המרכז הלאומי להתמודדות עם איומי סייבר המלצות להפחתת חדירות סייבר לארגונים תקציר גרסה | 1.0יוני | 2015סיוון התשע"ה הקדמה חדירה Intrusion - משימת ה CERT-הלאומי היא הגברת החוסן בסייבר ( )Cyber Resilienceשל כלל המשק ,ובתוך כך סיוע בטיפול באיומי ובאירועי סייבר ,ריכוז ושיתוף מידע רלוונטי ,יצירת נקודת ממשק מרכזית בין קהילת הביטחון לבין הארגונים במשק ,ועוד .התמיכה בגורמים האמונים על הנושא ,באמצעות חילול של שיח מקצועי מתמשך בדבר תובנות והמלצות פרקטיות ,מהווה פעילות מרכזית בהגשמת משימה זו. סיכון המחשב על ידי עקיפת האבטחה של המערכת .מטרת החדירה היא קבלת גישה שאינה מורשית להמשך פעילות עתידית (גניבת מידע ,השחתה ,שיבוש ,סיוע לתקיפות צד שלישי ( )DDoSוכדומה). שתי דרכים נפוצות לביצוע חדירות סייבר הן משלוח דוא"ל עם קישורים נגועים ((Spear Phishing על בסיס הנדסה חברתית והדבקה דרך גלישה באתרים תמימים לכאורה ( .)Waterholeתקיפות אלה מתבססות על ניצול חולשות או פרצות במחשבי ובשרתי הארגון ,כמו במערכות הפעלה או באפליקציות. לאחר ניתוח מקיף של נהגים מומלצים ( )Best Practicesבעולם ,גיבש ה CERT-הלאומי 15בקרות ( )Controlsמומלצות עם סדר עדיפות מומלץ ליישום ,שמטרתן לעצור ,לזהות או להתריע על תקיפות מסוג זה .לפי מחקרים של סוכנויות ביון בינלאומיות ,אשר חקרו אלפי תקיפות מעין אלה ,יישום 6הבקרות הראשונות צפוי להפחית את סיכויי ההדבקה של מחשבי הארגון בשיעור של עד 11 .85%הבקרות הראשונות מתאימות לכלל הארגונים ,בעוד 4הבקרות הנותרות מתאימות לארגונים בגודל בינוני ומעלה. מובן כי הטיפול בסיכונים שאותם הבקרות המומלצות נועדו לצמצם ,צריך להתבצע במסגרת תפיסה כוללת העוסקת גם בהגנות אפליקטיביות ,הגנה על המידע ,מניעת זליגת מידע ,אבטחת רשת התקשורת, ניהול סיכונים ,טיפול באירועים ועוד .בנוסף ,כמו כל פעילות מקצועית ,יישום הבקרות מחייב ביצוע על ידי איש מקצוע מתאים ,תוך בחינת התאמתן לסביבת המחשוב של הארגון הספציפי ,והפעלת שיקול דעת מקצועי ספציפי ,בהתאם לפרקטיקות עבודה מקובלות ,ותוך נקיטת מכלול אמצעי הזהירות הנדרשים. מסמך זה מופץ במסגרת המכלול המתרחב של תוצרי ה CERT-הלאומי ,שנועדו לסייע לארגונים במשק הישראלי בהיערכותם לאיומי סייבר ובהתמודדות עמם .המסמך צפוי להתעדכן מעת לעת בהתאם לצורך, וגרסתו המלאה מפורסמת באתרcert.gov.il : הנכם מוזמנים לפנות ל CERT-הלאומי בכל שאלה או הצעה בכתובת דוא"לteam@cert.gov.il : | 2המלצות להפחתת חדירות סייבר לארגונים -תקציר Exploit פיסת תוכנה או רצף של פקודות המנצלות תקלה או פגיעות ,במטרה לגרום להתנהגות בלתי צפויה במערכות מחשוב (מערכת הפעלה ,תוכנה ,חומרה וכדומה). APT (Advanced )Persistent Threat תהליכי פריצה חשאיים ומתמשכים הממוקדים לרוב בעובד/ארגון ספציפי. תהליכים אלו דורשים לרוב שימוש בטכנולוגיות מתקדמות ,לניצול נקודות תורפה וחדירה לעובד/ארגון. בקרה Control - אמצעי הגנה לניטרול ,מזעור או התראה מסיכוני סייבר. WEB Exploit kit infection chain :דוגמה קורבן דפדפן עם פגיעות גלישה לאתר נגוע הדבקה ניצול חולשת המערכת Vulnerability by product type (2014): Applications 83% Operating System 13% Hardware 4% 3 | | סיוון התשע"ה2015 | יוני1.0 גרסה הפניה לשרת המאכסן Exploit-את ה Top vulnerable applications (2014): הורדות Exploit & Malware 242 124 117 76 104 .1רשימת הבקרות לפי סדר עדיפות מומלץ ליישום פירוט הפעלת מנגנוני )Address Space Layout Randomization( ASLR ,)Data Execution Prevention( DEP ו)Enhanced Mitigation Experience Toolkit( EMET- הרצת תוכנות מורשות בלבד למניעת הפעלת פוגענים ,כולל הרשאת קבצי ,DLLסקריפטים וכדומה הפעלת חבילת מוצרי אנטי-וירוס מעודכנים ,הכוללת מנגנוני בדיקה של reputation, heuristics & signature ניהול עדכוני אבטחת מידע קריטיים אחרונים למערכות הפעלה. מומלץ להימנע משימוש במערכת ההפעלה ,Windows XPשאינה נתמכת עוד ניהול עדכונים ומעבר לגרסאות אחרונות של התוכנות הבאות במיוחד: Java, PDF viewer, Flash, web browsers and Microsoft Office הסרת הרשאות מנהל מקומי במחשבים (לעיתים קרובות מוגדר אותו משתמש וסיסמה במספר מחשבים ברשת), על מנת למנוע שימוש בהרשאות אלו להתקנה והפצה של פוגענים # שם הבקרה Enable operating system exploitation mitigation 1 Application whitelisting 2 )Use an updated Anti-virus suite (reputation, heuristic 3 Patch management - Operating systems 4 Patch management - Applications 5 Disable local administrator accounts 6 לאחר יישום שש הבקרות ,תחילה בתחנות העבודה של המשתמשים המועדים ביותר לתקיפות ,ולאחר מכן בשאר תחנות העבודה והשרתים ,ניתן להמשיך ולבצע את שאר הבקרות להעלאת רמת האבטחה הארגונית הקשחת מערכות הפעלה ואפליקציות בהסתמך על סטנדרטי הקשחה מקובלים ,הכוללים הסרת תהליכים ושירותים לא נדרשים ,הסרת משתמשי ברירת מחדל ,חסימת התקנים ניידים ועוד מניעת תקשורת בין תחנות באותה רשת ,על מנת למנוע הפצת פוגענים והורדת יכולת ,Pass-the-Hash PtH בנוסף לחסימת גישה ישירה של תחנות/שרתים לאינטרנט שלא דרך Proxy זיהוי וחסימה של פעולות אנומליות במשך הפעלת אפליקציות ,הכוללים: injection, keystroke logging, driver loading and persistence הפרדה וחלוקה של הרשת לפי פונקציונאליות נדרשת (ייצור ,בדיקות ,משתמשים וכו'), להפחתת יכולת התפשטות פוגענים ברשת הדרכה ואימון של עובדים לכללי זהירות נדרשים ,במיוחד עבור ,Phishingגלישה לאתרים חשודים ועוד ניטור רציף ,איסוף ומעבר על לוגים ,ביצוע קורלציות ,הפקת התראות וטיפול יציאה ממקום אחד מאובטח הכולל סינון אתרים, סריקת תוכן נכנס הכולל חתימות ,מוניטין ,ומנגנוני heuristics בדיקת דוא"ל נכנס במרוכז ,לרבות בדיקת צרופות וגוף הדוא"ל (בדיקת קישורים בגוף ההודעה) בניית מנגנוני גיבוי ,שחזור והתאוששות מפגיעת פוגען בארגון | 4המלצות להפחתת חדירות סייבר לארגונים -תקציר Secure configuration - Hardening )(operating systems & applications 7 Limit Workstation-to-Workstation communication and direct internet access 8 )Host Intrusion Prevention System (HIPS 9 Network segmentation and segregation 10 User training & awareness 11 Logging & Audit & Monitoring 12 Secured WEB Gateway 13 Securing Emails 14 Recovery 15 דוגמאות לתוכנות ושירותים המאפשרים יישום הבקרות.2 # שם הבקרה תוכנות ושירותים תומכים 1 Enable operating system Exploitation mitigation Microsoft: DEP, ASLR, EMET; Grsecurity 2 Application whitelisting Microsoft SRP (Software Restriction Policies), Microsoft Applocker, Commercials vendors 3 Use an updated Anti-virus suite (reputation, heuristic) Anti-virus suite that includes reputation & heuristic )Most common AV companies) 4 Patch management - Operating systems Free Microsoft WSUS and OneGet (a unified interface to package management systems MS+Linux) 5 Patch management - Applications Free Microsoft OneGet (a unified interface to package management systems MS+Linux) 6 Disable local administrator accounts Microsoft GPO (Group Policy Object) 7 Secure configuration - Hardening (operating systems & applications) Microsoft GPO based on Technet, NIST, NSA or STIGS recommendations 8 Limit Workstation-to-Workstation communication and direct internet access FW included in most common AV suites 9 Implement Host Intrusion Prevention System (HIPS) HIPS included in most common AV suites 10 Network segmentation and segregation Network FW, L/2, L/3 Switches 11 User training & awareness 12 Logging & Audit & Monitoring Logging activation on each system and application, Kiwi syslog, OpenSiem, commercial SIEM 13 Secured WEB Gateway Squid proxy, Cacheguard (free up to 100 users), IE, Firefox and Chrome filters 14 Securing Emails Microsoft Exchange SIDF ( Sender ID Filtering), SPF (Sender Policy Framework) Postfix, open mail relay, Sendmail, E-mailrelay, etc 15 Recovery A list of free backup tools: http://en.wikipedia.org/wiki/List_of_backup_software בנוסף למגוון חברות ייעוץ והדרכה המספקות את השירות,CERT-ראו תבנית בסיסית באתר ה . ואין בכך משום העדפה או המלצה על פני תוכנות אחרות,התוכנות מוצגות לצרכי הדגמה בלבד 5 | | סיוון התשע"ה2015 | יוני1.0 גרסה .3סוגיות מרכזיות להתייחסות ביישום הבקרות בארגון סיוע במניעת דלף מידע סיוע במניעת התפשטות קוד עוין סיוע במניעת הרצת קוד עוין | 6המלצות להפחתת חדירות סייבר לארגונים -תקציר סיוע בזיהוי פוגענים עלות תחזוקה (כ"א) עלות ומורכבות (אנשים ,ציוד, טכנולוגיות) התנגדות משתמשים יעילות כוללת # שם הבקרה נמוכה עלות נמוכה, מורכבות בינונית נמוכה הכרחי Enable operating system exploitation mitigation 1 בינונית עלות נמוכה, מורכבות גבוהה בינונית הכרחי Application whitelisting 2 נמוכה נמוכה נמוכה הכרחי )Use an updated Anti-virus suite (reputation & heuristic 3 בינונית בינונית נמוכה הכרחי Patch management - Operating systems 4 גבוהה גבוהה נמוכה הכרחי Patch management - Applications 5 נמוכה בינונית גבוהה הכרחי Disable local administrator accounts 6 גבוהה גבוהה גבוהה מצוינת Secure configuration - Hardening )(operating systems & applications 7 נמוכה נמוכה גבוהה מצוינת Limit Workstation-to-Workstation communication and direct internet access 8 נמוכה בינונית נמוכה מצוינת )Implement Host Intrusion Prevention System (HIPS 9 גבוהה גבוהה נמוכה מצוינת Network segmentation and segregation 10 נמוכה בינונית נמוכה טובה מאד User training & awareness 11 גבוהה גבוהה בינונית מצוינת Logging & Audit & Monitoring 12 בינונית גבוהה נמוכה טובה מאד Secured WEB Gateway 13 גבוהה גבוהה נמוכה טובה מאד Mitigating Spoofed Emails 14 בינונית בינונית נמוכה טובה מאד Recovery 15 השוואה לבקרות נהוגות במדינות אחרות לפי משפחות הגנה.4 ASD )Australian Signals Directorate( 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 7 | SANS Institute - based on ASD & NIST Application whitelisting Inventory of Authorized and Unauthorized Devices Patch applications nventory of Authorized and Unauthorized Software 1 2 Patch operating system vulnerabilities 3 Restrict administrative privileges 4 User application configuration hardening 5 Automated dynamic analysis 6 Operating system generic exploit mitigation 7 Host - based Intrusion Detection/Prevention System 8 Disable local administrator accounts 9 Network segmentation and segregation 10 Multi-factor authentication 11 Software - based application firewall, blocking incomingnetwork traffic 12 Software - based application firewall, blocking outgoing network traffic 13 Non - persistent virtualized sandboxed trusted operating environment 14 Centralized and time - synchronized logging of successful and failed computer events 15 Centralized and time - synchronized logging of allowed and blocked network activity 16 Email content filtering 17 Web content filtering 18 Web domain whitelisting for all domains 19 Block spoofed emails 20 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers Continuous Vulnerability Assessment and Remediation Malware Defenses Application Software Security Wireless Device Control Data Recovery Capability Security Skills Assessment and Appropriate Training to Fill Gaps Secure Configurations for Network Devices such as Firewalls, Routers, and Switches Limitation and Control of Network Ports, Protocols, and Services Controlled Use of Administrative Privileges Boundary Defense Maintenance, Monitoring, and Analysis of Audit Logs Controlled Access Based on the Need to Know Account Monitoring and Control TLS encryption between email servers Block attempts to access websites by their IP address Network-based Intrusion Detection/Prevention System Gateway blacklisting Capture network traffic | סיוון התשע"ה2015 | יוני1.0 גרסה Patch management - Applications Disable local administrator accounts Secure configuration - Hardening (operating systems & applications) Limit Workstation-to-Workstation communication and direct internet access Implement Host Intrusion Prevention System (HIPS) Network segmentation and segregation User training & awareness Logging & Audit & Monitoring Secured WEB Gateway Securing Emails Recovery Penetration Tests and Red Team Exercises Users & Permissions NSA – IAD (Information Assurance Directorate) Enforce a strong passphrase policy Signature-based antivirus software Patch management - Operating systems Communication & Access Control Server application configuration hardening Workstation inspection of Microsoft Office files Use an updated Anti-virus suite (reputation, heuristic) Secure Network Engineering Deny direct Internet access from workstations User education Application whitelisting Incident Response Capability Antivirus software using heuristics and automated Internet based reputation ratings Restrict access to Server Message Block (SMB) and NetBIOS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Data Loss Prevention Workstation and server configuration management Removable and portable media control CERT-IL Enable operating system exploitation mitigation 1 2 3 4 5 6 7 8 9 10 Application whitelisting Device Integrity Control Administrative Privileges Limit Workstation-to-Workstation Communication Use Anti-Virus File Reputation Services Enable Anti-Exploitation Features Implement Host Intrusion Prevention System (HIPS) Set a Secure Baseline Configuration Use Web Domain Name System (DNS) Reputation Take Advantage of Software Improvements Segregate Networks and Functions Risk, Audit, Monitor, Incident Files, Data & Applications Integrity cert.gov.il הפקה :לשכת הפרסום הממשלתית. respect
© Copyright 2024