מתקפת הסייבר על שירביט היא נורת אזהרה של כולנו

פריצה לשרתים

פריצה לשרתי חברת הביטוח שירביט וחשיפת פרטיהם האישיים של לקוחותיה, עוררה מחדש את השיח על אבטחת מידע במרחב הסייבר ובאופן טבעי גם את החששות, השאלות והלקחים שכולנו צריכים להפיק. אחרי למעלה מ-15 שנות ניסיון בתחום, ניהול של לא מעט אירועי אבטחת מידע ועבודה עם החברות הגדולות בישראל, החלטתי שנכון יהיה לחלוק את הידע שלי איתכם ולכתוב מדריך טיפים ידידותי לכל ארגון – קטן או גדול.
אז כדי לצמצם סיכונים ולמנוע (ככל האפשר) את ניסיונות הפריצה לעסק שלכם – קראו היטב את השורות הבאות ובקשו מאנשי המחשוב שלכם להתחיל ליישם את ההמלצות

חומת אש (FIREWALL)

חומת אש היא אחד משומרי הסף החשובים ביותר של המרחב הדיגיטלי בארגון שלכם. חשוב להבין: חומת האש יושבת בקצה הרשת המשרדית, כברירת מחדל היא מאפשרת לכל אחד לפנות אליה ולשאול ״האם אפשר להיכנס או לא?״. לעתים, פניות אלו הן רבות ומקשות על חומת האש להתמודד (אפילו עד כדי קריסה).

מה עושים?

• חסימת גישה – אל תתנו לחומת אש אפשרות לענות לכל אחד. חסימת גישה ממדינות שאינן רצויות זאת דוגמה אחת (באופן כללי, מומלץ לחסום את כל המדינות מלבד ישראל), אם כי הייתי מחמיר עוד טיפה ואומר שגם בישראל רצוי לאשר גישה למערכות המשרד רק מכתובות IP מוכרות שידוע מי עומד מאחוריהן. כתובת IP היא למעשה תעודת הזהות של המיקום/מכשיר ממנו מתחברים – אם תתחברו מהבית תהיה כתובת IP מסוימת, ולבית הקפה כתובת IP אחרת. כך למעשה ניתן לייצר רשימה של כתובות IP מורשות ולחסום את כל השאר.
• אירוח אתר החברה על רשת נפרדת – במידה ואתר האינטרנט שלכם מתארח בשרתים של החברה, יש לבחון למי מפרסמים את האתר ולמי עשויה להיות אפשרות להגיע אליו. אם מצליחים לחדור לאתר, הדרך לסביבת העבודה של הארגון קצרה. לכן מומלץ מאוד שאתר החברה (או כל פורטל ארגוני אחר המספק לעובדים ו/או ללקוחות גישה מרחוק למערכות) יהיה ברשת נפרדת לחלוטין, במיוחד כאשר מדובר באתר הניגש למסד נתונים בשרתי הארגון.

אנטי וירוס עם מודול אנטי כופר (Ransomware)

ברוב תוכנות האנטי וירוס הגדולות יש רכיב פנימי שיודע לזהות מתקפות מסוג כופר. חשוב מאוד לוודא שכל המחשבים, בלי יוצא מן הכלל, יכללו אנטי וירוס מעודכן ותקין כל הזמן.

מה עושים?

• עדכונים שוטפים – בכל פעם שמתגלה פרצת אבטחה או וירוס חדש בעולם הסייבר והאנטי וירוס שלכם לא מעודכן ולא מודע לכך – הוא גם לא ידע איך להגן עליכם ולהתמודד עם האיומים הללו. לכן חייבים להתחסן ולהתעדכן על בסיס יומי. תחשבו על זה כמו על חיסון קורונה – אם התחסנתם אתם מוגנים, אם לא התחסנתם יש סיכוי שתחלו ועוצמת הנזק שתגרם לכם לא ברורה.

עדכוני אבטחה במערכות Microsoft Windows

לצערנו (ולמרות שזה מספק לנו לא מעט עבודה) פרצות אבטחה במערכת ווינדוס מתרחשות כל שני וחמישי. חברת Microsoft העולמית מתקנת את פרצות האבטחה הללו, לצד עדכון שהיא משדרת לכל הלקוחות שלה וכך כל אחד יכול פשוט לקרוא איזו פרצה נתגלתה. עד כאן יופי, אבל למעשה כל האקר הכי קטן יכול כעת לגלות איזו פרצה מסתתרת אצל כל מי שטרם עשה את עדכון האבטחה במערכת. 

מה עושים?

• עדכונים שוטפים – בכל פעם שמתגלה פרצת אבטחה המתפרסמות ב-Microsoft יש לבצע עדכונים וגיבויים ללא דיחוי! משום מה, רוב אנשי ה-IT ממתינים עם העדכונים כי זה דורש אתחול למערכות ומוביל להפסקת עבודה זמנית. אז דוחים את העדכונים לסופש ובינתיים האקרים יודעים בדיוק איפה לפגוע.

גיבויים!!!

נניח ולא הקשבתם לשלושת הטיפים הנ״ל, ונניח שכבר חדרו למערכות שלכם ועשו נזק… חשוב מאוד שתהיה לנו דרך לחזור לנקודת זמן מסוימת ולא להתחיל מחדש. הגיבוי הוא הסיכוי היחיד לכך. 

קבלו סיפור אמיתי:

לפני כ-5 שנים קיבלנו פניה מחברה שחדרו לה למערכת, הצפינו את כל הקבצים וביקשו כופר בסך 5 ביטקוין. במקרה כזה הכי קל היה לחזור לגיבוי ולשחזר את המידע מבלי לשלם כופר, אך כששאלתי את מנהל הרשת מתי היה הגיבוי המוצלח האחרון – התשובה היתה לפני חצי שנה (עקב תקלות בגיבוי שחברת הגיבוי לא הצליחה לפתור ושלל תירוצים יפים). בסופו של דבר הלקוח החליט לשלם 5 ביטקוין לבקשת ההאקר, אבל גם זה לא דבר של מה בכך. צריך להיכנס ל״אינטרנט השחור״, לעבור כמה וכמה שלבים, לקנות ביטקויין – תהליך שלוקח זמן. בסופו של דבר התשלום עבר בהצלחה וההאקר מסר לנו מפתח שמשחרר את כל הקבצים מנעילה. אבל (!) שימו לב – אין שום הבטחה שהאקר לא יצפין את הקבצים שוב בעוד יום, חודש או אפילו שנה. מכאן אין מנוס מלגבות, ואין מנוס משימוש באמצעי אבטחת מידע! 

מה עושים?

• גיבויים לא משחררים אתכם משאר השלבים והטיפים שהעליתי קודם. חשוב מאוד שתבדקו מתי בפעם האחרונה הגיבוי אצלכם עבד בהצלחה, ומעבר לכך תבקשו מידי פעם מאיש המחשבים שלכם לשחזר קובץ מתקופה קצת רחוקה כדי לראות אם השחזור מתקבל בהצלחה.

מדיניות במערכות החברה – Group Policy

ההמלצה היא ליישם GPO בכל החברה ללא יוצא מן הכלל! מה זה אומר? GPO הוא למעשה בעצם סט של חוקים המאפשרים או מונעים גישה לאי אלו מערכות או אזורים במערכת ההפעלה. באופן אישי, אני בעד לחסום כל אזור שאינו רלוונטי לעובד. לעובד במחלקת כספים שמשתמש בתוכנת חשבשבת או פריוריטי, אין צורך לגשת לשורת פקודה במחשב, נכון? אז למה הוא צריך גישה לכלי הזה? תחשבו שאם האקר יצליח לפרוץ למחשב של אותו עובד/משתמש וכל הכלים זמינים לו – החגיגה מתחילה. לעומת זאת, אם הכלי חסום ברמה הארגונית, יהיה להאקר קשה ואף בלתי אפשרי להגיע למצב הקלדת פקודות במחשב. זו רק דוגמה אחת מבין מאות הגדרות שאנו ב-UNIBO מיישמים אצל הלקוחות שלנו כדי להגן עליהם ככל האפשר.

להימנע מחיבור רשת אלחוטית (WIFI) לרשת קווית (LAN)

במידה והרשת האלחוטית (WIFI) מחוברת לרשת הקווית בארגון, כל מי שמתחבר אליה במשרד או בקרבתו יכול לגשת לשרת הקבצים, אפליקציות ארגוניות, מיילים וכו׳. לא חסרים מקרים בהם הגעתי לפגישה אצל לקוח חדש, התחברתי ל-WIFI במשרד (באישור המנהל) וכך יכולתי לגשת לכל הרשת הארגונית שלו. זה מאוד מסוכן! האקר שמסתובב בקומה שלכם לא צריך אפילו להיכנס למשרד כדי להשיג מידע, כל מה שעליו לעשות זה להסתובב עם מכשיר חכם ולקלוט את ה-WIFI שלכם. משם הדרך לפריצת סיסמאות וגניבת מידע היא קלה וקצרה מאוד. ההמלצה שלי היא לנטרל את הרשת הקווית (הארגונית) מהרשת האלחוטית – וכך למנוע גישה למערכות המידע של החברה. 

בנוסף, כאשר יש נקודות רשת פעילות בקיר המשרד, כל אחד שמבקר יכול להתחבר אליהן עם הלפטופ ולחדור לרשת הפנימי לכן רצוי לבטל נקודות רשת בקיר שאינן בשימוש במשרד (כלומר לגשת לארון התקשורת ולבטל את הכבל המגשר מארון התקשורת).

רוצים לקבל עוד טיפים והנחיות לשיפור אבטחת המידע בארגון שלכם?
נשמח לבוא לבקר אצלכם, לבצע סקירה מלאה של מערכות הרשת ולהוציא דוח מסודר וברור עם מה אפשר לשפר, ומה במצב מסוכן. איתנו, לא תהיו הבאים בתור לתפוס את הכותרות השליליות.

 

הכותב: הנרי חזות
CTO בחברת UNIBO, מרצה מוסמך של Microsoft ו-VMware העולמית ומיישם פרויקטים בחברות הגדולות בישראל

רוצים לדבר על הפתרון הנכון לעסק שלכם? המומחים של UNIBO כאן לשירותכם