DAY 3 01 אבטחת מידע.pdf-10

1

1 מטריקס מ מקבו צת "בע הד רכה בריי ס ון 'גל כל הזכויות שמורות �

אבט חת מידע


מטרת הקורס

.ל מורכבותוע" אבטחת מידע"הבין את המושג ל

2


הנוש אים בקורס. אבטחת מידע מהי•

. מהו מידע•

. והערכת הסיכוניםיכוניםס •

. מדיניות אבטחת המידע•

.כיפהא •

. סקר סיכונים•

. עם סיכוניםתמודדותה •

. חדירהדיקותב •

.פונקציונליות דיקותב •

...המשך


הנוש אים בקורס.הצורך באבטחה•

.אבטחה כיוםה•

.שחקנים והמשחקה•

.פורצים/ חודריםוגיס•

.אבטחת הציוד•

.קני אבטחת מידעת•

.ניהול אבטחת המידע•

.אירועים חריגים•

.הפקת לקחים•

. משתמשיםיהולנ•

. ותחזוקה של מערכותיתוחפ•

3


אבטחת מידעאמה הי

:פירושים רבים למושג

פעילות הננקטת במגמה למנוע ניצול לרעה של מידע ומערכות•

. מידע של ארגון

פעילות הננקטת במגמה למנוע פגיעה במידע ובמערכות המידע •

. של ארגון

....ועוד



:ביטוי בצורות שונות באים לידי פגיעה/ניצול

גישה לא , )כסף( משאבי ארגון תגניב, מחשב ניבה של משאביג

ל תוכנות שגניבה , שימוש לא חוקי במשאבים, חוקית למשאבים

.....ועוד, חוקיות

פנימיים או ( עוינים םי גורמי" עבמזידת להיגרם ופגיעות עלולה

,ממניעים שונים) םחיצוניי

או

.ם יי גורמים פנימיים או חיצוני" עבשוגג

4



:בטחת מידע כוללת מגוון רחב של פעילויותא

ניהול פונקציות ;כלי אבטחת מידע/יישום והטמעת אמצעי

בסיסי, תקשורת, מערכות הפעלה(לי התשתיות כ אבטחה ב

זיהוי; מידור והרשאות; אבטחה ברמת האפליקציות; ) נתונים

; לשעת אסוןכותרהיע; גיבויים;בקורת; שליטה ובקרה; ואימות

; מדיניות ונהלים; טיפול במשאבי אנוש; הדרכה

..... ועוד


?מהו ה מידע

.מרכיב חיוני בכל ארגון•

.העולם ככפר גלובלי•

.קשורתת•

....בתי חולים, צבא, ערכות שלטוןמ, טלביזיה,דיו ר•

.סחר אלקטרונימ•

כוח=מידע

5


לא רגוןיכונ י םס

:נהוג לחלק את הסיכונים לשלושה תחומים עיקריים

).Confidentiality( אובדן הסודיות •

).Integrity(ובדן האמינות והשלמות א •

).Availability & Survival(ובדן זמינות ושרידות א •


לא רגוןיכונ י םס

:)Confidentility( א ו בדן הסודיות •

.בלתי מורשיםל רגישים נחשפים תוניםנ •. הגנת הפרטיותוקח •. עסקיעגנה על מידה •.גנה על בטחון המדינהה •

:דוגמאותגניבת קובץ הלקוחות, דירה לבסיס נתונים של חברהח •

.דיכפין ופרסומו באינטרנט לכל .ים רפואיים ושימוש במידערדירה למאגח •.לקוחות/ העדר מידור בין משתמשים •

6


לא רגוןיכונ י םס):Integrity(שלמות הובדן האמינות וא •

. אמורה לעשותהיתהלא שמערכת מבצעת פעולה •.תויה עליה לעשהערכת אינה מבצעת פעולה שמ •.רכי נתונים שגויים או חסריםע •.קלט שגוי למערכת •

:דוגמאותאפשרו, משת למסחר אלקטרונישהמפרצות באפליקציה •

. לרכוש מוצרים במחירים מגוחכיםים לשנות נתוני רכישה רלהאקונים אפשרו תרצות בבסיסי נפ •

.לקוחות של • Defacing -פריצה לאתרים של ארגונים שונים

.והחלפת המידע במידע אחר


לא רגוןיכונ י םס:(Availability)ו בדן זמינות ושרידות א •

.שירות שלא ניתן לספק בזמן סביר •. העדר יכולת התאוששות •

:דוגמאות

• Denial of Service - פק סהמ התקפה הגורמת לקריסת השרת.שירות ללקוחות או לארגון . שאינה תואמת את צורכי הארגוןולעתפחלופת •

