אין עשן בלי Snare

תפקידן של מערכות ה-Security Information Event Management)SIEM) הוא ללקט מידע מהלוגים שמיוצרים במערכות האבטחה ובציוד התקשורת בארגון.
המערכות אוספות מידע זה, מתעדפות אותו, מנתחות אותו (זיהוי תבניות, סטטיסטיקה וכדומה), מצליבות אותו ומאפשרות להציג אותו בתצוגות בעלות ערך מוסף רב.

ניתן לזהות פרצות אבטחה או אירועי אבטחה כמעט בזמן אמת כמו גם ניתן להשתמש בלוגים רבים כדי לקבל תמונת אבטחה כוללת ומדויקת.

לשם המחשה, נניח כי הארגון עושה שימוש במערכות הבאות: Active Directory , Firewall, אפליקציית Web, ובסיס נתוניםOracle כאשר כל אחד מהם מייצר לדוגמה את ההתראות הבאות:
• Active Directory: הוספת משתמש לקבוצת ה-Administrators.

• Firewall: ממצאי סריקת פורטים (Port Scan) מכתובת חיצונית.

• אפליקצייתWeb : לוגים על ניסיונות כושלים רבים במסך ההזדהות.

• בסיס נתונים Oracle: שליפת נתונים רגישים באמצעות שרת האפליקציה מטבלאות רגישות שהאפליקציה אינה אמורה לגשת אליהן.

התוצר המתקבל מיישום מוצלח של מערכת SIEM הנו זיהוי של אירועי אבטחת מידע אמיתיים ודוחות ברמות שונות אודות אותם אירועים, ומצבה הכללי של אבטחת המידע בארגון.
תוצרי מערכת מבוססת טכנולוגיית SIEM יכולים וראויים לשמש בתחומים שונים מלבד אבטחת תשתית.

התחומים הניתנים לכיסוי באמצעות תוצרי המערכת כוללים גם זיהוי הונאות ומניעתן, בקרה על מרכזי שירות לקוחות, בקרת תשתיות הנדסה, ניהול מרכזי SOC, תגובה וניתוח אירועי אבטחת מידע, בקרה על תהליכים עסקיים, בקרה במערכות SCADA ועוד.

לרוב מערכות אלו כוללות את הטכנולוגיות הבאות:

1. איסוף התראות ואירועים (Events) ממערכות שונות ובפורמטים שונים.
2. ניתוח התראות על סמך חוקים שהוגדרו מראש.
3. הפקת חיוויים למפעילים על אירוע, כולל נתונים מלאים ורלוונטיים לאירוע.
4. ניהול הטיפול באירוע כולל העברת הטיפול לגורמים שונים למעקב אחר סטטוס הטיפול.

במסגרת פרויקט אבטחת מידע גדול שאני מבצע עבור לקוח ביצעתי לאחרונה פריסה של רכיבי דיווח למערכת ה-SEIM של הארגון.
הרשו לי להמליץ לכם על Snare- כלי לשימוש חופשי (GPL) המשמש כ-Log Forwarder עבור מערכות:

• UNIX
• Linux
• Solaris
• Irix
• AIX
• Tru64
• Windows
• Lotus Notes
• Squid
• Apache
• IIS
• ISA

ה-Agent פשוט ומהיר להתקנה,נוח לקינפוג,בעל ממשק ניהול Web המאפשר הזדהות באמצעות כניסה,ביצוע Filtering לאירועים ספציפים,ניהול מרוחק ועוד.
בנוסף לאותו בית התוכנה קיימת מערכות לאיסוף נתונים מרכזית ופיצ'רים עבור מערכת ה-IDS המפורסמת "Snort".
לדף הבית של המוצר יש ללחוץ כאן.
לדוקמנטציה מלאה עבור המוצרים יש ללחוץ כאן.

המימד האנושי

בארגונים רבים מערכות אבטחת המידע נתפסות כפתרונות הרמטים לסוגיות אבטחת המידע אך זוהי הנחה שגויה שכן מערכות אלו נועדו לשמש ככלי אכיפה ובקרה על המתרחש בארגון ולא כ"פתרונות קסם".
לרוב מערכות אלו הינן אקטיביות אשר מגיבות לאירועים בזמן אמת.
יחד עם זאת,לעולם אין להסתמך על מערכות אלו בלבד שכן ברגע שהמערכות מבצעות Prevention אנו כמנהלי האבטחה כשלנו.

על מנת להמנע מארועי אבטחת מידע עתידיים יש לאמץ את הקונספט כי אבטחת המידע מתחילה ומסתיימת במימד הנאושי :

• יש לבצע מיונים קפדנים עוד בשלב גיוס המועמד למשרת האמון.
• יש לבצע בדיקות פוליגרף תקופתיות לעובדים במשרות המוגדרות כמשרות אמון\משורת מסווגות.
• יש לבצע מבחני מידה על בסיס תקופתי.
• יש להקפיד על שיחות תחך לכלל משתמשי הארגון על בסיס תקופתי ולהיות קשוב לצרכיהם.
• יש לאכוף את נושא הפרדת תפקידים וסמכויות באמצעות הגדרת תפקידים ברורים,מידור פיזי ולוגי.
• יש לפעול להעלת המודעות לאבטחת מידע ול-Social Engineering ו-(Advanced Persistent Threat(APT.
• יש לנסות למצוא פתרונות בטוחים למשתמשי הארגון במקום להלחם בהם.
• יש לבצע רענון לנהלי אבטחת מידע לכלל משתמשי הארגון על בסיס תקופתי.


• יש לטפל בצורה מקצועית בארועי אבטחת מידע ולקבל גיבוי מלא מצד הנהלת הארגון.

נקיטה בצעדים אלו , עלולה למנוע תקריות אבטחת מידע חמורות ומיותרות!

(RBL(Realtime Blackhole List-מישהו מתריע בפני!

אחד התחומים עימם מתמודד מנהל האבטחה(CISO) הוא נושא ה-Anti Spam החל ממלחמה בתופעה ועד לטיפול אירוע אבטחה מול צוות Abuse של ספקית האינטרנט(ISP).
אחת השיטות להתמודד עם תופעת ה-Anti Spam היא שימוש ברשימות (RBL(Realtime Blackhole List המוגדרות במערכות סינון הדואר(Email Security Gateway).
ה-RBL הוא במקור כלי חינוכי,המיועד לגרום לשולחי דואר זבל להפסיק לשלוח דואר זבל ע"י רישום בבסיס הנתונים כתובות IP של שרתים השולחים דואר זבל או של שרתים שאינם טורחים לטפל בלקוחותיהם המזבלים.

הוספת שרת לרשימה נעשית בתהליך ארוך למדי, כדי לוודא שלא יהיו רישומי שווא והרישום נעשה לזמן מוגבל.

ראוי לציין כי כאשר המטרד מטופל השרת מוסר מהרשימה.

לעיתים פונים משתמשי הקצה אל מנהל הרשת\מנהל האבטחה ומציינים תופעת של אי קבלת מיילים מהצד השני.

מאחר ובמרבית הרגונים בהם ביקרתי לא מצאתי נוהל בדיקת RBL תקופתי מצאתי לנכון להציג בפנכם אתר אשר מבצע את השירות עבורינו ובחינם כמובן!

במידה ושרת הדואר נחסם בשרת RBL יישלח מייד מייל למנהל הרשת על מנת שיוכל לטפל בסוגיה בהקדם ולצמצם את הנזק מבלי שמנכ"ל הארגון ייצא מגדרו :)

להרשמה חינמית אשר אינה מצריכה פרטים חסויים יש ללחוץ כאן.

ג'אנק מייל - לא בבית ספרנו!

SecuID,Microsoft Client Access ולקוח מאתגר

אבטחת מידע הוא תחום הדורש במקרים רבים "חשיבה מחוץ לקופסה".
השבוע פנה אליי אחד מלקוחותי בבקשה מיוחדת בנושא הנ"ל.
הלקוח מפעיל את שירות ה-Client Access 2010 של מיקרוסופט(OWA) ויחד עם זאת מפעיל אפליקציות CRM בהם נעשה שימוש פנים ארגוני אך ציין כי מערכת ה-SecurID מקשה על הפעילות השוטפת ב-LAN שכן היא נועדה להזדהות חזקה למשתמשים מרשת ה-Internet.
הלקוח למעשה ביקש לאפשר הזדהות חזקה רק מעולם ה-WAN ואילו מרשת ה-LAN לבטל את ההזדהות מול המערכת.
מאחר ולא קיים פתרון integrated במוצר , הצעתי ללקוח פתרון מאובטח הולם אשר יענה לצרכיו.
ניתן לבצע את הנ"ל באמצעות Microsoft Forefront Threat Management Gateway וביצוע Publish ל-Client Access (מדובר ביורש של Microsoft ISA 2006)תוך קינפוג סוג אותנתיקציה(LDAP\SecurID) המתייחסים לכל Rule.
מאחר ואני חסיד של Best Practice מצאתי לנכון לצרף את המאמר הרלוונטי אשר ניתן להורידו מכאן.

