לעדכן או לא לעדכן ? זאת השאלה !
במרבית החברות יש פערים רבים וחוסר בעדכוני האבטחה .
המצב נכון גם לתחנות עבודה וגם לשרתים וציודי קצה.
המצב נכון גם לתחנות עבודה וגם לשרתים וציודי קצה.
הרבה פעמים יש חשש שהעדכונים ישבשו דברים , וארגונים מחכים כמה חודשים לפניי הפצה.
בעידן הנוכחי רצוי לעדכן עדכוני אבטחה בהקדם האפשרי.
רצוי ליצור קבוצת ניסוי שתכיל תחנות קצה מכל סוג ,לדוגמא אחת מכל מחלקה וכו' , ליצור קבוצה של שרתי בדיקות הקיימים בארגון ועליהם להפיץ עדכונים, אפשר לחכות שבוע לפניי ההפצה הראשונית ולוודא שאין תיקון נוסף לאחד העדכונים ואז להפיץ .
לאחר שבוע – שבועיים במידה והכל תקין להפיץ לכלל הארגון .
בעידן הנוכחי רצוי לעדכן עדכוני אבטחה בהקדם האפשרי.
רצוי ליצור קבוצת ניסוי שתכיל תחנות קצה מכל סוג ,לדוגמא אחת מכל מחלקה וכו' , ליצור קבוצה של שרתי בדיקות הקיימים בארגון ועליהם להפיץ עדכונים, אפשר לחכות שבוע לפניי ההפצה הראשונית ולוודא שאין תיקון נוסף לאחד העדכונים ואז להפיץ .
לאחר שבוע – שבועיים במידה והכל תקין להפיץ לכלל הארגון .
הדגש צריך להיות על תחנות עבודה של משתמשים בארגון ושרתים שנגישים לאינטרנט ובמיוחד כאלה שמפרסמים שירות שנגיש דרך האינטרנט.
דוגמא טובה היא המתקפה שזכתה לכינוי Wannacry .
וירוס מסוג כופרה (RANSOMWARE) שמצפין את כל הקבצים על המחשב ועל הכוננים המשותפים , ואף מתפשט דרך הרשת לשאר המחשבים באותה ברשת .
המתקפה התבססה על חור אבטחה בפרוטוקול SMB , פרוטוקול שמשמש לשיתוף קבצים ונמצא בשימוש בכל ארגון ואף בבתים פרטיים בהם יש רשת ביתית .
וירוס מסוג כופרה (RANSOMWARE) שמצפין את כל הקבצים על המחשב ועל הכוננים המשותפים , ואף מתפשט דרך הרשת לשאר המחשבים באותה ברשת .
המתקפה התבססה על חור אבטחה בפרוטוקול SMB , פרוטוקול שמשמש לשיתוף קבצים ונמצא בשימוש בכל ארגון ואף בבתים פרטיים בהם יש רשת ביתית .
החור היה בשימוש של הNSA ,בשימוש בחלק מכלי הריגול שלהם, בינואר 2017 פורסם
שכלי הריגול שלהם הודלפו לאינטרנט, והפגיעות במערכות הפעלה של מייקרוסופט התגלתה.
מייקרוסופט מיהרו לבדוק את הנושא ובחודש מרץ 2017 בעדכונים החודשיים שחררו עדכון שמתקן את החור אבטחה.
לצערנו במרבית הארגונים לא ממהרים להפיץ עדכונים , וב12 לחודש מאי האקרים מקבוצת "Shadow Broker " הפיצו מתקפת סייבר שמתבססת על אותו חור אבטחה.
מייקרוסופט מיהרו לבדוק את הנושא ובחודש מרץ 2017 בעדכונים החודשיים שחררו עדכון שמתקן את החור אבטחה.
לצערנו במרבית הארגונים לא ממהרים להפיץ עדכונים , וב12 לחודש מאי האקרים מקבוצת "Shadow Broker " הפיצו מתקפת סייבר שמתבססת על אותו חור אבטחה.
