סדרת מאמרי סייבר

סיסמאות הן קו ההגנה הראשון לשמירה על זהותך המקוונת, אך הן גם הפגיעות ביותר. נתחיל מהסוף להתחלה בכמה המלצות לשמירה על סיסמאות חזקות, בהמשך נבין את ההיגיון לכך.

המלצות לניהול סיסמה חזקה

• השתמש בסיסמאות המורכבות מאותיות גדולות וקטנות, מספרים וסמלים ליצירת סיסמאות מורכבות.
• הימנע משימוש בשם שלך או במידע אישי אחר בסיסמה שלך.
• שנה את הסיסמה שלך לעתים קרובות.
• בחר סיסמאות שקל לזכור אך קשה לנחש.
• אל תשתמש באותה סיסמה ליותר מחשבון אחד! לכל חשבון תבחר את הסיסמה שלו, אין בעיה לשמור על קו אחיד שיעזור לך לזכור את הסיסמאות אבל לא להשתמש בססמה זהה
• השתמש באימות דו-שלבי (2FA)
• השתמש בתוכנת סיסמאות מוכרת (ראה המלצות מטה)
• השתמש בסיסמה באורך של מינימום 8 תווים, רצוי גם יותר
• תזכור סיסמאות הן המפתח לחיים המקוונים שלך ואתה צריך להגן עליהן בכל מחיר.

תוכנות לניהול סיסמאות

מכיוון שאבטחה היא נושא כה חשוב, חשוב להשתמש במנהל סיסמאות אם אתה רוצה להישאר בטוח בעידן הדיגיטלי הזה. הם לא רק יגינו על פרטי החשבון שלך מפני האקרים, הם גם הופכים את החיים לקלים יותר כשזה מגיע לזכור איזה שם משתמש מתאים לאיזו סיסמה. הם חובה לכל מי שרוצה חיים מקוונים יותר מאורגנים!

מנהלי סיסמאות הם כלים המאחסנים סיסמאות למספר אתרים רב במסד נתונים מוצפן ומאובטח. זוהי דרך הרבה יותר בטוחה לאחסון מידע אישי, אך יש לה גם חסרונות.

שני סוגים עיקריים לניהול הסיסמאות הם מנהלי סיסמאות מבוססי ענן ומנהלי סיסמאות מקומיים. מנהלי סיסמאות מקומיים מאחסנים את הסיסמאות שלך במכשיר שלך ואינם דורשים חיבור לאינטרנט כדי לעבוד, מה שאומר שסבירות נמוכה יותר שהסיסמאות שלך ייגנבו ללא סיבה הקשורה אליך ואו למכשיר שלך, כלומר אם יפרצו לספק התוכנה לא יוכלו לגנוב ממנו את הסיסמאות שלך בניגוד לסיטואציה של שימוש בספק ענן. מצד שני אם החשב שלך ייגנב או ייפרץ כן יוכלו לגנוב ממנו את הסיסמאות, כמו כן לא תוכל לסנכרן את הסיסמאות בין מכשירים שונים. מנהלי סיסמאות מבוססי ענן מסונכרנים בין מכשירים שונים אך כמובן שבמקרה זה עלינו לסמוך על ספק התוכנה, במידה ויפרצו לספק התוכנה, קיים סיכוי לגניבת הסיסמאות שלך וכבר היו מקרים כאלה בעבר.

כיום גם הדפדפנים הנופצים (Firefox, Google Chrome) כבר התחילו לספק שירות ניהול סיסמאות ואף בחינם, כמובן שזה ניהול סיסמאות במודל ענן.

לגבי תוכנה מומלצת לשמירת סיסמאות מקומית במכשיר שלך, יש תוכנה חינמית ומאוד מוכרת הנקראת KeePass. התוכנה מכילה מגוון אופציות ותכונות מתקדמות.

אימות דו-שלבי

חשוב להבין שכיום רמת האבטחה המבוססת על סיסמה בלבד כבר אינה מספקת ויש לאבטח את החשבונות שלנו עם אימות דו-שלבי (2FA או Two Factor Authentication), זהו אמצעי אבטחה שמוסיף שכבת הגנה נוספת לחשבון. מכיוון שאימות דו-שלבי דורש משהו נוסף שיש לך, שהוא בדרך כלל הטלפון שלך, ומשהו שאתה יודע, שהוא הסיסמה שלך, קשה יותר להיכנס או לגנוב חשבון (אבל זה עדיין לא אומר שזה לא אפשרי, בהמשך נבין למה).

אפליקציית אימות דו-שלבי (2FA) מייצרת עבורך קוד זמני נוסף לסיסמה שעליך להזין כדי להיכנס. במהותה, זהו שכבת הגנה נוספת עבור חשבונך כפי שציינו.

אחד הפתרונות הנפוצים ביותר שתומכים בהרבה אפליקציות ואתרים זה אימות דו-שלבי עם תוכנה הנקראת Google Authenticator. השימוש הוא מאוד פשוט עם כמה שלבים בסיסיים:

1. הורד את אפליקציית המאמת של Google לטלפון שלך (Google Authenticator)
2. הירשם ל- 2FA באתר שבו ברצונך להפעיל אותו
3. סרוק את קוד ה- QR באמצעות הטלפון שלך דרך תוכנת ה- Google Authenticator או הזן את המפתח המסופק באופן ידני.

המלצה חשובה ביותר: כיום תוכנת ה- Google Authenticator מאפשרת לייצר גיבוי והעברת המידע ממכשיר ישן לחדש, חשוב מאוד לדאוג מראש לעשות גיבוי לפני החלפת מכשיר ובכלל מבעוד מועד, אחרת תצטרכו להגדיר את כל החשבונות מחדש וזה לא דבר פשוט.

יש הרבה אפליקציות 2fa זמינות בשוק, אך לא כולן מציעות תכונות אבטחה ופרטיות חזקות. חברות כמו Authy ו- Google Authenticator מציעות רמות אבטחה גבוהות בשל השימוש בקריפטוגרפיה וסיסמאות חד פעמיות המבוססות על זמן.

מה לגבי SMS

גם הודעות SMS משמשות לא מעט כאימות דו-שלבי (2FA), אך מה יותר מאובטח שימוש בהודעת SMS או שימוש בתוכנות אימות כגון Google Authenticator.

הודעת SMS אינה השיטה הבטוחה ביותר לשימוש, באופן כללי הודעות SMS עובדות בשיטה לא בטוחה ולא מוצפת מה שמאפשר לתוקפים ליירט הודעות בכל מיני שיטות, אך מעבר ניתן בקלות לזייף הודעות ורמת האמינות שלהן נמוכה. מכיוון שרוב האנשים משתמשים בטלפונים שלהם כדי לגשת לדוא"ל, מדיה חברתית, רשומות בנק וכל דבר אחר שהם עושים באינטרנט, חשוב להם לדעת שהודעות הטקסט שלהם אינן מאובטחות.

אבל שלא תטעו כמובן ששימוש בהודעות SMS כאימות דו-שלבי עדיף והרבה יותר מאובטח מאשר לא להפעיל אימות דו-שלבי! ההמלצה היא תמיד להעדיף תוכנות אימות כגון Google Authenticator.

פריצת סיסמאות

חלק מסוגי הסיסמאות הנפוצות ביותר שאנשים משתמשים בהן הן מחרוזות מספרים, מילים מתוך רשימה ומידע אישי כגון שמות וימי הולדת. בחלק זה נבחן מדוע סוגים אלה של סיסמאות אינם יעילים כפי שאנו חושבים ומדוע אינם בהכרח עוזרים להגן על החשבונות היקרים שלנו מפני פריצה.

אחת הדרכים לעקוף את הסיסמה היא שימוש במתקפה של ניחוש סיסמאות (Brute Force). התקפה זו מנסה את כל המחזורות האפשריות של אותיות, מספרים וסמלים כדי לנחש את הסיסמה או לחלופין מבוססת על רשימת מילון של סיסמאות ידועות מראש. התקפה מסוג זה נפוצה מאוד.

אחת מרשימות הסיסמאות הנפוצה ביותר שבה תוקפים משתמשים לניחוש סיסמאות נקראת Rockyou.

קיימת תפיסה קצת מוטעית כי סיסמאות ארוכות יותר מספקות הגנה רבה יותר מאשר סיסמאות קצרות יותר מכיוון שלוקח יותר זמן עד שהאקרים יפרצו אותן באמצעות התקפות ניחוש סיסמאות (Brute Force). זה נכון האורך של הסיסמה מאוד משפיע אך למעשה האורך אינו החלק היחידי שחשוב, אלא המורכבות והשימוש במחרוזת שאינה קלה לניחוש, למשל אורך של סיסמה בת 10 תווים נשמע מספיק חזק אך אם הסיסמה תהיה “1234567890” אז מדובר בסיסמה מאוד חלש וקלה לניחוש.

