התקני IoT והסיכונים הנובעים מהם

האינטרנט של הדברים (Internet of Things) זה לא רק התקן מגניב שלובשים או מפעילים בבית; זהו גם סט רחב של התקנים שקיימים כבר כיום, או תמצאו בקרוב, ברשת הארגונית שלכם. לכן, כדאי לכם להכיר את התחום הזה, להבין מה הסיכונים שלו ולהבין שצריך להיערך אליו.

ראשית, כדאי לנסות להבין מה זה IoT. כמו שסייבר הוא מונח חדש יחסית המתאר נישה אחת מתוך עולם אבטחת המידע, כך IoT אינו משהו ממש חדש. כבר שנים אנחנו רואים בבית ובארגון התקנים כאלה. אני מניח שההגדרה הפשטנית הבאה תכסה את רוב מקרי ה – IoT: התקן/מכשיר חשמלי עם ממשק ניהול שניתן לשליטה והפעלה מרחוק דרך האינטרנט הינו התקן IoT.

כמה דוגמאות להתקנים כאלה שאנחנו מכירים כבר הרבה זמן: מצלמות אינטרנט (בבתים, גני ילדים ובמשרדים), התקן Storage ביתי (אלה שמכילים טרה זיכרון), מדפסות רשת חכמות, ניטור טמפרטורת מזגנים בחדרי שרתים ועוד. כמה דוגמאות מגניבות שנתקלתי בהן בשנה האחרונה: רובה/מקלע להגנה על שטח לא מאויש שנשלט מרחוק, הדלקת דוד מים חמים בבית, התקן ניטור למנוע ברכב. אפילו התקנים רפואיים בחדרי ניתוח עשויים להיות מקושרים לאינטרנט (מפחיד). השבוע שמעתי שרכיבי Access Points חדשים של חברה ידועה נמכרים כאשר בברירת מחדל הם מוגדרים לתקשר עם ממשק ניהול שיושב בענן (לא בדקתי את זה). בקיצור, הכל הולך לשם. והכל, או הרבה מאוד, יגיע לרשתות הארגוניות.

לפני כעשר שנים ראינו מכשירי סלולר ראשונים המתחברים למיילים הארגוניים. היה קשה לראות אז איזה סיכונים טמונים בשימוש בהם, והיה עוד יותר קשה למצוא פתרונות אבטחה מספקים. שוק ה – IoT מתנהג כיום באופן דומה. הסלוגן החכם של הטלפון החכם אומץ עכשיו לבית חכם, משרד חכם ורשת חכמה. הכל חכם, רק לא מאובטח. מצד אחד דוחפים לנצל את היתרונות שלהם לטובת הרשת ומצד שני הם מכניסים סיכונים לרשת.

האיומים הנובעים מהם הם אותם איומים הנובעים ממערכות אחרות, אך במספר הבדלים:

• הרכיבים האלה עשויים להיות מחוברים ישירות לאינטרנט באופן העוקף את ה – Firewall
• לא בטוח ש – Firewall יודע לתת מענה אבטחתי לרכיבים אלה
• הרכיבים האלה נבנו ללא תשתית אבטחה מספקת

נציין כאן מספר איומים הנובעים מהתקני IoT:

• עקיפת רכיבי אבטחה היקפיים (Firewall, IPS וכדומה) וחדירה לרשת הפנימית ע"י פריצת ההתקן עצמו
• השבתת (DoS) ההתקן עצמו – תחשבו מה ההשלכה של השבתת המזגנים של חדר שרתים או מכונת דיאליזה בבית חולים
• גניבת נתונים רגישים השמורים בהתקן (למשל צילום של כל מסמך שהודפס במדפסת)

רוב התקני ה – IoT אינם מאובטחים כיום בצורה נאותה. נשאלת השאלה מדוע ההתקנים האלה אינם מאובטחים והתשובה היא שזה עניין של אבולוציה. פיתוח ההתקנים היה צריך להוכיח את עצמו ולתפוס בשוק. הדאגה הייתה פיתוח מהיר ומוצלח של המוצר. מספר גורמים להיעדר רמת אבטחה מספקת:

• שיקולי אבטחה לא שולבו בפיתוח המוצרים האלה.
• אין סטנדרטיזציה במנגנוני אבטחה בשוק הזה.
• מנגנוני הזדהות פשוטים (אם בכלל) הוטמעו במערכות האלה.
• רכיבי הצפנה – יוק. למה להגדיל את נפח ההתקן ולצרוך יותר אנרגיה?
• היעדר מנגנון לעדכוני אבטחה (Patches).
• גם אם במקרה יוצאים טלאי אבטחה להתקן, מי טורח לעדכן אותם?
• מערכת ניהול מרכזית חלשה או שיושבת בענן.