המתקפה התפשטה לכ-150 מדינות, בין החברות הנפגעות אפשר למצוא חברת
תקשורת גדולה מספרד ,מספר בתי חולים בבריטניה, חברת הרכבות הגרמנית דויטשה באן,
פדקס, ויותר מ1000 מערכות ברוסיה כמו משרד הפנים , משרד הבריאות , סברבנק ומפעילת
הסלולר מגאפון.
בסוף חודש מרץ 2018 יצרנית
המטוסים בואינג שחררה הודעה לתקשורת שאחד ממפעליה נפל קורבן למתקפה , כמעט שנה
לאחר שהמתקפה החלה !
דוגמא נוספת למחדל שהתרחש עקב אי הפצת עדכונים ניתן למצוא במתקפה
שהתרחשה בחברת EQUIFAX , מדובר בחברה השלישית
בגודלה בארצות הברית לנתוני אשראי , שחוותה פריצה בה נגנבו מידע
על 143 מיליון אמריקאים. בין היתר, האקרים גנבו שמות, מספרי ביטוח לאומי,
תאריכי לידה, כתובות ומספרי רישיונות רכב וכן מספרי כרטיסי אשראי של כ-209 אלף
לקוחות.
שרתי האינטרנט של החברה מבוססי אפאצ'י , בה התגלה פגיעות בחודש פברואר
2017 , במרץ שוחרר עדכון לפגיעות והחברה אף קיבלה על זה עדכון , הם לא הפיצו את
העדכון לשרתי האינטרנט שלהם .
בחודש מאי 2017 האקרים הצליחו לחדור לרשת החברה דרך אותה פגיעות .
בחברה גילו את הפריצה רק בחודש יולי , ומיהרו לבצע עדכונים לשרתי האינטרנט.
מאותו רגע החברה נסחטה ע"י האקרים, החברה הוציאה הודעה למשקיעים רק בחודש ספטמבר .
מניית החברה צנחה והיא הייתה לקראת קריסה.
בחודש מאי 2017 האקרים הצליחו לחדור לרשת החברה דרך אותה פגיעות .
בחברה גילו את הפריצה רק בחודש יולי , ומיהרו לבצע עדכונים לשרתי האינטרנט.
מאותו רגע החברה נסחטה ע"י האקרים, החברה הוציאה הודעה למשקיעים רק בחודש ספטמבר .
מניית החברה צנחה והיא הייתה לקראת קריסה.
לסיכום , יש לשים דגש רב על ביצוע עדכוני אבטחה.
יש לנהל מעקב על כלל הציודים הקיימים ולעקוב אחרי פרסומים על פגיעות ועדכונים קריטיים הקיימים למוצרים, לבצע עדכונים אחרי שמבצעים גיבוי למוצר ומנהלים גם תוכנית חזרה לאחור במקרה של בעיה עקב ביצוע העדכון .
כמובן שיש יוצאי מן הכלל , ושרתים ושירותים שלפעמים אין עליהם תמיכה ואין עדכונים , רצוי לבנות תוכנית להחלפתם , ולנסות לאבטח אותם ולבודד אותם כמה שניתן .
כמובן שאתם מוזמנים לפנות אליי בכל שאלה.
Info@Cyberland.co.il
יש לנהל מעקב על כלל הציודים הקיימים ולעקוב אחרי פרסומים על פגיעות ועדכונים קריטיים הקיימים למוצרים, לבצע עדכונים אחרי שמבצעים גיבוי למוצר ומנהלים גם תוכנית חזרה לאחור במקרה של בעיה עקב ביצוע העדכון .
כמובן שיש יוצאי מן הכלל , ושרתים ושירותים שלפעמים אין עליהם תמיכה ואין עדכונים , רצוי לבנות תוכנית להחלפתם , ולנסות לאבטח אותם ולבודד אותם כמה שניתן .
כמובן שאתם מוזמנים לפנות אליי בכל שאלה.
Info@Cyberland.co.il
תגובות
הוסף רשומת תגובה