להורדת התקציר בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר

‫המרכז הלאומי‬
‫להתמודדות עם איומי סייבר‬
‫המלצות להפחתת‬
‫חדירות סייבר לארגונים‬
‫תקציר‬
‫גרסה ‪ | 1.0‬יוני ‪ | 2015‬סיוון התשע"ה‬
‫הקדמה‬
‫חדירה ‪Intrusion -‬‬
‫משימת ה‪ CERT-‬הלאומי היא הגברת החוסן בסייבר (‪ )Cyber Resilience‬של כלל המשק‪ ,‬ובתוך כך‬
‫סיוע בטיפול באיומי ובאירועי סייבר‪ ,‬ריכוז ושיתוף מידע רלוונטי‪ ,‬יצירת נקודת ממשק מרכזית בין קהילת‬
‫הביטחון לבין הארגונים במשק‪ ,‬ועוד‪ .‬התמיכה בגורמים האמונים על הנושא‪ ,‬באמצעות חילול של שיח‬
‫מקצועי מתמשך בדבר תובנות והמלצות פרקטיות‪ ,‬מהווה פעילות מרכזית בהגשמת משימה זו‪.‬‬
‫סיכון המחשב על ידי עקיפת האבטחה‬
‫של המערכת‪ .‬מטרת החדירה היא קבלת‬
‫גישה שאינה מורשית להמשך פעילות‬
‫עתידית (גניבת מידע‪ ,‬השחתה‪ ,‬שיבוש‪ ,‬סיוע‬
‫לתקיפות צד שלישי (‪ )DDoS‬וכדומה)‪.‬‬
‫שתי דרכים נפוצות לביצוע חדירות סייבר הן משלוח דוא"ל עם קישורים נגועים (‪(Spear Phishing‬‬
‫על בסיס הנדסה חברתית והדבקה דרך גלישה באתרים תמימים לכאורה (‪ .)Waterhole‬תקיפות אלה‬
‫מתבססות על ניצול חולשות או פרצות במחשבי ובשרתי הארגון‪ ,‬כמו במערכות הפעלה או באפליקציות‪.‬‬
‫לאחר ניתוח מקיף של נהגים מומלצים (‪ )Best Practices‬בעולם‪ ,‬גיבש ה‪ CERT-‬הלאומי ‪ 15‬בקרות‬
‫(‪ )Controls‬מומלצות עם סדר עדיפות מומלץ ליישום‪ ,‬שמטרתן לעצור‪ ,‬לזהות או להתריע על תקיפות‬
‫מסוג זה‪ .‬לפי מחקרים של סוכנויות ביון בינלאומיות‪ ,‬אשר חקרו אלפי תקיפות מעין אלה‪ ,‬יישום ‪ 6‬הבקרות‬
‫הראשונות צפוי להפחית את סיכויי ההדבקה של מחשבי הארגון בשיעור של עד ‪ 11 .85%‬הבקרות‬
‫הראשונות מתאימות לכלל הארגונים‪ ,‬בעוד ‪ 4‬הבקרות הנותרות מתאימות לארגונים בגודל בינוני ומעלה‪.‬‬
‫מובן כי הטיפול בסיכונים שאותם הבקרות המומלצות נועדו לצמצם‪ ,‬צריך להתבצע במסגרת תפיסה‬
‫כוללת העוסקת גם בהגנות אפליקטיביות‪ ,‬הגנה על המידע‪ ,‬מניעת זליגת מידע‪ ,‬אבטחת רשת התקשורת‪,‬‬
‫ניהול סיכונים‪ ,‬טיפול באירועים ועוד‪ .‬בנוסף‪ ,‬כמו כל פעילות מקצועית‪ ,‬יישום הבקרות מחייב ביצוע על ידי‬
‫איש מקצוע מתאים‪ ,‬תוך בחינת התאמתן לסביבת המחשוב של הארגון הספציפי‪ ,‬והפעלת שיקול דעת‬
‫מקצועי ספציפי‪ ,‬בהתאם לפרקטיקות עבודה מקובלות‪ ,‬ותוך נקיטת מכלול אמצעי הזהירות הנדרשים‪.‬‬
‫מסמך זה מופץ במסגרת המכלול המתרחב של תוצרי ה‪ CERT-‬הלאומי‪ ,‬שנועדו לסייע לארגונים במשק‬
‫הישראלי בהיערכותם לאיומי סייבר ובהתמודדות עמם‪ .‬המסמך צפוי להתעדכן מעת לעת בהתאם לצורך‪,‬‬
‫וגרסתו המלאה מפורסמת באתר‪cert.gov.il :‬‬
‫הנכם מוזמנים לפנות ל‪ CERT-‬הלאומי בכל שאלה או הצעה בכתובת דוא"ל‪team@cert.gov.il :‬‬
‫‪ | 2‬המלצות להפחתת חדירות סייבר לארגונים ‪ -‬תקציר‬
‫‪Exploit‬‬
‫פיסת תוכנה או רצף של פקודות‬
‫המנצלות תקלה או פגיעות‪ ,‬במטרה לגרום‬
‫להתנהגות בלתי צפויה במערכות מחשוב‬
‫(מערכת הפעלה‪ ,‬תוכנה‪ ,‬חומרה וכדומה)‪.‬‬
‫‪APT (Advanced‬‬
‫)‪Persistent Threat‬‬
‫תהליכי פריצה חשאיים ומתמשכים‬
‫הממוקדים לרוב בעובד‪/‬ארגון ספציפי‪.‬‬
‫תהליכים אלו דורשים לרוב שימוש‬
‫בטכנולוגיות מתקדמות‪ ,‬לניצול נקודות‬
‫תורפה וחדירה לעובד‪/‬ארגון‪.‬‬
‫בקרה ‪Control -‬‬
‫אמצעי הגנה לניטרול‪ ,‬מזעור‬
‫או התראה מסיכוני סייבר‪.‬‬
WEB Exploit kit infection chain :‫דוגמה‬
‫קורבן‬
‫דפדפן עם פגיעות‬
‫גלישה לאתר נגוע‬
‫הדבקה‬
‫ניצול חולשת המערכת‬
Vulnerability by
product type
(2014):
Applications
83%
Operating System
13%
Hardware
4%
3 |
‫ | סיוון התשע"ה‬2015 ‫ | יוני‬1.0 ‫גרסה‬
‫הפניה לשרת המאכסן‬
Exploit-‫את ה‬
Top vulnerable
applications
(2014):
‫הורדות‬
Exploit & Malware
242
124
117
76
104
‫‪ .1‬רשימת הבקרות לפי סדר עדיפות מומלץ ליישום‬
‫פירוט‬
‫הפעלת מנגנוני ‪)Address Space Layout Randomization( ASLR ,)Data Execution Prevention( DEP‬‬
‫ו‪)Enhanced Mitigation Experience Toolkit( EMET-‬‬
‫הרצת תוכנות מורשות בלבד למניעת הפעלת פוגענים‪ ,‬כולל הרשאת קבצי ‪ ,DLL‬סקריפטים וכדומה‬
‫הפעלת חבילת מוצרי אנטי‪-‬וירוס מעודכנים‪ ,‬הכוללת מנגנוני בדיקה של ‪reputation, heuristics & signature‬‬
‫ניהול עדכוני אבטחת מידע קריטיים אחרונים למערכות הפעלה‪.‬‬
‫מומלץ להימנע משימוש במערכת ההפעלה ‪ ,Windows XP‬שאינה נתמכת עוד‬
‫ניהול עדכונים ומעבר לגרסאות אחרונות של התוכנות הבאות במיוחד‪:‬‬
‫‪Java, PDF viewer, Flash, web browsers and Microsoft Office‬‬
‫הסרת הרשאות מנהל מקומי במחשבים (לעיתים קרובות מוגדר אותו משתמש וסיסמה במספר מחשבים ברשת)‪,‬‬
‫על מנת למנוע שימוש בהרשאות אלו להתקנה והפצה של פוגענים‬
‫‪#‬‬
‫שם הבקרה‬
‫‪Enable operating system exploitation mitigation‬‬
‫‪1‬‬
‫‪Application whitelisting‬‬
‫‪2‬‬
‫)‪Use an updated Anti-virus suite (reputation, heuristic‬‬
‫‪3‬‬
‫‪Patch management - Operating systems‬‬
‫‪4‬‬
‫‪Patch management - Applications‬‬
‫‪5‬‬
‫‪Disable local administrator accounts‬‬
‫‪6‬‬
‫לאחר יישום שש הבקרות‪ ,‬תחילה בתחנות העבודה של המשתמשים המועדים ביותר לתקיפות‪ ,‬ולאחר מכן בשאר תחנות העבודה והשרתים‪ ,‬ניתן להמשיך ולבצע את שאר הבקרות להעלאת רמת האבטחה הארגונית‬
‫הקשחת מערכות הפעלה ואפליקציות בהסתמך על סטנדרטי הקשחה מקובלים‪ ,‬הכוללים‬
‫הסרת תהליכים ושירותים לא נדרשים‪ ,‬הסרת משתמשי ברירת מחדל‪ ,‬חסימת התקנים ניידים ועוד‬
‫מניעת תקשורת בין תחנות באותה רשת‪ ,‬על מנת למנוע הפצת פוגענים והורדת יכולת ‪,Pass-the-Hash PtH‬‬
‫בנוסף לחסימת גישה ישירה של תחנות‪/‬שרתים לאינטרנט שלא דרך ‪Proxy‬‬
‫זיהוי וחסימה של פעולות אנומליות במשך הפעלת אפליקציות‪ ,‬הכוללים‪:‬‬
‫‪injection, keystroke logging, driver loading and persistence‬‬
‫הפרדה וחלוקה של הרשת לפי פונקציונאליות נדרשת (ייצור‪ ,‬בדיקות‪ ,‬משתמשים וכו')‪,‬‬
‫להפחתת יכולת התפשטות פוגענים ברשת‬
‫הדרכה ואימון של עובדים לכללי זהירות נדרשים‪ ,‬במיוחד עבור ‪ ,Phishing‬גלישה לאתרים חשודים ועוד‬
‫ניטור רציף‪ ,‬איסוף ומעבר על לוגים‪ ,‬ביצוע קורלציות‪ ,‬הפקת התראות וטיפול‬
‫יציאה ממקום אחד מאובטח הכולל סינון אתרים‪,‬‬
‫סריקת תוכן נכנס הכולל חתימות‪ ,‬מוניטין‪ ,‬ומנגנוני ‪heuristics‬‬
‫בדיקת דוא"ל נכנס במרוכז‪ ,‬לרבות בדיקת צרופות וגוף הדוא"ל (בדיקת קישורים בגוף ההודעה)‬
‫בניית מנגנוני גיבוי‪ ,‬שחזור והתאוששות מפגיעת פוגען בארגון‬
‫‪ | 4‬המלצות להפחתת חדירות סייבר לארגונים ‪ -‬תקציר‬
‫‪Secure configuration - Hardening‬‬
‫)‪(operating systems & applications‬‬
‫‪7‬‬
‫‪Limit Workstation-to-Workstation‬‬
‫‪communication and direct internet access‬‬
‫‪8‬‬
‫)‪Host Intrusion Prevention System (HIPS‬‬
‫‪9‬‬
‫‪Network segmentation and segregation‬‬
‫‪10‬‬
‫‪User training & awareness‬‬
‫‪11‬‬
‫‪Logging & Audit & Monitoring‬‬
‫‪12‬‬
‫‪Secured WEB Gateway‬‬
‫‪13‬‬
‫‪Securing Emails‬‬
‫‪14‬‬
‫‪Recovery‬‬
‫‪15‬‬
‫ דוגמאות לתוכנות ושירותים המאפשרים יישום הבקרות‬.2
#
‫שם הבקרה‬
‫תוכנות ושירותים תומכים‬
1
Enable operating system Exploitation mitigation
Microsoft: DEP, ASLR, EMET; Grsecurity
2
Application whitelisting
Microsoft SRP (Software Restriction Policies), Microsoft Applocker, Commercials vendors
3
Use an updated Anti-virus suite (reputation,
heuristic)
Anti-virus suite that includes reputation & heuristic )Most common AV companies)
4
Patch management - Operating systems
Free Microsoft WSUS and OneGet
(a unified interface to package management systems MS+Linux)
5
Patch management - Applications
Free Microsoft OneGet (a unified interface to package management systems MS+Linux)
6
Disable local administrator accounts
Microsoft GPO (Group Policy Object)
7
Secure configuration - Hardening (operating
systems & applications)
Microsoft GPO based on Technet, NIST, NSA or STIGS recommendations
8
Limit Workstation-to-Workstation communication
and direct internet access
FW included in most common AV suites
9
Implement Host Intrusion Prevention System (HIPS)
HIPS included in most common AV suites
10
Network segmentation and segregation
Network FW, L/2, L/3 Switches
11
User training & awareness
12
Logging & Audit & Monitoring
Logging activation on each system and application, Kiwi syslog, OpenSiem, commercial SIEM
13
Secured WEB Gateway
Squid proxy, Cacheguard (free up to 100 users), IE, Firefox and Chrome filters
14
Securing Emails
Microsoft Exchange SIDF ( Sender ID Filtering), SPF (Sender Policy Framework)
Postfix, open mail relay, Sendmail, E-mailrelay, etc
15
Recovery
A list of free backup tools: http://en.wikipedia.org/wiki/List_of_backup_software
‫ בנוסף למגוון חברות ייעוץ והדרכה המספקות את השירות‬,CERT-‫ראו תבנית בסיסית באתר ה‬
.‫ ואין בכך משום העדפה או המלצה על פני תוכנות אחרות‬,‫התוכנות מוצגות לצרכי הדגמה בלבד‬
5 |
‫ | סיוון התשע"ה‬2015 ‫ | יוני‬1.0 ‫גרסה‬
‫‪ .3‬סוגיות מרכזיות להתייחסות ביישום הבקרות בארגון‬
‫סיוע‬
‫במניעת‬
‫דלף מידע‬
‫סיוע‬
‫במניעת‬
‫התפשטות‬
‫קוד עוין‬
‫סיוע‬
‫במניעת‬
‫הרצת‬
‫קוד עוין‬
‫‪ | 6‬המלצות להפחתת חדירות סייבר לארגונים ‪ -‬תקציר‬
‫סיוע‬
‫בזיהוי‬
‫פוגענים‬
‫עלות‬
‫תחזוקה‬
‫(כ"א)‬
‫עלות‬
‫ומורכבות‬
‫(אנשים‪ ,‬ציוד‪,‬‬
‫טכנולוגיות)‬
‫התנגדות‬
‫משתמשים‬
‫יעילות‬
‫כוללת‬
‫‪#‬‬
‫שם הבקרה‬
‫נמוכה‬
‫עלות נמוכה‪,‬‬
‫מורכבות בינונית‬
‫נמוכה‬
‫הכרחי‬
‫‪Enable operating system exploitation mitigation‬‬
‫‪1‬‬
‫בינונית‬
‫עלות נמוכה‪,‬‬
‫מורכבות גבוהה‬
‫בינונית‬
‫הכרחי‬
‫‪Application whitelisting‬‬
‫‪2‬‬
‫נמוכה‬
‫נמוכה‬
‫נמוכה‬
‫הכרחי‬
‫)‪Use an updated Anti-virus suite (reputation & heuristic‬‬
‫‪3‬‬
‫בינונית‬
‫בינונית‬
‫נמוכה‬
‫הכרחי‬
‫‪Patch management - Operating systems‬‬
‫‪4‬‬
‫גבוהה‬
‫גבוהה‬
‫נמוכה‬
‫הכרחי‬
‫‪Patch management - Applications‬‬
‫‪5‬‬
‫נמוכה‬
‫בינונית‬
‫גבוהה‬
‫הכרחי‬
‫‪Disable local administrator accounts‬‬
‫‪6‬‬
‫גבוהה‬
‫גבוהה‬
‫גבוהה‬
‫מצוינת‬
‫‪Secure configuration - Hardening‬‬
‫)‪(operating systems & applications‬‬
‫‪7‬‬
‫נמוכה‬
‫נמוכה‬
‫גבוהה‬
‫מצוינת‬
‫‪Limit Workstation-to-Workstation‬‬
‫‪communication and direct internet access‬‬
‫‪8‬‬
‫נמוכה‬
‫בינונית‬
‫נמוכה‬
‫מצוינת‬
‫)‪Implement Host Intrusion Prevention System (HIPS‬‬
‫‪9‬‬
‫גבוהה‬
‫גבוהה‬
‫נמוכה‬
‫מצוינת‬
‫‪Network segmentation and segregation‬‬
‫‪10‬‬
‫נמוכה‬
‫בינונית‬
‫נמוכה‬
‫טובה מאד‬
‫‪User training & awareness‬‬
‫‪11‬‬
‫גבוהה‬
‫גבוהה‬
‫בינונית‬
‫מצוינת‬
‫‪Logging & Audit & Monitoring‬‬
‫‪12‬‬
‫בינונית‬
‫גבוהה‬
‫נמוכה‬
‫טובה מאד‬
‫‪Secured WEB Gateway‬‬
‫‪13‬‬
‫גבוהה‬
‫גבוהה‬
‫נמוכה‬
‫טובה מאד‬
‫‪Mitigating Spoofed Emails‬‬
‫‪14‬‬
‫בינונית‬
‫בינונית‬
‫נמוכה‬
‫טובה מאד‬
‫‪Recovery‬‬
‫‪15‬‬
‫ השוואה לבקרות נהוגות במדינות אחרות לפי משפחות הגנה‬.4
ASD )Australian Signals Directorate(
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
7 |
SANS Institute - based on ASD & NIST
Application whitelisting
Inventory of Authorized and Unauthorized Devices
Patch applications
nventory of Authorized and Unauthorized Software
1
2
Patch operating system vulnerabilities
3
Restrict administrative privileges
4
User application configuration hardening
5
Automated dynamic analysis
6
Operating system generic exploit mitigation
7
Host - based Intrusion Detection/Prevention System
8
Disable local administrator accounts
9
Network segmentation and segregation
10
Multi-factor authentication
11
Software - based application firewall, blocking incomingnetwork traffic 12
Software - based application firewall, blocking outgoing network traffic 13
Non - persistent virtualized sandboxed trusted operating environment 14
Centralized and time - synchronized logging of successful and failed computer events 15
Centralized and time - synchronized logging of allowed and blocked network activity
16
Email content filtering
17
Web content filtering
18
Web domain whitelisting for all domains
