ומה הופך את ה-KVM-ים של היי סק לאבס למומלצים במיוחד?
KVM הוא פריט חיוני בעמדות עבודה אשר מחוברות למספר מחשבים, אולם הוא גם נקודת תורפה שדרכה יכולים לחדור גורמים עוינים אל לב הארגון. היי סק לאבס, אחת החברות המובילות בעולם אבטחת המידע, יודעת איך להגן עליכם מפני מקורות הדלף הפוטנציאליים בלי לפגוע בחוויית השימוש והיעילות של ה-KVM
בעשור השלישי של המאה ה-21 אי אפשר להמשיך להתעלם מהתופעה שנמצאת במגמת הצמיחה הדרמטית ביותר הלא היא פשיעת סייבר. קצת כמו משבר האקלים, גם את ההשפעות ההרסניות של היעדר אבטחת מידע מתאימה ניתן כבר לראות בעוד ועוד מקומות, ודי ברור שארגון שלא ייערך בהתאם עלול לגלות שגם הוא הפך למטרה עבור גורמים זדוניים – ולא סתם מטרה אלא מטרה שקל (ולכן גם מפתה) לפגוע בה.
האם הייתם מרגישים בטוחים עם פתרונות של חברה אשר מספקת פתרונות אבטחה ל-NSA (ה'שב"כ' של ארצות הברית), לפנטגון ולעוד שורה ארוכה של גופים בתחום הביטחוני והאזרחי?
למה KVM חייב להיות מאובטח?
ה-KVM הוא מכשיר נפוץ למדי בעידן של שימוש מקביל במספר מחשבים ומערכות, שימוש אשר מנוהל ביעילות עם מקלדת אחת, מסך אחד ועכבר אחד (זהו כמובן גם מקור השם KVM, ראשי תיבות של Keyboard, Video, Mouse).
בעולם שבו ניתן לפרוץ לרכב אוטונומי דרך חיישן של ונטיל למילוי אוויר, תארו מה אפשר לעשות עם KVM שאינו מאובטח אשר מחובר למחשבים המחוברים לרשת מצד אחד ולעיתים לנכסים יקרים ופנימיים בתוך הרשת הארגונית.
למעשה, ההפרדה הפיזית בין הרשתות הלא מאובטחות לבין אלה המאובטחות יורדת לטמיון כאשר אנחנו מיישמים KVM לא מוגן שמחובר לכל הרשתות. לפי עודד טוביאס, מנהל פיתוח עסקי ב-HighSecLabs (שמוכרת גם בקיצור HSL), חיבור מערכות מחשב ל-KVM לא מאובטח שקול מבחינת רמת ההגנה עליהן למצב שבו מעבירים כבל בין המחשבים השונים – כלומר, מדובר בחומת הגנה מחוררת לחלוטין.
דליפת נוזקות דרך העכבר, המקלדת או המסך
KVM לא מאובטח אינו יכול למנוע דליפת נוזקות ממחשב עם רמת הגנה נמוכה . העכבר, המסך או המקלדת שמחוברים לממתג הם נקודות הקצה אל מחשבים שאמורים להיות עם רמת הגנה מרבית. בהקשר זה מדגיש טוביאס כי לא ניתן לנטר אביזרי USB או מסכים ולדעת בוודאות שהם בטוחים לשימוש כך שהפרצה עלולה להיות מסוכנת מאוד.
בנוסף, תוקפים יכולים למשל 'להתלבש' על פרוטוקולים שחוזרים דרך המסך – כדוגמת ה-Audio Return Channel – או על ה-EDID ("תעודת הזהות" של המסך), ודרכם לשאוב מידע יקר ערך שהארגון לא היה רוצה לשתף. באופן דומה ניתן להחדיר דרך המסך או אביזרי ה-USB שמחוברים ל-KVM תוכנות זדוניות שישביתו את מערכות המחשב של הארגון ויכולות קריטיות שלו – עוד סיבה טובה להתקין אך ורק KVM מאובטח.
איך פועל ה-KVM של HighSecLabs?
כמו כל המוצרים של HSL, גם ה-KVM-ים המאובטחים מבוססים על פעולות פיזיות שמבוצעות כדי לחסום את הפרצות הנ"ל. בהקשר זה כדאי לדעת שזהו המוטו שמנחה את היי סק לאבס מיום הקמתה ב-2008: רק הפרדה פיזית מונעת חדירת גורמים עוינים אל הרשתות הפנימיות של הארגון – תובנה פורצת דרך באותם ימים, כשהעולם עדיין האמין בקונסולידציה.
הזיהוי המוקדם של נקודת הכשל בעולמות המחשבים הקנה ל-HighSecLabs יתרון משמעותי על-פני שחקניות אחרות בתחום אבטחת המידע, והוא בא לידי ביטוי גם כשהמטרה היא למנוע דלף דרך ה-KVM. הפתרון שנבחר עבור מוצר זה הוא ניתוק פיזי – כלומר הפרדות חשמליות במעגל החשמלי שב-KVM (כל פתרון אחר שמבוסס על תוכנה חשוף לפריצה ע"י אותם גורמים שמבקשים לפגוע בארגון, כך שהוא לא יכול לספק הגנה מלאה באמת).
ההפרדה החשמלית מונעת מצב בעייתי נוסף: אפנון מידע על בסיס תעבורת החשמל – כלומר מצב שבו באמצעות ניטור זרם החשמל שעובר ב-KVM גורם עוין יכול לזהות הקלדות ספציפיות (ובדרך זו לגנוב סיסמאות ועוד).
עוד כדאי לדעת שפרוטוקול הפעולה עומד בתקנים של ה-NSA, הסוכנות לביטחון לאומי של ארה"ב – גוף שמן הסתם מחייב סטנדרטים מחמירים במיוחד בנוגע לאבטחת מידע.
האם KVM מאובטח פוגם בנוחות השימוש בממתג?
כן ולא.
עודד טוביאס מבהיר שכל פתרון אבטחה מייצר הפחתה מסוימת בנוחות השימוש במערכת או במוצר. במקרה של KVM מאובטח המחיר למשתמש הוא השבתת חלק מיכולות הפרוטוקולים הסטנדרטיים כגון, ה-Audio Return Channel (כך שלמשל לא תוכלו לשמוע יוטיוב דרך רסיבר) וכל תקשורת חוזרת מהמסך למחשבים.
מאחר שממילא בארגונים היכולות הנ"ל אינן קריטיות ולמעשה אין בהן באמת צורך, ה-Downsize נמוך מאוד ובוודאי שביחס לתועלת העצומה.
מי זקוק ל-KVM מאובטח?
כל ארגון שנעזר ב-KVM כדי לדלג בין מערכות מחשב שונות בנוחות ובמהירות ורוצה לדעת בוודאות שגם הרשתות הפנימיות מאובטחות כהלכה, או בקיצור כל מי שמותקן אצלו בארגון KVM ורוצה לישון בשקט בלילה.
באופן כללי ניתן לזהות מגמה מובהקת בתחום פתרונות אבטחת המידע, ובפרט אלה של HSL – אל הגופים מעולמות הביטחון, שמודעים לצורך במקסימום הגנה מאז שהתחילו להשתמש במחשבים, מצטרפים עוד ועוד ארגונים בעולמות האזרחיים, ובפרט בתחומים רגישים מטבעם כמו פיננסים, רפואה, ביטוח ועוד. עוד מקומות שבהם ניתן למצוא את ה-KVM-ים המאובטחים של היי סק לאבס הם חדרי בקרה.
השילוב המוצלח של KVM מאובטח והקומביינר של HSL בחדרי בקרה
תפעול חדר בקרה מחייב KVM, וכאמור מומלץ בחום להצטייד בממתג מאובטח. בחדרי בקרה גדולים ואינטנסיביים ניתן למצוא במקרים רבים עוד מוצר של HighSecLabs והוא הקומביינר.
על הקומביינר תוכלו לקרוא בהרחבה כאן, ואם תרצו תקציר: זהו מכשיר שמהווה שילוב של KVM עם בקר וידאו. בעזרת קומביינר ניתן לראות על מסך אחד שלל מקורות מידע (ישנם קומביינרים שמתחברים ל-4 ערוצי מידע, כאלה שניתן לחבר אליהם 8 מערכות ואפילו קומביינרים של 16 מקורות). הקומביינר של HSL מאפשר גם שינוי של התצוגה של כל מקור מידע באמצעות העכבר, בפשטות ובמידיות (הגדלת החלון, הקטנתו, הזזתו – כמו ב-Windows).
בדרך כלל ה-KVM-ים המאובטחים משמשים את העמדות הבסיסיות בחדר הבקרה ואילו הקומביינר מתאים לעמדה של מנהל המוקד, לעמדת במאי וכו'.
מגוון רחב של KVM-ים מאובטחים והתאמה מלאה לצרכי כל לקוח
יתרון נוסף של היי סק לאבס בעולם ה-KVM-ים הוא היכולת לספק חוויית משתמש מיטבית ולהתאים את המוצר באופן מושלם לצרכי הלקוח. ראשית, ישנם מספר מוצרים שנבדלים זה מזה למשל במספר הפורטים שניתן לחבר אליהם (2, 4, 8 וגם 16).
שנית, אם הלקוח מבקש זאת, HSL יודעת להתמים (מלשון להיראות תמימים) את ה-KVM-ים שלה – כך שתוקפים שמנסים לחדור אל המערכת דרך מחשב עם רמת אבטחה נמוכה כלל לא יזהו את קיומו של פתרון האבטחה המתקדם. בהתאם הגורמים העוינים לא יתייחסו אל הארגון כאל מטרת איכות, ובמקביל גם לא יצליחו כמובן לחדור אל הרשתות הפנימיות שלו.
מאפיין נוסף הוא המעבר החלק לחלוטין בין המחשבים השונים – ללא זמני שיהוי, ובלי שהסמן של העכבר "ילך לאיבוד" כשעוברים ממחשב אחד לשני. השילוב של אבטחת המידע המקסימלית, ההתאמה המלאה לכל צורך ונוחות השימוש הופכים את ה-KVM-ים של היי סק לאבס למוצר עם יחס עלות תועלת משתלם במיוחד.
