להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר
Transcription
להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר
המרכז הלאומי להתמודדות עם איומי סייבר המלצות להפחתת חדירות סייבר לארגונים Intrusion Mitigation Strategy גרסה | 1.0יוני | 2015סיוון התשע"ה המרכז הלאומי להתמודדות עם איומי סייבר תוכן העניינים 8 .בקרה מס 03 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Limit computer to computer communication הקדמה רשימת הבקרות 06 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . המומלצות 23 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 .בקרה מס HIPS - Host Intrusion Prevention 1 .בקרה מס Enable Anti-Exploitation Mitigation 25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 .בקרה מס 07 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Users Training & Awareness 2 .בקרה מס Application Whitelisting 27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 .בקרה מס 10 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Network Segmentation & Segregation 3 .בקרה מס Anti-Virus Suite )Reputation & Heuristic( 28 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 .בקרה מס 13 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Logging audit real time monitor & 4 .בקרה מס Patching Operating Systems 30 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 .בקרה מס 15. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Security Web Gateway and browsers 5 .בקרה מס 32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Application Patch Management 14 .בקרה מס 18 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Malicious Email Mitigation 6 .בקרה מס 33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Disable Local Admin Accounts 15 .בקרה מס 20 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Recovery 7 .בקרה מס 35 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Secure configuration/Hardening 36 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . מקורות 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . - 2 - המרכז הלאומי להתמודדות עם איומי סייבר הקדמה מספר הפוגענים החדשים המופצים ברשת האינטרנט הולך וגובר .זהו המרוץ הבלתי פוסק בין מפתחי הפוגענים לבין חברות האנטי-וירוס וחברות אבטחת המידע השונות .כל שינוי בפוגען גורם לאי התגלותו במערכות הקיימות. ארגונים וגופי ממשל מהווים יעד מועדף עבור התוקפים ,הן בשל איכות המידע שהם מכילים ורגישותו (פרטי ומסחרי), והן בשל משטח התקיפה הרחב שהם מעמידים עבור היריב (נגישות שרתים ושירותים לאינטרנט). במרבית מקרי התקיפה ,מטרת התוקפים היא להתמקד בתחנות הקצה (מחשבי המשתמשים) ,ומשם להתפשט לשאר תחנות העבודה והשרתים באמצעות רשת התקשורת. ההיכרות עם סוגי התקיפות והאופן שבו הן מתבצעות מספקת בסיס ידע חיוני להבנה כיצד לבנות מערך הגנה יעיל לארגון. מסמך זה מתמקד בהפחתת יכולתו של הפוגען לחדור למחשב/שרת -פעולה המהווה את השלב הקריטי ב"וקטור התקיפה" של מערכי התקיפה הנפוצים כיום .מטבע הדברים ,רוב הבקרות יתמקדו בהגנה על תחנות הקצה של המשתמשים ,שהן החוליה החלשה במערך ההגנה ,וזאת ,עקב היותן חשופות לתקיפה בעת גלישה באינטרנט ,בקבלת דואר אלקטרוני ממקורות שונים ,בחיבור לרשתות חברתיות ,במהלך פעילויות המבוססות על הנדסה חברתית ( ,)Social Engineeringועוד. הגדרת Exploit kits Exploit kitsהם לרוב תוכניות או סקריפטים המנצלים חולשה במערכות הפעלה ,מסמכים ואפליקציות .אלה הם כיום הכלים הפופולאריים ביותר בחדירה למחשבים וניצולם למטרת כופר ,גניבת מידע ,השחתה ,תקיפת מטרות אחרות ) ,)DoS & DDoSוכדומה. Exploit kitטיפוסי מספק ,בנוסף ,אמצעי להתקשרות בין התוקף לנתקף ולניהולּה ,דבר המאפשר את מימוש תהליך התקיפה בכללותו. חלק ניכר מתהליך ה Exploiting-מבוצע דרך הדפדפנים ,המאפשרים הורדת קבצים נגועים למחשב. נכון לאפריל ,2015אלה הן 30משפחות התוכנות בעלות הפגיעויות בסיכון הגבוה ביותר: US-CERT Top-30 Targeted High Risk Vulnerabilities - April 2015 Vulnerability distribution by product type - 2014 4% 13% Application Operating System Hardware 83% - 3 - Company Software 8 Office 7 Explorer 1 Silverlight 2 Java 4 Coldfusion 3 Acrobat reader 4 Multiple platform Company Microsoft Oracle Adobe 1 OPEN SSL 30 Total המרכז הלאומי להתמודדות עם איומי סייבר מסמך זה מסמן את תחילתו של תהליך לבניית מתודולוגיות הגנה המבוססות על בקרות מונחות עדיפויות ,שתתייחסנה לשבעת השלבים המרכיבים יחדיו מערך תקיפה באשר הוא ,ומבוסס על דרך התקיפה מנקודת ראות התוקף( .לפי המודל של חברת לוקהיד מרטין): Actions on object )C&C (C2 Install Delivery Exploit Recon Weaponize הבקרות במסמך זה מתמקדות במגוון טכניקות אבטחת מידע ,שמטרתן לעזור לארגון לתעדף את מאמציו בהגנה כנגד ההתקפות הנפוצות ביותר כיום ,מתוך כוונה למנוע/לצמצם ככל הניתן את יכולת הפגיעה בארגון. הבקרות גם עוזרות בשלבים נוספים של מערך התקיפה ,כגון התפשטות ברשת ,תקשורת עם המפעיל וזליגת מידע; אולם הטיפול בשלבים הנוספים מצריך נקיטה בפעולות נוספות ,שאינן חלק ממסמך זה. הכתוב להלן נסמך על הסכמה בינלאומית רחבה של גופי מודיעין ,אבטחה ומוסדות לאומיים במדינות שונות ,שיפורטו בהמשך. מטרות המסמך •לסייע לארגונים ליישם באופן סדור ומבוקר צעדים ובקרות מונחי סדרי עדיפויות ,הנובעים מאופי האיומים ודרכי התפשטותם ,אשר יכולים להפחית במידה ניכרת את הפגיעה בארגון. •לסייע בשיפור של תהליכים ,ארכיטקטורות ויכולות של אבטחת מידע בארגון. שש הבקרות הראשונות ניתנות ליישום מהיר ,יחסית ,)Quick Win( ,ללא צורך ברכש של תוכנות נוספות על הקיימות, שביכולתן להפחית בלמעלה מ 85%-את שיעור ההידבקות בפוגענים (לפי מחקרים שנעשו על בסיס ניתוח אלפי פוגענים שהתגלו בעולם). מסמך זה והמלצותיו אינם באים להחליף את מנגנוני האבטחה הקיימים ,או את העמידה ברגולציה הקיימת ) , ISO, PCI/DSS, SOX, 357וכו'( ,אלא להתמקד ביכולת ההידבקות של הארגון .צעדים אלה יכולים גם לתרום לאבטחת שאר חלקי הארגון. יודגש ,כי בעוד שמטרת מסמך זה הינה להציג אסטרטגיה ייעודית ,הרי שמימושה ,כמו כל פעילות מקצועית אחרת ,מחייב יישום על ידי איש מקצוע מתאים ,תוך בחינת ההתאמה של ההמלצות לסביבת המחשוב הארגונית הספציפית ,הפעלת שיקול דעת מקצועי ספציפי ,בהתאם לפרקטיקות עבודה מקובלות ,ונקיטת מכלול אמצעי הזהירות הנדרשים. - 4 - המרכז הלאומי להתמודדות עם איומי סייבר הסכמה בינלאומית מסמך זה ובקרותיו נבנה על סמך עבודה בינלאומית ,שבעשייתה שותפים הגופים הבאים: שם ארגון שם המסמך 35 mitigation strategies Australian signals Directorate ASD 20 security controls for effective cyber defense The National Institute of Standards and Technology NIST Top 10 mitigation strategies IAD information assurance directorate NSA קווים מנחים למדיניות •קביעת סדרי עדיפויות •פוטנציאל ליישום מהיר •כיסוי מרבית התקיפות הנפוצות כיום ובעתיד הקרוב •הטמעה בכל ישויות הארגון (תחנות ,שרתים ,משתמשים ורשת) •שימוש בכלים קיימים -אם ניתן •מעבר לניטור רציף בארגון •שיתוף מידע עם ה cert-הלאומי ,והבנייה של שפה מקצועית משותפת - 5 - המרכז הלאומי להתמודדות עם איומי סייבר רשימת הבקרות המומלצות הגורמים שהוזכרו לעיל מכילים מספר שונה של בקרות וסדר עדיפויות שונה ,אולם ביסודם הם בעלי מכנה משותף. מטה הסייבר הלאומי מצא לנכון להמליץ על 15בקרות המתאימות לכל ארגון ( 6הבקרות הראשונות בעדיפות ראשונה, ולאחריהן שאר 9הבקרות). תשע הבקרות הראשונות מתמודדות עם הפחתת החדירה ברמת תחנת הקצה/שרת ,בעוד שש הבקרות הנוספות מסייעות בהפחתת החדירה ברמה הרשת ,התפשטות הפוגען ברשת ,זיהוי והתאוששות. המסמך יציג דוגמאות לאופן מימוש הבקרות באמצעות תוכנות נפוצות או שירותים המוצעים בהן ,והפניה למדריכים ספציפיים שמוצגים בסוכנויות הבינלאומיות שלעיל .יצויין ,כי התוכנות מוזכרות לצרכי הדגמה בלבד ,ואין בכך משום העדפה של תוכנה כלשהי על פני אחרות .התוכנות מובאות בהתאם למדרג הבא :שירותים המוצעים בתוכנות במסגרת רישיון יצרן ,ותוכנות קוד פתוח נפוצות. שם הבקרה פירוט הפעלת מנגנוני Address Space( ASLR ,)Data Execution Prevention( DEP )Layout Randomizationו)Enhanced Mitigation Experience Toolkit( EMET- הרצת תוכנות מורשות בלבד למניעת הפעלת פוגענים ,כולל הרשאת קבצי ,DLLסקריפטים וכדומה הפעלת חבילת מוצרי אנטי-וירוס מעודכנים ,הכוללת מנגנוני בדיקה של reputation, heuristics & signature ניהול עדכוני אבטחת מידע קריטיים אחרונים למערכות הפעלה. מומלץ להימנע משימוש במערכת ההפעלה ,Windows XPשאינה נתמכת עוד ניהול עדכונים ומעבר לגרסאות אחרונות של התוכנות הבאות במיוחד: Java, PDF viewer, Flash, web browsers and Microsoft Office הסרת הרשאות מנהל מקומי במחשבים (לעיתים קרובות מוגדר אותו משתמש וסיסמה במספר מחשבים ברשת) ,על מנת למנוע שימוש בהרשאות אלו להתקנה והפצה של פוגענים # Enable operating system exploitation mitigation 1 Application whitelisting 2 Use an updated Anti-virus suite )(reputation, heuristic 3 Patch management - Operating systems 4 Patch management - Applications 5 Disable local administrator accounts 6 לאחר יישום שש הבקרות ,תחילה בתחנות העבודה של המשתמשים המועדים ביותר לתקיפות, ולאחר מכן בשאר תחנות העבודה והשרתים ,ניתן להמשיך ולבצע את שאר הבקרות להעלאת רמת האבטחה הארגונית הקשחת מערכות הפעלה ואפליקציות בהסתמך על סטנדרטי הקשחה מקובלים ,הכוללים הסרת תהליכים ושירותים לא נדרשים ,הסרת משתמשי ברירת מחדל ,חסימת התקנים ניידים ועוד מניעת תקשורת בין תחנות באותה רשת ,על מנת למנוע הפצת פוגענים והורדת יכולת ,Pass-the-Hash PtHבנוסף לחסימת גישה ישירה של תחנות/ שרתים לאינטרנט שלא דרך Proxy זיהוי וחסימה של פעולות אנומליות במשך הפעלת אפליקציות ,הכוללים: injection, keystroke logging, driver loading and persistence הפרדה וחלוקה של הרשת לפי פונקציונאליות נדרשת (ייצור ,בדיקות, משתמשים וכו') ,להפחתת יכולת התפשטות פוגענים ברשת Secure configuration - Hardening )(operating systems & applications 7 Limit Workstation-to-Workstation communication and direct internet access 8 )Host Intrusion Prevention System (HIPS 9 Network segmentation and segregation 10 User training & awareness 11 Logging & Audit & Monitoring 12 Secured WEB Gateway 13 בדיקת דוא"ל נכנס במרוכז ,לרבות בדיקת צרופות וגוף הדוא"ל (בדיקת קישורים בגוף ההודעה) Securing Emails 14 בניית מנגנוני גיבוי ,שחזור והתאוששות מפגיעת פוגען בארגון Recovery 15 הדרכה ואימון של עובדים לכללי זהירות נדרשים ,במיוחד עבור ,Phishing גלישה לאתרים חשודים ועוד ניטור רציף ,איסוף ומעבר על לוגים ,ביצוע קורלציות ,הפקת התראות וטיפול יציאה ממקום אחד מאובטח הכולל סינון אתרים ,סריקת תוכן נכנס הכולל חתימות ,מוניטין ,ומנגנוני heuristics - 6 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס1 . Enable Anti-Exploitation Mitigation הגדרה ברוב המקרים Exploitהוא שלב החדירה הראשוני למחשב/שרת לפני הורדת כלי/קוד עוין (Malicious code or execute )fileלמחשב המותקף .ההתקפה יכולה להיות רחבה או ממוקדת מטרה (.)APT - Advanced persistent threat דוגמא להליך :exploit הדבקת המשתמש (קרי -השתלת ה exploit-בדפדפן) דרך אתר נגוע ,בגלישה או באמצעות קישור בדוא"ל לאתר נגוע. הורדת Malwareלמחשב התקנת ה Malware-במחשב שנדבק התוקף משיג שליטה המאפשרת לו הוצאת מידע, הצפנת המחשב (כופר) ,שיבוש המחשב ועוד היכולות הטכנולוגיות של Anti-Exploitationיעילות במיוחד כנגד תוכנות רבות המשמשות להדבקה המונית ,כגון :כאלה המתבססות על ידי הדבקה מאתרים נגועים ,Phishing campaigns ,Malicious Iframe ,ועוד. בנוסף ,טכנולוגיה זו יעילה בפני התקפות Zero-dayהמשתמשות בחולשות שהתגלו במערכת ההפעלה/אפליקציות/ קבצים ,כשעדיין לא קיים עדכון אבטחה של היצרן. - 7 - המרכז הלאומי להתמודדות עם איומי סייבר הגיון היכולת הטכנולוגית של Anti-Exploitationמאפשרת למנוע מגוון רחב של הדבקות .בניגוד לתוכנות אנטי-וירוס מסורתיות ,טכנולוגיה זו אינה מבוססת על חתימות .גם אם תהליך החדירה חדר/עקף את הבקרות האחרות (שיפורטו במסמך) ,ישנו סיכוי רב למנוע את החדירה באמצעי זה. מנגנון זה יכול ,למשל ,למנוע הזרקת קוד עוין לתוכנית שרצה או פניה אסורה לזיכרון ,ובכך יעיל בפני Zero-day- ,vulnerabilitiesעד להפצת עדכונים מצד הספקים לפגיעויות שנמצאו במוצריהם. מוצרים וטכנולוגיות תומכות הפחתת יכולת לביצוע ה Exploit-יכולה להתבצע בטכנולוגיות הבאות בחינם: עבור WINDOWS •Data Execution Prevention - DEP •Address Space Layout Randomization - ASLR •Enhanced Mitigation Experience Toolkit - EMET עבור לינוקס •grsecurity במסמך זה תפורט טכנולוגיית ,EMETהכוללת בתוכה את יכולות ,DEP & ASLRותכונות נוספות. EMETמספקת שלושה סוגי הגנות: •הגנה רחבה על מערכות ההפעלהDEP, ASLR, SEHOP : •הגנות ספציפיות לאפליקציות ,כגוןHeap spray, Bottom-up-randomization, etc : •הגנות מתקדמות EMET :מציעה כ 12-הגנות נוספות עבור אפליקציות תוכנת EMETאינה מושלמת ,ולכן נדרש לבצע את שאר הבקרות במסמך זה ,לקבלת הגנה נרחבת כנגד .Malicious software הטמעה כיום למערכות ההפעלה Windowsיש כלים מובנים של Anti-Exploitationהנדרשים להפעלה ,כגון DEPוASLR- שיעילות כנגד Buffer over flowוהשחתת זיכרון ( .)memory corruptionמנגנון EMETשל חברת מיקרוסופט מכיל בתוכו את יכולות ,ASLR & DEPותכונות נוספות .טכנולוגיית EMETמוטמעת כברירת מחדל במערכת ההפעלה .Windows 8.1לשאר גרסאות מערכת ההפעלה ניתן להוריד חינם את הגרסאות המתאימות להן דרך הקישור הבא: Microsoft Enhanced Mitigation Experience Toolkit 5.1 ניתן להגדיר את EMETעבור כל אפליקציה ,גם אם האפליקציה עצמה אינה תומכת בתכונה. - 8 - המרכז הלאומי להתמודדות עם איומי סייבר יתרונות • EMETהינה חלק ממערכות ההפעלה האחרונות של מיקרוסופט והיא ניתנת להורדה חינם עבור מגוון גרסאות של מערכות ההפעלה קודמות •מתן תוספת הגנה למערכות אשר אינן מעודכנות בעדכוני האבטחה האחרונים •אפקטיביות מוכחת כנגד מספר רב של Exploits •התקנה ותחזוקה פשוטות יחסית •ניתן להחריג אפליקציות שמתנגשות עם המנגנון של EMETבאופן פשוט סיכונים •הגבלות עבור – Windows XPשתי תכונות של EMETלא נתמכות במערכת הפעלה זו ,והן: >Structured Exception Handler Overwrite Protection - SEHOP > > >Address Space Layout Randomization – ASLR ועדיין EMET ,קריטית עבור מערכת הפעלה זו ,כיוון שהיא לא נתמכת עוד על ידי חברת מיקרוסופט ,ולא נכתבים עבורה עדכוני אבטחת מידע חדשים. •תאימות – ישנן תוכנות אשר נכתבו בצורה לא נכונה (במיוחד לגישות לאזורים בזיכרון) שיכולות להיחסם על ידי .EMET ניתן להפעיל את EMETבתצורת ,monitor onlyולאחר בחינה וניסוי ניתן להחריג את התוכנות הבעייתיות מפני ההגנה. •מספר plug-insבדפדפנים לא נתמכים. שלבים בהטמעה •התקנת EMETדורשת קיום/התקנת .NET •יש להתקין בסביבת הבדיקה בתצורת ,monitor onlyולסמן תוכנות שמתנגשות ולכן לא יוגנו באמצעות התוכנה. •את תוכנת EMETניתן להפיץ ברחבי הארגון (תחנות ושרתים) על ידי תוכנת הפצה של חברת מיקרוסופט. •ההגדרות מבוצעות ב.Active Directory Group Policy- •ניהול מרכזי של רשימת התוכנות שלא יוגנו על ידי ,EMETאו קביעת ההגנות הספציפיות שהתוכנה תספק לכל אפליקציה. מידע נוסף Microsoft - Enhanced Mitigation Experience Toolkit NSA - Understanding the Enhanced Mitigation Experience Toolkit Microsoft - The Enhanced Mitigation Experience Toolkit NSA - EMET A Rationale for Enabling Modern Anti-Exploitation Mitigation in Windows - 9 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס2 . Application Whitelisting הגדרה ניהול מרכזי פרואקטיבי של יכולת הרצת תוכנות (אפליקציות ,Scripts ,קבצי DLLו )Installer-במחשב המשתמש, וחסימת הרצת תוכנות שאינן מורשות. המטרה העיקרית היא הגנה על מחשבים ורשתות מפני יישומים מזיקים; מטרה משנית -למנוע שימוש בתוכנות ללא רישיון. מדובר כאן ברשימת תוכנות שאושרה על ידי מנהל המערכת להרצה במחשבי הארגון .טרם הפעלת התוכנה במחשב המשתמש ,היא נבדקת במערכת המרכזית בארגון ,ואם אושרה ,אזי היא תופעל. ישנם מנגנונים למניעת זיוף תוכנות (שינוי שם תוכנה זדונית לשמה של תוכנה מאושרת) ,על ידי שימוש בבדיקת .Hashing השימוש ביישום אינו מחליף שימוש בתוכנות אבטחת מידע כגון אנטי-וירוס FW ,או HIPS (Host intrusion prevention ,)systemאלא משמש כנדבך הגנה נוסף במערך (.)Defense in depth הגיון יישום נכון ומאוזן של Application Whitelistingבמחשבי המשתמשים ובשרתים מרכזיים מסייע במניעת הרצה של תוכנה ללא קשר למקורה (.(Download, email attachment, CD/DVD USB יישום המנגנון על שרתים חשובים כמו Active Directoryושרתי אימות נוספים (כגון רדיוס )Certificate Authority ,יכול בנוסף למנוע מנוזקות לנסות לבצע passphrase hashesאו לספק לתוקפים הרשאות נוספות. יתרונות •יישום Whitelistingמציע ערך אבטחתי גדול: >חסימת התוכנות הזדוניות העדכניות ביותר > > >מניעת השימוש ביישומים לא מורשים > >אינו דורש עדכוני הגדרות יומיים > >דורש תהליכים סטנדרטיים בלבד לאישור - 10 - המרכז הלאומי להתמודדות עם איומי סייבר מוצרים וטכנולוגיות תומכות Microsoft (SRP, Applocker), commercial software's הטמעה יש להגדיר תיקיות ייעודיות ,שרק מהן ניתן יהיה להריץ יישומים (. )Folders\libraries at File System גישה זו מונעת את הצורך לזהות אישור והפעלה של כל קובץ בכל תיקייה במחשב האישי. תיקיות ההרצה חייבות להיות מוגנות במערכת הרשאות ,כך שרק למנהל המערכת בארגון תהיה היכולת להוסיף, למחוק או לשנות יישומים מאושרים (דרך מנגנון ההרשאות של ה Active Directory-בארגון). יש להגדיר את מנגנון Application Whitelistingליישום הרצת תוכנות מאושרות ללא קשר לסיומת הקובץ. במידת האפשר ,יש למנוע הרצת תוכנות מתיקיות ציבוריות (משותפות) ,וכן למנוע שימוש בתוכנות שיכולות לשמש תוקפים באיסוף חומר על הארגון (כלי סריקה ,כלי פיצוח סיסמאות ,וכדומה). חשוב גם למנוע מהמשתמש יכולת להתקין תוכנות באופן עצמאי ,לדוגמא על ידי אי-מתן הרשאת Local Admin (היכן שניתן). שלבים ביישום מומלץ ליישם את בקרת Application Whitelistingבשלושה שלבים ,ולא כמקשה אחת: לאחר בדיקה מדגמית במספר מחשבי משתמשים והלבנת False ,Positiveניתן ליישם את הבקרה במחשבים של מנהלים בכירים ועוזריהם (בעלי תפקיד המהווים מטרות מועדפות בארגון ,ולרוב משתמשים ביישומים ארגוניים כמו Office & Internetבלבד) פריסת היישום אצל שאר המשתמשים ,ובשרתי הארגון לאחר שנצבר ניסיון מעשי בארגון ,ניתן ליישם במחשבי צוות ה .IT-מאחר ועובדי ה IT-משתמשים בתוכנות רבות ומגוונות, ישנה חשיבות עליונה בפרט לבצע את היישום גם במחשביהם של אנשי הסיסטם ,בשל נגישותם לכלל מערכות הארגון - 11 - המרכז הלאומי להתמודדות עם איומי סייבר יישום Application Whitelistingקל יותר בארגונים המבצעים תהליך מוסדר של Asset & Change Management .management מומלץ להתחיל את תהליך היישום על ידי הרצה בתצורת Audit/loggingבלבד .מהלך זה יסייע לארגון לפתח Software ,inventoryולשמור על רמה נמוכה של שינויים ותשומות ניהול. בעת התקנת תוכנה חדשה ,חשוב להימנע מיצירת Hashחדש לקבצים שאינם קבצי הרצה ,מאחר והדבר מגביל את ההפצה באמצעות ה ,GPO-ויגרום להאטה במחשבי המשתמשים. המלצות פרקטיות במערכות ההפעלה של מיקרוסופט קיימת תוכנה מובנית בשם AppLockerלאכיפת יישום .Application Whitelisting האפליקציה זמינה במערכות ההפעלה: •Windows 7 •Windows 8 •Windows server 2008 •Windows server 2012 ב Windows XP-קיימת תוכנת SRPלניהול הרצת היישומים ישנם ספקים מסחריים נוספים המספקים יישומים עבור ,Application Whitelisting or Application Blacklistingבתשלום. מידע נוסף ASD - Mitigation 1: application whitelisting ASD - Top 4 Strategies to Mitigate Targeted Cyber Intrusions: Mandatory Requirement Explained NSA - Application Whitelisting ASD - Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details - 12 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס3 . )Anti-Virus Suite (Reputation & Heuristic הגדרה יישום תוכנת אנטי-וירוס בשילוב מנגנונים הכוללים היוריסטיקה ודירוג מוניטין באופן אוטומטי ,בתחנות הקצה והשרתים המבוססים על מערכת ההפעלה Windows בדיקת Heuristic & reputation בדיקה המבוססת על מנגנון מתקדם בתצורת ענן מרוחק ,המשלבת השוואה היוריסטית ובדיקת מוניטין של קבצים מעבר לבדיקת חתימות סטנדרטיות של תוכנות האנטי-וירוס. בדיקת Reputation בדיקת הקובץ בענן המכיל את מאגר החתימות המעודכן ביותר של יצרני האנטי-וירוס ,בנוסף למידע שנאסף ממיליוני מחשבים בעולם ,לשם השוואה. בדיקת Heuristic בודקת דפוסים במבנה הקובץ ובהתנהגותו בזמן ריצה .שיטת זיהוי זו מפעילה תהליך המדמה את הפעלת הקוד ,וזאת, לצורך זיהוי אנומליה ,דבר המסייע לקבוע אם הקובץ החשוד מהווה איום. יתרונות •כיסוי רחב יותר מאשר מוצר אנטי-וירוס בסיסי. •הגנה מפני תוכנות זדוניות שהתגלו לאחרונה בתוך שניות בודדות ,לעומת פרק זמן של שעות או ימים הנדרש לעדכון קבצי חתימה של תוכנות האנטי-וירוס. •מעגל בדיקה נוסף לבקרה על הקבצים הנכנסים לרשת. •שיעור נמוך יותר של False positiveבהשוואה למנגנון חתימות בלבד. •יכולות נוספות ,כמו בדיקת מוניטין של כתובות IPוכתובות .URL הגיון תוכנת אנטי-וירוס מסייעת למנוע ,לזהות ולהסיר תוכנות זדוניות לרבות וירוסים ,תולעים ,סוסים טרויאניים ,תוכנות ריגול, תוכנות פרסום ,ועוד. הוספת בקרה זו מסייעת בטיפול במסה הקריטית של נוזקות הקיימות והמוכרות כיום ,ובכך היא מפחיתה את הסכנות מחדירת נוזקות לא מתוחכמות הנפוצות ברשת האינטרנט (כגון תוכנות כופר וכדומה). - 13 - המרכז הלאומי להתמודדות עם איומי סייבר מוצרים וטכנולוגיות תומכות Common free & commercials anti-virus companies סיכונים • - False Negativeתוקף מבצע הפניית תעבורה ( )man in the middleלאתר אחר ,ומסמן את הקובץ כתקין. • - False Positiveתוקף גורם לקובץ תקין לקבל סימון שלילי .על התוקף בנסיבות אלה לחדור למאגר מרכזי ולבצע שינוי ,או ללכוד את הבקשה בתווך ולהשיב תשובה שלילית בשם המאגר. פיתוח יכולות תקיפה אלה הוא יקר ואורך זמן רב ,דבר שמקטין את ההסתברות להתרחשות תקיפות מסוג זה. האמינות של מנגנוני המוניטין תלויה ברמת התפוצה של הקבצים ברשת הגלובלית .ישנה אפשרות שקבצים מיוחדים או מותאמים אישית (תוכנה ייעודית) לא ייסרקו במנגנון זה. הטמעה הנחיות ביצוע •הגדרת יכולת ניתוח התנהגות היוריסטי לאיזון מקסימלי בזיהוי תוכנות זדוניות ,תוך הימנעות מפגיעה בעבודת המשתמשים ועבודת צוותי הטכנאים וה ,Helpdesk-על מנת להימנע מטיפול בריבוי אירועי שווא של False negative/ .positive •הגדרת סריקה בזמן אמת בכניסת קובץ למחשב מכל מקור אפשרי. •ביצוע סריקה מעמיקה ב off-line-במהלך סוף השבוע או בלילות. •שימוש במספר תוכנות אנטי-וירוס של ספקים שונים (חלוקת המשתמשים לקבוצות ,והקצאת תוכנת אנטי-וירוס שונה לכל קבוצה) ,להקטנת ההסתברות לפגיעה בכלל הארגון והשבתתו אם יצרן מסוים לא זיהה את הנוזקה. מקורות ASD - Strategies to Mitigate Targeted Cyber Intrusions – control 22 - 14 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס4 . Patching Operating Systems הגדרה תהליך התקנת עדכוני אבטחה נועד לתקן פגיעויות שהתגלו במערכת ההפעלה ונקודות תורפה שאותרו באפליקציות המותקנות במחשב. ניצול חולשות בטרם תיקונן חושף את המחשב\שרת\בסיסי נתונים\ציוד תקשורת לתקיפות ,חבלות ,מרמה והוצאת נתונים. ביצוע עדכונים שוטפים מחייב את הארגון ליצור תהליך מובנה וסדור ייעודי לכך. לדוגמה :חברת מיקרוסופט נוהגת לפרסם עדכוני אבטחת מידע בכל יום שלישי בשבוע השני של כל חודש .במקרים דחופים ,העדכונים יכולים להתפרסם בכל יום במהלך השבוע. הגיון התקנת עדכוני אבטחה עבור פרצות שהתגלו במערכות הפעלה סמוך לפרסומן עשוי להפחית משמעותית את השימוש בהן. מוצרים וטכנולוגיות תומכות Microsoft WSUS & OneGet, & Commercial vendors הטמעה אתגרים בתהליך ביצוע העדכונים עיתוי ,עדיפות ובדיקה טרם ההתקנה במערכות ,הינם קריטיים למזעור נזק אפשרי לארגון בשל תקלות העשויות להיגרם כתוצאה מתהליך העדכון. רצוי מאוד להתקין את העדכונים האחרונים מיידית עם פרסומם ,על מנת לצמצם את מרחב החשיפה לאיומים .בפועל, התקנת העדכונים ללא בדיקה מתאימה ,עשויה לפגוע בפעילות המערכות בארגון ואף להשביתה במידה וקיימת התנגשות בין התיקון לאפליקציות קיימות. היבט נוסף הוא זמן ההשבתה הנגרם עקב אתחול נדרש בתחנות ובשרתים (בעיקר במערכת ההפעלה Microsoft .)Windowsיתרה מכך ,תהליך האתחול עשוי להציף בעיות כמו מחסור בשטח דיסק ,או מנהל התקן ( (Driverשאינו נטען, וכדומה ,שלא תמיד צפות כל עוד המחשב לא ביצע אתחול. המלצות פרקטיות •לא לבצע את העדכונים במהלך סוף השבוע ,שכן במקרה של תקלה יחזרו העובדים לארגון מושבת. •לבצע את העדכונים בלילה ולערוך בדיקת שפיות לשרתי הייצור לאחר האתחול ,לצורך זיהוי תקלות ,ויכולת חזרה למצב קודם. •בחירה במספר תצורות עדכון עשויה לגרום לקונפליקטים .רצוי לבצע את תהליך העדכון באמצעות מערכת הפצה ראשית ארגונית ,שביכולתה לנהל מעקב אחר התקדמות ההפצה ואף לאכוף אותה ללא יכולת התערבות של המשתמש. - 15 - המרכז הלאומי להתמודדות עם איומי סייבר דרכים לביצוע עדכונים •עדכון אוטומטי דרך האינטרנט •מערכות עדכון ספציפיות לעדכוני אבטחת מידע ,כגון WSUS •מערכת התקנה והפצה מרכזית של הארגון ,כגון Microsoft SCCM •מערכות עדכון מסחרית צד שלישי •מערכות )Network Access Control( NACהמוודאות את קיום העדכון ומפנות במידת הצורך לעדכון בשרת עדכונים. •עדכון יזום ידני ,על ידי המשתמש. התקנת עדכונים במערכות הפעלה מיוחדות קיימים בארגון מספר סוגי מחשבים\שרתים המנוהלים בצורה שונה: •מחשבים אשר אינם מחוברים ל :Domain-למחשבים אלה נדרש ליצור שרת עדכון נפרד ,ולדאוג שיעודכנו. •מחשבים ניידים – נדרש ליצור מדיניות עדכון מהשרת המרכזי בעת חיבורם לרשת הארגונית ,לדוגמא דרך מערכת ה ,NAC-או ה ,DOMAIN-בתהליך של .Force Mode •רכיבים לא סטנדרטיים – רכיבי יצרן ייעודיים שאינם ,ITכגון בקרים .יש לבדוק מול היצרן בדבר עדכונים. • – Mobile Devicesניהול מערך העדכונים דרך מערכת ה.)Mobile device management( MDM- יישום העדכונים בשלבים על מנת לצמצם את הפגיעה בארגון כנזכר לעיל ,מומלץ לבצע את העדכונים בשלבים ,כאשר נעשית הבחנה בין תחנות הקצה לשרתים .זאת ,למעט במקרה שהעדכון המתבקש קריטי במיוחד .במקרה זה יש לבצע את העדכון מיידית ,תוך כדי ניהול סיכונים. תחנות קצה יצירת קבוצת טסט המהווה מדגם של כ 5%-מסך כלל התחנות בארגון ,שבו מיוצגות כלל קבוצות המשתמשים בארגון (כדוגמת מחלקת שיווק ,מחלקת משאבי אנוש ,ההנהלה הבכירה IT ,ותפעול). •הפצת העדכונים לכלל קבוצת המדגם •בדיקת שפיות במשך יומיים על מנת לוודא שיכולת העבודה של המשתמשים לא נפגעה. •אם לא התגלו תקלות ,ניתן להפיץ את העדכונים לשאר התחנות בארגון בשלבים ,כדלקמן: > > 10%מכלל המשתמשים בלילה הקרוב > > 20%מכלל המשתמשים בלילה שלמחרת > >שאר המשתמשים בלילה השלישי - 16 - המרכז הלאומי להתמודדות עם איומי סייבר עדכון שרתים הקמת קבוצת שרתים לסביבת בדיקה ארגונית .סביבה זו צריכה לכלול ייצוג של מדגם שרתים ,כגון Active Directory, Exchange, Terminal Serversוכדומה. •הפצת העדכונים לחלק נבחר מתוך קבוצה זו ,ובדיקת שפיות במהלך היומיים הבאים •הפצת העדכונים לשאר סביבת הטסט ,ובדיקה נוספת במשך יומיים •מעבר לסביבת הייצור ועדכון מערכות אשר עובדות באשכול ( )Clusterרק לצד אחד של האשכול .ניתן להפיץ עד ל 20%-מכלל שרתי הייצור בהפצה הראשונה. •לאחר יומיים הפצה ל 30%-נוספים •לאחר יומיים נוספים ,לשאר השרתים בארגון ניטור רציף מומלץ לבצע סריקה ולהפיק דוח יומי על מצב עדכוני אבטחת המידע בתחנות הקצה והשרתים .ניתן להפיק דוח זה ממערכת הניהול ,או ממערכות סריקה חיצוניות. מערכות אשר אינן מנוהלות ב Domain-מומלץ לבדוק באמצעות Scriptמרכזי ,לדוגמא WMIלבחינת רמת העדכון בסביבות אלו. מערכות Linux/UNIXיש לבדוק דרך מערכת ההפצה ,או באמצעות הרצת Scriptיומי. מערכות מיוחדות – בדיקה מול היצרן לגבי עדכונים ,והגברת הניטור של מערכות אלה. טיפול בכישלונות התקנה בכל יום יש להפיץ את הדוחות לגורמי ,Help Deskטכנאים או אנשי סיסטם ,ולפתוח קריאה לתיקון הליקויים .יש לעקוב ברמה יומית אחר התיקון והשלמת התהליך. מידע נוסף How To: Implement Patch Management Update Management Process - 17 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס5 . Application Patch Management הגדרה עדכוני אפליקציות עדכון אפליקציות נדרש באופן שוטף (בעת יציאת גרסה חדשה או בעת פרסום עדכון אבטחה) ,להגנה על הארגון. העדכונים כוללים סגירת פרצות והוספת תכונות אבטחת מידע חדשות כדוגמת ,Sandboxingחסימת יכולת להזרקת קוד עוין ליישום ,וכו'. דגש מיוחד לעדכונים עבור האפליקציות: Java, PDF viewer, Flash Player, Microsoft Office, web browsers and web browser plugins including ActiveX בתוכנות רבות עדכוני האבטחה נכללים במסגרת שדרוג גרסה של היישום ,כך שלא מפורסמים להן עדכוני אבטחה ספציפיים .מכאן החשיבות של שדרוג גרסת התוכנה בכלל מחשבי הארגון. הגיון אפליקציות לא מעודכנות בארגון משאירות פתח רחב בפני התוקפים למגוון רב של אפשרויות תקיפה .גם תוכנות מסחריות וגם תוכנות Public Domainחשופות למפגעים אלה .חלק ניכר מתקיפות של ארגונים כיום ממומש באמצעות תוכנות כאלה .עדכון ושדרוג שלהן מצמצים באופן ניכר את יכולת התוקפים לממש את מטרתם. מוצרים וטכנולוגיות תומכות תוכנות הפצה בקוד פתוח ומוצרים מסחריים הטמעה גישות לביצוע עדכוני תוכנה ישנן מספר גישות ליישום עדכוני תוכנה במחשבי המשתמשים בארגונים ,והבחירה בהן תלויה במספר גורמים: •מדד הרגישות לסיכון •מספר מחשבי הקצה •מספר האפליקציות שבשימוש •התלות הארגונית בשימוש בגרסאות מסוימות שאינן נתמכות ,או שפותחו בארגון (לדוגמא ,יכולת שדרוג Active X במערכת שנכתבה בארגון ,ואינה יכולה לתמוך בגרסה חדשה של דפדפן). מומלץ להקים בארגון קבוצת נסיינים (טסט) ,המורכבת ממספר קטן של משתמשים מכלל היחידות הארגוניות וכוללת ייצוג של שימוש בכלל התוכנות הקיימות הארגון (כולל הנהלה ו.)IT-ניתן ליצור קבוצה כזו ב Active Directory-שתשמש כקבוצת בדיקות. - 18 - המרכז הלאומי להתמודדות עם איומי סייבר עדכון בשלבים 1.1אם העדכון הנדרש אינו מופיע באזהרות היצרן כמתחייב לצורך ביצוע מידי ,אזי יש לנקוט בפעולות אלה: >התקנת העדכון\שדרוג במחשבי קבוצת הטסט. > > >בחינה במשך יומיים של השפעות השדרוג על הפעילות השוטפת. > >לאחר יומיים ניתן להפיץ ל 20%-ממחשבי המשתמשים בארגון. > >לאחר תום 48השעות הנוספות ,ובהנחה שהשדרוג לא פגע בתפקוד המשתמשים ,ניתן להפיץ לכלל המשתמשים. אם נדרש לאחר העדכון\שדרוג אתחול של מחשבי המשתמשים ,ניתן לתזמן אותו למועד סיום יום העבודה בארגון ,במטרה לצמצם את הפגיעה בעבודה השוטפת (רצוי לא לבצע אתחולים בסוף השבוע ,על מנת למנוע מצב השבתה אפשרי בעת החזרה לעבודה בתחילת השבוע). 2.2עדכון שהוכרז כקריטי ומיידי על ידי היצרן יש לבצע עם פרסומו ,תוך כדי ניהול הסיכון לפגיעה מסוימת בתפקוד הארגוני (חשוב מאוד לציין ,שהסיכון בהשבתה עקב עדכון אבטחה נמוך יותר מאשר פגיעה בארגון באמצעות ניצול החולשה). אופן ביצוע העדכונים •ניהול מצאי התוכנות שבשימוש המחשבים והשרתים. •שימוש בכלי הפצה מרכזי עבור כלל התוכנות .לכלים אלה יש יכולת לתזמן את ביצוע השדרוג ולעקוב אחריו ,ואף לאכוף אותו ולהפיק דוחות אודות ביצועו. שימוש בגרסאות אחרונות מומלץ להימנע משימוש בגרסאות תוכנה אשר אינן נתמכות על ידי היצרן .במיוחד נוגע הדבר לשימוש בתוכנות Adobe Acrobat Readerשקודמות לגרסה ,Xולאינטרנט אקספלורר בגרסאות הקודמות ל( 8-נכון לעת כתיבת מסמך זה). מידע נוסף ASD - Top 4 Strategies to Mitigate Targeted Cyber Intrusions: Mandatory Requirement Explained - 19 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס6 . Disable Local Admin Accounts הגדרה הטמעה הרשאות המשתמש המקומי ו Local Admin-משמשות רק במחשבים שאינם בסביבת דומיין .לאחר חיבור המחשב לדומיין הארגוני ,אין לרוב צורך בשימוש בהרשאות אלה. משתמשים בעלי הרשאת Local Adminמנוהלים בActive- directoryכקבוצה .יש לוודא שיש מינימום אפשרי של מחשבים שבהם מותרת פעילות ( Local Adminההרשאה הסרת הרשאת Local Adminממחשבי המשתמשים נועדה למנוע יכולת התקנה לא מורשית והתפשטות נוזקה ברשת תוך כדי ניצול הרשאות שלרוב משותפות לכלל מחשבי הארגון (כאשר המחשבים מותקנים מIMAGE- משותף ,הם כוללים אותו שם משתמש וסיסמה) .באמצעות ניצול הרשאות אלה יכול התוקף גם להסיר את אמצעי האבטחה הקיימים במערכת ההפעלה ,לעשות ככל העולה על רוחו ואף להסתיר את עקבותיו באמצעות מחיקת הלוגים. הגיון הסרת הרשאות Local Adminתורמת למזעור יכולות התוקף במקרה שכבר הצליח לחדור למחשב. היא למחשב ולא למשתמש). יש לשנות את סיסמת ,Local Adminולהגדיר לכל מחשב סיסמה אחרת .הסיסמאות צריכות להיות באורך של 20 תווים לפחות ,ולכלול אותיות קטנות ,גדולות ,סימנים וספרות. הסיסמאות הללו צריכות להיות מתועדות ונגישות רק למנהל הרשת הארגוני ולטכנאי ה.Help-desk- יש לבטל הרשאות network & remote interactive logon ל local users-ב Active-directory-דרך מנגנון ה.group policy- למי שחבר בקבוצה יש להוסיף את ההרשאות הבאות: •Deny access to this computer from the network •Deny log on through remote desktop service מוצרים וטכנולוגיות תומכות Microsoft Active Directory GPO (Global Policy )Object מידע נוסף Control Administrative Privileges Mitigating the use of Local Admin Why You Should Disable the Administrator Account Securing Built-In Administrator Accounts in Active Directory Blocking Remote Use of Local Accounts - 20 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס7 . Secure configuration/Hardening הגדרה הקשחה הינה תהליך של אבטחת מערכות הפעלה ,אפליקציות ,בסיסי נתונים ,ציוד תקשורת ומשתמשים על ידי הפחתת משטח התקיפה האפשרי .התהליך מתבצע על ידי הסרת רכיבים המותקנים כברירת מחדל ואינם נחוצים לפעילות המערכת,לרבות הסרת חשבונות ,שירותים ותהליכים שאינם נחוצים. הגיון התקנות בתצורת ברירת מחדל ,הרשאות מיותרות ,רכיבים ושירותים לא נחוצים מאפשרים ניצולם על ידי תוקפים וחושפים את הארגון לפגיעה .לדוגמא ,שרת Windows 2012 R2המשמש כשרת הדפסות ,אינו צריך לכלול רכיב IIS ולהאזין ולקבל פניות בפורט .80ברחבי הרשת קיים מגוון רב של כלים המאפשרים ביצוע סריקה לאיתור חולשות ואף לנצלן לתקיפה .תהליך ההקשחה משמש מעגל הגנה חשוב נוסף במכלול האמצעים למזעור הפגיעה והגנת הארגון מפני תוקפים. מוצרים וטכנולוגיות תומכות Microsoft GPO, Microsoft TechNet, NIST, NSA הטמעה יש לבצע תהליך עדכון רציף של עדכוני האבטחה למערכות הפעלה ואפליקציות כפי שמתואר בבקרות 4ו ,5-ובנוסף: הקשחת מערכת ההפעלה •אפיון מטרת השרת\התחנה והשירותים הניתנים (לדוגמה ,שרת קבצים אינו צריך להכיל תוכנה לניהול .)DNS •הסרת תוכנות ותהליכים אשר מותקנים כברירת מחדל בתהליך ההתקנה ()Packages, services, processes, etc •הסרת משתמשים המוגדרים בברירת מחדל ואינם דרושים לפעילות המערכת כגון Guest, testוכדומה. •החלפת סיסמאות יצרן (במיוחד סיסמה מקומית) בסיסמאות מורכבות וארוכות. •ביצוע הקשחה לפי הוראת יצרן (ישנם כלים אוטומטיים של חברת מיקרוסופט) ,או של SANS ,NSA ,NISTוכדומה. • לדוגמא הקשחה של מיקרוסופטMicrosoft Security Compliance Manager : - 21 - המרכז הלאומי להתמודדות עם איומי סייבר הקשחת אפליקציות תשתית •רצוי להקשיח דפדפנים ולחסום אפשרות הרצת Direct X, Java, flashלמעט Whitelistהמכילה אתרים מאושרים, הדורשים שימוש ברכיבים אלה למטרות עסקיות. •רצוי לבטל אפשרות שימוש ב ,HTML inline frames and java scripts-למעט רשימה של אתרים מאושרים (בעיה ניהולית ,כיוון שישנם אתרים רבים הדורשים פתיחת יכולת זו עבור השימוש באתר). •ישנן מספר אפשרויות להפחית את השימוש ב Java-בדפדפנים: >הסרת רכיב ה Java-אם אין שימוש בו > > >הגדרת חסימת שימוש ב ."Java content in the browser"-ראה: ?How do I disable Java in my web browser > >הגדרות ספציפיות למניעת הפעלת JAVAבדפדפן: > >שימוש בסט חוקים המאפשרים רשימה מאושרת של JAVA Applets and JAVA Web Start .applicationsראה: > > שימוש במערכת URL & Content filteringהמסוגלת לבדוק את התוכן של Java scripts & Applets Java: A Fix it for when you cannot let go Introducing Deployment Rule Sets מידע נוסף NIST-Guide to General Server Security NIST-NVD National Checklist Program Repository - 22 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס8 . Limit computer to computer communication הגדרה הנחה רווחת היא כי אין מערכת מחשוב המוגנת לחלוטין .תוקף מתוחכם ונחוש אשר שם לו למטרה לחדור לארגון כלשהו, יצליח בסופו של דבר .מספיקה הצלחה אחת בלבד על מנת שהתוקף ישיג שליטה בכלל הרשת הארגונית ,והודות לכך יוכל להוציא מידע מסווג ,ואף להשבית את הרשת כולה .במקרים רבים די בלחיצה על קישור נגוע בדוא"ל ,או בביקור באתר נגוע ,והתוקף בתוך הרשת. חדירה לעמדת קצה של המשתמש יוצרת ראש גשר ופותחת דלת אחורית עבור התוקף ,ומאפשרת לו להתפשט ולעבור מתחנה לתחנה ( )Leapfroggingברחבי הרשת בארגון. המעבר מתאפשר דרך פורטים פתוחים ,מחשבים שאינם מעודכנים ,באמצעות ספריות שיתוף ,וברשתות מיקרוסופט דרך מנגנון .Pass the hash מנגנון זה מאפשר שימוש בהרשאות שכבר ניתנו למשתמש עבור שירותים קודמים ,כמו Loginלרשת ,לצורך התחברות ללא זיהוי ואימות נוסף לשירות חדש (כגון פתיחת .)Outlook כשתוקף השתלט על אחת התחנות ,הוא יוכל לעבור באמצעות מנגנון זה בין התחנות ולהשיג לעצמו ,בסופו של דבר, הרשאות Domain Admin,שלמעשה מעניקות לו שליטה מלאה ברשת. הגיון מניעת יכולת התפשטות בתוך הרשת הינה מרכיב קריטי באסטרטגיית ההגנה הארגונית. מוצרים וטכנולוגיות תומכות )Anti-Virus suites, Layer 2 switches (using private VLANs הטמעה ניתן להטמיע את הפתרון באמצעות הדרכים הבאות (מומלץ מאוד להטמיע את כלל הפתרונות יחדיו ,ליצירת שכבת ההגנה האפקטיבית ביותר): 1.1שימוש ב FW-הפנימי של תחנת העבודה בכל מערכת הפעלה של windowsקיים רכיב FWפנימי ,כך גם בחלק ממנועי האנטי-וירוס השונים .רכיב ה FW-של מערכת ההפעלה כולל ניהול מרכזי דרך מנגנון ה Group Policy-ב ,Active directory-המפשט את ניהולו. יש לבצע חסימת גישה לכלל הסגמנט שבו יושבים המשתמשים (לדוגמה ,אם כתובת ה IP-של העמדה היא ,10.10.5.32 אזי יש להגדיר חוק ,Deny any 10.10.5.0 :כלומר חסימת תקשורת לכלל הסגמנט של המשתמשים). 2.2הגבלת גישה ברמת Logon באמצעות הסרת הרשאות גישה לביצוע loginמהרשת ,ניתן להפחית משמעותית את יכולת ההתפשטות ברשת .בעזרת ,Global policyיכול מנהל מערכת בסביבת windowsלהגביל גישה וכניסה למחשבים באמצעות יישום ההרשאות: - 23 - המרכז הלאומי להתמודדות עם איומי סייבר •Deny access to computer from the network • •) Deny logon through remote desktop service (windows 2008 R2החל מגרסת 3.3סגמנטציה רשתית ושימוש ב( Network FW-ראה בנוסף בקרה מס)10 . חלוקת הרשת לאזורים לוגיים ,לדוגמא ,סגמנטי משתמשים ,סגמנטי שרתי בדיקה ,סגמנט שרתי ייצור, רשת DMZ,וכדומה. ה FW-הרשתי צריך לשמש כנתב המרכזי ברשת ( ,)L/3 Routingכלומר כל מעבר בין סגמנט לסגמנט חייב במעבר ובדיקה ב ,FW-ויש להגדירו בתחנות העבודה כ. Default Gateway- החוק האחרון ב FW-הוא ,Deny anyכך שמלבד התעבורה המאופשרת בחוקים הספציפיים ,כל השאר ייחסם (חשוב לוודא שאין חוקים פתוחים בין סגמנטי המשתמשים). 4.4פיקוח על Administrative Accountsוניטור שלהם ככלל כדאי ליישם מודל של ,Least privileged accountsאשר מצמצם את מספרם של כלל המשתמשים בעלי ההרשאות הגבוהות ,ומגביל את הפעילות ברשת. מידע נוסף NSA-Limiting Workstation-to-Workstation Communication - 24 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס9 . HIPS - Host Intrusion Prevention הגדרה בסביבת הסייבר המשתנה ללא הרף קיים הכרח בשימוש באמצעי אבטחה פרואקטיביים (דהיינו ,כאלה שמופעלים ביוזמת הארגון ,ולא בתגובה לאירוע). מערך ה HIPS-נועד לזהות ולחסום פעילות שאינה מקובלת בעת הרצת תוכנות ,כמו ניסיון להזרקת קוד ,טעינת דרייברים, שינוי ערכים ברג'יסטרי ( ,)Registryהרצת קבצים ותהליכים ( )Servicesבעת תהליך האתחול ,ועוד. מערכת ה HIPS-בדרך כלל כוללת 4רכיבים: Host Firewall1.1 שימוש ב FW-פנימי המגן על המחשב בפני התקפות חיצוניות .ה FW-עובד בתצורת ( Stateful Inspectionמעקב בתוך ה ,)session-חוסם פורטים ומנהל את המידע מאפליקציות. Registry Monitoring2.2 רוב המידע של מערכת ההפעלה windowsנמצא ב .Registry-המידע כולל אילו אפליקציות מותקנות ,הגדרות של מערכת ההפעלה ,וכדומה .מטרת מנגנון זה היא לשמור על ה Registry-מפני שינויים לא מורשים. File Integrity Monitor3.3 מנגנון זה מדווח על שינויים בקבצים קריטיים של מערכת הפעלה ואפליקציות .ישנן מערכות המאפשרות חסימה אינטראקטיבית של השינויים הללו. Process/application Behavior Monitor4.4 מנגנון זה לומד את דרך פעילותם והתנהגותם של תהליכים במחשב ( ,)processesומתריע על חריגה מהתנהגות זו .ניתן להגדיר ולחסום פעילויות חשודות ,כמו גישות לרשת ,כתיבה לג'יסטרי ,גישה לא מורשית בזיכרון ,וכדומה. הגיון שימוש ב HIPS-המבוסס על יכולות זיהוי וחסימה על סמך התנהגות (ולא על סמך חתימות) ,מאפשר לארגונים לזהות תוכנות זדוניות שעדיין לא זוהו על ידי ספקי האנטי-וירוס. מוצרים וטכנולוגיות תומכות Anti-Virus suites - 25 - המרכז הלאומי להתמודדות עם איומי סייבר הטמעה הטמעת ה HIPS-צריכה להיות ארגונית מרכזית ,כשסט החוקים מנוהל על ידי אנשי אבטחת המידע ומופץ בצורה מרכזית לכלל התחנות והשרתים בארגון .כל פעילות חשודה שזוהתה\נחסמה צריכה להישלח למרכז הניטור להמשך חקירה וביצוע פעולות נוספות. ה HIPS-יכול לעבוד בתצורת ,Monitoring Onlyאו בצורת .Monitoring and prevention לתוכנות ה HIPS-ישנו מנגנון הלומד את הפעילות בתחנה וברשת .מנגנון זה עוזר לטייב את החוקים. בשלב ראשון בתהליך ההטמעה ,חשוב שהמוצר יפעל בתצורת Monitoringעד לטיוב החוקים ,על מנת למנוע השבתות הנובעות מ .false positives-עניין נוסף הוא סכנה אפשרית הקיימת בזמן הטמעת המוצר :אם הארגון או התחנה נמצאים תחת מתקפה ,אזי ה HIPS-ילמד את ההתנהגות האנומלית כנורמלית המוצרים כיום מגיעים עם סט חוקים מוכן מראש ,אולם על כל חוק להיבדק ולהיות מטוייב לפני הכנסתו למצב חסימה. ישנה גם אפשרות להוסיף חוקים וחתימות על ידי הארגון עצמו .מהלך זה חייב להתבצע בזהירות לפני הכנסה למצב חסימה .כמו כן ,ישנה אפשרות להפעיל חוקים מסוימים בתצורת חסימה ,וחוקים אחרים כ ,monitor only-על מנת למנוע השבתות מיותרות. יש לבדוק את הלוגים המרוכזים במערכת הניהול ,ואם קיים SIEMבארגון ,מומלץ להגדיר מערכת חוקים להתראה המבוססת על .Aggregation & Correlation מידע נוסף McAfee Host Intrusion Prevention for Desktop Symantec: Server, Monitoring Edition, & Server Advanced NSA - Host Intrusion Prevention Systems - 26 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס10 . Users Training & Awareness הטמעה הגדרות אימון/הכשרה – הקניית מיומנויות בתחום אבטחת המידע ומיומנויות הרלוונטיות לביצוע תפקיד ספציפי. •ביצוע סקר מיפוי וניתוח פערי התנהגויות רצויות והתנהגויות שאינן נכונות מודעות לאבטחת מידע – מיקוד תשומת הלב לסיכונים פוטנציאליים ושינוי התנהגות מול האיומים המשתנים חדשות לבקרים. •בניית מפת דרכים להשלמת פערי האימון והמודעות הנדרשים לכלל העובדים •הכנת הדרכה ייעודית מותאמת לאופי העיסוק של הארגון ,או רכישת הדרכה מגורמים מקצועיים בשוק. ניתן גם להכין לומדה/ות על נושאים ספציפיים לשימוש הגיון אבטחת מידע אינה רק עניין טכנולוגי .התנהגות העובדים ופעילויותיהם אף הן קריטיות .אנשים ממלאים תפקיד חשוב בכל תהליכי המחשוב ,החל מעיצוב ,פיתוח ,הטמעה, וכלה בתפעול ושימוש במערכות והאפליקציות. התוקף לוקח בחשבון בזמן בניית ההתקפה את חוסר הידע והמודעות הקיימים אצל העובדים .כך ,למשל ,הוא יכין הודעת דיוג ( )Phishing Mailבאותו פורמט שהעובד מורגל בו על מנת לפתות אותו ללחוץ על הקישור המופיע בו. On-line •ביצוע הדרכות פרונטאליות וOnline- •ביצוע סקרים בקרב העובדים לאחר פעילות הדרכה, הכוללים ,בין השאר: אימון עובדים להגברת המודעות עשוי להקטין משמעותית את סיכוני אבטחת המידע בארגון. מוצרים וטכנולוגיות תומכות •הכנת לומדה ייעודית •ביצוע תרגילי הנדסה חברתית •שכירת חברות הדרכה •ביצוע קמפיין מודעות ארגוני הכולל מצגות ,עלונים, שלטים וכדומה •הכנת מצגות > >משלוח דוא"ל חיצוני לכלל הארגון מגורם פנימי בכיר בחברה (על ידי זיוף כתובת הדוא"ל) ,הכולל בקשה לשנות את סיסמתו על ידי לחיצה על קישור (כתובת פנימית שלא קיימת) ,ובדיקה מי לחץ על הקישור > >שיחות טלפון מדגמיות בהתחזות לגורמי הנהלה/ טכנאים ,במטרה לקבל את סיסמת המשתמש •בכל פרויקט חיוני\רגיש ארגונית ,יש לשלב את נושא המודעות בכל השלבים ,ולערב בעניין את כלל משתמשי הקצה מידע נוסף https://cert.gov.il/Resources/best_practices/Pages/Recommendations-for-Information-Security.aspx https://www.sans.org/critical-security-controls/control/9 - 27 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס11 . Network Segmentation & Segregation הגדרה רשתות מורכבות ממגוון רחב של מערכות בעלות רמות שונות של פונקציונליות ורגישות שונות .רגישות רשת פיתוח נחותה מזו של רשת ייצור; הרגישות של Active Directoryגדולה מזו של שרת הדפסות .חלוקה והפרדה של רשתות באה להגן על מידע רגיש ושירותים עסקיים קריטיים מכוונות זדון. הפרדה וחלוקה של הרשת למקטעים פונקציונליים לפי רמות רגישות ,יכולה לעזור לארגון בזמן חדירה של תוקף ,בכך שתמנע ממנו יכולת תנועה חופשית ברשת ,הודות לצמצום מרחב התקיפה שלו. הפרדה וחלוקה של הרשת מתבצעות על ידי חלוקת הרשת הארגונית לרשתות מנוהלות קטנות יותר ,כאשר המעברים בין הרשתות כפופים לניהול ואכיפה על פי סט חוקים שהוכן ונבדק מראש. באמצעות הפרדה וחלוקה של הרשת ניתן לממש מנגנוני .Identity & Access management ההפרדה יכולה להתבצע על ידי Firewallsומתגים (חלוקה לרשתות משנה .)VLAN's ה Default Gateway-הארגוני צריך להיות ה ,FW-שבנוסף לבדיקת התעבורה ,יבצע ניתוב בין הרשתות. מומלץ ,שחלוקה מינימלית של הרשת תכלול את האזורים הבאים: •רשת משתמשים – הרשת שבה מותקנים מחשבי המשתמשים .גם את הרשת הזו רצוי לחלק לרשתות משנה ,לצורך מידור הרשאות גישה לפי תפקידים .לדוגמה ,סגמנט עובדי מחלקת הכספים יבודד מסגמנט מחלקת הפיתוח ,ושני אלה יהיו מבודדים מסגמנט מחלקת התפעול. •רשת שרתי ייצור – השרתים העיקריים של הארגון המיועדים לפעילות העסקית והמנהלית של הארגון .ניתן לבצע תת חלוקה גם ברשת זו ,לפי סוגי הרגישויות העסקיות והתפעוליות .לדוגמא ,נכסי המחשוב המרכזיים של הארגון מהבחינה העסקית ( )Crown Jewelsיהיו מופרדים מכאלה שעדיפותם פחותה. •רשת – DMZזוהי הרשת החיצונית ,הפתוחה לגישה לאינטרנט ,ובה נמצאים שרתי ה .WEB-גם ברשת זו רצוי לבצע חלוקה לרשתות משניות ,שבהן יאוחסנו הנתונים הרגישים שלא מומלץ שיאוחסנו בשרתי ה WEB-החיצוניים (כגון פרטים אישיים ונתוני כרטיסי אשראי) .דרך רשת זו ניתן לאפשר גישת עובדים מהבית ,באמצעות מערכת מוצפנת והזדהות כפולה (.)Two factor authentication •רשת ניהול – לניהול כלל הרשתות והמערכות בארגון (גישת סיסטם ,מערכות שליטה ובקרה ,מערכות אבטחת מידע, וכדומה) •רשת בדיקה ופיתוח – רשת נפרדת ,שבה יפותחו האפליקציות וייבדקו טרם מעבר לייצור .אחת המטרות הנוספות מעבר לאבטחת מידע היא מתן אפשרות לפיקוח על מעבר מרכזי של אפליקציות לייצור ,לאחר בדיקה ומערכת אישורים (כגון ,נוהל )Software Development Lifecycle - SDLC - 28 - המרכז הלאומי להתמודדות עם איומי סייבר הגיון הפרדה וחלוקה של רשתות עשויה למנוע מתוקף מעבר בין מחשבים ומערכות ,כמו גם כריית מידע והוצאתו אל מחוץ לארגון .נוסף על כך ,החלוקה עוזרת לארגון במניעת טעויות תפעוליות והעברת נתונים ללק בקרה מסביבות הבדיקה והפיתוח לסביבת הייצור ,עקב טעויות אנוש. מוצרים וטכנולוגיות תומכות Network FW & Switchesשל מרבית החברות המובילות בשוק הטמעה חלוקת הרשת צריכה להיות מבוססת על הקישוריות הנדרשת (מי מדבר עם מי ובאיזה פרוטוקול) ,מיקום המערכות הרגישות ,מיקום המידע הרגיש ,ומי צריך להגיע (הרשאות של בעלי תפקידים) . יש לבצע מיפוי של מערכות ,פרוטוקולי תקשורת ,משתמשים ,תפקידים ומידת ההרשאה הנדרשת. אפשרויות הפרדה: הפרדה פיסית :אם התקציב מתיר זאת ,רצוי שההפרדה בין הרשתות תבוצע באמצעות FWנפרד לרשת החיצונית ו FW-נפרד לכל אחת מהרשתות הרגישות. אם התקציב אינו מאפשר ,ניתן למקם על FWפיסי אחד מספר כרטיסי תקשורת ,כשכל אחד מהם יגן על רשת נפרדת. בחלק מה FW-הקיימים ישנה אפשרות של חלוקת FWוירטואלית (מספר FWעל אותו התקן פיסי דבר המכונה VDOM .Virtual domainהפרדה לוגית :בכל רשת צריך לבצע חלוקה לוגית של רשתות משנה ,שגם המעבר ביניהן יותנה באישור ה .FW-הדבר ניתן לביצוע באמצעות יצירת VLANsבמתגים. במקומות חשובים ,שבהם רוצים לבצע הפרדה נוספת ,כך שלמחשבים ברשת משנית תחסם הגישה לשרת ספציפי שלא דרך ה ,FW-ניתן ליישם מנגנון Private VLANבמתג הכולל .Port restriction מומלץ לבצע מהלך זה בשרתים המחזיקים בסוד מסחרי ,שרתי משאבי אנוש ,שכר וכדומה. :User Identity & Application awarenessכיום למרבית החברות המובילות קיים next generation FW המאופיין ביתרונות הבאים: ניהול גישה לפי שם משתמש ללא שיוך לכתובת – IPהדבר חיוני לנושא הרשאות גישה מבוססות תפקיד (RBAC – Role )based access control ניהול הרשאת גישה באמצעות אפליקציה מורשית בלבד .לדוגמה ,ניתן לאכוף שהגישה לשרת הפורטל הארגוני תתבצע אך ורק באמצעות הדפדפן .Internet Explorer לניהול החוקים וההרשאות ב FW-רצוי להתבסס על מערכות workflowהמאפשרות פיקוח ובקרה החל משלב הבקשה לפתיחת חוק ,ועד למימושה בפועל. מידע נוסף Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details Segregating Networks and Functions - 29 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס12 . Logging audit & real time monitor הגדרה איסוף ,ניהול וניתוח לוגים של אירועים היכולים לסייע באיתור והבנה של מתקפה ,ובהתאוששות ממנה. פתרונות כמו )Security Information Event Management( SIEMמספקים תהליכים אוטומטיים לניהול האירועים לרבות איסוף ,ניתוח ,מתן התראות ותצוגה של נתונים. כלים אלה מועילים לזיהוי התקפות מתוחכמות על ידי ניתוח מקבילי של מספר מקורות מידע .עם זאת ,הם אינם בגדר פתרון קסם ,ונדרשת מעורבות אנושית להבנה וסיכול של ההתקפות. הגיון ניהול לוגים מסודר וניתוחם מאפשר לארגון לאתר הן תוקפים המסתירים את עקבותיהם ואת פעילותם ,והן מידע שיצא מהארגון. מוצרים וטכנולוגיות תומכות Syslog, KIWI Syslog (up to 5 devices), commercials companies Opensiem, free PRTG הטמעה שלבים בהטמעה •לוודא שכל התקן חומרה ,מערכת הפעלה ,אפליקציה ,בסיס נתונים ,וציוד תקשורת מוגדרים לאסוף לוגים ולשלוח אותם למקום מרכזי .על הלוגים להכיל תאריך ,חותמת זמן ,כתובת מקור ,כתובת יעד ופרטים של האירוע. •רוב המערכות משתמשות בפרוטוקול סטנדרטי בשם .SYSLOGבמערכות Windowsהלוגים נשמרים ב.Event-Viewer- •על כלל מקורות המידע להיות מסונכרנים עם שעון מרכזי (רצוי משני מקורות מידע עבור גיבוי) ,לצורך קבלת זמן אירוע מסונכרן באמצעות פרוטוקול ,)Network Time Protocol( NTPהמוגדר ( UTCתיאום זמן אוניברסלי). •יש לוודא שלכל המערכות יש נפח דיסק מספיק לרישום הלוגים .יש לשמור את הלוגים ולארכב אותם עבור ניתוח בדיעבד וכעדות (מערכות האיסוף וה SIEM-יודעות לבצע ארכוב). •יש לקבוע מדיניות באשר למשך הזמן שבו ישמרו הלוגים לצורכי חקירה. •יש לבצע בדיקה יומית שכל התקן מערכת שולח לוגים כסדרם .רצוי על ידי הוצאת דוח יומי אוטומטי. •יש צורך לטייב את החוקים המוגדרים במערכת על מנת למנוע .False Positivesשלב זה דורש תכנון מעמיק, המתבסס גם על אופי הפעילות העסקית של הארגון. •יש להתאים את נפח מערכות איסוף הלוגים ועיבודם במערכת ה SIEM-לכמות האירועים שמצופה ממנה לעבד. - 30 - המרכז הלאומי להתמודדות עם איומי סייבר ריכוז הפעילויות הנדרשות ממערכת הSIEM- • – Data Aggregationמערכת ניהול הלוגים צריכה לאסוף לוגים מכלל המקורות ,ולבצע קונסולידציה של המידע (אירוע המתרחש 10פעמים בדקה יועבר ל SIEM-פעם אחת עם ציון מספר האירועים) • – Correlationבדיקת מאפיינים של אירועים ממקורות שונים ,ובחינת הקשר ביניהם (החלק החשוב ביותר במערכת, שלמעשה קובע האם תהיה התראה ,ומה יהיה המשך הטיפול באירוע) • – Alertingאם נמצאה קורלציה בין אירועים והוגדרה כמחייבת טיפול ,על המערכת להפיק התראה לגורמים המטפלים .ההתראות יכולות להישלח למסך ,על ידי MAILו\או .SMS • – Dashboardsתצוגה של מצב אבטחת המידע ברגע נתון ,ריכוז ההתראות והצגת מגמות לאורך זמן. • – Complianceהפקת דוחות פעילות עבור תקנים ורגולציות. • – Forensic Analysisהיכולת לחפש בכלל מקורות המידע שנשמרו בלוגים בזמנים שונים ,לפי מאפיינים מוגדרים. מידע נוסף Maintenance, Monitoring, and Analysis of Audit Logs Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations https://www.paessler.com/free_syslog_server https://www.alienvault.com/open-threat-exchange/projects - 31 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס13 . Security Web Gateway and browsers הגדרה •סינון ובדיקת אנטי-וירוס לכל תוכן שמורד. •העברת קבצים שהורדו למערכת Sandbox SWGמשמש לסינון ,URLsולהגנה על משתמשים מפני איומים מתקדמים ,תוכנות זדוניות ואיומים שמקורם באינטרנט. (אם קיימת כזו בארגון). בנוסף ,הוא מסייע לארגונים לאכוף מדיניות גלישה על המשתמשים (חסימת רשתות חברתיות, אתרי הימורים ,ועוד). בנוסף למערכת גלישה מרכזית תומכים הדפדפנים המובילים כיום באפשרות ביצוע בדיקת Reputation לאתרים הנצפים ,ובהצגת התראה למשתמשים ומנהלי המערכת בעת חשד לאתר נגוע. •בדיקה וסינון של תעבורת SSLלצורך איתור של תוכן זדוני והימנעות ממנו ,במיוחד בתקשורת SSL לאתרים לא מוכרים. הגדרת הדפדפנים לבדיקת Browser Options Reputation בדפדפנים המובילים כיום מוטמעת אפשרות של בדיקת reputationו Phishing filter-בדפדפן עצמו, או ב Add-ons-קיימים .לדוגמא: הגיון שימוש ב SWG-מפחית את יכולת ההידבקות של המשתמש בעת גלישה באינטרנט .בנוסף ה SWG-מקשה על התוקפים לתקשר עם הנוזקות שכבר הותקנו ()C&C - Command and Control ®Phishing Filter in Internet Explorer - Internet explorer ”Block reported attack sites“ - Firefox and “Block reported web forgeries” options install the WebFilter Pro add-on - Chrome מוצרים וטכנולוגיות תומכות Squid Proxy, Cacheguard , commercial companies מידע נוסף הטמעה Websense Web Security Gateway •הגדרת גישה ל WEB-רק באמצעות ה( SWG-חסימת הגלישה בפורטים 80ו 443-שלא דרך הSWG- באמצעות חוקים במערכת ה FW-החיצוני) •חסימת גישה לאתרים המזוהים כמזיקים (ספאם, פישינג malwares, ,וכו') ,ולאתרים המנוגדים למדיניות הארגונית (רשתות חברתיות ,web mail ,אתרי הימורים ,סקס ועוד) •חסימת אפשרות הרצת Flash, java scripts, ,active Xלמעט אתרים מורשים (.)Whitelisting Checkpoint Next Generation Secure Web Gateway McAfee Web Gateway Web Domain Name System Reputation - 32 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס14 . Malicious Email Mitigation הגדרה אחת מהדרכים הנפוצות ביותר כיום להדבקת מחשבים וארגונים היא באמצעות הדואר האלקטרוני .הדיוור מכיל לעיתים קרובות ספאם וניסיונות דיוג ( )Phishingבאמצעות הנדסה חברתית ,כזו המפתה את מקבל הדיוור להקליק על קישור המפנה לאתר נגוע ,או לפתוח צרופה ( )Attachmentזדונית. כיום ,פרוטוקול ה )SMTP( EMAIL-ניתן לזיוף ,ובקלות ניתן לשנות את מקור השולח להטעיית הנמען. הגיון צמצום יכולת הדבקת מחשבים בארגון כתוצאה משימוש בדואר אלקטרוני מוצרים וטכנולוגיות תומכות Mail-Relay: PostfixS, open mail relay , Sendmail, E-mailrelay , commercials companies Spoofing Checking: SPF, Microsoft, SIDF, commercials companies הטמעה הרשאות •איסור שימוש בדוא"ל לבעלי חשבונות אדמיניסטרטיביים ימנע מהתוקף להשיג הרשאות גבוהות ,שיאפשרו לו גישה למקורות מסווגים ומעבר לחשבונות משתמשים אחרים. אפשרויות טיפול בצרופות ()Attachments •בחינת כל צרופה במנגנון אנטי-וירוס – בדיקה באמצעות מנגנון חתימות וreputations- •בחינת כל צרופה באמצעות מערך – Sandboxהפניית כל קובץ שנכנס על ידי ה Mail-relay-לבחינה על ידי מערכת ,Sandboxשרק לאחריה ניתן יהיה להעבירו לנמען. •המרת פורמטים – לדוגמה ,המרת קבצי OFFICEלקבצי ( PDFיש לשמור בצד את העותק המקורי ,כי יתכן שיבוש בתצוגה (במיוחד במצגות מתוחכמות) כתוצאה מההמרה. •אישור כניסת צרופות על בסיס סוג הקובץ ( ,)Whitelistingכדוגמת ,Office, pdf, jpg ,לאחר בדיקה שאכן תוכן הקובץ מתאים לסיומת שלו. •חסימת צרופות מוצפנות או מוגנות בסיסמה ,מאחר ואינן ניתנות לבדיקה על ידי מערכות הסינון והבדיקה. •אם על הארגון לתקשר באופן מאובטח ומוצפן ,מומלץ כי משלוח הדואר האלקטרוני והצרופות יעשה באמצעות הצפנה כגון ( PGP, S/MIMEזיהוי ואימות בין השולח והמקבל). •קבצי צרופה מכווצים – יש לוודא שמערכות הסינון יודעות לטפל בצרופות כדוגמת RAR, ,ZIPולסרוק את תוכנן. - 33 - המרכז הלאומי להתמודדות עם איומי סייבר MAIL- אפשרויות בדיקות בגוף ה : – גישה מעמיקה של בדיקה וסינון למניעת הסכנות הבאותmail-•בדיקת גוף ה במאגריURL- ושהקישור מפנה לכתובת הרצויה (בדיקת ה, כדי לוודא שאינם משמשים לדיוג,URL Links >בדיקת .)אתרים חשודים > מסנן התוכן צריך לבדוק את התוכן. לשלילת האפשרות שמושתלות בו פקודותmail->פענוח תוכן מקודד בגוף ה MIME Content-Transfer-Encoding header הפנימי באמצעות > (הסכנהMail- מתוך גוף הVBScript & Java Script >הסרת תוכן דינמי – סינון וחסימה של האפשרות להרצת .) שיודעים להריץ תוכן דינמיEmail clients בשל מיעוט,יחסית נמוכה > Domain Authentication אפשרויות בדיקת – בדיקה שאכן הדוא"ל הגיע מהדומיין שרשוםSenderID/SPF 'hard/soft fail' •חסימת – מנגנון המוודא כי החתימה שסופקה על ידי הדומייןDomainkey Identified Mail - DKIM fail •חסימה באמצעות .השולח אכן נכונה Sender Policy Framework DomainKeys Identified Mail (DKIM) Mail Client ריכוז המלצות עבור אבטחת Send Plain Text Email1.1 Disable Executable Scripting Languages2.2 Turn off Remote Imaging3.3 Read HTML as Plain Text4.4 Block Dangerous Attachment Types5.5 Use S/Mime or PGP to send email6.6 Update and patch mail & system software7.7 Use spyware & virus scanners8.8 Run Outlook & Outlook Express in the restricted zone9.9 Access mail servers securely using Secure IMAP1010 מידע נוסף Malicious Email Mitigation Strategies Guide Trend Micro Scanmail Suite for Microsoft Exchange Defense against Malicious E-mail Attachments https://www.ciphermail.com/gateway.html /http://www.techrepublic.com/blog/five-apps/five-free-apps-for-encrypting-email - 34 - המרכז הלאומי להתמודדות עם איומי סייבר בקרה מס15 . Recovery הגדרה כאשר תוקף חודר למחשב הוא מבצע שינויים בהגדרות ובתוכנות .התוקף עשוי אף להשבית את פעולת המחשב המותקף (למשל באמצעות תוכנת כופר או למחוק את המידע השמור בו) .לאחר גילוייה של החדירה ,יש לפעול בהקדם לשחזור המערכת או המידע ,במטרה להשיב את הארגון לפעילות תקינה. הגיון גיבוי ושחזור הינן פעולות חיוניות לשרידותו של המידע בארגון .חשיבותם של גיבוי המידע בארגון ותקינותו צפה בעת שעולה הצורך לשחזר מידע שנמחק או שונה בשוגג ,או בעקבות תקיפה הגורמת לפגיעה במידע. מוצרים וטכנולוגיות תומכות http://en.wikipedia.org/wiki/List_of_backup_software הטמעה •יש לוודא שכל מערכת (מידע ,הגדרות) מגובה כל יום בצורה אוטומטית (גיבוי יומי ,שבועי וחודשי). •יש לוודא כי הגיבויים אכן מכילים את התוכן הנדרש .לפחות פעם ברבעון יש לבצע בדיקת שחזור מתוך המידע המגובה בסביבת הבדיקות. •על הגיבויים להיות מאוחסנים במקום מאובטח ,רצוי בכספת. •רצוי שעותקים של הגיבוי החודשי\שבועי יאוחסנו מחוץ לארגון ,במקום מוגן ומאובטח. •חשוב שהגיבויים יהיו מוצפנים ,למקרה אובדן או גניבה של תוכן הגיבוי. מידע נוסף Windows Server Backup Overview Windows Server Backup Step-by-Step Guide for Windows Server 2008 Backup and Restore - 35 - המרכז הלאומי להתמודדות עם איומי סייבר http://www.asd.gov.au/publications/Mitigation_Strategies_2014.pdf מקורות http://www.asd.gov.au/publications/Mitigation_Strategies_2014_Details.pdf http://www.asd.gov.au/publications/protect/top_4_mitigations.htm http://www.asd.gov.au/publications/protect/application_whitelisting.htm http://www.asd.gov.au/publications/protect/malicious_email_mitigation.htm http://www.asd.gov.au/publications/protect/spoof_email_sender_policy_framework.htm http://www.asd.gov.au/publications/protect/malicious_email_mitigation.htm http://www.asd.gov.au/publications/protect/restricting_admin_privileges.htm http://www.asd.gov.au/publications/protect/assessing_security_vulnerabilities_and_patches.htm https://www.sans.org/security-resources/IAD_top_10_info_assurance_mitigations.pdf https://www.sans.org/critical-security-controls/ http://www.sans.org/reading-room/whitepapers/auditing/successful-siem-log-management-strategies-audit-compliance-33528 http://csrc.nist.gov/publications/drafts/800-167/sp800_167_draft.pdf (Application whitelisting) http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf https://www.nsa.gov/ia/_files/factsheets/Defending_Against_Destructive_Malware.pdf https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_AntiExploitationFeatures_Web.pdf https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_HostMitigationPackage_Web.pdf https://www.nsa.gov/ia/_files/os/Win_EMET/I43V_EMET_Rationale_v3.4.pdf https://www.nsa.gov/ia/_files/os/Win_EMET/EMET_FAQ_v3.1.pdf https://www.nsa.gov/ia/_files/factsheets/i43v_slick_sheets/slicksheet_hostintrusionpreventionsystems.pdf https://www.nsa.gov/ia/_files/factsheets/i43v_slick_sheets/slicksheet_antivirusfilereputationservices.pdf https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_LimitingWtWCommunication_Web.pdf https://www.nsa.gov/ia/_files/factsheets/I43V_Slick_Sheets/Slicksheet_ControlAdministrativePrivileges_Web.pdf https://www.nsa.gov/ia/_files/factsheets/i733-tr-043r-2007.pdf https://www.nsa.gov/ia/_files/factsheets/mitigationMonday.pdf (Secure email attachments) https://www.nsa.gov/ia/_files/app/Reducing_the_Effectiveness_of_Pass-the-Hash.pdf https://www.nsa.gov/ia/_files/factsheets/i43v_slick_sheets/slicksheet_applicationwhitelisting_standard.pdf https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf https://www.nsa.gov/ia/_files/factsheets/Application_Whitelisting_Trifold.pdf https://www.nsa.gov/ia/_files/support/wormpaper.pdf https://www.nsa.gov/ia/_files/support/defenseindepth.pdf https://www.nsa.gov/ia/_files/factsheets/I733-004R-2007.pdf (Secure mail client) https://www.us-cert.gov/ncas/alerts/TA15-119A http://www.bis.gov.uk/assets/biscore/business-sectors/docs/c/12-1119-cyber-risk-management-board-responsibility http://www.bis.gov.uk/assets/biscore/business-sectors/docs/0-9/12-1120-10-steps-to-cyber-security-executive http://www.bis.gov.uk/assets/biscore/business-sectors/docs/0-9/12-1121-10-steps-to-cyber-security-advice-sheets http://www.oracle.com/technetwork/topics/entarch/oracle-wp-security-ref-arch-1918345.pdf http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2014.pdf https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/ https://securelist.com/files/2014/12/Kaspersky-Security-Bulletin-2014-EN.pdf - 36 - cert.gov.il הפקה :לשכת הפרסום הממשלתית. respect