כמה טיפים לעסקים קטנים

עסק קטן לא יכול להרשות לעצמו קניית ציוד יקר של אבטחת מידע. יחד עם זה קיימים הרבה פתרונות במחירים סבירים להגנה על העסק בתחום הסייבר. עקרון ההגנה הוא בנית שכבות. כמה שיותר שכבות - יותר טוב מבחינת אבטחת מידע.
אני רוצה כאן להציג כמה נושאים ופתרונות שיכולים לעזור לעסקים קטנים בתחום אבטחת מידע וסייבר.


  1. גיבויים: לא כל העסקים, וגם לא כל הטכנאים שמשרתים אותם, נותנים דגש לגיבוי  נתונים. כמה חברות נפלו קורבן של נוזקות הכופר Ransomware? כולם כבר שמעו על זה ולא כולם טרחו לעשות משהו בעניין. אז גיבוי זה אחת הדרכים להשתקם אחרי התקפה זו. בגדול לא צריך הרבה רסורסים בשביל לבנות מערך  הגיבויים בחברות קטנות. אפשר לקנות מחשב נוסף ולתזמן אותו להיכנס לספריות הנחוצות לצורך העתקה  וקיבוץ מידע באופן יומי. אפשר להתקין Areca-Backup למשל, לביצוע גיבויים מתוזמנים מהתחנה אל השרת. ויש עוד הרבה פתרונות אחרים. (FreeNAS, Bacula, Amanda , Duplicati ועוד)
     
  2. אנטיווירוס: חברות קטנות יכולות להשתמש בפתרונות יחסית זולים של הגנה מפני הווירוסים. אני רוצה להזכיר למי שלא יודע, שאנטיווירוס מגן מפני ווירוסים שהוא מכיר. אבל זו עדיין שכבת הגנה שחייבת להיות בחברה. חלק מהאנטיווירוסים נותנים היום פתרון משולב עם HIPS, FW, ו-Sandbox. שווה לבחון אותם. Comodo ו-Avast למשל.
     
  3. סיסמאות: סיסמאות צריכות להיות מורכבות וארוכות. וכמובן לא לשמור אותם על פתק על המסך. איך עושים סיסמא חזקה ? פשוט מרכיבים משפט בן 12 תווים לפחות ומקלידים אותו בג'יבריש. אל תשתמשו באותה סיסמא בכל החשבונות שלכם. ואת הסיסמאות ניתן לשמור באפליקצית keeppass.
      
  4. העברת חומר רגיש דרך מייל: לפעמים יוצא לנו להעביר איזה חומר חסוי דרך דואר אלקטרוני. אפשר לעשות זאת בכמה דרכים. דרך הכי פשוטה זה zip או rar עם סיסמא. תוכנות דחיסה שעובדות עם פורמט זה מצפינים את הקבצים בפרוטוקול AES עם סיסמא. רק אדם שיודע את הסיסמא יכול לפתוח את הקובץ. כדאי שהסיסמא תהיה ארוכה, וכדאי להעביר אותה בערוץ אחר. טלפון, sms, whatsapp. יש גם דרכים יותר מקובלות כמו סרטיפיקטים או GPG. אפשר למצוא מידע בגוגל אם תרצו. ולגבי שליחת קבצים גדולים, ניתן להעלות אותם ל-google drive ולשלוח את הלינק. (WinZip, WinRar, 7Zip, GPG4Win)
      
  5. חיבור תחנות לאינטרנט: אחת הבעיות של ארגונים שנפלו קורבן להתקפות, היא חיבור ישיר לאינטרנט. דרך אינטרנט, אפשר להוריד תוכנות ונוזקות ולהפעיל אותם. דרך אינטרנט אפשר להתקין טרויאנים בלי כוונה. דרך אינטרנט אפשר להוציא חומרים מסווגים של החברה. אז מה עושים ? בונים שכבה נוספת - בעולם התעשייתי זה בדרך כלל  Citrix, לעסקים קטנים אפשר לשים או Terminal Server או מכונת לינוקס עם Chrome. שכבה נוספת בין הרשת הפנימית לאינטרנט יכולה לשמור על הארגון שלכם טוב יותר. (Openthinclient)
      
  6. פישינג: הגנה הכי טובה זה מודעות. על תמהרו להקליק על כל דבר שמציעים לכם. תפעילו שיקול דעת. אם זה מייל, תבדקו מאיפה הוא הגיע. אם זה אתר אינטרנט, תבדקו היטב מה הכתובת שלו. ישנם אתרים מתחזים שמנסים להוציא מכם את הסיסמאות שלכם לרשתות הסוציאליים, בנקים, תיבות מייל, מחשב אישי. צריך לשים לב על הפרטים הקטנים כדי לא ליפול לפח.
      
  7. ראוטר: כדאי מאוד להחליף סיסמה בראוטר (שלא תהיה סיסמת ברירת מחדל). תוקף יכול להיכנס לקופסה זו ולשנות הגדרות של dns, ואז כל הטראפיק יגיע לתוקפים ולא למקום הנכון. בהתקפות מסוג זה משתמשים גם באתרים מתחזים. כמו כן כדאי להפעיל FW על הראוטר ובכלל לקנפג אותו טוב.
      
  8. עדכוני אבטחת מידע: צריך להקפיד להתקין עדכוני אבטחת מידע בזמן. זה ימנע מהעסק שלכם להתמודד עם בעיות.
      
  9. אתר אינטרנט: היום הרבה עסקים קטנים משתמשים ב-מערכות CMS קוד פתוח לניהול אתר אינטרנט שלהם. מדי פעם במערכות אלו מוצאים פגיעויות דרכם ניתן לפרוץ לשרתים. חשוב לדרוש מהחברה שמטפלת באתר שלכם לעשות עדכונים וגם מומלץ לשים שכבת הגנה של WAF. ישנם שירותים שאפשר לקנות לצורך הגנה על האתר שלכם. (Cloudflare, Incapsula, SUCURI)
      
  10. חיבור התקנים חיצוניים: על מנת להגן על מחשבי החברה ועל הרשת כדאי מאוד לחסום אפשרות חיבור של ההתקנים החיצוניים כגון disk on key, cellphones וכו'. דרך התקנים אלו ניתן להכניס נוזקות לארגון בזדון או בטעות. (ניתן לחסום ברמת POLICY, או לקנות מוצרים של Endpoint Security)





פוסטים פופולריים מהבלוג הזה

למה מצב באבטחת מידע בארגונים עדיין גרוע ?

תמונה
לפי היסטוריה, התקפות של  ransomware  החלו במאי 2005. מאז אחת  השנים הכי פוריות של מתקפות  ransomware  היתה שנת 2017, בה התבצעו התקפות של  WannaCry, של  Petya , ושל  Bad Rabbit.  מאז כמובן היו התקפות יותר גדולות ומוצלחות, אך השאלה היא - למה מ-2005, או מ-2017 עדיין הרבה חברות נופלות קורבן להתקפות אלו, ולא רק להתקפות  ransomware  , כי נכון להיום, התקפות  ransomware  הן השלב המסכם של גניבת מידע. אז הבעיה לא רק בהצפנת קבצים, היא הרבה יותר עמוקה - במערך אבטחת המידע בחברות, בארגונים ציבוריים, עד לתשתיות ממשלה (במדינות שונות).  כידוע אבטחת מידע זה רצף הגנות - גדרות אשר מקשות על התוקף להיכנס פנימה לתוך הארגון. בניה נכונה של מערך ההגנה זה הדבר הנכון שצריך לעשות, והוא צריך לכלול את הדברים הבאים לפי דעתי: בניה נכונה ומאובטחת של ארכיטקטורת הארגון בנית מפת סיכונים ועדכונה בצורה תקופתית ניהול נכון של סיכוני אבטחת מידע שכוללת גם סיכוני טעיות אנוש בתשתיות ובפיתוח שימוש במוצרי הגנה מטוייבים בנית מערך הבקרות כן בתחום הטכנולוגי וכן בתחום התהליכי בניה נכונה של מערך הניתור העלאת מודעות בתחומי אבטחת מידע אצל
המשך לקרוא

הגנות ‏בגישה ‏מרחוק

תמונה
בתחילת הסגר של הקורונה, בארגון שאני מלווה, הגישה מרחוק הייתה לחלק מאנשי IT ולמנהלים. פתאום עלה צורך לתת גישה מרחוק לשאר העובדים. התשתיות קנו והקשיחו עוד כ-200 מחשבים ניידים לעובדים שהוגדרו חיוניים. הגישה דרכם כן מאבטחת ומנותרת. נטמעו  עוד מוצרים להפרדה בין סביבות וליחצן אפליקציות. הפתרון מאובטח, אך לא מגיע לכל העובדים, כי יש עוד הרבה, שנשארו ללא מחשבים. בגלל שאף אחד לא ידע מתי הסגר יסתיים, הוחלט גם לבדוק אופציה של נתינת גישה מוגבלת לשאר העובדים מהמחשבים הביתיים, כלומר מחשבים "מלוכלכים", אשר אין עלים שליטה ובקרה. לארגון יש VPN של אחד הספקים המובילים, אבל מכוון שהיה מדובר בלתת גישה לארגון ממחשבים "מלוכלכים", ראיתי בזה סיכון, כי לכל אחד יש אנטי-וירוסים שונים, רשתות אל חוטיות לרוב עם סיסמאות קלות, ולא ניתן לדעת עם המחשבים האלו כבר נגועים במשהו. אני התנגדתי לתת גישה ל-VPN בלי כל בקרה, כי מדובר בין השאר על ארגון תחת רגולציה. הסברתי כי בדיקה שה-VPN מבצע: בדיקת אנטי-וירוס, ובדיקת firewall אינה מספקת. בתור איש תקיפה, אני יכול לעקוף את הבדיקות ולהחדיר לא
המשך לקרוא

הגנה על WEB SERVICES

היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון. בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים: הזדהות (חזקה) תווך העברת נתונים (מוצפן - SSL) חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון. לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן. בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN
המשך לקרוא