מתקפת כופרה, זה העסק שלך!

בשנה האחרונה חלה עלייה משמעותית במתקפות סייבר על עסקים, ארגונים ואזרחים. מתקפות כופרה עלולות להוביל לנזקים משמעותיים לעסק – אובדן ימי עבודה, עלויות שחזור, אובדן מידע עסקי ומידע על לקוחות ואף להשבתת העסק. בנוסף לכך, המתקפה עלולה לפגוע ולהשפיע על הלקוחות ולחשוף מידע אישי ורגיש. זיכרו – יש לכם אחריות כלפי הלקוחות שלכם!

כופרה היא תוכנה מזיקה הנועלת את המחשב ומונעת מהמשתמשים גישה לקבצים או לתוכנות, בדרך כלל באמצעות הצפנת מידע, ודורשות תשלום כופר בתמורה להשבת הגישה.

הבשורה הרעה – אם לא נערכתם מראש, יש מעט מאוד שתוכלו לעשות לאחר מתקפת כופרה.

הבשורה הטובה – יש מה לעשות עכשיו.

מערך הסייבר הלאומי חיבר מדריך קצר המסביר מהי דרישת כופרה, מה עושים במקרה שנתקפתם וחשוב מכך – כיצד ניתן להגן על הקבצים והמידע הדיגיטלי מבעוד מועד.

צעדים פשוטים להגנה על המידע והקבצים

הגנת סייבר היא תחום מקצועי שדורש טיפול וייעוץ של אנשי ונשות מקצוע, לכן ההמלצה הראשית היא להיעזר בהם. בכל זאת, בתור התחלה, ניתן לנקוט במספר צעדים ראשוניים ובסיסיים כדי להיערך מראש.

5 צעדים פשוטים שיסייעו לכם להיערך ולהפחית סיכוי למתקפת כופרה

בצעו גיבויים – בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד. ניתן לבחור לגבות רק קבצים ונתונים חשובים. מומלץ לגבות את כל המכשירים שברשותך. מומלץ לגבות במקביל הן בהתקן אחסון חיצוני והן בענן. חשוב לבצע התנתקות בסיום הגיבוי ולהטמיע אימות דו-שלבי.
התקינו תוכנות הגנה בסיסיות – התקינו תוכנות אנטי וירוס ו”חומת אש” מספק אמין על כל המכשירים. תוכנות אנטי וירוס מצריכות עדכוני תוכנה וסריקה על בסיס קבוע כדי להישאר יעילות. מומלץ להגדיר התקנת עדכונים אוטומטית בתוכנות אלו.
הקפידו על עדכוני תוכנה – הקפדה על עדכון מערכת ההפעלה והתוכנות היא אחת הדרכים היעילות ביותר למנוע מתקפת סייבר. הגדירו עדכונים אוטומטיים אחת ליום. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות שעליהן מתריע מערך הסייבר.
גלו עירנות להודעות דיוג ומתחזים והתנהלו בזהירות –אם יש לכם ספק, צרו קשר ישירות עם השולח/ת באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא”ל, במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות: EXE, .VBS, SCR. כמו כן יש להיזהר מסיומות כפולות כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.
הכינו תוכנית מגירה למקרה של תקיפה – הערכות מבעוד מועד יסייע בצמצום וניהול נכון בעת משבר ובכלל זה התקשרות עם חברת IR שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני העלייה מגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.

מקור: מערך הסייבר הלאומי

ניהול סיסמאות

סיסמאות הן קו ההגנה הראשון לשמירה על זהותך המקוונת, אך הן גם הפגיעות ביותר. נתחיל מהסוף להתחלה בכמה המלצות לשמירה על סיסמאות חזקות, בהמשך נבין את ההיגיון לכך.

המלצות לניהול סיסמה חזקה
*השתמש בסיסמאות המורכבות מאותיות גדולות וקטנות, מספרים וסמלים ליצירת סיסמאות מורכבות.
*הימנע משימוש בשם שלך או במידע אישי אחר בסיסמה שלך.
*שנה את הסיסמה שלך לעתים קרובות.
*בחר סיסמאות שקל לזכור אך קשה לנחש.
*אל תשתמש באותה סיסמה ליותר מחשבון אחד! לכל חשבון תבחר את הסיסמה שלו, אין בעיה לשמור על קו אחיד שיעזור לך לזכור את הסיסמאות אבל לא להשתמש בססמה זהה
*השתמש באימות דו-שלבי (2FA)
*השתמש בתוכנת סיסמאות מוכרת (ראה המלצות מטה)
*השתמש בסיסמה באורך של מינימום 8 תווים, רצוי גם יותר
*תזכור סיסמאות הן המפתח לחיים המקוונים שלך ואתה צריך להגן עליהן בכל מחיר.
*תוכנות לניהול סיסמאות

מכיוון שאבטחה היא נושא כה חשוב, חשוב להשתמש במנהל סיסמאות אם אתה רוצה להישאר בטוח בעידן הדיגיטלי הזה. הם לא רק יגינו על פרטי החשבון שלך מפני האקרים, הם גם הופכים את החיים לקלים יותר כשזה מגיע לזכור איזה שם משתמש מתאים לאיזו סיסמה. הם חובה לכל מי שרוצה חיים מקוונים יותר מאורגנים!

מנהלי סיסמאות הם כלים המאחסנים סיסמאות למספר אתרים רב במסד נתונים מוצפן ומאובטח. זוהי דרך הרבה יותר בטוחה לאחסון מידע אישי, אך יש לה גם חסרונות.

שני סוגים עיקריים לניהול הסיסמאות הם מנהלי סיסמאות מבוססי ענן ומנהלי סיסמאות מקומיים. מנהלי סיסמאות מקומיים מאחסנים את הסיסמאות שלך במכשיר שלך ואינם דורשים חיבור לאינטרנט כדי לעבוד, מה שאומר שסבירות נמוכה יותר שהסיסמאות שלך ייגנבו ללא סיבה הקשורה אליך ו\או למכשיר שלך, כלומר אם יפרצו לספק התוכנה לא יוכלו לגנוב ממנו את הסיסמאות שלך בניגוד לסיטואציה של שימוש בספק ענן. מצד שני אם החשב שלך ייגנב או ייפרץ כן יוכלו לגנוב ממנו את הסיסמאות, כמו כן לא תוכל לסנכרן את הסיסמאות בין מכשירים שונים. מנהלי סיסמאות מבוססי ענן מסונכרנים בין מכשירים שונים אך כמובן שבמקרה זה עלינו לסמוך על ספק התוכנה, במידה ויפרצו לספק התוכנה, קיים סיכוי לגניבת הסיסמאות שלך וכבר היו מקרים כאלה בעבר.

כיום גם הדפדפנים הנופצים (Firefox, Google Chrome) כבר התחילו לספק שירות ניהול סיסמאות ואף בחינם, כמובן שזה ניהול סיסמאות במודל ענן.

לגבי תוכנה מומלצת לשמירת סיסמאות מקומית במכשיר שלך, יש תוכנה חינמית ומאוד מוכרת הנקראת KeePass. התוכנה מכילה מגוון אופציות ותכונות מתקדמות.

אימות דו-שלבי
חשוב להבין שכיום רמת האבטחה המבוססת על סיסמה בלבד כבר אינה מספקת ויש לאבטח את החשבונות שלנו עם אימות דו-שלבי (2FA או Two Factor Authentication), זהו אמצעי אבטחה שמוסיף שכבת הגנה נוספת לחשבון. מכיוון שאימות דו-שלבי דורש משהו נוסף שיש לך, שהוא בדרך כלל הטלפון שלך, ומשהו שאתה יודע, שהוא הסיסמה שלך, קשה יותר להיכנס או לגנוב חשבון (אבל זה עדיין לא אומר שזה לא אפשרי, בהמשך נבין למה).

אפליקציית אימות דו-שלבי (2FA) מייצרת עבורך קוד זמני נוסף לסיסמה שעליך להזין כדי להיכנס. במהותה, זהו שכבת הגנה נוספת עבור חשבונך כפי שציינו.

אחד הפתרונות הנפוצים ביותר שתומכים בהרבה אפליקציות ואתרים זה אימות דו-שלבי עם תוכנה הנקראת Google Authenticator. השימוש הוא מאוד פשוט עם כמה שלבים בסיסיים:

הורד את אפליקציית המאמת של Google לטלפון שלך (Google Authenticator)
הירשם ל- 2FA באתר שבו ברצונך להפעיל אותו
סרוק את קוד ה- QR באמצעות הטלפון שלך דרך תוכנת ה- Google Authenticator או הזן את המפתח המסופק באופן ידני.
המלצה חשובה ביותר: כיום תוכנת ה- Google Authenticator מאפשרת לייצר גיבוי והעברת המידע ממכשיר ישן לחדש, חשוב מאוד לדאוג מראש לעשות גיבוי לפני החלפת מכשיר ובכלל מבעוד מועד, אחרת תצטרכו להגדיר את כל החשבונות מחדש וזה לא דבר פשוט.

יש הרבה אפליקציות 2fa זמינות בשוק, אך לא כולן מציעות תכונות אבטחה ופרטיות חזקות. חברות כמו Authy ו- Google Authenticator מציעות רמות אבטחה גבוהות בשל השימוש בקריפטוגרפיה וסיסמאות חד פעמיות המבוססות על זמן.

מה לגבי SMS
גם הודעות SMS משמשות לא מעט כאימות דו-שלבי (2FA), אך מה יותר מאובטח שימוש בהודעת SMS או שימוש בתוכנות אימות כגון Google Authenticator.

הודעת SMS אינה השיטה הבטוחה ביותר לשימוש, באופן כללי הודעות SMS עובדות בשיטה לא בטוחה ולא מוצפת מה שמאפשר לתוקפים ליירט הודעות בכל מיני שיטות, אך מעבר ניתן בקלות לזייף הודעות ורמת האמינות שלהן נמוכה. מכיוון שרוב האנשים משתמשים בטלפונים שלהם כדי לגשת לדוא”ל, מדיה חברתית, רשומות בנק וכל דבר אחר שהם עושים באינטרנט, חשוב להם לדעת שהודעות הטקסט שלהם אינן מאובטחות.

אבל שלא תטעו כמובן ששימוש בהודעות SMS כאימות דו-שלבי עדיף והרבה יותר מאובטח מאשר לא להפעיל אימות דו-שלבי! ההמלצה היא תמיד להעדיף תוכנות אימות כגון Google Authenticator.

