ניטור ומבדקי חוסן

ניטור מכיל קרקע רחבה יותר מאשר רק בדיקה תקופתית או קבועה של לוגים כפי שציינתי במאמר בנושא. הניטור כולל את הפעילויות הבאות:

• Penetration testing
• Intrusion detection
• Violation analysis
• Keystroke monitoring

מבדקי חדירה (Penetration Testing)

מבדקי חדירות הוא המונח הכללי המתאר שימוש בכלים לגלות ולזהות פגיעויות אבטחה לוגיות ופיזיות. טכניקת ביצוע מבדקי החדירה כוללת:

סריקת פורטים (Port Scanning)

סריקת פורטים היא תוכנת אבטחת מידע, המשמשת לבירור אילו פורטים פתוחים במשאב מחשוב המחובר לרשת מחשבים.

באמצעות ניתוח תוצאות הסריקה ניתן לקבל תמונת מצב על התוכנות\מערכות הקיימות בשרת אשר מתקשרות מול מערכות נוספות (הפורט פתוח) וגרסת מערכת הפעלה ברוב המקרים.

בדר"כ השלב הבא הוא לאתר פרצות אבטחה על בסיס סוג המערכת וגרסתה לצורך ביצוע התקפות שונות.

סריקת פגיעויות (Vulnerability Scanning)

בדומה לסריקת פורטים, סריקת פגיעויות משמשת לאיתור חורי אבטחה במערכות ותוכנות.

לרוב משתמשים בכלי סריקה למבדקי אתרים כגון Web Applications, מערכות הפעלה ובסיסי נתונים בכדי לאתר האם ישנם חורי אבטחה אשר עלולים לסכן את המערכת.

רחרחן מנות (Packet Sniffing)

כלי ללכידת תעבורת TCP/IP ברשת, לא רק עבור תעבורה בין המחשב עליו מותקן הכלי אלא עבור כלל התעבורה ברשת הארגון.

היקף התעבורה שנלכדת תלויה בנקודה שבה הכלי הותקן.

אם הכלי הותקן כתוכנה על מחשב המהווה נקודת קצה ברשת, רק התעבורה שתגיע אליו תתועד.

War Dialing

טכניקה המשתמשת במודם לסריקה אוטומטית של מספרי טלפון, בדר"כ מדובר בחיוג לכל מספר באזור חיוג מסוים לצורך איתור מחשבים, שרתים ומכשירי פקס.

גרסאות וכלים חדשים של תקיפה זו כגון WarVOX לא מצריך מודם לצורך ביצוע התקיפה מאחר וכלים מסוג זה יכולים להשתמש בטכנולוגיית VoIP מה שמגביר את כמות השיחות בשונה ממודם.

War driving

פעולה לחיפוש רשתות אלחוטיות Wi-Fi על ידי גורם ברכב נוסע, באמצעות מחשב נייד, טלפון חכם או מסייע דיגיטלי אישי (PDA).

ישנם כלים רבים להתקפה זו כגון; NetStumbler, InSSIDer, Vistumbler, Kismet.

הכלים משתמשים בציוד המכיל Wi-Fi ו – GPS לצורך הקלטת מקומות בהם קיימות רשתות אלחוטיות.

Dumpster Diving

מדובר בצורה פופולרית מאד להוצאת פסולת שהושלכה במכולות זבל, מגורים, תעשייה ובנייה לצורך איתור פריטים ומידע שיכולים להיות יעילים עבור התוקף.

האזנת סתר (Eavesdropping)

 הקלטה או הקשבה לשיחות ללא הסכמה של אף אחד מבעלי השיחה.

האזנת סתר משמשת בדרך כלל להשגת מודיעין או לחקירת מעשים שבוצעו בעבר, ונעשית לעתים באמצעות אמצעים סמויים.

ניתן לבצע האזנת סתר במגוון דרכים – כמו הקשבה לשיחות טלפון באמצעים גלויים או סמויים או האזנה לשיחות המתנהלות בחדר או במקום מסוים באמצעים אלקטרוניים.

