ארכיון עבור ינואר, 2009

25
ינו
09

מנגנוני בקרה מפצים

או הכותרת שהתכוונתי לרשום במקור: הקלות הבלתי נסבלת של אדמיניסטרציה של מערכות 

בארגונים גדולים, ואפילו בינוניים, ישנם כל הרבה חורים ברשת שאדמיניסטרטורים יוצרים כיוון שהם לא משקיעים תשומת לב לאבטחת מידע. גם אם יש גוף אבטחת מידע חזק ברשת, תמיד נגלה פרצות שלא ידענו על קיומן. וכמובן שלא ניתן לצפות מאנשי סיסטם שיימנעו מלבצע פעולות שגורמות לנו פריחה כל פעם מחדש.

הנה כמה דוגמאות, חלקן טריוויאליות, חלקן מתגלות רק כשמתגלות בעיות:

  • סיסמאות לשרתים/בסיסי נתונים בברירות מחדל (למשל חשבון SA בשרת SQL).

  • שינוי 'זמני' של מדיניות סיסמאות ב – AD

  • חוק Any Port ב – Firewall

  • קישור DB Link בין בסיס נתונים בפיתוח לבסיס נתונים בייצור 

כיוון שלא ניתן לדרוש מאבטחת מידע לבדוק כל הזמן את הגדרות המערכות עצמן, יש צורך במנגנונים מפצים. ישנן לא מעט מערכות בשוק המספקות יכולות טובות בתחום.

הנה כמה מנגנונים מפצים ששווה לשקול ליישם בארגון:

  • נהלי אבטחת מידע

  • ביצוע סקרי סיכונים (הממצאים טובים רק לעת ביצוע הבדיקה)

  • מערכת לניתוח חוקים ב – Firewall (אני מכיר לפחות שתי מערכות כאלה)

  • מערכת לניתוח הרשאות במערכות שונות (יש כמה מערכות יפות בשוק)

  • מוצר Vulnerability Assessment (מערכת הסורקת רכיבי רשת/שרתים ומאתר ליקויי אבטחת מידע ידועים, ובד"כ מפיקה דוחות ארוכים מידי שלא יודעים מה לעשות איתם)

  • מערכת לניהול אירועי אבטחת מידע SIEM/SOC

כמובן שגם מנגנונים אלה צורכים משאבי אנוש לא קטנים, ובד"כ עולים רק בדיעבד על פרצות (תלוי בתדירות הסריקה והפעולה של המערכות וזמינות משאבי אנוש).

מודעות פרסומת
22
ינו
09

סינון אתרים – זה לא אבטחת מידע

כל אחד מאיתנו, כשהוא שקוע בעבודה השוטפת שלו, נוטה להתמקד בפרטים הקטנים של העבודה ולא תמיד מוצא זמן להסתכל על התמונה הרחבה יותר. מנהלים בכלל, וכאלה בתחום ה – IT בפרט, נוטים לנכס לעצמם פרויקטים מעניינים רבים. לפעמים, בלי לשאול את עצמם האם זה בכלל בתחום העיסוק שלהם.

לאחרונה אני מוצא את עצמי מתעסק בנושא שרק בשוליים שלו נוגע באבטחת מידע. לא מזמן הגיע אלי ספק (ומגיעים רבים מהם) להציג לי את "הפתרון המושלם ששום ארגון לא יכול בלעדיו, עם ROI מוכח, זמן התקנה של שעה…" וכל הסיסמאות האחרות שלא מחזיקות מים (והרגע עלה לי רעיון לפוסט נוסף). הוא הציג פתרון של סינון אתרים – Web Filtering. במקביל, התחילו בארגון לשקול את הצורך ולברר איתי מה היכולות ואיזה פתרונות קיימים בשוק.

זו דוגמא קלאסית לתיחום גבולות שכל מנהל צריך לעשות. בואו נבחן בקצרה את היכולות של פתרונות נפוצים בשוק:

  • מניעת גישה לאתרי הימורים – לא אבטחת מידע.

  • מניעת גישה לאתרי פורנו – כנ"ל.