19
Block spoofed emails
20
Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
Continuous Vulnerability Assessment and Remediation
Malware Defenses
Application Software Security
Wireless Device Control
Data Recovery Capability
Security Skills Assessment and Appropriate Training to Fill Gaps
Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
Limitation and Control of Network Ports, Protocols, and Services
Controlled Use of Administrative Privileges
Boundary Defense
Maintenance, Monitoring, and Analysis of Audit Logs
Controlled Access Based on the Need to Know
Account Monitoring and Control
TLS encryption between email servers
Block attempts to access websites by their IP address
Network-based Intrusion Detection/Prevention System
Gateway blacklisting
Capture network traffic
‫ | סיוון התשע"ה‬2015 ‫ | יוני‬1.0 ‫גרסה‬
Patch management - Applications
Disable local administrator accounts
Secure configuration - Hardening (operating systems & applications)
Limit Workstation-to-Workstation communication and direct internet access
Implement Host Intrusion Prevention System (HIPS)
Network segmentation and segregation
User training & awareness
Logging & Audit & Monitoring
Secured WEB Gateway
Securing Emails
Recovery
Penetration Tests and Red Team Exercises
Users &
Permissions
NSA – IAD (Information Assurance Directorate)
Enforce a strong passphrase policy
Signature-based antivirus software
Patch management - Operating systems
Communication
& Access
Control
Server application configuration hardening
Workstation inspection of Microsoft Office files
Use an updated Anti-virus suite (reputation, heuristic)
Secure Network Engineering
Deny direct Internet access from workstations
User education
Application whitelisting
Incident Response Capability
Antivirus software using heuristics and automated Internet based reputation ratings
Restrict access to Server Message Block (SMB) and NetBIOS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Data Loss Prevention
Workstation and server configuration management
Removable and portable media control
CERT-IL
Enable operating system exploitation mitigation
1
2
3
4
5
6
7
8
9
10
Application whitelisting
Device
Integrity
Control Administrative Privileges
Limit Workstation-to-Workstation Communication
Use Anti-Virus File Reputation Services
Enable Anti-Exploitation Features
Implement Host Intrusion Prevention System (HIPS)
Set a Secure Baseline Configuration
Use Web Domain Name System (DNS) Reputation
Take Advantage of Software Improvements
Segregate Networks and Functions
Risk,
Audit,
Monitor,
Incident
Files, Data &
Applications
Integrity
‫‪cert.gov.il‬‬
‫הפקה‪ :‬לשכת הפרסום הממשלתית‪.‬‬
‫‪respect‬‬