01
ספט
12

מתי לא לסמוך על דוחות אבטחה של המערכת עצמה?

מערכות אבטחה רבות מבוססות סוכן (Agent) המותקן על תחנות הקצה. התפיסה הנכונה, לדעתי, שככל שההגנה קרובה יותר למערכת עליה צריכים להגן, כך האפקטיביות שלה עולה. לרוב, הסוכנים מדווחים לשרת ניהול מרכזי דרכו מנהלים את הגדרות המערכת ומפיקים דוחות על רמת האבטחה.

עם זאת, מנהלי IT רבים נופלים בבור הנובע מצורת עבודה זו. בלא מעט מקרים נתקלתי בשרת המציג חיווי השונה מהמצב בפועל על התקן הקצה. דוגמא בולטת לכך היא שרתי AV. פעמים רבות, השרת מדווח שמנוע AV רץ על התחנה והחתימות מעודכנות. אך כאשר בודקים את מחשב הקצה, מגלים כי החתימות אינן מעודכנות ואפילו שתוכנת ה AV אינה פועלת.

ישנו עוד מקרה אחד בו נופלים בבור. שרת מערכת האבטחה מדווח על מצב התקני הקצה בתחנות בהם מותקן סוכן המדווח אליו. אך מה קורה עם תחנות בהן, משום מה, לא מותקן Agent? למעשה, אנו לא יודעים בכלל על תחנות אלה. למשל, מערכת DLP שחוסמת זכרון נתיק (USB או אחר) מבוססת סוכן. בהרבה מקרים מצאתי מחשבים רבים ברשת שלא מותקן בהם הסוכן. השרת לא דיווח על כך כיוון שאין לו סוכן על תחנות אלה.

כיצד מתמודדים עם הבעיה? כיום ישנם כלי Compliance המאפשרים סריקת המחשבים ברשת בלי להסתמך על סוכנים. כלים כאלה סורקים לרוב ע"י WMI ופרוטוקול SSH. בעזרת כלים כאלה ניתן ליצור דוח המציג את כל התחנות ללא סוכן של מערכת הטלאת Patches, סוכן AV או של DLP. סריקה שבועית של כל הרשת תאפשר להציף תחנות לא מאובטחות שיועברו לטיפול מנהל הרשת. ברשתות מתקדמות, ניתן לחבר כלים אלה למערכות SIEM, למשל ע"י Syslog, וליצור חוקי התרעה על תחנות שאינן עומדות בדרישות.


1 Response to “מתי לא לסמוך על דוחות אבטחה של המערכת עצמה?”


  1. 1 דודו
    02/09/2012 ב- 18:03

    כתבה יפה ונקודה מאוד חשובה.
    בנוסף לכלים הטכנולוגים שהוזכרו בכתבה, חשוב לזכור שהכל מתחיל במדיניות, דרך הנהלים. חשוב לוודא שהתהליכים הרלוונטיים מקבלים התייחסות נכונה.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


ספטמבר 2012
א ב ג ד ה ו ש
 1
2345678
9101112131415
16171819202122
23242526272829
30  

%d בלוגרים אהבו את זה: