מובילים את העולם לתפיסה חדישה ושונה לאבטחת מידע - Palo Alto Networks
    מאת: רשף בראון, מהנדס מכירות בחברת אינוקום מקבוצת אמן


    כיום, עולם אבטחת המידע הארגוני מורכב בעיקרו מאוסף של פתרונות אשר בדר"כ כ"א המספק פתרון לבעיה ספציפית קיימת ו/או חדשה שמתעוררת. בדר"כ זמן קצר לאחר גילוי בעיה חדשה, מופיע בשוק מוצר חדש ו/או טכנולגיה חדשה אשר מוצע ללקוחות כפתרון נקודתי לממצא, בעוד שבמקביל ה-Firewall הישן ו"הטוב" משיל מעצמו עוד ועוד תפקידים, למרות היותו מוצר אבטחת המידע המרכזי בארגון, זה שדרכו עוברת כל התעבורה וזה שאמור להתמודד אם לא עם כל הבעיות אז לפחות עם רובן.
    עם זאת, לרוב חברות ה-Firewall, שמוצריהם מבוססים על טכנולוגיה ישנה, אין את הכלים והיכולות להתמודד עם אותן בעיות חדשות שצצות ואלו, עם הזמן, הסירו מעצמן בנוחות את האחריות להתמודד איתן. בדיוק מסיבה זו, מספר יוצאי חברות אבטחת מידע מוכרות, שמאסו במצב הקיים, החליטו שלא ניתן להמשיך ולזרוק עוד ועוד מוצרי אבטחת מידע לתוך הרשת הארגונית ושהגיע הזמן לתקן את ה-Firewall והקימו אתPalo Alto Networks פתרון אשר מהווה פלטפורה מרכזית אשר סופחת אליה אחריות לנושאים רבים בתחומי האבטחת המידע.

    כבר בתחילת דרכה, חברת Palo Alto Networks חרטה על דגלה להיות "הדור הבא של אבטחת המידע" ולהיות המובילה בתחום. על פניו, הצהרה מעט גרנדיוזית, אך כשמבינים שמדובר בחברה הראשונה שהציגה חידוש טכנולוגי משמעותי בתחום ה- Firewalls מזה 15 שנים, ונחשפים לפלטפורמה וליכולות שמציעה החברה, הן בהיבטים מערכתיים והן בהיבטים טכנולוגיים, קשה להתעלם מהעובדה שאולי יש משהו בדבריהם.

    יעילות מערכתית
    בראשית ימי המחשוב, האיום הגדול ביותר על מערכות המחשוב השונות היו הוירוסים, אשר המענה הגיע בצורת אין ספור מערכות אנטי-וירוס. בשלב מאוחר יותר, התפתחות התשתיות ומורכבותן הביאה איתה גם לא מעט נקודות תורפה ופוגענים וכדי לנסות ולמנוע אותם, פותחו טכנולוגיות ה-IDS וה-IPS למינהן. לא עבר זמן רב וכולנו נחשפנו למשוואה "מידע=כסף" ולעובדה שזליגת מידע ארגוני חסוי מחוץ לכותלי הארגון עלולה לגרום לנזק בלתי הפיך ואף לגרום לקריסתו. בשלב זה, מיד "רצנו" לסמן "וי" ליד רכישת מוצר Data Leak Prevention. ובשנים האחרונות, הגיע כמובן הבאז של Zero Day & APT Attacks, ובעקבותיו קו מוצרים שיצאו לשוק בצעקה גדולה כדי להגן על ארגונים מפני המילים המפחידות, סליחה, מפני המתקפות המורכבות. אין ספק ששלל המוצרים הללו נראים מאוד סקסיים בארונות של כל חדר מחשב, אך האם מוצרים רבים בהכרח יוצרים ארגון מאובטח יותר? לאו דווקא.

    כאמור, בגלל ריבוי מוצרי אבטחת המידע השונים בארגון, נוצרות מגוון בעיות: הראשונה, כסף, כסף, כסף. העלויות הכספיות העצומות של החזקת ותחזוקת כמות גדולה של מוצרים, במיוחד עם רכישת המוצר הטוב ביותר בכל תחום. השניה, הניהול, התחזוקה והמעקב אחרי מספר רב של מוצרים, שהינו קשה מאוד עד לעיתים בלתי אפשרי. למותר לציין כי קיימות בעיות משולבות של עלות וניהול כדוגמת הכשרת צוות אשר ידע לטפל ולתפעל בליל גדול של טכנולוגיות ויעקוב אחר התקדמותן. הבעיה השלישית, חוסר קורלציה בין המוצרים השונים. בהעדר תיאום, הרבה חדירות ואיומים נופלים בין המוצרים, ומהווים סכנה ממשית למידע הארגוני. יתרה מכך, ריבוי המוצרים, חוסר הזמן, חוסר המשאבים והחוסר בכוח אדם מביאים לאי יכולת לנהל ולהגדיר נכון את כל המוצרים כנדרש לפי מדיניות הארגון ולעיתים להישאר עם הגדרות ברירת המחדל שאיתן מגיעים המוצרים, כך שיעילותם לאבטחת המידע הארגוני נפגעת, או נעשית ללא רלוונטית.