לא בטוח שניתן בטווח הנראה לעין להיות אופטימיים. אני מניח שייקח מספר שנים עד שנרגיש מספיק בטוחים שניתן לצמצם את הסיכונים ברמת סבירה. מספר המלצות מאוד ראשוניות שאני יכול לחשוב עליהן כרגע:

• להגדיר מדיניות הכנסת רכיבי IoT לארגון (שתאפשר כניסה מאוד מבוקרת ושתחסום כניסה של רוב ההתקנים האלה).
• בדיקה קפדנית של רמת האבטחה של כל התקן חדש (או דגם חדש של מוצר שכבר קיים ברשת).
• התקנת רכיבים כאלה מחוץ לרשת הארגונית, או בסגמנט רשת מבודד. למשל, מצלמות IP שממוקמות פיזית מחוץ למשרד ונגישות לקהל לא מבוקר, או מצלמות אלחוטיות.
• בדיקה שהיצרן משחרר טלאי אבטחה באופן מסודר. זה יעיד בין השאר על שימוש ברכיבים רגישים פנימיים בתוך המוצר, כגון רכיב הצפנה ושרת Web, המבוססים על סטנדרטים בשוק.
• הגדרות ACL קפדניות לממשק הניהול של התקנים אלה. להגביל את כתובות ה – IP היכולות לתקשר עם ההתקנים ואת השירותים (פורטים) הפתוחים.
• במידה וניתן, להגביל גישה של התקנים אלה עם מערכת NAC מתקדמת (לא על בסיס כתובת MAC).
• לבדוק אילו הגדרות פנימיות בהתקן ניתן להפעיל במטרה לצמצם את הסיכון.

 

מפת תקיפות בזמן אמת

בהרבה ארגונים ההנהלה דנה על איומי תקיפה על רשת החברה או אתר האינטרנט. אחד הפתרונות שמנהל אבטחת מידע נוהג (או כדאי שינהג) להציע זה חסימת תקשורת ממדינות שאין עימן קשר מסחרי. כבר כתבתי כאן בעבר כי מומלץ אפילו לחסום תקשורת מכל העולם (למעט ישראל) במידה וניתן. אומנם זה לא פותר הכל, אבל הסיכון מצטמצם משמעותית.
הכלי הגרפי הזה יעזור לכם להמחיש ויזואלית למנהלים את מפת התקיפה העולמית בזמן אמת. אומנם האתר מכריז שמדובר בתעבורה מדגמית אבל ממה שהבנתי יש להם מדגם מספיק גדול. האתר מספק פרטים לא רק על מקור התוקפים והמותקפים, אלא גם על סוג השירות המותקף. תריצו כמה דקות כדי שיצטברו נתונים מספקים.
בכל מקרה, זה כלי מרשים.

התגוננות בפני התקפות סייבר Cyber Defense

בכדי להגיע להסכמה מה משמעות Cyber Defense אפשר להקדיש דיונים שלמים (ולא להגיע להסכמה). לכן כדי שאוכל לתאר כאן פתרון אבטחתי לנושא, אני בוחר בהגדרה הבאה – הגדרה שהרבה אנשים הסכימו איתה כשדנתי איתם בנושא סייבר. בעבר כבר כתבתי על הנושא כאשר היה פחות ברור על מה מדובר.

ראשית, חשוב להבין שהגנה בפני התקפות סייבר (או פשוט סייבר), היא רק נושא אחד ממכלול נושאי אבטחת מידע. כל מיני מומחים מטעם עצמם שאומרים שאבטחת מידע זה עבר וזה רק חלק מתפיסת סייבר כוללת, הופכים את היוצרות. זה כמו שיאמרו שרפואת לב הינה תפיסה כוללת למדע הרפואה. זה הפוך. סייבר מהווה דיסציפלינה אחת מעולם אבטחת המידע המסורתית.
בהגדרה שבחרתי, סייבר מתייחס להתקפות ממוקדות ומתקדמות הרוכבות על תקשורת ציבורית (לרוב אינטרנט). מכאן שסייבר לא נוגע להתקפות פנימיות (למשל ע"י עובד) ולא נוגעות להתקפות מהסוג הישן (וירוס שמופץ ללא מטרה ייעודית). במילים אחרות, סייבר מתייחס בעיקר ל – APT ולהתקפות ממוקדות על אתרי אינטרנט של הארגון ועל שערי כניסה לרשת (כגון VPN). (בהזדמנות ננסה להגדיר מה זה התקפות APT, מכיוון שגם כאן ישנן פרשנויות שונות.)
תפיסת האבטחה בסייבר (קרי יישום תורת האבטחה על נישה אחת שלה – סייבר), מפורטת בפוסטים שונים בבלוג. אני אציין את כותרות התפיסה בתוספת פירוט קצר, ואפנה להרחבות עם לינקים. חשוב להבין שסייבר לא נפתר ע"י התקנת מערכת אבטחה (להלן, כל מיני יצרנים המוכרים מערכות APT). סייבר זה תפיסת אבטחה שלמה, הכוללת אוסף פתרונות.

התפיסה שיושמה ונוסתה, כוללת את המרכיבים הבאים (רשימה חלקית וראשונית).
הפרדת רשתות: הרגולציה בתחום אבטחת מידע בגופים פיננסיים בארץ, הינה מהמתקדמות בעולם. אחת הדרישות הכי חשובות במספר רגולציות (בנקים, ביטוח) מחייבת הפרדה או חציצה בין רשתות ארגוניות פנימיות לבין רשתות ציבוריות/אינטרנט. החציצה מונעת תקשורת החוצה. (לכל היצרנים/ספקים, מוצר פרוקסי אינו נחשב פתרון כזה.) בשפה תקשורתית, ניסיון ליצור צינור תקשורת החוצה בכל מיני פורטים (80, 443, 22, 21 ועוד) ייחסם ע"י ה – Firewall.
גלישה לאינטרנט תיעשה ע"י פתרונות גלישה מאובטחת. העברת קבצים ע"י פתרונות כספות. וכך הלאה. בטכנולוגיה של היום, הפגיעה בחוויית המשתמש אינה גדולה (חוץ מתלונות מפונקות ע"י עובדים שלא מעניין אותם שהארגון יישאר פרוץ). החריגה היחידה שציינתי בעבר נוגעת לשימוש במייל, שבמקרה זה הפגיעה במשתמשים גדולה ולא מספקת פתרון מקובל מבחינת עלות תועלת.

מעטפת/רכיבי הגנה חיצוניים: כל אותם רכיבים שהיו נהוגים בתפיסת אבטחת המידע הכוללת, רלוונטיים גם כאן. מערכת IPS להגנה מפני התקפות חיצוניות על הרשת, שרת WAF להגנה על אתרי אינטרנט, מערכת סינון תכנים (Content Filtering) ואנטי ספאם, מערכת הגנה נגד APT, הגנה מפני DDoS.
מהיכרות שלי עם ארגונים, ובעיקר עם מנהלי מערכות מידע ומנהלי תשתיות, הם חוטאים בכל קשור לרכיבי האבטחה. במקום לנצל 100% מיכולות החסימה של המוצרים האלה, הרבה הגדרות (לפעמים 50%) אינן מופעלות מהחשש לפגוע בשירות או מכך שזה יביא לעבודה מיותרת בעיניהם. החטא הזה מוביל לכך שפורצים מצליחים ע"י כך לנצל פרצות במעטפת החיצונית. אקווריום אטום "למעט" שני חורים זה עדיין אקווריום דולף. חייבים לחסום הכל, בלי פשרות. מנהלים, תעבדו יותר קשה.

