Archive for the 'הגנה בשכבות' Category



17
ינו
08

פריצה לבסיס נתונים: קשה או קל?

מומחי אבטחת מידע רבים טוענים שקל לפרוץ לבסיסי נתונים (בין אם ישירות ע"י גישה ל – DB ובין אם דרך אתרים). התקפות שונות כגון SQL Injection (הזרקת קוד SQL עוין) או Cross Site Scripting (התקפה המכונה XSS בה שותלים סקריפטים עוינים באתרים) מאפשרות התקפות על אתרים ובסיסי נתונים. ובאמת, ישנם הרבה מומחים ואתרים המוכיחים כמה קל לבצע התקפות כאלה ואחרות.

אינני מנסה לטעון שזה לא נכון וגם אינני יכול לטעון שמהערכות שלנו מאובטחות ב – 100%. אבל הנה חומר למחשבה:

שני מומחים בתחום בסיסי נתונים ניסו להוכיח כמה קל לשנות הרשאות של משתמש מנמוכות לגבוהות וכמה קל לנצל פרצות ידועות בבסיס הנתונים. הם קיבלו גישה ישירה ל – DB פנימי (ברמת SQL) שאינו מאובטח באופן מושלם, והם לא היו צריכים לחדור לרשת ולגלות את בסיסי הנתונים ברשת. במשך יומיים (לא מלאים) הם ניסו התקפות שונות וניסו למצוא שירותים פגיעים. רק לאחר יומיים הם הצליחו לנצל פרצה ידועה כדי להעלות הרשאות (Privilege Escalation).

אז אומנם המון ידע על ניצול פרצות זמין באינטרנט וישנם מומחים והאקרים רבים בשוק, אבל גם אז לא תמיד קל לנצל אותן. תוסיפו על זה שכבות הגנה כגון מניעת חיבור מחשבים של אורחים לרשת ומחשבי חברה מוגנים בסיסמאות ופתאום זה הרבה יותר קשה. בנוסף כאשר מערכות מסוימות אינן נגישות מהאינטרנט בכלל, האתגר להאקר המקצועי (כי החובב בנקודת זמן זו מחוץ למשחק) יצריך ממנו השקעת משאבים רבים.

30
אוג
07

AFW ו – DB FW

בתגובה לפוסט הגנה בשכבות, טל ציין שניתן לחסוך התקנת AFW. כאשר מדובר באפליקציה לא גדולה ולא רגישה, לא חייבים AFW. אולם כאשר מדובר במערכות כבדות, בד"כ פיננסיות, יש צורך ב – AFW.

עם זאת, AFW לא נותן תמיד מענה על כל איומי אבטחת המידע. שרת AFW יותקן לרוב לפני מערכות Web מכיוון האינטרנט. במצבים הבאים כדאי לשקול התקנת DB FW כהגנה על בסיסי הנתונים:

  • כהגנה בפני התקפות מהאינטרנט ש – AFW לא נותן מענה הולם.
  • כאשר רוצים להגן על בסיסי הנתונים מפני גישה לא מורשית מתוך הארגון (בד"כ בארגונים גדולים בעלי מאות ואלפי משתמשים).
  • כאשר המידע מאוד רגיש.
  • כאשר בסיסי הנתונים אינם מוקשחים כראוי.
  • בסביבה מרובת בסיסי נתונים.

CISO

23
אוג
07

הגנה בשכבות

פוסט קודם הכין את הרקע לדיון הזה על הגנה בשכבות. כזכור, בדוגמא ההיא, השומר סינן את הנכנסים לבניין, אך בתוך הבניין לא היתה לו בקרה על הפעולות שלהם. הדיון הזה יהיה בחלקו טכני. עם זאת, גם אם אין לך היכרות עם כמה מהמושגים והטכנולוגיות, לא נורא. זה לא ימנע ממך מלהבין את הצורך בהטמעת מספר שכבות של אבטחת מידע.

התפיסה הקיימת, לרוב בארגונים קטנים, כאילו Firewall (להלן FW) מספק פתרון אבטחת מידע מלא לרשת, עלולה להיות מוטעית. נבחן את הדוגמא בשרטוט 1. נאמר שמבנה הרשת מחולק לפי השרטוט ושה – FW מוגדר לאפשר תעבורה בפורטים 80, 25 בלבד לסגמנט המסומן: 1. לכאורה, הרשת מאובטחת בצורה אידיאלית. אז היכן הבעיה?

שרטוט 1: רשת ארגונית

זוכרים את השומר שסינן באופן דומה את הנכנסים לבניין (גם נותני השירות הם פורט 80)? ה – FW אומנם מאפשר תעבורת Web (פורט 80), אך אין לו מושג מה מכילה תעבורה זו. אם ניקח התקפה ידועה בשם SQL Injection, אשר מזריקה קוד SQL לשדה קלט במסך, הקוד יעבור באופן 'חוקי' לסגמנט המסומן: 2, לכיוון שרת האפליקציה (APP Srv) ומשם לבסיס הנתונים (DB). ברגע זה, הפורץ השיג את יעדו וגנב מידע מה – DB. אז מה הפתרון? הטמעת שכבות הגנה. לצורך הדוגמא, נעשה זום לכמה רכיבים מהשרטוט ונתעלם מהשאר (שרטוט 2).

שרטוט 2: שכבות הגנה

לאחר שהגענו למסקנה ש – FW לא מספיק. נוכל להוסיף שרת  Firewall לשכבת האפליקציה (AFW) שיגן על שרת ה- Web מפני סוג התקפות כאלה ואחרות. נוכל להוסיף (במקום AFW או בנוסף) שרת Firewall לשכבת בסיסי הנתונים (DB FW). רכיבים נוספים אלה (השכבות הנוספות) אמורים למנוע התקפות בשכבת האפליקציה (Layer 7).

לסיכום, אבטחת מידע מושגת ע"י הטמעת שכבות רבות של הגנה. חלק משכבות אלה יהיו רכיבי הגנה רישתים בעוד ששכבות אחרות ימומשו באמצעים אחרים. חשוב לא להשאר נעולים בתפיסה שרכיב אחד ייתן מענה לכל צרכי אבטחת מידע.

CISO

 

13
אוג
07

האם השומר בלובי נותן ביטחון מספק לבניין המשרדים?

הבלוג שלי אינו עוסק בבטחון, אך הפוסט הזה ישיג מטרה כפולה.

  1. ישמש כמקור להתייחסות לפוסט אחר בנושא הגנה בשכבות.

  2. יציג את חשיבות הבטחון לאבטחת המידע.

לפני עשרות שנים, אבטחת מידע היתה מושגת ע"י הצבת שומר בכניסה לבניין, ותו לא. תשאלו איך זה? רשת המחשבים (כל מחשב תפס אז חדר) לא היתה חשופה למשתמשים מחוץ למשרד. עוד לא המציאו אז את האינטרנט.

האם השומר סיפק במקרה זה אבטחה נאותה? ברור שלא.

ניקח דוגמא, מתחום אחר, של משרד ממשלתי (בשנות ה – 80) שרק חברי כנסת, שרים (שהיו הרבה פחות מושחתים מהיום תמים), עיתונאים ונותני שירות הורשו להיכנס ע"י השומר. יום אחד החלה תופעה של גניבת ארנקים משולחנות העובדים. תישאל השאלה: אבל רק אנשים מורשים נכנסים לבניין. יש שומר למטה. הכיצד נכנסו גנבים?

כמובן שכל אחד ינחש מיד שכנראה מישהו התחזה לנותן שירות ובמקרה הזה השירות היה לגנוב ארנקים (או מסמכים סודיים או להתקין אמצעי האזנה וכדומה. הבנתם את הנקודה).  נכון שהשומר למטה סינן את הנכנסים, ואפילו לא אפשר לנותני השירותים להגיע לאגף של חברי הכנסת. אבל הוא כן אפשר להם להגיע לאגף הפקידים. ושם הוא כבר לא יודע מה קורה.

אז מה ניתן היה לעשות? אולי להתקין בקרת גישה פיזית למשרדי הפקידים, אולי להתקין מצלמות, אולי לבדוק את תוכן התיקים של נותני השירותים ביציאה מהבניין.  תזכרו את הדוגמא הזו. בדיון על הגנה בשכבות אערוך אנאלוגיה בין אמצעי הגנה של אבטחת מידע למקרה הזה. 

CISO




פברואר 2020
א ב ג ד ה ו ש
« ספט    
 1
2345678
9101112131415
16171819202122
23242526272829

הרשומות הנצפות ביותר