רשומות

מציג פוסטים מתאריך 2020

הגנות ‏בגישה ‏מרחוק

תמונה
בתחילת הסגר של הקורונה, בארגון שאני מלווה, הגישה מרחוק הייתה לחלק מאנשי IT ולמנהלים. פתאום עלה צורך לתת גישה מרחוק לשאר העובדים. התשתיות קנו והקשיחו עוד כ-200 מחשבים ניידים לעובדים שהוגדרו חיוניים. הגישה דרכם כן מאבטחת ומנותרת. נטמעו  עוד מוצרים להפרדה בין סביבות וליחצן אפליקציות. הפתרון מאובטח, אך לא מגיע לכל העובדים, כי יש עוד הרבה, שנשארו ללא מחשבים. בגלל שאף אחד לא ידע מתי הסגר יסתיים, הוחלט גם לבדוק אופציה של נתינת גישה מוגבלת לשאר העובדים מהמחשבים הביתיים, כלומר מחשבים "מלוכלכים", אשר אין עלים שליטה ובקרה. לארגון יש VPN של אחד הספקים המובילים, אבל מכוון שהיה מדובר בלתת גישה לארגון ממחשבים "מלוכלכים", ראיתי בזה סיכון, כי לכל אחד יש אנטי-וירוסים שונים, רשתות אל חוטיות לרוב עם סיסמאות קלות, ולא ניתן לדעת עם המחשבים האלו כבר נגועים במשהו. אני התנגדתי לתת גישה ל-VPN בלי כל בקרה, כי מדובר בין השאר על ארגון תחת רגולציה. הסברתי כי בדיקה שה-VPN מבצע: בדיקת אנטי-וירוס, ובדיקת firewall אינה מספקת. בתור איש תקיפה, אני יכול לעקוף את הבדיקות ולהחדיר לא

קורונה ב IT

תמונה
בגלל ההיסטריה שמתפשטת יותר מקורונה החלטתי לכתוב כמה מילים על זה.  אז בזמן האחרון הרבה חברות נערכות לתת לעובדים גישה מרחוק שימשכו לעבוד מהבית, כי גם בתי הספר עכשיו נסגרו ואין מה לעשות עם ילדים. הכוונה בסך הכל טובה, לא להשבית את המשק ולאפשר לאנשים לעבוד מהבית שזה גם מנמיך את אפשרויות ההדבקה בקורונה. יחד עם זאת את הגישה מרחוק מן הסתם צריך לאבטח ברמה טובה, על מנת שהתוקפים לא ינצלו אותה לחדירה לארגון.  יצא לי לבדוק כמה פתרונות בנושא זה, ובכולם הצלחתי "לפרוץ" - הכוונה לגשת למקומות שלא היתי צריך לגשת אליהם מרחוק. אז מכל הבדיקות שעשיתי אספתי כמה טיפים לשיפור אבטחת המידע בגישה מרחוק: 1. כדאי מאוד שהגישה תהיה באמצעות VPN. 2. כדאי מאוד שהזדהות תהיה 2fa 3. כדאי מאוד לתת גישה רק לאפליקציות הנחוצות ולא גישה לטרמינל מלא 4. כדאי מאוד להקשיח את התפריטי context (קליק ימני בעכבר) 5. כדאי מאוד לחסום גישה לאפליקציות לא נחוצות של windows וכן לסגור הרצה של סקריפטים: vbs, ps1, js, hta וכו' 6. כדאי מאוד לחסום גישה לאינטרנט מהמחשב כל עוד החיבור לארגון פעיל 7

ליווי אבטחת מידע אפליקטיבית

תמונה
אבטחת מידע אפליקטיבית היא חלק מההגנות שניתן וצריך לעשות בארגון המפתח בין היתר אפליקציות חדשות. בהרבה ארגונים אבטחת מידע נוגע בפרויקט בסיומו, כאשר צריך לבדוק את האפליקציה ולאשר עליה לאוויר. וגישה זו הינה בעייתית. מכוון  שבבדיקות אבטחת מידע (בדיקות חדירה, סקר קוד, סקר אפליקטיבי) אפשר לגלות פערים אשר היה אפשר למנוע אילו אבטחת מידע היו בודקים את הפרויקט עוד בשלב האפיון. במקומות בהן אני נותן שירות, השתדלתי שכל פרויקט חדש שמתחיל, יהיה חייב לעבור ליווי של מומחה אבטחת מידע  אפליקטיבי בשביל להגדיר דרישות אבטחת מידע שיכנסו לפרויקט טרם תחילת הפיתוח. גישה זו מונעת בנית ארכיטקטורה לקויה, ופיתוח לא נכון. למשאל באחד הפרויקטים שליוויתי, הדגשתי צורך בבדיקות מסוימות בקלט אשר המאפיינים לא חשבו כי מבחינתם היה חשוב לעלות את הפרויקט בזמן. אך בבדיקות קבלה של אבטחת מידע זה בטח היה עולה והיו צריכים לשנות את הפרויקט לאחר סיומו.  במקרה אחר בו עשיתי רק בדיקות לפני עליה לאוויר, לא היה ליווי אפליקטיבי. ובבדיקות של API התגלו דברים אשר היו יכולים לחשוף מידע רב לפי ת.ז. אחר הצגת הממצאים והמלצות לפ