תפריט נגישות

סקירת כנס: בדיקות תוכנה ואבטחת מידע

בכנס המקצועי, שנערך בבית נס טכנולוגיות, נסקרו היבטים שונים בתחום בדיקות התוכנה ואבטחת המידע מנקודת מבטם של אנליסטים, חברות ומומחים העוסקים בתחום.



עומר דרור, מנהל V-Ness - חברת הבדיקות של נס,  פתח את האירוע וציין כי מטרת הכנס לחשוף נושאים חדשניים בתחום ניהול הבדיקות. נס מתמחה זה שנים רבות בתחום הבדיקות הן בארץ והן ברחבי העולם ומעסיקה כ-2,000 מומחי בדיקות במגוון רחב של התמחויות. בכוונת נס לקיים מסגרת של עדכונים מקצועיים בעתיד, ברוח המפגש הנוכחי.

אבי שלום, מנהל תוכנית  EXP בגרטנר סקר היבטים שונים הקשורים לבקרת איכות מערכות בסביבות מתוחכמות: SOA, WEB, SaaS ועוד. אבי ציין בהרצאתו כי גרטנר מייעצת לארגונים בהתבסס על תוצרי מחקרים טכנולוגיים המתבצעים באופן קבוע בשוק בדיקות התוכנה. מטרת המחקרים לבחון את האתגרים הניצבים בפני הארגונים והמתודות והטכנולוגיות הנפוצות למתן מענה ראוי לאתגרים אלו.

 

 

בהרצאתו סקר מספר היבטים: 

  • ההתפתחות המואצת של מרכיבי התוכנה בארגונים והיבטים של רגולציה מביאים ליישום של דרכים חדשות בתחום בדיקות תוכנה ואבטחת מידע. נושא הרגולציה הביא את הדירקטוריון והמנכ"ל להכיר בחשיבות נושא בדיקות התוכנה בארגון.
  • כתוצאה מהדינאמיקה המואצת בתחום, אין הארגונים יכולים להישען על משאבים פנימיים לשם ביצוע בדיקות תוכנה ואבטחת מידע, כפי שבוצע בעבר, והם פונים לחברות מקצועיות המתמחות בתחום זה.
     
  • אורך חיי הקוד הולך ומתקצר באופן דרמטי וכפועל יוצא מתבצעים שדרוגים של גרסאות חדשות בתדירות גוברת. לכן, מהלכים של בדיקות ידניות שהיו אפשריים בעבר אינם מספקים, ונדרש ליישם שיטות בדיקה אוטומטיות ומתקדמות על בסיס סטנדרטים מוכרים. 
     
  • הכשלים בארגונים מתחלקים לשלושה מרכיבים: 20% - חומרה ו-80% בתחומי בעיות איכות באפליקציה וטעויות במהלך התפעול השוטף. הדרך להתמודד הנה לפשט את התהליכים העסקיים ואת מורכבות מערכות התוכנה התומכות בביצועם. בתחום מערכות התוכנה היישומיות מומלץ לבצע שני סוגי בדיקות: בדיקות טכנולוגיות ובדיקות של תמיכת המערכת בתהליך העסקי.   
     
  • ארכיטקטורת ה-Reuse, שבאה לידי ביטוי עם התרחבות טכנולוגיות ה-SOA וה-Saas, מביאה לכך שרכיב תוכנה יכול להיות בשימוש במערכות תוכנה שונות. יש לבחון שאכן אותו רכיב תוכנה מתנהג שונה, בכפוף ל-INPUT שהוא מקבל ממערכות התוכנה, בהן הוא נמצע בשימוש.  
  • עמי טל ועומרי רייטר מחברת IPV הרצו על בדיקות אבטחת מידע. בהרצאה נסקרו תוצאות מחקר CSI מדצמבר 2009 המציגות גידול משמעותי במופעי האיומים הצפויים לארגונים:

     

     

    נמסר כי ממוצע נזק לחברה כתוצאה מפגיעה באבטחת מידע היה בהיקף של 480,000$ בתחומים שונים: פגיעה תדמיתית, הפסדים כספיים, חשיפה לתביעות ולקוחות לא מרוצים.

     

    הפגיעות נחלקות לשלושה סוגים:

    פגיעה בסודיות - Confidentiality

    פגיעה בשלמות/אמינות הנתונים - Integrity 

    פגיעה בזמינות - Availability

     

    מקורות האיום שונים: חיצוניים, פנימיים וכן סוגים שונים של קוד מזיק החודר לארגון לעיתים על ידי פניה לאתרים של לקוחות או ספקים אשר "מדביקים " את האתר הפונה בקוד דומה וכך מגייסים צבא של תחנות עבודה באופן וירטואלי.

     

    ארגונים רבים, אינם נערכים מראש לבעיות בתחום זה ונדרשים לנושא רק לאחר תופעה של אירוע "מכונן" כגון: התפרצות של תולעת, פריצת אבטחה פנימית (עובד/קבלן משנה), אובדן/גניבה של מחשב נייד, גורם זדוני חיצוני: האקר/פורץ, פריצה לאתר אינטרנט/ו/או לאפליקציה והגרוע מכל פריצה לבסיס הנתונים.

     

    הודגש כי בכדי על כל ארגון לבצע סקר סיכונים בתחום אבטחת המידע. במסגרת הסקר נבחנים הנושאים הבאים: אלו נכסים קריטיים חשופים לפגיעה, רמת החשיפה הסיכון, האם מעגלי אבטחת המידע הקיימים יעילים, התקציב הנדרש לאבטחת מידע, פתרונות הנדרשים ליישום ומדיניות אבטחת המידע שיש ליישם בארגון.

     

    הסקר מתבצע במספר רמות:

    Business Layer

    Application Layer

    Network and Infrastructure layer

    Computing Environment

     

    במהלך הסקר מתבצע שימוש בכלי בדיקה אוטומטיים ונבחנים נכסי מידע ותשתיות בניהם:  תהליכים עסקיים, אפליקציות, בסיסי נתונים, שרתים, תשתית רשת,סביבות VM, רשתות אלחוטיות, תחנות קצה. הבדיקות מותאמות לרגולציות הנדרשת ומקורות האיום. לאחר קבלת תמונת המצב האמיתית על מצב אבטחת המידע בארגון, נמסרים המלצות מתועדפות על פי חומרת ומידת הנזק הפוטנציאלי לארגון ובתאימות לתקנים שהארגון נדרש לעמוד בהם כגון: iSOX, PCI ו-ISO 27001.

     

    מאחר וארגונים שונים אינם מודעים לרמת הפגיעות בהם הם מצויים, מבצעת חברת IPV ניסיונות השתלטות מסוגים שונים, אם וללא אספקת מידע מהארגון, וכך הארגון מודע לרמת הפגיעות במערכות המידע. בנושא זה הוצגו דוגמאות שבוצעו בארגונים שונים:

     

    • תקיפה של שרת קריטי
    • איתור סיסמאות גישה לאפליקציות מבוססות WEB
    • חשיפת סיסמאות שליטה בציודי תקשורת וסיסמאות גישה לבסיסי נתונים
    • השתלטות על שרת LINUX  
    • חדירה למערכות סקדה – השולטות על תהליכי ייצור
    • פיצוח מפתח רשת אלחוטית – למרות שימוש בקוד אבטחה מתקדם
    • תקיפת אתרי אינטרנט – והשתלטות על נתוני לקוחות מבקרים באתר  

    משה בירנשטוק וליאור ראובן מחברת HP, הרצו על הטמעת מערכת Quality Center ב-HP. בארגון כ-40,000 משתמשים. בהרצאה הוצגה ההטמעה של המערכת בקרב ארגון הפתוח ואבטחת האיכות ב-HP משלב קבלת הדרישות לפתוח (User Story), הגדרה פונקציונאלית (Functional Requirement) ועד לסיום הפתוח והפצתו.

     

    צוין כי על ידי הטמעה של מתודולוגיה ונהלי דיווח, ניתן לקבל סטאטוס לגבי כל פריט פיתוח כולל גאנט המציין את לוחות הזמנים הצפויים, הסקת מסקנות לגבי עמידה בזמני יעד וכן ניתוח משאבים וקיבולות (Resources).

     

    נושא נוסף שהודגש בהרצאה הוא הקשר שמוטמע באמצעות ה-Quality Center בין מפתחי התוכנה לאנשי אבטחת איכות, זאת בכדי להשלים את הבדיקות בצורה המיטבית ולמנוע מצב שמערכת או רכיב תוכנה חוזר לפיתוח לאחר שהיה ב-Production. המערכת מאפשרת לסנכרן בין אנשי הפתוח לאנשי אבטחת האיכות, לנהל את נתוני הבדיקות ולתעד את התקלות (Defects) ותיקונן. חלק מהבדיקות מתבצע במעבדה בתקשורת לסביבה של הלקוח.

     

    סאשה גילנסון, מנכ"ל Evolven Production deployment assurance

     

    סשה הציג את התפתחות המורכבות של סביבות IT כתוצאה ממספר מגמות:

     

    • סביבות תוכנה קונפיגורטיביות, מרובות פרמטרים כדוגמת: WEB SPHERE, שרת אפליקציות של יבמ, שלו כ-16,000 פרמטרים או לחלופין שרת אורקל בעל 1,200 פרמטרים. כל שינוי של פרמטר משפיע על הסביבה.
       
    • הדינאמיות של סביבות ה-IT גוברת. לפני כשנה היה עדכון מהדורה משמעותי אחת לשנה ועדכון מינורי אחת לרבעון. כיום יש קצב שינויים תכוף לעיתים ברמה שבועית.
       
    • טרנדים של טכנולוגיות חדשות בניהן "טכנולוגיית ענן" - SaaS מביאות את הארגון להשתמש בסביבות שאינן נהירות לו מבחינת התשתיות.
       
    • מערכות IT GOVERNANCE  ממפות את הסביבה באופן שאינו פרטני ואינו מביא לידי ביטוי את הקונפיגורציות השונות.

     

     

    סשה הציג טכנולוגיה המאפשרת למפות את סביבות ה-IT ברמת הפירוט הגבוהה ביותר. הטכנולוגיה אוספת מידע אודות מיליוני פרמטרים של קונפיגורציה ומאפשרת לבצע באופן אוטומטי השוואה של סביבות ה-IT. המנגנון המוטמע בטכנולוגיה מאפשר לעקוב אחר השינויים בין סביבות שונות (כגון פיתוח וייצור) ולתעדף, על בסיס מאגר ידע – Knowledge Base שנבנה על ידי מומחים, את השינויים המהותיים יותר ולהציף אותם למקבלי ההחלטות.

     

    בסיום הרצאתו הציג סשה מקרים שונים Case Studies בהם יושמה הטכנולוגיה ואפשרה מיפוי ואיתור של הגורמים לאי יציבות הסביבה כגון: חוסר התקנה של PATCH בסביבת הייצור, העברת מערכת תוכנה באופן חלקי מפתוח לייצור ועוד.

     


    הכנס הסתיים בהרצאתם של העיתונאים ומגישי הטלוויזיה: אורלי וילנאי וגיא מרוז שכותרתה: הכוח לשנות – מעורבות ואחריות חברתית של כל אחד מאיתנו.

     

    ליצירת קשרOmer.Dror@ness.com
    עומר דרור, מנהל 
    V-Ness (חברת הבדיקות של נס טכנולוגיות)

    *  *  *  *  *
    אודות חברת
    V-NESS
    V-Ness, חברה בת של נס טכנולוגיות, מהווה את חברת הבטחת האיכות ובדיקות התוכנה המובילה בישראל. החברה מעסיקה 400 מומחים בתחום הבדיקות, פועלת בכל מגזרי המשק: פיננסי, ביטחון, היי-טק וטלקום ומספקת ללקוחותיה פתרונות לביצוע פרויקטי בדיקות הן במסגרת פרויקטים והן במסגרת שירות מנוהל.ל V-Ness ניסיון בביצוע של בדיקות וולידציה.  יתרונות החברה בתחום הבדיקות, מאפשרים ללקוחות לצמצם עלויות, להגביר את התפוקות והגמישות התפעולית ולהביא לשיפור האיכות והמקצועיות.V-Ness  פועלת על פי סטנדרטים ומתודולוגיות מוכחות, ויש באפשרותה לספק ללקוח מענה מיידי לצורך בהרחבה של מספר העובדים, או לחילופין, לצמצום מהיר יחסית של מספר העובדים המעורבים בפרויקט.