7


הערכת הסיכונ ים

:גישה שגויה •התמודדות רק –" וי השרפותבכי"שיטת

סקנותמ עם אירועים שקרו והסקת . לעתיד

: נכונהישהג•זיהוי מכלול האיומים הקיימים ומיפוי

האיומים שקיימת סבירות להתרחשותם.ארגוןה בסביבת

:הצורך בהיערכות מבעוד מועד לקראת התמודדות עם האיומים


הערכת הסיכו נים

:כיצד נזהה איום שקיימת סבירות להתממשותו

.השוואה בין מאפייני האיום למאפייני הארגון:וגמאד? במערכות ההפעלה שמשרתות את הארגוןייםקאם האיום מתה •?םהאיו האם הארגון מקושר לגוף ממנו יכול להגיע •

.חשיפה/ כונה סיכון מאיום שקיימת סבירות להתממשותו

היא לבצע סקר סיכונים , הדרך הטובה ביותר להעריך סיכונים* ת סבירות התממשותםא מקיף אשר ימפה את הסיכונים ויעריך

. הצפוי בעטייםקהנז ואת

8


הערכת הסיכונ ים

:יםנסיכוהערכת

.תוחלת הנזק בסיכון •

.סבירות להתרחשותוה •

. ברמות שונותמועפתרונות הקיימים להתמודדות ה •

. הפתרונותלותע •


הערכת הסיכו נים

.“ת ותועלתועל"לכל סיכון יש לבצע חישוב

לאור התוצאות יש לקבל החלטה על דרך התמודדות הארגון עם

:הסיכון

"). מחושבכוןיס“לקיחת ( מנעות מפעילות בתחוםה •

.ערכות למניעת הסיכון ה•

.הערכות לצמצום הנזק הגלום בסיכון •

נגזרת מגודל ההשקעה , בין השאר, הינהעההשקעה באבטחת מיד

.במערכות המידע

9


מדינ יו ת אבטחת המיד ע

מדיניות אבטחת מידע מהווה את התשתית•

. לכלל מערך אבטחת המידע בארגון

של" אני מאמין"מסמך המדיניות הינו ה •

. ההנהלה בכל הקשור לנושא אבטחת המידע

י " מסמך מדיניות אבטחת מידע ייחתם ע•

. ההנהלה ויפורסם לכל העובדים


מדיני ות אבטחת המידע י צוות היגוי"פיתוח המדיניות נעשה ע •

. שימונה בארגון

מדיניות מגובשת תוך בחינה של צרכי ה •

.רגוןא ה

המדיניות מקיפה את העקרונות על פיהם •

. יוקם וינוהל מערך אבטחת המידע

אמורה להיסקר אחת לשנהיניותדהמ •

.)ךבמידת הצור( ולהתעדכן

10



:תהמדיניועיקרי

ה גד רת עקרונות מנחים לאבטחת המידע •.רגוןהא המושתתים על החלטות

פורום ההנהלה האחראי לקביעת מדיניותביעתק •. אבטחת המידע ולפיקוח על יישומה

דים ותחומי האחריותיתפקה, הגדרת הסמכויות •. של הגורמים המטפלים באבטחת המידע

המשאבים אשר יוקצו לטובת פעילותביעת ק •. אבטחת המידע

גדרת רמת האבטחה אשר תאפיין אתה • המערכות השונות ואת האמצעים הנדרשים

. להגנתן


מדיני ות א בטחת המיד ע ):המשך (תהמדיניועיקרי

.הגדרת רמות רגישות המידע בארגון •.תגדרת רמות האבטחה לרמות הרגי שות השונוה •.חתוטגדרת בעלות ואחריות על המידע ועל אבה •. חוק הגנת הפרטיותשותיופן הטיפול בדרא •. אישית והיבטים משפטיים בנושא אבטחת המידעיותרחא •.עקרונות המידור בין משתמשי המידע •.גדרת עקרונות ותהליכי מתן הרשאות גישה למידעה •.י אבטחת מידעג גדרת אופן הטיפול בחריה •. לפיתוח נהלים לאבטחת מידעחריותא •בת לאבטחת המידע בקרמ הבטחת רמת מודעות הול•

. העובדים

11



):המשך (תהמדיניועיקרי

בולמעקהגדרת הכלים והכללים ליישום בקרה •. רגישותותיפעילו אחר

. קביעת תהליכים לאיתור חריגות•.בטחת מידע בתהליך הפיתוח והתחזוקהא •.ים במדיניותיקרת שינוב •.יםייבוג •).וששותאוהת שיקום( לשעת אסון יערכותה •


