ארכיון עבור פברואר, 2011

13
פבר
11

ניסיון Phishing

כמעט נפלתי עכשיו בתרמית Phishing.
קיבלתי את המסר הבא:

לרגע חשבתי שזה אמיתי. לחצתי על הלינק והסתכלתי טוב על ה – URL. מיד הבנתי.

אני בטוח שיש כאלה שנפלו (או שאולי הם לא קוראים אנגלית).
יש להם טעות אחת באנגלית שעוררה את חשדי, למרות שאני מניח שהייתי שם לב לכתובת.



מודעות פרסומת
13
פבר
11

SIEM – יצירת ערך מוסף

הצגתי כאן בעבר את השימוש העיקרי במערכת SIEM; ניהול אירועי אבטחת מידע. מחברים את המערכת למקורות מידע (לוגים והתראות) של אפליקציות ומערכות תשתית ומקפיצים אירועים חשודים לבירור של אנשי SOC.

מערכות SIEM עולות כסף רב. עלות הרשיונות, עלות התשתיות התומכות במערכת, עלות שטחי האחסון הרבים הנדרשים לשמירת כל הלוגים וגם עלות פיתוח חוקי האירועים.

לכן, חשוב ליצור לארגון ערך מוסף ממערכות אלה, בפרט בתקופה כזו בה הכלכלה מהווה גורם מרכזי בהחלטות עסקיות. ערך מוסף ניתן ליצור ע"י הוספת יכולת ל – SIEM שאינה קשורה ישירות בטיפול באירועים חשודים. אני מתכוון ליצירת דוחות לשימושים שונים. ראשית נבחן איזה צורך דוחות יכולים לספק ולאחר מכן אציג דוגמאות לדוחות כאלה.

ארגונים המבוקרים ע"י רגולציות שונות, נדרשים פעמים רבות להטמיע מנגנוני מניעה, כגון מנגנונים חשבונאיים, מנגנוני אבטחת מידע, מניעת מעילות ועוד. לפעמים, בין אם מסיבות עלות ובין בגלל סיבות טכנולוגיות, הארגון אינו יכול להטמיע מנגנוני מניעה. במקרים כאלה, מצופה ממנו להטמיע בקרות מפצות. לרוב, בקרה מפצה ממומשת ע"י דוח שעוברים עליו בעין ומחפשים בו חריגות. הקושי הוא לא לאתר חריגות, אלא ליצור את הדוחות האלה.

כאן מתבטא חוזקו וייחודו של ה – SIEM. הרי ממילא הוא 'רואה' פעילויות של משתמשים בלוגים שעוברים דרכו. אז גם אם הפעילות אינה מצביעה על עבירת אבטחה, אפשר לנצל אותה לצרכים אחרים. עכשיו אפשר לבחון מספר דוגמאות.

דוחות לבקרות SOX: אפשר להגדיר דוח המציג פעילות 'בנתיב הכספים'. את העובדים שהקימו ישות כספית במערכת הכספים וגם ביצעו פקודות תשלום לספקים. עובדים מאגף IT שהתחברו למערכות ייצור ועוד.

דוחות ל – PCI: משתמשים שהתחברו לשרתים עם יוזר אדמין.

דוחות מכירות/מגמות: עליה חדה או ירידה חדה של סטטיסטיקת מכירות במוצר מסוים (חומרי גלם לתרופות, היטים באתר האינטרנט של החברה, התקפות וירוסים או ספאם על הרשת ועוד)

דוחות על חריגות: משתמשים שגולשים הרבה זמן באתרים כגון פייסבוק, הזמנת יתר של ציוד משרדי, ועוד.

מערכות SIEM מבצעות שאילתות ויוצרות דוחות מתבניות מובנות. הדוחות ברורים וניתן לצרף להם גרפים. אפשר לתזמן שליחת דוחות חודשיים למנהלים עסקיים. עם מעט שיווק אפשר למכור לארגון את התועלות והיתרונות שמערכות SIEM מספקות. זה מחזק את מעמד יחידת אבטחת המידע ומאפשר להצדיק קבלת משאבים נוספים, אם נדרש, ביתר קלות.

02
פבר
11

ניתוח (חוקי) Firewall

לכאורה, התקנת Firewall ברשת שלכם מעלה את רמת האבטחה בארגון. אבל האם יש לכם מושג מה מוגדר ב – FW שלכם? האם אתם בטוחים שמוצר האבטחה הזה הנמצא בשער הגישה לרשת הארגונית אכן מספק אבטחה נאותה ולא חושף את הרשת? האם אתם מודעים לסיכונים השונים הקיימים ב – FW? 

למשל, כאשר מגדירים חוקים ב – FW, ישנה חשיבות לסדר החוקים. ייתכן וחוק מסוים, שאמור לחסום תעבורת תקשורת מסוכנת, אינו עושה זאת. ייתכן ומעל לחוק זה, נמצא חוק אחר שפותח שירות מסוים פנימה או החוצה.

בואו נבחן דוגמא:

Action

Service

Destination

Source

Rule

Accept

ANY

ANY

Developers

85

 

 

 

 

.

.

.

Drop

P2P

ANY

LAN_NW

97

נאמר שחוק 97 היה במקור מספר 22. החוק אמור למנוע מהמשתמשים המוגדרים באובייקט LAN_NW (כל העובדים בארגון) מלגלוש לאינטרנט בפורטים הידועים כ – P2P.

יום אחד התלוננו אנשי הפיתוח שהם לא מצליחים לפתח רכיבים חדשים באתר החברה. איש התקשורת החליט שחוק 22 הוא הגורם לבעיה והוריד אותו ל – 97.

עכשיו, אנשי אבטחת מידע לא מודעים לכך שהמפתחים מצו'טטים חופשי באינטרנט, למרות שמדיניות החברה אוסרת על כך.

עוד דוגמא: איש התקשורת פתח בלי לשים לב NetBios מרשת ה – DMZ לרשת הפנימית, במקום לאפשר NBT רק ברשת הפנימית.

דוגמא נוספת: חוק אחר מאפשר גישה מהאינטרנט בפורט 23 לרשת הפנימית. לא רעיון טוב.

לפני הרבה שנים, מישהו אמר לי שאפשר לעבור על סט החוקים ולמצוא חוקים בעיתיים כאלה. בארגונים גדולים, סט החוקים יכול להחיל 300 חוקים ואפילו הרבה יותר מזה. אי אפשר למצוא את הידיים והרגליים.

אז מה אפשר לעשות? אפשר לרכוש מוצר הנקרא Firewall Analyzer.

ישנן מספר חברות בשוק המציעות תוכנות כאלה. מערכות אלה מציגות בין השאר:

  • חוקים מסוכנים, לפי רמת סיכון (אדום, כתום, ירוק… או לפי ציון מספרי) והמלצות לתיקון
  • חוקים שאינם בשימוש וכדאי למחוק
  • חוקים חסומים שכדאי למחוק כדי למנוע הפעלתם בטעות
  • חוקים כפולים או חוקים המכילים חוקים אחרים
  • אחוז תעבורה של פורטים בתוך חוקים כדי לאפשר הסרת שירותים מיותרים
  • חוקים שלא מופעל עליהם לוגים
  • חוקים שאפשר להזיז למעלה או מטה כדי לבצע אופטימיזציה של מהירות תקשורת
  • ועוד

ישנם סיכונים נוספים, שאינם קשורים לסט החוקים, שהמערכת מציגה. למשל משתמשים המורשים להתחבר ב – VPN ושלא נעשה בהם שימוש זמן רב והגיע זמן לבטל אותם.

הכל נעשה בצורה גרפית מרשימה. המערכות האלה מאפשרות הקטנת סיכונים ע"י טיוב חוקים. אפשר להכין איתם דוחות גרפיים מרשימים למנהלים. ניתן גם להפיק דוחות עמידה ברגולציות כגון PCI. הכלי הזה מצוין גם כאשר נדרש לבצע חציצה של רשתות בתוך הארגון – לבנות VLANs חדשים. יחסית, המוצרים אינם יקרים מאוד.

 




פברואר 2011
א ב ג ד ה ו ש
« ינו   מרץ »
 12345
6789101112
13141516171819
20212223242526
2728  
מודעות פרסומת