עבור כניסה לכלל המערכות בארגון. המערכת‬
‫דואגת להחליף עבורו את הסיסמא ולסנכרן את המערכות במידת הצורך. המערכת המיושמת‬
‫מתחברת גם למערכת בקרת הכניסה הארגונית ומאפשרת שילוב של אבטחת מידע פיזית ולוגית.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

10. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫הגנה על טלפונים ומחשבי כף יד -שיקולי אבטחה במקרה של אובדן וגניבה.‬
‫מענה חברת אמן:‬
‫חברת אמן הנה נציגת ‪ ,UTIMACO‬ומציעה ללקוחותיה פתרון הצפנה למחשבי כף יד המשלב‬
‫הצפנה של המידע והזדהות חכמה. שילוב פתרון זה בתוספת כרטיסים המכילים תעודה דיגיטלית‬
‫(‪ )Certificate‬מאפשר התמודדות טובה עם מקרי גניבה ואובדן. כמו כן, חברת אמן בוחנת בימים אלו‬
‫מערכות ‪ Provisioning‬שמטרתן לנהל את המידע לגבי מכשירים ממשפחה זו וכמו כן ניהול ה-‬
‫‪ ASSET‬ואפשרות נעילת מכשיר מרחוק.‬
‫מענה חברת מטריקס:‬
‫לחברת מטריקס מספר פתרונות מקו המוצרים של ‪ ,Pointsec‬כאשר ל- ‪ Symbian OS‬יש לקוח קטן‬
‫אחד ול- ‪ MS Mobile OS‬יש שני לקוחות שנמצאים בבחינה של הנושא, ולקוח אחד שרכש את‬
‫הפתרון אך עדיין לא יישם אותו. בעתיד הלא רחוק מתכננת חברת ‪ Checkpoint‬להציג גם פתרונות‬
‫חדשים לתחום, אשר ישלבו יכולות ‪ .Online‬כרגע המוצר פועל בתצורת ‪ Offline‬ומאפשר הצפנה של‬
‫מידע על המכשירים הניידים וכן בקרת כניסה. עבור עובדים ניידים, המערכת תומכת בתהליך‬
‫‪ Challenge-Response‬שאינו מחייב חיבור פיזי לרשת של ה- ‪.End Point Device‬‬
‫מענה חברת ‪:SafeEnd‬‬
‫לאחרונה רבו המקרים של אובדן או גניבה של מדיה נתיקה, מדיות אופטיות וכדומה מארגונים.‬
‫מלבד אובדן המידע, קיימת גם חובת הדיווח על ארגונים הכפופים לרגולציות שונות ( ,‪HIPPA, SOX‬‬
‫‪ Bazel‬וכו'). במקרה זה אובדן המידע הוא רק חלק מהנזק, ויש לקחת בחשבון את הנזק של הפגיעה‬
‫במוניטין, וכן את המאמץ הנדרש לשחזור הנתונים שאבדו ולפעמים המאמץ הנדרש בדיווח לאותם‬
‫גורמים שהמידע שלהם אבד (במקרה של אובדן פרטים אישיים).‬
‫חברת ‪ Safend‬הישראלית (‪ )www.safeend.com‬מפתחת מוצר תוכנה להגנה מפני דלף מידע‬
‫מתחנות הקצה בארגונים. למוצר ‪ Safend Protector‬יש כיום יכולות בלעדיות בשוק של אכיפת‬
‫הצפנת כל המידע המועתק לכל סוגי המדיה החיצונית (‪ DOK , CD/DVD , External HDD‬וכו').‬
‫באמצעות התוכנה ניתן לעקוב אחרי המידע שהועתק (במידה ויידרש שחזור) וכמו כן שימוש במדיה‬
‫המוצפנת גם מחוץ לארגון.‬
‫הגנה על טלפונים ומחשבי כף יד -שיקולי הגנה מפני איומים.‬
‫מענה חברת אמן:‬
‫חברת אמן הנה נציגת החברות סימנטק ומקאפי, המציעות מוצרי אנטי-וירוס לטלפונים סלולאריים.‬
‫מוצרים אלה משרתים לקוחות רבים בעולם, וחברת נוקיה אף בחרה בפתרונות אלו כפתרונות‬
‫מובילים. הפתרונות של שתי החברות הללו מספק מענה למגוון הרחב של מערכות ההפעלה המצויות‬
‫בטלפונים הסלולאריים הקיימים בשוק.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

11. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫הגנה על טלפונים ומחשבי כף יד -שיקולים פוליטיים.‬
‫מענה חברת אמן:‬
‫אבטחת מידע באה לספק פתרון לשלושה תחומים מרכזיים: סודיות המידע, שלמות המידע וזמינות‬
‫המידע. רגולציות אכן מנרמלות את הארגונים השונים, שכן הן מחייבות את הארגון לעמוד‬
‫בסטנדרטים על פי המגזר אליו הוא שייך, אך יחד עם זאת אבטחת המידע נועדה לשרת את הארגון.‬
‫חברת אמן שמה דגש רב על שלוב פתרונות אבטחת המידע בתהליך העסקי בכל פתרון אבטחת‬
‫מידע. התהליך העסקי מהווה את הליבה, ואבטחת המידע מתמזגת בתוך התהליך העסקי תוך‬
‫התחשבות בצרכי הארגון ובמגבלות הרגולטוריות.‬
‫הגורם האנושי‬
‫מענה חברת אמן:‬
‫הכשרת עובדים באופן שוטף והגדלת המודעות באמצעות הדרכות ו ‪ PR‬ארגוני מצמצמת את הסיכון‬
‫שהוזכר בדיון. אנו מאמינים כי יש לבצע הדרכות באופן שוטף בתדירות של אחת לרבעון, במידה‬
‫וקיימת האפשרות. בנוסף, אנו מאמינים כי יש להגביל את היכולת של דליפת מידע באמצעות התקנים‬
‫נתיקים וניידים על ידי שימוש בפתרונות ייעודיים לתחום.‬
‫מענה חברת ‪:SafeEnd‬‬
‫הגברת המודעות לאבטחת מידע עשויה ללא ספק לצמצם את התקלות, וכך גם ביקורת תקופתית,‬
‫אך למעשה אין תחליף לפתרון טכנולוגי אשר יצמצם את אבדן המידע מהארגון באמצעות אכיפה. כלי‬
‫כזה יכול גם לפעול באמצעות חינוך המשתמש ולאו דווקא אכיפה (על מנת לאפשר המשך עבודה‬
‫בארגון). כלי אשר יותקן בכל אחת מתחנות הקצה ישמש תחליף הרמטי לביקורת תקופתית וכמובן‬
‫יוסיף יכולת של מעקב (‪ )Monitoring & Logging‬על המידע. כך ניתן למנוע את הדלף ע"י אכיפה‬
‫מתאימה, וגם יכולת מעקב במקרה של דליפה בלתי רצויה. לחברת ‪ Safend‬יש מוצר הגנה לארגונים‬
‫המגן מפני דלף מידע (זדוני או עקב התנהגות בלתי תקינה) מתחנות קצה. למוצר יש יכולות מעקב,‬
‫דיווח ואכיפה של מדיניות ארגונית.‬
‫סינון אתרים (‪)URL Filtering‬‬
‫מענה חברת אמן:‬
‫ניתן לממש פתרון ‪ URL FILTER‬בתצורות שונות ובשילוב עם רכיבים נוספים. חברת אמן היא‬
‫נציגת חברת ‪ SURFCONTROL‬שנרכשה לאחרונה ע"י חברת ‪ ,WEBSENSE‬ומציעה פתרון‬
‫ארגוני מאפשר שליטה מלאה ובקרה בתחום הגלישה.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬

12. ‫44424479-279 .‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7444474 Fax‬‬
‫מערכות ‪SIEM/SOC‬‬
‫מענה חברת ‪:XOR‬‬
‫מערכת ‪ Envision‬של ‪ EMC‬היא המערכת המובילה בעולם בתחום זה. זוהי המערכת הוותיקה‬
‫ביותר עם 11 שנות קיום בשוק, ו - ‪ Install Base‬עולמי נרחב. ‪ EnVision‬אינו מוצר "נחמד" – הוא‬
‫המוצר המוביל החזק ביותר בתחום על פי חברת גרטנר ומותקן אצל אלפי לקוחות בעולם. בימים אלו‬
‫מתחילה הטמעת המערכת בקומברס, שבחרה בו מול כל המוצרים האחרים.‬
‫מענה חברת בינת:‬
‫חברת בינת מייצגת בישראל את הפתרונות של חברת סיסקו, המציעה את מוצר ‪ ,MARS‬הנחשב‬
‫למוביל בעולם ובישראל. כמו כן מציעה החברה פתרונות של חברת ‪ ,EMC‬המשווקת מוצר בשם‬
‫‪ Envision‬שנידון במפגש, ומוצר זה הנו גם כן מוביל ומצליח מאוד בישראל, ומציע יכולות מאוד‬
‫גבוהות ודומות לאלו של ‪.ArcSight‬‬
‫מכשירים ניידים ( הנושא לא נידון במפגש)‬
‫מענה חברת ‪:IBM‬‬
‫למרות שהדיון המקורי לא כלל מחשבי ‪ PC‬ניידים, תגובתנו לסיכום תתייחס לתחום זה , שכן המגמה‬
‫כפי שאנו רואים זאת אצל מרבית לקוחותינו, היא התייחסות לכלל האמצעים הניידים כמקשה אחת‬
‫ואספקת פתרון כולל. ניסיונו מראה כי בטרם יישקל הפתרון הטכנולוגי, יש לבצע הערכה של הצורך‬
‫באמצעים הניידים אל מול יעדי הארגון. יש להבין אילו אמצעים דרושים ואלו אמצעים הם ברמה של‬
‫"‪ ."nice to have‬בכל אופן, יש לזכור שאבטחת המידע משרתת את הארגון ולא להפך. סיכום הדיון‬
‫סקר את רובם המוחלט של האיומים בנושא זה. לדעתנו, הדבר הראשון שיש לבצע בתחום זה הינו‬
‫חינוך העובדים למודעות לאבטחת מידע. מודעות פותרת חלק גדול מהאיומים עוד בטרם הם‬
‫מתממשים. אנו מזהים בקרב לקוחתנו שיפור גדול בנושא החינוך והמודעות, והובלנו מספר תהליכים‬
‫מאוד מוצלחים בתחום זה. שני הנושאים העיקריים בהם התמקדו לקוחותינו בתחום זה הינם חיבור‬
‫הניידים לרשת הארגון, ושמירת המידע הנמצא במכשיר הנייד. ישנם מספר מוצרים טובים להגנת‬
‫המידע על האמצעי הנייד. חברת ‪ IBM‬מציעה מוצר בשם ‪ ,Lotus Mobile Connect‬המאפשר חיבור‬
‫ניידים לארגון בצורה חדשנית:‬
‫1. המוצר מתאים לכלל סוגי הניידים, ולכלל מערכות ההפעלה הקימות כיום בשוק.‬
‫2. המוצר מאפשר המשכיות עבודה רציפה ללא קשר לתווך ממנו התחבר המכשיר הנייד.‬
‫3. המוצר משתמש באלגוריתמים ייחודיים לדחיסה, אשר משפרים ביצועים ברמה ניכרת.‬
‫נושא האמצעים הנתיקים (‪ CD,DoK‬וכו') תפס גם הוא תאוצה בשנה האחרונה. אנו זיהינו כי המפתח‬
‫להצלחה בהגנה מפני איומים אלו תלוי כמעט כולו בפתרון של "בעיית הפוליטיקה" המתוארת‬
‫במסמך. זיהינו כי אחת הדרכים לעבור מכשול זה הוא בהבאת התמונה כפי שבוצעה בארגונים בעלי‬
‫אופי דומה.‬
‫‪Moshav Bnei Tzion P.O.Box 151, 60910 Israel‬‬
‫4442447-9-)279 ( :‪Tel: (972)-9-7444474 Fax‬‬