חסימת SPF: לכאורה, זוהי הגדרה שלא הייתי אמור לפרט בנפרד, אלא תחת הסעיף מעטפת/ רכיבי הגנה חיצוניים. הסיבה שאני מקדיש לכך סעיף נפרד היא שניסיון Phishing מתוחכם יכלול שליחת מייל הכוללת כתובת מקור (Sender) המתחזה לדומיין הפנימי/ארגוני. כלומר, המייל ייראה לעובד כאילו הוא נשלח ע"י עובד אחר בתוך החברה. במקרה כזה, גם עובד ערני ימהר ללחוץ על לינק זדוני (למשל סקר שביעות רצון או פעילות רווחה) בגוף המייל ולא יחשוד שמדובר בתרמית.
SPF זוהי הגדרה שנועדה לחסום קבלת מיילים מבחוץ הכוללים בכתובת דומיין פנימי/ארגוני (שכן מיילים פנימיים לא מגיעים משרת חיצוני אלא משרת Exchange פנימי).

הקשחת והטלאת שרתים: זה כבר ממש נדוש. תטפלו לפחות בכל השרתים החשופים החוצה. הקשחה מלאה והטלאה שוטפת של השרתים. סיסטם, תעבדו יותר קשה וספקו הגנה הולמת לרשת.

מערכת ניהול אירועים SIEM: האם אתם מודעים מי סרק או ניסה לתקוף את רשת הארגון מבחוץ? האם אתם עוקבים אחר ניסיונות נוספים של מקורות אלה? מישהו מכם מטפל בניסיונות אלה?
אם יש לכם מערכת SIEM המותקנת בארגון, חברו אליה כל מקור מידע (שרתים, מערכות אבטחה…) והגדירו חוקים שיתריעו על תבניות תקיפה או סריקה. במיוחד חשוב שיהיו חוקים שיתריעו על תקשורת שמקורה ברשת הארגון לכתובת שנצפתה ככתובת שפנתה לרשת שלכם בעבר.
מספר חוקים והגדרות חשובים:

• צרו רשימת כתובות חשודות. לרשימה זו הכניסו כתובות שביצעו Port Scanning, שלחו מיילים חשודים שהכילו נסיונות Phishing או כתובות שה – WAF זיהה כמקור לתקיפה לאתר החברה.
• הגדירו חוק המתריע על פתיחת תקשורת (מה – Firewall) לכתובת המצויה ברשימת הכתובות החשודות.
• חוק המתריע על Port Scanning.
• חוק המתריע על נסיונות תקיפה (מה – WAF) על האתר. אפשר לעדן את החוק ע"י סינון סוגי מתקפות מסויימים/רלוונטיים או רמת קריטיות של התקפות.
• חוק המתריע על נסיונות DoS/DDoS (מה – IPS).
• חוק המתריע על שליחת מייל למעל X נמענים (ממערכת האנטי ספאם). אפשר להוסיף חוק דומה המזהה שליחת מיילים לעובדים רגישים העשויים להיות מושא לנסיונות Phishing (מנהלי רשת, מנהלים בכירים, עובדים בעלי הרשאות רגישות).
• חוק המתריע על מספר תחנות הנגועות בוירוס או מתקפת APT.
• חוק המתריע על תקשורת לכתובות הידועות כשרתי Command & Control.

מערך ניטור SOC: חיברתם את כל המערכות והשרתים ל – SIEM וראיתם שמתקבלים חיווים טובים ויש התראות על אירועים חשודים. מה עושים עם כל זה?
כדי להתגונן באופן יעיל מפני התקפות סייבר, יש חשיבות גבוהה להקים מוקד SOC אשר יטפל בהתראות השונות שקופצות במערכת בתוך פרק זמן קצר. במוקדי SOC טובים, המוקדנים יידעו לטפל גם באופן אקטיבי באירועים. למשל, לחסום כתובות IP חשודות ב – Firewall, ב – WAF או ב – IPS, למחוק משרת הדוא"ל מיילים שזוהו כהתקפות Phishing, ואפילו לנתק מהרשת או להעביר לסגמנט רשת מבודד תחנות קצה חשודות.
חשוב להגדיר, בכתב, נהלי טיפול באירועים לכל סוג אירוע שהוגדר לו חוק ב – SIEM, וגם לתרחישים נוספים שאין להם חוקי SIEM. הנהלים יגדירו למי מדווחים, מתי פועלים אקטיבית וכיצד.

