ארכיון עבור אוקטובר, 2007

27
אוק
07

ניקוי הרשאות ישנות

אחת התופעות הנפוצות בנושא הרשאות היא שאם תבדקו מערכת שעובדת שנים רבות, תגלו שמוגדרים עשרות משתמשים במערכת שאינם עובדים עוד בארגון. בעוד שלא מעט ארגונים דואגים לתהליך מסודר של מתן הרשאות, הם שוכחים לבצע תהליך ניקוי (Cleansing) באופן תקופתי.

לאחרונה, יזמתי בדיקה כזו באחת המערכות, וביקשתי ממנהל עסקי האחראי על המערכת לעבור על הרשימה ולציין לכמה אנשים הוא מאשר היום גישה למערכת. לאחר שהמנהל סימן למי הוא מאשר, עלה שמתוך כ – 60 משתמשים המוגדרים במערכת, נותרו כ – 20. לכל השאר צריך להסיר את ההרשאות.

אולי זה לא מדגם מייצג. זו גם מערכת ותיקה שעובדת שנים רבות. אבל תראו איזה אחוז של משתמשים המוגדרים במערכת לא היו אמורים להישאר עם הרשאה זו.

המספרים שונו מעט לצרכי טשטוש מקור הנתונים, אך המסר נותר זהה.

CISO

מודעות פרסומת
23
אוק
07

מתי בפעם האחרונה בדקתם שהאנטי-וירוס שלכם עובד?

אבטחת מידע בבתים מתקשר אוטומטית לאנטי-וירוס. גם ארגונים שאינם מודעים לנושא אבטחת מידע דואגים להתקין אנטי-וירוס בכניסה לרשת ועל המחשבים. המהדרין דואגים להתקין אנטי-וירוס שיודע לסרוק קבצים היורדים דרך ה – Web או הנשלחים ב – FTP.

מתי שמעתם מישהו שאומר לכם שהוא בדק שהאנטי-וירוס שלו תופס וירוסים? האם אתם זוכרים ללכת לספרית ההסגר (Quarantine) כמה פעמים בשבוע בשביל לוודא שנתפסו וירוסים טריים (כלומר שהאנטי-וירוס עובד)? האם וידאתם שהחתימות מתעדכנות כל יום?

מי שרוצה לבדוק באופן אקטיבי, ע"י שליחת קובץ וירוס דמה תקני, מוזמן לגשת לאתר הבא. מדובר בסטנדרט דה-פקטו של קובצי בדיקה המדמים וירוסים. אני מציע שתנסו דרכים שונות כגון שליחה במייל, FTP והעתקה ישירות למחשב קצב. ההצעה תקפה גם למשתמשים ביתיים.

CISO

16
אוק
07

חסימת גישה לרשת בעת פיטורין

דילמה שהרבה ארגונים ניצבים בפניה היא האם לחסום את הגישה לרשת מיד עם מסירת הודעת פיטורין לעובד. במקרה של מתכנת שהועסק דרך חברת קבלן בבנק לאומי ופוטר, כנראה היה מקום לחסום את המשתמש שלו בעת מסירת ההודעה.
הידיעה אינה מספקת פרטים לגבי סיבת הפיטורין – האם זה קיצוץ במשאבים או חוסר שביעות רצון. הידיעה גם אינה מספקת פרטים על הנזק שנגרם לבנק או לקוחותיו, ואולי במכוון.

CISO

07
אוק
07

מאגר מידע רפואי מרכזי

לפני כמה חודשים קראתי כתבה בעיתון על כוונה לאחד מאגרי מידע על חולים מקופות חולים שונות לבסיס נתונים אחד מרכזי-לאומי. הנה לינק נוסף בנושא.

בואו נשים רגע בצד את כאב הראש החזק (רק אל תפנו אותי לרופא) שרעיון כזה גורם לכל איש אבטחת מידע. אני, כחולה (טפו טפו, שרק אשאר בריא) לא ארצה שכל ברנש יקרא בלחיצה כפתור את כל ההיסטוריה הרפואית שלי. הרי במדינת הקומבינות שלנו, המידע האינטימי של כולנו יתגלגל לרחוב לכל המרבה במחיר.

ולצערי, כאשר אנשי אבטחת המידע ינסו לכפות הגנות כאלה ואחרות, זעקת הרופאים תעלה שלא יתכן שבשנות האלפיים מקשים עליהם את העבודה ולא מאפשרים גישה מלאה ללא מגבלות למידע…

CISO

03
אוק
07

הרשאות Administrator על התחנה

במהלך החג נכחתי בישיבה (בנושאים שאינם קשורים לעבודה) במוסד ציבורי כלשהו. כיוון שילדים רבים בחופשה מבית הספר, אחת הנוכחות הביאה את הבת שלה לישיבה. הנערה, בגיל תיכון מוקדם, השתעממה והתחילה לשחק על שניים מהמחשבים בחדר. מרחוק ראיתי שהיא גלשה באינטרנט, התקינה ICQ ועוד תוכנה שלא הצלחתי לזהות מרחוק.

לתומי חשבתי שתחנות הקצה במוסדות כאלה יוגדרו ללא הרשאות Administrator מקומיות. הסרת הרשאות אלה וביצוע הגדרות מתאימות מונעות מהמשתמשים יכולת להתקין תוכנות שעלולות לפגוע במחשב וברשת של אותו מוסד/ארגון.

דווקא במוסדות ציבוריים יש להגביר את המודעות לאבטחת מידע, גם בקרב אנשי ה – IT. 

CISO

02
אוק
07

גישה מאובטחת מרחוק (Remote Access)

ארגונים רבים נזקקים לספק גישה מרחוק לגורמים שונים כגון אנשי תמיכה טכנית, לקוחות, עובדים. מנהלי רשת אשר נתנו את דעתם לאבטחת הקישור, הגדירו באופן מסורתי קישור VPN (בד"כ IPSec). בארגונים אחרים המצב עגום יותר ולעיתים תמצאו שמנהל רשת מאפשר גישה בתוכנת השתלטות (כגון VNC) לשרתי ייצור – אופן שנחשב כלא מאובטח.

אומנם פתרון IPSec (למשל ע"י התקנת Secure Client) מצפין את הקישור בין המשתמש המרוחק לארגון, אך אין לפתרון יכולת לסנן ברמת האפליקציה את תעבורת המידע. כלומר, אם אפשרתם למישהו להתחבר לרשת, אתם יכולים אומנם להיות בטוחים שלא מאזינים לתעבורה בדרך, אך אין לכם שליטה על מה הוא עושה ואתם צריכים לסמוך עליו.

מצב זה היה אינו מקובל עוד והוביל לפיתוח פתרונות מסוג SSL VPN. במקרה זה, השם מרמז על אופי הפתרון. בעידן שבו הרבה אפליקציות נחשפות החוצה בצורת Web, זה אך טבעי לנצל את יכולות ה – SSL.

היתרונות של פתרונות SSL VPN הנפוצים בשוק כיום:

  1. ניצול פרוטוקול SSL שהינו סטנדרטי ונפוץ.
  2. יכולת אריזה (Encapsulation) של תקשורת אחרת מעל SSL.
  3. הגדרה מדויקת איזה משאבים ייחשפו למשתמש המרוחק.
  4. אפשרות לחשוף מערכות או מידע לפי רמת אבטחת המידע בתחנת הקצה.
  5. סינון תוכן ברמת האפליקציה מבלי צורך להתערב באפליקציה עצמה. למשל, מניעת יכולת העלאת קבצים מכיוון האינטרנט למרות שהאפליקציה מאפשרת זאת.
  6. אכיפת רמת אבטחת מידע בתחנת הקצה. למשל, רק תחנות עם Anti-Virus עדכני או תחנות ללא Key Loggers יוכלו להתחבר למערכת/לרשת.
  7. אכיפת חוזק זיהוי של המשתמש לפי מדיניות הארגון.
  8. לא צריך להתקין תוכנה (Client) על תחנת המשתמש.
  9. אפשרות לעבוד בתחנת קצה מזוהמת בסביבת עבודה סטרילית (מעין Secure Terminal/Workspace) מבלי לסכן את הארגון.

בפתרון IPSec לא ניתן, למשל, לממש את האפשרות לאפשר גישה למערכות על בסיס של רמת אבטחת תחנת הקצה בפועל (סעיף 4).
השרטוט הבא מדגים באופן סכמטי כיצד מתחברים מרחוק לרשת/מערכות עם התקן SSL VPN. התקשורת מנותבת ע"י ה – FW להתקן ה – SSL VPN. ההתקן (ראו סימון 1 בשרטוט) בודק את תחנות הקצה (אם כך הוגדר בהתקן לגבי אותה אוכלוסיית משתמשים), קובע לפי המדיניות האם ניתן לגשת למערכת/מידע, פונה למערכות הפנימיות (ראו סימון 2 בשרטוט) וחושף את המידע החוצה.

ssl-vpn.jpg

לסיכום:

  • למשתמשים מרחוק אין גישה ישירה למשאבי רשת פנימיים בארגון.
  • ניתן לסנן את התעבורה ברמת האפליקציה (בעוד שב – IPSec זה הכל או כלום).
  • ניתן לבדוק את רמת אבטחת המידע של תחנות הקצה ולחשוף מידע בהתאם.
  • לא מצריך התקנה בתחנת הקצה (יתרון גדול).

CISO




אוקטובר 2007
א ב ג ד ה ו ש
« ספט   נוב »
 123456
78910111213
14151617181920
21222324252627
28293031