penidabet penidabet penidabet penidabet penidabet penidabet penidabet penidabet penidabet penidabet penidabet...
לעבוד מרחוק – בלי לפתוח דלת להאקרים
קראו עוד
מאמרים
בעל אתר, מדוע גוגל מחייבים אותך בתעודה דיגיטלית (SSL) באתרך
רוצה להתייעץ עם המומחים?
לעבוד מרחוק – בלי לפתוח דלת להאקרים
המלצות קריטיות לאבטחת מערכות שיתוף פעולה ו-VPN בעידן הדיגיטלי
מאת: יניר דהן – מומחה אבטחת מידע, מעל 15 שנה בתעשיית הסייבר ההגנתית
לאורך השנים ראיתי מתקפות סייבר מכל הסוגים – מהשתלטות על שרתים ועד דליפות מידע שגרמו לנזק בלתי הפיך לארגון. אבל מאז 2020, עם המעבר המסיבי לעבודה מרחוק, אנו רואים עלייה מתמדת בניסיונות פריצה דרך ערוצי התקשורת הכי שגרתיים שלנו – שיחות וידאו, מערכות VPN, וכלים שיתופיים.
מה שפעם היה נחשב "נוח" – הפך לאחד מחוליי האבטחה הקריטיים ביותר.
והבשורה הברורה? רוב הארגונים לא באמת ערוכים לזה.
תקיפה דרך הזום? לא מדע בדיוני
כשאני מספר למנהלים בכירים שתוקפים היום לא פורצים דרך הפיירוול, אלא פשוט "מתחברים לפגישה", הם לא מאמינים.
אבל המציאות היא כזו: משתמש שהוזמן לפגישת Zoom עם קישור פתוח – עלול להיות "האיש מבפנים" מבלי שאף אחד יבחין.
מתקפות מהסוג הזה (שאנחנו מכנים Internal Spoofing) מאפשרות לתוקפים לגנוב מידע מהצ’אט, לשתול קבצים עם נוזקות, או פשוט להאזין לשיחה קריטית בין מחלקת הפיתוח למחלקת הכספים.
מערך הסייבר הלאומי נכנס לתמונה
התגובה לא איחרה לבוא. לאחרונה פרסם מערך הסייבר הלאומי רשימת המלצות דחופות לשיפור האבטחה במערכות לשיתוף פעולה מרחוק, כגון:
-
Zoom
-
Google Meet
-
Microsoft Teams
-
Cisco Webex
-
BlueJeans
ועוד.
ההנחיות כוללות כלים פשוטים ליישום כמו שימוש באימות דו-שלבי, קביעת סיסמאות לפגישות, וחסימת גישה ממשתמשים לא מזוהים. אבל הן כוללות גם צעדים מתקדמים יותר כמו ניטור רשת בזמן אמת והקשחת הגדרות ב-VPN.
הבעיה האמיתית: השאננות
כמי שמלווה חברות בתעשייה הביטחונית, הפיננסית והמסחרית – אני יכול להעיד שרוב הפריצות לא קורות בגלל “האקר מתוחכם”, אלא פשוט כי מישהו לא הגדיר סיסמה או לא עדכן את גרסת התוכנה.
ארגון שעובד עם 100 עובדים, שמתוכם לפחות 30 עובדים מרחוק – הוא יעד. ולא בגלל שהוא מיוחד, אלא בגלל שהוא קל.
השאלה האמיתית היא לא אם ינסו לפרוץ – אלא מתי זה יקרה, והאם נהיה מוכנים.
חמש פעולות חובה שצריך ליישם עכשיו
1. ניהול גישה קפדני לפגישות
הפסק להשתמש בקישורים פתוחים. קבע סיסמה לכל פגישה, הפעל חדר המתנה (waiting room), והגבל את השיתוף רק למארח.
2. אימות דו-שלבי למשתמשים
זה אולי נשמע טרחני, אבל אימות דו-שלבי חוסם למעלה מ-90% מניסיונות התחברות לא מורשים. ברוב הפלטפורמות אפשר להפעיל את זה תוך דקות.
3. שדרוג מערכות VPN
אם אתם עדיין משתמשים ב-VPN ישן שאינו תומך בהצפנה AES-256 – אתם מסכנים את כל הרשת שלכם. בנוסף, יש להשתמש בפיירוול חכם שיזהה גישה חריגה גם מתוך ה-VPN.
4. מדיניות הרשאות לפי תפקיד
העובד מהשיווק לא צריך גישה לשרתים של הפיתוח. ככל שההרשאות מפורטות ומוגדרות היטב – כך הסיכון קטן.