נסיונות חדירה מבוקרים: חשוב מאוד לערוך נסיונות חדירה מבוקרים ומחזוריים לרשת הארגונית ולאתרי האינטרנט החיצוניים ע"י גורמים חיצוניים מומחים. יש להגדיר את תרחישי הבדיקה הנדרשים באופן מפורט.
בין השאר, כדאי להגדיר את התרחישים הבאים:

• נסיונות חדירה ע"י מייל Phishing המכילים לינקים לאתרים זדוניים והמכילים צרופות המכילות סוסים טרויאניים שעשויים לאפשר מתקפות APT.
• נסיונות חדירה לרכיבי תשתית ברשת הארגונית.
• נסיונות חדירה אפליקטיביים ותשתיתיים לאתר האינטרנט.
• נסיונות חדירה למערכת ה – VPN לגישה מרחוק.
• נסיונות חדירה ל – IVR.

 

גלישה מאובטחת והפרדה מהאינטרנט

אם בשנה-שנתיים האחרונות המונח התקפות סייבר הפכו לביטוי חביב ע"י עיתונאים (מבלי שהם ואנחנו בטוחים למה הכוונה), הרי שעכשיו ארגונים מתחילים להפנים את הסכנות הנובעות מהתקפות כאלה. אם בעבר היה 'מספיק' שרת AV ומערכת Firewall להגן על הרשת, כיום הארגון נדרש להגן על עצמו מפני התקפות APT. אם בעבר התקינו ביציאה מהרשת, לכיוון האינטרנט, שרת Proxy, היום מבינים שקיימים סיכונים רבים לקישור הרשת הפנימית ישירות לאינטרנט (גם עם פרוקסי).

כיצד ארגון יכול להתגונן מפני התקפות ממוקדות שנועדו ליצור פירצה קבועה מהרשת הפנימית, לצורך זליגת מידע רגיש, אל העולם החיצוני? בחלוקה גסה ישנן שתי גישות לכך:
פתרון שני מחשבים למשתמש: ניתוק מוחלט של רשת ה – LAN מהאינטרנט, ותקשורת החוצה מרשת חיצונית ('שחורה').
פתרון ניתוק לוגי: חסימת תקשורת בכל הפורטים בין רשת ה – LAN לבין האינטרנט.

הגישה הראשונה, ניתוק פיזי של המחשב הפנים-ארגוני מהאינטרנט וחיבור מחשב שני, ללא קישוריות פנים ארגונית, אל האינטרנט, רווחה בעבר בבנקים ועדיין רווחת בגופים בטחוניים. עם זאת, זוהי ארכיטקטורה כמעט בלתי אפשרית כיום ברוב הארגונים שרוצים לעמוד בקצב המהיר של השוק. עובדים פנימיים זקוקים לתקשורת עם גופים חיצוניים כגון ספקים, לקוחות, מתחרים (תתפלאו), נותני שירותים ועוד. אפילו עם רגולטורים. לכן, זוהי תפיסה שכנראה תישאר רק בקרב גופים בטחוניים וברשתות מיוחדות כגון  SCADA.

הגישה השנייה, ניתוק לוגי, תפסה חזק בשנים האחרונות במגזר הפיננסי בארץ ונותנת מענה טוב מאוד לרוב האיומים. כאן, הרשת הפנימית, ה – LAN, מתקשרת עם העולם החיצוני דרך מתווכים, ולמעשה הגלישה לא נעשית ממחשב המשתמש אלה דרך טרמינל. כך, סיכונים ומתקפות מהאינטרנט לא פוגעות במחשב המשתמש, אלא לכל היותר בשרת טרמינל הנמצא ברשת אחרת.