  • חסימת אתרים הידועים כמכילים קוד עוין – כן אבטחת מידע, אך ניתן להגן באופן חלקי על הארגון באמצעים אחרים.

  • הגבלת גלישת עובדים לשעות מסוימות ו/או זמן גלישה – ממש לא אבטחת מידע.

  • ניטור ביצועי עובדים – אנשי אבטחת מידע צריכים להתרחק ממנהלים המבקשים יכולות כאלה. זה רק יגביר את הטינה שעובדים רוחשים לאבטחת מידע. 

אני מביא את נושא סינון האתרים כדוגמא לנושאים שאנשי אבטחת מידע אמורים לזהות שאינם בתחום אחריותם. כמובן, שאם יש ל – CISO מוצר לסינון תכנים, ומנהל מבקש לנצל את אחת היכולות האלה, צריך לספק לו, אך בצורה חכמה. אפשר להגדיר לו דוחות אוטומטיים מהמערכת שיישלחו אליו ושהוא יטפל בתוצאות הדוח בלי המעורבות שלנו. אפשר לבנות לו Dashboard או להגדיר הרשאה למסך מסוים ושינבור בנתונים הגולמיים (שאינם קשורים באבטחת מידע). לא כל מערכת המוצעת למנהל אבטחת מידע באמת נותנת מענה לאבטחת מידע. לפעמים צריך לדעת לומר – זה לא אבטחת מידע. 

{ואני רק מקווה שהפוסט הזה לא יהווה ירייה ברגל שלי…}

15
ינו
09

חסימת השתלטות על מחשבים בארגון מהאינטרנט

בהמשך לפוסט הקודם, חקרתי את הנושא יותר לעומק ונמצאו כמה דרכים לצמצם את הבעיה.

לבעלי Firewall של CheckPoint, יש ב – SmartDefense אפשרות לחסום חלק מהאפליקציות האלה, תחת Application Intelligence.

בנוסף, הגדרנו חוק ב – FW שחוסם גלישה לאתרים כגון WebEx, ואז המשתמש אינו יכול להפעיל את היישום.

05
ינו
09

השתלטות על מחשבים בארגון ע"י WebEx, GoToMyPc

שירותים כאלה מאפשרים לגורמים חיצוניים (כגון שירותי תמיכה של חברות אינטרנט) להשתלט על מחשבים דרך הדפדפן של המשתמש ולאפשר לגורם החיצוני לראות את התוכן שעל התחנה ואף לעבוד על התחנה כאילו הוא יושב על המקלדת.

מדובר בכלים נבזיים מבחינת אבטחת מידע.

למה נבזיים? כיוון שהתעבורה רצה על פורט 80 (הפורט הרגיל איתו יוצאים בגלישה דרך דפדפן לאינטרנט) תוך עקיפה של Firewall הארגוני.

איך זה עובד: המשתמש מתבקש לגלוש לאתר מסוים (למשל ע"י לחיצה על לינק או הקלדת כתובת), להכניס קוד מסוים ולאשר לצד השני להשתלט על המחשב.

מה הסיכון: אפשר לשטות במשתמש ולהתחזות לחברה מכובדת (סוג של הנדסה אזרחית) ולשלוח לו לינק שיאפשר לגורם זדוני להכנס לרשת הארגון. גורם חיצוני 'מטייל' ברשת שלנו וייחשף למידע רגיש או אפילו יתקין תוכנות זדוניות.

אמצעי מניעה: על זה אני עדיין עובד… אפשר לחסום כתובות IP ב – Firewall, אבל זה לא מספיק יעיל, שכן כתובות משתנות וכל הזמן צצות חברות חדשות (וכרגע עוד לא מצאתי מקום המפרט את כתובות ה – IP של שירותי אלה). בארגונים בהם מותקנת תוכנת סינון אתרים, אפשר לחסום את הקטגוריה הזו (גם זה לא חוסם ב – 100%).

אשמח אם תרשמו בתגובות דרכים נוספות וסיכונים נוספים.




ינואר 2009
א ב ג ד ה ו ש
« דצמ   פבר »
 123
45678910
11121314151617
18192021222324
25262728293031
מודעות פרסומת