Ciso back to the future - network vulnerabilities
-
Upload
rafel-ivgi -
Category
Technology
-
view
16 -
download
2
Transcript of Ciso back to the future - network vulnerabilities
![Page 1: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/1.jpg)
בחזרה לעתיד
רפאל איבגי
ל"מנכ
בחזרה לעתיד 1
![Page 2: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/2.jpg)
?על מה נדבר
בחזרה לעתיד 2
?לאן מתקדם העולם•
?מה קורה בפועל•
אבטחת המידע בתהליך הפיתוח•
?כיצד מתכננים את הרשת לחשיפה•
מוצרי הגנה לעולם מתקדם•
בעיות פוטנציאליות -האפליקציה •
?"אפליקציה מאובטחת"מה זה אומר •
השלב הבא בהגנה על אפליקציה•
ARP Spoofing -מבט אל העבר •
ICMP Redirect -מבט אל העבר •
![Page 3: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/3.jpg)
...לפני שנתחיל
בבחינת שני מקרים מציאותיים שהתרחשו , Case Studyנתבסס על •
.פיננסי וממשלתי: בשני ארגונים
נבחן את -" כחוזק החוליה החלשה שלה, חוזק הגנת המערכת"•
.המקרים דרך נקודת המבט של תוקף
עדיין מהוות איום על סביבות , בעיות האבטחה הקלאסיות מהעבר•
.העבודה והתקשורת של ימינו
בחזרה לעתיד 3
![Page 4: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/4.jpg)
?לאן מתקדם העולם
.מיום ליום חברות חושפות החוצה יותר שירותים לגופים חיצוניים•
שירותים אלו בעלי פונקציונאליות מרובה וניתן לבצע פעולות והזמנות •
.ליין-און
בעבר המערכות התמקדו בעיקר בצפייה בנתונים רגישים וכיום הן •
.משמשות בעיקר לביצוע שינויים ופעולות
מדובר על מערכות מסחר מקוונות שבכל רגע נתון משתמש יכול , בימינו•
.להרוויח ולהפסיד סכומי כסף עצומים
.ערך מניות ותעריפי מטבע מועברים כמידע דיגיטלי והסיכון בהתאם•
בחזרה לעתיד 4
![Page 5: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/5.jpg)
?מה קורה בפועל
.הארגון מפתח אפליקציה באופן עצמאי•
DB2לרוב המערכת מתממשקת לנתונים המאוחסנים בשרתי •
.AS/400ומסתמכת על משתמשי
.AS/400מותקנים על ה DB2במקרים רבים שרתי ה •
.עולה שאלת אבטחת המידע, בסיום הגרסא הראשונית•
.הארגון נעזר בחברת יעוץ•
ברוב המקרים נמצאות בעיות שטחיות ומתבצעים תיקונים נקודתיים •
.בלבד
בחזרה לעתיד 5
![Page 6: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/6.jpg)
אבטחת המידע בתהליך הפיתוח
נעזרים ביועצי , ארגונים בעלי רגישות גבוהה לנושא אבטחת המידע•
(.Code Review) לביצוע סקרי קוד , לאורך תהליך הפיתוח, אפליקציה
C# (.NET.)-רוב האפליקציות נכתבות ב •
מעטים יועצי אבטחת המידע שעוסקים בתכנות והינם בעלי ראיה •
הדרושה להבנה מעמיקה של התהליכים והסיכונים הכלולים , מרחבית
.בפיתוח האפליקציה
סקרי הקוד מקנים תחושת ביטחון בקרב מנהלי אבטחת המידע המאיצה •
/ לשותפים / לקוחות / עובדים )את הפצת האפליקציה לגורמים השונים
(.ספקים
בחזרה לעתיד 6
![Page 7: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/7.jpg)
?כיצד מתכננים את הרשת לחשיפה
של אחד היצרנים המובילים Terminal Servicesהארגון בוחר תשתית •
.המאפשרת חשיפה מאובטחת לאפליקציות מרוחקות, בתחום
מבודדת המכילה מספר DMZהתשתית מספקת חיבור מאובטח לרשת •
.רב של שרתים עם קונפיגורציה זהה לצורכי יתירות
ההזדהות למערכות החשופות לרשת , בנוסף לשם משתמש וסיסמא•
המלווה Tokenשהינו , האינטרנט משולבת עם רכיב הזדהות נוסף
. PINבקוד
:אבטחה זו משלבת את עקרונות•
–What you have
–What you know
בחזרה לעתיד 7
![Page 8: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/8.jpg)
מוצרי הגנה לעולם מתקדם
.חדש של אחד מהיצרנים המובילים Firewallרשת מוגנת באמצעות •
י גורמים חיצוניים ומשמש "מגן על הרשת מפני תקיפה ע Firewall -ה •
היחידה החשופה לאינטרנט IPככתובת ה
מסנן את חבילות המידע כך שהוא מסוגל להבדיל בין Firewall –ה •
-State) חיבורים קיימים לבין מידע שאינו במסגרת ערוץ תקשורת קיים
full Packet Inspection)
בעלי יכולת זיהוי של מתקפות Firewallישנם מספר מוצרי •
.אפליקטיביות
מערכת מניעת ) IPSמעטים המקרים שבהם נעשה שימוש במערכת •
.וירוס על השרת-אך ברובם מותקן אנטי, (חדירות
בחזרה לעתיד 8
![Page 9: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/9.jpg)
אפשר להריץ קוד" המאובטח"גם על השרת
בחזרה לעתיד 9
![Page 10: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/10.jpg)
בעיות פוטנציאליות -האפליקציה
מתקדמות ועובדות עם מערכות מתוחכמות לצורכי , האפליקציות חדשות•
.ליין-מסחר און
קיימות מזה זמן רב חולשות במנגנוני ההרשאות של מערכות , מאידך•
המאפשרות לפגוע בסודיות ובאמינות של אפליקציות בזמן , הפעלה
.ריצתן
הבעיה המרכזית של אפליקציות בתעשייה היא שהאפליקציה המסופקת •
בהרשאות קריאה וכתיבה מלאות DBמתחברת ל ,למשתמש
.ומיישמת מנגנון הרשאות אפליקטיבי
.זוהי הארכיטקטורה הנפוצה ביותר בשוק מוצרי התוכנה בישראל•
בחזרה לעתיד 10
![Page 11: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/11.jpg)
?"אפליקציה מאובטחת"מה זה אומר
של האפליקציה על הדיסק ( EXE)האם ניתן לערוך את קובץ ההרצה •
?בשרת אשר מספק אותה
?של האפליקציה בזיכרון( EXE)האם ניתן לערוך את קובץ ההרצה •
האם אפשר פשוט לשנות את הערכים המספריים והכמותיים שלה •
?בזיכרון
?SQLהאם האפליקציה שולחת שאילתות •
?בזיכרון, שהיא שולחת SQLהאם אפשר לשנות את שאילתות ה •
בחזרה לעתיד 11
![Page 12: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/12.jpg)
בעיות פוטנציאליות
בחזרה לעתיד 12
![Page 13: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/13.jpg)
?מהו השלב הבא
.נגן על האפליקציה בדיסק ועל הזיכרון שלה בזמן הריצה•
?מוצפן, נבחן האם המידע המועבר מן האפליקציה לבסיס הנתונים•
נדירים המקרים בהם משתמשים בהצפנת התעבורה בין האפליקציה •
.לבסיס הנתונים כאשר שניהם חולקים את אותה הרשת
" Encrypt=Yes"הוספת הביטוי הפערים ממוקדים ב, ברמת הפיתוח•
בו משתמשת האפליקציה Connection Stringל
, שימוש בהצפנת החיבור מול מסד הנתונים משמעותו, ברמת התעבורה•
. הוספת זמן עיבוד והגדלת נפח התעבורה
שליטה מלאה במידע הנסחר= התערבות בתעבורה •
בחזרה לעתיד 13
![Page 14: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/14.jpg)
המסחר כבר לא בידינו
בחזרה לעתיד 14
![Page 15: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/15.jpg)
ARP Spoofing –מבט אל העבר
.ידועה כהתקפה שממשיכה לצוף בתקיפות רשת•
שלהם לדגמים Switchesמעטים הארגונים המשדרגים את כלל ה •
DAI (Dynamic Arp Inspection) -חדשים התומכים ב
ARP (Arp Reply )ניתן לשלוח תשובות ( Subnet) הרשת -באותה תת•
. השומרים אותן ללא בדיקה, Windowsלמחשבי
Man-In-The-Middleמחשבים אלו חשופים למתקפת •
הפערים מתבטאים בכך שלא נעשה שימוש בהגדרות המאובטחות של •
.StrictARPUpdateלרבות , מערכת ההפעלה
בחזרה לעתיד 15
![Page 16: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/16.jpg)
ICMP Redirect -מבט אל העבר
להפרדה בין כל אחד מן השרתים פותר את בעיית s VLAN-שימוש ב•
.Layer 2בהיותו מבצע הפרדת ARPה
!לא? מערכת המסחר מוגנת, האם בצום ההפרדה•
?איך. כן? האם עדיין ניתן להשתלט על כלל התעבורה•
לכן כל , PINGהוא לצורכי ICMPהשימוש העיקרי של פרוטוקול •
.ברשתות פנימיות Firewallמאושרות ב ICMPהודעות פרוטוקול
•ICMP Redirect הינה הודעה המכתיבה למחשב היעד להשתמש
.במחשב המקור בתוך שרת הניווט ליעד שהוגדר
.ICMP Redirectמאופשרת קבלת , כברירת מחדל, Windowsב •
בחזרה לעתיד 16
![Page 17: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/17.jpg)
ICMP Redirect -מבט אל העבר
מכיל Windowsנדירים הם המקרים נוהל ההקשחה של ארגון למערכת •
.EnableICMPRedirectסעיף המתייחס ל
שהינה תקשורת , שכבת הרשת, 3פועל בשכבה ICMPפרוטוקול •
.VLANs" עוקף"ולכן הוא IPמבוססת
. כך שימנע העברת הודעות מסוג זה Gatewayניתן להגדיר את רכיב ה •
.רשת-הגנה זו תקפה רק למעבר בין רשתות ולא בתוך תת
המובנה במערכת Firewallשימוש ב , ללא קשר להקשחת השרת•
. ICMP Redirectמונע התקפות , Windowsההפעלה
בחזרה לעתיד 17
![Page 18: Ciso back to the future - network vulnerabilities](https://reader034.fdocument.pub/reader034/viewer/2022042611/58ec56361a28ab8e148b466f/html5/thumbnails/18.jpg)
לסיכום
.שנים 15יש להתייחס לבעיות הנשנות וחוזרות מזה •
מומלץ להשתמש בפתרונות המובנים בציוד התקשורת ובמערכות •
.ההפעלה
.אין לבטוח במשתמש•
.יש להצפין את קבצי האפליקציה והתעבורה•
.כל פעולה חשובה תתבצע בצד השרת•
.אין לשלוח שאילתות•
18
אבטחה 360°