5. הדרכות עובדים
גם המערכת הכי מאובטחת תיכשל אם המשתמש מקליק על קובץ זדוני בפגישה. הדרכה קצרה אחת לחודשיים – יכולה למנוע אסון.
למה דווקא עכשיו?
האיומים מתפתחים, הכלים נהיים מתוחכמים יותר – אבל חדשות טובות: גם הפתרונות.
בעבודה עם לקוחותיי, אני רואה איך שינוי קטן בפרוטוקול עבודה יומיומי – משנה את כל תמונת האבטחה.
בעזרת מערכות מתקדמות לניהול פגישות ואבטחת VPN, ניתן לקבל שליטה מלאה:
-
מי נכנס?
-
מתי?
-
דרך איזה מכשיר?
-
והאם הוא איים על המערכת?
למעשה, חברות שכבר יישמו את ההנחיות מדווחות על ירידה של 70% באירועים חריגים.
לסיכום: שלב ההגנה – עכשיו
העבודה מרחוק כאן להישאר, אבל אין סיבה שהיא תבוא על חשבון הבטיחות.
זה הזמן להסתכל על מערכות השיתוף מרחוק לא ככלי עזר – אלא כשער קריטי לרשת הארגונית.
וזה בדיוק המקום שבו אנחנו נכנסים לתמונה: לנתח, להקשיח, ולאבטח – בצורה שקטה, חכמה ומותאמת בדיוק לצרכים של הארגון שלך.
תגיות
מאמרים אחרונים
שבוע ההתקפה על ישראל בקרוב כאן
בשנים האחרונות אנו צופים את מתקפת OP-Israel שמתקיימת בתחילתו של חודש אפריל, התאריך הוא בד"כ 7.4 אך צפינו בשנים הקודמות...
ביצוע הפניית שיחות , "עקוב אחרי" למרכזיה המתקדמת של ONET.
המרכזייה של Onet נוחה, נגישה מכל מקום, וגם השיחות מוקלטות באופן אוטומטי, כיף...
סיכוני הסייבר מתגברים , עסקים קטנים ובינוניים (SMB) מאמצים פתרונות של אנטרפרייז
בשנים האחרונות, היו שינויים דרמתיים, שהשפיעו על כולם, מגפת הקורונה חייבה עסקים לעבור למסלול עבודה מרוחק והיברידי ושלחה...
נתב שיחות נגיש
נתב השיחות של הארגון צריך להיות מונגש - על פי חוק. אז איך מנגישים את הנתב, כך שגם בעלי מוגבלות יוכלו להגיע אלייך ובדרך...
התייעץ עם המומחים שלנו
מאמרים
בעל אתר, מדוע גוגל מחייבים אותך בתעודה דיגיטלית (SSL) באתרך
אם יש לך אתר תדמיתי או בכללי אתר, שאיננו מסחרי, ואיננו דורש רישום ושמירת פרטים, לרוב לא היית שומע על הצפנת תעבורה, תעודה דיגיטלית, SSL ועוד,
במידה ואין לך תעודה דיגיטלית מסוג SSL, גוגל הולכת לסמן את האתר שלך, ואתה לא הולך לאהוב את זה, ובטח שלא הגולשים, או הלקוחות הפוטנציאלים שיסתובבו מהר, חרף ההזהרות הנוקבות והקשות של גוגל בכניסה לאתרים מסומנים,
הלקוחות ובכלל אנחנו כבני אדם פונים למאגר המידע הגדול ביותר – האינטרנט לכל שאלה (וזה לכל שאלה!),
החל ממכירה וקנייה, המלצות לסרט או מקומות בילוי ליציאה,
האינטרנט חובה בתוכו המון דברים טובים, זמינים המידע , גישה למידע, חופש הביטוי ועוד ועוד.. הכפר הגלובלי בלחיצת כפתור,
בעולם אינטרנטי תובעני כל כך, אבטחה היא חלק בלתי נפרד מהתקדמות וטכנולוגיה, עם כל הטוב הזה, יש מי שמנצל את הגישה לדברים טובים פחות,
אבטחה באינטרנט נהייתה חובה
באופן "מוזר" גוגל אוהבת את משתמשיה ולכן מנסה בכל דרך אפשרית למגן ולאפשר תצורת עבודה מוגנת ובטוחה יותר , ולגרום לנו הגולשים להיות ולהרגיש בטוחים יותר,
בהכרזה של גוגל, גוגל תסמן (flag) את כל האתרים שאינם מוצפנים (ללא תעודת SSL),
גוגל תסמן כ 23 מהאתרים כלא בטוחים
ssl-not-secure-warning
האם אני צריך לדאוג לגבי SSL? מתי אני צריך SSL?
כשדפדפן כרום (גרסה 62) שוחרר (אנחנו כיום בגרסה 66), כל אתר ולא משנה איזה שיש בו חיפוש באתר , רישום , רישום לטפסים כלשהם, רשימות תפוצה, הוא זקוק לתעודת SSL
בעקרון כל אתר זקוק לתעודת SSL!
דגשים מיוחדים לאתרים בעלי:
- האם האתר שלך לוקח פרטי גישה או הזנת טקסט תוכן , כגון תגובות, רישום לאתר , רישום לרשימת תפוצה ועוד…
- האתר שלך בלי תעודה והוא ב https:// ?
אם אתה עונה לתשובות הללו בחיוב, הרי שאתה מחוייב באופן ישיר בתעודת SSL כדי להימנע מסיכונים או הודעות הזהרה מפחידות, אם אתה לא מוסיף תעודת SSL לאתר, הגולשים שלך יראו שאתרך מסומן כ "לא בטוח" בגלישה וביקור באתרך
מה זה התעודה דיגיטלית, מה זה הSSL הזה?
המילה SSL היא ראשי תיבות של "Secure Sockets Layer" שזהו הסטנדרט האבטחתי באינטרנט לייצירת חיבור וקשר מאובטח בין אתר (שרת) לבין דפדפן (מחשב או מכשיר נייד כגון סלולרי וטאבלט)
הקשר המאובטח הזה מבטיח שכל התעבורה והמידע שעובר בין השרת (אתר) לבין הדפדפן (מחשבסמארטפוןטאבלט ..) ישאר מאובטח ופרטי והמידע יהיה מהימן
אם אין לך תעודה דיגיטלית (SSL), חיבור מאובטח ומוצפן לא יכול להתקיים ,
זה אומר שהאתר שלך,של החברה שלך, של הנכס הדיגיטלי שלך, לא יהיה מאובטח ומחובר בתקשורת מוצפנת ובטוחה ולא יהיה מחובר למפתח קריפטוגרפי
בתעודה הדיגיטלית (SS) יש את הנתונים הבאים:
- מספר סידורי (SERIAL) ותאיך פג תוקף של התעודה
- שם המחזיר בתעודה שם האתר שם הארגון שם החברה
- עותק של המפתח הצפנה הציבורי
- הרשם החותם של התעודה הדיגטלית
image by serverguy img_ssl_how_it_works
מדוע תעודת SSL קריטית ?
בהמשך לרשום מעלה , להלן מספר נושאים נוספים למה כל כך חשוב וקריטי תעודת SSL :
- הצפנת המידע שעובר מספר רב של "ידיים"
המידע שנשלח ברשת האינטרנט עובר מ"מחשב" ל"מחשב" , משמע הוא עובר הרבה "צמתי" מחשוב בדרך עד להגיעו ליעד כל מחשב בדרך, יכול לראות את מספר כרטיס האשראי שלך, שם המשתמש שלך, סיסמאות שלך ,ומידע אישי ורגיש נוסף,אם אין הצפנת SSL והתעבורה לא מאובטחת ומוצפנת בין הדפדפן לשרת האתר
כאשר מוסיפים תעודה דיגיטלית (SSL) המידע עובר להיות מוצפן ומאובטח והמידע לא ניתן לקריאה למי ש"באמצע" או למי ש"מאזין" למידע שעובר ברשת בין הדפדפן לשרת האתר, מסיבה פשוטה שהמידע מוצפן והא "בשפה" שרק הדפדפן ושרת האתר מבינים את השפה ביניהם
- הגנה בפני תקיפות סייבר ועבירות מחשוב
התוקפים יצירתיים, חכמים , מתוחכמים , וכל הזמן ממציאים את עצמם מחדש
לפי הערכות של אנליסטים ומומחים בתחום הסייבר בשנת 2021 נזקי התקפות סייבר יעלו לעולם 6 טריליון(!) דולר בשנה
זאת משימה כמעט בלתי אפשרית להימנע ממתקפות סייבר השחתה של האתר ופריצה אם אין לך תעודה דיגיטלית (SSL)
התוקפים יזהו חולשה בשרת האתר או הרשת כאשר מידע משודר מהשרת לדפדפן ומהדפדפן לשרת
החדשות הטובות הם שניתן בהחלט להגן על האתר שלך ובעיקר על הגולשים והלקוחות שלך, על ידי הוספת תעודה דיגיטלית (SSL), לאתר שלך
לסיכום
הוסף תעודה דיגיטלית (SSL) לאתר שלך , לפני שגוגל יסמנו את האתר שלך, הוסף תעודת SSL לאתר שלך היום
תגיות
מאמרים אחרונים
