רוב הארגונים בישראל שאינם מונחי רגולציה - ביטחונית או פיננסית, מחוברים כיום לגלישה ישירה באינטרנט. כלומר, העובד גולש באינטרנט ישירות מתחנת העבודה האישית שלו ברשת הפנימית של הארגון.

גלישה מעין זו מייצרת סיכון רב יותר לארגון, שכן במידה וקיימת אפליקציה זדונית מסוג דלת אחורית על התחנה ("רוגלה" או טרויאני), הקישור הישיר לאינטרנט מאפשר לאותה תוכנה לתקשר ישירות עם התוקף, לשמש כשלוחה של התוקף וכמנוף להשתלטות על הרשת, ועלול לאפשר חשיפה או פגיעה ברשת ובמידע המאוחסן בה.

החל מתחילת שנות ה-2000, מחוייבים גופי הבנקאות ולאחריהם גם גופי הביטוח, ההון והחיסכון, לבצע הפרדה של רשתות הגלישה באינטרנט מהרשתות הפנימיות. רשתות אלו יכולות להיות רשתות פיסיות (מחייב השקעה במשאבים כפולים) ויכולות להיות מופרדות באמצעות יישומי אמולציית מסוף. יישומי אמולציית מסוף, מבוססים על גישה באמצעות אפליקציית אמולציית מסכים (RDP,ICA) מהרשת הפנימית לשרתי גלישה, ומשם לגלישה באינטרנט. בדרך זו, גם אם הייתה השתלטות של התוקף על סביבת שרתי הגלישה בתאוריה, אין הוא נגיש לתחנות ברשת הפנימית, שכן ה-Portהיחיד הפתוח, הינו זה של אפליקציית אמולציית המסוף.

באמצע 2011, הצליחה אבנת (AVNET) לבצע הוכחת יכולת לתקיפה מלאה של רשת המופרדת באמצעות אמולציית מסוף. תקיפה זו, אפשרה לתוקף מהאינטרנט לבצע פעולות ולצפות במידע הנמצא ברשת הפנימית -  על אף שהגישה מרשת זו לאינטרנט אינה ישירה ועוברת דרך שרתי אמולציית מסוף.

בהרצאתי בכנס Infosec2012 אסביר כיצד ביצענו את התקיפה וכיצד אפשר לצמצם, שכן לא ניתן למנוע לחלוטין את הסיכוי לחדירה מרשתות מורדות אלו. אני תקווה שארגונים המופרדים בפתרונות מעין אלו, יבינו שלא ניתן להסתמך על טכנולוגיה אחת להגנה מוחלטת, ושימשיכו להתמיד בניהול הסיכונים שלהם וביישום בקרות נוספות ובקרות מפצות.

קל וחומר, שבארגונים שאינם מופרדים בצורה זו, אפשרות התוקפים לחדירה הינה גבוהה מאוד ופשוטה מאד, ועל כן אני לא מתייחס לארגונים אלו בהרצאתי כלל ועיקר. לקינוח נבצע הדגמה של פריצת טכנולוגיה נוספת המיועדת להקנות לארגונים אבטחה חזקה יותר והיא הזדהות חזקה מבוססת מנגנון ביומטרי.

* הכותב, עמי קור, סמנכ"ל טכנולוגיות, AVNET