60 שניות על אבטחת מידע בסביבת וירטואליזציה

אחד התחומים החמים ביותר כיום בתחום ה-IT הוא נושא ה-Cloud Computing אשר בו נושא הקונסולידציה תופס תאוצה ומחולל פלאים בארגונים הגדולים.
החל מחסכון בצריכת אנרגיה ,חסכון בצריכת משאבים הקמת אתרי DRP בקלות יחסית וביעקר חסכון כלכלי אדיר לארגון.
נוח מאוד לארח מעל לכ-100 שרתים על מפלצת אחת ולהשתמש ב-Storage מרכזי בעל נפח עצום שלא היינו מדמיינים עד לא מזמן ולנהל אותה תחת קונסול הניהול של ה-Hypervisor.
יחד עם זאת, ארגונים רבים ממהרים להכניס את הטכנולוגיות החדשות מבלי לבצע ניהול סיכונים מחושב ומבלי לקחת היבטי אבטחת מידע של המוצר.
לרוב,המנמ"רים נוטים להסתמך על תשתיות האבטחה הקיימות בארגון(Firewall) ולישון בשקט בלילה.
לצד הערך המוסף העומד בקנה מידה אחד לעיתים קרובות אותו מוצר(VMware ,Microsoft Hyper-V,Xen) מביא איתו איומי אבטחה בדרגת סיכון גבוהה מאוד.

העדר ידע בתפעול המערכת של צוות ה-IT משאיר פרצות אבטחת מידע רבות:


1.במרבית המקרים לאחר ההתקנה רוב ההגדרות נשארות בתצורת Default ולא מתבצעת הקשחה ע"פ נהלי Best Practice מטעם היצרן.

2.עקב רגישות המערכת המערכת מספר רב של שרתים רבים בתצורת Production לא מתבצעים עדכוני אבטחה לפלטפורמת ה-Hypervisor והמערכת חשופה ל-Vulnerabilities רבים.

3.עקב לחץ מטעם המנמ"רים להגיע לתוצאות במהירות המקסימלית ברוב המקרים לא מתבצע הליך High Level Design אשר לוקח בחשבון היבטי Security וחלק מן המקרים נוצרות טופולוגיות שגויות מבחינת אבטחת מידע.

4.עקב הנטייה של המנמ"רים לסמוך על הטכנולוגיות הקיימות לא מוטמעות טכנולוגיות אבטחה למוצרים החדשים כדוגמת Firewall העובד ברמת ה-Kernel Mode של ה-Hypervisor וכולל יכולות Intrusion Prevention.

5.לא מתבצעת חלוקה נכונה של הרשאות,לרוב כלל האנשים עובדים תחת משתמש בעל הרשאות Root.


לאחרונה נתבקשתי לבצע סקר סיכונים עבור ארגון העושה שימוש ב-VMware ESX.
לצורך הבדיקה השתמשתי ב-Tripwire ConfigCheck אשר אפשר לי לקבל תמונת מצב אודות הקונפיגורציה וסטטוסהאבטחה בסביסת ה-VMWARE.
יתרון נוסף של הכלי הוא מתן המלצות אבטחה ליישום לסגרת הפרצות:

Tripwire ConfigCheck for VMware ESX lets IT administrators enforce policies in alignment with VMware best practices for security hardening by checking a wide range of configuration parameters such as:

• Virtual network labeling
• Port Group settings
• Network isolation for VMotion and iSCSI
• NIC Mode settings / Layer 2 Security settings
• MAC address parameters
• VMware ESX Service Console security settings
• SAN resource masking and zoning
• Disk partitioning for Root File System
• VirtualCenter database configuration
• Configuration changes

בקרוב גם תשוחרר גרסה התואמת ל-VMware ESXI ,חינמי כבר אמרתי?