רובד נוסף בנושא פריצת סיסמאות מדבר על הדלפת מידע מאתרים בהם נרשמנו עם הסיסמא שלנו, למעשה מדי יום אתרים נפרצים בעולם וכן גם לטובים ולגדולים ביותר זה קורה, פייסבוק, טוויטר ועוד רבים וטובים כבר נפרצו וסיסמאות של משתמשים הודלפו ברשת. תוקפים לוקחים את הסיסמאות שלכם ואפילו לא צריכים לפרוץ אותן, הן פשוט אצלהם.

לכן, הדבר החשוב ביותר הוא להחליף סיסמאות אחת לכמה זמן, לא להשתמש באותה סיסמה לכמה חשבונות ואם שומעים שאתר שנרשמנו אליו נפרץ אז ישר מחליפים סיסמה + תמיד מומלץ להפעיל אימות דו שלבי

קשה להעריך את הזמן שלוקח לפצח סיסמה. זה יכול להיות תלוי בגורמים רבים, כולל סוג ההצפנה איתה היא מוצפנת, המורכבות של הסיסמה וכוח העיבוד של המחשב המבצע את הפיצוח.

הנדסה חברתית

התחזות או דיוג (phishing) היא סוג של הנדסה חברתית שבה התוקף מנסה לחשוף מידע רגיש מהקורבן על ידי התחזות כישות מהימנה בתקשורת אלקטרונית. ההתחזות מגיעה בדרך כלל בדואר אלקטרוני או הודעת SMS שנראה שמקורם אמין. ההודעה עשויה להכיל קישור או קובץ מצורף המוביל לאתר מזויף שנראה בדיוק כמו האתר המקורי, המיועד ושם התוקף יבקש ממכם להזין את פרטיכם לרבות סיסמתכם.

בחלק זה נדבר כיצד ניתן להשתמש בדיוג כדי לעקוף אימות דו-גורמי.

התוקפים כבר הספיקו להשתכלל ולמדו שגם אימות דו-שלבי ניתן לעקוף באמצעות הנדסה חברתית, מה שבעצם הם עושים זה שלאחר ששלחו לכם קישור לאתר המתחזה ונפלתם קורבן והזנתם את שם המשתמש והסיסמה לאותו אתר או שירות, התוקף לוקח את הפרטים האלה, מנסה להתחבר בשמכם לאותו אתר ואז בשלב הבא התוקף יבקש ממכם קוד אימות שנשלח אליכם באמצעות הודעת SMS, ניקח למשל את חשבון הבנק שלכם, לאחר שהזנתם שם משתמש והסיסמה אתם מקבלים הודעת SMS למכשירכם שבה יש קוד אימות זמני, את הקוד הזה אתם מזינים לאתר הבנק וכך מתחברים, הקוד הזה הוא למעשה האימת הדו-שלבי לחשבון הבנק שלכם. מה שיקרה בהתקפת הדיוג הוא שלאחר שהתוקף "דג" את שם המשתמש והסיסמה שלכם, הוא משאיר אותכם באתר המתחזה ואומר לכם שאתם תקבלו קוד אימות ומבקש ממכם את הקוד, מאחורי הקלעים מה שקרה הוא, שהתוקף נכנס בשמכם לחשבון הבנק, הבנק שלח לכם קוד אימות הרי הטלפון שלכם כבר מוגדר שם, אתם קיבלתם את הקוד אך במקום להזין אותו באתר המקורי הזנתם אותו ישירות לתוקף שפשוט לקח את הקוד ועקף את האימות הדו שלבי שלכם!.

לסיכום טיפ: לא לפתוח קישורים מהודעות לא מוכרות, לא להזין פרטים היכן שלא צריך, חושדים? לא בטוחים? אל תכנסו לחשבון דרך הקישור ששלחו לכם אלא תגלשו בצורה יזומה לאתר שאליו אתם רוצים להתחבר כך שאתם שולטים בכתובת האתר וכך תמנעו מעצמכם גלישה לאתרים מתחזים!

מעוניין במידע
נוסף
?

הפוסט ניהול סיסמאות הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר

פייסבוק הוא אתר רשת חברתית המסייע בתקשורת ובידור על ידי חיבור אנשים עם חבריהם. לפייסבוק יש מעל 2 מיליארד משתמשים פעילים חודשיים ומשתמשים יומיים. אומרים שהיא פלטפורמת המדיה החברתית הפופולרית ביותר בעולם ומשמשת אנשים בכל רחבי העולם.

המלצות לאבטחת חשבון הפייסבוק שלך

עם זאת, קיימים לא מעט סיכונים בשימוש בפייסבוק מכיוון שניתן לפגוע בחשבונך. להלן מספר טיפים מועילים שיעזרו לך להגן על חשבון הפייסבוק שלך מפני פריצה:

• הגדר פרטי זיהוי ראשיים ומשניים לצורך שחזור חשבון (הגדרת מייל וטלפון חלופי ומשתמשים נאמנים)
• ודא שיש לך סיסמה חזקה לחשבונך. זה יקשה על האקרים לפרוץ לחשבון שלך באמצעות התקפות “ניחוש סיסמאות" (Brute Force).
• שימוש במחרוזת באורך 8 תווים לפחות עם אותיות גדולות, אותיות קטנות, מספרים וסמלים אמור להספיק.
• השתמש באימות דו-שלבי (2Factor Authentication) בחשבון הפייסבוק ובכל שאר החשבונות שלך. המשמעות היא שכאשר מישהו ינסה להיכנס לחשבון שלך, הוא יצטרך גם את שם המשתמש והסיסמה שלך וגם קוד נוסף שנשלח לטלפון או לכתובת הדוא"ל שלך לפני שהוא יכול להיכנס.
• בדוק לעיתים דחופות את הגדרות האבטחה של חשבונך.
• עדכן את הגדרות הפרטיות שלך כך שתוכל לשתף את מה שאתה רוצה רק עם האנשים שאתה רוצה.
• שנה את הסיסמה לעתים קרובות ואל תמחזר סיסמאות, כל חשבון עם סיסמה ייחודית משלו.
• התקן אנטיוירוס במחשב ובטלפון.
• לא לפתוח קישורים לא מוכרים במייל או בהודעות SMS ולא להזין פרטים, תמיד להיכנס לחשבונות בצורה יזומה ולא מקישור ששולחים.

מהי התקפת פישינג התקפת דיוג

התקפת פישינג היא טכניקה של גניבת זהות שבה התוקף משתמש בדוא"ל מזויף במטרה לקבל גישה למידע האישי שלך. מטרת ההתקפה היא לגנוב את זהותך, חשבון הבנק, הסיסמה, מספרי כרטיס האשראי וכו '. הדבר נכון כמובן גם לגבי הודעות SMS.

כדי להימנע מהתקפת התחזות, עליך להיזהר מפתיחת הודעת דוא"ל SMS שנראית שמגיעה משולח שאינו מהימן. אם אינך בטוח לגבי השולח אז עדיף לא לפתוח את ההודעה ולא ללחוץ על קישורים כלל.

בהתקפות פישינג או התקפות דיוג, נעשה שימוש בהודעות דוא"ל, הודעות SMS או אתרים שנראים אמיתיים אך למעשה מזויפים. כך שכאשר אתה מספק מידע רגיש כמו סיסמאות, ואינך יודע את מקור ההודעה, זה מקשה על גילוי ההונאה.

ניתן להימנע מהתקפות אלה על ידי מניעת פתיחה של מיילים ואתרים חשודים וצריכים להיות מודעים לאיך שהם נראים. כלל ברזל – תמיד תפתחו את האתר שאתם רוצים להתחבר אליו בצורה יזומה בדפדפן שלכם במקום ללחוץ על קישור שנשלח אליכם!!

קצת לגבי התחזות ברשת

התחזות מקוונת היא פשע לכל דבר ברשת האינטרנט, בטכניקה זו, העבריין יוצר בדרך כלל פרופיל מקוון עם המידע האישי של הקורבן ותצלומים מאתרים וחשבונות שמהם הצליח לאסוף אותם. לאחר מכן הוא מנסה ליצור קשר עם אנשים שמכירים את הקורבן ובסופו של דבר מבקשים כסף או טובות הנאה אחרות. לעיתים לא מובן כלל המניע של העבריין.

על מנת להימנע מאיתור, בדרך כלל בחשבון המזויף יש מידע מועט מאוד על הרקע והמיקום של האדם. שלא כמו סוגים אחרים של הונאה, התחזות מקוונת נעשית לפעמים ללא כל מטרה ברווח כספי. קורבנות הונאה מסוג זה עלולים לחוות בלבול, בושה או השפלה כתוצאה מכך.

במקרה שכזה תזכרו זוהי עבירה לכל דבר וניתן לדווח על כך למשטרה.
במקביל, מומלץ מאוד לדווח לפייסבוק על הפרופיל המתחזה בכדי להביא לסגירתו, ניתן לדווח על כך בקישור הבא:
https://he-il.facebook.com/help/contact/169486816475808

כמו כן תכירו את המרכז המבצעי לניהול אירועי סייבר הזמין לכל אזרח בטלפון 119:

https://youtu.be/gxbTiYWH52U

מעוניין במידע
נוסף
?

