217197388 rt-development-security-2011

Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
‫שולחן‬ ‫מפגש‬ ‫סיכום‬
-
‫עגול‬
"
‫אבטחה‬ ‫ממרס‬ ‫פיתוח‬
‫ממאדים‬
"
1
‫ב‬ ‫מערכות‬ ‫בפיתוח‬ ‫מידע‬ ‫(אבטחת‬
-
IT
)
‫עורכים‬
:
‫כהן‬ ‫פיני‬
‫ו‬
‫מאור‬ ‫גייגר‬ ‫שחר‬
1
...‫ממאדים‬ ‫ופיתוח‬ ‫ממרס‬ ‫אבטחה‬ ‫גם‬ ‫אפשר‬

‫עניינים‬ ‫תוכן‬
‫תמצית‬
‫מנהלים‬
................................
................................
................................
....
2
‫תהליך‬
‫פיתוח‬
"
‫אידאלי‬
"
‫מהיבט‬
‫אבטחת‬
‫מידע‬
................................
.........................
3
‫סוגיות‬
‫בעייתיות‬
................................
................................
................................
3
Security.Net
–
‫אבטחה‬
‫ברשת‬
................................
................................
..............
5
‫שיפור‬
‫תהליכי‬
‫עבודה‬
................................
................................
.............................
9
‫הפיתוח‬
‫הוא‬
‫של‬
‫השותפים‬

‫מוצרים‬
,
‫אבטחת‬
‫המידע‬
–
‫של‬
‫הארגון‬
................................
..
10
‫נ‬
‫אמן‬
‫אבטחת‬
‫מידע‬
................................
................................
.............................
12
‫תקציב‬
‫אבטחת‬
‫המידע‬
‫בפיתוח‬
................................
................................
..............
14
‫דוגמאות‬
‫לטכנולוגיות‬
‫בשימוש‬
................................
................................
...............
15
‫אבטחת‬
‫מידע‬
‫באקדמיה‬
................................
................................
.......................
16
‫טיפים‬
‫והמלצות‬
‫לשיפור‬
‫יחסי‬
‫אבטחת‬
‫המידע‬
/
‫פיתוח‬
................................
..................
17
‫נספח‬
‫מיוחד‬
–
‫התייחסות‬
‫ספקים‬
‫לנאמר‬
‫במפגש‬
................................
.......................
18
‫חברת‬
F5
................................
................................
.......................
18
‫חברת‬
IBM
................................
................................
.....................
18
‫חברת‬
Matrix
................................
................................
..................
19
‫חברת‬
Ness
................................
................................
...................
19
‫חברת‬
Tescom
................................
................................
...............
20
‫מנהלים‬ ‫תמצית‬
‫אבטחת‬ ‫לעולם‬ ‫הפיתוח‬ ‫עולם‬ ‫בין‬ ‫ביותר‬ ‫המעניינות‬ ‫הקשר‬ ‫מנקודות‬ ‫אחת‬ ‫הוא‬ ‫מערכות‬ ‫פיתוח‬
.‫המידע‬
,‫טבעי‬ ‫עבודה‬ ‫ועומס‬ ‫קשוח‬ ‫לו"ז‬ ,‫מורכבים‬ ‫טכנולוגים‬ ‫אתרים‬ ‫מול‬ ‫ניצבים‬ ‫הפיתוח‬ ‫שאנשי‬ ‫בעוד‬
‫הם‬
.‫המערכת‬ ‫של‬ ‫המידע‬ ‫אבטחת‬ ‫להיבטי‬ ‫הנוגעים‬ ‫באתגרים‬ ‫גם‬ ‫פעם‬ ‫לא‬ ‫לעמוד‬ ‫נדרשים‬
‫"החשש‬ ‫בשל‬ ‫מפרוייקטים‬ ‫ממודרים‬ ,‫פעם‬ ‫לא‬ ,‫עצמם‬ ‫מוצאים‬ ,‫לעומתם‬ ,‫המידע‬ ‫אבטחת‬ ‫אנשי‬
‫לשמור‬ ‫היא‬ ‫אבטחת‬ ‫מנהלי‬ ‫אחריות‬ .‫לאוויר‬ ‫העליה‬ ‫ועיכוב‬ ‫הפיתוח‬ ‫למנהלי‬ ‫שלהם‬ "‫מהצקות‬
‫ואתגר‬ ‫פיתוח‬ ‫בנושאי‬ ‫גם‬ ‫סטנדרטים‬ ‫על‬
.‫בכלל‬ ‫פשוט‬ ‫לא‬ ‫זה‬
‫עלולים‬ ‫אלה‬ ‫והבדלים‬ ‫רבים‬ ‫במקרים‬ ‫לגמרי‬ ‫שונות‬ ‫המקצועיים‬ ‫הגורמים‬ ‫שני‬ ‫של‬ ‫המוטיבציות‬
.‫מיותרים‬ ‫וסיכונים‬ ,‫לחיכוכים‬ ‫להביא‬
‫החיכוך‬ ‫נקודות‬ ‫את‬ ‫לתאר‬ ‫היא‬ ‫הנ"ל‬ ‫המפגש‬ ‫מטרת‬
.‫פעולה‬ ‫לשיתוף‬ ‫נקודות‬ ‫למצוא‬ ‫ולנסות‬ ‫המידע‬ ‫לאבטחת‬ ‫הפיתוח‬ ‫גופי‬ ‫בין‬ ‫העיקריות‬

‫בולטת‬ ‫דוגמה‬
‫המונח‬ ‫הוא‬ ‫הגופים‬ ‫שני‬ ‫בין‬ ‫לפערים‬
SDLC
‫שני‬ ‫ידי‬ ‫על‬ ‫בשימוש‬ ‫נפוץ‬ ‫זה‬ ‫מונח‬ .
‫ה‬
‫הוא‬ ‫הפירוש‬ ‫אולם‬ ‫גופים‬
‫בתכ‬ ‫שונה‬
‫לי‬
‫ת‬
!
SDLC
‫א‬
‫ליב‬
‫א‬
-
‫דה‬
‫משמעו‬ ‫הפיתוח‬ ‫אנשי‬
Software Development Lifecycle2
‫לפי‬ ‫אולם‬ .
‫משמעו‬ ‫האבטחה‬ ‫אנשי‬
Secured Development Lifecycle3
.
‫משותפת‬ ‫שפה‬ ‫אין‬ ,‫כלומר‬
‫ה‬ ‫בין‬
.‫צדדים‬
‫במספר‬ ‫מידע‬ ‫אבטחת‬ ‫אנשי‬ ‫לצד‬ ‫פרוייקטים‬ ‫וניהול‬ ‫פיתוח‬ ‫מגופי‬ ‫נציגים‬ ‫השתתפו‬ ‫במפגש‬
,‫והפיננסי‬ ‫הממשלתי‬ ‫מהסקטור‬ ‫מגיעים‬ ‫המשתתפים‬ ‫רוב‬ .‫בישראל‬ ‫ובינוניים‬ ‫גדולים‬ ‫ארגונים‬
.‫נוספים‬ ‫ממגזרים‬ ‫נציגים‬ ‫בו‬ ‫היו‬ ‫אך‬
‫במפגש‬ .‫המפגש‬ ‫במהלך‬ ‫שעלו‬ ‫הדברים‬ ‫עקרי‬ ‫סיכום‬ ‫מצ"ב‬
‫מהו‬ ‫נושאים‬ ‫עלו‬
‫שתומצתו‬ ‫תיים‬
‫של‬ ‫והצגה‬ ‫פרספרטיבה‬ ‫מתן‬ ‫אלא‬ ‫ללקוחות‬ ‫גורפת‬ ‫המלצה‬ ‫זה‬ ‫בסיכום‬ ‫אין‬ .‫שעלו‬ ‫כפי‬ ‫בסיכום‬
‫במפגש‬ ‫שעלו‬ ‫ההתלבטויות‬
,
."‫"מהשטח‬ ‫כלומר‬
‫מידע‬ ‫אבטחת‬ ‫מהיבט‬ "‫"אידאלי‬ ‫פיתוח‬ ‫תהליך‬
‫זה‬ ‫שילוב‬ ‫כאשר‬ ‫הפיתוח‬ ‫בתהליך‬ ‫המידע‬ ‫אבטחת‬ ‫בשילוב‬ ‫הצורך‬ ‫ברור‬ ‫המשתתפים‬ ‫לרוב‬
‫במצב‬ ‫לכלול‬ ‫אמור‬
:‫אידאלי‬
1
.
‫הפרוייקט‬ ‫שלבי‬ ‫בכל‬ ‫מידע‬ ‫אבטחת‬ ‫של‬ ‫ערוב‬
-
‫הייזום‬ ‫בשלב‬ ‫החל‬
(
‫עוצרים‬ ‫לפעמים‬
‫הזה‬ ‫בשלב‬ ‫כבר‬
‫יישימות‬ ‫אי‬ ‫בגלל‬ ‫פרוייקט‬
‫אבטחתי‬ ‫סיכון‬ ‫או‬
,‫הניתוח‬ ‫בשלב‬ ‫המשך‬ ,)
‫ו‬ ‫הקידוד‬
‫עד‬
.‫הבדיקות‬ ‫של‬ ‫השונים‬ ‫השלבים‬
2
.
‫כל‬
.‫הקידוד‬ ‫במהלך‬ ‫אוטומטיות‬ ‫בדיקות‬ ‫י‬
‫הזמן‬ ‫כל‬ ‫נבדק‬ ‫הקוד‬ ‫אידאלית‬

‫יום‬ ‫כל‬
.
3
.
‫ביצוע‬
‫ייעודי‬ ‫קוד‬ ‫סקר‬
‫מעמיק‬
‫הבדיקות‬ ‫בשלב‬
.‫מידע‬ ‫אבטחת‬ ‫של‬ ‫בנושא‬
4
.
‫בדיקות‬
PT
4
(
"white-black-gray"
–
‫בהמשך‬ ‫ביאור‬ ‫ראו‬
‫שעבר‬ ‫בשל‬ ‫קוד‬ ‫על‬ )
QA
‫מבצעים‬ ‫אשר‬ ‫ארגונים‬ ‫ישנם‬ .‫לפחות‬ ‫אחד‬
PT
‫(כלומר‬ ‫בייצור‬ ‫גם‬
PT
.)‫שני‬
5
.
‫לפיתוח‬ ‫מידע‬ ‫אבטחת‬ ‫של‬ ‫נהלים‬
–
‫ו‬ ‫"עשה‬
‫א‬
‫ל‬
‫תעשה‬
"
.‫טכנולוגיה‬ ‫בכל‬
6
.
‫שהנם‬ ‫למפתחים‬ ‫יותר‬ ‫מתקדמות‬ ‫והכשרות‬ ‫המפתחים‬ ‫כל‬ ‫של‬ ‫בסיסיות‬ ‫הכשרות‬
."‫מידע‬ ‫אבטחת‬ ‫"נאמני‬
‫בעייתיות‬ ‫סוגיות‬
‫וגם‬ ‫זה‬ ‫אידאלי‬ ‫למצב‬ ‫להגיע‬ ‫שמצליחים‬ ‫הארגונים‬ ‫מעטים‬ ,‫זאת‬ ‫עם‬
‫האידאלית‬ ‫בתמונה‬
:‫זה‬ ‫מסוג‬ ‫סוגיות‬ ‫למספר‬ ‫התייחסות‬ ‫להלן‬ .‫בעייתיות‬ ‫סוגיות‬ ‫מספר‬ ‫ישנם‬ ‫שתוארה‬

.‫המידע‬ ‫אבטחת‬ ‫גוף‬ ‫לידיעת‬ ‫מגיעים‬ ‫תמיד‬ ‫לא‬ ‫אשר‬ ‫מתוכננים‬ ‫לא‬ ‫פרוייקטים‬
2
http://en.wikipedia.org/wiki/Systems_Development_Life_Cycle
‫וגם‬
p://en.wikipedia.org/wiki/Software_development_process
htt
3
BSI.html
-
cert.gov/bsi/articles/knowledge/sdlc/326
-
https://buildsecurityin.us
4
Penetration test

‫נציג‬
‫מ‬
‫מצד‬ ‫פרוייקטים‬ ‫בליווי‬ ‫מרכזי‬ ‫כקושי‬ ‫הזה‬ ‫הקושי‬ ‫את‬ ‫העלה‬ ‫פיננסי‬ ‫ארגון‬
‫בד‬ ‫זה‬ ‫מה‬ ‫של‬ ‫בהגדרה‬ ‫קושי‬ ‫יש‬ ‫זה‬ ‫בארגון‬ .‫המידע‬ ‫אבטחת‬
‫במקרים‬ ."‫"פרוייקט‬ ‫יוק‬
"‫"פרוייקט‬ ‫מוגדר‬ ‫שלא‬
–
‫אנשי‬ ‫של‬ ‫ומבחינתם‬ ‫התהליך‬ ‫מתחילת‬ ‫מידע‬ ‫אבטחת‬ ‫אין‬
‫שהתבקש‬ ‫מסויים‬ ‫שינוי‬ ‫היא‬ ‫לכך‬ ‫דוגמא‬ .‫מבירוקרטיות‬ ‫פחות‬ "‫"סובל‬ ‫המיזם‬ ‫הפיתוח‬
.‫רגישים‬ ‫לנתונים‬ ‫גישה‬ ‫הרשאות‬ ‫ניתנו‬ ‫מהשינוי‬ ‫כחלק‬ .‫בארגון‬ ‫מסויימת‬ ‫במערכת‬
‫"פר‬ ‫הוגדר‬ ‫לא‬ ‫שהשינוי‬ ‫בגלל‬
‫והם‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫של‬ ‫מעיניהם‬ ‫חמק‬ ‫הוא‬ "‫וייקט‬
.‫בדיעבד‬ ‫רק‬ ‫השינוי‬ ‫את‬ ‫גילו‬

?‫הפיתוח‬ ‫תהליך‬ ‫כדי‬ ‫תוך‬ ‫ואחרים‬ ‫כאלה‬ ‫נתונים‬ ‫לראות‬ ‫רשאים‬ ‫המפתחים‬ ‫האם‬
‫האם‬
‫הנתונים‬ ‫את‬ ‫לראות‬ ‫בלי‬ ‫פיתוח‬ ‫לבצע‬ ‫ניתן‬ ‫בכלל‬
‫כלל‬
?
‫ירצו‬ )‫(ובודקים‬ ‫שמפתחים‬ ‫מובן‬
‫נתונים‬ ‫על‬ ‫לעבוד‬
‫לנתוני‬ ‫הניתן‬ ‫ככל‬ ‫קרובים‬
‫האמת‬
.
‫כגון‬ ‫ברגולציות‬ ‫ומוזכרים‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫ידי‬ ‫על‬ ‫המוצעים‬ ‫הפתרונות‬ ‫אחד‬
PCI5
.‫נתונים‬ ‫לערבול‬ ‫פתרונות‬ ‫הם‬
‫אפשרית‬ ‫בלתי‬ ‫כמעט‬ ‫משימה‬ ‫הוא‬ ‫מלא‬ ‫נתונים‬ ‫ערבול‬
,
‫והקשרים‬ ‫המערכות‬ ‫אוסף‬ ‫בגלל‬ ,‫מהנוכחים‬ ‫חלק‬ ‫של‬ ‫לדעתם‬
‫המורכב‬
‫ים‬
.‫הנתונים‬ ‫בין‬

‫טכנולוגיים‬ ‫פערים‬
:
‫אנשי‬ ‫לטענת‬
‫ה‬
,‫פיתוח‬
‫אנשי‬
‫אבטחת‬
‫ה‬
‫ל‬ ‫חוסמים‬ ‫מידע‬
‫עתים‬
‫מוג‬ ‫חשש‬ ‫בגלל‬ ‫מסויימות‬ ‫בטכנולוגיות‬ ‫שימוש‬
:‫לדוגמא‬ .‫מספק‬ ‫ידע‬ ‫חוסר‬ ‫בגלל‬ ‫או‬ ‫זם‬
‫ב‬ ‫להשתמש‬ ‫עליו‬ ‫אסרו‬ ‫שבו‬ ‫מצב‬ ‫תאר‬ ‫לקוח‬
-
AJAX
‫או‬
jQuery
.
‫אבטחת‬ ‫אנשי‬
‫להכיר‬ ‫שיוכלו‬ ‫כדי‬ ‫להם‬ ‫מוכרות‬ ‫לטכנולוגיות‬ ‫הפיתוח‬ ‫את‬ ‫לנתב‬ ‫לעתים‬ ‫מנסים‬ ‫המידע‬
‫יות‬ ‫טוב‬
‫פרוייקטי‬ ‫הם‬ ‫במיוחד‬ ‫בעייתים‬ ‫פרוייקטים‬ .‫אותם‬ ‫ולנטר‬ ‫הפיתוח‬ ‫תהליכי‬ ‫את‬ ‫ר‬
Main-Frame
‫ה‬ ‫תחום‬ .
MF
‫לא‬ ‫אשר‬ ‫וידע‬ ‫מאוד‬ ‫גבוהה‬ ‫מומחיות‬ ‫ברמת‬ ‫מתאפיין‬
‫קשה‬ ‫מאוד‬ ‫אלה‬ ‫פרוייקטים‬ ‫על‬ ‫פיקוח‬ .‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫של‬ ‫ברשותם‬ ‫קיים‬ ‫תמיד‬
‫סיכון‬ ‫ברמת‬ ‫נחשב‬ ‫כי‬ ‫אם‬ ‫טבעי‬ ‫באופן‬
‫נמוכה‬
.‫יחסית‬

‫ש‬ ‫קוד‬
‫שלישי‬ ‫צד‬ ‫מגורמי‬ ‫מתקבל‬
‫בארגון‬ ‫התקבלה‬ ‫שבו‬ ‫מצב‬ ‫תאר‬ ‫הארגונים‬ ‫אחד‬ .
‫שפותחה‬ ‫אפליקציה‬
‫ידי‬ ‫על‬
‫מאוד‬ ‫קטן‬ ‫תוכנה‬ ‫בית‬
‫רשתות‬ ‫בתחום‬ ‫(אפליקציה‬
‫חברתיות‬
–
)‫השיווק‬ ‫אגף‬ ‫ידי‬ ‫על‬ ‫המטופל‬ ‫תחום‬
‫במתכונת‬ ‫פיתוח‬ ‫לבין‬ ‫בינו‬ ‫שהמרחק‬
SDLC
‫תוכנה‬ ‫בית‬ ‫נדרש‬ ,‫והאיומים‬ ‫הארגון‬ ‫אופי‬ ‫בגלל‬ .‫מאוד‬ ‫גדול‬
‫לעמוד‬ ‫זה‬
‫של‬ ‫הפיתוח‬ ‫בדרישות‬
SDLC
‫קמפיינים‬ ‫של‬ ‫לאוויר‬ ‫העליה‬ ‫זמן‬ ‫את‬ ‫האריכה‬ ‫זו‬ ‫דרישה‬ .
‫פי‬ ‫מסויימים‬
6
‫שהארגון‬ ‫גבוה‬ ‫מחיר‬ ‫על‬ ‫מדובר‬ ‫עסקיים‬ ‫במובנים‬ .)!!( ‫מהמתוכנן‬
.‫מידע‬ ‫אבטחת‬ ‫של‬ ‫גבוהים‬ ‫סטנדרטים‬ ‫על‬ ‫לשמור‬ ‫כדי‬ ‫שילם‬
‫אחרים‬ ‫בארגונים‬ ‫אולם‬
.‫הפוכה‬ ‫תמונה‬ ‫עלתה‬
‫סופר‬ ‫אחר‬ ‫במקרה‬
‫כי‬
‫לקויים‬ ‫עם‬ ‫מערכות‬ ‫נמצאו‬ ‫בעבר‬
‫מקרה‬ ‫בשום‬ ‫אולם‬ ,‫תיקונים‬ ‫ונדרשו‬ ‫אבטחתיות‬ ‫וחולשות‬
‫מערכת‬ ‫מהאוויר‬ ‫ירדה‬ ‫לא‬
5
https://www.pcisecuritystandards.org
/

‫בה‬ ‫שנמצאו‬ ‫אבטחה‬ ‫ליקויי‬ ‫בשל‬
.
‫בעיות‬ ‫עם‬ ‫מערכת‬ ‫מעלים‬ ‫שבהם‬ ‫ביניים‬ ‫מקרי‬ ‫ישנם‬
.‫בארגון‬ ‫הסיכונים‬ ‫ניהול‬ ‫גוף‬ ‫את‬ ‫מעדכנים‬ ‫אך‬ ‫מידע‬ ‫אבטחת‬ ‫מבחינת‬

‫הבדיקו‬ ‫סביבת‬ ‫בין‬ ‫ההבדלים‬
‫הייצור‬ ‫סביבת‬ ‫לבין‬ ‫והפיתוח‬ ‫ת‬
.
‫נושא‬
‫ה‬
‫הוא‬ "‫"סביבות‬
‫מובנים‬ ‫של‬ ‫רב‬ ‫במספר‬ ‫בעייתי‬ ‫נושא‬
6
.
‫של‬ ‫בהקשר‬ ‫העיקרי‬ ‫הקושי‬
‫מידע‬ ‫אבטחת‬
‫הוא‬
‫העובדה‬
‫ש‬
‫מ‬ ‫הייצור‬ ‫שרתי‬
‫הפיתוח‬ ‫משרתי‬ ‫יותר‬ ‫וקשחים‬

‫בדיקות‬
‫מביאה‬ ‫זו‬ ‫נקודה‬ .
‫ש‬ ‫לכך‬
‫בפיתוח‬ ‫שעובדת‬ ‫פונקציונליות‬

‫בסביב‬ ‫לעבוד‬ ‫לא‬ ‫עלולה‬ ‫בדיקות‬
.‫הייצור‬ ‫ת‬
,‫בדיון‬ ‫משתתפים‬ ‫מספר‬ ‫לטענת‬
‫הבדיקות‬ ‫סביבת‬
‫הייצור‬ ‫מסביבת‬ ‫שונה‬ ‫להיות‬ ‫אמורה‬
‫לאפשר‬ ‫כדי‬
Debug
:‫(לדוגמא‬ ‫יותר‬ ‫טוב‬
‫של‬ ‫יכולת‬ ‫מאפשר‬ ‫אינו‬ ‫לקוח‬
File
ExportImport
‫של‬
SPS-MOSS
.)‫ובבדיקות‬ ‫בפיתוח‬ ‫זאת‬ ‫מאפשר‬ ‫כן‬ ‫אך‬ ‫בייצור‬
Security.Net
–
‫ברשת‬ ‫אבטחה‬
‫זה‬ ‫"בשבילי‬
Bug
‫זה‬ ‫מידע‬ ‫אבטחת‬ ‫איש‬ ‫בשביל‬ ,
Backdoor
"
‫לאנשי‬ ‫הפיתוח‬ ‫גופי‬ ‫בין‬ ‫הגישה‬ ‫הבדלי‬ ‫את‬ ‫מאוד‬ ‫טובה‬ ‫בצורה‬ ‫מתמצת‬ ‫למעלה‬ ‫הציטוט‬
.‫בישראל‬ ‫הארגונים‬ ‫ברוב‬ ‫המידע‬ ‫אבטחת‬
‫נציג‬
‫המידע‬ ‫אבטחת‬ ‫היבטי‬ ‫את‬ ‫להכניס‬ ‫שלהם‬ ‫ניסיון‬ ‫על‬ ‫סיפר‬ ‫ממשלתי‬ ‫בארגון‬
‫חדש‬ ‫פרוייקט‬ ‫כל‬ ‫של‬ ‫הייזום‬ ‫בתהליך‬ ‫כבר‬
.
‫לאגף‬ ‫שייך‬ ‫זה‬ ‫בארגון‬ ‫המידע‬ ‫אבטחת‬ ‫גוף‬
‫טובה‬ ‫בצורה‬ ‫בפרוייקטים‬ ‫מעורבים‬ ‫להיות‬ ‫להצליח‬ ‫זמן‬ ‫מאוד‬ ‫הרבה‬ ‫להם‬ ‫לקח‬ .‫הביטחון‬
.‫החיכוכים‬ ‫את‬ ‫ולהוריד‬
‫ולהגישו‬ ‫הפרוייקט‬ ‫מנהלי‬ ‫ידי‬ ‫על‬ ‫למלאו‬ ‫שיש‬ ‫מיוחד‬ ‫טופס‬ ‫כתבו‬ ‫הם‬
‫בארגו‬ ‫השאיפה‬ .‫איתם‬ ‫ביחד‬ ‫הפרוייקט‬ ‫המשך‬ ‫את‬ ‫ולאשר‬ ‫המידע‬ ‫אבטחת‬ ‫לאנשי‬
‫היא‬ ‫זה‬ ‫ן‬
."‫נטל‬ ‫ולא‬ ‫הפיתוח‬ ‫ממחזור‬ ‫חלק‬ ‫"להיות‬ :‫הגופים‬ ‫בין‬ ‫טוב‬ ‫פעולה‬ ‫לשיתוף‬ ‫להגיע‬
‫פרוייקט‬ ‫כיום‬ ‫אין‬ :‫מידע‬ ‫אבטחת‬ ‫איש‬ ‫של‬ ‫בראיה‬ ‫מאוד‬ ‫לטוב‬ ‫נחשב‬ ‫זה‬ ‫בארגון‬ ‫המצב‬
.‫שלהם‬ ‫אישור‬ ‫ללא‬ ‫לאוויר‬ ‫שעולה‬ ‫אינטרנטי‬
‫שנה‬ ‫חצי‬ ‫פרוייקט‬ ‫"החזירו‬ ‫מסויים‬ ‫במקרה‬
‫מידע‬ ‫אבטחת‬ ‫ליקויי‬ ‫בגלל‬ "‫אחורה‬
.‫בארגון‬ ‫האבטחה‬ ‫לגורמי‬ ‫כהלכה‬ ‫דווחו‬ ‫שלא‬
‫מנהל‬
‫פיננסי‬ ‫בגוף‬
‫ה‬ ‫פיננסי‬ ‫גוף‬ ‫של‬ ‫הגדולים‬ ‫היתרונות‬ ‫אחד‬ ‫כי‬ ‫סיפר‬
‫ו‬
‫א‬
‫בראיה‬ ‫החיים‬ ‫את‬ ‫ומקלה‬ ‫העבודה‬ ‫נהלי‬ ‫את‬ ‫רבים‬ ‫במובנים‬ ‫מסדירה‬ ‫הרגולציה‬ .‫הרגולציה‬
‫ועד‬ ‫הייזום‬ ‫משלב‬ ‫כבר‬ ‫מעורבים‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫המקרים‬ ‫ברוב‬ .‫אבטחתית‬
‫תחזוקת‬
.‫באוויר‬ ‫פרוייקטים‬
6
‫כך‬ ‫על‬
‫השנה‬ ‫בהמשך‬ ‫עגול‬ ‫שולחן‬

‫ה‬ ‫הרגולציה‬ ‫בגלל‬
‫התמחות‬ ‫עם‬ ‫מידע‬ ‫אבטחת‬ ‫אנשי‬ ‫מספר‬ ‫להחזיק‬ ‫לעצמו‬ ‫להרשות‬ ‫יכול‬ ‫ארגון‬
‫הפיתוח‬ ‫לגופי‬ ‫מוסף‬ ‫ערך‬ ‫שירותי‬ ‫נותנים‬ ‫אלה‬ ‫אנשים‬ .‫האפליקטיבי‬ ‫בעולם‬
‫כותבים‬ ‫ואף‬
‫הצורך‬ ‫במידת‬ ‫בעייתיים‬ ‫קוד‬ ‫קטעי‬ ‫בעצמם‬
.
"‫אפליקטיבית‬ ‫מידע‬ ‫("אבטחת‬ ‫צוות‬ ‫על‬ ‫מדובר‬
–
‫ל‬ ‫בדומה‬
-
DBA
‫כ‬ ‫המונה‬ )‫אפליקטיבי‬
-
1%
.‫הפיתוח‬ ‫מאנשי‬
‫הקשור‬ ‫תחום‬ ‫מנהל‬
‫לפיתוח‬
‫אחר‬ ‫פיננסי‬ ‫בארגון‬
‫השני‬ ‫מהצד‬ ‫נראה‬ ‫זה‬ ‫איך‬ ‫סיפר‬
:
‫את‬ ‫להרים‬ ‫יכולת‬ ‫להם‬ ‫ואין‬ "‫"אקווריום‬ ‫במעין‬ ‫נמצאים‬ ‫שהמפתחים‬ ‫בתחושה‬ ‫חיי‬ ‫תמיד‬ ‫הוא‬
‫הרב‬ ‫עושה‬ ‫שהרגולציה‬ ‫מרגיש‬ ‫הוא‬ ‫גם‬ .‫בחוץ‬ ‫קורה‬ ‫מה‬ ‫ולראות‬ ‫הראש‬
‫לייעול‬ ‫ומביאה‬ ‫סדר‬ ‫ה‬
‫טוב‬ ‫הוא‬ ‫לפיתוח‬ ‫המידע‬ ‫אבטחת‬ ‫בין‬ ‫הפעולה‬ ‫שיתוף‬ ‫מבחינתו‬ .‫התהליכים‬ ‫של‬
"
‫שאנשי‬ ‫ברגע‬
‫מעורבים‬ ‫האבטחה‬
‫מ‬
‫התהליך‬ ‫ראשית‬
"
.
‫הקשור‬ ‫מתחום‬ ‫הוא‬ ‫(גם‬ ‫זה‬ ‫מארגון‬ ‫נוסף‬ ‫משתתף‬
‫ל‬
‫פיתוח‬
,‫לדבריו‬ .‫המידע‬ ‫אבטחת‬ ‫לאנשי‬ ‫הפיתוח‬ ‫אנשי‬ ‫בין‬ ‫העיקריות‬ ‫המגע‬ ‫נקודות‬ ‫על‬ ‫סיפר‬ )
‫אין‬
‫הויכוחים‬ ‫רוב‬ .‫המערכת‬ ‫ולאיפיון‬ ‫הסופית‬ ‫לפונקציונליות‬ ‫הקשור‬ ‫בכל‬ ‫ויכוחים‬ ‫כמעט‬
"?‫פונקציונליות‬ ‫לאותה‬ ‫להגיע‬ ‫"איך‬ ‫השאלה‬ ‫על‬ ‫הם‬ ‫והחיכוכים‬
‫הפיתוח‬ ‫תהליכי‬ ‫לגבי‬ ‫כלומר‬
,‫מאובטח‬ ‫פיתוח‬ ‫של‬ ‫סטנדרטים‬ ‫על‬ ‫לשמור‬ ‫בצורך‬ ‫מכירים‬ ‫זה‬ ‫בארגון‬ ‫הפיתוח‬ ‫אנשי‬ .‫עצמם‬
‫ר‬ ‫תמיד‬ ‫לא‬ ‫הם‬ ‫לשם‬ ‫הדרך‬ ‫את‬ ‫אך‬
‫האם‬ :‫לדוגמא‬ .‫האבטחה‬ ‫אנשי‬ ‫עם‬ ‫בעין‬ ‫עין‬ ‫ואים‬
‫ניתן‬ ‫בכלל‬ ‫האם‬ ?‫הפיתוח‬ ‫תהליך‬ ‫כדי‬ ‫תוך‬ ‫ואחרים‬ ‫כאלה‬ ‫נתונים‬ ‫לראות‬ ‫רשאים‬ ‫המפתחים‬
?‫הנתונים‬ ‫את‬ ‫לראות‬ ‫בלי‬ ‫פיתוח‬ ‫לבצע‬
‫לסביבות‬ ‫במעבר‬ ‫ייצור‬ ‫נתוני‬ ‫של‬ ‫מיסוך‬ ‫או‬ ‫ערבול‬ ‫לגבי‬ ‫מה‬ ‫שאלנו‬ ‫זו‬ ‫בנקודה‬ ‫מהדיון‬ ‫כחלק‬
‫סבי‬ ‫התגובות‬ ?‫ובדיקות‬ ‫פיתוח‬
‫פתרונות‬ ‫עם‬ ‫שהניסיון‬ ‫רושם‬ ‫ועושה‬ ‫צוננות‬ ‫מאוד‬ ‫היו‬ ‫השולחן‬ ‫ב‬
‫אלה‬ ‫משתתפים‬ ‫של‬ ‫נסיונם‬ ‫פי‬ ‫על‬ ‫טוב‬ ‫היה‬ ‫לא‬ ‫נתונים‬ ‫לערבול‬
7
.
‫מתחום‬ ‫נציג‬ .‫אידאליה‬ ‫תמיד‬ ‫קיימת‬ ‫הארגונים‬ ‫בכל‬ ‫שלא‬ ‫כמובן‬
‫הפיתוח‬
‫מספר‬ ‫פיננסי‬ ‫בארגון‬
‫הפית‬ ‫בתהליכי‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫של‬ ‫מהתערבות‬ "‫מאוד‬ ‫"סבל‬ ‫הוא‬ ‫בעבר‬ ‫כי‬
‫היום‬ .‫שלו‬ ‫וח‬
‫גם‬ ‫כי‬ ‫לו‬ ‫ברור‬ .‫הגופים‬ ‫בין‬ ‫המשותפת‬ ‫השפה‬ ‫את‬ ‫ומחפשים‬ ‫רגוע‬ ‫יותר‬ ‫בסטאטוס‬ ‫נמצאים‬ ‫הם‬
‫כדי‬ ‫התהליך‬ ‫בתוך‬ ‫מוקדם‬ ‫שיותר‬ ‫כמה‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫את‬ ‫לשלב‬ ‫כדאי‬ ‫פיתוח‬ ‫כאיש‬
.‫בהמשך‬ ‫ומריבות‬ ‫מחיכוכים‬ ‫להמנע‬
‫הש‬ ‫הגורמים‬ ‫של‬ ‫המקצועיות‬ ‫סביב‬ ‫מאוד‬ ‫מעניינת‬ ‫נקודה‬ ‫העלה‬ ‫זה‬ ‫משתתף‬
:‫ונים‬
.‫המידע‬ ‫אבטחת‬ ‫לאנשי‬ ‫הפיתוח‬ ‫אנשי‬ ‫בין‬ ‫ידע‬ ‫פער‬ ‫קיים‬ ‫שלו‬ ‫מההתרשמות‬
‫נושאים‬ ‫יש‬
‫לאב‬ ‫להסביר‬ ‫למפתחים‬ ‫שקשה‬
‫טחת‬
‫מ‬
‫ל‬ ‫מביאים‬ ‫האלה‬ ‫הידע‬ ‫והבדלי‬ ‫ידע‬
:‫לדוגמא‬ .‫חיכוכים‬
‫כמו‬ ‫לטכנולוגיות‬ ‫מסויים‬ ‫פיתוח‬ ‫פרוייקט‬ ‫של‬ ‫כניסה‬
AJAX
‫או‬
jQuery
"
‫סגורים‬ ‫דיי‬
‫ולאיש‬ "
‫י‬ ‫יש‬ ‫תמיד‬ ‫לא‬ ‫מידע‬ ‫אבטחת‬
.‫כאלה‬ ‫במערכות‬ ‫כשלים‬ ‫לחפש‬ ‫כדי‬ ‫מספיק‬ ‫דע‬
‫אבטחת‬ ‫אנשי‬
7
‫רו‬ ‫עושה‬ .‫השולחן‬ ‫סביב‬ ‫שהתקבלה‬ ‫התחושה‬ ‫את‬ ‫להעביר‬ ‫אלא‬ ,‫דעה‬ ‫לחוות‬ ‫זו‬ ‫בהערה‬ ‫אין‬
‫הבעיות‬ ‫כי‬ ‫שם‬
:‫בעניין‬ ‫קודמים‬ ‫מדיונים‬ ‫גם‬ ‫שונות‬ ‫אינן‬ ‫נתונים‬ ‫לערבול‬ ‫מערכות‬ ‫של‬ ‫בהקשר‬ ‫מהמשתתפים‬ ‫חלק‬ ‫ידי‬ ‫על‬ ‫שהוצגו‬
.‫באינטגרציה‬ ‫וקושי‬ ‫נתונים‬ ‫ובסיסי‬ ‫מערכות‬ ‫מספר‬ ‫של‬ ‫בחיבור‬ ‫נתונים‬ ‫של‬ ‫עקיבות‬

‫טוב‬ ‫להכיר‬ ‫שיוכלו‬ ‫כדי‬ ‫להם‬ ‫מוכרות‬ ‫לטכנולוגיות‬ ‫הפיתוח‬ ‫את‬ ‫לנתב‬ ‫לעתים‬ ‫מנסים‬ ‫המידע‬
.‫אותם‬ ‫ולנטר‬ ‫הפיתוח‬ ‫תהליכי‬ ‫את‬ ‫יותר‬
‫פרוייקטי‬ ‫הם‬ ‫במיוחד‬ ‫בעייתים‬ ‫פרוייקטים‬
Main-
Frame
‫ה‬ ‫תחום‬ .
MF
‫וידע‬ ‫מאוד‬ ‫גבוהה‬ ‫מומחיות‬ ‫ברמת‬ ‫מתאפיין‬
‫קיים‬ ‫תמיד‬ ‫לא‬ ‫אשר‬
‫כי‬ ‫אם‬ ‫טבעי‬ ‫באופן‬ ‫קשה‬ ‫מאוד‬ ‫אלה‬ ‫פרוייקטים‬ ‫על‬ ‫פיקוח‬ .‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫של‬ ‫ברשותם‬
‫סיכון‬ ‫ברמת‬ ‫נחשב‬
‫נמוכה‬
.‫יחסית‬
‫תחום‬ ‫נציג‬
‫המידע‬ ‫אבטחת‬
‫המאובטח‬ ‫הפיתוח‬ ‫היבטי‬ ‫על‬ ‫גם‬ ‫השאר‬ ‫בין‬ ‫האחראי‬ ,‫זה‬ ‫בארגון‬
.‫האחרונות‬ ‫בשנים‬ ‫מאוד‬ ‫גדל‬ ‫התחום‬ ‫כי‬ ‫מספר‬
‫בארגון‬ ‫הנהלים‬
‫אבטחת‬ ‫שילוב‬ ‫על‬ ‫מדברים‬
.‫האחרונות‬ ‫בשנים‬ ‫גדולה‬ ‫התקדמות‬ ‫רואים‬ ‫והם‬ ‫רלוונטי‬ ‫פרוייקט‬ ‫כל‬ ‫של‬ ‫הייזום‬ ‫בשלב‬ ‫המידע‬
‫המידע‬ ‫אבטחת‬ ‫של‬ ‫השילוב‬ ,‫מתוכנן‬ ‫פרוייקט‬ ‫הוא‬ ‫הפרוייקט‬ ‫עוד‬ ‫כל‬ ‫כי‬ ‫סיפר‬ ‫זה‬ ‫משתתף‬
‫יותר‬ ‫טובה‬ ‫בצורה‬ ‫נעשה‬
‫הגורמי‬ ‫כל‬ ‫בה‬ ‫שחברים‬ ‫היגוי‬ ‫ועדת‬ ‫קיימת‬ ‫חשובים‬ ‫בפרוייקטים‬ ‫וכי‬
‫ם‬
‫הרלוונטים‬
‫גוף‬ ‫לידיעת‬ ‫מגיעים‬ ‫תמיד‬ ‫לא‬ ‫אשר‬ ‫מתוכננים‬ ‫לא‬ ‫בפרוייקטים‬ ‫מתחילות‬ ‫הבעיות‬ .
.‫המידע‬ ‫אבטחת‬
‫אבטחת‬ ‫מצד‬ ‫פרוייקטים‬ ‫בליווי‬ ‫מרכזי‬ ‫כקושי‬ ‫הזה‬ ‫הקושי‬ ‫את‬ ‫העלה‬ ‫נוסף‬ ‫פיננסי‬ ‫ארגון‬ ‫נציג‬
."‫"פרוייקט‬ ‫בדיוק‬ ‫זה‬ ‫מה‬ ‫של‬ ‫בהגדרה‬ ‫קושי‬ ‫יש‬ ‫זה‬ ‫בארגון‬ .‫המידע‬
‫שלא‬ ‫במקרים‬
‫מוגדר‬
"
‫פרויי‬
‫קט‬
"
–
‫אב‬ ‫אין‬
"‫"סובל‬ ‫המיזם‬ ‫הפיתוח‬ ‫אנשי‬ ‫של‬ ‫ומבחינתם‬ ‫התהליך‬ ‫מתחילת‬ ‫מידע‬ ‫טחת‬
.‫מבירוקרטיות‬ ‫פחות‬
‫היא‬ ‫לכך‬ ‫דוגמא‬
‫שינוי‬
‫שהתבקש‬ ‫מסויים‬
‫במערכת‬
.‫בארגון‬ ‫מסויימת‬
"‫"פרוייקט‬ ‫הוגדר‬ ‫לא‬ ‫שהשינוי‬ ‫בגלל‬ .‫רגישים‬ ‫לנתונים‬ ‫גישה‬ ‫הרשאות‬ ‫ניתנו‬ ‫מהשינוי‬ ‫כחלק‬
‫ה‬ ‫אבטחת‬ ‫אנשי‬ ‫של‬ ‫מעיניהם‬ ‫חמק‬ ‫הוא‬
.‫בדיעבד‬ ‫רק‬ ‫השינוי‬ ‫את‬ ‫גילו‬ ‫והם‬ ‫מידע‬
‫חברת‬ ‫שערכה‬ ‫במחקר‬ ,‫ואכן‬
STKI
‫בארגוני‬ ‫פיתוח‬ ‫נוהלי‬ ‫לגבי‬
IT8
‫מכובד‬ ‫אחוז‬ ‫שישנו‬ ‫עלה‬
:)‫השנתית‬ ‫בתוכנית‬ ‫הופיע‬ ‫(אינו‬ ‫מתוכנן‬ ‫שאינו‬ ‫פעילויות‬ ‫על‬
8
http://www.slideshare.net/pini/stki-application-developmentresearch

‫ש‬ ‫רושם‬ ‫עושה‬ ‫כללי‬ ‫באופן‬
‫החדשים‬ ‫הפרוייקטים‬ ‫לכל‬ ‫מודעים‬ ‫תמיד‬ ‫לא‬ ‫המידע‬ ‫אבטחת‬ ‫מנהלי‬
‫בארגונם‬
.‫יחסית‬ ‫מאוחרים‬ ‫בשלבים‬ ‫חלקם‬ ‫את‬ ‫ומגלים‬
‫כי‬ ‫התגלה‬ ‫בארגונים‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬ ‫בקרב‬ ‫בבדיקה‬
‫היה‬ ‫לא‬ ‫מהמשתתפים‬ ‫אחד‬ ‫אף‬
‫א‬ ‫מכיר‬ ‫בארגונו‬ ‫המידע‬ ‫אבטחת‬ ‫גוף‬ ‫של‬ ‫אחר‬ ‫נציג‬ ‫או‬ ‫הוא‬ ‫כי‬ ‫להצהיר‬ ‫מוכן‬
‫הפרוייקטים‬ ‫כל‬ ‫ת‬
‫של‬ ‫הראשונים‬ ‫בשלבים‬ ‫כבר‬ ‫המידע‬ ‫אבטחת‬ ‫צוות‬ ‫של‬ ‫וליווי‬ ‫בקרה‬ ‫שדורשים‬
‫הפרוייקט‬
.
.‫יותר‬ ‫מתקדמים‬ ‫פרוייקטים‬ ‫עבור‬ ‫גם‬ ‫נשמעה‬ ‫לא‬ ‫דומה‬ ‫הצהרה‬
Planned
Projects
60%
Unplanned
Requests
25%
Regulation
15%
‫הפרוייקטים‬ ‫ברב‬
–
‫הייזום‬ ‫משלב‬
43%
‫הפרוייקטים‬ ‫ברב‬
–
‫משלב‬
‫הפיתוח‬

‫עיצוב‬

‫בניה‬
28%
‫פרוייקטים‬ ‫ישנם‬
‫שלא‬ ‫רלוונטים‬
‫מודע‬ ‫הייתי‬
‫שלב‬ ‫עד‬ ‫לקיומם‬
‫מאוד‬ ‫מתקדם‬
29%
‫מעורבים‬ ‫חדש‬ ‫בפרוייקט‬ ‫שלב‬ ‫מאיזה‬
‫המידע‬ ‫אבטחת‬ ‫אנשי‬
?

‫ומלווה‬ ‫מכיר‬ ‫המידע‬ ‫אבטחת‬ ‫צוות‬ ,‫הרלוונטים‬ ‫הפרוייקטים‬ ‫ברוב‬ ‫כי‬ ‫עולה‬ ‫למעלה‬ ‫מהתרשים‬
‫לפיו‬ ,‫מדאיג‬ ‫מאוד‬ ‫לממצא‬ ‫לב‬ ‫לשים‬ ‫חשוב‬ ,‫זאת‬ ‫עם‬ .‫הפרוייקט‬ ‫את‬
29%
‫אבטחת‬ ‫ממנהלי‬
‫"שנעלמ‬ ‫פרוייקטים‬ ‫ישנם‬ ‫כי‬ ‫התוודו‬ ‫המידע‬
‫(הכוונה‬ ‫מאוד‬ ‫מתקדם‬ ‫שלב‬ ‫עד‬ ‫שלהם‬ "‫מהרדאר‬ ‫ו‬
.)‫מהתחלה‬ ‫ללוותם‬ ‫צורך‬ ‫היה‬ ‫שבדיעבד‬ ‫לפרוייקטים‬ ‫היא‬
‫גוף‬ ‫את‬ ‫מייצג‬ ‫אומנם‬ ‫הוא‬ ‫כי‬ ‫סיפר‬ ‫מסויים‬ ‫ממשלתי‬ ‫מארגון‬ ‫משתתף‬
‫הפיתוח‬
‫למעשה‬ ‫אך‬ ,
.‫בפיתוח‬ ‫מעיסוקו‬ ‫כחלק‬ ‫מידע‬ ‫באבטחת‬ ‫לאחרונה‬ ‫עוסק‬
‫שיתוף‬ ‫יש‬ ‫כי‬ ‫עולה‬ ‫שלו‬ ‫מההתרשמות‬
‫ה‬ ‫בין‬ ‫טוב‬ ‫פעולה‬
.‫גורמים‬
‫ה‬ ‫מתחום‬ ‫אחר‬ ‫משתתף‬
‫פיתוח‬
‫ומנהל‬ ‫הוא‬ ‫כי‬ ‫זה‬ ‫בהקשר‬ ‫כי‬ ‫סיפר‬
‫בין‬ ‫מהחיכוכים‬ ‫רבים‬ ‫למנוע‬ ‫יכול‬ ,‫כשלעצמו‬ ,‫זה‬ ‫סידור‬ .‫חדר‬ ‫באותו‬ ‫יושבים‬ ‫המידע‬ ‫אבטחת‬
.‫יותר‬ ‫פורה‬ ‫פעולה‬ ‫שיתוף‬ ‫ולקדם‬ ‫הגופים‬
‫עבודה‬ ‫תהליכי‬ ‫שיפור‬
‫ע‬ ‫הפיתוח‬ ‫יחסי‬ ‫של‬ ‫גם‬ ‫מחדש‬ ‫לבחינה‬ ‫מנוף‬ ‫מהווים‬ ‫ארגוניים‬ ‫שינויים‬
.‫המידע‬ ‫אבטחת‬ ‫ם‬
:‫בדיון‬ ‫מהמשתתפים‬ ‫חלק‬ ‫של‬ ‫מדבריהם‬ ‫עולה‬ ‫זה‬ ‫ממצא‬
‫מתחום‬ ‫משתתף‬
‫אנשי‬ ‫את‬ ‫עירבו‬ ‫תמיד‬ ‫לא‬ ‫בארגונו‬ ‫כי‬ ‫סיפר‬ ‫ממשלתי‬ ‫בארגון‬
‫מסביבת‬ ‫הסבה‬ ‫של‬ ‫בארגון‬ ‫גדול‬ ‫מהלך‬ ‫מתבצע‬ ‫כיום‬ .‫חדשים‬ ‫בפרוייקטים‬ ‫המידע‬ ‫אבטחת‬
‫שיפו‬ ‫לקדם‬ ‫ולנסות‬ ‫ללמוד‬ ‫בא‬ ‫והוא‬ ‫לאחרת‬ ‫אחת‬ ‫פיתוח‬
‫אנשי‬ ‫עם‬ ‫המשותפת‬ ‫בעבודה‬ ‫ר‬
.‫הפיתוח‬
‫נוסף‬ ‫בארגון‬
‫שינוי‬ ‫יש‬
‫בעקבות‬ ‫מידע‬ ‫לאבטחת‬ ‫הפיתוח‬ ‫בין‬ ‫העבודה‬ ‫ביחסי‬
.‫ארגוני‬ ‫שינוי‬
‫לפני‬
‫נמצאים‬ ‫שניהם‬ ‫כיום‬ .‫מנהל‬ ‫לאותו‬ ‫דיווחו‬ ‫לא‬ ‫המידע‬ ‫אבטחת‬ ‫וממונה‬ ‫הפיתוח‬ ‫אגף‬ ,‫השינוי‬
‫הש‬ .‫החשובים‬ ‫הפרוייקטים‬ ‫ברוב‬ ‫מעורב‬ ‫והוא‬ ‫המידע‬ ‫מערכות‬ ‫למנהל‬ ‫מתחת‬
‫לשלב‬ ‫האם‬ ‫יקול‬
.‫פשוטים‬ ‫יותר‬ ‫הרבה‬ ‫והחיים‬ ‫שלו‬ ‫היא‬ ‫מסויים‬ ‫בפרוייקט‬ ‫המידע‬ ‫אבטחת‬ ‫את‬
‫המידע‬ ‫אבטחת‬ ‫גוף‬ ‫את‬ ‫למפתחים‬ "‫"מזכיר‬ ‫הוא‬ ‫בה‬ ‫הדרך‬ ‫על‬ ‫סיפר‬ ‫המשתתפים‬ ‫אחד‬
‫ה‬ ‫עם‬ ‫נכנס‬ ‫הוא‬ :‫בפרוייקטים‬
PMO
‫פניה‬ ‫של‬ ‫ודגלים‬ ‫תזכורות‬ ‫והכניס‬ ‫לגאנט‬ ‫בארגון‬
‫גבוה‬ ‫מאוד‬ ‫אחוז‬ ‫כך‬ .‫פרוייקט‬ ‫בתחילת‬ ‫במיוחד‬ ,‫חשובים‬ ‫לו‬ ‫שנראו‬ ‫בשלבים‬ ‫מידע‬ ‫לאבטחת‬
.‫בזמן‬ ‫לידיעתו‬ ‫מגיע‬ ‫החדשים‬ ‫מהפרוייקטים‬
‫אבטחת‬ ‫לאיש‬ ‫להיות‬ ‫שיכולה‬ ‫העסקית‬ ‫הראיה‬ ‫על‬ ‫מדברת‬ ‫הזה‬ ‫בהקשר‬ ‫נוספת‬ ‫חשובה‬ ‫הערה‬
‫הא‬ ‫משלב‬ ‫מהותי‬ ‫חלק‬ .‫המידע‬
‫הפונקציונלי‬ ‫על‬ ‫הסתכלות‬ ‫זה‬ ‫יפיון‬
‫המערכת‬ ‫של‬ ‫ות‬
.
‫חשיבות‬ ‫יש‬
‫רבה‬ ‫אבטחתית‬
‫לאינטרנט‬ ‫אותה‬ ‫נחשוף‬ ‫ומחר‬ ‫היום‬ ‫פנימית‬ ‫היא‬ ‫מסויימת‬ ‫מערכת‬ ‫אם‬
‫עם‬ ‫אך‬ .
‫יכול‬ ‫שלה‬ ‫בחשיפה‬ ‫הצורך‬ ‫ועצם‬ ‫כזו‬ ‫מערכת‬ ‫תכנון‬ ‫לגבי‬ ‫מראש‬ ‫חשיבה‬ ,‫זאת‬
‫ה‬
‫בעיות‬ ‫לחסוך‬
‫כי‬ ‫אומר‬ ‫ההערה‬ ‫את‬ ‫שהעלה‬ ‫המשתתף‬ .‫הדרך‬ ‫בהמשך‬
‫לאיש‬
‫להיות‬ ‫חייבת‬ ‫המידע‬ ‫אבטחת‬
‫שלו‬ ‫אבטחתית‬ ‫החלטה‬ ‫בכל‬ ‫עסקית‬ ‫אוריאנטציה‬
.
:‫הבא‬ ‫המקרה‬ ‫היא‬ ‫לכך‬ ‫דוגמא‬
‫מערכת‬

CRM
‫מסויים‬ ‫בארגון‬
‫ש‬
‫המתכננים‬
‫להוסיף‬ ‫רצו‬
‫בה‬
‫ללקוח‬ ‫לשלוח‬ ‫צרופה‬
.‫מסויימים‬ ‫במקרים‬
‫מבקש‬ ‫את‬ ‫ושאל‬ ‫צרופה‬ ‫בהוספת‬ ‫האבטחתית‬ ‫הבעייתיות‬ ‫את‬ ‫העלה‬ ‫המידע‬ ‫אבטחת‬ ‫איש‬
‫הצורך‬ ‫מה‬ ‫הבקשה‬
‫עסקי‬ ‫צורך‬ ‫היה‬ ‫שלא‬ ‫מתברר‬ ?‫משרתת‬ ‫היא‬ ‫ומה‬ ‫כזו‬ ‫בצרופה‬ ‫העסקי‬
‫והיא‬ ‫לבקשה‬
‫היתה‬
‫מסדר‬ ‫ירדה‬ ‫ההצעה‬ .‫צורך‬ ‫בה‬ ‫היה‬ ‫לא‬ ‫שכבר‬ ‫מהעבר‬ ‫בקשה‬ ‫של‬ ‫תוצאה‬
‫היום‬
.
‫הוא‬ ‫הפיתוח‬
‫השותפים‬ ‫של‬

‫מוצרים‬
‫המידע‬ ‫אבטחת‬ ,
–
‫הארגון‬ ‫של‬
‫בארגו‬
‫ן‬
‫איש‬ ‫מסויים‬
‫אי‬ ‫היה‬ ‫הוא‬ ‫במקור‬ ‫כי‬ ‫ציין‬ ‫בדיון‬ ‫המשתתף‬
‫וכי‬ ‫פיתוח‬ ‫ש‬
."‫השני‬ ‫"הצד‬ ‫של‬ ‫הפעולה‬ ‫אופן‬ ‫את‬ ‫מצויין‬ ‫מכיר‬ ‫הוא‬
‫כוונה‬ ‫יש‬ ‫בארגון‬ ‫העבודה‬ ‫משיפור‬ ‫כחלק‬
‫מאובטח‬ ‫פיתוח‬ ‫של‬ ‫ונהלים‬ ‫מתודולוגיות‬ ‫לשלב‬
‫מומשו‬ ‫טרם‬ ‫היום‬ ‫עד‬ ‫אשר‬ ,
.
‫ה‬
‫נציג‬
‫השני‬
‫מארגון‬
‫ל‬ ‫הקשור‬ ‫רוחבי‬ ‫מגוף‬ ‫מגיע‬ ‫זה‬
‫פרוייקטים‬ ‫ניהול‬
‫כי‬ ‫סיפר‬ ‫זה‬ ‫גוף‬ ‫נציג‬ .
‫דגש‬ ‫יש‬ ‫הזה‬ ‫בגוף‬
‫נושא‬ .‫מידע‬ ‫אבטחת‬ ‫על‬ ‫ולא‬ ‫והמוצרים‬ ‫השירותים‬ ‫בטיחות‬ ‫על‬ ‫חזק‬
‫צרי‬ ‫המידע‬ ‫אבטחת‬
‫ך‬
.‫ספק‬ ‫ללא‬ ‫דגש‬ ‫יותר‬ ‫לקבל‬
‫גורמי‬ ‫עם‬ ‫הרב‬ ‫והממשק‬ ‫העבודה‬ ‫אופי‬ ‫בגלל‬
‫מהו‬ ‫להגדיר‬ ‫פעם‬ ‫לא‬ ‫קשה‬ ,‫חוץ‬
‫המינימום‬ ‫רף‬
‫ניתן‬ ‫בכלל‬ ‫ואיך‬ ‫מידע‬ ‫לאבטחת‬ ‫הקשור‬ ‫בכל‬
.‫אותו‬ ‫לאכוף‬
‫הטכנולוגיה‬ ‫לבחירת‬ ‫קשורה‬ ‫נוספת‬ ‫נקודה‬
‫נציג‬ ‫פי‬ ‫על‬ ,‫וזו‬ ‫ארגוני‬ ‫פרוייקט‬ ‫בכל‬
‫אבטחת‬ ‫משיקולי‬ ‫ולא‬ ‫הלקוח‬ ‫והגדרות‬ ‫הפרוייקט‬ ‫מאופי‬ ‫נגזרת‬ ,‫זה‬
‫ה‬
‫מידע‬
‫ארגוניים‬ ‫הפנים‬
.)‫הלקוח‬ ‫ידי‬ ‫על‬ ‫מראש‬ ‫הוגדרו‬ ‫לא‬ ‫ואלה‬ ‫(במידה‬
‫בחלקים‬ ‫מידע‬ ‫אבטחת‬ ‫של‬ ‫מינימלית‬ ‫רמה‬ ‫על‬ ‫לשמור‬ ‫איך‬ ‫מעט‬ ‫לא‬ ‫מתלבטים‬ ‫גלובלי‬ ‫בארגון‬
‫ומ‬ ‫פיתוח‬ ‫משותפי‬ ‫המגיעים‬
‫עוד‬ ‫כל‬ .‫משלימים‬ ‫וצרים‬
‫בעיה‬ ‫אין‬ "‫"בבית‬ ‫נעשה‬ ‫הפיתוח‬
‫אבל‬ .
‫את‬ ‫לראות‬ ‫מהחברה‬ ‫לבקש‬ ‫ניתן‬ ‫תמיד‬ ‫לא‬ ‫חיצונית‬ ‫בחברה‬ ‫שמקורו‬ ‫בפיתרון‬ ‫ומדובר‬ ‫במידה‬
‫"הינדוס‬ ‫לעשות‬ ‫שניתן‬ ‫בטוח‬ ‫ולא‬ ‫משפטיים‬ ‫היבטים‬ ‫גם‬ ‫יש‬ ‫זו‬ ‫לסוגייה‬ .‫אותו‬ ‫ולנתח‬ ‫הקוד‬
.‫חוקית‬ ‫מבחינה‬ "‫לאחור‬
‫מ‬ ‫חלק‬ ‫ולפתור‬ ‫לנסות‬ ‫אחת‬ ‫דרך‬
‫ולנסות‬ ‫הדרכות‬ ‫לבצע‬ ‫היא‬ ‫הבעיות‬
‫לבצע‬ ‫הן‬ ‫אחרות‬ ‫אופציות‬ .‫הפיתוח‬ ‫משותפי‬ ‫חלק‬ ‫עם‬ ‫קשר‬ ‫ליצור‬ ‫כן‬
‫מסוג‬ ‫חדירות‬ ‫בדיקות‬
blackbox
9
.‫גדולים‬ ‫ומשאבים‬ ‫רב‬ ‫זמן‬ ‫צורכות‬ ‫הן‬ ‫שכן‬ ‫מאוד‬ ‫ליקרות‬ ‫נחשבות‬ ‫אשר‬
‫חשו‬ ‫חלקים‬ ‫לסרוק‬ ‫וכדי‬ ‫קוד‬ ‫שורות‬ ‫של‬ ‫עצומה‬ ‫כמות‬ ‫מכילות‬ ‫זה‬ ‫בארגון‬ ‫אופייניות‬ ‫מערכות‬
‫בים‬
‫קוד‬ ‫לסריקת‬ ‫אוטומטיות‬ ‫במערכות‬ ‫שימוש‬ ‫נעשה‬ ‫בהן‬
)‫בהמשך‬ ‫לכלים‬ ‫התייחסות‬ ‫(ראו‬
.
9
‫מסוג‬ ‫חדירות‬ ‫בבדיקות‬
blackbox
‫או‬ ‫פגיעויות‬ ‫למצוא‬ ‫נאלץ‬ ‫והוא‬ ‫עצמו‬ ‫לקוד‬ ‫גישה‬ ‫אין‬ ‫הבדיקות‬ ‫למבצע‬
‫בדיקות‬ ‫מבצעי‬ ‫של‬ ‫בטרמינולוגיה‬ .‫אמיתי‬ ‫עויין‬ ‫גורם‬ ‫של‬ ‫לאלה‬ ‫מאוד‬ ‫קרובים‬ ‫התחלתיים‬ ‫בתנאים‬ ‫חולשות‬
:‫נוספים‬ ‫ביטויים‬ ‫שני‬ ‫נהוגים‬ ‫החדירות‬
Whitebox
–
‫המערכ‬ ‫קוד‬ ‫את‬ ‫יש‬ ‫הבדיקה‬ ‫למבצע‬ ‫בה‬
‫פיתח‬ ‫הוא‬ ‫(כאילו‬ ‫ת‬
‫ו‬ )‫בעצמו‬ ‫המערכת‬ ‫את‬
Greybox
–
‫של‬ ‫מסויימת‬ ‫פונקציונליות‬ ‫או‬ ‫מהקוד‬ ‫חלקים‬ ‫יש‬ ‫הבדיקה‬ ‫למבצע‬ ‫בה‬
.‫המערכת‬

‫איש‬
‫מאוד‬ ‫הרבה‬ ‫קיימות‬ ‫פיתוח‬ ‫לאיש‬ ‫כי‬ ‫מספר‬ ‫הפיתוח‬ ‫מתחום‬ ‫שהגיע‬ ‫נוסף‬
‫חשובה‬ ‫מאוד‬ ‫כאן‬ ‫היצירתיות‬ .‫נתונה‬ ‫פונקציה‬ ‫או‬ ‫מערכת‬ ‫כל‬ ‫לכתוב‬ ‫ואפשרויות‬ ‫אופציות‬
.‫מידע‬ ‫אבטחת‬ ‫איש‬ ‫של‬ ‫המחשבה‬ ‫להלך‬ ‫הפוך‬ ‫מוטיב‬ ‫זהו‬ ‫מסויימת‬ ‫ובמידה‬
‫ש‬ ‫שיטות‬ ‫עם‬ ‫קטנים‬ ‫תוכנה‬ ‫בתי‬ ‫הרבה‬ ‫למצוא‬ ‫מפתיע‬ ‫לא‬ ‫כזו‬ ‫במציאות‬
‫לפיתוח‬ ‫ומשונות‬ ‫ונות‬
‫בארגונו‬ ."‫שכונה‬ ‫"ממש‬ .‫מוצרים‬ ‫אותם‬
,‫הפיננסי‬ ‫לסקטור‬ ‫המשתייך‬ ,
‫המידע‬ ‫אבטחת‬ ‫גוף‬
.‫שותפים‬ ‫ממפתחים‬ ‫מינימום‬ ‫ודרישות‬ ‫סטנדרטים‬ ‫לכפות‬ ‫לו‬ ‫וקל‬ ‫יחסית‬ ‫לחזק‬ ‫נחשב‬
‫משתתף‬
.‫הארגון‬ ‫של‬ ‫המינימום‬ ‫דרישות‬ ‫את‬ ‫תאמו‬ ‫שלא‬ ‫מערכות‬ "‫"ניפנפו‬ ‫בעבר‬ ‫כי‬ ‫מספר‬ ‫זה‬
‫ארגון‬
‫לגדר‬ ‫כדי‬ .‫חדשות‬ ‫מערכות‬ ‫פיתוח‬ ‫ולא‬ ‫קניה‬ ‫היא‬ ‫אצלם‬ ‫המדיניות‬ ‫כי‬ ‫סיפר‬ ‫מסויים‬ ‫פיננסי‬
‫במעמד‬ ‫פרטים‬ ‫שיותר‬ ‫כמה‬ ‫לסגור‬ ‫לנסות‬ ‫כדאי‬ ,'‫ג‬ ‫צד‬ ‫במערכות‬ ‫הכרוכים‬ ‫הסיכונים‬ ‫את‬
‫האר‬ ‫לצרכי‬ ‫מאוד‬ ‫המותאם‬ ‫מוצר‬ ‫מקבלים‬ ‫לפעמים‬ :‫מסויים‬ ‫חיסרון‬ ‫זו‬ ‫לגישה‬ .‫החוזה‬
‫מעין‬ ,‫גון‬
,‫ובלעדית‬ ‫ייחודית‬ ‫גרסה‬
‫שקשה‬
‫לקבל‬
‫עליה‬
‫(גם‬ ‫תמיכה‬
‫מ‬
.‫הדרך‬ ‫בהמשך‬ )‫עצמו‬ ‫הספק‬
‫על‬ ‫הפיתוח‬ ‫מבוצע‬ ‫כיום‬ .‫חברתיות‬ ‫לרשתות‬ ‫המפותחות‬ ‫במערכות‬ ‫רואים‬ ‫בעיות‬ ‫של‬ ‫אחר‬ ‫סוג‬
‫במתכונת‬ ‫פיתוח‬ ‫לבין‬ ‫בינו‬ ‫שהמרחק‬ ‫מאוד‬ ‫קטן‬ ‫תוכנה‬ ‫בית‬ ‫ידי‬
SDLC
‫אופי‬ ‫בגלל‬ .‫מאוד‬ ‫גדול‬
‫בדרישות‬ ‫לעמוד‬ ‫זה‬ ‫תוכנה‬ ‫בית‬ ‫נדרש‬ ,‫והאיומים‬ ‫הארגון‬
‫של‬ ‫הפיתוח‬
SDLC
‫זו‬ ‫דרישה‬ .
‫פי‬ ‫מסויימים‬ ‫קמפיינים‬ ‫של‬ ‫לאוויר‬ ‫העליה‬ ‫זמן‬ ‫את‬ ‫האריכה‬
6
‫ב‬ .)!!( ‫מהמתוכנן‬
‫עסקיים‬ ‫מובנים‬
‫גבוה‬ ‫מחיר‬ ‫על‬ ‫מדובר‬
‫ש‬ ‫שהארגון‬
‫י‬
.‫מידע‬ ‫אבטחת‬ ‫של‬ ‫גבוהים‬ ‫סטנדרטים‬ ‫על‬ ‫לשמור‬ ‫כדי‬ ‫לם‬
‫של‬ ‫מהצד‬ ‫אחר‬ ‫משתתף‬
‫עסקי‬ ‫בארגון‬
‫מאוד‬ ‫הרבה‬ ‫יש‬ ‫בארגונו‬ ‫כי‬ ‫סיפר‬
‫פיתוח‬
‫נ‬ ‫בעלות‬ ‫במערכות‬ ‫והן‬ ‫פנימיות‬ ‫במערכות‬ ‫הן‬ ‫בארגון‬ ‫פנימי‬
‫י‬
‫אינטרנט‬ ‫ראות‬
‫ית‬
.
‫לא‬ ‫זה‬ ‫ארגון‬
‫לכפות‬ ‫קשה‬ .‫המידע‬ ‫אבטחת‬ ‫גוף‬ ‫על‬ ‫מאוד‬ ‫מקשה‬ ‫והדבר‬ ‫משמעותיות‬ ‫לרגולציות‬ ‫כפוף‬
‫תחרות‬ ‫שיקולי‬ ‫הם‬ ‫הפרוייקטים‬ ‫ברוב‬ ‫המובילים‬ ‫והשיקולים‬ ‫מאובטח‬ ‫ופיתוח‬ ‫עבודה‬ ‫תהליכי‬
‫גם‬ .‫עסקיים‬ ‫ושיקולים‬
‫עם‬ ‫להתמודדות‬ ‫הקשור‬ ‫בכל‬ ‫פשוטה‬ ‫לא‬ ‫מאוד‬ ‫בעיה‬ ‫יש‬ ‫זה‬ ‫בארגון‬
‫המפותחות‬ ‫מערכות‬
.‫הארגון‬ ‫של‬ ‫עסקיים‬ ‫שותפים‬ ‫ידי‬ ‫על‬
‫של‬ ‫רב‬ ‫מספר‬ ‫על‬ ‫מספר‬ ‫זה‬ ‫משתתף‬
.‫מתאימים‬ ‫סטנדרטים‬ ‫לפי‬ ‫פותחו‬ ‫לא‬ ‫אשר‬ '‫ג‬ ‫צד‬ ‫מערכות‬ ‫עם‬ ‫בשילוב‬ ‫לאוויר‬ ‫שעלו‬ ‫מערכות‬
‫ה‬ ‫בסדר‬ ‫מוריד‬ "‫ראשון‬ ‫"להיות‬ ‫העסקי‬ ‫והרצון‬ ‫הזמן‬ ‫לחץ‬
‫ברוב‬ .‫האבטחה‬ ‫שיקולי‬ ‫את‬ ‫עדיפויות‬
‫חדירות‬ ‫בדיקות‬ ‫נעשות‬ ‫המקרים‬
‫לאחר‬
.‫לאוויר‬ ‫העליה‬
‫נמצאו‬ ‫בעבר‬ ‫מסויימים‬ ‫במקרים‬
‫מקרה‬ ‫בשום‬ ‫אולם‬ ,‫תיקונים‬ ‫ונדרשו‬ ‫אבטחתיות‬ ‫וחולשות‬ ‫לקויים‬ ‫עם‬ ‫מערכות‬
‫ירדה‬ ‫לא‬
‫מהאוויר‬
‫ליקויי‬ ‫בשל‬ ‫מערכת‬
‫בה‬ ‫שנמצאו‬ ‫אבטחה‬
.

‫מידע‬ ‫אבטחת‬ ‫נאמן‬
‫פיננסי‬ ‫בגוף‬
‫המידע‬ ‫אבטחת‬ ‫לגוף‬ ‫הפיתוח‬ ‫גופי‬ ‫בין‬ ‫מאוד‬ ‫טוב‬ ‫פעולה‬ ‫שיתוף‬ ‫קיים‬ ‫מסויים‬
.
‫פרוייקטים‬ ‫ללות‬ ‫וכן‬ ‫הייזום‬ ‫בשלב‬ ‫כבר‬ ‫המידע‬ ‫אבטחת‬ ‫צוות‬ ‫את‬ ‫לשלב‬ ‫נכונות‬ ‫יש‬ ‫זה‬ ‫בגוף‬
‫גוף‬ ‫נציג‬ .‫קיימים‬
‫בקרב‬ ‫מודעות‬ ‫בחוסר‬ ‫נתקל‬ ‫הוא‬ ‫כי‬ ‫מספר‬ ‫זה‬ ‫בגוף‬
‫קש‬ ‫וכי‬ ‫מידע‬ ‫אבטחת‬ ‫לנושאי‬ ‫בארגון‬ ‫מתכנתים‬
‫השקעה‬ ‫ללא‬ ‫בנושא‬ ‫דרמטי‬ ‫לשינוי‬ ‫להביא‬ ‫ה‬
.‫גדולה‬ ‫תקציבית‬
‫בגוף‬ ‫השימוש‬ ‫הוא‬ ‫נוסף‬ ‫אלמנט‬
QA
.‫מידע‬ ‫אבטחת‬ ‫לנושאי‬ ‫מודעות‬ ‫בעל‬
‫מאוד‬ ‫אשר‬ ,‫מטריקס‬ ‫חברת‬ ‫של‬ ‫הבדיקות‬ ‫בשירותי‬ ‫שימוש‬ ‫עושים‬ ‫הם‬ ‫כי‬ ‫סיפר‬ ‫זה‬ ‫משתתף‬
.‫המידע‬ ‫אבטחת‬ ‫לתחום‬ ‫מודעים‬
‫עובד‬ ‫לשלב‬ ‫ראוי‬ ‫היה‬ ‫אידאלי‬ ‫במצב‬
QA
‫לנ‬ ‫יעודי‬
‫ושאי‬
‫שעובד‬ "‫"הרגילות‬ ‫הבדיקות‬ ‫סט‬ ‫שכן‬ ,‫מידע‬ ‫אבטחת‬
QA
‫אבטחת‬ ‫לבדיקות‬ ‫זהות‬ ‫אינן‬ ‫מבצע‬
.‫מידע‬
‫מתודולוגיית‬ ‫לפי‬ ‫עובדים‬ ‫זה‬ ‫בארגון‬
SDLC
.‫ורגישים‬ ‫חשובים‬ ‫בפרוייקטים‬
‫נוסף‬ ‫אלמנט‬
‫בתוך‬ ‫מידע‬ ‫אבטחת‬ ‫רפרנט‬ ‫שיהווה‬ ‫פיתוח‬ ‫איש‬ ‫רתימת‬ ‫הוא‬ ‫מאובטח‬ ‫לפיתוח‬ ‫חשוב‬ ‫ומאוד‬
‫הפיתוח‬ ‫גוף‬
‫גו‬ ‫נציג‬ .
‫ף‬
‫הפיתוח‬
‫הוא‬ ‫השאר‬ ‫בין‬ .‫מידע‬ ‫אבטחת‬ ‫רפרנט‬ ‫מהווה‬ ‫זה‬ ‫בארגון‬
‫מעורב‬
.‫קוד‬ ‫ולסקירת‬ ‫לפיתוח‬ ‫הקשורים‬ ‫המידע‬ ‫אבטחת‬ ‫נהלי‬ ‫בכתיבת‬
‫גוף‬ ‫נציגי‬
‫הפיתוח‬ ‫בין‬ ‫הפעולה‬ ‫שיתוף‬ ‫חשיבות‬ ‫על‬ ‫סיפרו‬ ‫פיננסי‬ ‫בארגון‬
" .‫בארגונם‬ ‫הנעשה‬ ‫על‬ ‫והרחיבו‬ ‫המידע‬ ‫לאבטחת‬
‫חוטפים‬ ‫כולם‬ ‫תקלה‬ ‫כשיש‬
‫שהיה‬ ‫בארוע‬ ."
‫כל‬ ‫ותוזזו‬ ‫הוקפצו‬ ‫מסויימת‬ ‫במערכת‬ ‫אבטחתית‬ ‫תקלה‬ ‫על‬ ‫בתקשורת‬ ‫דווח‬ ‫ובו‬ ‫שנים‬ ‫כמה‬ ‫לפני‬
‫בדיעבד‬ .‫התקלה‬ ‫מקור‬ ‫את‬ ‫ולאתר‬ ‫לנסות‬ ‫כדי‬ ‫רק‬ ‫ימים‬ ‫כמה‬ ‫במשך‬ ‫בארגון‬ ‫הקשורים‬ ‫הגורמים‬
‫עבוד‬ ‫של‬ ‫הכוללת‬ ‫העלות‬ ‫אך‬ ,‫נזק‬ ‫כלל‬ ‫נגרם‬ ‫שלא‬ ‫התברר‬
‫הון‬ ‫עלתה‬ ‫המיותרת‬ ‫הבדיקה‬ ‫ת‬
.
‫ממ‬ ‫זו‬ ‫דוגמא‬
‫השונים‬ ‫הגופים‬ ‫בין‬ ‫יומיומית‬ ‫ברמה‬ ‫משותפת‬ ‫בעבודה‬ ‫הצורך‬ ‫את‬ ‫חישה‬
.‫מערכות‬ ‫ותחזוקת‬ ‫לפיתוח‬ ‫הקשורים‬
‫ב‬
‫זה‬ ‫ארגון‬
‫אמינות‬ ‫על‬ ‫חזק‬ ‫דגש‬ ‫ישנו‬
‫דגש‬ .‫השירותים‬
‫זה‬
‫את‬ ‫העדיפויות‬ ‫בסדר‬ ‫מקדם‬
‫כל‬
‫מידע‬ ‫אבטחת‬ ‫של‬ ‫התחום‬
‫ולכן‬
‫הארגון‬
"
‫לעצמו‬ ‫להרשות‬ ‫יכול‬
"
‫עם‬ ‫מידע‬ ‫אבטחת‬ ‫אנשי‬ ‫מספר‬
‫בעולם‬ ‫התמחות‬
‫הפיתוח‬ ‫לגופי‬ ‫מוסף‬ ‫ערך‬ ‫שירותי‬ ‫נותנים‬ ‫אלה‬ ‫אנשים‬ .‫האפליקטיבי‬
‫ואף‬
‫הצורך‬ ‫במידת‬ ‫בעייתיים‬ ‫קוד‬ ‫קטעי‬ ‫בעצמם‬ ‫כותבים‬
.
‫בארגון‬
‫זה‬
‫מתודולוגיות‬ ‫פי‬ ‫על‬ ‫עובדים‬
SDLC
‫פי‬ ‫על‬
best practices
‫ארגון‬ ‫של‬
OWASP
‫פי‬ ‫על‬ ‫ופועלים‬
‫עקרונות‬
CWE
–
.‫במערכות‬ ‫פגיעות‬ ‫בדיקת‬ ‫תקן‬
‫בארגון‬
‫גם‬ .‫הפרוייקט‬ ‫מתחילת‬ ‫כבר‬ ‫מידע‬ ‫אבטחת‬ ‫של‬ ‫נציג‬ ‫מערבים‬
‫כאן‬
‫הארגונים‬ ‫ברוב‬ ‫כמו‬ ,
.‫מתחילתם‬ ‫כבר‬ ‫החדשים‬ ‫הפרוייקטים‬ ‫כל‬ ‫על‬ ‫לדעת‬ ‫יכולת‬ ‫המידע‬ ‫אבטחת‬ ‫לגוף‬ ‫אין‬ ,‫במשק‬
,‫המידע‬ ‫אבטחת‬ ‫של‬ "‫מהרדאר‬ ‫"שנעלמים‬ ‫הפרוייקטים‬ ‫מספר‬ ‫את‬ ‫למינימום‬ ‫לצמצם‬ ‫כדי‬
‫עבודה‬ ‫נהלי‬ ‫מוגדרים‬
‫הפרוייקטים‬ ‫וניהול‬ ‫הפיתוח‬ ‫לצוותי‬
‫האבטחה‬ ‫לגוף‬ ‫לדווח‬ ‫יש‬ ‫פיהם‬ ‫ועל‬
‫פרו‬ ‫כל‬ ‫על‬
.‫חדש‬ ‫ייקט‬

‫חשובות‬ ‫מפתח‬ ‫בנקודות‬ ‫האבטחה‬ ‫אנשי‬ ‫מעורבים‬ ‫התהליך‬ ‫את‬ ‫ולייעל‬ ‫העומס‬ ‫את‬ ‫להוריד‬ ‫כדי‬
:‫בפרוייקט‬
‫הייזום‬ ‫בשלב‬
–
,‫וראשונית‬ ‫עקרונית‬ ‫מעורבות‬
‫האיפיון‬ ‫שלב‬
–
‫מידע‬ ‫אבטחת‬ ‫של‬ ‫הערות‬ ‫מתן‬
,‫הצורך‬ ‫במידת‬
‫ב‬
‫הפיתוח‬ ‫שלב‬
–
‫שהוא‬
‫הפרוייקט‬ ‫של‬ ‫הגדול‬ ‫החלק‬
,‫בדר"כ‬
‫א‬
‫המידע‬ ‫בטחת‬
‫מע‬ ‫פחות‬
.‫ורבת‬
‫הבדיקות‬ ‫שלב‬
–
‫סיום‬ ‫לאחר‬ ‫הקוד‬ ‫בבדיקות‬ ‫מחדש‬ ‫משתלבת‬
‫הראשון‬ ‫הפיתוח‬ ‫מחזור‬
.
‫כלים‬ ‫בעזרת‬ ‫אוטומטיות‬ ‫קוד‬ ‫בדיקות‬ ‫מבוצעות‬ ‫הבא‬ ‫בשלב‬
‫י‬ ‫זה‬ ‫בשלב‬ .‫אוטומטיים‬
‫ו‬
‫את‬ ‫שבוחן‬ ‫המידע‬ ‫אבטחת‬ ‫איש‬ ‫שב‬
‫ומ‬ ‫המתכנת‬ ‫עם‬ ‫הממצאים‬
‫סביר‬
"‫ו"לגייס‬ ‫להבנה‬ ‫להביא‬ ‫היא‬ ‫השאיפה‬ .‫הממצאים‬ ‫את‬ ‫לו‬
‫לחשיבה‬ ‫הפיתוח‬ ‫אנשי‬ ‫את‬
."‫מידע‬ ‫אבטחת‬ ‫לנאמן‬ ‫הפיתוח‬ ‫איש‬ ‫"הופכים‬ .‫יותר‬ ‫אבטחתית‬
"
‫איש‬ ‫עם‬ ‫הישיבה‬ ‫חשיבות‬
‫במערכת‬ ‫הפיתוח‬ ‫עבודת‬ ‫את‬ ‫לייעל‬ ‫והרצון‬ ‫שלהם‬ ‫הטבעית‬ ‫הסקרנות‬ .‫עצומה‬ ‫היא‬ ‫הפיתוח‬
‫המקרים‬ ‫ברוב‬ ‫מאוד‬ ‫טוב‬ ‫פעולה‬ ‫לשיתוף‬ ‫מביאה‬ ‫הבאה‬
"
.
‫הממצאים‬
‫לתיעו‬ ‫עוברים‬ ‫הבדיקות‬ ‫בשלב‬ ‫שעלו‬
‫סיכונים‬ ‫לניהול‬ ‫במערכת‬ ‫ומעקב‬ ‫ד‬
.
‫הוא‬ ‫המידע‬ ‫אבטחת‬ ‫מבחינת‬ ‫האחרון‬ ‫השלב‬
‫החדירות‬ ‫בדיקות‬ ‫שלב‬
(
PT
)
-
‫שלב‬
‫מיושם‬ ‫זה‬
‫סבב‬ ‫לפחות‬ ‫שעברה‬ ‫מאוד‬ ‫בשלה‬ ‫קוד‬ ‫גרסת‬ ‫על‬
QA
.‫אחד‬
‫שאלנו‬ ,‫הגופים‬ ‫שני‬ ‫בין‬ ‫הפעולה‬ ‫שיתוף‬ ‫על‬ ‫מושג‬ ‫לקבל‬ ‫לנסות‬ ‫כדי‬
‫ההיגוי‬ ‫בצוות‬ ‫קיים‬ ‫האם‬
‫נצ‬ ‫בארגון‬ ‫מידע‬ ‫אבטחת‬ ‫של‬
‫הפיתוח‬ ‫אגף‬ ‫של‬ ‫יג‬
‫העבודה‬ ‫וסדרי‬ ‫הנהלים‬ ‫נקבעים‬ ‫זו‬ ‫בוועדה‬ .
‫נהלים‬ ‫שם‬ ‫נקבעים‬ ‫כן‬ ‫כמו‬ .‫מידע‬ ‫אבטחת‬ ‫מדיניות‬ ‫ליישום‬ ‫הקשור‬ ‫בכל‬ ‫בארגון‬ ‫הרוחביים‬
‫מידע‬ ‫אבטחת‬ ‫(נציג‬ ‫ההפוך‬ ‫שהמצב‬ ,‫ברור‬ .‫חשובות‬ ‫ארגוניות‬ ‫ומערכות‬ ‫לפרוייקטים‬ ‫ספיציפיים‬
‫עד‬ ‫לראות‬ ‫הדרך‬ .‫מתקיים‬ )‫פיתוח‬ ‫בנושאי‬ ‫בישיבות‬
‫פעולה‬ ‫בשיתוף‬ ‫הגופים‬ ‫שני‬ ‫עובדים‬ ‫כמה‬
‫של‬ ‫ההיגוי‬ ‫בוועדת‬ ‫הפיתוח‬ ‫אנשי‬ ‫של‬ ‫השוטפת‬ ‫המעורבות‬ ‫את‬ ‫לבחון‬ ,‫השאר‬ ‫בין‬ ,‫היא‬ ‫טוב‬
.‫המידע‬ ‫אבטחת‬
:‫הבא‬ ‫בתרשים‬ ‫מתוארת‬ ‫במפגש‬ ‫התשובות‬ ‫התפלגות‬
‫קיים‬
–
‫מגיע‬
‫לישיבות‬
‫קבוע‬ ‫באופן‬
‫שת‬ ‫ויש‬
"
‫פ‬
‫פורה‬
20%
‫באופן‬ ‫קיים‬ ‫לא‬
‫בצוות‬ ‫קבוע‬
‫ההיגוי‬
–
‫על‬ ‫מגיע‬
‫ויש‬ ‫צורך‬ ‫פי‬
‫שת‬
"
‫פורה‬ ‫פ‬
40%
‫קיים‬
–
‫תמיד‬ ‫לא‬
‫לישיבות‬ ‫מגיע‬
13%
‫אחר‬

‫לא‬
‫קיים‬
27%
‫הפיתוח‬ ‫אגף‬ ‫נציג‬ ‫אצלכם‬ ‫קיים‬ ‫האם‬
‫אבטחת‬ ‫של‬ ‫הכללי‬ ‫ההיגוי‬ ‫בצוות‬
‫המידע‬
?

‫ב‬ ‫כי‬ ‫ללמוד‬ ‫ניתן‬ ‫מהתרשים‬
60%
‫הפיתוח‬ ‫נציגי‬ ‫של‬ ‫מספקת‬ ‫נוכחות‬ ‫קיימת‬ ‫מהארגונים‬
‫ש‬ ‫ההיגוי‬ ‫בפורום‬
.‫המידע‬ ‫אבטחת‬ ‫ל‬
‫ב‬
40%
‫הפיתוח‬ ‫נציגי‬ ‫של‬ ‫מספקת‬ ‫נוכחות‬ ‫אין‬ ‫מהארגונים‬
.‫הגופים‬ ‫בין‬ ‫מספיק‬ ‫פעולה‬ ‫שיתוף‬ ‫העדר‬ ‫על‬ ,‫אולי‬ ,‫המרמז‬ ‫מצב‬ ,‫ההיגוי‬ ‫בוועדת‬
‫בפיתוח‬ ‫המידע‬ ‫אבטחת‬ ‫תקציב‬
‫למחזור‬ ‫הקשור‬ ‫בכל‬ ‫המידע‬ ‫אבטחת‬ ‫תיקצוב‬ ‫נושא‬ ‫לגבי‬ ‫המשתתפים‬ ‫נשאלו‬ ‫הדיון‬ ‫כל‬ ‫לאורך‬
‫מערכות‬ ‫של‬ ‫הפיתוח‬
.‫חדשות‬
‫לדעת‬ ‫אותנו‬ ‫עניין‬ ‫במיוחד‬
‫הוא‬ ‫התקציב‬ ‫האם‬
‫מתקציב‬ ‫חלק‬
,
‫בארגון‬ ‫המידע‬ ‫אבטחת‬ ‫מתקציב‬ ‫חלק‬
‫שלא‬ ‫או‬
‫ספציפי‬ ‫תקציב‬ ‫מוגדר‬
‫לנושא‬
?
‫כי‬ ‫עולה‬ ‫בדיון‬ ‫שהשתתפו‬ ‫הארגונים‬ ‫בקרב‬ ‫מבדיקה‬
‫ב‬
%
48
‫אבטחת‬ ‫תקציב‬ ,‫מהמקרים‬
‫הפרוייקט‬ ‫תקציב‬ ‫בתוך‬ ‫מגולם‬ ‫המידע‬
‫ב‬ ‫הטיפול‬ ‫של‬ ‫העלות‬ ‫(כלומר‬
‫מתוך‬ ‫הנה‬ ‫מידע‬ ‫אבטחת‬
‫לעניין‬ ‫ספציפי‬ ‫תקציבי‬ ‫סעיף‬ ‫אין‬ ‫המקרים‬ ‫שברב‬ ‫למרות‬ ,‫הפיתוח‬ ‫תקציב‬
)
,
‫ב‬
%
38
‫מהמקרים‬
‫ב‬ ‫ואילו‬ ‫המידע‬ ‫אבטחת‬ ‫גוף‬ ‫מתקציב‬ ‫חלק‬ ‫על‬ ‫מדובר‬
%
14
‫מוגדר‬ ‫תקציב‬ ‫אין‬ ‫מהמקרים‬
‫אחרים‬ ‫ממקורות‬ ‫תקציב‬ ‫שנמצא‬ ‫או‬ ‫הפיתוח‬ ‫בתהליך‬ ‫המידע‬ ‫אבטחת‬ ‫לנושא‬
.
‫מכיוון‬ :‫הערה‬
‫הארג‬ ‫שברוב‬
‫על‬ ‫מדובר‬ ,‫הפרוייקט‬ ‫בתוך‬ ‫מידע‬ ‫אבטחת‬ ‫תקצוב‬ ‫של‬ ‫נפרד‬ ‫סעיף‬ ‫אין‬ ‫ונים‬
.‫בלבד‬ ‫הערכה‬
:‫הבא‬ ‫בתרשים‬ ‫מסוכמים‬ ‫הממצאים‬
‫בפורום‬ ‫שעלתה‬ ‫אחרת‬ ‫שאלה‬
‫מתוך‬ ‫מידע‬ ‫אבטחת‬ ‫לנושאי‬ ‫המוגדר‬ ‫היחסי‬ ‫החלק‬ ‫מהו‬ ‫היא‬
‫בארגון‬ ‫הפרוייקטים‬ ‫תקציב‬ ‫כלל‬
‫חולק‬ ‫זה‬ ‫סעיף‬ .
‫חדשים‬ ‫פרוייקטים‬ :‫עיקריים‬ ‫סעיפים‬ ‫למספר‬
‫מהסביבות‬ ‫סביבה‬ ‫לכל‬ ‫האומדן‬ ‫את‬ ‫לבצע‬ ‫המשתתפים‬ ‫התבקשו‬ ‫כן‬ ‫כמו‬ .‫קיימים‬ ‫ופרוייקטים‬
48%
‫בארגון‬
38%
‫תקציב‬ ‫מוגדר‬ ‫לא‬
‫ספציפי‬

‫אחר‬
14%
‫בכל‬ ‫המידע‬ ‫אבטחת‬ ‫נושא‬ ‫מתוקצב‬ ‫איך‬
‫בארגון‬ ‫חדש‬ ‫לפרוייקט‬ ‫הקשור‬
?

‫פרוייקטי‬ :‫הבאות‬
Main-Frame
‫ופרוייקטים‬ ‫פנימיות‬ ‫פתוחות‬ ‫במערכות‬ ‫פרוייקטים‬ ,
:‫הבאה‬ ‫בטבלה‬ ‫מרוכזים‬ ‫הממצאים‬ .‫האינטרנט‬ ‫לסביבת‬ ‫הפונות‬ ‫פתוחות‬ ‫במערכות‬
‫אבטחת‬ ‫על‬ ‫ההוצאה‬ ‫אחוז‬
‫סך‬ ‫מתוך‬ ‫מידע‬
‫התקציב‬
‫של‬
‫נתון‬ ‫פרוייקט‬
‫בפרוייקטים‬
‫חדשים‬
‫בפרוייקטים‬
‫קיימים‬
)‫(תחזוקה‬
‫בסביבת‬ ‫פרוייקט‬
MF
1.33%
1.5%
‫פנימיות‬ ‫במערכות‬ ‫פרוייקט‬

‫אינטראנט‬
‫הפתוחה‬ ‫בסביבה‬
5.45%
4.15%
‫במערכות‬ ‫פרוייקט‬
‫אינטרנט‬
9.33%
7.25%
‫בהם‬ ‫ארגונים‬ ‫שישנם‬ ‫לראות‬ ‫וניתן‬ ‫יחסית‬ ‫גבוהה‬ ‫הייתה‬ ‫בתשובות‬ ‫השונות‬
‫על‬ ‫ההוצאה‬ ‫אחוז‬
‫מתוך‬ ‫מידע‬ ‫אבטחת‬
‫בין‬ ‫לנוע‬ ‫יכול‬ ‫הפרוייקט‬ ‫תקציב‬ ‫סך‬
0%
‫בפרוייקטי‬
MF
‫ועד‬
40%
‫או‬
50%
.‫רגישות‬ ‫אינטרנט‬ ‫באפליקציות‬
‫פרט‬ ‫פרמטרים‬ ‫מעוד‬ ‫נגזרות‬ ‫לפרוייקט‬ ‫המידע‬ ‫אבטחת‬ ‫תשומות‬ ‫כי‬ ‫ציינו‬ ‫מהמשתתפים‬ ‫חלק‬
‫לפי‬ ‫משאבים‬ ‫חלוקת‬ ‫על‬ ‫סיפרו‬ ‫מסויים‬ ‫פיננסי‬ ‫בארגון‬ :‫הסביבה‬ ‫לאופי‬
‫המערכת‬ ‫סיכון‬ ‫לפי‬
‫כפי‬
‫סיכונים‬ ‫לניהול‬ ‫הארגונית‬ ‫במערכת‬ ‫הוגדר‬ ‫שזה‬
.
‫נוסף‬ ‫שיקול‬
‫התשומות‬ ‫היקף‬ ‫לקביעת‬
‫הוא‬
‫המערכת‬ ‫עם‬ ‫ההכרות‬ ‫מידת‬
‫מערכו‬ .‫המפותחת‬
‫ידי‬ ‫על‬ ‫למידה‬ ‫דורשות‬ ‫אשר‬ ‫מוכרות‬ ‫לא‬ ‫ת‬
‫והפיתוח‬ ‫המידע‬ ‫אבטחת‬ ‫צוות‬
‫נוסף‬ ‫תקציב‬ ‫יחייבו‬
‫ה‬ ‫בעולם‬ ‫חדשות‬ ‫מערכות‬ ‫הן‬ ‫למשל‬ ‫כאלה‬ .
mobile
.
‫בשימוש‬ ‫לטכנולוגיות‬ ‫דוגמאות‬
‫כ‬ ‫ארך‬ ‫בארגונים‬ ‫בשימוש‬ ‫וכלים‬ ‫טכנולוגיות‬ ‫על‬ ‫הדיון‬
20
.‫בלבד‬ ‫דקות‬
‫בעיות‬ ‫שיש‬ ‫רושם‬ ‫עושה‬
‫דחופות‬
.‫עצמה‬ ‫מהטכנולוגיה‬ ‫בתחום‬ ‫יותר‬
‫את‬ ‫למנות‬ ‫ניתן‬ ‫חיובי‬ ‫לאיזכור‬ ‫זכו‬ ‫שכן‬ ‫הפתרונות‬ ‫מבין‬
Checkmarx
‫לפיתרון‬ ‫נחשבים‬ ‫אשר‬
‫היו‬ ‫הזה‬ ‫המוצר‬ ‫את‬ ‫שציין‬ ‫ממי‬ ‫הביקורות‬ .‫האוטומטיות‬ ‫הקוד‬ ‫בדיקות‬ ‫לתחום‬ ‫וטוב‬ ‫מוכר‬
.‫מאוד‬ ‫טובות‬

‫הוא‬ ‫אחר‬ ‫פיתרון‬
Versafe
–
‫ו‬ ‫קוד‬ ‫לבדיקת‬ ‫יכולות‬ ,‫השאר‬ ‫בין‬ ,‫הכוללים‬ ‫פתרונות‬ ‫של‬ ‫סויטה‬
QA
.‫אבטחתי‬
‫הישראלית‬ ‫הייעוץ‬ ‫חברת‬ ‫של‬ ‫המייסדים‬ ‫ידי‬ ‫על‬ ‫פותח‬ ‫המוצר‬
Bugsec
.‫חדירות‬ ‫ומבדקי‬ ‫קוד‬ ‫בבדיקות‬ ‫המתמחה‬
‫בשם‬ ‫מוצר‬ ‫הוא‬ ‫שהוזכר‬ ‫אחר‬ ‫מוצר‬
Seeker
‫חברת‬ ‫מייסדי‬ ‫ידי‬ ‫על‬ ‫שפותח‬
Hacktics
‫גם‬ ‫אשר‬
‫המ‬ ‫בפיתרון‬ ‫מדובר‬ ‫כאן‬ .‫אבטחה‬ ‫וסקרי‬ ‫למערכות‬ ‫חדירות‬ ‫מבדקי‬ ‫בביצוע‬ ‫מתמחה‬ ‫היא‬
‫ריץ‬
.‫בהן‬ ‫פגיעויות‬ ‫לאתר‬ ‫כוונה‬ ‫מתוך‬ ‫בפיתוח‬ ‫מערכות‬ ‫על‬ ‫מדומות‬ ‫התקפות‬ ‫מהמקרים‬ ‫בחלק‬
‫להקל‬ ‫יודע‬ ‫הפיתרון‬
‫הלמידה‬ ‫בתהליך‬ ‫יפה‬ ‫בצורה‬ ‫ולהשתלב‬ ‫המתקפה‬ ‫של‬ ‫תיחקור‬ ‫ולבצע‬ ‫יט‬
.‫הפיתוח‬ ‫אופן‬ ‫את‬ ‫ולשפר‬ ‫המערכת‬ ‫פיתוח‬ ‫של‬
‫פתרונות‬ ‫מול‬ ‫מידע‬ ‫אבטחת‬ ‫מדיניות‬ ‫אכיפת‬ ‫של‬ ‫בהקשר‬ ‫שהוזכר‬ ‫מעניין‬ ‫פיתרון‬
open
source
‫ארגוניים‬ ‫חוץ‬ ‫גורמים‬ ‫ידי‬ ‫על‬ ‫שפותחו‬ ‫ויישומים‬
‫פתוח‬ ‫קוד‬ ‫איתור‬ ‫של‬ ‫בהקשר‬ ‫בייחוד‬ ,
‫ובחינת‬
,‫זה‬ ‫קוד‬ ‫של‬ ‫הרישוי‬ ‫סוג‬ ‫של‬ ‫המשמעויות‬
‫של‬ ‫הוא‬
Blackduck
.
‫הבעייתים‬ ‫החלקים‬ ‫של‬ ‫בהלבנה‬ ‫לסייע‬ ‫מסוגל‬ ‫הוא‬ ‫כי‬ ‫סיפר‬ ‫הזה‬ ‫הפיתרון‬ ‫את‬ ‫שציין‬ ‫המשתתף‬
‫בתצורת‬ ‫הכלי‬ ‫מיושם‬ ‫זה‬ ‫בארגון‬ .‫המקור‬ ‫בקוד‬
SAAS
.‫עלות‬ ‫משיקולי‬ ‫בשנה‬ ‫פעם‬
‫במפג‬
‫הוזכרו‬ ‫ש‬
‫בקצרה‬
‫נוספים‬ ‫כלים‬ ‫כמה‬
‫כגון‬
HP Dynamic Web Analyzer
,
Fortify
.‫ואחרים‬
‫באקדמיה‬ ‫מידע‬ ‫אבטחת‬
‫שאלת‬ ‫סביב‬ ‫נסוב‬ ‫מידע‬ ‫לאבטחת‬ ‫הישראלי‬ ‫בפורום‬ ‫כיום‬ ‫הגדולים‬ ‫הויכוחים‬ ‫אחד‬
.‫המידע‬ ‫אבטחת‬ ‫מקצוע‬ ‫של‬ ‫האקדמיזציה‬
‫אין‬ ‫האקדמי‬ ‫במישור‬
‫כיום‬
‫מנהל‬ ‫של‬ ‫לפעילותו‬ ‫הנדרש‬ ‫הרקע‬ ‫את‬ ‫המסדירה‬ ‫מסגרת‬ ‫למעשה‬
‫בארגון‬ ‫המידע‬ ‫אבטחת‬
‫רלוונטיות‬ ‫בינלאומיות‬ ‫הסמכות‬ ‫למעט‬ ,
‫אקדמית‬ ‫מסגרת‬ ‫בשום‬ ‫כן‬ ‫כמו‬ .
‫בפעילות‬ ‫העוסקים‬ ‫מקצוע‬ ‫מאנשי‬ ‫הנדרש‬ ‫האבטחתי‬ ‫הרקע‬ ‫מוסדר‬ ‫לא‬
‫משיקה‬ ‫או‬ ‫הקשורה‬
‫מנ‬ ,‫סיסטם‬ ‫אנשי‬ ,‫פיתוח‬ ‫(אנשי‬ ‫בארגון‬ ‫המידע‬ ‫אבטחת‬ ‫להיבטי‬
.)‫הלאה‬ ‫וכן‬ ‫מערכות‬ ‫תחי‬
‫מקצועי‬ ‫ורקע‬ ‫הבנה‬ ‫חוסר‬ :‫זה‬ ‫במסמך‬ ‫הקודמים‬ ‫מהסעיפים‬ ‫בחלק‬ ‫לראות‬ ‫ניתן‬ ‫התוצאה‬ ‫את‬
.‫השני‬ ‫של‬ ‫העיסוק‬ ‫בתחום‬ ‫אחד‬ ,‫והפיתוח‬ ‫האבטחה‬ ‫אנשי‬ ‫של‬
‫המידע‬ ‫אבטחת‬ ‫מהאנשי‬ ‫חלק‬ ?‫הויכוח‬ ‫מה‬ ‫על‬
‫בפורום‬
‫אבטחת‬ ‫לימודי‬ ‫ללמד‬ ‫יש‬ ‫כי‬ ‫טוענים‬
‫פורמלי‬ ‫באופן‬ ‫מידע‬
‫ב‬ ‫העומד‬ ‫כמקצוע‬
‫באקדמיה‬ ‫עצמו‬ ‫פני‬
‫י‬ ‫התואר‬ ‫מסיים‬ .
‫אקדמי‬ ‫באישור‬ ‫זכה‬
‫כאיש‬ ‫בעיסוק‬ ‫ויתרון‬
‫עולם‬ ‫של‬ ‫אחרים‬ ‫היבטים‬ ‫במגוון‬ ‫מקצועי‬ ‫רקע‬ ‫קבלת‬ ‫תוך‬ ,‫מידע‬ ‫אבטחת‬
.‫המיחשוב‬
‫המידע‬ ‫אבטחת‬ ‫לימודי‬ ‫את‬ ‫לשלב‬ ‫יש‬ ‫כי‬ ‫גורסת‬ ‫השניה‬ ‫הקבוצה‬
‫לימודים‬ ‫מתוכנית‬ ‫כחלק‬
‫המחשב‬ ‫מקצועות‬ ‫של‬ ‫סטנדרטית‬
‫במס‬ ‫זאת‬ ‫לעשות‬ ‫ניתן‬ .
‫כהתמחות‬ ‫או‬ ‫בסיסיים‬ ‫קורסים‬ ‫פר‬

‫יובטח‬ ‫גם‬ ‫כך‬ .)‫המידע‬ ‫אבטחת‬ ‫כאיש‬ ‫מקצועית‬ ‫הסמכה‬ ‫לקבל‬ ‫בה‬ ‫למחזיקים‬ ‫תאפשר‬ ‫(אשר‬
‫בארגון‬ ‫מידע‬ ‫אבטחת‬ ‫לאיש‬ ‫הדרוש‬ ‫הטכני‬ ‫הרקע‬
‫אנשי‬ ‫לשאר‬ ‫אבטחה‬ ‫בנושאי‬ ‫הנחוץ‬ ‫והרקע‬
.‫המחשב‬ ‫מקצועות‬
‫הטכני‬ ‫והרקע‬ ‫ההכשרה‬ ‫נושא‬ ‫הסדרת‬ ,‫מקום‬ ‫מכל‬
‫כך‬ ‫הכל‬ ‫בתפר‬ ‫גם‬ ‫מאוד‬ ‫יקלו‬
‫בעייתי‬
‫בין‬
.‫הארגון‬ ‫לטובת‬ ‫המשותפת‬ ‫העבודה‬ ‫את‬ ‫ויקדמו‬ ‫בארגון‬ ‫אחרים‬ ‫לגורמים‬ ‫המידע‬ ‫אבטחת‬ ‫אנשי‬
‫פיתוח‬/‫המידע‬ ‫אבטחת‬ ‫יחסי‬ ‫לשיפור‬ ‫והמלצות‬ ‫טיפים‬
:‫פיתוח‬ ‫של‬ ‫בהקשר‬ ‫המידע‬ ‫אבטחת‬ ‫לשיפור‬ ‫טיפים‬ ‫מספר‬ ‫עלו‬ ‫בדיון‬

‫השני‬ ‫עם‬ ‫אחד‬ ‫ודברו‬ ‫שבו‬
-
‫ה‬ ‫מתחום‬ ‫משתתף‬
‫פיתוח‬
‫אבטחת‬ ‫ומנהל‬ ‫הוא‬ ‫כי‬ ‫סיפר‬
.‫חדר‬ ‫באותו‬ ‫יושבים‬ ‫המידע‬
.‫להתייעלות‬ ‫המפתח‬ ‫הוא‬ ‫דיאלוג‬
‫רבות‬ ,‫ספק‬ ‫ללא‬
.‫השני‬ ‫עם‬ ‫אחד‬ ‫ידברו‬ ‫הצדדים‬ ‫שני‬ ‫אם‬ ‫להמנע‬ ‫יכולים‬ ‫והחיכוכים‬ ‫מהבעיות‬

‫הראשון‬ ‫מהרגע‬ ‫פעולה‬ ‫שתפו‬
–
‫יידוע‬ :‫המחנות‬ ‫משני‬ ‫זה‬ ‫מסר‬ ‫חוזר‬ ‫הדיון‬ ‫כל‬ ‫לאורך‬
‫ע‬ ‫מאוד‬ ‫מקילים‬ ‫פרוייקט‬ ‫כל‬ ‫בתחילת‬ ‫ושילובו‬ ‫המידע‬ ‫אבטחת‬ ‫גוף‬
‫התהליך‬ ‫המשך‬ ‫ל‬
‫ו‬
‫פיתוח‬ ‫עלויות‬ ‫מורידים‬
.

‫רגולציות‬ ‫בעקבות‬ ‫סטנדרטים‬ ‫אימוץ‬
-
‫ועוזרת‬ ‫לאבטחה‬ ‫עוזרת‬ ‫כללי‬ ‫באופן‬ ‫רגולציה‬
.‫מאובטח‬ ‫לפיתוח‬
PCI
‫בצורה‬ ‫מעלה‬ ‫אשר‬ ‫לרגולציה‬ ‫מאוד‬ ‫טובה‬ ‫דוגמא‬ ‫היא‬
.‫לנושא‬ ‫המודעות‬ ‫את‬ ‫משמעותית‬

"‫המפה‬ ‫על‬ ‫"אנחנו‬
-
‫את‬ ‫למפתחים‬ "‫"מזכיר‬ ‫הוא‬ ‫בה‬ ‫הדרך‬ ‫על‬ ‫סיפר‬ ‫המשתתפים‬ ‫אחד‬
‫ה‬ ‫עם‬ ‫נכנס‬ ‫הוא‬ :‫בפרוייקטים‬ ‫המידע‬ ‫אבטחת‬ ‫גוף‬
PMO
‫הגאנט‬ ‫לתרשים‬ ‫בארגון‬
‫במיוחד‬ ,‫חשובים‬ ‫לו‬ ‫שנראו‬ ‫בשלבים‬ ‫מידע‬ ‫לאבטחת‬ ‫פניה‬ ‫של‬ ‫ודגלים‬ ‫תזכורות‬ ‫והכניס‬
‫לידי‬ ‫מגיע‬ ‫החדשים‬ ‫מהפרוייקטים‬ ‫גבוה‬ ‫מאוד‬ ‫אחוז‬ ‫כך‬ .‫פרוייקט‬ ‫בתחילת‬
.‫בזמן‬ ‫עתו‬

‫פיתוח‬ ‫איש‬ "‫"אמץ‬
-
‫גוף‬ ‫בתוך‬ ‫מידע‬ ‫אבטחת‬ ‫רפרנט‬ ‫שיהווה‬ ‫פיתוח‬ ‫איש‬ ‫רתימת‬
‫גוף‬ ‫נציג‬ :‫לדוגמא‬ .‫הפיתוח‬
‫פיתוח‬
‫בין‬ .‫מידע‬ ‫אבטחת‬ ‫רפרנט‬ ‫מהווה‬ ‫מסויים‬ ‫בארגון‬
.‫קוד‬ ‫ולסקירת‬ ‫לפיתוח‬ ‫הקשורים‬ ‫המידע‬ ‫אבטחת‬ ‫נהלי‬ ‫בכתיבת‬ ‫מעורב‬ ‫הוא‬ ‫השאר‬
‫לתרום‬ ‫יכולה‬ ‫הפיתוח‬ ‫איש‬ ‫של‬ ‫בגיוס‬ ‫החשיבות‬
.‫הצדדים‬ ‫בין‬ ‫היחסים‬ ‫להידוק‬ ‫רבות‬

‫הדרכות‬ ‫והוספת‬ ‫הקורה‬ ‫לעובי‬ ‫מקצועי‬ ‫גורם‬ ‫הכנס‬
–
‫כזה‬ ,‫לארגון‬ ‫מקצועי‬ ‫יעוץ‬ ‫הכנסת‬
‫יוכל‬ ‫הצדדים‬ ‫שני‬ ‫של‬ ‫והאתגרים‬ ‫המניעים‬ ‫את‬ ‫מצויין‬ ‫המכיר‬
‫לגשר‬
‫בין‬
‫הצדדים‬
"(
‫להרגיע‬
"
‫את‬
‫גוף‬
‫אבטחת‬
‫המידע‬
‫בתחום‬ ‫שלו‬ ‫המקצועי‬ ‫הידע‬ ‫העלאת‬ ‫ידי‬ ‫על‬
‫ו‬ ‫המאובטח‬ ‫הפיתוח‬
"
‫להרגיע‬
"
‫את‬
‫גוף‬
‫הפיתוח‬
–
‫על‬
‫ידי‬
‫מתן‬
‫עצות‬
‫פרקטיות‬
‫לשיפור‬
‫תהליך‬
‫הפיתוח‬
.)‫לאבטחה‬ ‫לב‬ ‫תשומת‬ ‫מתן‬ ‫תוך‬

‫מיוחד‬ ‫נספח‬
–
‫במפגש‬ ‫לנאמר‬ ‫ספקים‬ ‫התייחסות‬
‫חברת‬ ‫התייחסות‬
F5
:‫אלקין‬ ‫גד‬ :‫קשר‬ ‫(איש‬
G.Elkin@F5.com
)
" I think that their approach is good but is missing a key function - The last
round of checks should be done on the production system since the code on
production is many times different than the code on the test environment.
Another thing is to leverage network devices for things that can be developed
(auth/auth)
Last thing is that if you have a WAF, you could mitigate vulnerabilities fast
without taking dev resources, let the dev work out the fixing in their own time,
this is an example where the security team can help dev reach milestones."
Also relevant:
IBM
:‫ויינברגר‬ ‫אליה‬ :‫קשר‬ ‫(אשת‬
e_weinberger@il.ibm.com
)
‫שגוזל‬ ‫דבר‬, ‫שווא‬ ‫התראות‬ ‫היא‬ ‫להתמודד‬ ‫המידע‬ ‫אבטחת‬ ‫מנהל‬ ‫צריך‬ ‫שאיתה‬ ‫הבעיות‬ ‫אחת‬
‫ולאמ‬ ‫בלנסות‬ ‫רב‬ ‫זמן‬ ‫לעיתים‬
‫תוצאות‬ ‫וקבלת‬ ‫אלו‬ ‫התראות‬ ‫לצמצום‬ ‫הדרכים‬ ‫אחת‬ .‫אותן‬ ‫ת‬
.‫דינמית‬ ‫ואנליזה‬ ‫סטטית‬ ‫אנליזה‬ ‫של‬ )‫(קורלציה‬ ‫שילוב‬ ‫הוא‬ ‫אמת‬
‫סורקת‬ ‫סטטית‬ ‫אנליזה‬ ‫כאשר‬ ,‫פגיעויות‬ ‫על‬ ‫תוצאות‬ ‫ולספק‬ ‫בנפרד‬ ‫לרוץ‬ ‫יכולים‬ ‫הפתרונות‬ ‫שני‬
. ‫השונות‬ ‫המתודות‬ ‫בין‬ ‫המידע‬ ‫של‬ ‫במעבר‬ ‫מפגעים‬ ‫ומחפשת‬ ‫עצמו‬ ‫הקוד‬ ‫את‬
‫אנליז‬
‫בסיס‬ ‫כגון‬ ‫האתר‬ ‫תשתיות‬ ‫גם‬ ‫כאשר‬ ‫האתר‬ ‫מול‬ ‫אל‬ ‫האקר‬ ‫של‬ ‫התקפה‬ ‫מדמה‬ ‫דינמית‬ ‫ה‬
, ‫הנתונים‬
web application
.‫להתקפה‬ ‫חשופים‬

‫החוקרים‬ ‫שוקדים‬ ‫עליהם‬ ‫השווא‬ ‫ממצאי‬ ‫הם‬ ‫השיטות‬ ‫שתי‬ ‫של‬ ‫התורפה‬ ‫מנקודות‬ ‫אחת‬
.‫אותם‬ ‫לצמצם‬ ‫בנסיון‬ ‫המוצרים‬ ‫של‬ ‫והמפתחים‬
‫(הת‬ ‫קורלציה‬ ‫היא‬ ‫הבעיה‬ ‫על‬ ‫להתגבר‬ ‫השיטה‬
‫כאשר‬, ‫הכלים‬ ‫משתי‬ ‫הממצאים‬ ‫של‬ )‫אמה‬
‫כי‬ ‫לוודא‬ ‫ניתן‬ ‫קורלציה‬ ‫ומבצעים‬ ‫דינמית‬ ‫סריקה‬ ‫מעל‬ ‫סטטית‬ ‫סריקה‬ ‫של‬ ‫דוח‬ ‫לוקחים‬
‫השווא‬ ‫התראות‬ ‫את‬ ‫משמעותית‬ ‫להפחית‬ ‫ובכך‬ ‫אמתיים‬ ‫מפגעים‬ ‫על‬ ‫מתריעים‬ ‫אכן‬ ‫הממצאים‬
‫היא‬ ‫כזה‬ ‫פיתרון‬ ‫שמספקת‬ ‫מהחברות‬ ‫אחת‬
IBM
‫ממשפחת‬ ‫כלים‬ ‫עם‬
Appscan
.
Matrix
:‫רוזנבאום‬ ‫ארי‬ :‫קשר‬ ‫(איש‬
ariro@matrix.co.il
)
1
.
.‫חדשות‬ ‫פרצות‬ ‫פותחים‬ ‫בשרתים‬ ‫קונפיגורציה‬ ‫ושינוי‬ ‫תוכנה‬ ‫עדכוני‬
2
.
:‫אמצעים‬ .‫זהות‬ ‫גניבת‬ ‫מפני‬ ‫הגנה‬ ‫מכיל‬ ‫לא‬ ‫מאובטח‬ ‫קוד‬ ‫פיתוח‬

Phishing

Pharming

Key Logging

Machine Trojan Infection
3
.
Application Access Control
:

,‫זהות‬ ‫גניבת‬ ‫מפני‬ ‫הגנה‬ ‫ברשותו‬ ‫שאין‬ ‫משתמש‬ ‫גישת‬ ‫לחסום‬ ‫יכולת‬
‫מפני‬ ‫הגנה‬ ,‫תחנה‬ ‫על‬ ‫השתלטות‬
Key Logger
.‫וכדומה‬

.‫מסוימות‬ ‫בהרשאות‬ ‫פעולות‬ ‫לחסום‬ ‫יכולת‬
4
.
Application Restricted Zone - ARZ
:

‫של‬ ‫באפליקציה‬ ‫מבודד‬ ‫חלק‬ ‫הגדרת‬
‫חיצוניים‬ ‫ממקורות‬ ‫אליו‬ ‫לגשת‬ ‫ניתן‬ ‫א‬
‫ה‬ ‫שאחרי‬ ‫האפליקציה‬ ‫של‬ ‫החלק‬ ‫כלל‬ ‫(בדרך‬
Login
.)

‫מסוג‬ ‫מתקדמים‬ ‫סטנדרטים‬
HTML5
‫גניבת‬ ‫מאפשרים‬ ‫בדפדפנים‬ ‫ופגיעויות‬
.‫וכדומה‬ ‫לאפליקציה‬ ‫פקודות‬ ‫שליחת‬ ,‫זהות‬ ‫גניבת‬ ,‫אישי‬ ‫מידע‬
5
.
‫של‬ ‫בטכנולוגיה‬ ‫שימוש‬
Comitari
:‫לארגון‬ ‫מאפשר‬

‫ב‬ ‫דיווחים‬ ‫לקבל‬
-
Real Time
‫על‬ ‫שנוסו‬ ‫באפליקציה‬ ‫אמתיות‬ ‫פרצות‬ ‫על‬
.‫האפליקציה‬ ‫משתמשי‬

.‫זהות‬ ‫גניבת‬ ‫מפני‬ ‫מלאה‬ ‫הגנה‬

.‫האפליקציה‬ ‫משתמשי‬ ‫של‬ ‫זהות‬ ‫וגניבת‬ ‫תקיפה‬ ‫ניסיונות‬ ‫על‬ ‫דיווח‬

‫ב‬ ‫הגנה‬ ‫תוכנת‬ ‫עם‬ ‫האבטחה‬ ‫מעגל‬ ‫סגירת‬
Client Side

‫ב‬ ‫שימוש‬ ‫העושות‬ ‫האפליקציות‬ ‫לכל‬ ‫אבטחה‬ ‫המספקת‬ ‫הגנה‬ ‫שכבת‬ ‫מתן‬
browser
‫וח‬
‫מערכת‬ ‫לכל‬ ‫ייעודי‬ ‫בפיתוח‬ ‫הצורך‬ ‫את‬ ‫וסכת‬
‫האבטחה‬ ‫פתרון‬ ‫את‬ ‫מייצגת‬ ‫במטריקס‬ ‫התוכנה‬ ‫מוצרי‬ ‫חטיבת‬
Comitari
.
Ness
:‫בודק‬ ‫דגנית‬ :‫קשר‬ ‫(אשת‬
Dganit.Bodek@ness.com
)
‫הקשור‬ ‫בכל‬ ‫וגוברת‬ ‫ההולכת‬ ‫המודעות‬ ‫כאשר‬ ‫כיום‬
‫בארגון‬ ‫הרגיש‬ ‫המידע‬ ‫לאבטחת‬
‫נדרשים‬ ‫ארגונים‬ ,‫זה‬ ‫בנושא‬ ‫וחוקים‬ ,‫תקנים‬,‫רגולציה‬,‫סטנדרטים‬ ‫אימוץ‬ ‫עם‬ ‫ביחד‬
. ‫גבוהה‬ ‫רגישות‬ ‫בעל‬ ‫מידע‬ ‫ובדגש‬ ‫המידע‬ ‫אבטחת‬ ‫נושאי‬ ‫על‬ ‫דגש‬ ‫משנה‬ ‫להעניק‬ ‫כיום‬
‫חוץ‬ ‫גורמי‬ ‫בפני‬ ‫המידע‬ ‫על‬ ‫בהגנה‬ ‫רבים‬ ‫משאבים‬ ‫משקיעים‬ ‫ארגונים‬
‫גו‬ ‫מול‬ ‫אל‬ ‫פרצה‬ ‫להשאיר‬ ‫נוטים‬ ‫אך‬
‫בלתי‬ ‫פיתוח‬ ‫סביבות‬ ‫ובדגש‬,‫בארגון‬ ‫הפנים‬ ‫רמי‬
,‫מאובטחות‬
‫נדרש‬ ,‫מורשים‬ ‫בלתי‬ ‫משתמשים‬ ‫מפני‬ ‫הגנה‬ ‫יעניקו‬ ‫הסטנדרטים‬ ‫ההגנה‬ ‫כלי‬ ‫כאשר‬

‫המשתמשים‬ ‫מול‬ ‫אל‬ ‫גם‬ ‫המידע‬ ‫אבטחת‬ ‫ברמת‬ ‫סיכונים‬ ‫של‬ ‫משמעותי‬ ‫וצמצום‬ ‫שלם‬ ‫פתרון‬
. )‫(המורשים‬ ‫מבית‬
ActiveBase Security
:
‫מעק‬ ‫המאפשר‬ ‫תוכנה‬ ‫פתרון‬
‫לבסיסי‬ ‫גישה‬ ‫ובקרות‬ ‫אקטיבית‬ ‫אבטחה‬ ‫מדיניות‬ ‫והפעלת‬ ‫ב‬
.‫הנתונים‬
‫נתונים‬ ‫של‬ ‫דינאמי‬ ‫נתונים‬ ‫ומיסוך‬ ‫הגנה‬ ‫חוקי‬ ‫להפעיל‬ ‫המערכת‬ ‫למנהל‬ ‫מאפשר‬ ‫הפתרון‬
,‫רגישים‬
‫כלל‬ ‫על‬ ‫מפורט‬ ‫ותיעוד‬ ‫מעקב‬ ‫שמירת‬ ‫עם‬ ‫יחד‬ ,‫אמת‬ ‫בזמן‬ ‫המשתמשים‬ ‫בקשות‬ ‫מידור‬
‫השאילתות‬
‫מ‬ ‫תוך‬ )‫ספציפיות‬ ‫פעולות‬ ‫ביצוע‬ ‫על‬ ‫(ואו‬
‫לממונה‬ ‫והתראות‬ ‫למשתמש‬ ‫חיווי‬ ‫תן‬

‫אחראי‬ ‫מנהל‬
.‫חריגה‬ ‫במצבי‬
( ‫הארגון‬ ‫של‬ ‫המשתמשים‬ ‫ניהול‬ ‫מערכת‬ ‫מול‬ ‫מלאה‬ ‫באינטגרציה‬ ‫פועלת‬ ‫המערכת‬
LDAP
)
‫ב‬ ‫משתמשים‬ ‫לקבוצות‬ ‫המשתמש‬ ‫שיוך‬ ‫לפי‬ ‫ומידור‬ ‫זיהוי‬ ‫ומאפשרת‬
ActiveDirectory
‫סוגי‬,
,‫אפליקטיבי‬ ‫משתמש‬ ‫זיהוי‬ ,‫אפליקציות‬
‫אסורות‬ ‫פקודות‬ ‫חסימת‬
...‫ועוד‬ ,‫הנתונים‬ ‫בסיס‬ ‫מול‬ ‫אל‬ ‫למשתמש‬
‫שיוגדרו‬ ‫ההרשאות‬ ‫פי‬ ‫על‬ ‫השדה‬ ‫לרמת‬ ‫עד‬ ‫דינמית‬ ‫בצורה‬ ‫ימוסכו‬ ‫הרגישים‬ ‫הנתונים‬ ,‫בנוסף‬
. ‫משתמש‬ ‫לכל‬
‫של‬ ‫הנתונים‬ ‫למאגרי‬ ‫חופשית‬ ‫גישה‬ ‫קיימת‬ ‫כיום‬ ‫הפיתוח‬ ‫בסביבת‬ ‫לעובדים‬ : ‫הדוגמא‬ ‫לצורך‬
,‫הארגון‬
: ‫כמו‬ ‫מסווג‬ ‫במידע‬ ‫לצפות‬ ‫מסוגלים‬ ‫אלו‬ ‫עובדים‬
,‫אשראי‬ ‫כרטיסי‬ ‫מספרי‬,‫ססמאות‬ ,‫שכר‬ ‫נתוני‬
,'‫וכו‬ ,‫רפואי‬ ‫מידע‬
‫החברה‬ ‫לקוחות‬ ‫רשימת‬ ‫(למשל‬ ‫נתונים‬ ‫מאגרי‬ ‫לייצא‬ ‫מסוגלים‬ ,‫כן‬ ‫כמו‬

‫מחוץ‬ )‫אשראי‬ ‫כרטיסי‬
. ‫הפליליים‬ ‫בהיבטים‬ ‫אף‬ ‫לארגון‬
‫סביבה‬
‫ע"י‬ ‫מוגנת‬
ActiveBase
,‫הרגישים‬ ‫הנתונים‬ ‫הצגת‬ ‫תאפשר‬ ‫לא‬
‫הגורם‬ ‫מפני‬ ‫יוסתרו‬,‫יעורבלו‬,‫שימוסכו‬
‫הפנימי‬
,‫הצורך‬ ‫לפי‬ ‫הרשומות‬ ‫כמות‬ ‫שליפת‬ ‫תוגבל‬ ‫כן‬ ‫וכמו‬ ,‫לצפות‬ ‫רשאי‬ ‫שלא‬
‫מדווחת‬ ‫ולהיות‬
. ‫עתידית‬ ‫ובדיקה‬ ‫בקרה‬ ‫לצורך‬ ‫ומתועדת‬
‫מערכת‬
ActiveBase
‫עוברת‬ ‫הנתונים‬ ‫בסיס‬ ‫אל‬ ‫התקשורת‬ ‫כאשר‬ ‫ובקלות‬ ‫במהירות‬ ‫מותקנת‬
,‫הנתונים‬ ‫ולבסיס‬ ‫לאפליקציה‬ ‫שקוף‬ ‫באופן‬ ‫דרכו‬
‫באפל‬ ‫שינוי‬ ‫דורש‬ ‫ואינו‬
‫עשרות‬ ‫על‬ ‫מיידית‬ ‫הגנה‬ ‫ומעניק‬ ,‫תשתיתי‬ ‫שינוי‬ ‫כל‬ ‫או‬ ,‫יקציה‬
. ‫בודדה‬ ‫בהתקנה‬ ‫נתונים‬ ‫ובסיסי‬ ‫אפליקציות‬
‫הת‬
‫חברת‬ ‫ייחסות‬
Tescom
(
:‫דביר‬ ‫אתי‬ :‫קשר‬ ‫אשת‬
intl.com
-
Eti.Dvir@Tescom
)
‫קבוצת‬ ‫נשיא‬ ,‫לוי‬ ‫ניר‬ ‫לדברי‬
Tescom
‫העומדת‬ ‫התמחות‬ ‫הינה‬ ‫איכות‬ ‫ואבטחת‬ ‫מידע‬ ‫אבטחת‬
‫סדר‬ ‫בכל‬ ‫ובארגונים‬ ‫המגזרים‬ ‫במרבית‬ ‫ונדרשת‬ ‫חיונית‬ ‫תשתית‬ ‫מהווה‬ ‫אשר‬ ,‫עצמה‬ ‫בפני‬
.‫גודל‬
‫מ‬ ‫למעלה‬ ‫זה‬ ‫בתחום‬ ‫פעילה‬ ‫טסקום‬ ‫חברת‬
-
20
‫בקרב‬ ‫והבנה‬ ‫פתיחות‬ ‫ניכרת‬ ‫כיום‬ ,‫שנה‬
‫ה‬ ‫אבטחת‬ ‫לנושא‬ ‫ההחלטות‬ ‫מקבלי‬
‫את‬ ‫בכך‬ ‫להשקיע‬ ‫נכונות‬ ‫גם‬ ‫כמו‬ ,‫והאיכות‬ ‫מידע‬
. ‫הנחוצים‬ ‫המשאבים‬
‫ועד‬ ‫הייזום‬ ‫משלב‬ ‫החל‬ ‫איכות‬ ‫ואבטחת‬ ‫מידע‬ ‫אבטחת‬ ‫לחיוניות‬ ‫לקוחות‬ ‫בקרב‬ ‫המודעות‬ "
‫מברך‬ ‫ואני‬ ,‫התהליכים‬ ‫בתוך‬ ‫למובנים‬ ‫ויותר‬ ‫יותר‬ ‫הופכים‬ ‫כולל‬ "‫לאוויר‬ ‫"עליה‬/‫ההשקה‬ ‫לשלבי‬
.‫כך‬ ‫על‬

‫האיכו‬ ‫אבטחת‬ ‫גם‬ ‫כמו‬ ‫המידע‬ ‫אבטחת‬
‫החל‬ :‫הארגוניים‬ ‫בתהליכים‬ ‫השונים‬ ‫ברבדים‬ ‫נדרשים‬ ‫ת‬
‫חומרים‬ ‫על‬ ‫הגנה‬ ‫ויצירת‬ ‫למשתמשים‬ ‫הרשאות‬ ‫הקצאת‬ ‫דרך‬ ‫פנימית‬ ‫אינפורמציה‬ ‫מניתוב‬
.‫לבקרים‬ ‫חדשות‬ ‫מדווחים‬ ‫אשר‬ ,‫ופריצות‬ ‫חדירות‬ ,‫חיצוניים‬ ‫איומים‬ ‫במניעת‬ ‫וכלה‬ ‫פרטיים‬
,‫לבקרה‬ ‫הארגוני‬ ‫האינטרס‬ ‫את‬ ‫מייצגות‬ ‫איכות‬ ‫ואבטחת‬ ‫מידע‬ ‫אבטחת‬
‫והתנהלות‬ ‫אכיפה‬
‫שונים‬ ‫רגולציות‬ ‫תקני‬ , ‫איכות‬ ‫בתנאי‬ ‫עמידה‬ ‫תוך‬ ,‫הפרויקט‬ ‫של‬ ‫הייסוד‬ ‫אבני‬ ‫פי‬ ‫על‬ ‫עקבית‬
.‫העסקית‬ ‫והתוכנית‬ ‫הפרויקטאלית‬ ‫ובמסגרת‬

217197388 rt-development-security-2011

More Related Content

Similar to 217197388 rt-development-security-2011 (20)

More from Inbalraanan (20)

217197388 rt-development-security-2011