חור קטן – פרצה גדולה




אבטחת המידע הארגוני

בסוף דצמבר 2020 התפרסמו ידיעות בתקשורת אודות תקיפת 40 חברות שילוח ולוגיסטיקה כתוצאה מפריצה למערכות ספק התוכנה שלהן. ההתקפה על חברת התוכנה איפשרה לתוקפים לקבל את פרטי הגישה ללקוחות עמם הם עובדים ומשם, המשיכו התוקפים לדלג בקלות רבה אל 40 לקוחותיה של חברת התוכנה. תקיפה זו באה מעט אחרי ההתקפה החמורה נגד שירביט שפורסמה בהרחבה בכל אמצעי התקשורת.

אז מהי בעצם שרשרת האירועים שהובילה להתקפה של 40 חברות בבת אחת? היום, בחלוף תהליכי הניתוח של המאורעות, ניתן לומר ביתר ביטחון כי נקודת ההתחלה היא חברת התוכנה. לחברות תוכנה רבות המספקות שירותים מקצועיים ניתנת גישה מאובטחת לתשתיות הלקוחות שלה כדי שיוכלו להתחבר מרחוק ולתת שירות למערכות שונות. רוב התשתיות הללו מבוססות על SSL/VPN מסוגים שונים. כלומר, ספק אחד עם 40 לקוחות ימצא את עצמו משתמש בשפע של טכנולוגיות חיבור: עם לקוח אחד F5, עם השני ב-Pulse Secure וכן הלאה.

ספק השירות ועובדיו לא מסוגלים להתמודד עם כמות כזו של נתוני חיבור ללקוחות ולכן, נרשמים פרטי ההתחברות באופן לא מאובטח ומשותפים בין תומכים שונים של נותן השירות. די בפריצה פשוטה לספק התוכנה ומשם הדרך ללקוחות החברה היא קלה ופשוטה.

אם לתת אנלוגיה לסיפור, תארו לכם Valet Parking שמחזיק את מפתחות הרכבים ללא השגחה.

לא משנה בכמה מנגנוני אבטחה ישתמשו פורשה, פרארי ורולס רויס במכוניות שלהם, גנב פשוט ייקח את המפתח, יפתח את דלת הרכב וייסע.

אז מה עושים עם הכשל החמור הזה?
האם יש פתרון קסם? לא ממש. אבל יש הרבה טכנולוגיות בחוץ שיכולות לסייע והרבה אנשי מקצוע שיוכלו לתת עצה. הנה כמה המלצות ראשוניות:

  1. בדיקות: בצעו מבדקי חדירה (PT) לא בשביל לסמן V על הרגולציה אלא כדי לדעת מה מצבכם באמת. עדיף לתקוף את עצמך, לשלם ביוקר ולדעת את האמת מאשר לטמון את הראש בחול ולחטוף. ישנן גם מערכות אוטומטיות לשם כך.
  2. סיסמאות: אלו תמיד היו נקודת החולשה. ספקים - השתמשו במערכות לניהול סיסמאות. אל תרשמו סיסמאות בשום אופן. כמו כן, קחו בחשבון שאתם יעד לתקיפה!. השתמשו בטכנולוגיות זיהוי חזק לתחנות הארגון (ביומטרי, תגי עובד, הודעות PUSH לנייד, OTP ) ;
  3. לקוחות - הטמיעו באופן מיידי 2FA לחיבור לתחנות ושרתים (כן כן, פנימית, לא רק לחיבור מבחוץ).
  4. SSL/VPN אינו מיועד לחיבור ספקים: כשאני מתחבר ב-SSL/VPN ללקוח, הופך המחשב שלי לחלק מהרשת שלו. אפשרו לספקים גישה לתשתיות הרשת שלכם רק אם אין ברירה. השתמשו בטכנולוגיות Reverse Proxy בהן צד אחד לעולם לא מדבר ישירות עם הצד השני. הגבילו את ה-Lateral Movement. אל תתנו לתומכים את היכולת לקפץ ממקום למקום אצלכם ברשת וצמצמו למינימום את מה שהתומך יכול לראות. אם התומך צריך לראות ממשק WEB לניהול מערכת ספציפית – אפשרו לו לראות רק את זה.
  5. מנגנוני בקרה: אם ניתן, הפעילו מנגנוני Workflow לאישור חיבור ספק. רצוי שיהיה סבב אישורים לחיבור ספק מרחוק.
  6. זמן: הגבילו את זמני החיבור האפשריים על ידי התומך כדי לצמצם אפשרות חיבור מאותו מקור בכל זמן אחר.
  7. תיעוד: הקליטו את הסשנים של החיבורים מבחוץ. כך תוכלו לדעת מה בוצע ותוכלו לשחזר את המערכות במקרה של כשל.
  8. גישה זמנית: אם לספק שלכם יש משתמש AD אצלכם בארגון – בצעו לו Enable אך ורק לצורך החיבור. לאחר סיום הפעילות בצעו Disable ליוזר.
  9. הרשאות Local Admin בתחנות הקצה והשרתים הם מהמקומות הראשונים שתוקף ינסה לנצל. כשאתה Admin מקומי ומישהו הצליח לשים לך משהו על התחנה, אותו "משהו" הוא גם אדמין מקומי והוא יכול לעשות הכל - לקרוא, לכתוב, לשנות Registry, להשתכפל ברשת ולהריץ תוכנות.
  10. אגלה לכם סוד: אף אחד לא צריך להיות Local Admin ומי שטוען שכן - מסכן אתכם!. נכון שיש אפליקציות שדורשות הרשאות גבוהות. אנשי סיסטם ופיתוח צריכים אותן, אבל הם לא צריכים להיות Local Admin. קיימים פתרונות המאפשרים פעולות מוגדרות מראש עם הרשאות גבוהות, מבלי שהמשתמש חשוף להרשאה כזו.


אסכם בסיפור ישן:

שני אנשים הלכו ביער. אמר האחד לחברו, "אתה יודע, אם מופיע פה דב עכשיו, אני לא צריך לרוץ מהר, אני רק צריך לרוץ קצת יותר מהר ממך". אמנם לא ניתן להגן על הארגון ב-100%, אבל ביצוע פעולות בסיסיות שלא כלאחר יד אלא לעומק, יאפשרו לגרום לתוקף לעבור ליעד הבא, שהשקיע קצת פחות מחשבה.

Yoav Hernik

יואב הורניק הוא מנכ"ל סמארטסופט מקבוצת יעל ומומחה לפתרונות אבטחה בארגוני Enterprise