הנדסה חברתית (Social engineering)

מניפולציה פסיכולוגית המופעלת על אנשים כך שימסרו מידע סודי, כל הטכניקות בהנדסה חברתית מבוססות על תכונות פסיכולוגיות מסוימות של האדם, בעיקר בתחום קבלת ההחלטות.

תכונות אלו, המכונות לעתים ניתנות לניצול בצירופים שונים כדי ליצור טכניקות התקפה.

בין סוגי ההתקפות קיימים: דיוג, איסוף מידע, תסריטים, הסחת דעת, פיתוי ועוד (ויקיפדיה).

לדוגמה, התקשרות לגורם פנימי בחברה והזדהות כתומך טכניה מבקש את פרטי החשבון בטענות שונות כגון שדרוג שרתים ובחינת גישה למערכת.

זיהוי ומניעת חדירות (Intrusion detection and prevention)

זיהוי חדירה הינה הטכניקה המשמשת לזיהוי פעילות לא מורשת ברשת הארגון.

מערכת זו נקראת גם IDS. שני סוגי פתרונות IDS בשימוש כיום הם:

Network Based Intrusion Detection – NIDS

פתרון NIDS בדר"כ מיושם על ידי הטמעתו בנקודה אסטרטגית בתוך רשת הארגון לצורך ניטור תעבורה מכלל משאבי המחשוב.

המערכת מבצעת אנליזה לתעבורה ומשווה את המידע מול בסיס נתונים של התקפות מוכרות וידועות, ובעת זיהוי מתקפה או התנהגות אנומלית נשלחת התראה מיידית לגורם הרלוונטי.

לעיתים רבות נדרש לבחון את המערכת ע"י ביצוע סימולציה למתקפות זדוניות, וכיום ישנן מערכות אשר מבצעות פעולה זו כגון OPNET, NetSim.

Host Based Intrusion Detection – HIDS

בניגוד ל – NIDS, פתרון HIDS מותקן על גבי תחנות ומשאבי מחשוב באופן אינדיבידואלי ברשת הארגון.

המערכת מנטרת את תעבורת המידע הנכנסת והיוצאת בתחנה ותשלח התראה לגורם האחראי בעת זיהוי תעבורה חריגה.

גם מודול NIDS ו – HIDS משתמשים במספר מתודות לצרכי ניטור וזיהוי, להלן:

מבוסס חתימה (Signature Based)

מתודה זו משווה את תעבורת הרשת המנוטרת מול רשימת דפוסי התנהגות בקובץ חתימה.

קובץ החתימה מזהה מתקפות מוכרות בלבד, ולכן במידה וגורם זדוני משנה את דפוס ההתנהגות במתקפה המבוצעת על ידו ייתכן והמערכת לא תזהה את ההתקפה.

מבוסס אנומליות (Anomaly Based)

מתודת זיהוי על בסיס אנומלי מנטרת את תעבורת המידע ברשת ומייצרת פרופילי תעבורה. לאחר זמן מסויים, המערכת תדווח על חריגות בהתאם לפרופילי התעבורה שנוצרו.

החסרון במתודה זו נעוצה בכך שהמערכת אינה משתמשת במאגר התקפות מוכרות כדוגמת מתודה מבוססת חתימה וכתוצאה מכך יתכן ויקפצו התראות שווא False-Positive רבות.

מערכת IDS אינה מונעת התקפה אלא מתריעה בלבד, מערכות Intrusion Prevention Systems – IPS מונעות מתקפות בפועל או לפחות מצליחות להאט את המתקפה.

תתייחסו אל מערכת IPS כמערכת IDS בעל יכולות לבצע פעולות בעת זיהוי כגון סגירת תעבורה, או פרוטוקול תקשורת.

אנליזת הפרת חוקים (Violation Analysis)

ניתוח הפרה הינו המדע של בחינת לוגים וביקורות לצורך זיהוי פעילויות זדוניות.

האנליזה משתמשת בהגדרות Thresholds שמבדילות בין הפרות זדוניות לבין שגיאות שאינן מקוטלגות כמתקפות.

לדוגמה; משתמשים במערכת מסוימת לפעמים מקלידים את סיסמאותיהם בצורה לא נכונה, אם כך כמה טעויות מותר לבצע לפני הקפצת התראה?

לצורך העניין, ניתן להגדיר עד ארבעה ניסיונות כושלים בשעה.

בכל פעם שלמשתמש יש פחות מארבעה ניסיונות כושלים, אין להתייחס לכך כאל הפרה, אבל כאשר אותרה פעולה שגרמה ליותר מארבעה ניסיונות כושלים בשעה, ניתן להסיק שמישהו מנסה לפרוץ למערכת על ידי ניחוש סיסמאות.

ניטור הקלדה (Keystroke monitoring)

פעולת ניטור אשר מתעדת את הקלט בתחנות עבודה וטרמינלים.

ניטור הקלדה מזין כמויות גדולות של נתונים בקבצי לוג.

לעיתים קשה מאד להסתיר את העובדה שהארגון מבצע שימוש בטכניקה זו וכמו כן ישנן סוגיות אתיות לגבי זכויות הפרט של המשתמשים ברמת עומק כזו של בדיקה ולכן מומלץ להשתמש בניטור הקלדה רק בזמן חקירה אקטיבית.

תגובה לאירועים (Responding to events)

אוקי, אז הגדרת את כל מערכות הניטור ויצרת את כל החוקים הנדרשים לצורך זיהוי פעולות חריגות וזדוניות ברשת החברה, אם כך מה עליך לבצע כאשר אחת ממערכות הניטור מצביעה על כך שישנם אירועי אבטחה?

איך ניתן לזהות שמשהו אינו תקין ואיך להגיב כראוי? כאן נכנס תהליך האיתור, תגובה, ותיקון הבעיה (נחשב גם כניהול אירוע – Incident Management).

אירועי אבטחה דורשים תכנון מראש להלן:

אחראי ניטור

מי הגורם המנטר את המערכות והלוגים ובעבור אילו אירועים

תגובה ראשונית

מה הם הצעדים הראשונים שיש לבצע כאשר אותר אירועי חשוד? רעיון טוב יהיה כמובן לכתוב נהלים מסודרים לטיפול באירוע

אישור

מי מבצע משימה זו, וכיצד הוא או היא עושים זאת? מישהו צריך לקבוע האם האירוע הוא אזעקת שווא או אכן מתקפה זדונית

הודעה

כיצד האירוע משפיע על ההמשכיות העסקית? במידה ומשתמש פנימי גורם להתראות, ייתכן וידרש להודיע לאנשי מפתח מאחר ותיתכן פגיעה בסודיות, אמינות וזמינות המידע. מי הגורם המודיע

הסלמה (Escalation)

מי מגדיר אילו מנהלים בכירים צריכים להיות נושעים לאירוע ומתי יש לעדכנם?

רזולוציה

איך אתה מתכנן כיצד למגר את האירוע? רוב הזמן, מישהו צריך לעשות משהו כדי לנהל את האירוע, כגון כיבוי והפעלה, אתחול מחדש לשרת, נעילת חשבון משתמש, השעיית שירות, או פעולות אחרות

דיווח

האם קיים פורמט דיווח סטנדרטי, ועל ידי אילו אמצעים יימסרו הדיווחים? צורת דיווח לאירועי אבטחה שונים נדרשים להיות מוכנים מראש

סקירת אירוע

כיצד בכוונתך לבחון את האירוע במונחים של פעולה ומניעה? בסיומו של האירוע, בעלי עניין נדרשים לדון במקרה בכדי לקבוע אם התגובה היתה מתאימה והאם הארגון יכול היה למנוע את האירוע