פריצת סיסמאות
חלק מסוגי הסיסמאות הנפוצות ביותר שאנשים משתמשים בהן הן מחרוזות מספרים, מילים מתוך רשימה ומידע אישי כגון שמות וימי הולדת. בחלק זה נבחן מדוע סוגים אלה של סיסמאות אינם יעילים כפי שאנו חושבים ומדוע אינם בהכרח עוזרים להגן על החשבונות היקרים שלנו מפני פריצה.

אחת הדרכים לעקוף את הסיסמה היא שימוש במתקפה של ניחוש סיסמאות (Brute Force). התקפה זו מנסה את כל המחזורות האפשריות של אותיות, מספרים וסמלים כדי לנחש את הסיסמה או לחלופין מבוססת על רשימת מילון של סיסמאות ידועות מראש. התקפה מסוג זה נפוצה מאוד.

אחת מרשימות הסיסמאות הנפוצה ביותר שבה תוקפים משתמשים לניחוש סיסמאות נקראת Rockyou.

קיימת תפיסה קצת מוטעית כי סיסמאות ארוכות יותר מספקות הגנה רבה יותר מאשר סיסמאות קצרות יותר מכיוון שלוקח יותר זמן עד שהאקרים יפרצו אותן באמצעות התקפות ניחוש סיסמאות (Brute Force). זה נכון האורך של הסיסמה מאוד משפיע אך למעשה האורך אינו החלק היחידי שחשוב, אלא המורכבות והשימוש במחרוזת שאינה קלה לניחוש, למשל אורך של סיסמה בת 10 תווים נשמע מספיק חזק אך אם הסיסמה תהיה “1234567890” אז מדובר בסיסמה מאוד חלש וקלה לניחוש.

רובד נוסף בנושא פריצת סיסמאות מדבר על הדלפת מידע מאתרים בהם נרשמנו עם הסיסמא שלנו, למעשה מדי יום אתרים נפרצים בעולם וכן גם לטובים ולגדולים ביותר זה קורה, פייסבוק, טוויטר ועוד רבים וטובים כבר נפרצו וסיסמאות של משתמשים הודלפו ברשת. תוקפים לוקחים את הסיסמאות שלכם ואפילו לא צריכים לפרוץ אותן, הן פשוט אצלהם.

לכן, הדבר החשוב ביותר הוא להחליף סיסמאות אחת לכמה זמן, לא להשתמש באותה סיסמה לכמה חשבונות ואם שומעים שאתר שנרשמנו אליו נפרץ אז ישר מחליפים סיסמה + תמיד מומלץ להפעיל אימות דו שלבי

קשה להעריך את הזמן שלוקח לפצח סיסמה. זה יכול להיות תלוי בגורמים רבים, כולל סוג ההצפנה איתה היא מוצפנת, המורכבות של הסיסמה וכוח העיבוד של המחשב המבצע את הפיצוח.

הנדסה חברתית
התחזות או דיוג (phishing) היא סוג של הנדסה חברתית שבה התוקף מנסה לחשוף מידע רגיש מהקורבן על ידי התחזות כישות מהימנה בתקשורת אלקטרונית. ההתחזות מגיעה בדרך כלל בדואר אלקטרוני או הודעת SMS שנראה שמקורם אמין. ההודעה עשויה להכיל קישור או קובץ מצורף המוביל לאתר מזויף שנראה בדיוק כמו האתר המקורי, המיועד ושם התוקף יבקש ממכם להזין את פרטיכם לרבות סיסמתכם.

בחלק זה נדבר כיצד ניתן להשתמש בדיוג כדי לעקוף אימות דו-גורמי.

התוקפים כבר הספיקו להשתכלל ולמדו שגם אימות דו-שלבי ניתן לעקוף באמצעות הנדסה חברתית, מה שבעצם הם עושים זה שלאחר ששלחו לכם קישור לאתר המתחזה ונפלתם קורבן והזנתם את שם המשתמש והסיסמה לאותו אתר או שירות, התוקף לוקח את הפרטים האלה, מנסה להתחבר בשמכם לאותו אתר ואז בשלב הבא התוקף יבקש ממכם קוד אימות שנשלח אליכם באמצעות הודעת SMS, ניקח למשל את חשבון הבנק שלכם, לאחר שהזנתם שם משתמש והסיסמה אתם מקבלים הודעת SMS למכשירכם שבה יש קוד אימות זמני, את הקוד הזה אתם מזינים לאתר הבנק וכך מתחברים, הקוד הזה הוא למעשה האימת הדו-שלבי לחשבון הבנק שלכם. מה שיקרה בהתקפת הדיוג הוא שלאחר שהתוקף “דג” את שם המשתמש והסיסמה שלכם, הוא משאיר אותכם באתר המתחזה ואומר לכם שאתם תקבלו קוד אימות ומבקש ממכם את הקוד, מאחורי הקלעים מה שקרה הוא, שהתוקף נכנס בשמכם לחשבון הבנק, הבנק שלח לכם קוד אימות הרי הטלפון שלכם כבר מוגדר שם, אתם קיבלתם את הקוד אך במקום להזין אותו באתר המקורי הזנתם אותו ישירות לתוקף שפשוט לקח את הקוד ועקף את האימות הדו שלבי שלכם!.

לסיכום טיפ: לא לפתוח קישורים מהודעות לא מוכרות, לא להזין פרטים היכן שלא צריך, חושדים? לא בטוחים? אל תכנסו לחשבון דרך הקישור ששלחו לכם אלא תגלשו בצורה יזומה לאתר שאליו אתם רוצים להתחבר כך שאתם שולטים בכתובת האתר וכך תמנעו מעצמכם גלישה לאתרים מתחזים!

מקור: PENTEST

כיצד להגן על החברה שלך מפני איומי סייבר

מאמר זה מציג כמה מהצעדים שחברות צריכות לנקוט כדי להגן על עצמן מפני האקרים, פושעי רשת ואיומים פוטנציאליים אחרים.

אלה חלק מהצעדים החשובים ביותר שחברות צריכות לנקוט כדי להגן על עצמן מפני מתקפות סייבר:

לימוד ומודעות עובדים על מתקפות פישינג וכיצד לזהות מיילים חשודים
*אבטחת נתוני חברה רגישים
*שימוש באימות דו-שלבי
*שמירה על תוכנות ומערכות הפעלה מעודכנות
*ביצוע מבדקי חדירות תקופתיים לכלל המערכות
*דימוי תקיפות על הארגון וחשיפת נקודות תורפה
*בדיקת חדירות

נתמקד רגע באחד המושגים שהוזכרו כאן – בדיקת חדירה, הבדיקה למעשה מהווה בחינה מעמיקה של אבטחת הרשת\תשתית או אפליקציה, עוזרת לזהות נקודות תורפה אפשריות לפני שהן מנוצלות על ידי התוקפים.

בדיקות חדירה משמשות לעתים קרובות כאשר ארגונים שוקלים לבצע שינויים בתשתיות שלהם, כגון יישום טכנולוגיות חדשות או שדרוג תשתיות. כמו כן כמובן שניתן להשתמש בה לבדיקת סוגים אחרים של מערכות, כגון אפליקציות ויישומי אינטרנט.

שתי סיבות עיקריות לשימוש במבחן חדירה:

להעריך את החוסן הכולל של מערכת כנגד התקפות אפשריות
להעריך עד כמה יעילות בקרות האבטחה בארגון
בדיקות חדירה נערכות על מנת לאבחן את החולשה באבטחת המערכת, על ידי הדמיה של התקפה ולכן במידה ובדיקת החדירה מתוכננת היטב היא תזהה נקודות תורפה שלא בהכרח מודעים להן.

מתקפות פישיניג \ מתקפות דיוג
הנדסה חברתית ופישינג
כעת נעבור למושג נוסף שהזכרנו – התקפת פישינג או התקפת דיוג.

התקפות פישינג הופכות יותר ויותר פופולריות ומתוחכמות בימים אלה. כתוצאה מכך, עלינו לחנך את עצמנו ואת עובדינו ולהיות מודעים לסימנים של התקפת דיוג פוטנציאלית.

דע עם מי אתה מתקשר: אם מישהו מבקש את המידע הרגיש שלך, ודא שאתה יודע מי הוא. הרבה פעמים אנשים התוקפים יוצרים אתרים בעלי מראה רשמי שנראים כמו האתר האמיתי כדי לגנוב את הנתונים שלך. השווה את מה שהם מבקשים לבין מה שבדרך כלל היית מתבקש בעת כניסה לחשבונות כמו פייסבוק, גוגל, אמזון, חשבון הבנק או כל שירות אחר.
שים לב לשגיאות כתיב: התוקפים לא תמיד מאייתים היטב את התוכן ולרוב טועים בהודעות ובמיילים שלהם. טעויות אלה עלולות לחשוף את הונאתן עוד לפני השלב בו הם מנסים לגנוב את הנתונים שלך.
המלצות
כמה כללי אצבע:

אין לחשוף מידע אישי בדוא”ל בהודעות, או בשיחות טלפון עם אנשים זרים.
יש לאפשר אימות דו שלבי (2Factor Authentication) בחשבון מדיה חברתית, חשבונות בנקיים ואתרים אחרים שבהם המידע האישי שלך משותף.
בדוק תמיד את כתובת האתר לפני הכניסה.
שנה את הסיסמאות שלך באופן קבוע, וודא שהן ייחודיות לכל אתר

מקור PENTEST

מהי מערכת SIEM?

מערכת SIEM עומדת לראשי תיבות של Security Information and Event Management ומדובר במערכת סייבר שיודעת לקבץ ולאחד מידע (לוגים) מכל מיני מערכות הקיימות בארגון (מערכות אבטחה, רכיבי רשת, מחשבי קצה) ומנתחת את המידע הזה לפי תנאים המוגדרים מראש (חוקים) על מנת לזהות התנהגות חשודה המעידה על מתקפות פוטנציאליות או על אנומאליה מכל סוג.

פתרון SIEM מספק מקום מרכזי שבו נוכל לראות אירועים והתראות וכמובן מספק נראות על שלמות הרשת הארגונית ומצבה.

מערכת SIEM תאסוף לוגים מהמערכות השונות (מכשירי רשת, שרתים, דומיין וכמובן כל סוג של מערכת אבטחה שנחבר אליה), היא תנרמל את אותם האירועים שיגיעו ותקבץ את כל המידע שהתקבל.

המערכת תדע לנתח את המידע הזה על מנת לגלות איומים פוטנציאליים ולאתר במדויק פרצות אבטחה, ועל מנת לאפשר לארגונים לחקור אותם וליצור מיטיגציות ודרכי פעולה לתרחישים שונים, בהתאם למודל הסיכון והאיומים של אותה החברה.

מערכת הסייבר SIEM, מספקת שתי יכולות מרכזיות לצוותי התגובה בארגון:

דוחות מפורטים ופורנזיקה על אירועי אבטחה.
התראות מבוססות אנליטיקה שיתאימו לסט חוקים מסוים, שנבנה מראש באופן מותאם לצרכי הארגון והאיומים המרחפים מעליו.
בקצה – מדובר במערכת שמקבצת דיווחים (לוגים) מכל מיני מכשירים שונים ברחבי הרשת, מחפשת בהם לפי חוקים המוגדרים מראש ועוזרת לצוותי הסייבר (אנליסטים) ליצור תמונת מצב מלאה.

אפשר להתקין את מערכת SIEM במכונה וירטואלית, בשרת אמיתי במתחם הארגון (On Prem) או בשרת ענני.

ישנם ספקי SIEM שונים וכולם מוכרים מאוד בתעשייה העולמית ועומדים כחוד החנית הטכנולוגית.

הספקים המוכרים והגדולים ביותר הם :

מערכת Sentinel מבית Microsoft
מערכת Splunk
מערכת Qradar מבית IBM
ארכיטקטורת SIEM
מעבר לניתוח לוגים וקורלציה בין נתונים שונים שאפשר לעשות במערכת, ניתן להשתמש בפיצ’רים נוספים שיתנו אינדיקציות נוספות (למשל במערכת Qradar נוכל להשתמש באפליקציות כמו :

Qradar Risk Manager
Vulnerability Manager
Incident Forensics
השימושים ב QRADAR יכולים להיות למטרות שונות:
Log Management – איסוף לוגים של אירועי רשת על מנת לבצע חקירה פורנזית בשלב מאוחר יותר במידה ויש צורך בכזו.
Regulation Compliance – לחלק מהחברות יש צורך בעמידה ברגולציה שונה (במיוחד חברות ביטוח, חברות ממשלתיות או בנקים).
מטעם עמידה ברגולציה של שמירת לוגים לטווח זמנים מסוים לפי הגדרת התקן או למטרת איסוף מידע בשביל לייצר דוחות קבועים למטרות מעקב וביצוע Audit פנימי או חיצוני.
Internal Monitoring – איסוף, ניתוח וביצוע קורלציה על מידע שנאסף למטרת חשיפת אירועי אבטחה בסביבת הרשת הארגונית.
Breach Detection – ניתוח מידע על מנת לזהות בעיות אבטחה שיכולות להוביל לנזק ארגוני ופגיעה בנכסי החברה.
ישנן צורות שונות ומגוונות של ארכיטקטורות SIEM וכל ארגון בונה את הסביבה שלו בהתאם לצרכיו האישיים.

האפשרויות הן :

Mssp – בעוד ש SIEM הוא מוצר, MSSP הוא שירות מנוהל, משמע שכל ארגון יצטרך לבחור אם הוא לוקח פתרון SIEM שישב בבית (פיזית בחברה) או שירות SIEM מנוהל שתאורטית יכול לשבת במקום אחר ולהיות מנוהל ע”י ספק חיצוני.
במצב כזה, שעדיף לרוב הארגונים, נותן השירות גם מתחייב לספק את האנליסטים שינתחו את המידע ויגיבו לאיומים הצפויים, ינטרו את הרשת הארגונית של הלקוח ויספקו המלצות מבוססות מחקר.
On Premise – לארגונים הבוחרים בפתרון הזה, יש שליטה מלאה על המידע שלהם מאחר וכולו מאוחסן בחברה (השרת פיזית נמצא בשטחי החברה והם דואגים לו, לכל המשתמע מכך).
פתרון ענן הוא לא On Prem מאחר והמידע “יוצא החוצה” מהידיים של החברה ומגיע אל ספק הענן, הוא נמצא מחוץ לשרת ה SIEM של החברה.
High Availability – מדובר במצב המתאר “הכנה לנפילה”.
מדובר באחזקה של שרת SIEM מרכזי שאחראי לתפעול המערכת ושרת שני לו שיתפקד בתור גיבוי למקרה חירום.
אם משהו קורה לשרת הראשי מסיבה מסוימת (כשל, מתקפה…), המערכת השניה תזהה מיד את הסיטואציה ו “תחליף” את אותו השרת שכשל בשביל למנוע איבוד מידע ואיבוד עיניים על הארגון.
על מנת לחבר מערכת כלשהי שתוכל לדווח ל SIEM עצמו (כמו למשל Firewall, Waf או NAC), ישנם פרוטוקולים שונים שיודעים לעבוד עם המוצרים השונים ובכך ליצור הסכמה על דרך העברה משותפת לאותם רכיבים.
נתאר חלק מהפרוטוקולים:

Syslog – הפרוטוקול הכי מוכר שנמצא הכי הרבה בשימוש למטרת חיבור רכיבים למערכת ה SIEM.
הוא נועד לדיאגנוסטיקה וניטור של מידע שמגיע מהמערכות השונות אל שרת מסוים (אחד משרתי ה SIEM) שמאזין בפורט 514 ב UDP לאותה כתובת השרת השולח.
הבעיה ב Syslog הוא שצורת השילוח היא UDP, משמע המידע לא מוצפן.
MSRPC – מדובר בפרוטוקול אקטיבי שיודע לאסוף לוגים של מערכות Windows בצורה מוצפנת מבלי הצורך בהתקנת Agent על השרת עצמו.
API – מדובר במעין גישה או דרך לקבל מידע שאתר או שירות מסוים מחזיקים.
מי שמספק את ה API הוא מי שמחזיק באותו המידע ומעוניין לשתף אותו עם אחרים, ומי שמשתמש ב API הוא מי שירצה שרוצה לקבל את אותו המידע בצד השני.
Wincollect – מדובר בתוכנת קצה מבית Microsoft שנועדה לשמש כ Event Forwarder מתחנות Windows שונות (עמדות קצה, שרתים) לשרתי מערכת ה
הפרוטוקול מאפשר איסוף לוגים ממערכת לוקאלית או להיות מקונפג בשביל לאסוף לוגים ממערכת מרוחקת.

Syslog TLS – הוא הפתרון האבטחתי לבעיית ההצפנה שיש ב Syslog הרגיל.
מדובר בהכלאה בין Syslog רגיל לבין פרוטוקול SSH על מנת לייצר שכבת הצפנה שתגן על המידע בתווך.
הפרוטוקול מתאר גישה פסיבית מצד השרת המאזין (אחד משרתי ה SIEM) שמחכה לקבל תקשורת מצד השרת השולח (כל מערכת שנרצה לחבר ולהעביר ממנה אירועים תחת Syslog TLS).

כתב – שי ממן
מקור : SEE SECURITY

מה זה בודק חדירות – Penetration Tester (“האקר”)?

ההגדרה הבסיסית של האקר היא מי שמשתמש במערכת המחשב כדי לקבל גישה לא מורשית למערכת אחרת עבור נתונים, או מי משבש או שגורם למערכת להיות לא זמינה.

מרבית ההאקרים בעולם, עושים שימוש בידע לצורך עבודתם כ”בודקי חדירות” (האקר לבן), לשם איתור נקודות תורפה לפני שנקודות אלו יימצאו וינוצלו לרעה על-ידי אחרים. אחרים, ישתמשו בכישורים שלהם לשם גניבת כסף או שווה כסף או מידע, או לשם השגת תהילה, או ממניעים פוליטיים.

כשם שבודקי חדירות עשויים לעבוד בצוות, גם פושעים נוהגים לעיתים לעבוד בצוותים, וכך גם ארגוני טרור ובמיוחד – ארגוני ביון. יכולותיהם של האחרונים הן אדירות. כאשר ארגון ביון מחליט לתקוף מטרה, קשה מאוד להשקיע מספיק משאבים על מנת להגן עליה.

מאידך, כדי למנוע התקפות של האקר בודד, נדרשת סדרת פעולות יקרה, אך אפשרית, כדי לגרום להאקר-פושע לחזור בו מניסיונותיו, ולהפנות את מאמציו לעבר מטרה קלה יותר.

כישורים וידע בסיסי נדרשים
מערכות מידע ומחשבים הם עניין מורכב, ולצורך הבנתם, נהוג לחלק את הידע לשכבות (לגובה) ולתחומים (לרוחב). עמוק למטה יש “ברזלים”. מעליהם – תכנה הצרובה בברזלים, מעליהם – מערכת הפעלה, ומעליה – אפליקציות (יישומים – השכבה השביעית) הכתובות בשפות תכנות שונות, ומעל כולם – האדם המפעיל או המשתמש (השכבה השמינית). בין כל אלו – לרוחב ולגובה – קיימת תקשורת ענפה, בתוך המחשב, מחוצה לו בין מחשבים קרובים פיזית, ובין סניפים, ערים, עולם האינטרנט הציבורי וכו’.

למערכות מידע אלו, קיימות לעיתים נקודות “ניטור” ו”טבעות אבטחה” מגוונות ומתוחכמות.

בנוסף, המחשבים עצמם כמעט שלא עושים טעויות. אנשים עושים טעויות. בין אם בתכנון המחשב, בין בתכנון התוכנה, ובין כמשתמשים במחשב. אנשים, ורק הם, מתכננים תכנה ומפעילים מחשבים. לכן, מרחב הכישורים הנדרש מרשים:

תפישה מהירה
סקרנות
עיקשות
יצירתיות
מניפולטיביות
האקרים צריכים לדעת המון. יסודות חומרה, מערכות הפעלה, טופולוגיות ופרוטוקולי תקשורת, שפות תכנות, מסדי נתונים, יישומים, שיטות ואמצעי הגנה, הרגלי אנוש ושגיאות נפוצות. את כל אלו – האקר צריך להכיר מקרוב.

כדי להכשיר האקר, יש לבחור באלמנטים הנפוצים ביותר שבהם צפוי האקר להיתקל בשנותיו הראשונות. את השאר – ילמד “על הדרך”.

אחד האלמנטים המהותיים ביותר, הוא לפתח מיומנויות במה שנקרא “הנדסה חברתית” (Social Engineering). הנדסה חברתית כרוכה בהשגת אמון של המשתמשים ובעלי ההרשאות של רשת המחשב ובמניפולציות הנדרשות כדי להשיג אמון בדרך לקבל גישה אל משאבים אלו. האקר עשוי לקבל גישה פיזית לחדר שרת, לדוגמה, על ידי הצגת מצג שווא בפני העובדים בבניין, או גישה לרשת על ידי שכנוע משתמש לתת לו את הסיסמה שלו.

כדי להתגבר על ההיקף ה”בלתי נגמר” של נושאים, נדרשים כישורי קליטה מהירים.

דרישות הסמכה
ההסמכות הבינלאומיות הקיימות כיום בעולם הנן מסחריות, ומתקשות לבדוק בפועל את יכולתו של בודק חדירות, שכן עבודתו מבוססת על פרקטיקה, ואין משמעות מהותית לבחינת ידע תיאורטי. ההסמכות הקיימות הן:

CEH (Certified ethical hacker), OSCP (Offensive security), SANS, HDE (Hacking Defined Experts).

הסמכת CEH היא הקלה שבהן, תיאורטית למדי, ואינה מקנה מקצועיות גבוהה.

הסמכת HDE עמוקה וקשה, מחייבת 4 חודשי לימוד, אך מיועדת רק לבעלי רקע ב-IT או רקע בפיתוח. בסוף תכנית ההסמכה מתקיים מרתון קשה בן 9 שעות רצופות שנקרא HDE-CTF: Hack & Beer. בוגרי הקורס יכולים בקלות יחסית לגשת גם למבחן CEH, ולאחר הכוונה – גם למבחן OSCP שנחשב קשה יותר, ומבחן ההסמכה שלו נמשך 24 שעות. מבחן OSCP או הקורס – אינם מיועדים בשום אופן למתחילים.

סוגי האקרים
White Hat – האקרים מהסוג הטוב, הידועים גם בשם “בודקי חדירות”. מדובר באנשים עם ידע טכני נרחב שמשתמשים בו למטרות בדיקת תשתית, אפליקציה או אתרים, למצוא את החולשות הקיימות בהם ולכתוב דו”ח המלצות מפורט למזמין הבדיקה, על מנת שיוכל לתקן את הסכנות לפני מימוש זדוני שלהן.
Black Hat – האקרים בכובע שחור הם פושעי סייבר, המנצלים את הידע הטכני שלהם על מנת למצוא חולשות קיימות במוצר או תשתית ולהשתמש בממצאים האלו על מנת להשיג רווח אישי או למטרת זדון והרס ממניעים שונים, בין אם באופן אישי או כשליחים על ידי מזמין עבודה צד-שלישי.
Grey Hat – מדובר באדם שבדרך כלל, נמנה עם הטובים ושומר על החוק, אך מדי פעם יכול לבצע פעולות בלתי חוקיות, לרוב כאלו שנחשבות “על התפר הדק” בין חוקי לפלילי או אפילו מעשים פליליים חד משמעיים.
Script Kid – מדובר באנשים ללא ידע טכני נרחב, שלא מכירים את השיטות ואת הטכנולוגיה על בוריה אלא משתמשים בכלים מוכנים ומסתמכים על אוטומציה שלא בנו על מנת לבצע תקיפת סייבר מכל סוג. כאשר משהו יסתבך בדרך התקיפה בגלל קוד שצריך התאמה אישית או כלי שיפסיק לעבוד, הם לא ידעו איך להמשיך משם.
Hacktivists – מדובר בהאקרים הפועלים ממניעים אידיאולוגיים בלבד כנגד ארגונים או מדינות, שאינם מסכימים עם דרך הפעולה שלהם וחושבים שהם מפלים לרעה אוכלוסיות או פוגעים בהן ללא הצדקה. האקרים מסוג זה ילוו במעשיהם בתחושת גאווה ושליחות.
Nation State Hackers – סוג תוקפי סייבר מסוכן מאוד ואלים. מדובר בקבוצות הממומנות על ידי מדינה עם מטרות מאוד ברורות ורחבות היקף, בדרך כלל כנגד מדינות אויבות. החברים בקבוצה יהיו בעלי מימון בהיקף גדול מאוד, בעלי ידע טכני ברמה יוצאת דופן ובעלי תוכניות גרנדיוזיות שיעשו Impact שיכול ועלול להשפיע בהיבט פוליטי מדיני (למשל פעילות של קבוצת תקיפה המזוהה עם רוסיה שניסתה לבצע הטיית בחירות והשפעת תודעה רחבת היקף).
Insider – אולי סוג התוקף הכי משמעותי ומסוכן בתחום הסייבר, במיוחד לארגונים. כאשר ארגון סומך על העובדים שלו בביצוע משימותיהם ומקצה להם משאבים על מנת לבצע את עבודתם, הוא מסיר מראש את מרבית המגננות שלו מפני התוקפים שבחוץ. כאשר עובד מנצל את האמון שניתן בו על ידי אותו ארגון ומחליט לגנוב מידע או לגרום לנזק, הוא כבר “עבר מראש” את רוב ההגנות שנועדו בדיוק למניעת הפעולות הללו.
“דרגות” במקצוע בודק חדירות
קיימות דרגות יכולת וידע, אך הן אינן רשמיות. הפערים בין האקרים באים לידי ביטוי בכישוריהם הטבעיים, ברוחב השליטה בידע (כמות הנושאים), בעומקם, ובהתמחויות השונות (התעמקות בנושא ספציפי).

לכן, לוותק ולניסיון משמעות רבה מאוד במקצוע זה, לצד הקליטה המהירה.

עם זאת, רצוי מאוד לפרסם בטופס קורות החיים את הסמכות HDE ו-OSCP.

מקור : SEE SECURITY

מושגי מפתח באבטחת מידע וסייבר סקיוריטי

לב אבטחת המידע הוא השילוש הנקרא CIA (Confidentiality, Integrity and Availability) של סודיות, יושרה וזמינות. (השילוש מכונה בספרות לסירוגין כ”תכונות אבטחה”, “תכונות”, “יעדי אבטחה”, “היבטים בסיסיים באבטחת מידע”, “קריטריונים של מידע”, “מאפייני מידע קריטי” או “אבני בניין בסיסיות”).מושגי מפתח באבטחת מידע וסייבר סקיוריטי

סודיות – Confidentiality
באבטחת מידע, סודיות “היא התכונה שלפיה, מידע לא יהיה זמין לרשות יחידים, ישויות או תהליכים בלתי מורשים.” סודיות היא “מקרה פרטי” של פרטיות שמשמשת להגנה על הנתונים מגורמים בלתי מורשים. דוגמאות: גניבת מחשבים ניידים, גניבת סיסמא או מיילים רגישים הנשלחים לאנשים הלא נכונים.

שלמות – Integrity
באבטחת מידע, שלמות נתונים פירושה שמירה והבטחת הדיוק והשלמות של הנתונים לאורך מחזור החיים כולו. פירוש הדבר שלא ניתן לשנות את הנתונים באופן לא מורשה או לא מבוקר. שלמות הנתונים חיונית לשמירה על האמון במידע והבטחת מהימנותו לקבלת החלטות ופונקציות קריטיות אחרות. שינויים לא מורשים או התעסקות בנתונים עלולים להוביל לתוצאות משמעותיות, כולל פגיעה בדיוק ואובדן אמון במידע.

זמינות – Availability
על מנת שמערכת מידע כלשהי תשרת את מטרתה, המידע חייב להיות זמין בעת ​​הצורך. משמעות הדבר היא שבקרות האבטחה המשמשות להגנה וערוצי התקשורת המשמשים לגישה אל מערכות המחשוב המשמשות לאחסון ולעיבוד המידע, חייבים לתפקד כראוי.

יש לשאוף שמערכות יהיו זמינות בכל עת, ולמנוע הפרעות בשירותים בגלל הפסקות חשמל, תקלות חומרה ושדרוג מערכות. הבטחת הזמינות כרוכה גם במניעת התקפות של מניעת שירות (הכוונה ל”שיטפון” של הודעות נכנסות למערכת היעד, במטרה לאלץ את המערכת להיסגר).

בתחום אבטחת המידע, הזמינות היא אחד החלקים החשובים ביותר להצלחת תוכנית אבטחת מידע. משתמשי הקצה צריכים להיות מסוגלים להמשיך לעבוד (מטרת הארגון), בהתאם למדיניות המפורטת של הארגון, אשר בהתאמה, קובע את הסטנדרטים למאמץ ההגנה על הזמינות. הבטחת הזמינות כוללות נושאים כמו תצורות פרוקסי, גישה חיצונית לאינטרנט, יכולת גישה לכוננים משותפים ויכולת לשלוח מיילים.

ב-1992 ומאוחר יותר ב-2002, הארגון לשיתוף פעולה ופיתוח כלכלי (OECD) הציג תשעה עקרונות לאבטחת מערכות מידע ורשתות. עקרונות אלה מספקים מסגרת מקיפה לביסוס נוהלי אבטחה יעילים. העקרונות הם כדלקמן:

מודעות: קידום המודעות לחשיבות אבטחת המידע בקרב כל מחזיקי העניין, לרבות משתמשים, הנהלה ואנשי IT.

אחריות: הגדרה והקצאה של תפקידים ואחריות ברורים לניהול אבטחת מידע והבטחת אחריות בכל הארגון.

תגובה: קביעת נהלים ומנגנונים לתגובה מהירה ואפקטיבית לאירועי אבטחה והפרות.

אתיקה: ביצוע פעולות אבטחה בצורה אתית וחוקית תוך כיבוד זכויות ופרטיות של אנשים.

דמוקרטיה: כיבוד ערכים דמוקרטיים והגנה על חופש הביטוי והגישה למידע תוך הבטחת ביטחון.

הערכת סיכונים: ביצוע הערכות סיכונים קבועות כדי לזהות ולהעריך סיכוני אבטחה פוטנציאליים ופגיעויות.

תכנון ויישום אבטחה: פיתוח תוכניות סייבר מקיפות ויישום אמצעי אבטחה מתאימים המבוססים על הערכות סיכונים.

ניהול אבטחה: הקמת תהליך ניהול מתמשך לניטור, סקירה ועדכון של אמצעי אבטחה כדי להתמודד עם איומים ושינויים מתעוררים בסביבה.

הערכה מחודשת: הערכה מחודשת של יעילות אמצעי האבטחה והתאמתם לפי הצורך כדי להבטיח שיפור מתמיד.
על ידי שמירה על עקרונות אלה, ארגונים יכולים לבסס גישה חזקה ומקיפה לאבטחת מידע, הכוללת את השילוש של סודיות, יושרה וזמינות. יישום אמצעי אבטחה המתיישרים עם העקרונות הללו יסייע בהגנה על מידע רגיש,

בשמירה על שלמות הנתונים ובהבטחת הנגישות של מערכות ושירותים קריטיים.

מקור : See Security