הפוסט טיפים מועילים שיעזרו לך להגן על חשבון הפייסבוק שלך מפני פריצה הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר

מאמר זה מציג כמה מהצעדים שחברות צריכות לנקוט כדי להגן על עצמן מפני האקרים, פושעי רשת ואיומים פוטנציאליים אחרים.

אלה חלק מהצעדים החשובים ביותר שחברות צריכות לנקוט כדי להגן על עצמן מפני מתקפות סייבר:

• לימוד ומודעות עובדים על מתקפות פישינג וכיצד לזהות מיילים חשודים
• אבטחת נתוני חברה רגישים
• שימוש באימות דו-שלבי
• שמירה על תוכנות ומערכות הפעלה מעודכנות
• ביצוע מבדקי חדירות תקופתיים לכלל המערכות
• דימוי תקיפות על הארגון וחשיפת נקודות תורפה

בדיקת חדירות

נתמקד רגע באחד המושגים שהוזכרו כאן – בדיקת חדירה, הבדיקה למעשה מהווה בחינה מעמיקה של אבטחת הרשתתשתית או אפליקציה, עוזרת לזהות נקודות תורפה אפשריות לפני שהן מנוצלות על ידי התוקפים.

בדיקות חדירה משמשות לעתים קרובות כאשר ארגונים שוקלים לבצע שינויים בתשתיות שלהם, כגון יישום טכנולוגיות חדשות או שדרוג תשתיות. כמו כן כמובן שניתן להשתמש בה לבדיקת סוגים אחרים של מערכות, כגון אפליקציות ויישומי אינטרנט.

שתי סיבות עיקריות לשימוש במבחן חדירה:

1. להעריך את החוסן הכולל של מערכת כנגד התקפות אפשריות
2. להעריך עד כמה יעילות בקרות האבטחה בארגון

בדיקות חדירה נערכות על מנת לאבחן את החולשה באבטחת המערכת, על ידי הדמיה של התקפה ולכן במידה ובדיקת החדירה מתוכננת היטב היא תזהה נקודות תורפה שלא בהכרח מודעים להן.

מתקפות פישיניג מתקפות דיוג

כעת נעבור למושג נוסף שהזכרנו – התקפת פישינג או התקפת דיוג.

התקפות פישינג הופכות יותר ויותר פופולריות ומתוחכמות בימים אלה. כתוצאה מכך, עלינו לחנך את עצמנו ואת עובדינו ולהיות מודעים לסימנים של התקפת דיוג פוטנציאלית.

1. דע עם מי אתה מתקשר: אם מישהו מבקש את המידע הרגיש שלך, ודא שאתה יודע מי הוא. הרבה פעמים אנשים התוקפים יוצרים אתרים בעלי מראה רשמי שנראים כמו האתר האמיתי כדי לגנוב את הנתונים שלך. השווה את מה שהם מבקשים לבין מה שבדרך כלל היית מתבקש בעת כניסה לחשבונות כמו פייסבוק, גוגל, אמזון, חשבון הבנק או כל שירות אחר.
2. שים לב לשגיאות כתיב: התוקפים לא תמיד מאייתים היטב את התוכן ולרוב טועים בהודעות ובמיילים שלהם. טעויות אלה עלולות לחשוף את הונאתן עוד לפני השלב בו הם מנסים לגנוב את הנתונים שלך.

המלצות

כמה כללי אצבע:

1. אין לחשוף מידע אישי בדוא"ל בהודעות, או בשיחות טלפון עם אנשים זרים.
2. יש לאפשר אימות דו שלבי (2Factor Authentication) בחשבון מדיה חברתית, חשבונות בנקיים ואתרים אחרים שבהם המידע האישי שלך משותף.
3. בדוק תמיד את כתובת האתר לפני הכניסה.
4. שנה את הסיסמאות שלך באופן קבוע, וודא שהן ייחודיות לכל אתר

טופס יצירת
קשר

הפוסט כיצד להגן על החברה שלך מפני איומי סייבר הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר

שוקלים האם לבצע בדיקת חדירת לעסק? מוטב כי תבינו קודם כל מהן המטרות העיקריות של הבדיקה. לאחר שתכירו את המטרות העיקריות, תוכלו להבין עד כמה הבדיקה הזאת היא חיונית עבורכם. במאמר הבא החלטנו לרכז עבורכם את כל המטרות העיקריות של הבדיקה הספציפית הזאת. כך שתוכלו להחליט באופן אפקטיבי האם מבדק חוסן הוא הכרחי מבחינתכם או שלא. בשורה התחתונה אתם אלה שמכירים את העסק שלכם בצורה הכי טובה שיש. אתם אלה שתדעו האם הבדיקה הזאת יכולה לתרום או שלא. הרי אין שום טעם שתעשו החלטה שאיננה יכולה לתרום לעסק שלכם בראייה לטווח הרחוק.

מהי בדיקת חדירות?

מבדק חדירות זוהי בעצם שיטה לבחון את רמת האבטחה בעסק מסוים. כלומר עד כמה המערכות שבהן משתמש הארגון עמידות בפני מתקפות כאלה או אחרות. כפי שאנו יודעים מתקפות סייבר הם דבר שבשגרה, ולכן כל עסק חייב לדעת כיצד להתמודד איתן. באמצעות הבדיקות הללו אנשי מקצוע תוקפים את המערכות במודע כדי להבין את תמונת המצב. הבדיקה הזאת יכולה להיות בדיקה תקופתית או בדיקה המגיעה בגלל סיבות כאלה או בגלל סיבות אחרות.

תחפשו את נקודת התורפה

קשה מאוד לדעת מראש מהן נקודות התורפה של העסק מבחינת אבטחה. על ידי מבדק חוסן ניתן לקבל את תמונת המצב המלאה בכל מה שקשור לאבטחה. אחרי המבדק ניתן לראות בצורה ברורה מהן נקודות התורפה של העסק, וניתן לחשוב על רעיונות כדי לשפר את רמת האבטחה. אם לא תדעו מהן נקודות התורפה יהיה לכם קשה מאוד לנקוט בפעולות שונות שנועדות לשפר את האבטחה. אל תשכחו כי רמת האבטחה חייבת להיות בשיאה על מנת שתוכלו להיות רגועים. הנושא הופך להיות משמעותי יותר אם ישנו חשש לדליפת מידע של לקוחות לידיים הלא נכונות.

לבחון את מערכות האבטחה בזמן אמת

רכשתם מערכות אבטחה חדשות לעסק? יהיה לכם קשה מאוד לבחון אותם, הדרך היחידה לבחון מערכות אבטחה היא על ידי ניסיונות פריצה אמיתיים. בדיקת חדירות תאפשר לכם לדעת באמת רק רמת היעילות של מערכות אבטחה. תוכלו לדעת האם מערכות האבטחה מספקות את הסחורה או שהן מביאות איתן חורים רבים. כך לא תמצאו את עצמכם במצב שבו אתם סומכים על מערכות אבטחה שלא יספקו את הסחורה. מערכות אבטחה שבמציאות לא יעשו את העבודה שהבטיחו לכם שהן עושות.

חיסכון כספי אפשרי במניעת פריצות

כל פריצה למערכות הארגון תביא איתה להוצאה כספית גבוהה במיוחד, בטח אם זולג מידע לידיים הלא נכונות. אנו שומעים כל הזמן שהאקרים פורצים למחשבים של עסקים על מנת לדרוש כופר על המידע שברשותם. מבדק חדירות יסייע לכם למנוע פריצות עתידיות, ובכך יכול גם לסייע לכם לחסוך הרבה מאוד כסף. כך שגם אם העלות של המבדק היא לא עלות זולה, ברוב המקרים היא תהיה משתלמת. תוכלו למצוא את עצמכם במצב שבו אתם יודעים כי אף אחד לא יכול לחדור אל תוך מערכות העסק.

למנוע אי נעימות אל מול הלקוחות

המטרה שלכם היא תמיד לשמור על נראות טובה בעיניהם של הלקוחות שלכם. הרי אם הלקוחות לא רואים אתכם בצורה חיובית, הם ככל הנראה לא יהיו לקוחות שלכם. פרצות אבטחה הן ללא ספק מהאלמנטים שעשויים לשנות את כל התדמית של העסק. מהסיבה הזאת חשוב מאוד כי העסק שלכם יהיה מאובטח מקצה לקצה ללא חורים. מבדק חוסן יאפשר לכם לדעת כי אין לכם סיבה אמיתית לחשוש. העסק שלכם נמצא במקום הכי טוב שיש, והלקוחות יכולים להיות רגועים. הלקוחות יקבלו רושם כי המידע שהם מספקים לכם נמצא בידיים הכי בטוחות שיש.

הכינו את עצמכם לכל תרחיש מראש

אפילו אם העסק שלכם הוא עסק קטן, אסור לכם לחשוב כי לעסק שלכם לא יפרצו. האקרים יכולים לפרוץ לעסקים קטנים או לעסקים גדולים. מבחינתם פריצה למערכות של עסקים קטנים היא אפילו פשוטה יותר מאשר פריצה למערכות של עסקים גדולים. לכן בדיקת חדירות תאפשר לכם לדעת כי גם העסק שלכם מוגן מפני פריצות של האקרים. אל תחכו שיהיה מאוחר מידיי, כי אז כל העבודה שתצטרכו לעשות תהיה מורכבת יותר.

טופס יצירת
קשר

הפוסט מהן המטרות העיקריות של בדיקת חדירות לעסק? הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

ביקורת אבטחה

ביקורת היא תהליך של בחינת מערכות ואו תהליכים עסקיים כדי להבטיח שהם מתוכננים ושמבצעים בהם שימוש כראוי.

הביקורת מבוצעת לעתים קרובות על ידי צד שלישי בלתי תלוי או כקבוצה אוטונומית בתוך הארגון.

פעולה זו מסייעת להבטיח כי תוצאות הביקורת מדויקות ואינן מוטות עקב פוליטיקה ארגונית או בנסיבות אחרות.

הביקורת מבוצעת בתדירות גבוהה בכדי להבטיח כי הארגון עומד במדיניות עסקית, אבטחת מידע ודרישות אחרות אליהם העסק עשוי להיות כפוף. מדיניות זו יכולה לכלול רגולציות, חוקי ממשל ותקנות, חוזים משפטיים ו – Best Practices.

מערכות עיסקיות קריטיות צריכות להיות כפופות לביקורת קבועה כפי שמכתיבה הדרישה הרגולטורית או החוזית.

שבילי ביקורת | לוגים (Audit Trails)

שבילי הביקורת הן רשומות עזר הנוצרות עם עסקאות ואירועים אחרים.

ישנן סיבות רבות מדוע יש להשתמש בהן, הנה כמה:

• אכיפת אחריות: עובדים נוטים להיות יותר אחראים על מעשיהם כשהם יודעים שישנם ביקורות אשר לוכדות הפעולות שלהם.

• חקירה: חוקרים שצריכים להתחקות אחר מעשיו של עובד יכולים להסתמך על שבילי ביקורת המציגות את הפעילויות שאותו עובד ביצע.

• שחזור אירוע: ייתכן ולעיתים אנליסטים יידרשו להבין את האירוע על ידי ביצוע שחזור לתהליך, וללא שבילי ביקורת, שחזור אירוע יהיה חסר תועלת.

• זיהוי בעיות: שבילי ביקורת יכולים לעזור לאנליסט או מהנדס לזהות ולתקן את בעיות שונות במערכת או בתהליך.

המרכיבים העיקריים של שבילי ביקורת הינם:

• תאריך ושעה: תיעוד תאריך ושעת האירוע.
• גורם: מי העובד המבצע.
• מקור: המיקוםעמדה שדרכו בוצע האירוע.
• פרטים נוספים: פרטים נלווים כגון השינוי שבוצע לעומת מה שקדם לו.

סוגי שבילי ביקורת

שבילי ביקורת (הידוע גם בשם יומני ביקורת או סתם לוגים) באים בכמה צורות וגדלים שונים.

הם יכולים לכלול קבצי לוג עצומים ובפורמטים מסויימים, כגון לוגי מערכת ו – syslog, רשומות התחברות למערכות, יומני מעקב רשת ולוגים ממערכות שונות.

שבילי ביקורת חסרי תכונה חשובה אחת: עקביות הפורמט.

נראה כאילו כל מי שאי פעם כתב תכנית שיוצרת לוג זחל לתוך מערה והמציא שם פורמט לוג ייחודי משלו.

ניהול אירועים

אז מה עושים כשקופצות התראות מהמערכת?

• בדוק אם ההתראה אכן מעידה על אירוע אמיתי או False-Positive.
  אם האירוע הוא False-Positive, יש ליצור החרגה במערכת ולתעד את אופי האירוע. אם ההתראה הינה אמיתית יש לפעול לפי התכתיבים והנהלים לטיפול מיידי באירוע.
• בצע ניתוח שורש. הלוגים משמשים כדי לפתור בעיות ולשחזר אירועים, וביצוע ניתוח הינו אידיאלי במצב הזה.
  הניתוח אמור להוביל לטיפול בבעיה – ובסופו של דבר, את היכולת למנוע אותה בעתיד.

שמירת לוגים

מנהלים רבים שוכחים לקחת בחשבון את נפחי הלוגים שמגיעים לגדלים גבוהים מאד, לוגים מיוצרים מדי יום על מערכות רבות, והם מגלים זאת ברגע ששטח הדיסק עומד להגמר וברוב המקרים, קבצי הלוגים שאנו זקוקים להם לצרכי אנליזה ומחקר מוחלפים על ידי קבצי לוג חדשים (Log Rotation).

בתעשיות רבות, שימור לוגים ופעולות בסופו של דבר הופך להיות סוגיה משפטית (כגון חוקי ממשל ורגולציות), במיוחד עם יישומים.

לכן יש לברר כמה זמן נדרש לשמור את הלוגים, ולאחר מכן להבין מהי הדרך הנכונה לשמור אותם כראוי.

הגנת הלוגים

שלמות ומהימנות הלוגים הוא צורך חיוני, וזה עוד מצב שעלול להשאיר אתכם ערים בלילה.
הלוגים חייבים להיות מוגנים כנכד חבלה והתקפות אחרות היכולות למנוע רישום אירועים כראוי ובאופן אמין.
הבעיה היא שהלוגים הנם בדרך כלל קבצי נתונים במערכת ולכן גורם נחוש שרוצה לעשות צרות ואו למחוק את עקבותיו מחפש את קבצי הלוג במטרה לשנות ואף למחוק אותם.
ישנה אפשרות למנוע זאת באמצעות הקשחת הרשאות הגישה לקבצים אלו אך מדובר במשימה לא פשוטה כלל. ביצירתיות מסוימת, אפשר להשתמש בכמה טכניקות לוגים חושבים מאד, כגון לכתוב אותם ישירות לטייפ קלטות או להעביר אותם ישירות למערכתספריה ברשת.

רישום לוגים יכול להיות גם המקור של מתקפת מניעת שירות (DoS, DDoS). גורם זדוני פנימי או חיצוני שמעוניין לבצע פעולות לא חוקיות מודאג באופן טבעי מנושא רישום הלוגים.
ולכן, הוא יכול לשגר התקפת DoS על רישומי הלוג באמצעות הפעלת תוכנית המבצעת אלפי עסקאות או פעולות, ובאמצעות כך לנסות לגרום לחוסר בשטח דיסק פנוי.
במידה ואכן המתקפה הצליחה, מנגנון רישום הלוגים משתנק, ולאחר מכן הגורם יוכל לבצע את רצונו ללא התרעה על האירוע.

אודות: אורן יעקובי

אורן יעקובי, יועץ אבטחת מידע, בעל ניסיון מוכח מעל 14 שנה בניהול, הקמת מערכות מידע, תכנון ואינטגרציה של פרויקטים מורכבים בעולם אבטחת המידע ו – IT ומוחה בסביבות ענן.

Linkedin

מעוניין במידע
נוסף
?

הפוסט סדרת CISSP: ביקורת אבטחה Security Auditing הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

ניטור ומבדקי חוסן

ניטור מכיל קרקע רחבה יותר מאשר רק בדיקה תקופתית או קבועה של לוגים כפי שציינתי במאמר בנושא. הניטור כולל את הפעילויות הבאות:

• Penetration testing
• Intrusion detection
• Violation analysis
• Keystroke monitoring

מבדקי חדירה (Penetration Testing)

מבדקי חדירות הוא המונח הכללי המתאר שימוש בכלים לגלות ולזהות פגיעויות אבטחה לוגיות ופיזיות. טכניקת ביצוע מבדקי החדירה כוללת:

סריקת פורטים (Port Scanning)

סריקת פורטים היא תוכנת אבטחת מידע, המשמשת לבירור אילו פורטים פתוחים במשאב מחשוב המחובר לרשת מחשבים.

באמצעות ניתוח תוצאות הסריקה ניתן לקבל תמונת מצב על התוכנותמערכות הקיימות בשרת אשר מתקשרות מול מערכות נוספות (הפורט פתוח) וגרסת מערכת הפעלה ברוב המקרים.

בדר"כ השלב הבא הוא לאתר פרצות אבטחה על בסיס סוג המערכת וגרסתה לצורך ביצוע התקפות שונות.

סריקת פגיעויות (Vulnerability Scanning)

בדומה לסריקת פורטים, סריקת פגיעויות משמשת לאיתור חורי אבטחה במערכות ותוכנות.

לרוב משתמשים בכלי סריקה למבדקי אתרים כגון Web Applications, מערכות הפעלה ובסיסי נתונים בכדי לאתר האם ישנם חורי אבטחה אשר עלולים לסכן את המערכת.

רחרחן מנות (Packet Sniffing)

כלי ללכידת תעבורת TCP/IP ברשת, לא רק עבור תעבורה בין המחשב עליו מותקן הכלי אלא עבור כלל התעבורה ברשת הארגון.

היקף התעבורה שנלכדת תלויה בנקודה שבה הכלי הותקן.

אם הכלי הותקן כתוכנה על מחשב המהווה נקודת קצה ברשת, רק התעבורה שתגיע אליו תתועד.

