30
מרץ
08

לאבטח את המאבטח

במספר ארגונים בעבר נתקלתי בתופעה ששוכחים לאבטח את מנגנוני אבטחת המידע עצמם. למשל:

  • קובץ סיסמאות לשרתי אבטחה כגון Firewall, IPS ועוד, שמור בספרייה ברשת עם הגנה מינימלית ברמת NTFS.

  • שרת ניהול של רכיב אבטחת מידע (למשל, שרת ניהול של Firewall) שיושב ב – LAN ולא בסגמנט אבטחת מידע מבודד. אותו שרת גם לא מנע אפשרות להריץ התקפת Brute Force ואפשר למצוא את הסיסמא למערכת ההפעלה תוך ניסיונות בודדים.

  • רכיב בקרה היוצר רשומות, על ניסיונות גישה בלתי מורשים, לצרכי תיעוד (Audit Trail) ושומר את הלוגים שהוא יצר, בספריה לא מוגנת בפני מחיקה בשרת אחסון.    

כששוחחתי עם האנשים האחראיים על רכיבים אלה, היה ברור שהם לא באמת מבינים אבטחת מידע. כלומר, הם היו תותחים בקנפוג FW, AV וכדומה. אבל לא היתה להם ראיה היקפית של אבטחת מידע. הם בכלל לא היו ערים לצורך להגן על הרכיבים שבהם הם השקיעו לילות וימים.

אז מה אפשר לעשות? כמובן שאין המלצה אחת שנכונה לכל רכיב.

  • ההמלצה הבסיסית היא לא לשכוח להגן על רכיב הניהול. לבודד את רכיבי הניהול של שרתי אבטחת מידע בסגמנט אבטחה.

  • לשנות ולשמור את הסיסמא קרוב לחזה (ולא בקובץ ברשת).

  • להגדיר חוק ב – FW המונע גישה לא מורשית אליו.

  • להגדיר חוק ב – DB Firewall המונע שינוי וקריאת בסיס הנתונים שלו עצמו.
מודעות פרסומת

0 Responses to “לאבטח את המאבטח”



  1. להגיב

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


מרץ 2008
א ב ג ד ה ו ש
« פבר   אפר »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

%d בלוגרים אהבו את זה: