להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר

‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫המלצות להפחתת‬
‫חדירות סייבר לארגונים‬
‫‪Intrusion Mitigation Strategy‬‬
‫גרסה ‪ | 1.0‬יוני ‪ | 2015‬סיוון התשע"ה‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫תוכן העניינים‬
8 .‫בקרה מס‬
03 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Limit computer to computer
communication
‫הקדמה‬
‫רשימת הבקרות‬
06 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ‫המומלצות‬
23 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 .‫בקרה מס‬
HIPS - Host
Intrusion Prevention
1 .‫בקרה מס‬
Enable Anti-Exploitation
Mitigation
25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10 .‫בקרה מס‬
07 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Users Training
& Awareness
2 .‫בקרה מס‬
Application
Whitelisting
27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11 .‫בקרה מס‬
10 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Network Segmentation
& Segregation
3 .‫בקרה מס‬
Anti-Virus Suite
)Reputation & Heuristic(
28 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12 .‫בקרה מס‬
13 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Logging audit
real time monitor &
4 .‫בקרה מס‬
Patching
Operating Systems
30 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 .‫בקרה מס‬
15. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Web Gateway
and browsers
5 .‫בקרה מס‬
32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Application Patch
Management
14 .‫בקרה מס‬
18 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Malicious Email
Mitigation
6 .‫בקרה מס‬
33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disable Local
Admin Accounts
15 .‫בקרה מס‬
20 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Recovery
7 .‫בקרה מס‬
35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Secure
configuration/Hardening
36 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ‫מקורות‬
21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
- 2 -
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫הקדמה‬
‫מספר הפוגענים החדשים המופצים ברשת האינטרנט הולך וגובר‪ .‬זהו המרוץ הבלתי פוסק בין מפתחי הפוגענים לבין‬
‫חברות האנטי‪-‬וירוס וחברות אבטחת המידע השונות‪ .‬כל שינוי בפוגען גורם לאי התגלותו במערכות הקיימות‪.‬‬
‫ארגונים וגופי ממשל מהווים יעד מועדף עבור התוקפים‪ ,‬הן בשל איכות המידע שהם מכילים ורגישותו (פרטי ומסחרי)‪,‬‬
‫והן בשל משטח התקיפה הרחב שהם מעמידים עבור היריב (נגישות שרתים ושירותים לאינטרנט)‪.‬‬
‫במרבית מקרי התקיפה‪ ,‬מטרת התוקפים היא להתמקד בתחנות הקצה (מחשבי המשתמשים)‪ ,‬ומשם להתפשט לשאר‬
‫תחנות העבודה והשרתים באמצעות רשת התקשורת‪.‬‬
‫ההיכרות עם סוגי התקיפות והאופן שבו הן מתבצעות מספקת בסיס ידע חיוני להבנה כיצד לבנות מערך הגנה יעיל לארגון‪.‬‬
‫מסמך זה מתמקד בהפחתת יכולתו של הפוגען לחדור למחשב‪/‬שרת ‪ -‬פעולה המהווה את השלב הקריטי ב"וקטור‬
‫התקיפה" של מערכי התקיפה הנפוצים כיום‪ .‬מטבע הדברים‪ ,‬רוב הבקרות יתמקדו בהגנה על תחנות הקצה של‬
‫המשתמשים‪ ,‬שהן החוליה החלשה במערך ההגנה‪ ,‬וזאת‪ ,‬עקב היותן חשופות לתקיפה בעת גלישה באינטרנט‪ ,‬בקבלת‬
‫דואר אלקטרוני ממקורות שונים‪ ,‬בחיבור לרשתות חברתיות‪ ,‬במהלך פעילויות המבוססות על הנדסה חברתית‬
‫(‪ ,)Social Engineering‬ועוד‪.‬‬
‫הגדרת ‪Exploit kits‬‬
‫‪ Exploit kits‬הם לרוב תוכניות או סקריפטים המנצלים חולשה במערכות הפעלה‪ ,‬מסמכים ואפליקציות‪ .‬אלה הם כיום‬
‫הכלים הפופולאריים ביותר בחדירה למחשבים וניצולם למטרת כופר‪ ,‬גניבת מידע‪ ,‬השחתה‪ ,‬תקיפת מטרות אחרות‬
‫)‪ ,)DoS & DDoS‬וכדומה‪.‬‬
‫‪ Exploit kit‬טיפוסי מספק‪ ,‬בנוסף‪ ,‬אמצעי להתקשרות בין התוקף לנתקף ולניהולּה‪ ,‬דבר המאפשר את מימוש תהליך‬
‫התקיפה בכללותו‪.‬‬
‫חלק ניכר מתהליך ה‪ Exploiting-‬מבוצע דרך הדפדפנים‪ ,‬המאפשרים הורדת קבצים נגועים למחשב‪.‬‬
‫נכון לאפריל ‪ ,2015‬אלה הן ‪ 30‬משפחות התוכנות בעלות הפגיעויות בסיכון הגבוה ביותר‪:‬‬
‫‪US-CERT Top-30 Targeted‬‬
‫‪High Risk Vulnerabilities - April 2015‬‬
‫‪Vulnerability distribution‬‬
‫‪by product type - 2014‬‬
‫‪4%‬‬
‫‪13%‬‬
‫‪Application‬‬
‫‪Operating‬‬
‫‪System‬‬
‫‪Hardware‬‬
‫‪83%‬‬
‫‪- 3 -‬‬
‫‪Company‬‬
‫‪Software‬‬
‫‪8‬‬
‫‪Office‬‬
‫‪7‬‬
‫‪Explorer‬‬
‫‪1‬‬
‫‪Silverlight‬‬
‫‪2‬‬
‫‪Java‬‬
‫‪4‬‬
‫‪Coldfusion‬‬
‫‪3‬‬
‫‪Acrobat reader‬‬
‫‪4‬‬
‫‪Multiple platform‬‬
‫‪Company‬‬
‫‪Microsoft‬‬
‫‪Oracle‬‬
‫‪Adobe‬‬
‫‪1‬‬
‫‪OPEN SSL‬‬
‫‪30‬‬
‫‪Total‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫מסמך זה מסמן את תחילתו של תהליך לבניית מתודולוגיות הגנה המבוססות על בקרות מונחות עדיפויות‪ ,‬שתתייחסנה‬
‫לשבעת השלבים המרכיבים יחדיו מערך תקיפה באשר הוא‪ ,‬ומבוסס על דרך התקיפה מנקודת ראות התוקף‪( .‬לפי המודל‬
‫של חברת לוקהיד מרטין)‪:‬‬
‫‪Actions on object‬‬
‫)‪C&C (C2‬‬
‫‪Install‬‬
‫‪Delivery‬‬
‫‪Exploit‬‬
‫‪Recon‬‬
‫‪Weaponize‬‬
‫הבקרות במסמך זה מתמקדות במגוון טכניקות אבטחת מידע‪ ,‬שמטרתן לעזור לארגון לתעדף את מאמציו בהגנה כנגד‬
‫ההתקפות הנפוצות ביותר כיום‪ ,‬מתוך כוונה למנוע‪/‬לצמצם ככל הניתן את יכולת הפגיעה בארגון‪.‬‬
‫הבקרות גם עוזרות בשלבים נוספים של מערך התקיפה‪ ,‬כגון התפשטות ברשת‪ ,‬תקשורת עם המפעיל וזליגת מידע; אולם‬
‫הטיפול בשלבים הנוספים מצריך נקיטה בפעולות נוספות‪ ,‬שאינן חלק ממסמך זה‪.‬‬
‫הכתוב להלן נסמך על הסכמה בינלאומית רחבה של גופי מודיעין‪ ,‬אבטחה ומוסדות לאומיים במדינות שונות‪ ,‬שיפורטו‬
‫בהמשך‪.‬‬
‫מטרות המסמך‬
‫‬
‫•לסייע לארגונים ליישם באופן סדור ומבוקר צעדים ובקרות מונחי סדרי עדיפויות‪ ,‬הנובעים מאופי האיומים ודרכי‬
‫התפשטותם‪ ,‬אשר יכולים להפחית במידה ניכרת את הפגיעה בארגון‪.‬‬
‫‬
‫•לסייע בשיפור של תהליכים‪ ,‬ארכיטקטורות ויכולות של אבטחת מידע בארגון‪.‬‬
‫שש הבקרות הראשונות ניתנות ליישום מהיר‪ ,‬יחסית‪ ,)Quick Win( ,‬ללא צורך ברכש של תוכנות נוספות על הקיימות‪,‬‬
‫שביכולתן להפחית בלמעלה מ‪ 85%-‬את שיעור ההידבקות בפוגענים (לפי מחקרים שנעשו על בסיס ניתוח אלפי פוגענים‬
‫שהתגלו בעולם)‪.‬‬
‫מסמך זה והמלצותיו אינם באים להחליף את מנגנוני האבטחה הקיימים‪ ,‬או את העמידה ברגולציה הקיימת‬
‫)‪ , ISO, PCI/DSS, SOX, 357‬וכו'(‪ ,‬אלא להתמקד ביכולת ההידבקות של הארגון‪ .‬צעדים אלה יכולים גם לתרום‬
‫לאבטחת שאר חלקי הארגון‪.‬‬
‫יודגש‪ ,‬כי בעוד שמטרת מסמך זה הינה להציג אסטרטגיה ייעודית‪ ,‬הרי שמימושה‪ ,‬כמו כל פעילות מקצועית אחרת‪ ,‬מחייב‬
‫יישום על ידי איש מקצוע מתאים‪ ,‬תוך בחינת ההתאמה של ההמלצות לסביבת המחשוב הארגונית הספציפית‪ ,‬הפעלת‬
‫שיקול דעת מקצועי ספציפי‪ ,‬בהתאם לפרקטיקות עבודה מקובלות‪ ,‬ונקיטת מכלול אמצעי הזהירות הנדרשים‪.‬‬
‫‪- 4 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫הסכמה בינלאומית‬
‫מסמך זה ובקרותיו נבנה על סמך עבודה בינלאומית‪ ,‬שבעשייתה שותפים הגופים הבאים‪:‬‬
‫שם ארגון‬
‫שם המסמך‬
‫‪35 mitigation strategies‬‬
‫‪Australian signals Directorate‬‬
‫‪ASD‬‬
‫‪20 security controls for‬‬
‫‪effective cyber defense‬‬
‫‪The National Institute of‬‬
‫‪Standards and Technology‬‬
‫‪NIST‬‬
‫‪Top 10 mitigation strategies‬‬
‫‪IAD information assurance directorate‬‬
‫‪NSA‬‬
‫קווים מנחים למדיניות‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫•קביעת סדרי עדיפויות‬
‫•פוטנציאל ליישום מהיר‬
‫•כיסוי מרבית התקיפות הנפוצות כיום ובעתיד הקרוב‬
‫•הטמעה בכל ישויות הארגון (תחנות‪ ,‬שרתים‪ ,‬משתמשים ורשת)‬
‫•שימוש בכלים קיימים ‪ -‬אם ניתן‬
‫•מעבר לניטור רציף בארגון‬
‫•שיתוף מידע עם ה‪ cert-‬הלאומי‪ ,‬והבנייה של שפה מקצועית משותפת‬
‫‪- 5 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫רשימת הבקרות המומלצות‬
‫הגורמים שהוזכרו לעיל מכילים מספר שונה של בקרות וסדר עדיפויות שונה‪ ,‬אולם ביסודם הם בעלי מכנה משותף‪.‬‬
‫מטה הסייבר הלאומי מצא לנכון להמליץ על ‪ 15‬בקרות המתאימות לכל ארגון (‪ 6‬הבקרות הראשונות בעדיפות ראשונה‪,‬‬
‫ולאחריהן שאר ‪ 9‬הבקרות)‪.‬‬
‫תשע הבקרות הראשונות מתמודדות עם הפחתת החדירה ברמת תחנת הקצה‪/‬שרת‪ ,‬בעוד שש הבקרות הנוספות‬
‫מסייעות בהפחתת החדירה ברמה הרשת‪ ,‬התפשטות הפוגען ברשת‪ ,‬זיהוי והתאוששות‪.‬‬
‫המסמך יציג דוגמאות לאופן מימוש הבקרות באמצעות תוכנות נפוצות או שירותים המוצעים בהן‪ ,‬והפניה למדריכים‬
‫ספציפיים שמוצגים בסוכנויות הבינלאומיות שלעיל‪ .‬יצויין‪ ,‬כי התוכנות מוזכרות לצרכי הדגמה בלבד‪ ,‬ואין בכך משום‬
‫העדפה של תוכנה כלשהי על פני אחרות‪ .‬התוכנות מובאות בהתאם למדרג הבא‪ :‬שירותים המוצעים בתוכנות במסגרת‬
‫רישיון יצרן‪ ,‬ותוכנות קוד פתוח נפוצות‪.‬‬
‫שם הבקרה‬
‫פירוט‬
‫הפעלת מנגנוני ‪Address Space( ASLR ,)Data Execution Prevention( DEP‬‬
‫‪ )Layout Randomization‬ו‪)Enhanced Mitigation Experience Toolkit( EMET-‬‬
‫הרצת תוכנות מורשות בלבד למניעת הפעלת פוגענים‪ ,‬כולל הרשאת קבצי‬
‫‪ ,DLL‬סקריפטים וכדומה‬
‫הפעלת חבילת מוצרי אנטי‪-‬וירוס מעודכנים‪ ,‬הכוללת מנגנוני בדיקה של‬
‫‪reputation, heuristics & signature‬‬
‫ניהול עדכוני אבטחת מידע קריטיים אחרונים למערכות הפעלה‪.‬‬
‫מומלץ להימנע משימוש במערכת ההפעלה ‪ ,Windows XP‬שאינה נתמכת עוד‬
‫ניהול עדכונים ומעבר לגרסאות אחרונות של התוכנות הבאות במיוחד‪:‬‬
‫‪Java, PDF viewer, Flash, web browsers and Microsoft Office‬‬
‫הסרת הרשאות מנהל מקומי במחשבים (לעיתים קרובות מוגדר אותו משתמש‬
‫וסיסמה במספר מחשבים ברשת)‪ ,‬על מנת למנוע שימוש בהרשאות אלו‬
‫להתקנה והפצה של פוגענים‬
‫‪#‬‬
‫‪Enable operating system‬‬
‫‪exploitation mitigation‬‬
‫‪1‬‬
‫‪Application whitelisting‬‬
‫‪2‬‬
‫‪Use an updated Anti-virus suite‬‬
‫)‪(reputation, heuristic‬‬
‫‪3‬‬
‫‪Patch management - Operating systems‬‬
‫‪4‬‬
‫‪Patch management - Applications‬‬
‫‪5‬‬
‫‪Disable local administrator accounts‬‬
‫‪6‬‬
‫לאחר יישום שש הבקרות‪ ,‬תחילה בתחנות העבודה של המשתמשים המועדים ביותר לתקיפות‪,‬‬
‫ולאחר מכן בשאר תחנות העבודה והשרתים‪ ,‬ניתן להמשיך ולבצע את שאר הבקרות להעלאת רמת האבטחה הארגונית‬
‫הקשחת מערכות הפעלה ואפליקציות בהסתמך על סטנדרטי הקשחה‬
‫מקובלים‪ ,‬הכוללים הסרת תהליכים ושירותים לא נדרשים‪ ,‬הסרת משתמשי‬
‫ברירת מחדל‪ ,‬חסימת התקנים ניידים ועוד‬
‫מניעת תקשורת בין תחנות באותה רשת‪ ,‬על מנת למנוע הפצת פוגענים‬
‫והורדת יכולת ‪ ,Pass-the-Hash PtH‬בנוסף לחסימת גישה ישירה של תחנות‪/‬‬
‫שרתים לאינטרנט שלא דרך ‪Proxy‬‬
‫זיהוי וחסימה של פעולות אנומליות במשך הפעלת אפליקציות‪ ,‬הכוללים‪:‬‬
‫‪injection, keystroke logging, driver loading and persistence‬‬
‫הפרדה וחלוקה של הרשת לפי פונקציונאליות נדרשת (ייצור‪ ,‬בדיקות‪,‬‬
‫משתמשים וכו')‪ ,‬להפחתת יכולת התפשטות פוגענים ברשת‬
‫‪Secure configuration - Hardening‬‬
‫)‪(operating systems & applications‬‬
‫‪7‬‬
‫‪Limit Workstation-to-Workstation‬‬
‫‪communication and direct internet‬‬
‫‪access‬‬
‫‪8‬‬
‫)‪Host Intrusion Prevention System (HIPS‬‬
‫‪9‬‬
‫‪Network segmentation and segregation‬‬
‫‪10‬‬
‫‪User training & awareness‬‬
‫‪11‬‬
‫‪Logging & Audit & Monitoring‬‬
‫‪12‬‬
‫‪Secured WEB Gateway‬‬
‫‪13‬‬
‫בדיקת דוא"ל נכנס במרוכז‪ ,‬לרבות בדיקת צרופות וגוף הדוא"ל‬
‫(בדיקת קישורים בגוף ההודעה)‬
‫‪Securing Emails‬‬
‫‪14‬‬
‫בניית מנגנוני גיבוי‪ ,‬שחזור והתאוששות מפגיעת פוגען בארגון‬
‫‪Recovery‬‬
‫‪15‬‬
‫הדרכה ואימון של עובדים לכללי זהירות נדרשים‪ ,‬במיוחד עבור ‪,Phishing‬‬
‫גלישה לאתרים חשודים ועוד‬
‫ניטור רציף‪ ,‬איסוף ומעבר על לוגים‪ ,‬ביצוע קורלציות‪ ,‬הפקת התראות וטיפול‬
‫יציאה ממקום אחד מאובטח הכולל סינון אתרים‪ ,‬סריקת תוכן נכנס הכולל‬
‫חתימות‪ ,‬מוניטין‪ ,‬ומנגנוני ‪heuristics‬‬
‫‪- 6 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪1 .‬‬
‫‪Enable Anti-Exploitation Mitigation‬‬
‫הגדרה‬
‫ברוב המקרים ‪ Exploit‬הוא שלב החדירה הראשוני למחשב‪/‬שרת לפני הורדת כלי‪/‬קוד עוין (‪Malicious code or execute‬‬
‫‪ )file‬למחשב המותקף‪ .‬ההתקפה יכולה להיות רחבה או ממוקדת מטרה (‪.)APT - Advanced persistent threat‬‬
‫דוגמא להליך ‪:exploit‬‬
‫הדבקת המשתמש (קרי ‪ -‬השתלת ה‪ exploit-‬בדפדפן) דרך אתר‬
‫נגוע‪ ,‬בגלישה או באמצעות קישור בדוא"ל לאתר נגוע‪.‬‬
‫הורדת ‪ Malware‬למחשב‬
‫התקנת ה‪ Malware-‬במחשב שנדבק‬
‫התוקף משיג שליטה המאפשרת לו הוצאת מידע‪,‬‬
‫הצפנת המחשב (כופר)‪ ,‬שיבוש המחשב ועוד‬
‫היכולות הטכנולוגיות של ‪ Anti-Exploitation‬יעילות במיוחד כנגד תוכנות רבות המשמשות להדבקה המונית‪ ,‬כגון‪ :‬כאלה‬
‫המתבססות על ידי הדבקה מאתרים נגועים‪ ,Phishing campaigns ,Malicious Iframe ,‬ועוד‪.‬‬
‫בנוסף‪ ,‬טכנולוגיה זו יעילה בפני התקפות ‪ Zero-day‬המשתמשות בחולשות שהתגלו במערכת ההפעלה‪/‬אפליקציות‪/‬‬
‫קבצים‪ ,‬כשעדיין לא קיים עדכון אבטחה של היצרן‪.‬‬
‫‪- 7 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫הגיון‬
‫היכולת הטכנולוגית של ‪ Anti-Exploitation‬מאפשרת למנוע מגוון רחב של הדבקות‪ .‬בניגוד לתוכנות אנטי‪-‬וירוס‬
‫מסורתיות‪ ,‬טכנולוגיה זו אינה מבוססת על חתימות‪ .‬גם אם תהליך החדירה חדר‪/‬עקף את הבקרות האחרות (שיפורטו‬
‫במסמך)‪ ,‬ישנו סיכוי רב למנוע את החדירה באמצעי זה‪.‬‬
‫מנגנון זה יכול‪ ,‬למשל‪ ,‬למנוע הזרקת קוד עוין לתוכנית שרצה או פניה אסורה לזיכרון‪ ,‬ובכך יעיל בפני ‪Zero-day-‬‬
‫‪ ,vulnerabilities‬עד להפצת עדכונים מצד הספקים לפגיעויות שנמצאו במוצריהם‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫הפחתת יכולת לביצוע ה‪ Exploit-‬יכולה להתבצע בטכנולוגיות הבאות בחינם‪:‬‬
‫עבור ‪WINDOWS‬‬
‫•‪Data Execution Prevention - DEP‬‬
‫‬
‫ •‪Address Space Layout Randomization - ASLR‬‬
‫ •‪Enhanced Mitigation Experience Toolkit - EMET‬‬
‫עבור לינוקס‬
‫‬
‫•‪grsecurity‬‬
‫במסמך זה תפורט טכנולוגיית ‪ ,EMET‬הכוללת בתוכה את יכולות ‪ ,DEP & ASLR‬ותכונות נוספות‪.‬‬
‫‪ EMET‬מספקת שלושה סוגי הגנות‪:‬‬
‫•הגנה רחבה על מערכות ההפעלה‪DEP, ASLR, SEHOP :‬‬
‫‬
‫ •הגנות ספציפיות לאפליקציות‪ ,‬כגון‪Heap spray, Bottom-up-randomization, etc :‬‬
‫ •הגנות מתקדמות‪ EMET :‬מציעה כ‪ 12-‬הגנות נוספות עבור אפליקציות‬
‫תוכנת ‪ EMET‬אינה מושלמת‪ ,‬ולכן נדרש לבצע את שאר הבקרות במסמך זה‪ ,‬לקבלת הגנה נרחבת כנגד‬
‫‪.Malicious software‬‬
‫הטמעה‬
‫כיום למערכות ההפעלה ‪ Windows‬יש כלים מובנים של ‪ Anti-Exploitation‬הנדרשים להפעלה‪ ,‬כגון ‪ DEP‬ו‪ASLR-‬‬
‫שיעילות כנגד ‪ Buffer over flow‬והשחתת זיכרון (‪ .)memory corruption‬מנגנון ‪ EMET‬של חברת מיקרוסופט מכיל‬
‫בתוכו את יכולות ‪ ,ASLR & DEP‬ותכונות נוספות‪ .‬טכנולוגיית ‪ EMET‬מוטמעת כברירת מחדל במערכת ההפעלה‬
‫‪ .Windows 8.1‬לשאר גרסאות מערכת ההפעלה ניתן להוריד חינם את הגרסאות המתאימות להן דרך הקישור הבא‪:‬‬
‫‪Microsoft Enhanced Mitigation Experience Toolkit 5.1‬‬
‫ניתן להגדיר את ‪ EMET‬עבור כל אפליקציה‪ ,‬גם אם האפליקציה עצמה אינה תומכת בתכונה‪.‬‬
‫‪- 8 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫יתרונות‬
‫‬
‫•‪ EMET‬הינה חלק ממערכות ההפעלה האחרונות של מיקרוסופט והיא ניתנת להורדה חינם עבור מגוון גרסאות של‬
‫מערכות ההפעלה קודמות‬
‫•מתן תוספת הגנה למערכות אשר אינן מעודכנות בעדכוני האבטחה האחרונים‬
‫‬
‫ •אפקטיביות מוכחת כנגד מספר רב של ‪Exploits‬‬
‫ •התקנה ותחזוקה פשוטות יחסית‬
‫ •ניתן להחריג אפליקציות שמתנגשות עם המנגנון של ‪ EMET‬באופן פשוט‬
‫סיכונים‬
‫‬
‫•הגבלות עבור ‪ – Windows XP‬שתי תכונות של ‪ EMET‬לא נתמכות במערכת הפעלה זו‪ ,‬והן‪:‬‬
‫>‪Structured Exception Handler Overwrite Protection - SEHOP‬‬
‫>‬
‫> >‪Address Space Layout Randomization – ASLR‬‬
‫ועדיין‪ EMET ,‬קריטית עבור מערכת הפעלה זו‪ ,‬כיוון שהיא לא נתמכת עוד על ידי חברת מיקרוסופט‪ ,‬ולא נכתבים עבורה‬
‫עדכוני אבטחת מידע חדשים‪.‬‬
‫‬
‫•תאימות – ישנן תוכנות אשר נכתבו בצורה לא נכונה (במיוחד לגישות לאזורים בזיכרון) שיכולות להיחסם על ידי ‪.EMET‬‬
‫ניתן להפעיל את ‪ EMET‬בתצורת ‪ ,monitor only‬ולאחר בחינה וניסוי ניתן להחריג את התוכנות הבעייתיות מפני‬
‫ההגנה‪.‬‬
‫‬
‫•מספר ‪ plug-ins‬בדפדפנים לא נתמכים‪.‬‬
‫שלבים בהטמעה‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫•התקנת ‪ EMET‬דורשת קיום‪/‬התקנת ‪.NET‬‬
‫•יש להתקין בסביבת הבדיקה בתצורת ‪ ,monitor only‬ולסמן תוכנות שמתנגשות ולכן לא יוגנו באמצעות התוכנה‪.‬‬
‫•את תוכנת ‪ EMET‬ניתן להפיץ ברחבי הארגון (תחנות ושרתים) על ידי תוכנת הפצה של חברת מיקרוסופט‪.‬‬
‫•ההגדרות מבוצעות ב‪.Active Directory Group Policy-‬‬
‫•ניהול מרכזי של רשימת התוכנות שלא יוגנו על ידי ‪ ,EMET‬או קביעת ההגנות הספציפיות שהתוכנה תספק לכל אפליקציה‪.‬‬
‫מידע נוסף‬
‫‪Microsoft - Enhanced Mitigation Experience Toolkit‬‬
‫‪NSA - Understanding the Enhanced Mitigation Experience Toolkit‬‬
‫‪Microsoft - The Enhanced Mitigation Experience Toolkit‬‬
‫‪NSA - EMET A Rationale for Enabling Modern Anti-Exploitation Mitigation in Windows‬‬
‫‪- 9 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪2 .‬‬
‫‪Application Whitelisting‬‬
‫הגדרה‬
‫ניהול מרכזי פרואקטיבי של יכולת הרצת תוכנות (אפליקציות‪ ,Scripts ,‬קבצי ‪ DLL‬ו‪ )Installer-‬במחשב המשתמש‪,‬‬
‫וחסימת הרצת תוכנות שאינן מורשות‪.‬‬
‫המטרה העיקרית היא הגנה על מחשבים ורשתות מפני יישומים מזיקים; מטרה משנית ‪ -‬למנוע שימוש בתוכנות ללא‬
‫רישיון‪.‬‬
‫מדובר כאן ברשימת תוכנות שאושרה על ידי מנהל המערכת להרצה במחשבי הארגון‪ .‬טרם הפעלת התוכנה במחשב‬
‫המשתמש‪ ,‬היא נבדקת במערכת המרכזית בארגון‪ ,‬ואם אושרה‪ ,‬אזי היא תופעל‪.‬‬
‫ישנם מנגנונים למניעת זיוף תוכנות (שינוי שם תוכנה זדונית לשמה של תוכנה מאושרת)‪ ,‬על ידי שימוש בבדיקת ‪.Hashing‬‬
‫השימוש ביישום אינו מחליף שימוש בתוכנות אבטחת מידע כגון אנטי‪-‬וירוס‪ FW ,‬או ‪HIPS (Host intrusion prevention‬‬
‫‪ ,)system‬אלא משמש כנדבך הגנה נוסף במערך (‪.)Defense in depth‬‬
‫הגיון‬
‫יישום נכון ומאוזן של ‪ Application Whitelisting‬במחשבי המשתמשים ובשרתים מרכזיים מסייע במניעת הרצה של‬
‫תוכנה ללא קשר למקורה (‪.(Download, email attachment, CD/DVD USB‬‬
‫יישום המנגנון על שרתים חשובים כמו ‪ Active Directory‬ושרתי אימות נוספים (כגון רדיוס‪ )Certificate Authority ,‬יכול‬
‫בנוסף למנוע מנוזקות לנסות לבצע ‪ passphrase hashes‬או לספק לתוקפים הרשאות נוספות‪.‬‬
‫יתרונות‬
‫‬
‫•יישום ‪ Whitelisting‬מציע ערך אבטחתי גדול‪:‬‬
‫>חסימת התוכנות הזדוניות העדכניות ביותר‬
‫>‬
‫> >מניעת השימוש ביישומים לא מורשים‬
‫> >אינו דורש עדכוני הגדרות יומיים‬
‫> >דורש תהליכים סטנדרטיים בלבד לאישור‬
‫‪- 10 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Microsoft (SRP, Applocker), commercial software's‬‬
‫הטמעה‬
‫יש להגדיר תיקיות ייעודיות‪ ,‬שרק מהן ניתן יהיה להריץ יישומים (‪. )Folders\libraries at File System‬‬
‫גישה זו מונעת את הצורך לזהות אישור והפעלה של כל קובץ בכל תיקייה במחשב האישי‪.‬‬
‫תיקיות ההרצה חייבות להיות מוגנות במערכת הרשאות‪ ,‬כך שרק למנהל המערכת בארגון תהיה היכולת להוסיף‪,‬‬
‫למחוק או לשנות יישומים מאושרים (דרך מנגנון ההרשאות של ה‪ Active Directory-‬בארגון)‪.‬‬
‫יש להגדיר את מנגנון ‪ Application Whitelisting‬ליישום הרצת תוכנות מאושרות ללא קשר לסיומת הקובץ‪.‬‬
‫במידת האפשר‪ ,‬יש למנוע הרצת תוכנות מתיקיות ציבוריות (משותפות)‪ ,‬וכן למנוע שימוש בתוכנות שיכולות לשמש‬
‫תוקפים באיסוף חומר על הארגון (כלי סריקה‪ ,‬כלי פיצוח סיסמאות‪ ,‬וכדומה)‪.‬‬
‫חשוב גם למנוע מהמשתמש יכולת להתקין תוכנות באופן עצמאי‪ ,‬לדוגמא על ידי אי‪-‬מתן הרשאת ‪Local Admin‬‬
‫(היכן שניתן)‪.‬‬
‫שלבים ביישום‬
‫מומלץ ליישם את בקרת ‪ Application Whitelisting‬בשלושה שלבים‪ ,‬ולא כמקשה אחת‪:‬‬
‫לאחר בדיקה מדגמית במספר מחשבי משתמשים והלבנת ‪False‬‬
‫‪ ,Positive‬ניתן ליישם את הבקרה במחשבים של מנהלים בכירים‬
‫ועוזריהם (בעלי תפקיד המהווים מטרות מועדפות בארגון‪ ,‬ולרוב‬
‫משתמשים ביישומים ארגוניים כמו ‪ Office & Internet‬בלבד)‬
‫פריסת היישום אצל שאר המשתמשים‪ ,‬ובשרתי הארגון‬
‫לאחר שנצבר ניסיון מעשי בארגון‪ ,‬ניתן ליישם במחשבי צוות‬
‫ה‪ .IT-‬מאחר ועובדי ה‪ IT-‬משתמשים בתוכנות רבות ומגוונות‪,‬‬
‫ישנה חשיבות עליונה בפרט לבצע את היישום גם במחשביהם‬
‫של אנשי הסיסטם‪ ,‬בשל נגישותם לכלל מערכות הארגון‬
‫‪- 11 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫יישום ‪ Application Whitelisting‬קל יותר בארגונים המבצעים תהליך מוסדר של ‪Asset & Change Management‬‬
‫‪.management‬‬
‫מומלץ להתחיל את תהליך היישום על ידי הרצה בתצורת ‪ Audit/logging‬בלבד‪ .‬מהלך זה יסייע לארגון לפתח ‪Software‬‬
‫‪ ,inventory‬ולשמור על רמה נמוכה של שינויים ותשומות ניהול‪.‬‬
‫בעת התקנת תוכנה חדשה‪ ,‬חשוב להימנע מיצירת ‪ Hash‬חדש לקבצים שאינם קבצי הרצה‪ ,‬מאחר והדבר מגביל את‬
‫ההפצה באמצעות ה‪ ,GPO-‬ויגרום להאטה במחשבי המשתמשים‪.‬‬
‫המלצות פרקטיות‬
‫במערכות ההפעלה של מיקרוסופט קיימת תוכנה מובנית בשם ‪ AppLocker‬לאכיפת יישום ‪.Application Whitelisting‬‬
‫האפליקציה זמינה במערכות ההפעלה‪:‬‬
‫•‪Windows 7‬‬
‫‬
‫ •‪Windows 8‬‬
‫ •‪Windows server 2008‬‬
‫ •‪Windows server 2012‬‬
‫‬
‫ב‪ Windows XP-‬קיימת תוכנת ‪ SRP‬לניהול הרצת היישומים‬
‫ישנם ספקים מסחריים נוספים המספקים יישומים עבור ‪ ,Application Whitelisting or Application Blacklisting‬בתשלום‪.‬‬
‫מידע נוסף‬
‫‪ASD - Mitigation 1: application whitelisting‬‬
‫‪ASD - Top 4 Strategies to Mitigate Targeted Cyber Intrusions: Mandatory Requirement Explained‬‬
‫‪NSA - Application Whitelisting‬‬
‫‪ASD - Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details‬‬
‫‪- 12 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪3 .‬‬
‫)‪Anti-Virus Suite (Reputation & Heuristic‬‬
‫הגדרה‬
‫יישום תוכנת אנטי‪-‬וירוס בשילוב מנגנונים הכוללים היוריסטיקה ודירוג מוניטין באופן אוטומטי‪ ,‬בתחנות הקצה והשרתים‬
‫המבוססים על מערכת ההפעלה ‪Windows‬‬
‫בדיקת ‪Heuristic & reputation‬‬
‫בדיקה המבוססת על מנגנון מתקדם בתצורת ענן מרוחק‪ ,‬המשלבת השוואה היוריסטית ובדיקת מוניטין של קבצים מעבר‬
‫לבדיקת חתימות סטנדרטיות של תוכנות האנטי‪-‬וירוס‪.‬‬
‫בדיקת ‪Reputation‬‬
‫בדיקת הקובץ בענן המכיל את מאגר החתימות המעודכן ביותר של יצרני האנטי‪-‬וירוס‪ ,‬בנוסף למידע שנאסף ממיליוני‬
‫מחשבים בעולם‪ ,‬לשם השוואה‪.‬‬
‫בדיקת ‪Heuristic‬‬
‫בודקת דפוסים במבנה הקובץ ובהתנהגותו בזמן ריצה‪ .‬שיטת זיהוי זו מפעילה תהליך המדמה את הפעלת הקוד‪ ,‬וזאת‪,‬‬
‫לצורך זיהוי אנומליה‪ ,‬דבר המסייע לקבוע אם הקובץ החשוד מהווה איום‪.‬‬
‫יתרונות‬
‫•כיסוי רחב יותר מאשר מוצר אנטי‪-‬וירוס בסיסי‪.‬‬
‫‬
‫ •הגנה מפני תוכנות זדוניות שהתגלו לאחרונה בתוך שניות בודדות‪ ,‬לעומת פרק זמן של שעות או ימים הנדרש לעדכון‬
‫קבצי חתימה של תוכנות האנטי‪-‬וירוס‪.‬‬
‫•מעגל בדיקה נוסף לבקרה על הקבצים הנכנסים לרשת‪.‬‬
‫‬
‫ •שיעור נמוך יותר של ‪ False positive‬בהשוואה למנגנון חתימות בלבד‪.‬‬
‫ •יכולות נוספות‪ ,‬כמו בדיקת מוניטין של כתובות ‪ IP‬וכתובות ‪.URL‬‬
‫הגיון‬
‫תוכנת אנטי‪-‬וירוס מסייעת למנוע‪ ,‬לזהות ולהסיר תוכנות זדוניות לרבות וירוסים‪ ,‬תולעים‪ ,‬סוסים טרויאניים‪ ,‬תוכנות ריגול‪,‬‬
‫תוכנות פרסום‪ ,‬ועוד‪.‬‬
‫הוספת בקרה זו מסייעת בטיפול במסה הקריטית של נוזקות הקיימות והמוכרות כיום‪ ,‬ובכך היא מפחיתה את הסכנות‬
‫מחדירת נוזקות לא מתוחכמות הנפוצות ברשת האינטרנט (כגון תוכנות כופר וכדומה)‪.‬‬
‫‪- 13 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Common free & commercials anti-virus companies‬‬
‫סיכונים‬
‫•‪ - False Negative‬תוקף מבצע הפניית תעבורה (‪ )man in the middle‬לאתר אחר‪ ,‬ומסמן את הקובץ כתקין‪.‬‬
‫‬
‫ •‪ - False Positive‬תוקף גורם לקובץ תקין לקבל סימון שלילי‪ .‬על התוקף בנסיבות אלה לחדור למאגר מרכזי ולבצע‬
‫שינוי‪ ,‬או ללכוד את הבקשה בתווך ולהשיב תשובה שלילית בשם המאגר‪.‬‬
‫פיתוח יכולות תקיפה אלה הוא יקר ואורך זמן רב‪ ,‬דבר שמקטין את ההסתברות להתרחשות תקיפות מסוג זה‪.‬‬
‫האמינות של מנגנוני המוניטין תלויה ברמת התפוצה של הקבצים ברשת הגלובלית‪ .‬ישנה אפשרות שקבצים מיוחדים או‬
‫מותאמים אישית (תוכנה ייעודית) לא ייסרקו במנגנון זה‪.‬‬
‫הטמעה‬
‫הנחיות ביצוע‬
‫‬
‫•הגדרת יכולת ניתוח התנהגות היוריסטי לאיזון מקסימלי בזיהוי תוכנות זדוניות‪ ,‬תוך הימנעות מפגיעה בעבודת‬
‫המשתמשים ועבודת צוותי הטכנאים וה‪ ,Helpdesk-‬על מנת להימנע מטיפול בריבוי אירועי שווא של ‪False negative/‬‬
‫‪.positive‬‬
‫•הגדרת סריקה בזמן אמת בכניסת קובץ למחשב מכל מקור אפשרי‪.‬‬
‫‬
‫ •ביצוע סריקה מעמיקה ב‪ off-line-‬במהלך סוף השבוע או בלילות‪.‬‬
‫ •שימוש במספר תוכנות אנטי‪-‬וירוס של ספקים שונים (חלוקת המשתמשים לקבוצות‪ ,‬והקצאת תוכנת אנטי‪-‬וירוס שונה‬
‫לכל קבוצה)‪ ,‬להקטנת ההסתברות לפגיעה בכלל הארגון והשבתתו אם יצרן מסוים לא זיהה את הנוזקה‪.‬‬
‫מקורות‬
‫‪ASD - Strategies to Mitigate Targeted Cyber Intrusions – control 22‬‬
‫‪- 14 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪4 .‬‬
‫‪Patching Operating Systems‬‬
‫הגדרה‬
‫תהליך התקנת עדכוני אבטחה נועד לתקן פגיעויות שהתגלו במערכת ההפעלה ונקודות תורפה שאותרו באפליקציות‬
‫המותקנות במחשב‪.‬‬
‫ניצול חולשות בטרם תיקונן חושף את המחשב\שרת\בסיסי נתונים\ציוד תקשורת לתקיפות‪ ,‬חבלות‪ ,‬מרמה והוצאת נתונים‪.‬‬
‫ביצוע עדכונים שוטפים מחייב את הארגון ליצור תהליך מובנה וסדור ייעודי לכך‪.‬‬
‫לדוגמה‪ :‬חברת מיקרוסופט נוהגת לפרסם עדכוני אבטחת מידע בכל יום שלישי בשבוע השני של כל חודש‪ .‬במקרים‬
‫דחופים‪ ,‬העדכונים יכולים להתפרסם בכל יום במהלך השבוע‪.‬‬
‫הגיון‬
‫התקנת עדכוני אבטחה עבור פרצות שהתגלו במערכות הפעלה סמוך לפרסומן עשוי להפחית משמעותית את השימוש בהן‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Microsoft WSUS & OneGet, & Commercial vendors‬‬
‫הטמעה‬
‫אתגרים בתהליך ביצוע העדכונים‬
‫עיתוי‪ ,‬עדיפות ובדיקה טרם ההתקנה במערכות‪ ,‬הינם קריטיים למזעור נזק אפשרי לארגון בשל תקלות העשויות להיגרם‬
‫כתוצאה מתהליך העדכון‪.‬‬
‫רצוי מאוד להתקין את העדכונים האחרונים מיידית עם פרסומם‪ ,‬על מנת לצמצם את מרחב החשיפה לאיומים‪ .‬בפועל‪,‬‬
‫התקנת העדכונים ללא בדיקה מתאימה‪ ,‬עשויה לפגוע בפעילות המערכות בארגון ואף להשביתה במידה וקיימת התנגשות‬
‫בין התיקון לאפליקציות קיימות‪.‬‬
‫היבט נוסף הוא זמן ההשבתה הנגרם עקב אתחול נדרש בתחנות ובשרתים (בעיקר במערכת ההפעלה ‪Microsoft‬‬
‫‪ .)Windows‬יתרה מכך‪ ,‬תהליך האתחול עשוי להציף בעיות כמו מחסור בשטח דיסק‪ ,‬או מנהל התקן (‪ (Driver‬שאינו נטען‪,‬‬
‫וכדומה‪ ,‬שלא תמיד צפות כל עוד המחשב לא ביצע אתחול‪.‬‬
‫המלצות פרקטיות‬
‫•לא לבצע את העדכונים במהלך סוף השבוע‪ ,‬שכן במקרה של תקלה יחזרו העובדים לארגון מושבת‪.‬‬
‫‬
‫ •לבצע את העדכונים בלילה ולערוך בדיקת שפיות לשרתי הייצור לאחר האתחול‪ ,‬לצורך זיהוי תקלות‪ ,‬ויכולת חזרה‬
‫למצב קודם‪.‬‬
‫‬
‫•בחירה במספר תצורות עדכון עשויה לגרום לקונפליקטים‪ .‬רצוי לבצע את תהליך העדכון באמצעות מערכת הפצה‬
‫ראשית ארגונית‪ ,‬שביכולתה לנהל מעקב אחר התקדמות ההפצה ואף לאכוף אותה ללא יכולת התערבות של המשתמש‪.‬‬
‫‪- 15 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫דרכים לביצוע עדכונים‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫•עדכון אוטומטי דרך האינטרנט‬
‫•מערכות עדכון ספציפיות לעדכוני אבטחת מידע‪ ,‬כגון ‪WSUS‬‬
‫•מערכת התקנה והפצה מרכזית של הארגון‪ ,‬כגון ‪Microsoft SCCM‬‬
‫•מערכות עדכון מסחרית צד שלישי‬
‫•מערכות ‪ )Network Access Control( NAC‬המוודאות את קיום העדכון ומפנות במידת הצורך לעדכון בשרת עדכונים‪.‬‬
‫•עדכון יזום ידני‪ ,‬על ידי המשתמש‪.‬‬
‫התקנת עדכונים במערכות הפעלה מיוחדות‬
‫קיימים בארגון מספר סוגי מחשבים\שרתים המנוהלים בצורה שונה‪:‬‬
‫•מחשבים אשר אינם מחוברים ל‪ :Domain-‬למחשבים אלה נדרש ליצור שרת עדכון נפרד‪ ,‬ולדאוג שיעודכנו‪.‬‬
‫‬
‫ •מחשבים ניידים – נדרש ליצור מדיניות עדכון מהשרת המרכזי בעת חיבורם לרשת הארגונית‪ ,‬לדוגמא דרך מערכת‬
‫ה‪ ,NAC-‬או ה‪ ,DOMAIN-‬בתהליך של ‪.Force Mode‬‬
‫•רכיבים לא סטנדרטיים – רכיבי יצרן ייעודיים שאינם ‪ ,IT‬כגון בקרים‪ .‬יש לבדוק מול היצרן בדבר עדכונים‪.‬‬
‫‬
‫ •‪ – Mobile Devices‬ניהול מערך העדכונים דרך מערכת ה‪.)Mobile device management( MDM-‬‬
‫יישום העדכונים בשלבים‬
‫על מנת לצמצם את הפגיעה בארגון כנזכר לעיל‪ ,‬מומלץ לבצע את העדכונים בשלבים‪ ,‬כאשר נעשית הבחנה בין תחנות‬
‫הקצה לשרתים‪ .‬זאת‪ ,‬למעט במקרה שהעדכון המתבקש קריטי במיוחד‪ .‬במקרה זה יש לבצע את העדכון מיידית‪ ,‬תוך כדי‬
‫ניהול סיכונים‪.‬‬
‫תחנות קצה‬
‫יצירת קבוצת טסט המהווה מדגם של כ‪ 5%-‬מסך כלל התחנות בארגון‪ ,‬שבו מיוצגות כלל קבוצות המשתמשים בארגון‬
‫(כדוגמת מחלקת שיווק‪ ,‬מחלקת משאבי אנוש‪ ,‬ההנהלה הבכירה‪ IT ,‬ותפעול)‪.‬‬
‫•הפצת העדכונים לכלל קבוצת המדגם‬
‫‬
‫ •בדיקת שפיות במשך יומיים על מנת לוודא שיכולת העבודה של המשתמשים לא נפגעה‪.‬‬
‫ •אם לא התגלו תקלות‪ ,‬ניתן להפיץ את העדכונים לשאר התחנות בארגון בשלבים‪ ,‬כדלקמן‪:‬‬
‫> >‪ 10%‬מכלל המשתמשים בלילה הקרוב‬
‫> >‪ 20%‬מכלל המשתמשים בלילה שלמחרת‬
‫> >שאר המשתמשים בלילה השלישי‬
‫‪- 16 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫עדכון שרתים‬
‫הקמת קבוצת שרתים לסביבת בדיקה ארגונית‪ .‬סביבה זו צריכה לכלול ייצוג של מדגם שרתים‪ ,‬כגון ‪Active Directory,‬‬
‫‪ Exchange, Terminal Servers‬וכדומה‪.‬‬
‫•הפצת העדכונים לחלק נבחר מתוך קבוצה זו‪ ,‬ובדיקת שפיות במהלך היומיים הבאים‬
‫‬
‫ •הפצת העדכונים לשאר סביבת הטסט‪ ,‬ובדיקה נוספת במשך יומיים‬
‫ •מעבר לסביבת הייצור ועדכון מערכות אשר עובדות באשכול (‪ )Cluster‬רק לצד אחד של האשכול‪ .‬ניתן להפיץ עד‬
‫ל‪ 20%-‬מכלל שרתי הייצור בהפצה הראשונה‪.‬‬
‫•לאחר יומיים הפצה ל‪ 30%-‬נוספים‬
‫‬
‫ •לאחר יומיים נוספים‪ ,‬לשאר השרתים בארגון‬
‫ניטור רציף‬
‫מומלץ לבצע סריקה ולהפיק דוח יומי על מצב עדכוני אבטחת המידע בתחנות הקצה והשרתים‪ .‬ניתן להפיק דוח זה‬
‫ממערכת הניהול‪ ,‬או ממערכות סריקה חיצוניות‪.‬‬
‫מערכות אשר אינן מנוהלות ב‪ Domain-‬מומלץ לבדוק באמצעות ‪ Script‬מרכזי‪ ,‬לדוגמא ‪ WMI‬לבחינת רמת העדכון‬
‫בסביבות אלו‪.‬‬
‫מערכות ‪ Linux/UNIX‬יש לבדוק דרך מערכת ההפצה‪ ,‬או באמצעות הרצת ‪ Script‬יומי‪.‬‬
‫מערכות מיוחדות – בדיקה מול היצרן לגבי עדכונים‪ ,‬והגברת הניטור של מערכות אלה‪.‬‬
‫טיפול בכישלונות התקנה‬
‫בכל יום יש להפיץ את הדוחות לגורמי ‪ ,Help Desk‬טכנאים או אנשי סיסטם‪ ,‬ולפתוח קריאה לתיקון הליקויים‪ .‬יש לעקוב‬
‫ברמה יומית אחר התיקון והשלמת התהליך‪.‬‬
‫מידע נוסף‬
‫‪How To: Implement Patch Management‬‬
‫‪Update Management Process‬‬
‫‪- 17 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪5 .‬‬
‫‪Application Patch Management‬‬
‫הגדרה‬
‫עדכוני אפליקציות‬
‫עדכון אפליקציות נדרש באופן שוטף (בעת יציאת גרסה חדשה או בעת פרסום עדכון אבטחה)‪ ,‬להגנה על הארגון‪.‬‬
‫העדכונים כוללים סגירת פרצות והוספת תכונות אבטחת מידע חדשות כדוגמת ‪ ,Sandboxing‬חסימת יכולת להזרקת קוד‬
‫עוין ליישום‪ ,‬וכו'‪.‬‬
‫דגש מיוחד לעדכונים עבור האפליקציות‪:‬‬
‫‪Java, PDF viewer, Flash Player, Microsoft Office, web browsers and web browser plugins including ActiveX‬‬
‫בתוכנות רבות עדכוני האבטחה נכללים במסגרת שדרוג גרסה של היישום‪ ,‬כך שלא מפורסמים להן עדכוני אבטחה‬
‫ספציפיים‪ .‬מכאן החשיבות של שדרוג גרסת התוכנה בכלל מחשבי הארגון‪.‬‬
‫הגיון‬
‫אפליקציות לא מעודכנות בארגון משאירות פתח רחב בפני התוקפים למגוון רב של אפשרויות תקיפה‪ .‬גם תוכנות‬
‫מסחריות וגם תוכנות ‪ Public Domain‬חשופות למפגעים אלה‪ .‬חלק ניכר מתקיפות של ארגונים כיום ממומש באמצעות‬
‫תוכנות כאלה‪ .‬עדכון ושדרוג שלהן מצמצים באופן ניכר את יכולת התוקפים לממש את מטרתם‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫תוכנות הפצה בקוד פתוח ומוצרים מסחריים‬
‫הטמעה‬
‫גישות לביצוע עדכוני תוכנה‬
‫ישנן מספר גישות ליישום עדכוני תוכנה במחשבי המשתמשים בארגונים‪ ,‬והבחירה בהן תלויה במספר גורמים‪:‬‬
‫•מדד הרגישות לסיכון‬
‫‬
‫ •מספר מחשבי הקצה‬
‫ •מספר האפליקציות שבשימוש‬
‫ •התלות הארגונית בשימוש בגרסאות מסוימות שאינן נתמכות‪ ,‬או שפותחו בארגון (לדוגמא‪ ,‬יכולת שדרוג ‪Active X‬‬
‫במערכת שנכתבה בארגון‪ ,‬ואינה יכולה לתמוך בגרסה חדשה של דפדפן)‪.‬‬
‫מומלץ להקים בארגון קבוצת נסיינים (טסט)‪ ,‬המורכבת ממספר קטן של משתמשים מכלל היחידות הארגוניות וכוללת‬
‫ייצוג של שימוש בכלל התוכנות הקיימות הארגון (כולל הנהלה ו‪.)IT-‬ניתן ליצור קבוצה כזו ב‪ Active Directory-‬שתשמש‬
‫כקבוצת בדיקות‪.‬‬
‫‪- 18 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫עדכון בשלבים‬
‫‪1.1‬אם העדכון הנדרש אינו מופיע באזהרות היצרן כמתחייב לצורך ביצוע מידי‪ ,‬אזי יש לנקוט בפעולות אלה‪:‬‬
‫>התקנת העדכון\שדרוג במחשבי קבוצת הטסט‪.‬‬
‫>‬
‫> >בחינה במשך יומיים של השפעות השדרוג על הפעילות השוטפת‪.‬‬
‫> >לאחר יומיים ניתן להפיץ ל‪ 20%-‬ממחשבי המשתמשים בארגון‪.‬‬
‫> >לאחר תום ‪ 48‬השעות הנוספות‪ ,‬ובהנחה שהשדרוג לא פגע בתפקוד המשתמשים‪ ,‬ניתן להפיץ לכלל המשתמשים‪.‬‬
‫אם נדרש לאחר העדכון\שדרוג אתחול של מחשבי המשתמשים‪ ,‬ניתן לתזמן אותו למועד סיום יום העבודה בארגון‪ ,‬במטרה‬
‫לצמצם את הפגיעה בעבודה השוטפת (רצוי לא לבצע אתחולים בסוף השבוע‪ ,‬על מנת למנוע מצב השבתה אפשרי בעת‬
‫החזרה לעבודה בתחילת השבוע)‪.‬‬
‫‪2.2‬עדכון שהוכרז כקריטי ומיידי על ידי היצרן יש לבצע עם פרסומו‪ ,‬תוך כדי ניהול הסיכון לפגיעה מסוימת בתפקוד הארגוני‬
‫(חשוב מאוד לציין‪ ,‬שהסיכון בהשבתה עקב עדכון אבטחה נמוך יותר מאשר פגיעה בארגון באמצעות ניצול החולשה)‪.‬‬
‫אופן ביצוע העדכונים‬
‫•ניהול מצאי התוכנות שבשימוש המחשבים והשרתים‪.‬‬
‫‬
‫ •שימוש בכלי הפצה מרכזי עבור כלל התוכנות‪ .‬לכלים אלה יש יכולת לתזמן את ביצוע השדרוג ולעקוב אחריו‪ ,‬ואף‬
‫לאכוף אותו ולהפיק דוחות אודות ביצועו‪.‬‬
‫שימוש בגרסאות אחרונות‬
‫מומלץ להימנע משימוש בגרסאות תוכנה אשר אינן נתמכות על ידי היצרן‪ .‬במיוחד נוגע הדבר לשימוש בתוכנות ‪Adobe‬‬
‫‪ Acrobat Reader‬שקודמות לגרסה ‪ ,X‬ולאינטרנט אקספלורר בגרסאות הקודמות ל‪( 8-‬נכון לעת כתיבת מסמך זה)‪.‬‬
‫מידע נוסף‬
‫‪ASD - Top 4 Strategies to Mitigate Targeted Cyber Intrusions: Mandatory Requirement Explained‬‬
‫‪- 19 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪6 .‬‬
‫‪Disable Local Admin Accounts‬‬
‫הגדרה‬
‫הטמעה‬
‫הרשאות המשתמש המקומי ו‪ Local Admin-‬משמשות רק‬
‫במחשבים שאינם בסביבת דומיין‪ .‬לאחר חיבור המחשב‬
‫לדומיין הארגוני‪ ,‬אין לרוב צורך בשימוש בהרשאות אלה‪.‬‬
‫משתמשים בעלי הרשאת ‪ Local Admin‬מנוהלים ב‪Active-‬‬
‫‪ directory‬כקבוצה‪ .‬יש לוודא שיש מינימום אפשרי של‬
‫מחשבים שבהם מותרת פעילות ‪( Local Admin‬ההרשאה‬
‫הסרת הרשאת ‪ Local Admin‬ממחשבי המשתמשים‬
‫נועדה למנוע יכולת התקנה לא מורשית והתפשטות נוזקה‬
‫ברשת תוך כדי ניצול הרשאות שלרוב משותפות לכלל‬
‫מחשבי הארגון (כאשר המחשבים מותקנים מ‪IMAGE-‬‬
‫משותף‪ ,‬הם כוללים אותו שם משתמש וסיסמה)‪ .‬באמצעות‬
‫ניצול הרשאות אלה יכול התוקף גם להסיר את אמצעי‬
‫האבטחה הקיימים במערכת ההפעלה‪ ,‬לעשות ככל העולה‬
‫על רוחו ואף להסתיר את עקבותיו באמצעות מחיקת‬
‫הלוגים‪.‬‬
‫הגיון‬
‫הסרת הרשאות ‪ Local Admin‬תורמת למזעור יכולות‬
‫התוקף במקרה שכבר הצליח לחדור למחשב‪.‬‬
‫היא למחשב ולא למשתמש)‪.‬‬
‫יש לשנות את סיסמת ‪ ,Local Admin‬ולהגדיר לכל מחשב‬
‫סיסמה אחרת‪ .‬הסיסמאות צריכות להיות באורך של ‪20‬‬
‫תווים לפחות‪ ,‬ולכלול אותיות קטנות‪ ,‬גדולות‪ ,‬סימנים‬
‫וספרות‪.‬‬
‫הסיסמאות הללו צריכות להיות מתועדות ונגישות רק‬
‫למנהל הרשת הארגוני ולטכנאי ה‪.Help-desk-‬‬
‫יש לבטל הרשאות ‪network & remote interactive logon‬‬
‫ל‪ local users-‬ב‪ Active-directory-‬דרך מנגנון‬
‫ה‪.group policy-‬‬
‫למי שחבר בקבוצה יש להוסיף את ההרשאות הבאות‪:‬‬
‫•‪Deny access to this computer from the network‬‬
‫‬
‫ •‪Deny log on through remote desktop service‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Microsoft Active Directory GPO (Global Policy‬‬
‫)‪Object‬‬
‫מידע נוסף‬
‫‪Control Administrative Privileges‬‬
‫‪Mitigating the use of Local Admin‬‬
‫‪Why You Should Disable the Administrator Account‬‬
‫‪Securing Built-In Administrator Accounts in Active Directory‬‬
‫‪Blocking Remote Use of Local Accounts‬‬
‫‪- 20 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪7 .‬‬
‫‪Secure configuration/Hardening‬‬
‫הגדרה‬
‫הקשחה הינה תהליך של אבטחת מערכות הפעלה‪ ,‬אפליקציות‪ ,‬בסיסי נתונים‪ ,‬ציוד תקשורת ומשתמשים על ידי הפחתת‬
‫משטח התקיפה האפשרי‪ .‬התהליך מתבצע על ידי הסרת רכיבים המותקנים כברירת מחדל ואינם נחוצים לפעילות‬
‫המערכת‪,‬לרבות הסרת חשבונות‪ ,‬שירותים ותהליכים שאינם נחוצים‪.‬‬
‫הגיון‬
‫התקנות בתצורת ברירת מחדל‪ ,‬הרשאות מיותרות‪ ,‬רכיבים ושירותים לא נחוצים מאפשרים ניצולם על ידי תוקפים‬
‫וחושפים את הארגון לפגיעה‪ .‬לדוגמא‪ ,‬שרת ‪ Windows 2012 R2‬המשמש כשרת הדפסות‪ ,‬אינו צריך לכלול רכיב ‪IIS‬‬
‫ולהאזין ולקבל פניות בפורט ‪ .80‬ברחבי הרשת קיים מגוון רב של כלים המאפשרים ביצוע סריקה לאיתור חולשות ואף‬
‫לנצלן לתקיפה‪ .‬תהליך ההקשחה משמש מעגל הגנה חשוב נוסף במכלול האמצעים למזעור הפגיעה והגנת הארגון מפני‬
‫תוקפים‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Microsoft GPO, Microsoft TechNet, NIST, NSA‬‬
‫הטמעה‬
‫יש לבצע תהליך עדכון רציף של עדכוני האבטחה למערכות הפעלה ואפליקציות כפי שמתואר בבקרות ‪ 4‬ו‪ ,5-‬ובנוסף‪:‬‬
‫הקשחת מערכת ההפעלה‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫‬
‫•אפיון מטרת השרת\התחנה והשירותים הניתנים (לדוגמה‪ ,‬שרת קבצים אינו צריך להכיל תוכנה לניהול ‪.)DNS‬‬
‫•הסרת תוכנות ותהליכים אשר מותקנים כברירת מחדל בתהליך ההתקנה (‪)Packages, services, processes, etc‬‬
‫•הסרת משתמשים המוגדרים בברירת מחדל ואינם דרושים לפעילות המערכת כגון ‪ Guest, test‬וכדומה‪.‬‬
‫•החלפת סיסמאות יצרן (במיוחד סיסמה מקומית) בסיסמאות מורכבות וארוכות‪.‬‬
‫•ביצוע הקשחה לפי הוראת יצרן (ישנם כלים אוטומטיים של חברת מיקרוסופט)‪ ,‬או של ‪ SANS ,NSA ,NIST‬וכדומה‪.‬‬
‫• לדוגמא הקשחה של מיקרוסופט‪Microsoft Security Compliance Manager :‬‬
‫‪- 21 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫הקשחת אפליקציות תשתית‬
‫‬
‫•רצוי להקשיח דפדפנים ולחסום אפשרות הרצת ‪ Direct X, Java, flash‬למעט ‪ Whitelist‬המכילה אתרים מאושרים‪,‬‬
‫הדורשים שימוש ברכיבים אלה למטרות עסקיות‪.‬‬
‫‬
‫•רצוי לבטל אפשרות שימוש ב‪ ,HTML inline frames and java scripts-‬למעט רשימה של אתרים מאושרים (בעיה‬
‫ניהולית‪ ,‬כיוון שישנם אתרים רבים הדורשים פתיחת יכולת זו עבור השימוש באתר)‪.‬‬
‫‬
‫•ישנן מספר אפשרויות להפחית את השימוש ב‪ Java-‬בדפדפנים‪:‬‬
‫>הסרת רכיב ה‪ Java-‬אם אין שימוש בו‬
‫>‬
‫> >הגדרת חסימת שימוש ב‪ ."Java content in the browser"-‬ראה‪:‬‬
‫‪?How do I disable Java in my web browser‬‬
‫>‬
‫>הגדרות ספציפיות למניעת הפעלת ‪ JAVA‬בדפדפן‪:‬‬
‫>‬
‫>שימוש בסט חוקים המאפשרים רשימה מאושרת של ‪ JAVA Applets and JAVA Web Start .applications‬ראה‪:‬‬
‫>‬
‫> שימוש במערכת ‪ URL & Content filtering‬המסוגלת לבדוק את התוכן של ‪Java scripts & Applets‬‬
‫‪Java: A Fix it for when you cannot let go‬‬
‫‪Introducing Deployment Rule Sets‬‬
‫מידע נוסף‬
‫‪NIST-Guide to General Server Security‬‬
‫‪NIST-NVD National Checklist Program Repository‬‬
‫‪- 22 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪8 .‬‬
‫‪Limit computer to computer communication‬‬
‫הגדרה‬
‫הנחה רווחת היא כי אין מערכת מחשוב המוגנת לחלוטין‪ .‬תוקף מתוחכם ונחוש אשר שם לו למטרה לחדור לארגון כלשהו‪,‬‬
‫יצליח בסופו של דבר‪ .‬מספיקה הצלחה אחת בלבד על מנת שהתוקף ישיג שליטה בכלל הרשת הארגונית‪ ,‬והודות לכך‬
‫יוכל להוציא מידע מסווג‪ ,‬ואף להשבית את הרשת כולה‪ .‬במקרים רבים די בלחיצה על קישור נגוע בדוא"ל‪ ,‬או בביקור‬
‫באתר נגוע‪ ,‬והתוקף בתוך הרשת‪.‬‬
‫חדירה לעמדת קצה של המשתמש יוצרת ראש גשר ופותחת דלת אחורית עבור התוקף‪ ,‬ומאפשרת לו להתפשט ולעבור‬
‫מתחנה לתחנה (‪ )Leapfrogging‬ברחבי הרשת בארגון‪.‬‬
‫המעבר מתאפשר דרך פורטים פתוחים‪ ,‬מחשבים שאינם מעודכנים‪ ,‬באמצעות ספריות שיתוף‪ ,‬וברשתות מיקרוסופט דרך‬
‫מנגנון ‪.Pass the hash‬‬
‫מנגנון זה מאפשר שימוש בהרשאות שכבר ניתנו למשתמש עבור שירותים קודמים‪ ,‬כמו ‪ Login‬לרשת‪ ,‬לצורך התחברות‬
‫ללא זיהוי ואימות נוסף לשירות חדש (כגון פתיחת ‪.)Outlook‬‬
‫כשתוקף השתלט על אחת התחנות‪ ,‬הוא יוכל לעבור באמצעות מנגנון זה בין התחנות ולהשיג לעצמו‪ ,‬בסופו של דבר‪,‬‬
‫הרשאות ‪ Domain Admin,‬שלמעשה מעניקות לו שליטה מלאה ברשת‪.‬‬
‫הגיון‬
‫מניעת יכולת התפשטות בתוך הרשת הינה מרכיב קריטי באסטרטגיית ההגנה הארגונית‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫)‪Anti-Virus suites, Layer 2 switches (using private VLANs‬‬
‫הטמעה‬
‫ניתן להטמיע את הפתרון באמצעות הדרכים הבאות (מומלץ מאוד להטמיע את כלל הפתרונות יחדיו‪ ,‬ליצירת שכבת‬
‫ההגנה האפקטיבית ביותר)‪:‬‬
‫‪1.1‬שימוש ב‪ FW-‬הפנימי של תחנת העבודה‬
‫בכל מערכת הפעלה של ‪ windows‬קיים רכיב ‪ FW‬פנימי‪ ,‬כך גם בחלק ממנועי האנטי‪-‬וירוס השונים‪ .‬רכיב ה‪ FW-‬של‬
‫מערכת ההפעלה כולל ניהול מרכזי דרך מנגנון ה‪ Group Policy-‬ב‪ ,Active directory-‬המפשט את ניהולו‪.‬‬
‫יש לבצע חסימת גישה לכלל הסגמנט שבו יושבים המשתמשים (לדוגמה‪ ,‬אם כתובת ה‪ IP-‬של העמדה היא ‪,10.10.5.32‬‬
‫אזי יש להגדיר חוק‪ ,Deny any 10.10.5.0 :‬כלומר חסימת תקשורת לכלל הסגמנט של המשתמשים)‪.‬‬
‫‪2.2‬הגבלת גישה ברמת ‪Logon‬‬
‫באמצעות הסרת הרשאות גישה לביצוע ‪ login‬מהרשת‪ ,‬ניתן להפחית משמעותית את יכולת ההתפשטות ברשת‪ .‬בעזרת‬
‫‪ ,Global policy‬יכול מנהל מערכת בסביבת ‪ windows‬להגביל גישה וכניסה למחשבים באמצעות יישום ההרשאות‪:‬‬
‫‪- 23 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫•‪Deny access to computer from the network‬‬
‫‬
‫• •)‪ Deny logon through remote desktop service (windows 2008 R2‬החל מגרסת‬
‫‪3.3‬סגמנטציה רשתית ושימוש ב‪( Network FW-‬ראה בנוסף בקרה מס‪)10 .‬‬
‫חלוקת הרשת לאזורים לוגיים‪ ,‬לדוגמא‪ ,‬סגמנטי משתמשים‪ ,‬סגמנטי שרתי בדיקה‪ ,‬סגמנט שרתי ייצור‪,‬‬
‫רשת ‪ DMZ,‬וכדומה‪.‬‬
‫ה‪ FW-‬הרשתי צריך לשמש כנתב המרכזי ברשת (‪ ,)L/3 Routing‬כלומר כל מעבר בין סגמנט לסגמנט חייב במעבר‬
‫ובדיקה ב‪ ,FW-‬ויש להגדירו בתחנות העבודה כ‪. Default Gateway-‬‬
‫החוק האחרון ב‪ FW-‬הוא ‪ ,Deny any‬כך שמלבד התעבורה המאופשרת בחוקים הספציפיים‪ ,‬כל השאר ייחסם‬
‫(חשוב לוודא שאין חוקים פתוחים בין סגמנטי המשתמשים)‪.‬‬
‫‪4.4‬פיקוח על ‪ Administrative Accounts‬וניטור שלהם‬
‫ככלל כדאי ליישם מודל של ‪ ,Least privileged accounts‬אשר מצמצם את מספרם של כלל המשתמשים בעלי‬
‫ההרשאות הגבוהות‪ ,‬ומגביל את הפעילות ברשת‪.‬‬
‫מידע נוסף‬
‫‪NSA-Limiting Workstation-to-Workstation Communication‬‬
‫‪- 24 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪9 .‬‬
‫‪HIPS - Host Intrusion Prevention‬‬
‫הגדרה‬
‫בסביבת הסייבר המשתנה ללא הרף קיים הכרח בשימוש באמצעי אבטחה פרואקטיביים (דהיינו‪ ,‬כאלה שמופעלים ביוזמת‬
‫הארגון‪ ,‬ולא בתגובה לאירוע)‪.‬‬
‫מערך ה‪ HIPS-‬נועד לזהות ולחסום פעילות שאינה מקובלת בעת הרצת תוכנות‪ ,‬כמו ניסיון להזרקת קוד‪ ,‬טעינת דרייברים‪,‬‬
‫שינוי ערכים ברג'יסטרי (‪ ,)Registry‬הרצת קבצים ותהליכים (‪ )Services‬בעת תהליך האתחול‪ ,‬ועוד‪.‬‬
‫מערכת ה‪ HIPS-‬בדרך כלל כוללת ‪ 4‬רכיבים‪:‬‬
‫‪Host Firewall1.1‬‬
‫שימוש ב‪ FW-‬פנימי המגן על המחשב בפני התקפות חיצוניות‪ .‬ה‪ FW-‬עובד בתצורת ‪( Stateful Inspection‬מעקב בתוך‬
‫ה‪ ,)session-‬חוסם פורטים ומנהל את המידע מאפליקציות‪.‬‬
‫‪Registry Monitoring2.2‬‬
‫רוב המידע של מערכת ההפעלה ‪ windows‬נמצא ב‪ .Registry-‬המידע כולל אילו אפליקציות מותקנות‪ ,‬הגדרות של‬
‫מערכת ההפעלה‪ ,‬וכדומה‪ .‬מטרת מנגנון זה היא לשמור על ה‪ Registry-‬מפני שינויים לא מורשים‪.‬‬
‫‪File Integrity Monitor3.3‬‬
‫מנגנון זה מדווח על שינויים בקבצים קריטיים של מערכת הפעלה ואפליקציות‪ .‬ישנן מערכות המאפשרות חסימה‬
‫אינטראקטיבית של השינויים הללו‪.‬‬
‫‪Process/application Behavior Monitor4.4‬‬
‫מנגנון זה לומד את דרך פעילותם והתנהגותם של תהליכים במחשב (‪ ,)processes‬ומתריע על חריגה מהתנהגות זו‪ .‬ניתן‬
‫להגדיר ולחסום פעילויות חשודות‪ ,‬כמו גישות לרשת‪ ,‬כתיבה לג'יסטרי‪ ,‬גישה לא מורשית בזיכרון‪ ,‬וכדומה‪.‬‬
‫הגיון‬
‫שימוש ב‪ HIPS-‬המבוסס על יכולות זיהוי וחסימה על סמך התנהגות (ולא על סמך חתימות)‪ ,‬מאפשר לארגונים לזהות‬
‫תוכנות זדוניות שעדיין לא זוהו על ידי ספקי האנטי‪-‬וירוס‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Anti-Virus suites‬‬
‫‪- 25 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫הטמעה‬
‫הטמעת ה‪ HIPS-‬צריכה להיות ארגונית מרכזית‪ ,‬כשסט החוקים מנוהל על ידי אנשי אבטחת המידע ומופץ בצורה מרכזית‬
‫לכלל התחנות והשרתים בארגון‪ .‬כל פעילות חשודה שזוהתה\נחסמה צריכה להישלח למרכז הניטור להמשך חקירה‬
‫וביצוע פעולות נוספות‪.‬‬
‫ה‪ HIPS-‬יכול לעבוד בתצורת ‪ ,Monitoring Only‬או בצורת ‪.Monitoring and prevention‬‬
‫לתוכנות ה‪ HIPS-‬ישנו מנגנון הלומד את הפעילות בתחנה וברשת‪ .‬מנגנון זה עוזר לטייב את החוקים‪.‬‬
‫בשלב ראשון בתהליך ההטמעה‪ ,‬חשוב שהמוצר יפעל בתצורת ‪ Monitoring‬עד לטיוב החוקים‪ ,‬על מנת למנוע השבתות‬
‫הנובעות מ‪ .false positives-‬עניין נוסף הוא סכנה אפשרית הקיימת בזמן הטמעת המוצר‪ :‬אם הארגון או התחנה נמצאים‬
‫תחת מתקפה‪ ,‬אזי ה‪ HIPS-‬ילמד את ההתנהגות האנומלית כנורמלית‬
‫המוצרים כיום מגיעים עם סט חוקים מוכן מראש‪ ,‬אולם על כל חוק להיבדק ולהיות מטוייב לפני הכנסתו למצב חסימה‪.‬‬
‫ישנה גם אפשרות להוסיף חוקים וחתימות על ידי הארגון עצמו‪ .‬מהלך זה חייב להתבצע בזהירות לפני הכנסה למצב‬
‫חסימה‪ .‬כמו כן‪ ,‬ישנה אפשרות להפעיל חוקים מסוימים בתצורת חסימה‪ ,‬וחוקים אחרים כ‪ ,monitor only-‬על מנת למנוע‬
‫השבתות מיותרות‪.‬‬
‫יש לבדוק את הלוגים המרוכזים במערכת הניהול‪ ,‬ואם קיים ‪ SIEM‬בארגון‪ ,‬מומלץ להגדיר מערכת חוקים להתראה‬
‫המבוססת על ‪.Aggregation & Correlation‬‬
‫מידע נוסף‬
‫‪McAfee Host Intrusion Prevention for Desktop‬‬
‫‪Symantec: Server, Monitoring Edition, & Server Advanced‬‬
‫‪NSA - Host Intrusion Prevention Systems‬‬
‫‪- 26 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪10 .‬‬
‫‪Users Training & Awareness‬‬
‫הטמעה‬
‫הגדרות‬
‫אימון‪/‬הכשרה – הקניית מיומנויות בתחום אבטחת המידע‬
‫ומיומנויות הרלוונטיות לביצוע תפקיד ספציפי‪.‬‬
‫‬
‫•ביצוע סקר מיפוי וניתוח פערי התנהגויות רצויות‬
‫והתנהגויות שאינן נכונות‬
‫מודעות לאבטחת מידע – מיקוד תשומת הלב לסיכונים‬
‫פוטנציאליים ושינוי התנהגות מול האיומים המשתנים‬
‫חדשות לבקרים‪.‬‬
‫‬
‫•בניית מפת דרכים להשלמת פערי האימון והמודעות‬
‫הנדרשים לכלל העובדים‬
‫‬
‫•הכנת הדרכה ייעודית מותאמת לאופי העיסוק של‬
‫הארגון‪ ,‬או רכישת הדרכה מגורמים מקצועיים בשוק‪.‬‬
‫ניתן גם להכין לומדה‪/‬ות על נושאים ספציפיים לשימוש‬
‫הגיון‬
‫אבטחת מידע אינה רק עניין טכנולוגי‪ .‬התנהגות העובדים‬
‫ופעילויותיהם אף הן קריטיות‪ .‬אנשים ממלאים תפקיד‬
‫חשוב בכל תהליכי המחשוב‪ ,‬החל מעיצוב‪ ,‬פיתוח‪ ,‬הטמעה‪,‬‬
‫וכלה בתפעול ושימוש במערכות והאפליקציות‪.‬‬
‫התוקף לוקח בחשבון בזמן בניית ההתקפה את חוסר הידע‬
‫והמודעות הקיימים אצל העובדים‪ .‬כך‪ ,‬למשל‪ ,‬הוא יכין‬
‫הודעת דיוג (‪ )Phishing Mail‬באותו פורמט שהעובד מורגל‬
‫בו על מנת לפתות אותו ללחוץ על הקישור המופיע בו‪.‬‬
‫‪On-line‬‬
‫‬
‫•ביצוע הדרכות פרונטאליות ו‪Online-‬‬
‫‬
‫ •ביצוע סקרים בקרב העובדים לאחר פעילות הדרכה‪,‬‬
‫הכוללים‪ ,‬בין השאר‪:‬‬
‫אימון עובדים להגברת המודעות עשוי להקטין משמעותית‬
‫את סיכוני אבטחת המידע בארגון‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‬
‫ •הכנת לומדה ייעודית‬
‫ •ביצוע תרגילי הנדסה חברתית‬
‫ •שכירת חברות הדרכה‬
‫•ביצוע קמפיין מודעות ארגוני הכולל מצגות‪ ,‬עלונים‪,‬‬
‫שלטים וכדומה‬
‫•הכנת מצגות‬
‫‬
‫>‬
‫>משלוח דוא"ל חיצוני לכלל הארגון מגורם פנימי‬
‫בכיר בחברה (על ידי זיוף כתובת הדוא"ל)‪ ,‬הכולל‬
‫בקשה לשנות את סיסמתו על ידי לחיצה על קישור‬
‫(כתובת פנימית שלא קיימת)‪ ,‬ובדיקה מי לחץ על‬
‫הקישור‬
‫>‬
‫>שיחות טלפון מדגמיות בהתחזות לגורמי הנהלה‪/‬‬
‫טכנאים‪ ,‬במטרה לקבל את סיסמת המשתמש‬
‫•בכל פרויקט חיוני\רגיש ארגונית‪ ,‬יש לשלב את‬
‫נושא המודעות בכל השלבים‪ ,‬ולערב בעניין את כלל‬
‫משתמשי הקצה‬
‫מידע נוסף‬
‫‪https://cert.gov.il/Resources/best_practices/Pages/Recommendations-for-Information-Security.aspx‬‬
‫‪https://www.sans.org/critical-security-controls/control/9‬‬
‫‪- 27 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪11 .‬‬
‫‪Network Segmentation & Segregation‬‬
‫הגדרה‬
‫רשתות מורכבות ממגוון רחב של מערכות בעלות רמות שונות של פונקציונליות ורגישות שונות‪ .‬רגישות רשת פיתוח‬
‫נחותה מזו של רשת ייצור; הרגישות של ‪ Active Directory‬גדולה מזו של שרת הדפסות‪ .‬חלוקה והפרדה של רשתות באה‬
‫להגן על מידע רגיש ושירותים עסקיים קריטיים מכוונות זדון‪.‬‬
‫הפרדה וחלוקה של הרשת למקטעים פונקציונליים לפי רמות רגישות‪ ,‬יכולה לעזור לארגון בזמן חדירה של תוקף‪ ,‬בכך‬
‫שתמנע ממנו יכולת תנועה חופשית ברשת‪ ,‬הודות לצמצום מרחב התקיפה שלו‪.‬‬
‫הפרדה וחלוקה של הרשת מתבצעות על ידי חלוקת הרשת הארגונית לרשתות מנוהלות קטנות יותר‪ ,‬כאשר המעברים בין‬
‫הרשתות כפופים לניהול ואכיפה על פי סט חוקים שהוכן ונבדק מראש‪.‬‬
‫באמצעות הפרדה וחלוקה של הרשת ניתן לממש מנגנוני ‪.Identity & Access management‬‬
‫ההפרדה יכולה להתבצע על ידי ‪ Firewalls‬ומתגים (חלוקה לרשתות משנה ‪.)VLAN's‬‬
‫ה‪ Default Gateway-‬הארגוני צריך להיות ה‪ ,FW-‬שבנוסף לבדיקת התעבורה‪ ,‬יבצע ניתוב בין הרשתות‪.‬‬
‫מומלץ‪ ,‬שחלוקה מינימלית של הרשת תכלול את האזורים הבאים‪:‬‬
‫‬
‫•רשת משתמשים – הרשת שבה מותקנים מחשבי המשתמשים‪ .‬גם את הרשת הזו רצוי לחלק לרשתות משנה‪ ,‬לצורך‬
‫מידור הרשאות גישה לפי תפקידים‪ .‬לדוגמה‪ ,‬סגמנט עובדי מחלקת הכספים יבודד מסגמנט מחלקת הפיתוח‪ ,‬ושני‬
‫אלה יהיו מבודדים מסגמנט מחלקת התפעול‪.‬‬
‫‬
‫•רשת שרתי ייצור – השרתים העיקריים של הארגון המיועדים לפעילות העסקית והמנהלית של הארגון‪ .‬ניתן לבצע תת‬
‫חלוקה גם ברשת זו‪ ,‬לפי סוגי הרגישויות העסקיות והתפעוליות‪ .‬לדוגמא‪ ,‬נכסי המחשוב המרכזיים של הארגון מהבחינה‬
‫העסקית (‪ )Crown Jewels‬יהיו מופרדים מכאלה שעדיפותם פחותה‪.‬‬
‫‬
‫•רשת ‪ – DMZ‬זוהי הרשת החיצונית‪ ,‬הפתוחה לגישה לאינטרנט‪ ,‬ובה נמצאים שרתי ה‪ .WEB-‬גם ברשת זו רצוי לבצע‬
‫חלוקה לרשתות משניות‪ ,‬שבהן יאוחסנו הנתונים הרגישים שלא מומלץ שיאוחסנו בשרתי ה‪ WEB-‬החיצוניים (כגון‬
‫פרטים אישיים ונתוני כרטיסי אשראי)‪ .‬דרך רשת זו ניתן לאפשר גישת עובדים מהבית‪ ,‬באמצעות מערכת מוצפנת‬
‫והזדהות כפולה (‪.)Two factor authentication‬‬
‫‬
‫•רשת ניהול – לניהול כלל הרשתות והמערכות בארגון (גישת סיסטם‪ ,‬מערכות שליטה ובקרה‪ ,‬מערכות אבטחת מידע‪,‬‬
‫וכדומה)‬
‫‬
‫•רשת בדיקה ופיתוח – רשת נפרדת‪ ,‬שבה יפותחו האפליקציות וייבדקו טרם מעבר לייצור‪ .‬אחת המטרות הנוספות‬
‫מעבר לאבטחת מידע היא מתן אפשרות לפיקוח על מעבר מרכזי של אפליקציות לייצור‪ ,‬לאחר בדיקה ומערכת‬
‫אישורים (כגון‪ ,‬נוהל ‪)Software Development Lifecycle - SDLC‬‬
‫‪- 28 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫הגיון‬
‫הפרדה וחלוקה של רשתות עשויה למנוע מתוקף מעבר בין מחשבים ומערכות‪ ,‬כמו גם כריית מידע והוצאתו אל מחוץ‬
‫לארגון‪ .‬נוסף על כך‪ ,‬החלוקה עוזרת לארגון במניעת טעויות תפעוליות והעברת נתונים ללק בקרה מסביבות הבדיקה‬
‫והפיתוח לסביבת הייצור‪ ,‬עקב טעויות אנוש‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪ Network FW & Switches‬של מרבית החברות המובילות בשוק‬
‫הטמעה‬
‫חלוקת הרשת צריכה להיות מבוססת על הקישוריות הנדרשת (מי מדבר עם מי ובאיזה פרוטוקול)‪ ,‬מיקום המערכות‬
‫הרגישות‪ ,‬מיקום המידע הרגיש‪ ,‬ומי צריך להגיע (הרשאות של בעלי תפקידים) ‪.‬‬
‫יש לבצע מיפוי של מערכות‪ ,‬פרוטוקולי תקשורת‪ ,‬משתמשים‪ ,‬תפקידים ומידת ההרשאה הנדרשת‪.‬‬
‫אפשרויות הפרדה‪:‬‬
‫הפרדה פיסית‪ :‬אם התקציב מתיר זאת‪ ,‬רצוי שההפרדה בין הרשתות תבוצע באמצעות ‪ FW‬נפרד לרשת החיצונית‬
‫ו‪ FW-‬נפרד לכל אחת מהרשתות הרגישות‪.‬‬
‫אם התקציב אינו מאפשר‪ ,‬ניתן למקם על ‪ FW‬פיסי אחד מספר כרטיסי תקשורת‪ ,‬כשכל אחד מהם יגן על רשת נפרדת‪.‬‬
‫בחלק מה‪ FW-‬הקיימים ישנה אפשרות של חלוקת ‪ FW‬וירטואלית (מספר ‪ FW‬על אותו התקן פיסי דבר המכונה ‪VDOM‬‬
‫‪.Virtual domain‬‬‫הפרדה לוגית‪ :‬בכל רשת צריך לבצע חלוקה לוגית של רשתות משנה‪ ,‬שגם המעבר ביניהן יותנה באישור ה‪ .FW-‬הדבר‬
‫ניתן לביצוע באמצעות יצירת ‪ VLANs‬במתגים‪.‬‬
‫במקומות חשובים‪ ,‬שבהם רוצים לבצע הפרדה נוספת‪ ,‬כך שלמחשבים ברשת משנית תחסם הגישה לשרת ספציפי שלא‬
‫דרך ה‪ ,FW-‬ניתן ליישם מנגנון ‪ Private VLAN‬במתג הכולל ‪.Port restriction‬‬
‫מומלץ לבצע מהלך זה בשרתים המחזיקים בסוד מסחרי‪ ,‬שרתי משאבי אנוש‪ ,‬שכר וכדומה‪.‬‬
‫‪ :User Identity & Application awareness‬כיום למרבית החברות המובילות קיים ‪next generation FW‬‬
‫המאופיין ביתרונות הבאים‪:‬‬
‫ניהול גישה לפי שם משתמש ללא שיוך לכתובת ‪ – IP‬הדבר חיוני לנושא הרשאות גישה מבוססות תפקיד (‪RBAC – Role‬‬
‫‪)based access control‬‬
‫ניהול הרשאת גישה באמצעות אפליקציה מורשית בלבד‪ .‬לדוגמה‪ ,‬ניתן לאכוף שהגישה לשרת הפורטל הארגוני תתבצע‬
‫אך ורק באמצעות הדפדפן ‪.Internet Explorer‬‬
‫לניהול החוקים וההרשאות ב‪ FW-‬רצוי להתבסס על מערכות ‪ workflow‬המאפשרות פיקוח ובקרה החל משלב הבקשה‬
‫לפתיחת חוק‪ ,‬ועד למימושה בפועל‪.‬‬
‫מידע נוסף‬
‫‪Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details‬‬
‫‪Segregating Networks and Functions‬‬
‫‪- 29 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪12 .‬‬
‫‪Logging audit & real time monitor‬‬
‫הגדרה‬
‫איסוף‪ ,‬ניהול וניתוח לוגים של אירועים היכולים לסייע באיתור והבנה של מתקפה‪ ,‬ובהתאוששות ממנה‪.‬‬
‫פתרונות כמו ‪ )Security Information Event Management( SIEM‬מספקים תהליכים אוטומטיים לניהול האירועים‬
‫לרבות איסוף‪ ,‬ניתוח‪ ,‬מתן התראות ותצוגה של נתונים‪.‬‬
‫כלים אלה מועילים לזיהוי התקפות מתוחכמות על ידי ניתוח מקבילי של מספר מקורות מידע‪ .‬עם זאת‪ ,‬הם אינם בגדר‬
‫פתרון קסם‪ ,‬ונדרשת מעורבות אנושית להבנה וסיכול של ההתקפות‪.‬‬
‫הגיון‬
‫ניהול לוגים מסודר וניתוחם מאפשר לארגון לאתר הן תוקפים המסתירים את עקבותיהם ואת פעילותם‪ ,‬והן מידע‬
‫שיצא מהארגון‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Syslog, KIWI Syslog (up to 5 devices), commercials companies Opensiem, free PRTG‬‬
‫הטמעה‬
‫שלבים בהטמעה‬
‫‬
‫•לוודא שכל התקן חומרה‪ ,‬מערכת הפעלה‪ ,‬אפליקציה‪ ,‬בסיס נתונים‪ ,‬וציוד תקשורת מוגדרים לאסוף לוגים ולשלוח‬
‫אותם למקום מרכזי‪ .‬על הלוגים להכיל תאריך‪ ,‬חותמת זמן‪ ,‬כתובת מקור‪ ,‬כתובת יעד ופרטים של האירוע‪.‬‬
‫•רוב המערכות משתמשות בפרוטוקול סטנדרטי בשם ‪ .SYSLOG‬במערכות ‪ Windows‬הלוגים נשמרים ב‪.Event-Viewer-‬‬
‫‬
‫ •על כלל מקורות המידע להיות מסונכרנים עם שעון מרכזי (רצוי משני מקורות מידע עבור גיבוי)‪ ,‬לצורך קבלת זמן אירוע‬
‫מסונכרן באמצעות פרוטוקול ‪ ,)Network Time Protocol( NTP‬המוגדר ‪( UTC‬תיאום זמן אוניברסלי)‪.‬‬
‫‬
‫•יש לוודא שלכל המערכות יש נפח דיסק מספיק לרישום הלוגים‪ .‬יש לשמור את הלוגים ולארכב אותם עבור ניתוח‬
‫בדיעבד וכעדות (מערכות האיסוף וה‪ SIEM-‬יודעות לבצע ארכוב)‪.‬‬
‫•יש לקבוע מדיניות באשר למשך הזמן שבו ישמרו הלוגים לצורכי חקירה‪.‬‬
‫‬
‫ •יש לבצע בדיקה יומית שכל התקן מערכת שולח לוגים כסדרם‪ .‬רצוי על ידי הוצאת דוח יומי אוטומטי‪.‬‬
‫ •יש צורך לטייב את החוקים המוגדרים במערכת על מנת למנוע ‪ .False Positives‬שלב זה דורש תכנון מעמיק‪,‬‬
‫המתבסס גם על אופי הפעילות העסקית של הארגון‪.‬‬
‫‬
‫•יש להתאים את נפח מערכות איסוף הלוגים ועיבודם במערכת ה‪ SIEM-‬לכמות האירועים שמצופה ממנה לעבד‪.‬‬
‫‪- 30 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫ריכוז הפעילויות הנדרשות ממערכת ה‪SIEM-‬‬
‫‬
‫•‪ – Data Aggregation‬מערכת ניהול הלוגים צריכה לאסוף לוגים מכלל המקורות‪ ,‬ולבצע קונסולידציה של המידע‬
‫(אירוע המתרחש ‪ 10‬פעמים בדקה יועבר ל‪ SIEM-‬פעם אחת עם ציון מספר האירועים)‬
‫‬
‫•‪ – Correlation‬בדיקת מאפיינים של אירועים ממקורות שונים‪ ,‬ובחינת הקשר ביניהם (החלק החשוב ביותר במערכת‪,‬‬
‫שלמעשה קובע האם תהיה התראה‪ ,‬ומה יהיה המשך הטיפול באירוע)‬
‫‬
‫•‪ – Alerting‬אם נמצאה קורלציה בין אירועים והוגדרה כמחייבת טיפול‪ ,‬על המערכת להפיק התראה לגורמים‬
‫המטפלים‪ .‬ההתראות יכולות להישלח למסך‪ ,‬על ידי ‪ MAIL‬ו\או ‪.SMS‬‬
‫•‪ – Dashboards‬תצוגה של מצב אבטחת המידע ברגע נתון‪ ,‬ריכוז ההתראות והצגת מגמות לאורך זמן‪.‬‬
‫‬
‫ •‪ – Compliance‬הפקת דוחות פעילות עבור תקנים ורגולציות‪.‬‬
‫ •‪ – Forensic Analysis‬היכולת לחפש בכלל מקורות המידע שנשמרו בלוגים בזמנים שונים‪ ,‬לפי מאפיינים מוגדרים‪.‬‬
‫מידע נוסף‬
‫‪Maintenance, Monitoring, and Analysis of Audit Logs‬‬
‫‪Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations‬‬
‫‪https://www.paessler.com/free_syslog_server‬‬
‫‪https://www.alienvault.com/open-threat-exchange/projects‬‬
‫‪- 31 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪13 .‬‬
‫‪Security Web Gateway and browsers‬‬
‫הגדרה‬
‫•סינון ובדיקת אנטי‪-‬וירוס לכל תוכן שמורד‪.‬‬
‫‬
‫ •העברת קבצים שהורדו למערכת ‪Sandbox‬‬
‫‪ SWG‬משמש לסינון ‪ ,URLs‬ולהגנה על משתמשים‬
‫מפני איומים מתקדמים‪ ,‬תוכנות זדוניות ואיומים‬
‫שמקורם באינטרנט‪.‬‬
‫(אם קיימת כזו בארגון)‪.‬‬
‫בנוסף‪ ,‬הוא מסייע לארגונים לאכוף מדיניות גלישה‬
‫על המשתמשים (חסימת רשתות חברתיות‪,‬‬
‫אתרי הימורים‪ ,‬ועוד)‪.‬‬
‫‬
‫בנוסף למערכת גלישה מרכזית תומכים הדפדפנים‬
‫המובילים כיום באפשרות ביצוע בדיקת ‪Reputation‬‬
‫לאתרים הנצפים‪ ,‬ובהצגת התראה למשתמשים ומנהלי‬
‫המערכת בעת חשד לאתר נגוע‪.‬‬
‫•בדיקה וסינון של תעבורת ‪ SSL‬לצורך איתור של‬
‫תוכן זדוני והימנעות ממנו‪ ,‬במיוחד בתקשורת ‪SSL‬‬
‫לאתרים לא מוכרים‪.‬‬
‫הגדרת הדפדפנים לבדיקת‬
‫‪Browser Options Reputation‬‬
‫בדפדפנים המובילים כיום מוטמעת אפשרות של‬
‫בדיקת ‪ reputation‬ו‪ Phishing filter-‬בדפדפן עצמו‪,‬‬
‫או ב‪ Add-ons-‬קיימים‪ .‬לדוגמא‪:‬‬
‫הגיון‬
‫שימוש ב‪ SWG-‬מפחית את יכולת ההידבקות של‬
‫המשתמש בעת גלישה באינטרנט‪ .‬בנוסף ה‪ SWG-‬מקשה‬
‫על התוקפים לתקשר עם הנוזקות שכבר הותקנו‬
‫(‪)C&C - Command and Control‬‬
‫‪®Phishing Filter in Internet Explorer - Internet explorer‬‬
‫‪”Block reported attack sites“ - Firefox‬‬
‫‪and “Block reported web forgeries” options‬‬
‫‪install the WebFilter Pro add-on - Chrome‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Squid Proxy, Cacheguard , commercial companies‬‬
‫מידע נוסף‬
‫הטמעה‬
‫‪Websense Web Security Gateway‬‬
‫‬
‫•הגדרת גישה ל‪ WEB-‬רק באמצעות ה‪( SWG-‬חסימת‬
‫הגלישה בפורטים ‪ 80‬ו‪ 443-‬שלא דרך ה‪SWG-‬‬
‫באמצעות חוקים במערכת ה‪ FW-‬החיצוני)‬
‫‬
‫•חסימת גישה לאתרים המזוהים כמזיקים (ספאם‪,‬‬
‫פישינג‪ malwares, ,‬וכו')‪ ,‬ולאתרים המנוגדים למדיניות‬
‫הארגונית (רשתות חברתיות‪ ,web mail ,‬אתרי‬
‫הימורים‪ ,‬סקס ועוד)‬
‫‬
‫•חסימת אפשרות הרצת ‪Flash, java scripts,‬‬
‫‪ ,active X‬למעט אתרים מורשים (‪.)Whitelisting‬‬
‫‪Checkpoint Next Generation Secure Web Gateway‬‬
‫‪McAfee Web Gateway‬‬
‫‪Web Domain Name System Reputation‬‬
‫‪- 32 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪14 .‬‬
‫‪Malicious Email Mitigation‬‬
‫הגדרה‬
‫אחת מהדרכים הנפוצות ביותר כיום להדבקת מחשבים וארגונים היא באמצעות הדואר האלקטרוני‪ .‬הדיוור מכיל לעיתים‬
‫קרובות ספאם וניסיונות דיוג (‪ )Phishing‬באמצעות הנדסה חברתית‪ ,‬כזו המפתה את מקבל הדיוור להקליק על קישור‬
‫המפנה לאתר נגוע‪ ,‬או לפתוח צרופה (‪ )Attachment‬זדונית‪.‬‬
‫כיום‪ ,‬פרוטוקול ה‪ )SMTP( EMAIL-‬ניתן לזיוף‪ ,‬ובקלות ניתן לשנות את מקור השולח להטעיית הנמען‪.‬‬
‫הגיון‬
‫צמצום יכולת הדבקת מחשבים בארגון כתוצאה משימוש בדואר אלקטרוני‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪Mail-Relay: PostfixS, open mail relay , Sendmail, E-mailrelay , commercials companies‬‬
‫‪Spoofing Checking: SPF, Microsoft, SIDF, commercials companies‬‬
‫הטמעה‬
‫הרשאות‬
‫‬
‫•איסור שימוש בדוא"ל לבעלי חשבונות אדמיניסטרטיביים ימנע מהתוקף להשיג הרשאות גבוהות‪ ,‬שיאפשרו לו גישה‬
‫למקורות מסווגים ומעבר לחשבונות משתמשים אחרים‪.‬‬
‫אפשרויות טיפול בצרופות (‪)Attachments‬‬
‫•בחינת כל צרופה במנגנון אנטי‪-‬וירוס – בדיקה באמצעות מנגנון חתימות ו‪reputations-‬‬
‫‬
‫ •בחינת כל צרופה באמצעות מערך ‪ – Sandbox‬הפניית כל קובץ שנכנס על ידי ה‪ Mail-relay-‬לבחינה על ידי מערכת‬
‫‪ ,Sandbox‬שרק לאחריה ניתן יהיה להעבירו לנמען‪.‬‬
‫‬
‫•המרת פורמטים – לדוגמה‪ ,‬המרת קבצי ‪ OFFICE‬לקבצי ‪( PDF‬יש לשמור בצד את העותק המקורי‪ ,‬כי יתכן שיבוש‬
‫בתצוגה (במיוחד במצגות מתוחכמות) כתוצאה מההמרה‪.‬‬
‫‬
‫•אישור כניסת צרופות על בסיס סוג הקובץ (‪ ,)Whitelisting‬כדוגמת‪ ,Office, pdf, jpg ,‬לאחר בדיקה שאכן תוכן הקובץ‬
‫מתאים לסיומת שלו‪.‬‬
‫•חסימת צרופות מוצפנות או מוגנות בסיסמה‪ ,‬מאחר ואינן ניתנות לבדיקה על ידי מערכות הסינון והבדיקה‪.‬‬
‫‬
‫ •אם על הארגון לתקשר באופן מאובטח ומוצפן‪ ,‬מומלץ כי משלוח הדואר האלקטרוני והצרופות יעשה באמצעות הצפנה‬
‫כגון ‪( PGP, S/MIME‬זיהוי ואימות בין השולח והמקבל)‪.‬‬
‫‬
‫•קבצי צרופה מכווצים – יש לוודא שמערכות הסינון יודעות לטפל בצרופות כדוגמת ‪ RAR, ,ZIP‬ולסרוק את תוכנן‪.‬‬
‫‪- 33 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
MAIL- ‫אפשרויות בדיקות בגוף ה‬
:‫ – גישה מעמיקה של בדיקה וסינון למניעת הסכנות הבאות‬mail-‫•בדיקת גוף ה‬
‫ במאגרי‬URL-‫ ושהקישור מפנה לכתובת הרצויה (בדיקת ה‬,‫ כדי לוודא שאינם משמשים לדיוג‬,URL Links ‫>בדיקת‬
.)‫אתרים חשודים‬
>
‫ מסנן התוכן צריך לבדוק את התוכן‬.‫ לשלילת האפשרות שמושתלות בו פקודות‬mail-‫>פענוח תוכן מקודד בגוף ה‬
MIME Content-Transfer-Encoding header ‫הפנימי באמצעות‬
>
‫ (הסכנה‬Mail-‫ מתוך גוף ה‬VBScript & Java Script ‫>הסרת תוכן דינמי – סינון וחסימה של האפשרות להרצת‬
.)‫ שיודעים להריץ תוכן דינמי‬Email clients ‫ בשל מיעוט‬,‫יחסית נמוכה‬
>
Domain Authentication ‫אפשרויות בדיקת‬
‫ – בדיקה שאכן הדוא"ל הגיע מהדומיין שרשום‬SenderID/SPF 'hard/soft fail' ‫•חסימת‬
‫ – מנגנון המוודא כי החתימה שסופקה על ידי הדומיין‬Domainkey Identified Mail - DKIM fail ‫•חסימה באמצעות‬
.‫השולח אכן נכונה‬
Sender Policy Framework
DomainKeys Identified Mail (DKIM)
Mail Client ‫ריכוז המלצות עבור אבטחת‬
Send Plain Text Email1.1
Disable Executable Scripting Languages2.2
Turn off Remote Imaging3.3
Read HTML as Plain Text4.4
Block Dangerous Attachment Types5.5
Use S/Mime or PGP to send email6.6
Update and patch mail & system software7.7
Use spyware & virus scanners8.8
Run Outlook & Outlook Express in the restricted zone9.9
Access mail servers securely using Secure IMAP1010
‫מידע נוסף‬
Malicious Email Mitigation Strategies Guide
Trend Micro Scanmail Suite for Microsoft Exchange
Defense against Malicious E-mail Attachments
https://www.ciphermail.com/gateway.html
/http://www.techrepublic.com/blog/five-apps/five-free-apps-for-encrypting-email
- 34 -
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫בקרה מס‪15 .‬‬
‫‪Recovery‬‬
‫הגדרה‬
‫כאשר תוקף חודר למחשב הוא מבצע שינויים בהגדרות ובתוכנות‪ .‬התוקף עשוי אף להשבית את פעולת המחשב המותקף‬
‫(למשל באמצעות תוכנת כופר או למחוק את המידע השמור בו)‪ .‬לאחר גילוייה של החדירה‪ ,‬יש לפעול בהקדם לשחזור‬
‫המערכת או המידע‪ ,‬במטרה להשיב את הארגון לפעילות תקינה‪.‬‬
‫הגיון‬
‫גיבוי ושחזור הינן פעולות חיוניות לשרידותו של המידע בארגון‪ .‬חשיבותם של גיבוי המידע בארגון ותקינותו צפה בעת‬
‫שעולה הצורך לשחזר מידע שנמחק או שונה בשוגג‪ ,‬או בעקבות תקיפה הגורמת לפגיעה במידע‪.‬‬
‫מוצרים וטכנולוגיות תומכות‬
‫‪http://en.wikipedia.org/wiki/List_of_backup_software‬‬
‫הטמעה‬
‫•יש לוודא שכל מערכת (מידע‪ ,‬הגדרות) מגובה כל יום בצורה אוטומטית (גיבוי יומי‪ ,‬שבועי וחודשי)‪.‬‬
‫‬
‫ •יש לוודא כי הגיבויים אכן מכילים את התוכן הנדרש‪ .‬לפחות פעם ברבעון יש לבצע בדיקת שחזור מתוך המידע המגובה‬
‫בסביבת הבדיקות‪.‬‬
‫•על הגיבויים להיות מאוחסנים במקום מאובטח‪ ,‬רצוי בכספת‪.‬‬
‫‬
‫ •רצוי שעותקים של הגיבוי החודשי\שבועי יאוחסנו מחוץ לארגון‪ ,‬במקום מוגן ומאובטח‪.‬‬
‫ •חשוב שהגיבויים יהיו מוצפנים‪ ,‬למקרה אובדן או גניבה של תוכן הגיבוי‪.‬‬
‫מידע נוסף‬
‫‪Windows Server Backup Overview‬‬
‫‪Windows Server Backup Step-by-Step Guide for Windows Server 2008‬‬
‫‪Backup and Restore‬‬
‫‪- 35 -‬‬
‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
http://www.asd.gov.au/publications/Mitigation_Strategies_2014.pdf
‫מקורות‬
http://www.asd.gov.au/publications/Mitigation_Strategies_2014_Details.pdf
http://www.asd.gov.au/publications/protect/top_4_mitigations.htm
http://www.asd.gov.au/publications/protect/application_whitelisting.htm
http://www.asd.gov.au/publications/protect/malicious_email_mitigation.htm
http://www.asd.gov.au/publications/protect/spoof_email_sender_policy_framework.htm
http://www.asd.gov.au/publications/protect/malicious_email_mitigation.htm
http://www.asd.gov.au/publications/protect/restricting_admin_privileges.htm
http://www.asd.gov.au/publications/protect/assessing_security_vulnerabilities_and_patches.htm
https://www.sans.org/security-resources/IAD_top_10_info_assurance_mitigations.pdf
https://www.sans.org/critical-security-controls/
http://www.sans.org/reading-room/whitepapers/auditing/successful-siem-log-management-strategies-audit-compliance-33528
http://csrc.nist.gov/publications/drafts/800-167/sp800_167_draft.pdf (Application whitelisting)
http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
https://www.nsa.gov/ia/_files/factsheets/Defending_Against_Destructive_Malware.pdf
https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_AntiExploitationFeatures_Web.pdf
https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_HostMitigationPackage_Web.pdf
https://www.nsa.gov/ia/_files/os/Win_EMET/I43V_EMET_Rationale_v3.4.pdf
https://www.nsa.gov/ia/_files/os/Win_EMET/EMET_FAQ_v3.1.pdf
https://www.nsa.gov/ia/_files/factsheets/i43v_slick_sheets/slicksheet_hostintrusionpreventionsystems.pdf
https://www.nsa.gov/ia/_files/factsheets/i43v_slick_sheets/slicksheet_antivirusfilereputationservices.pdf
https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_LimitingWtWCommunication_Web.pdf
https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_ControlAdministrativePrivileges_Web.pdf
https://www.nsa.gov/ia/_files/factsheets/i733-tr-043r-2007.pdf
https://www.nsa.gov/ia/_files/factsheets/mitigationMonday.pdf (Secure email attachments)
https://www.nsa.gov/ia/_files/app/Reducing_the_Effectiveness_of_Pass-the-Hash.pdf
https://www.nsa.gov/ia/_files/factsheets/i43v_slick_sheets/slicksheet_applicationwhitelisting_standard.pdf
https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf
https://www.nsa.gov/ia/_files/factsheets/Application_Whitelisting_Trifold.pdf
https://www.nsa.gov/ia/_files/support/wormpaper.pdf
https://www.nsa.gov/ia/_files/support/defenseindepth.pdf
https://www.nsa.gov/ia/_files/factsheets/I733-004R-2007.pdf (Secure mail client)
https://www.us-cert.gov/ncas/alerts/TA15-119A
http://www.bis.gov.uk/assets/biscore/business-sectors/docs/c/12-1119-cyber-risk-management-board-responsibility
http://www.bis.gov.uk/assets/biscore/business-sectors/docs/0-9/12-1120-10-steps-to-cyber-security-executive
http://www.bis.gov.uk/assets/biscore/business-sectors/docs/0-9/12-1121-10-steps-to-cyber-security-advice-sheets
http://www.oracle.com/technetwork/topics/entarch/oracle-wp-security-ref-arch-1918345.pdf
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2014.pdf
https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf
http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/
https://securelist.com/files/2014/12/Kaspersky-Security-Bulletin-2014-EN.pdf
- 36 -
‫‪cert.gov.il‬‬
‫הפקה‪ :‬לשכת הפרסום הממשלתית‪.‬‬
‫‪respect‬‬