War Dialing

טכניקה המשתמשת במודם לסריקה אוטומטית של מספרי טלפון, בדר"כ מדובר בחיוג לכל מספר באזור חיוג מסוים לצורך איתור מחשבים, שרתים ומכשירי פקס.

גרסאות וכלים חדשים של תקיפה זו כגון WarVOX לא מצריך מודם לצורך ביצוע התקיפה מאחר וכלים מסוג זה יכולים להשתמש בטכנולוגיית VoIP מה שמגביר את כמות השיחות בשונה ממודם.

War driving

פעולה לחיפוש רשתות אלחוטיות Wi-Fi על ידי גורם ברכב נוסע, באמצעות מחשב נייד, טלפון חכם או מסייע דיגיטלי אישי (PDA).

ישנם כלים רבים להתקפה זו כגון; NetStumbler, InSSIDer, Vistumbler, Kismet.

הכלים משתמשים בציוד המכיל Wi-Fi ו – GPS לצורך הקלטת מקומות בהם קיימות רשתות אלחוטיות.

Dumpster Diving

מדובר בצורה פופולרית מאד להוצאת פסולת שהושלכה במכולות זבל, מגורים, תעשייה ובנייה לצורך איתור פריטים ומידע שיכולים להיות יעילים עבור התוקף.

האזנת סתר (Eavesdropping)

 הקלטה או הקשבה לשיחות ללא הסכמה של אף אחד מבעלי השיחה.

האזנת סתר משמשת בדרך כלל להשגת מודיעין או לחקירת מעשים שבוצעו בעבר, ונעשית לעתים באמצעות אמצעים סמויים.

ניתן לבצע האזנת סתר במגוון דרכים – כמו הקשבה לשיחות טלפון באמצעים גלויים או סמויים או האזנה לשיחות המתנהלות בחדר או במקום מסוים באמצעים אלקטרוניים.

הנדסה חברתית (Social engineering)

מניפולציה פסיכולוגית המופעלת על אנשים כך שימסרו מידע סודי, כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות.

תכונות אלו, המכונות לעתים ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה.

בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד (ויקיפדיה).

לדוגמה, התקשרות לגורם פנימי בחברה והזדהות כתומך טכניה מבקש את פרטי החשבון בטענות שונות כגון שדרוג שרתים ובחינת גישה למערכת.

זיהוי ומניעת חדירות (Intrusion detection and prevention)

זיהוי חדירה הינה הטכניקה המשמשת לזיהוי פעילות לא מורשת ברשת הארגון.

מערכת זו נקראת גם IDS. שני סוגי פתרונות IDS בשימוש כיום הם:

Network Based Intrusion Detection – NIDS

פתרון NIDS בדר"כ מיושם על ידי הטמעתו בנקודה אסטרטגית בתוך רשת הארגון לצורך ניטור תעבורה מכלל משאבי המחשוב.

המערכת מבצעת אנליזה לתעבורה ומשווה את המידע מול בסיס נתונים של התקפות מוכרות וידועות, ובעת זיהוי מתקפה או התנהגות אנומלית נשלחת התראה מיידית לגורם הרלוונטי.

לעיתים רבות נדרש לבחון את המערכת ע"י ביצוע סימולציה למתקפות זדוניות, וכיום ישנן מערכות אשר מבצעות פעולה זו כגון OPNET, NetSim.

Host Based Intrusion Detection – HIDS

בניגוד ל – NIDS, פתרון HIDS מותקן על גבי תחנות ומשאבי מחשוב באופן אינדיבידואלי ברשת הארגון.

המערכת מנטרת את תעבורת המידע הנכנסת והיוצאת בתחנה ותשלח התראה לגורם האחראי בעת זיהוי תעבורה חריגה.

גם מודול NIDS ו – HIDS משתמשים במספר מתודות לצרכי ניטור וזיהוי, להלן:

מבוסס חתימה (Signature Based)

מתודה זו משווה את תעבורת הרשת המנוטרת מול רשימת דפוסי התנהגות בקובץ חתימה.

קובץ החתימה מזהה מתקפות מוכרות בלבד, ולכן במידה וגורם זדוני משנה את דפוס ההתנהגות במתקפה המבוצעת על ידו ייתכן והמערכת לא תזהה את ההתקפה.

מבוסס אנומליות (Anomaly Based)

מתודת זיהוי על בסיס אנומלי מנטרת את תעבורת המידע ברשת ומייצרת פרופילי תעבורה. לאחר זמן מסויים, המערכת תדווח על חריגות בהתאם לפרופילי התעבורה שנוצרו.

החסרון במתודה זו נעוצה בכך שהמערכת אינה משתמשת במאגר התקפות מוכרות כדוגמת מתודה מבוססת חתימה וכתוצאה מכך יתכן ויקפצו התראות שווא False-Positive רבות.

מערכת IDS אינה מונעת התקפה אלא מתריעה בלבד, מערכות Intrusion Prevention Systems – IPS מונעות מתקפות בפועל או לפחות מצליחות להאט את המתקפה.

תתייחסו אל מערכת IPS כמערכת IDS בעל יכולות לבצע פעולות בעת זיהוי כגון סגירת תעבורה, או פרוטוקול תקשורת.

אנליזת הפרת חוקים (Violation Analysis)

ניתוח הפרה הינו המדע של בחינת לוגים וביקורות לצורך זיהוי פעילויות זדוניות.

האנליזה משתמשת בהגדרות Thresholds שמבדילות בין הפרות זדוניות לבין שגיאות שאינן מקוטלגות כמתקפות.

לדוגמה; משתמשים במערכת מסוימת לפעמים מקלידים את סיסמאותיהם בצורה לא נכונה, אם כך כמה טעויות מותר לבצע לפני הקפצת התראה?

לצורך העניין, ניתן להגדיר עד ארבעה ניסיונות כושלים בשעה.

בכל פעם שלמשתמש יש פחות מארבעה ניסיונות כושלים, אין להתייחס לכך כאל הפרה, אבל כאשר אותרה פעולה שגרמה ליותר מארבעה ניסיונות כושלים בשעה, ניתן להסיק שמישהו מנסה לפרוץ למערכת על ידי ניחוש סיסמאות.

ניטור הקלדה (Keystroke monitoring)

פעולת ניטור אשר מתעדת את הקלט בתחנות עבודה וטרמינלים.

ניטור הקלדה מזין כמויות גדולות של נתונים בקבצי לוג.

לעיתים קשה מאד להסתיר את העובדה שהארגון מבצע שימוש בטכניקה זו וכמו כן ישנן סוגיות אתיות לגבי זכויות הפרט של המשתמשים ברמת עומק כזו של בדיקה ולכן מומלץ להשתמש בניטור הקלדה רק בזמן חקירה אקטיבית.

תגובה לאירועים (Responding to events)

אוקי, אז הגדרת את כל מערכות הניטור ויצרת את כל החוקים הנדרשים לצורך זיהוי פעולות חריגות וזדוניות ברשת החברה, אם כך מה עליך לבצע כאשר אחת ממערכות הניטור מצביעה על כך שישנם אירועי אבטחה?

איך ניתן לזהות שמשהו אינו תקין ואיך להגיב כראוי? כאן נכנס תהליך האיתור, תגובה, ותיקון הבעיה (נחשב גם כניהול אירוע – Incident Management).

אירועי אבטחה דורשים תכנון מראש להלן:

אחראי ניטור

מי הגורם המנטר את המערכות והלוגים ובעבור אילו אירועים

תגובה ראשונית

מה הם הצעדים הראשונים שיש לבצע כאשר אותר אירועי חשוד? רעיון טוב יהיה כמובן לכתוב נהלים מסודרים לטיפול באירוע

אישור

מי מבצע משימה זו, וכיצד הוא או היא עושים זאת? מישהו צריך לקבוע האם האירוע הוא אזעקת שווא או אכן מתקפה זדונית

הודעה

כיצד האירוע משפיע על ההמשכיות העסקית? במידה ומשתמש פנימי גורם להתראות, ייתכן וידרש להודיע לאנשי מפתח מאחר ותיתכן פגיעה בסודיות, אמינות וזמינות המידע. מי הגורם המודיע

הסלמה (Escalation)

מי מגדיר אילו מנהלים בכירים צריכים להיות נושעים לאירוע ומתי יש לעדכנם?

רזולוציה

איך אתה מתכנן כיצד למגר את האירוע? רוב הזמן, מישהו צריך לעשות משהו כדי לנהל את האירוע, כגון כיבוי והפעלה, אתחול מחדש לשרת, נעילת חשבון משתמש, השעיית שירות, או פעולות אחרות

דיווח

האם קיים פורמט דיווח סטנדרטי, ועל ידי אילו אמצעים יימסרו הדיווחים? צורת דיווח לאירועי אבטחה שונים נדרשים להיות מוכנים מראש

סקירת אירוע

כיצד בכוונתך לבחון את האירוע במונחים של פעולה ומניעה? בסיומו של האירוע, בעלי עניין נדרשים לדון במקרה בכדי לקבוע אם התגובה היתה מתאימה והאם הארגון יכול היה למנוע את האירוע

מעוניין במידע
נוסף
?

הפוסט סדרת CISSP: ניטור ומבדקי חוסן (Monitoring) הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

מהם מבדקי חדירה (Penetration Test – PT)?

מבחן חדירה מהווה את אחת השיטות האפקטיביות ביותר להערכת רמת האבטחה של רשתות מחשוב, יישומים ותשתיות ארגוניות.

בדיקת החדירות מדמה תרחישי תקיפה של גורם זדוני על היעד הנבדק וחושפת בפנינו ליקויי אבטחה.

תרחישי התקיפה מתוכננים מראש ומנוהלים על ידי בודק החדירות המבצע אותה.

את בודק החדירות ניתן לכנות "האקר" או "Pen-Tester".

אחת המטרות העיקריות של הבדיקה היא לחשוף חולשות אבטחה בכדי לטפל בהן וזאת לפני שתוקף אמיתי ינצל זאת אותן.

בדיקת החדירות מתבצעת הן על ידי בדיקות ידניות של בודק החדירות והן בצורה אוטומטית על ידי תוכנות וכלים לסריקת פגיעויות.

במהלך בדיקת חדירה אנו מתבססים על מתודולוגיות מוכרות בתעשייה כגון – OWASPPTESMITREOSSTMM

המטרות העיקריות של מבדק החדירה:

• חשיפת חולשות – לחשוף חולשות אבטחה במערכות, תשתיות ורשת הארגון

• יעילות – לבחון ולאמת את היעילות של מערכות ההגנה

• נראות – לספק לארגון פרספקטיבה על חולשות האבטחה הקיימות

• רגולציה – לספק מידע שימושי לצוותי הביקורת ולעמוד בסטנדרטים ורגולציות

• חסכון – לצמצם נזק עתידי באמצעות חשיפת הפערים וסגירתם

• אפקטיביות – לסייע בתיעדוף עבודה של מערך אבטחת המידע

כמו כן מבדק חדירה תורם לנו:

• להבין כיצד תוקף יכול לסכן את הרשת הארגונית
• לקבל תובנה אמיתית לגבי הנזק והסיכון העסקי שתוקף עלול לגרום לארגון
• קבלת דוח מקיף המתאר את חשיפות האבטחה לרבות המלצות לתיקון
• הכנת תוכנית פעולה המפרטת כיצד לשפר את רמת האבטחה

קיימים שני תרחישים עיקריים שעל פיהם מבצעים בדיקת חדירות:

• פנימי 
• חיצוני

מבדק חדירה פנימי

מבדק חדירות פנימי (Internal Penetration Test), מהווה בעיקר נקודת מבט של תוקף אשר כבר נמצא ברשת הארגון או לחלופין עובד זדוני שיש לו גישה לרשת וברצונו לחדור למערכות שאינן אמור להגיע אליהן או לנצלן לרעה.

חשוב להתייחס לאיום הפנימי כלא פחות חשוב מהאיום החיצוני.

במהלך בדיקת החדירות הפנימית ובהתאם להיקף הפעילות שסוכמה מראש טרום הבדיקה, בודק החדירות ינסה לזהות חולשות אבטחה ואף יעשה מאמצים להעלות את ההרשאותיו כמה שיותר (אסקלציה – Privilege Escalation) ובכך להגיע לצמתים שיובילו אותו אל היעד או לחלופין עמוק יותר ברשת הארגון.

מבדק חדירה חיצוני

מבדק חדירה חיצוני (External Penetration Test), מדמה מצב שבו תוקף ו/או כל גורם זדוני אחר אשר נמצא מחוץ לגבולות הארגון או המערכת מנסה לחדור פנימה.

לרוב במצב זה לבודק החדירות אין מידע מקדים על היעד הנבדק ו/או גישה פנימית לרשת ולכן על הבודק להצליח לחדור אל המערכת או הארגון מבחוץ ובאמצעות איסוף מידע עצמאי.

במבדק חדירה חיצוני, אחד השלבים החשובים ביותר הוא שלב איסוף המידע, בשלב זה הבודק ירכז כמה שיותר מידע על הארגון/מערכת מה שהווה בסיס מאוד משמעותי להמשך הבדיקה.

במידה ובודק החדירות יצליח לחדור פנימה, ניתן להמשיך את הבדיקה כבדיקה פנימית וזאת בצמוד למה שסוכם מראש בהיקף הבדיקה ואפיונה.

קיימים שלושה סוגים עיקריים של מבדקי חדירות:

• Black Box
• Grey Box
• White Box

מבדק חדירה מסוג Black Box

במבדק חדירות מסוג זה, בודק החדירות נכנס לנעליו של תוקף שאין ברשותו מידע מקדים על הארגון ו/או היעד הנבדק.

היתרון של מבדק חדירות מסוג זה הוא באותנטיות של הבודק על ידי הדמיית תרחישי תקיפה כמה שיותר קרובים למציאות.

החיסרון בבדיקה הוא שנדרש זמן רב בכדי ללמוד את היעד הנבדק וככל הנראה הכיסוי של הבדיקה יהיה מצומצם יותר ולכן ניתן להתחיל בבדיקה זו ולשלב אותה עם בדיקות אחרות.

מבדק חדירה מסוג Grey Box

במבדק חדירות מסוג זה, בודק החדירות מקבל מידע חלקי על הארגון ו/או היעד הנבדק.

המטרה של מבדק חדירות מסוג זה היא לקיים בדיקה רחבה ואפקטיבית על ידי קבלת מידע מקדים אך מתומצת על היעד הנבדק (חוסך זמן יקר לבודק החדירות המבצע את הבדיקה) וכמו כן, לשמור על הדמיית תרחישי תקיפה כמה שיותר מציאותיים ואותנטיים.

בדיקה זו נחשבת נפוצה יותר, היות והיא שילוב של השתיים האחרות. כפי שצוין לעיל, ניתן לשלב כמה סוגים של בדיקות.

מבדק חדירה מסוג White Box

במבדק חדירות מסוג זה, בודק החדירות מקבל את כל המידע הדרוש לו בכדי שיכיר כמה שיותר טוב את הארגון ו/או היעד הנבדק.

היתרון של מבדק חדירות מסוג זה הוא שרמת האפקטיביות והכיסוי של הבדיקה גבוהות יותר כי כל המידע מוצג מראש בפני בודק החדירות.

החיסרון הוא בחוסר האותנטיות של הבודק היות וברשותו מידע מקדים ומפורט על הארגון ו/או היעד הנבדק, מה שלא יהיה חשוף בפני תוקף אמיתי, ללא השקעת מאמצים באיסוף מידע.

תתי קטגוריות של מבדקי חדירה

• מבדק הנדסה חברתית
• בדיקת חדירות אפליקטיבית
• מבדק חדירה תשתיתי

מבדק הנדסה חברתית

בדיקות חדירה מסוג הנדסה חברתית מתמקד באנשים ותהליכים ובפגיעויות הקשורות אליהם ולא אל המערכות בצורה ישירה.

בדיקות אלה מורכבות יותר ודורשות מיומנות ומקצועיות, תוך כדי הקפדה עלך שמירת כללים ואתיקה מקצועית.

במבדק זה נזהה את החולשה בחוליה הכי חלשה בשרשרת וזה הגורם האנושי.

בדיקה מסוג הנדסה חברתית מתבצעת באמצעות ביצוע מניפולציות על האנשים עצמם בכדי לגרום להם לבצע פעולות שיעזרו לנו לחדור לארגון.

מטרת הבדיקה להגביר מודעות בקרב העובדים ולהציג הוכחת יכולת של הנזק העשוי להיגרם על ידי ניצול הגורם האנושי.

מבדק חדירה תשתית

בבדיקה מסוג זה, בודק החדירות יתמקד בצד התשתיתי של הרשת/ארגון/מערכת וזאת לרבות זיהוי ליקויי אבטחה בשרתים עצמם, מערכות הפעלה, התקני רשת, הקשחות, מעקף בקרות אבטחה ועוד.

מבדק חדירה פליקטיבי

בדיקת חדירות אפליקטיבית היא אחת הדרישות המרכזיות בתקני אבטחה ורגלוציות נפוצים כגון PCI DSS, HIPAA, FISMA ועוד.

חברות רבות רבות נוטות לחשוב שבדיקות אוטומטיות לאפליקציה או לחלופין תוכנות אוטומטיות לסריקת פגיעויות מספקות מענה לבדיקת חדירות, אך זה רחוק מהמציאות בשטח וקיים הבדל גדול בין בדיקה של בודק חדירות מומחה ומקצועי לבין הרצת כלים אוטומטיים בלבד.

להלן השלבים הבסיסיים במתודולוגיית מבדק חדירות (High Level)

• הצבת יעדים ומטרות
• איסוף מידע
• בניית מודל איומים
• ניתוח חולשות אבטחה
• ניצול חולשות אבטחה
• פעולות לאחר ניצול חולשות
• תיעוד וכתיבת דוח

מעוניין במידע
נוסף
?

הפוסט ביצוע מבדק חדירה \ מבדק חוסן – PT) Penetration Test) הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

זה קורה לטובים ביותר

קיבלתם שיחה טלפונית פתאומית וביקשו "בטעות" אדם אחר שאינכם מכירים, למרות טענתכם שמדובר בטעות עדיין אתם נשאלים מספר שאלות על ידי אותו גורם שהתקשר, האם הדבר מוכר לכם?

רוב הסיכויים שהתשובה היא כן, בהרבה מן המקרים אין זו באמת טעות אלא תרמית במטרה להוציא מכם מידע שאינכם הייתם מספקים לאדם זר שהיה מבקש זאת בסיטואציה אחרת.

תרמית זאת נקראת במונח המקצועי – הנדסה חברתית.

הנדסה חברתית קיימת בשימוש קבוע בחיי היומיום שלנו, בין אם זו הדרך שבה הילדים משכנעים את הוריהם לקנות להם ממתקים, בין אם זה על ידי אנשי מכירות שגורמים ללקוחות לקנות מוצרים שבכלל אינם חפצים בהם וכו'.

הנדסה חברתית הינה היכולת לתמרן את המוח האנושי לנקוט בפעולה כלשהי, כאשר אותה פעולה לא הייתה נראית לנו לגיטימית במידה והיינו מודעים למשמעותה או למטרה שלשמה נתבקשנו לבצעה.

ויקיפדיה מגדירה זאת: "מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. הנדסה חברתית היא לכן, אחת מהטכניקות למימוש לוחמת סייבר."

לי זה לא יקרה

אז נכון, יש לכם חומת אש (Firewall) מהחדישות ביותר, מערכות לגילוי והתרעה על התקפות ברשת, אנטי-וירוסים בכל התחנות בארגון, בקרות גישה ביומאריות, חדרי הרתים מאובטחים היטב, מי מסוגל לפרוץ אליכם עם כל ההגנות האלה?

כאשר מדובר בהנדסה חברתית, להגנות אלו אין יותר מדי משמעות ואתם נותרים חשופים למגוון רחב של התקפות שדרכן ניתן בקלות רבה לחדור לארגונכם ולעקוף את כל ההגנות הפיזיות והאפליקטיביות הקיימות. היות ואין באמת הגנה על החולשה העיקרית – הגורם האנושי.

בעוד ארגונים מתקדמים טכנולוגית ומשפרים משמעותית את מערך אבטחת המידע שלהם, האקרים פונים לחלק הכי חלש בחוליה, העובדים.

כיום, עם מערכות ההגנה המתקדמות, התקפות על מערך אבטחת המידע בארגון הפכו ליותר מסובכות וקשות ליישום, מה שמאריך ומקשה מאוד את תהליך התקיפה.

לעומת זאת, בעזרת הנדסה חברתית, האקר יכול להגיע לתוצאות זהות בשעות עבודה ספורות בלבד.

המחשה

לארגונכם הגיע איש כיבוי אש המטפל במטפי הכיבוי בבניין, איש כיבוי האש ניגש תחילה לשומר הנמצא בלובי הבניין והסביר שבא לביקורת שגרתית ולכן השומר הכניסו ללא כל בעיה לבניין.

לאחר שיחה קצרה עם המזכירה בדלפק הקבלה "וזריקת" חיוך קטן :), איש כיבוי האש קיבל הכוונה למיקום חדר השרתים וניגש לאזור המעליות ועלה לקומה הראשונה בה נמצא מתחם השרתים של הארגון.

הכניסה למתחם השרתים מאופשרת רק לבעלי מורשי גישה ובאמצעות טביעת אצבע בלבד.

בדיוק כאשר יצא האיש מהמעלית, אחד מטכנאי המחשבים יצא מדלת המתחם לצורך הפסקת סיגריה קצרה וראה את איש כיבוי האש בדיוק בדרכו פנימה ולכן השאיר לו את הדלת פתוחה כדי שיוכל להיכנס.

לאחר שקיבל הסבר מאחד הטכנאים הנמצא במקום, הוא הופנה לחדר השרתים שבו מותקן מטף הכיבוי.

לאחר מבט מהיר הוציא מכיסו תווית קטנה והדביקה על המטף.

תווית זו מעידה כי המטף תקין, בזמן הוצאת התווית מכיסו, שלף דיסק און קי קטן, אשר אינו בולט לעיין והכניסו לאחד השרתים שהיו על ידו (בחלקו האחורי של השרת).

הבחור אמר שלום בחיוך ועזב את הבניין. עד לפעולה האחרונה שאותו "איש כיבוי אש" ביצע, ניתן להניח שממבט מבחוץ של עובד מן המניין, כל הפעולות שהוזכרו לעיל ייראו לגיטימיות לגמרי.

אך באם נבחן את מטרתו האמיתית של אותו "איש כיבוי אש" פעולותיו מתגלות כתרמית אחת גדולה אשר לא היינו מאפשרים לה לקרות במידה והיינו מודעים לה.

כל טכניקות ההנדסה החברתית מבוססות על היכולת להשפיע על החלטות המוח האנושי. מושג זה נקרא "הטיות קוגניטיביות".

אחת משיטות התקיפה הנפוצות ביותר בהנדסה חברתית הינה – דיוג (“פישינג”).

דיוג הינה שיטה לגנוב מידע, בעיקר מידע רגיש, על ידי התחזות לגורם לגיטימי המוכר לקורבן.

ניתן ליישם דיוג בטכניקות שונות לרבות: מסרים מידיים, דואר אלקטרוני, שיחות קוליות וכו'.

האתרים הנפוצים שבשמם מבוצעות פעולות פישיניג הינם אתרי בנקים, רשתות חברתיות כגון גוגל ופייסבוק, אתרי מסחר כגון איביי ועוד.

למרות כל ההגנות החדישות בתחום אבטחת המידע, עדיין אין הגנות המסוגלות לשמור מפני טעויות הנובעות מכשלים בהתנהלות הגורם האנושי.

זה קורה לטובים ביותר

לפי פרסומים משנת 2011, אחת המדינות (חוקרים רבים סבורים כי מדובר בסין) שמה לעצמה מטרה לפרוץ לחברת האבטחה מהגדולות והמוכרות בעולם – חברת RSA.

חברה בסדר גודל שכזה, יכולה להרשות לעצמה לממן טכנולוגיות אבטחת מידע מהחדישות ביותר בתחום.

אלא שאותם תוקפים נקטו בשיטת תקיפה שונה וחסכונית – עקיפת מערך האבטחה של מחשבי הארגון דרך עובדי החברה.

לאחר איסוף מידע מקדים, התוקפים שלחו לעובדי החברה מייל עם הנושא: "Recruitment plan 2011".

מייל זה הכיל בתוכו קובץ אקסל אשר ניצל פרצת אבטחה לתוכנת הפלאש.

עם הפעלת הקובץ על ידי העובדים, הותקנה למחשב תוכנה זדונית בשם Poison Ivy.

תוכנה זו מאפשרת שליטה מלאה על המחשב באמצעות מחשב מרוחק של התוקף.

לאחר השתלטות על התחנה בוצעה פריצה מלאה לרשת החברה.

אנו עדים כאן להתקפה מסוג הנדסה חברתית אשר הביאה לחדירה מלאה לחברת RSA.

אז מה כן ניתן לעשות?

הדרך היעילה ביותר כיום להגנה מפני התקפות מסוג הנדסה חברתית, הינה הגברת מודעות העובדיםמשתמשים.

ניתן ליישם זאת באמצעות שיטות שונות ובניהן:

• יצירת מסגרת אמון בין הארגון לעובדים והגדרת המצבים בהם מותר/אסור להעביר מידע רגיש לגורמים ספציפיים, אם בכלל.
• זיהוי המידע הרגיש בארגון והערכת חשיפתו להתקפות מסוג הנדסה חברתית.
• הכנת מדיניות ונהלים המטפלים באופן השימוש במידע רגיש.
• הכשרת העובדים בהתאם לתפקידם, מיקומם בשרשרת הארגונית ורמת רגישות המידע איתו הם עובדים.
• ניטור נסיונות להדלפת מידע מתוך הארגון.
• נהלים הדוקים לאבטחה פיזית והגברת המודעות של גורמי האבטחה.
• ביצוע מבדקי חדירה הכוללים שימוש בהתקפות מסוג הנדסה חברתית ולאחר מכן, עדכון העובדים בטעויותיהם.

מעוניין במידע
נוסף
?

הפוסט הנדסה חברתית הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

במאמר הבא נדון בנושאים:

• הבנה כיצד אסונות יכולים לשבש פעילות עסקית
• כיצד המשכיות עסקית והתאוששות מאסון נבדלים זו מזו אך עובדות ביחד

תכנון המשכיות עסקית (BCP) ותכנון התאוששות מאסון (DRP) הולכים יד ביד בכדי לספק לארגון את האמצעים להמשיך את הפעילות העסקית כאשר מתרחש אסון.

BCP ו DRP הינם תהליכים אינטנסיביים ומאד מפורטים והם קיימים מסיבה אחת; דברים רעים קורים.

ארגונים אשר מעוניינים לשרוד אסון נדרשים להכין תוכניות מגירה רשמיות ונרחבות לצורך קיום המשכיות עסקית והשבת פעילות הארגון למצב נורמטיבי.

הגדרת מצבי אסון

מגוון רחב של אסונות יכולים להטריד את הפעילויות העסקיות של כל ארגון.

האסונות מתחלקים לשתי קטגוריות עיקריות; אסונות טבע או מעשה ידי אדם. אין זה משנה אם 

האסון הינו טבעי או מעשה ידי אדם, אסון יכול לשבש את הפעילות העסקית של הארגון.

במאמר זה נדון כיצד אסונות משפיעים על ארגונים ונגדיר מהם גורמי האסון.

אסונות טבע

עבור מקרי אסונות רבים, ישנן מתודולוגיות רשמיות אשר נועדו להעריך מהי רמת הסבירות של אסון מסויים.

סבירות התרחשות אסון כפי שאציג בהמשך תלויה במידה משמעותית באזור הגיאוגרפי של הארגון.

• שטפונות
• שריפות ופיצוצים
• רעידות אדמה
• סופות טרופיות [טייפון, הוריקן וכו']
• הרי געש
• מפולות
• צונאמי

בעבור מקרים מסויימים מהרשימה הנ"ל עלולים להתרחש גם אפקטים משניים בעלי השפעה גדולה יותר על הפעילות העסקית של הארגון, לדוגמה; צריכה מרבית של חשמל באזור מסויים עלולה להפיל את קווי החשמל באזורי תעשייה (מה שקרה לא פעם במדינה).

חלק נוסף מהתופעות הללו הינם:

• הפסקת שירות חשמל, גז, מים וכדומה.
• הפסקת תקשורת טלפוניה, כבלים, תחנות טלוויזיה ורדיו.
• הפסקת שירותי תחבורה, שדות תעופה, כבישים, רכבות וכו'.

אסונות מעשה ידי אדם

לא מספיק שישנם אסונות טבע שנדרש להתמודד ולהתכונן אליהם, צריך לקחת בחשבון גם אסונות מעשה ידי אדם לדוגמה:

• תאונות עבודה אשר עלולות להשבית את החשמל, כשלי תקשורת וכדומה.
• פשעים שונים כגון טרור, ונדליזם, פריצה, הצתות ועוד.
• מתקפות סייבר כגון פעולות מניעת שירות (DoS), החדרת נוזקות (Malware, Viruses), השמדת מידע ועוד.
• התפרעות אזרחים כגון הפגנות ושביתות

כיצד אסונות אלו משפיעים על הארגון

• נזק למבני הארגון, אסונות יכולים לפגוע ואף להרוס בניין.
• נזק למידע עסקי, בשילוב עם נזק במבני הארגון, אסון עלול לגרום נזק למידע עסקי בין אם מידע אלקטרוני או פיזי.
• נזק לציוד עסקי, אסון עלול להזיק למשאבי מחשוב לרבות מחשבים, שרתים, מכונות צילום וכדומה.
• פגיעה בתקשורת, אסונות עלולים לפגוע במתקני ציבור, כולל רשתות טלפון (הן קווים נייחים וסלולריים), רשתות נתונים וגם מערכות אלחוטיות מבוססי לוויין.
• פציעות ואובדן חיים, אסונות אלימים באזורים מיושבים לעיתים קרובות גורמים לנפגעים. כאשר עובדים, קבלנים, או לקוחות נהרגים או נפצעים, בארגון עלול להיות מושפע מכך בדרכים שליליות.

כיצד המשכיות עסקית והתאוששות מאסון עובדים יחד

תכנון המשכיות עסקית והתאוששות מאסון הינם שני צדדים לאותו מטבע, שניהם מופעלים בעת אירוע אסון אך עם זאת יש לכל אחד מטרות שונות להלן:

• תכנון המשכיות עסקית עוסקת בשמירת הפעילות העסקית של הארגון בעת אסון על ידי שימוש בתהליכים מוגדרים וכלים שונים.
• תכנון התאוששות מאסון עוסקת בשחזור פעילות הארגון למצב נורמטיבי לאחר התממשות אסון.

בעוד צוות ההמשכיות העסקית עסוקים בשמירה וניהול האסון באמצעות תוכניות מוכנות מראש, צוות התאוששות מאסון עסוקים בשיקום המתקנים והציוד לצורך חידוש פעילות הארגון לרמה הנורמטיבית.

כמו תחומים רבים מבוססי טכנולוגיה, BCP ו- DRP משתנים במהירות.

לכן פותחה גישה חדשה הנקראת COOP – Continuity of Operations, להלן רצף פעולות, שהנו מיזוג של BCP ו- DRP לתוך משימה אחת: שמירה על הפעילות העסקית של הארגון לאחר אסון.

הפוסט תכנון המשכיות עסקית והתאוששות מאסון (BCP/DRP) הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

רקע

במהלך השנים האחרונות רוב הארגונים הגדולים במשק השקיעו ושיפרו באופן משמעותי את רמת אבטחת המידע בהתאם לכפיפות לרגולציות שונות (הוראה 257  357, PCI DSS, HIPAA ועוד).

הקשחת בקרות ויישום אפקטיבי של מערכות אבטחה שונות גרמו לירידה דרמטית באפקטיביות התקפות הסייבר על משאבי החברה.

אך עם זאת, בזמן שגופי IT ואבטחת מידע בחברה עסוקים ביישום והטמעת מערכות אבטחה ובניית מודלים לאבטחת המידע, האקרים בילו את זמנם בפיתוח טכניקות התקפה חדשות לניצול מה שנחשב ל"עקב אכילס" של הארגון וזו השכבה האפליקטיבית.

מחקרים שונים שבוצעו בתחום מציגים הצלחה מעשית של עד 75% בניצול חורי אבטחה ברמה האפליקטיבית לפני כניסת פתרונות אבטחה אפליקטיביים כגון מערכות WAF.

הצלחות ההאקרים בניצול פרצות אבטחה אפליקטיביות מבוססות על עקיפת מנגנוני האבטחה שיושמו בארגון כגון חסימת פרוטוקולים.

מערכות חומות אש מסורתיות מגינות על שרתי ה – Web באמצעות יצירת חוקים אשר חוסמים תעבורה לא רצויה ומאפשרים בדרך כלל גישה רק באמצעות פרוטוקול 80 ו – 443, אך לצערנו פה זה מסתכם.

מאחר ולחומות אש מסורתיות אין את היכולת לנתח מהן הפקודות שעוברות מצד משתמש הקצה לשרת – Web והאם הינן לגיטימיות או זדוניות.

פה נכנס פתרון חומת אש אפליקטיבית (Web Application Firewall).

מערכות WAF מנתחות תעבורת HTTP ברובד האפליקטיבי לצורך ניתוח אופי וסוג הפקודות שמשתמשי הקצה מספקים לבקשה לפני העברתו לשרת ה – Web.

ניתוח המידע יכול להתבסס על חתימות (Signatures) של התקפות מוכרות או על בסיס חריגות בתעבורה לפי פרופיל ההגנה שיושם במערכת.

ברגע שארגון מחליט להטמיע מערכת WAF עליו לקחת בחשבון כמה מרכיבים חשובים ביצירת חוקי בסיס להגנה על שרתי ה – Web.

ארכיטקטורת הרשת

הכרת ארכיטקטורת רשת הארגון חשובה מאד לפני הטמעת ה – WAF, מאחר ויישום חוקי האבטחה מתבסס על הצרכים הייחודיים של הארגון והמערכת ויכול לשפר את אפקטיביות האבטחה באופן דרמטי.

לדוגמה: אם בארגון קיימים אתרים נוספים אשר רק באתר אחד ישנה אפשרות להעלאת קבצים על ידי משתמש הקצה, אזי ניתן ליצור חוק שיחסום את פקודת ה – PUT מכלל האתרים פרט לאתר בו קיימת אפשרות זו.

הרצת ההגנה במצב פסיבי (Passive Mode)

סקירת חוקיות הפרופיל שיושם מצריכה הרצה מקדמית אשר באמצעות אסטרטגיה זו ה – WAF בוחן את התעבורה בהתבסס על החוקיות שהוגדרה במערכת ללא חסימה.

לפני העברת המערכת למצב הגנתי אקטיבי (Active Mode), יש לבחון את תעבורת המידע שמפרה את מדיניות האבטחה והחוקים שנוצרו במערכת.

לאחר מכן, הגורמים האחראיים על הטמעת המערכת נדרשים לכוונן את שיעור ה – False-Positive במהלך בחינת ההגנה במצב פסיבי לפני העברתו למצב הגנתי אקטיבי.

ניטור

בעת העברת המערכת למצב הגנתי אקטיבי, יש לנטר ולבחון את הלוגים של החסימות מאחר והם מספקים מידע מעניין אודות החוקיות שיושמה.

רישומי הפרת מדיניות וחסימת התקפות שקיימים בלוגים של המערכת יציגו בין השאר גם חסימות שהינן False-Positive אשר יאפשרו לכוון יתר על המידה את פרופיל ההגנה שהוגדר.

הפוסט אבטחה אפליקטיבית באמצעות מערכות WAF הופיע לראשונה ב-בדיקת חדירות.