ארכיון עבור ספטמבר, 2012

01
ספט
12

מתי לא לסמוך על דוחות אבטחה של המערכת עצמה?

מערכות אבטחה רבות מבוססות סוכן (Agent) המותקן על תחנות הקצה. התפיסה הנכונה, לדעתי, שככל שההגנה קרובה יותר למערכת עליה צריכים להגן, כך האפקטיביות שלה עולה. לרוב, הסוכנים מדווחים לשרת ניהול מרכזי דרכו מנהלים את הגדרות המערכת ומפיקים דוחות על רמת האבטחה.

עם זאת, מנהלי IT רבים נופלים בבור הנובע מצורת עבודה זו. בלא מעט מקרים נתקלתי בשרת המציג חיווי השונה מהמצב בפועל על התקן הקצה. דוגמא בולטת לכך היא שרתי AV. פעמים רבות, השרת מדווח שמנוע AV רץ על התחנה והחתימות מעודכנות. אך כאשר בודקים את מחשב הקצה, מגלים כי החתימות אינן מעודכנות ואפילו שתוכנת ה AV אינה פועלת.

ישנו עוד מקרה אחד בו נופלים בבור. שרת מערכת האבטחה מדווח על מצב התקני הקצה בתחנות בהם מותקן סוכן המדווח אליו. אך מה קורה עם תחנות בהן, משום מה, לא מותקן Agent? למעשה, אנו לא יודעים בכלל על תחנות אלה. למשל, מערכת DLP שחוסמת זכרון נתיק (USB או אחר) מבוססת סוכן. בהרבה מקרים מצאתי מחשבים רבים ברשת שלא מותקן בהם הסוכן. השרת לא דיווח על כך כיוון שאין לו סוכן על תחנות אלה.

כיצד מתמודדים עם הבעיה? כיום ישנם כלי Compliance המאפשרים סריקת המחשבים ברשת בלי להסתמך על סוכנים. כלים כאלה סורקים לרוב ע"י WMI ופרוטוקול SSH. בעזרת כלים כאלה ניתן ליצור דוח המציג את כל התחנות ללא סוכן של מערכת הטלאת Patches, סוכן AV או של DLP. סריקה שבועית של כל הרשת תאפשר להציף תחנות לא מאובטחות שיועברו לטיפול מנהל הרשת. ברשתות מתקדמות, ניתן לחבר כלים אלה למערכות SIEM, למשל ע"י Syslog, וליצור חוקי התרעה על תחנות שאינן עומדות בדרישות.

מודעות פרסומת



ספטמבר 2012
א ב ג ד ה ו ש
« אוג   אוק »
 1
2345678
9101112131415
16171819202122
23242526272829
30