השימוש בפלקון של קראודסטרייק: איך המידע מוגן בפועל.

מאת: רונן כהן צמח מנכ"ל קבוצת ארכיביון ומומחה בתחום אבטחת המידע.

מתוך ילקוט מאמרים: מאמר מספר 19

כשתכננו להעלות את מערכת ארכיב 1 קלאוד לעבודה בפועל של הלקוחות בסביבת הייצור ידענו שעלינו לתת את המטריה הרחבה ביותר הקיימת מבחינת תשתית אבטחתית עבור הלקוחות שלנו.

ולכן בחנו כאמור מספר רחב של פתרונות אבטחה והתייעצנו עם מומחים מובילים בתחום. ולבסוף בחרנו במערכת הוליסטית רחבה המספקת מענה רחב בדומה לפלטפורמות זהות לאותה העת בשוק או מוצרים משלימים של חברות מובילות בארץ ובחול. 

בחרנו לבסוף בפתרון של חברת קראודסטרייק :פלקון.

כמערכת אבטחה ארגונית האוספת ומעבדת מידע רגיש, כל התקשורת של הפלקון תוכננה לעמוד בסטנדרטים גבוהים של הגנת נתונים , פרטיות ועמידה בתקני תקשורת מוצפנים המועברים בין רכיבי תחנות הקצה לבין הענן. 

הפרוטוקולים של המערכות והטלמטריה אינם חשופים לציתות, המידע מאוחסן באזורים מוגנים ומוצפן גם במנוחה, כך שגם שאין שימוש הנתונים יישארו בלתי קריאים. 

ניהול ההרשאות למערכת של העובדים והמנהלים, הינו קפדני, ורק בעלי תפקידים מורשים יכולים לצפות בנתונים, גישה זו של עקרון המזעריות כדי למנוע שטעות אנוש תגרום לחשיפה או דליפת מידע ותחשוף חומר שלא צריך לצאת מתוך מידע קריטי של הלקוח. 

 הפלקון, מאכנת רק פרטי מידע שרלבנטיים לאיסוף סטטיסטי שנועד ללמוד על אירועי אבטחת מידע כגון פריצות, ניסיונות פריצה, ניסיונות תקיפה, אנומליה ברשת ועוד. ואינה אוגרת מידע של הלקוח , הלוגים אינם שומרים הודעות טקסט או דואר אלקטרוני, או היסטוריית גלישה. ולכן הפלקון מקפידה על שמירה על פרטיות המשתמשים של המערכת ועל חיסיון המידע של החברה. 

באופן דומה בפתרון לתחנות הקצה, הדגש על המידע הנאגר הוא אירועי מערכת , הפעלות קבצים, שמות משתמשים, שעות ורישום לוגים שונים, חיבורים חיצוניים ותהליכים במערכת, וכן השוואה שלהם לעומת פעולות שבוצעו בעבר וניסיון ללמוד האם פעולות אילו חוזרות על עצמן, האם הכמות, השעות, המשתמשים, צורת העברה , אופן השימוש, מאיפה נלקח המידע ולמי הוא נשלח, האם התהליכים הללו דומים לדברים שקרו בעבר, או שיש מתווה פעולה שונה שיש לחקור אותו ולהרים דגל והתראה למי שמנטר את המערכת או מקבל התראות יבשות. 

​הפלקון של קראודסטרייק מפגינה רמה גבוהה של תאימות לעמידה בתקנים ורגולציות, לבקרה   של אבטחת שרות , וכן לדרישות בינלאומיות שונות כמו סוק 2 וכן לתקני איזו 27001.    

​לפלקון יש גם הסמכה פדרלית לשימוש בשירותי הענן של הממשל בארצות הברית וכן של תקני אבטחה בינלאומיים אירופאיים במדינות שונות.

איך עובד תהליך הפעולות בתוך מערכת הפלקון.

המערכת בנויה ממספר מכלולים , מנועים שונים של אנטי-וירוס, סוכני בינה מלאכותית הנמצאים ומנטרים את כלל הסביבות של הלקוח, ונמצאים בצמתים שונים של הארגון, הן צמתים אורגניים הנמצאים בתוך התוכנה למשל בחיבורים וממשקים בין תוכנות שונות המספקות שירותים למערכת ויש לנטר אותן תמידית ולוודא שהתעבורה הינה מיטבית. והן בכל התשתיות השונות הפיזיות והן יכולות להיות, בשרתים, ספקים, נקודות תקשורת, מרכזיות, מחשבי קצה ותחנות עבודה, סורקים, מדפסות, לפטופים, מכשירים ניידים, מסופונים, כרטיסי רשת, האבים למיניהם, תחנות עגינה , מרחיבי טווח לתקשורת אלחוטית וסלולרית או כל נקודת מערכת שעלולה להוות סיכון לארגון.   כל נקודה כזו שציינתי יכולה להיות מנוטרת סטטית. ולתת חיווי מיידי על תקלה או אירוע שיכול להוות סיכון לארגון . הסיכון יכול להיות מבפנים החוצה, עובד שמנסה לשלוח מידע אסור החוצה, מהירות הוצאת הקבצים, כמו הקבצים, צורת הוצאת הקבצים, רכיבה על קובץ או מייל שיוצא החוצה , ניסיונות פריצה , ניסיונות מניעת שרות והתקפה על כתובות הארגון, מילוי טפסים אוטומטי ושליחת מיילים מרובים אל שרתי הדואר של הארגון, כל הנ"ל יכולים להיות מנוטרים ומנוטרלים מבעוד מועד.

בכל עת מתבצעים מחקרי מערכת שונים במספר תצורות: חיבור לאלפי משתמשים מכל רחבי העולם מאפשר למערכת ללמוד אודות מתקפות שונות במקומות שונים בעולם, ובאותו רגע התראה לכלל המערכות על מתקפה במקום אחד והיערכות במקום אחר בקצה העולם.

מאפשר שליחת מיילים, חסימת כתובות, סגירת פרצות ועדכוני תוכנות הרלבנטיים לשם שבירת המתקפה ולמידה שלהם אם וכאשר תגיע אל הארגון.

​פלקון משתפת מדינות וארגונים במידע שנאסף על ידה בכל העולם, ומקבלת פתרונות וגם חיווי על תקלות או תקיפה גם מסוכנויות שונות ומעדכנת מיידית את תחנות הקצה המנוטרות שלה בכל העולם מפני מתקפות אילו. 

אם וירוס או תולעת מסוימת כן הצליחו לחדור את מעטפת ההגנה של הארגון לפני שבוצעה הגנה , המערכת יכולה לנטר את המידע ולהתריע בפני הלקוח וכן לבצע ניקוי של הווירוסים לפני שיחלו לפעול.

בשונה מאנטי-וירוס או מערכות אחרות שחלקן מבקשות את הלקוח לבצע עדכון גירסא אחת למספר ימים או שבועות, מערכת קראודסטרייק מבצעת את העדכונים על תחנות הקצה באופן אוטומטי, ושולחת אלינו מייל והודעה כי המערכת תבצע עדכון נתונים מאחורי הקלעים שאינם אמורים לגרום להשבתה של המערכת ובעצם לייצר רציפות תפקודית של המערכת. 

היתרון בכך הוא שאנחנו נמנעים משכחה וסיכון שעמדה מסוימת לא תהיה מוגנת לגרסה האחרונה שיצאה ומכסה את כלל האיומים שקיימים לאותה נקוד זמן.

לצוות חברת קראודסטרייק יש מספר צוותים הפועלים במספר חזיתות, גם מתן התראה ללקוחות, ניהול אתגרי פריצה וכופר אצל לקוחות ומניעה שלהם אצל לקוחות אחרים, בדיקה האם יש כבר קבצים זהים אצל לקוחות שעלולים בעתיד לנעול קבצים ולנטרל אותם.

וכן במידה ומתגלה וירוס, צוותים שתפקידם לכתוב מודול שינטרל את הווירוס.

קראודסטרייק מפעילה מרכז מחקר, ימי עיון ולימוד ללקוחות ומבצעת שיתוף ידע בין לקוחות שונים ומאפשרת ללמוד מניסיונם של אחרים כדי שנזקים של השבתה או גניבת מידע לא יקרו בארגונים אחרים ובלקוחות אחרים של המערכת.

מערכת הפלקון הינה מערכת לומדת גמישה וצומחת, ומידי פרק זמן מתווספים אליה תוספים חדשים כדי להתמודד עם איומים חדשים של האקרים שונים. ולכן שימוש במערכת פלקון שהינה מערכת המספקת שרות גלובלי נרחב משרתת בהחלט את מטרת המטריה הרחבה של האבטחה התשתיתית שהחלטנו להעניק ללקוחות ארכיב 1 קלאוד.

בשילוב שירותי סים סוק והשימוש במערכת קראודסטרייק אנו נותנים חליפת אבטחת מידע מיטבית ורחבה ומצפים שנצליח לנטרל ולהדוף את האיומים הקיימים ולספק מרחב מוגן ואבטחה מקסימלית ללקוחות ארכיב 1 קלאוד.

אשמח לעמוד עבורכם למידע נוסף.