מדינ יו ת אבטחת המיד ע):המשך (תהמדיניועיקרי

קביעת קווים מנחים לכלל יחידות הארגון:ים הבאיםמבתחו

.ניהול נושאי אבטחת המידע בכל הפעילויות המבוצעות בארגון •.הגדרת עקרונות מידור כנגזרת של סיווג המידע ותפקיד העובד • לקישור גורמים חיצוניים למערכותאבטחתיים סטנדרטים יעתקב •

. הארגוןלזיהויי אירועים בהם קיים, קביעת סטנדרטים בתחום הבקרה •

.ה במידע ודרכי הטיפול באירועים מסוג זהעי חשש לפג

12



לך פיתוח המדיניות מתבסס על סדרת ראיונות המבמסגרתם חיוני לקיים סדרת פגישות עם הצוות

. הניהולי הבכיר

מגדיר עקרונות מנחים ליישום 7799תקן ישראלי .היערכות ארגונית בתחום אבטחת המידע


כי פ הא

:כל עובד מתחייב בחתימתו על

). NDA(הצהרת סודיות •.ת הסבר והבנת הנחיות אבטחת המידעל קב •.שמירה על זכויות יוצרים •.שמירה על סודיות הסיסמא •. בהתאם להנחיותטובאינטרנשימוש בתיבת דואר •

13


סקר סיכונ י ם?קר סיכונים מהוס

במסגרת סקר סיכונים נבחנים הסיכונים

התוכנה , האפשריים למערכות החומרה

.והתקשורת של הארגון

נוסף כולל הסקר בדיקה של היבטי עמידה ב

ההיערכות הארגונית , בדרישות חוקים ותקנות

בטחת א הארגון להתמודדות עם דרישות הלינו

.המידע בארגון

בנית בהתאם לארגון נ הסקר המדויקת כולתת

.צרכיו ודרישותיו, הספציפי


סקר סיכונ י ם

:כולל את הנושאים הסקר

.אבטחה לוגית •

.קשורתת •

. זמינות ושרידות•

. אבטחה פיזית•

. היבטים ארגוניים•

14



אבטחה לוגית

וי יט כפי שהוא בא לידי ב,בדיקת כלל מערך אבטחת המידע הממוחשב.לקוחות חיצוניים, מערכות מידעת מחלק,יםשהמשתמבעבודת

:דוגמא לנושאים הנבדקים.ובד בשרתים השוניםעומע האגור ד חשיפת מיפשרויותא •.הקונפיגורציה ואופן השימוש:כותרעמ ניטור ובקרה ב,חהט אבילכ •. מידור והרשאות •. סיסמאותיהולנ •.גנה מפני וירוסיםה •.ניסוי וייצור, הפרדה בין סביבות פיתוח •



תקשורת

תקשורתה צעימואבדיקת תשתיות התקשורת .גוןרשבשימוש הא

:דוגמא לנושאים הנבדקים.פריסת התקשורת וציוד התקשורת שבשימוש •.ת הרשת בארגוןרארכיטקטוחינת ב •תדירות ההתקשרות וסוג, פן הקישורוא: ישור לגורמים חיצוניםק •

.המידע המועבר.בטחת הפרוטוקולים המורשים למעבר ברשת האינטרנטא •

15



זמינות ושרידות

בדיקת היערכות הארגון להתאוששות במקרים של תקלות מקומיות .ובמקרים של אסון

:דוגמא לנושאים הנבדקים

, תדירות ביצוע, תכולה: הגיבויים •. מיקום הגיבוי, כמות הדורות

.ניסוי שחזור •.חלופת התפעול למקרה אסון •.יום תכנית לשעת אסוןק •



אבטחה פיזית

גישה , נזקי טבע(בדיקת מכלול האמצעים לאבטחה בפני פגיעה פיזית .)גניבה, לא מורשית

:דוגמא לנושאים הנבדקים.בקרת הכניסה לארגון בכלל ולחוות השרתים בפרט •.ערכת גילוי עשן וכיבוי אשמ •.ספקת חשמלא •. אבטחת מתקן אחסון הגיבויים •

16



היבטים ארגוניים

.בדיקת היערכות הארגון בהיבטי אבטחת מידע שונים

:דוגמא לנושאים הנבדקים.נהלי אבטחת המידע •.לוקה של סמכויות והגדרות תפקידים של העובדים הרלוונטייםח •.ם ותקנותי עמידה בדרישות חוק •.ודעות המשתמשיםמ •


