Cyber Land - Security and awareness

 כל ארגון רוצה להגביר את רמת אבטחת המידע שלו .  ברוב הארגונים קונים מוצרים כמו : חומת אש ,סינון דוא"ל , כלי הגנה על תחנות קצה , מוצרי דלף מידע , חומת אש לבסיסי נתונים ואפליקציות ועוד ועוד . למרות כל המוצרים האלה אף ארגון לא חסין ומוגן ב 100% , והמוצרים האלה לא מכסים את הרובד האנושי . כל ארגון צריך לשים לעצמו למטרה לרתום את העובדים לאבטחת מידע  ולהפוך לחלק מההגנה של ארגון .  במקרה של מייל פישינג ממוקד שעשוי  להכיל מתקפה שמנצל חולשה מסוג יום אפס (Zero Day) כלל לא בטוח שכל מערכות ההגנה שלנו יעזרו . במקרה כזה עירנות של העובד ודיווח למחלקת המחשוב או אבטחת המידע תציל את הארגון !  לכן אנו מציעים עכשיו ביצוע קמפיין פישינג . אנו מבצעים קמפיינים ייחודים עם דגש לכל ארגון ואיום הייחוס שלו כולל התאמה לסקטור ולצרכי הארגון . בסוף כל קמפיין תקבלו דוח הכולל הסבר על הקמפיין , הדוח מיועד להפצה לכלל העובדים על מנת להסביר וללמד כיצד יש לנהוג ואיך מזהים שהמייל שהתקבל הוא פישינג . ובנוסף דו"ח מפורט עם סטטיסטיקות מלאות , מהם ניתן  להסיק מסקנות ולדבר עם העובדים שלחצו על הקישור . כמובן שהמטרה היא לעשו

  לאחרונה אנו עדים ליותר ויותר מתקפות סייבר על ארגונים . במרבית מהמתקפות ניתן לראות שהתוצאה הסופית מביאה איתה נזק בשני מישורים : 1.       התקפת כופר – הצפנה קבצים , שרתים   ותחנות עבודה של הארגון - השבתת הפעילות של הארגון ודרישת כופר על מנת לשחרר את הקבצים כדי לחזור לעבוד . 2.       דלף מידע – לפניי ההצפנה התוקפים מעבירים אליהם את הקבצים ומציעים אותם למכירה ברשת האפלה או מבקשים תשלום על מנת לא להדליף את המידע . ברוב הארגונים קיים שרת קבצים שמחולק לספריות , בדרך כלל לפי נושאים ו\או מחלקות . ברוב הארגונים הבינונים \ קטנים לא מנטרים את שרת הקבצים . ניטור כזה יכול לעזור הרבה לארגון ! א.         הניטור מהווה זוג עיניים , מי ניגש לקבצים , קרא , שינה , העתיק וכו' ב.       הניטור יכול להעיד על ניסיונות גישה לא מוצלחים , ניסיונות של עובד לגשת למידע שאין לו הרשאה וכו' ג.        הניטור יכול להצביע על אנומליה ברשת.   בהקשר של אנומליה , ניתן להגדיר חוקים שיכולים להציל את הארגון ממצבים של מתקפה או ניסיונות גניבת מידע. לדוגמא : 1.       התראה בעת גישה מרובה לקבצים – י

לאחר המתקפה האחרונה על חברת הביטוח שירביט ,אינטל ומשרד האוצר האמריקאי כולנו שואלים את עצמנו איך עוד אפשר להגן על הארגונים . פעולה זאת חשובה על מנת לנסות ולצמצם במידת האפשר את משטח התקיפה . ברוב הארגונים מתקינים כלי הגנה רישתיים וכלי הגנה על התחנות קצה . אבל לא כולם שמים דגש ובודקים איך הארגון שלהם ניראה לתוקפים מבחוץ . לכל ארגון יש כתובת או טווח כתובות IP ציבוריות שנגישות מהעולם. במקרים של מתקפות ממוקדות (APT) בהם התוקפים יודעים את מי הם תוקפים , הם מתכננים את המתקפה ומבצעים מודיעין על היעד . באמצעות כלים פשוטים ניתן לחפש לדוגמא את כל החשבונות של אנשים שמציניים ב"לינקדין" שזה מקום העבודה שלהם . כך תוקפים יכולים למקד את המתקפה שלהם לאנשים בכירים , ובעלי פרופיל מתאים למתקפה . לדוגמא להונאה פיננסית  יחפשו את סמנכל הכספים של הארגון וכדומה . באמצעות עוד כלי , ניתן להבין את מבנה כתובות הדוא"ל שבארגון , ולאחר שיש לנו שם מלא ותבנית דוא"ל , כל שנשאר לתוקף הוא לשלוח דוא"ל פישינג  . במידה ועובד נפל במלכודת פישינג כל שנותר לתוקף הוא להעמיק את התקיפה שלו כדי לקבל אחיזה חזקה

מייקרוסופט הודיעה היום (18.1.2020) על חולשה חדשה בדפדפן IE שסיים את מחזור החיים שלו (CVE-2020-0674) . להסבר מאתר מייקרוסופט  כאן החולשה מאפשרת לנצל פגיעות באופן בו מנוע הסקריפטים מטפל באובייקטים בזכרון הניגשים לספרייה   JScript.dll  , החולשה מאפשרת לתוקף מרוחק לקחת שליטה על המחשב של הקורבן רק מלהכנס לאתר אינטרנט זדוני . הפגיעות קיימת בכל מערכות ההפעלה שיש בהם  IE בגרסאות 9-11 (כולל ווינדוס 10). מייקרוסופט עדיין לא הוציא תיקון רשמי לפגיעות . אבל בכל זאת יש מה לעשות כרגע , להגביל את הגישה לספרייה הבעייתית . ניתן להריץ את הפקודות הבאות בCMD למניעת גישה לספרייה : מחשב עם מערכת הפעלה 32 סיביות: takeown / f% windir% \ system32 \ jscript.dll cacls% windir% \ system32 \ jscript.dll / E / P everyone: N מחשב עם מערכת הפעלה 64 סיביות : takeown / f% windir% \ syswow64 \ jscript.dll cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N takeown / f% windir% \ system32 \ jscript.dll cacls% windir% \ system32 \ jscript.dll / E / P everyone: N לאחר שיחרו

בפוסט הזה אגע ב"חור שחור" שיש בהרבה חברות גדולות . יש נקודה שבהרבה חברות שוכחים להתייחס אליה , והיא מאפשרת לתוקפים לנסות לבצע מתקפות דיוג (פישינג) בשם החברה . למרבית החברות יש יותר ממתחם שמות אחד (דומיין) , לפעמים לצורך אתר שמיועד לחו"ל או למטרות שיווק כאלה ואחרות. בד"כ מהשמות מתחם האלה החברות לא שולחות הודעות דוא"ל  , והכתובות האלה גם לא  מוגדרות בשרתי הדוא"ל של החברות . אבל מה יקרה אם לקוחות יקבלו הודעות מייל זדוניות ומתחזות מהכתובות האלה ? השולח יראה לגיטימי , לכן סיכוי גבוה שהנמען של ההודעות ילחץ על קישור או יפתח קובץ שמצורף להודעה. לכן על מנת למנוע מקרים כאלה שגוררים פגיעה במוניטין ובשם החברה , יש להגדיר על כל תחום שמות שנרכש הגדרות שיגנו מפניי שליחת דוא"ל ממקורות לא רצויים . הבסיסי ביותר זה רשומת SPF , רצוי ומומלץ גם להגדיר DMARC ו DKIM . וככה נבטיח שלא ישלח דוא"ל זדוני שיראה לגיטימי . רשומת SPF מגדירה מי יכול לשלוח הודעות דוא"ל בשם הדומיין . רשומת DKIM מוסיפה חתימה מוצפנת להודעה , השרת שמקבל את המייל מנסה לפתוח את ההצ

אבטחת מידע בארגון דורשת גישה הוליסטית ושילוב מערכות אבטחת מידע והגנה למגוון הערוצים הקיימים בארגון . אחד הערוצים שמקבל פחות תשומת לב הוא הגורם האנושי. והגורם האנושים זה אחד הגורמים החשובים בשרשרת אבטחת המידע של הארגון . אפשר לשים מערכות במיליוני שקלים ולהקשיח מערכות , אבל כל הפעולות האלה לא יבטיחו לארגון 100% הגנה . מספיק חוסר ערנות או מודעות של עובד ללחוץ על לינק זדוני בדוא"ל שהצליח לעבור את כל מעגלי האבטחה של הארגון , או לחבר מדיה נתיקה שנמצאה במקרה והעובד רוצה לנסות להבין למי זה שייך , או להעביר קובץ שספק \ לקוח קיבל כדי להגיע לכמה אחוזים שנשארו ללא הגנה בארגון .                  אז איזה פעולות נדרש לעשות כדי לחזק את המודעות של העובדים בארגון ולרתום אותם להיות כלי לאבטחת מידע בארגון ?                 לבצע הדרכה לעובדים חדשים על הנהלים הקיימים בארגון , החל ממדיניות שמירת מסמכים , אי שמירה במערכות ענן , לא לפתוח דוא"ל וקבצים חשודים , לא לחבר מדיה נתיקה וכו' . הכל כמובן בהתאם למדיניות הארגונית , אפשר לקיים את ההדרכה פרונטלית או באמצעות לומדה ממוחשבת