הגנה על תחנות קצה


ברוב הארגונים , משקיעים הרבה משאבים בהגנה על השרתים , על חומת האש וכו' .
ובתחנות הקצה מתקינים אנטי וירוס ובטוחים שהתחנה מוגנת .
 
אז זהו שלא , ראשית יש להבין , אנטי-וירוס מסורתי הוא מנגנון שמבוסס על חתימות .
הוא סורק קבצים ותהליכים בתחנת עבודה , משווה לחתימות של מתקפות זדוניות שהוא מכיר , ובמידה והוא מזהה משהו מוכר , מנסה לעצור את התהליך ומתריע .

האם זה מספיק ?? זה הספיק אולי בשנות ה90 ותחילת שנות ה2000 .
היום אפשר להשיג ברשת ההאפלה מתקפות לכל דורש , והם מורכבות יותר  וקשות יותר לזיהוי .
והם מייצרות לעצמם עוד ועוד מוטציות , אותה מתקפה שמשתנה ומשנה לעצמה את החתימה , ולכן האנטי וירוס לא מכיר  אותה .
                         
אז איך בעצם נגן על התחנות קצה ?
  • אנטי-וירוס מהדור הבא , כזה שיודע לנתח התנהגות ומשתמש בלימוד מכונה על מנת להשוות התנהגות של מתקפה חדשה למתקפה מוכרת ולחסום אותה גם מבלי שיש לו חתימה מתאימה .
  •  EDR Endpoint Detection And Response – זהו מוצר שיודע לבצע ניתוח מעמיק על פעולות בתחנה , כולל חיפוש מרחוק למזהיים של מתקפות (קבצים, גישות לרשת או לאינטרנט וכו') למפות את הפעולות שנעשו על מנת לתחקר במקרה הצורך איך קרתה המתקפה ולאן עוד היא התפשטה , ובמקרה ונקבל מזהים של מתקפה ונזין אותם בממשק ניהול נקבל סריקה על כל התחנות האם יש סימנים שהמתקפה קרתה אצלנו ואף למנוע אותה , ע"י עצירת תהליכים , חסימת רשת ועוד כל מיני פעולות מונעות .
  • סינון ובדיקת התוכן של הגלישה באינטרנט , יכול להיות ע"י תוכנה שמריצה את הדפדפן אינטרנט בSandBox  מקומי , ובכך מונעת מנזק לזלוג לשאר המחשב . דרך נוספת לסנן ולבדוק את הגלישה היא בדיקה וסינון התוכן בשרת נפרד (פרוקסי) .

והכי חשוב וללא עלות הקשחה:
  • להסיר את המשתמש מלהיות מנהל (Local Admin) על התחנת עבודה . 
  • במידה ויש תוכנה שדורשת ריצה תחת חשבון מנהל אפשר למצוא תוכנות צד ג' שמסייעות למהלך.
  • למנוע מקבצי הרצה לפעול ממקומות זמניים של קבצי אינטרנט (Temp , APPDATA) .
  • להפעיל חומת אש ולאפשר גישה רק למה שנדרש .
  • חסימת USB ומניעת שימוש בהתקני אחסון ניידים , מודם סלולרי וכרטיסי רשת אלחוטיים . 
  • להתקין עדכוני אבטחה של המערכת הפעלה ותוכנות צד ג' .

יש עוד פעולות שאפשר לעשות , כמו רשימה לבנה של תוכנות שמאושרות לרוץ בתחנה ושכל שאר התוכנות יחסמו , ביטול המשתמשים המקומיים בעלי הרשאת מנהל מקומי ועוד .
   
אך אלה שצוינו בפוסט הם יחסית פשוטים יותר לביצוע ונותנים עלות מול תועלת גבוה .
                       
לכל שאלה נוספת מוזמנים לפנות אליי בדוא"ל  Info@cyberland.co.il .

תגובות

הוסף רשומת תגובה

פוסטים פופולריים מהבלוג הזה

מילון מושגים – אבטחת מידע וסייבר חלק ב

 בהמשך לפוסט הקודם  מושגים חלק א    מתקפת אדם באמצע ( Man in the middle ) – מתקפה בה התוקף יהיה בין המחשב המותקף לאתר הלגיטימי ויאזין למידע שעובר , כמו האזנה בלתי חוקית לשיחת טלפון ע"י גורם שלישי . רשתות בוט ( Botnet ) – רשת שמורכבת ממחשבים שתוקפים השיגו עליהם שליטה , ודרכם הם יכולים להוציא לפועל מתקפות אחרת (לדוגמא ממתקפת DDOS ) .   מתקפת מניעת שרות ( DDOS Attack ) – מתקפה בה התוקף משתמש בד"כ במחשבים שהוא השיג אליהם גישה (רשתות BOT ) על מנת ליצור עומס תעבורה חריג על אתר מסוים ולגרום לו לקרוס מהעומס שמופעל עליו .         מתקפת התקן אחסון (Usb Atack \ USB Dropping) - מתקפה שבה תוקף , מעביר התקן אחסון נייד למשתמש בין עם ע"י העברה ישירה לעובד בהתחזות לספק או מישהו לגיטימי , או ע"י "זריקת" ההתקן בחברה , ולחכות שעובד סקרן ימצא את ההתקן ויחבר אותו למחשב על מנת לבדוק את תכולתו, לאחר החיבור ההתקן יבצע באופן אוטומטי פעולה זדונית. proxy (שרת מתווך)– משמש כשרת ביניים  , בין המשתמש לבין האינטרנט או אפליקציה מסוימת , משתמשי...
המשך לקרוא

מדיה נתיקה - התקפות USB

השקענו הרבה כסף , תכנון ומחשבה , ביצענו סינון על תעבורת האינטרנט בארגון , יישמנו שכבות הגנה על הדוא"ל שלנו , התקנו תוכנת הגנה בתחנת קצה , אז איך בכל זאת הארגון יכול להינזק גם אם זה דרך מתקפה מתוכננת או בתמימות וטעות של אחד העובדים ?                    מדיה נתיקה ניידת , או כפי שכולנו מכנים אותה   DOK- Disk On Key . אז מה הסכנות הנפוצות  בשימוש ב DOK ? הכנסת וירוסים לארגון – וירוס שמתפשט דרך הכנסה של התקן נייד ומתפשט בכל הרשת ,יכול להיות מהרבה סוגים , כופרה ,תולעת , נוזקה שפותחת חיבור לאינטרנט להאקרים וכו' .                        תוכנה זדונית לגניבת מידע בסביבות מנותקות מאינטרנט – התגלה בעבר וירוס שכונה גנב ה USB , דרך הכנסה של DOK שממנו רץ כלי זדוני שגנב מידע חזרה ל DOK , בחיבור הבא למחשב בעל גישה לאינטרנט המידע הועבר לתוקפים .                         תוכנה זדונית לשיבוש מערכות ייצור ...
המשך לקרוא
מילון מושגים – אבטחת מידע וסייבר לאחר פרסום הפוסט הקודם, קיבלתי כמה פנויות ושאלות בנוגע למושגים בסיסיים באבטחת מידע וסייבר, לכן הפוסט הזה והפוסט הבא יהיו בנושא המושגים הבסיסיים בתחום. ההסבר נכתב בפשטות לנוחיותם של אנשים שרוצים להבין מושגים בסיסיים בעולם הסייבר ואבטחת המידע. חלק א ·      ·          מרחב הסייבר -  אז מהו בכלל סייבר ?  מרחב הקיברנטיקה , מוגדר כמרחב החמישי בנוסף לים, יבשה, אוויר וחלל . הכולל מערכות תקשורת, מחשוב ובקרה, רשתות (לרבות המרשתת), נתונים ותכנים במערכות מידע ותעבורתם, וכן את המשתמשים בכל אלה . ·          האקר (פצחן)  – פושע בעולם הווירטואלי , פועל ממניע אישי ,אידאולוגי וממשלתי. האקרים שפועלים במטרת זדון נקראים גם כובע שחור ( black hat ) ,וישנם האקרים שפועלים למטרות חיוביות , כמו מציאת חורי אבטחה ודיווח עליהם , הם נקראים גם כובע לבן ( white hat ). ·          מתקפת סייבר  – הרגע ב...
המשך לקרוא