תיאור קצר של הארכיטקטורה של פתרון הניתוק הלוגי (הגישה השניה) ולאחר מכן שרטוט סכמתי:

רשת טרמינלים

הקמת רשת טרמינלים המיועדים לגלישה לאינטרנט בלבד. הרשת הזו היא מעין DMZ שאינה מכילה מערכות נוספות (למעט שרתי סינוני תוכן). המשתמש מתחבר מתחנת העבודה שלו אל שרת הטרמינל וגולש דרכו החוצה. ישנם כיום פתרונות המספקים למשתמש חווית משתמש דומה מאוד לגלישה ישירות מהתחנה. הוא למעשה לא יודע שהוא גולש מרשת טרמינלים ולא מהמחשב שלו. בתצורת עבודה כזו, נדרש פתרון להלבנת קבצים שהמשתמש מוריד מהאינטרנט לפני כניסתם לרשת הפנימית.

חסימת תקשורת

מגדירים ב – Firewall החוצץ בין רשת ה – LAN לבין חוות הטרמינלים חוק המאפשר למשתמשים גישה בפורט ייעודי לשרת הגלישה. מגדירים חוק נוסף (Deny) החוסם כל תקשורת אחרת (כל הפורטים) בין רשת העובדים לבין האינטרנט. הדרך היחידה החוצה לאינטרנט מתבצעת רק משרת הטרמינל.

מיילים

כאן יש חריג אחד. לרוב, הארכיטקטורה הזו מספקת פתרון לגלישה, ולא למייל. לכן, נדרש להשאיר עדיין פורט פתוח ב – Firewall למיילים בין רשת המשתמשים החוצה. במקרה כזה, התקפה מסוג APT שתכלול הכנסת סוס טרויאני במייל שיגרום לזליגת מידע רגיש דרך שירות המייל, תהיה אפשרית. עם זאת, התקפות APT אחרות לא יעבדו, גם אם יצליחו להכניס סוס כזה לרשת ולגרום לו לעבוד, כיוון שהוא ינסה לצאת החוצה בפורטים חסומים ע"י ה – Firewall.

חוויית משתמש

חשוב להבין שחוויית הגלישה נפגעת. אולם, אם מתקשרים (הזכרתי בעבר את החשיבות בשיווק אבטחת מידע) לעובדים את הסיכונים ואת הפתרון, הם יבינו את הסיבה לכך (גם אם ימשיכו לרטון כלפי הפתרון וכלפי הוגה הפתרון). זה לא פתרון קסם, זה מצריך פרויקט הקמה ארוך, ולא נותן 100% הגנה. אך כאשר מבצעים ניהול סיכונים, הפתרון הזה נותן ערך גבוה לארגון ומצמצם עד מאוד את הסיכונים.

 השרטוט הבא מציג גרפית את ארכיטקטורת הרשת לגלישה המאובטחה.

 

התפלגות סריקות רשת ממדינות שונות

המלצתי בפוסט הקודם לחסום תעבורת רשת ממדינות עוינות, ובמידת האפשר ממדינות אחרות שלא צפויות מהן פניות לגיטימיות לאתר החברה. ציינתי גם שזהו צעד אחד, מתוך מספר פעולות שיש לנקוט, שניתן ליישום די בקלות ומבלי להכנס להוצאות גדולות. חסימה זו לא תגרום לסיכון להיעלם, אך תקטין אותו באופן משמעותי.

בחנתי את סריקות הרשת המגיעות מחו"ל בחודשים האחרונים. מעניין לבחון מאילו מדינות מתקיימות סריקות רבות על הרשת בכל יום. לאחר ניתוח הנתונים הרבים (מיליוני סריקות), עולים הממוצעים היומיים הבאים:

• ארצות הברית אחראית כמעט לחמישית מהסריקות (18%)
• מהמדינות הבאות הגיעו כמעט מחצית הסריקות: ארה"ב, טאייוון, רוסיה, סין, קוריאה וברזיל
• כמעט 4% מהסריקות הגיעו ממדינות מוסלמיות/ערביות (בין השאר: פקיסטן, סעודיה, אירן, מרוקו, מצריים, אלג'יריה, כוויית, ירדן ועוד)

הטבלה הבאה מציגה את 30 המדינות המובילות בסריקות: