מאת גיל רענן
בחלקו הראשון של המאמר דנו ב"משני המחירים" ומעלליהם. ההגנה נגד התופעות שתוארו למעלה דורשות שימוש במספר אמצעי הגנה.
בעוד אתרי אינטרנט מסחריים רבים עושים שימוש במערכת ה-Firewall לפיקוח על הנכנסים לאתר, ובעוד רבים אחרים משתמשים באמצעים להצפנת המידע העובר ברשת (תוך הפעלת תוכנות ההצפנה SSL, או מוצרי ה- VPN - רשת וירטואלית פרטית), הרי שבמרבית המקרים היישומים עצמם נשארים פגיעים וזמינים לגורמים לא רצויים.
ה"חורים" באבטחה ביישומי מסחר אלקטרוני יוצרים סיכון חמור הן ללקוחות המשתמשים והן לרכושם של העסקים בתחום. הללו, לטובתם, חייבים להיות פרואקטיוויים במציאת אותם חורים ומעבר לכך, צריכים לשמור על עירנות רבה במעקב אחר "חורים" חדשים.
אלא שיש כאן בעיה לא קלה: מדי יום ומדי שעה מתווסף מידע חדש לאתרים ברמת הקודים ומשימת תיקון הפרצות בשיטה הידנית הופכת ללא מעשית.
אבטחה ברמת היישום
כדי לספק מענה לבעיות אלו נוצר צורך במוצר גנרי, אשר ביחד עם מערכות האבטחה הקיימות יעניק מערך אבטחה מלא. כיום, למרות מערכות האבטחה המגינות על ספק השירות, ואף על פי שספק השירות השתדל להתייחס לאבטחת היישום בעצמו, תמיד קיימים באגים ביישומים וגם ביישומי צד שלישי דוגמת שרתי אינטרנט.
אם אין הגנה אוטומטית, בדומה ל-Firewall ברמת הרשת - גם על היישום עצמו, יש סיכוי גבוה שניתן יהיה לעשות פעולות שונות ולא חוקיות דרך דפדפן סטנדרטי.
למרבית העסקים המקוונים חסר כיום נסיון בתחום אבטחת יישומים. הגישות המסורתיות פעלו לתיקון ה"חורים" (Patching) באבטחת היישומים על בסיס אינדיווידואלי - כאשר התגלתה פירצה פנו לתקנה, אם בשלב בניית היישום, או לאחר ההטמעה הראשונית.
כלומר, פרצות רבות אינן מתוקנות בזמן וחלקן אינן מתוקנות כלל. הגישות הללו דרשו מהמפתחים להתייחס לבעיות אבטחת היישום בכל אחד משלבי הפיתוח: עיצוב, הטמעה, ניסוי ופריסה. גישות אלו גזלו זמן רב, עלותן היתה רבה והצלחתן בסגירת פרצות ברמת היישום היתה חלקית ביותר.
הפתרונות הקיימים בשוק בנושא אבטחת אתרי האינטרנט, פועלים בארבעה מישורים: 1. הגנת אנטי-וירוס ברמת המחשב השולחני.
2. הצפנת המידע העובר ברשת הציבורית, האינטרנט - כשבתחום זה קיימות תוכנות המצפינות את המידע העובר על גבי הרשת ומזהות באופן ודאי את הצדדים בהתקשרות (Authentication). כך לדוגמה, תוכנות ההצפנה SSL או מוצרי ה-VPN, מסכלות את האפשרות לצותת למידע המועבר, ואף להתחזות לאחד המשתמשים.
3. אבטחת רשתות תקשורת - המוצר המרכזי בשוק זה היא מערכת ה-Firewall, הניצבת כחוצץ בין רשת התקשורת הציבורית לרשת האירגונית, ותפקידה למנוע חדירה של גורמים בלתי רצויים דרך פרצות ברשתות האירגון.
ה-Firewall מספקת רמת בטיחות גבוהה ומשמשת גם כמערכת התרעה, אך אינה יכולה להגן על יישום הפתוח לכלל ציבור הגולשים, כמו אתרים מסחריים ואתרי מידע.
4. הגנה מפני חורי אבטחה ביישומים עצמם.
כיום די ברור שלא ה-FireWall ולא מוצרי ההצפנה הקיימים בשוק האבטחה, מסוגלים להגן על יישומיהן של חברות המסחר האלקטרוני באינטרנט, מפני האקר, שיכול לעשות באתר האינטרנט כבתוך שלו. יש צורך באבטחה ברמת היישום, המבטיחה שהשימוש ביישומים און ליין, יתבצע בדרך אליה התכוונו מפתח היישום ובעל האתר.
כך, כל נסיון של שינוי הייעוד המקורי של היישום ייבלם מייד ויימנע השימוש הבלתי חוקי במשאבי הארגון או במידע הלקוחות המשתמשים באותו אתר.
פתרונות חכמים
חברות מתחום אבטחת המידע מספקות כיום פתרונות שונים ויצירתיים: בצ'ק פוינט, לדוגמה, בחרו לחבר בין יישומי המסחר השונים ולאפשר תאימות בין מאות סוגי אבטחה שונים ביישומי רשתות ארגוניות בעזרת מוצר יחיד. כך מתאפשרת ללקוח גישה בטוחה לרשת שלו ואבטחת התקשורת על גבי האינטרנט בין המשתמשים.
בסימנטק פיתחו תוכנות המסייעות לביצוע סינון ובקרה בכניסה לרשת. באמצעות תוכנות אלו ניתן להפטר מ"גורמים עויינים" ומווירוסים ע"י בקרה של תכולת הדואר האלקטרוני.
דוגמה נוספת הוא התקן חומרה שפיתחה חברת אלדין, המשמש כמפתח כניסה לרשת או לכל שירות מקוון אחר. בעזרת סיסמה אישית מזהה עצמו הלקוח בפני בעלי אתרי מסחר אלקטרוני.
לסיכום
עפ"י מחקרי אנליסטים, בשנת 2003 יגיע המסחר האלקטרוני להיקף של כ-2 מיליארד דולר, שעשוי להיות הרבה יותר גבוה ככל שהחשש בקרב המשתמשים יפחת עם עליית רמת האבטחה ברשת.
עם כל האיומים בפניהם ניצבים כיום עסקים און-ליין, ברור שהשוק הפוטנציאלי למוצרי אבטחה ברמת היישום גדול וימשיך לגדול בד בבד לצמיחתם של אתרים וכמות תכניהם. יתרה מכך, מנהלי החברות מבינים כיום שההשקעה בפתרונות אבטחה מסוג זה משמעותם פחות עלויות פיתוח, הגעה מהירה יותר לשוק ונאמנות לקוחות מחוזקת.
גיל רענן הינו מנכ"ל סנקטום ישראל.
גנבי האינטרנט - חלק ב'
קוראים כותבים
1.8.2001 / 17:45