    בחברת Palo Alto Networks הבינו את הבעיות הללו למן הרגע הראשון והחליטו ליצור פלטפורמה אשר מכילה את כל היכולות והכלים הדרושים לארגון להתמודד עם כל סוגי האיומים הקיימים כיום, אבל לא רק. הפלטפורמה של Palo Alto Networks בנויה על תשתית טכנלוגית שיכולה להתמודד מול איומים חדשים שיצוצו בעתיד על גבי הטכנולוגיה והמנועים הקיימים. כך למשל, נוספו למערכת יכולות DLP שלא היו קיימות עם השקת המוצר והוכנסו בשלב מאוחר יותר וזאת ללא שום שינוי טכנולוגי וללא פגיעה בביצועי המכונות.

    יכולת משמעותית וקריטית נוספת שהתווספה במהלך הדרך, היא מערכת ה-WildFire , מערכת ה-Sandbox של Palo Alto Networks. בימינו, איומים והתקפות מבוצעות על ידי פוגענים מתקדמים ומתוחכמים שאין להם חתימות ושמערכות האנטי וירוס וה-IPS לא מסוגלות לעצור או להתמודד איתם. מערכת ה WildFire לא רק מזהה ומתריעה על אותן התקפות, אלא גם יוצרת בזמן אמת חתימות לאותן התקפות, שהיו עד לפני דקות ספורות לא מוכרות, ומיד ודוחפת את החתימות החדשות ויחד איתן את כל המידע שהיה אפשר ללמוד מאותה מתקפה לכל מכונות Palo Alto Networks בעולם. כך, באופן אוטומטי נבלמות התקפות ללא צורך בהתערבות ידנית וללא הניסיון האבוד מראש של הלקוח לעמוד בקצב ההתקפות וההתרעות.

    ההליך האמור מבוצע על כל האפליקציות, כל הפורטים, כל הפרוטוקולים וכל התעבורה שעוברת במכונה, כולל פתיחת תעבורה מוצפנת והסתכלות פנימה (כ-30%-40% מהתעבורה ברשת כיום היא תעבורה מוצפנת).

    יעילות טכנולוגית
    סביר להניח, שכמו רוב הארגונים, החלטתם שאתם לא רוצים Bitorrent אצלכם ברשת, לכן חסמתם את פורט 38724, אך אז היא ניסתה לצאת בפורט 34923, חסמתם גם פורט זה, אך שוב היא תקפוץ לפורט אחר וחוזר חלילה, עד שהיא פשוט תצא דרך פורט 80 ולחסום את פורט 80 כנראה שלא אפשרי. אין מה לעשות, זו כבר עובדה: עולם הפורטים לא רלוונטי יותר. היום, רוב האפליקציות, לרבות התקפות, מתוכננות לצאת בפורטים משלהן ואם הפורט חסום אז הן כבר ימצאו את דרכן החוצה דרך פורט אחר שנמצא פתוח.

    Palo Alto Networks פיתחה בנושא זה פתרון טכנולוגי ייחודי, בו היא אינה מתעסקת בפורטים, אלא באפליקציה עצמה ומאפשרת מדיניות פוזיטיבית. כשמגיעה תעבורה, המערכת תזהה מיד מהי האפליקציה ותחסום אותה במידת הצורך, או לחלופין תאפשר אותה אך במגבלות ספציפיות, כמו סריקות לאיומים, חסימת סוגי קבצים, תעדוף (QoS) ועוד. במקרה של אפליקציית ה- Bitorrent הרי ש Palo Alto Networks תזהה את האפליקציה ואם הוגדר כך על ידי המשתמש היא מיד תחסם. אין חשיבות לפורט בו היא תנסה לצאת.
    Palo Alto Networks מאפשרת לאנשי אבטחת המידע לעבוד בשיטה היחידה שאיתה אפשר להגיע לרמת אבטחת מידע גבוהה, שיטת ה-WhiteList Security, זיהוי ואישור יציאה אך ורק לאפליקציות (ולא הפורטים) הרצויות והליגטימיות, ולחסום את היתר.





    לסיכום,
    כשמפסיקים להתעסק עם פורטים, ועוברים להגדיר חוקים עם אפליקציות, כשבמקום כתובות IP מופיעים משתמשים וקבוצות מהעץ הארגוני, כשניתן לחסום סוגי קבצים שונים פר חוק, וכשכ-ל התעבורה שכן אפשרנו נסרקת ונבדקת תחת זכוכית מגדלת של כל סוגי ההגנות הקיימות כיום, במהירויות אדירות וללא פגיעה בעבודה היום יומית של הארגון, לא ברור כיצד ניתן להגדיר כל דבר אחר שנעשה עד היום כ-"אבטחת מידע". Palo Alto Networks מביאה, תחת מוצר אחד, את השילוב המנצח של ארגון הממשיך לעבוד ללא הפרעות וללא פגיעה באפקטיביות ובפרודקטיביות, לצד אבטחת מידע טובה יותר, הדור הבא של אבטחת המידע.



    More details

    972-3-9031168