עשרת הדיברות למנהלי אבטחת מידע

למאמר הבא
ESET

התגוננות מפני אירועי סייבר והגנה על הארגון דורשת ידע רב, מומחיות והתמחויות במגוון נושאים. ארגונים רבים שואלים את עצמם האם הם משקיעים מספיק בהגנה על הארגון והאם הם משקיעים בצורה נבונה

איומי הסייבר רק הולכים ומשתכללים וכך גם הפתרונות, כך שהשאלות ששואלים את עצמם מנהלי אבטחת המידע ימשיכו ללוות אותם כאשר מטרה אחת היא – המשכיות עסקית.

ריכזנו פה את עשרת הדיברות שלנו עבורכם:

1. הגדרת תחומי אחריות – אירועי סייבר אינם אחריות של מנהלי האבטחה בלבד.
    אירוע סייבר הוא אירוע שמצריך מעורבות ברמה אסטרטגית של הנהלת הארגון. עליכם לתחום את גבולות הגזרה ולתאם בין
    הממשקים ולהגדיר את הגורם המקצועי הממליץ, מקבל ההחלטות ועוד. כמובן שבמצב אופטימלי אירועי סייבר צריכים להיות
    בהכלת מחלקת אבטחת מידע ובניהול שלהם, אבל במקרים של אירועי סייבר חריגים כמו הדלפת מידע, פריצה לשרתי הארגון,
    השבתה ועוד – נדרשת מעורבות של הנהלה בכירה.

2. הכנת תוכנית ניהול אירועי אבטחה – תוכנית סדורה וברורה מה מצופה מכל גורם בחברה לנהוג בעת אירוע אבטחה החל
    מהכלת האירוע על ידי מחלקת אבטחת המידע וכלה בהודעה מסודרת ללקוחות, לעיתונות ועוד. ארגונים שלא מתכוננים כראוי,
    גם אם הם פועלים בצורה תקינה בהיבט הטכני, בהיבט של שקיפות המידע נכשלים וזה פוגע אנושות בתדמית החברה

3. עדכוני תוכנות וגרסאות באופן שוטף ותדיר – יש להגדיר עדכוני מערכת הפעלה אוטומטיים בשרתים ובתחנות. מומלץ
    להשתמש במערכת כמו WSUS להפצה ובקרה על העדכונים, כדי לוודא שהעדכונים יתבצעו באופן אוטומטי. מומלץ גם לוודא
    שמערכות הפעלה מסוג לינוקס מקבלות עדכונים באופן שוטף. קבוצות תקיפה מחפשות ללא הרף את החולשות והפגיעויות
    האלה כדי לחדור לארגון. יש חלון הזדמנויות קצר לחדור לארגון עד שהחולשה תתוקן.

4. יש לוודא שעובדי החברה מכירים את הסכנות ברשת – חשוב מאוד לפני הכול להפנים שהעובדים הם חלק בלתי נפרד
    ממערך ההגנה על הארגון. יש ליישם תוכנית מודעות אבטחת מידע לעובדים בארגון באמצעות הדרכות, לומדות, מבחנים
    ועדכונים המתריעים על התקפות נפוצות על מנת לוודא שכל העובדים מכירים את כללי אבטחת המידע ומודעים לסכנות
    ברשת

5. יש לוודא שקיים מנגנון אנטי-ספאם ברשת - איומים רבים כמו ניסיונות פישינג נשלחים בהודעות דוא"ל לעובדים בארגון.
    יש לוודא שקיים מנגנון אנטי-ספאם שמסוגל לעצור מיילים מסוג זה ולמנוע מהם להגיע לעובד. כמובן שזה בנוסף לסעיף
    הקודם ושני הסעיפים צריכים להתקיים יחד

6. במידה ונעשה שימוש בשירות Desktop Remote יש להקפיד לפעול על פי ההמלצות הבאות:
    • יש להשתמש ב VPN או באימות דו-שלבי (2FA )או שילוב של שניהם.
    • יש להגדיר סיסמה מורכבת, מומלץ להשתמש ב – Passphrase (ביטוי המורכב ממספר מילים) ולא Password (אותיות
      ומספרים) משפטים שמשמשים כסיסמאות הם הרבה יותר בטוחים וקשים לפריצה.
    • מומלץ שלא להשתמש בחשבונות עם הרשאות Admin Domain לחיבור RDP שמגיע מחוץ לרשת.
    • החלפת פורט ברירת מחדל מפורט 3389 לפורט מעל 50,000 חשוב להבין שהחלפה של הפורט לא תמנע התקפות אלא
      תפחית במידה מסוימת התקפות אוטומטיות.
    • הגדרת כתובות IP מהן מותר להתחבר. גם כאן חשוב להבין שניתן לזייף כתובות IP.
    • הגדרת מדיניות ב- GPO (חסימת משתמש לאחר מספר ניסיונות חיבור כושלים ברצף) 

7. יש להגדיר גיבוי חיצוני למסמכים והקבצים החשובים ברשת. במהלך ניסיון הצפנה של תוכנת כופר, התוקפים ינסו גם
    להצפין גיבויים שמאוחסנים על התקנים שמחוברים פיזית לשרתים ( NAS ,קלטות, התקנים חיצוניים ניידים וכו‘) לכן חשוב
    לגבות על התקנים שאינם מחוברים באופן רציף לשרתים

8. עשו שימוש בסיסמאות קשיחות – מומלץ להשתמש ב – Passphrase (ביטוי המורכב ממספר מילים) ולא Password
    (אותיות ומספרים) עליכם ליצור סיסמה שונה, חזקה וארוכה וקשה לזכור עבור כל מקום שתרצו הגנה. תוכלו לחולל סיסמא
    במחולל הסיסמאות של ESET

9. יש לוודא התקנה של תוכנת אבטחה מעודכנת וחוקית בכל התחנות והשרתים ברשת. 
    • יש לוודא שלתוכנת האבטחה בה משתמשים קיימת מערכת קדם-פגיעה. מערכות מסוג זה מגנות על העמדה בהקדם
      האפשרי נגד איומים חדשים (Zero-Day)לרוב על ידי מנגנונים שמאפשרים הגנה עוד לפני שיוצא עדכון למערכת.
    • יש להשתמש בתחנות בחומת אש מתקדמת, במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים ע“י חומת האש
      הארגונית.
    • יש להגדיר ניקוי אוטומטי לנוזקות שאותרו. במקרים רבים, ברירת מחדל של סריקות המתבצעות על ידי תוכנות אבטחה היא
      להציע למשתמש אפשרויות ניקוי. לרוב, משתמשים פשוט יסגרו חלונות מסוג זה מבלי לבצע כל ניקוי – פעולה זו תשאיר את
      האיום במערכת.
    • להגדיר סיסמת הגנה לתוכנת האבטחה בתחנות ובשרתים על מנת למנוע הסרה ידנית, שינוי הגדרות או נטרול שלה. ברוב
      המקרים בהם חודרת תוכנת כופר למערכת, היא תנסה להסיר או לנטרל את תוכנת האבטחה כדי שלא ”תפריע“ לה.
    • להגדיר זיהוי של תוכנות לא רצויות / לא בטוחות. תוכנות לא רצויות או לא בטוחות עלולות לאפשר לנוזקות כופר דריסת רגל
      ראשונית ברשת. יש לוודא שתוכנת ההגנה ברשת מזהה גם תוכנות מסוג זה.
    • יש להגדיר דו"חות והתראות על איומים ברשת. חשוב תמיד להישאר בבקרה על איומים שנמצאים ברשת, לכן חשוב להגדיר
      דו"חות והתראות אוטומטיים ומותאמים לאיומים שזוהו. יחד עם זאת, חשוב לשים לב לאיומים שחוזרים על עצמם – גם אם הם
      מנוקים מהמערכת. לדוגמא, אם נוזקה אותרה על ידי תוכנת האבטחה ונמחקה, אך מזוהה כל פעם מחדש, יש לחקור זאת
      לעומק כדי לוודא שלא קיים מנגנון של APT

10. קיימו מבדקי חדירות חד פעמיים או תקופתיים באמצעות חברות המתמחות בנושא.

לקבלת הצעת מחיר לפתרון הגנה לארגון ניתן ליצור איתנו קשר: