הגנות בגישה מרחוק
בתחילת הסגר של הקורונה, בארגון שאני מלווה, הגישה מרחוק הייתה לחלק מאנשי IT ולמנהלים.
פתאום עלה צורך לתת גישה מרחוק לשאר העובדים. התשתיות קנו והקשיחו עוד כ-200 מחשבים ניידים לעובדים שהוגדרו חיוניים.
הגישה דרכם כן מאבטחת ומנותרת. נטמעו עוד מוצרים להפרדה בין סביבות וליחצן אפליקציות.
הפתרון מאובטח, אך לא מגיע לכל העובדים, כי יש עוד הרבה, שנשארו ללא מחשבים.
בגלל שאף אחד לא ידע מתי הסגר יסתיים, הוחלט גם לבדוק אופציה של נתינת גישה מוגבלת לשאר העובדים מהמחשבים הביתיים, כלומר מחשבים "מלוכלכים", אשר אין עלים שליטה ובקרה.
לארגון יש VPN של אחד הספקים המובילים, אבל מכוון שהיה מדובר בלתת גישה לארגון ממחשבים "מלוכלכים", ראיתי בזה סיכון, כי לכל אחד יש אנטי-וירוסים שונים, רשתות אל חוטיות לרוב עם סיסמאות קלות, ולא ניתן לדעת עם המחשבים האלו כבר נגועים במשהו.
פתאום עלה צורך לתת גישה מרחוק לשאר העובדים. התשתיות קנו והקשיחו עוד כ-200 מחשבים ניידים לעובדים שהוגדרו חיוניים.
הגישה דרכם כן מאבטחת ומנותרת. נטמעו עוד מוצרים להפרדה בין סביבות וליחצן אפליקציות.
הפתרון מאובטח, אך לא מגיע לכל העובדים, כי יש עוד הרבה, שנשארו ללא מחשבים.
בגלל שאף אחד לא ידע מתי הסגר יסתיים, הוחלט גם לבדוק אופציה של נתינת גישה מוגבלת לשאר העובדים מהמחשבים הביתיים, כלומר מחשבים "מלוכלכים", אשר אין עלים שליטה ובקרה.
לארגון יש VPN של אחד הספקים המובילים, אבל מכוון שהיה מדובר בלתת גישה לארגון ממחשבים "מלוכלכים", ראיתי בזה סיכון, כי לכל אחד יש אנטי-וירוסים שונים, רשתות אל חוטיות לרוב עם סיסמאות קלות, ולא ניתן לדעת עם המחשבים האלו כבר נגועים במשהו.
אני התנגדתי לתת גישה ל-VPN בלי כל בקרה, כי מדובר בין השאר על ארגון תחת רגולציה. הסברתי כי בדיקה שה-VPN מבצע: בדיקת אנטי-וירוס, ובדיקת firewall אינה מספקת. בתור איש תקיפה, אני יכול לעקוף את הבדיקות ולהחדיר לארגון נוזקה.
ההצעה שלי הייתה לקנות מוצר MDM אשר מאפשר חוץ מהתקשורת המאובטחת, הקמת סביבה מאובטחת, גם שליטה ובקרה על האפליקציות הרצות בתחנה המלוכלכת.
מכוון שבחינת פתרונות זה לא תהליך קצר, אמרתי שאני יכול לפתח שכבת הגנה נוספת - משלימה ובסיסית שתיתן שליטה ובקרה בסיסית על התהליכים הרצים במחשבים המלוכלכים.
ההצעה שלי הייתה לקנות מוצר MDM אשר מאפשר חוץ מהתקשורת המאובטחת, הקמת סביבה מאובטחת, גם שליטה ובקרה על האפליקציות הרצות בתחנה המלוכלכת.
מכוון שבחינת פתרונות זה לא תהליך קצר, אמרתי שאני יכול לפתח שכבת הגנה נוספת - משלימה ובסיסית שתיתן שליטה ובקרה בסיסית על התהליכים הרצים במחשבים המלוכלכים.
- התקנה שקטה של רכיבים נחוצים ל-VPN
- התקנה של Client Certificate לגישה מוגבלת ל-VPN
- סגירה של תוכנות לא נחוצות
- בקרה על התהליכים הרצים במחשב
- הגבלת תקשורת לכתובות מסוימות
- דיווח על התהליכים, תקשורת, ושינויים אחרים במחשב
- דיווח מ- Security Log
- זיהוי הקלדות מהירות נגד Rubber Ducky
- ועוד כמה מאפיינים לא לפרסום
כמו כן התוכנה מושכת פוליסי, והוראות חסימה בזמן אמת, וכמובן ניתן לראות מה מתרחש במחשבים אלו בזמן אמת בממשק שהכנתי בשביל זה. השתמשתי ב-Elastic ו-Kibana.
כמובן יש עוד מה להוסיף למוצר זה, ויש הרבה רעיונות נחמדים. וחוץ מזה אפשר לקסטם אותו למוצרים אחרים.
זה היה ניסיון מעניין של פיתוח מהיר, לחוץ בזמן אך מאתגר.
זה היה ניסיון מעניין של פיתוח מהיר, לחוץ בזמן אך מאתגר.