סקר סיכונ י ם:אופן הביצוע

:עריכת ראיונות עם •,האחראים על התשתיות ומערכות המידע

,ותקמחל/ נהלי יחידות מ,מנהלת משאבי אנוש

,הבטחוןמנהל ,משתמשים מדגמיים

.יד נוספיםקתפבעלי ,מערכות הפעלה(בדיקת אמצעי האבטחה הקיימים בתשתיות •

.טחהבמוצרי הא, )סיסי נתוניםב, תקשורת.שת בליווי אנשי המחשברת בדיקת הנותוכהרצת •.לי אבטחת המידעהונבחינת מסמכי מדיניות •

17


עם סיכונ ים תמו דדותה

.יישום מדיניות אבטחת המידע בארגון

.הכנת תוכניות פעולה למימוש המדיניות

:לדוגמא

.יישום אמצעי אבטחת מידע •. הטמעת נהלי אבטחת מידע •.דים ברמות השונותבהעובקרב בטחת המידעא הטמעת מודעות ל •. האבטחה בארגון לפי מסמך המדיניותךת להקשחת מערווכנית •.קריאה בעיון של מסמך מדיניות הארגון •. פיתוח תכנית לשעת אסון•


עם סיכונ ים תמו דדותה.מעקב אחר ביצוע התוכניות יבוצע באופן המקובל בארגון •י מתמשך ובדגש פהתוכניות צריכות להיות בעלות או •

. להתעדכנות מתמדת בנוגע לסיכונים חדשים ולדרכי פתרונםויש להיות, ל הארגון לקחת בחשבון שאין אבטחה מוחלטתע •

". פקועם היד על הד ".םישונ" תסריטים"וששות באהתתרגול •םבמסגרתה ניטור וטיפול באירועי. שליטה ובקרה מתמדת •

. חריגים. ביצוע מבדקי חדירה •

18


)(Penetration Tests דקי חדיר הבמ

.בדיקות המבוצעות מנקודת מבטו של פורץ פוטנציאלי לארגון

את מערך המחשוב לאיתור פרצות " תוקפים" הבדיקות רתגבמס.תוחבאבט

שכן קיימת .אבנושי חברות המתמחות ” צריכות להיעשות עדיקותבה.ידע בארגוןמ בה של פגיעותראפש



בודק אין מידע מוקדם על הארגון ל1) ךוהוא מנסה לגלות פרצות במער

לוי וידע גהאבטחה על סמך ידע .אישי

ארגון מספק לבודק מידע על ה) 2נסה למצוא פרצות מהארגון והוא

. לוקשסופבהתאם למידע

:בדיקות החדירה יכולות להיעשות במספר דרכים

19



:יתרונות וחסרונות לשיטות

:לא קיים מידע ק את המערכת ד מדמה את הפורץ האמיתי שבתחילת דרכו בו

כותרמע ,כתובות הארגון, ROUTER-ה, לגילוי נתוני השרת. עלהפה

.כ" זמן ממושך יותר בדאורכתבדיקה זו

:ארגון מספק מידע ה . מקצר את תהליך הבדיקה

יש חשש שהבודק יתמקד בנתונים שנמסרו לו ולא ינסה דרכים .נוספות



השימוש בבדיקות החדירה שנוי במחלוקת בגלל שעצם הבדיקות . נזק לארגוןםלגרועשוי

אשר לא יגרמו , פותחו מתודולוגיות לביצוע בדיקות עוינותפיכךל.לפגיעה ממשית במערכי המידע בארגון

מה מהות יש להגיע להסכם עם הארגון הנבדקקהילפני הבד.סיכונים הכרוכים בבדיקות אלוההבדיקה המועד ו

ש ליידע את הגורמים המתאימים בארגון לפני הבדיקות וזאת י. בהלה בקרב מנהלי המערכותוררעכדי לא ל

20



הבדיקות העוינות כוללות הפעלה של מוצרים , אוטומטיים המנסים לפרוץ למערכי ההגנה

, תוך ניצול פרצות ידועות במערכות ההפעלה.רשתות התקשורת ובמוצרי אבטחת המידעבי חברות המתמחות “ש תוכנות אלו עוכר ליתןנ וןכאך הסי,שא או באתרי האקרים ברשת נוב....שימוש בכלים שהורדו מאתרים אלו ב

יש צורך מתמיד בהתעדכנות בנוגע לכלי פריצה חדשים ובחורי אבטחה שמתגלים מדי

.יום



:ניתן לחלק את ביצוע בדיקות החדירה לשני חלקים

, מערכות הפעלה, נבדקות תוכנות התשתית–ברמת התשתיות •.... פתוחים ת תקשורPORTS, שירותי המערכת

נבדקת תוכנת המערכת- ברמת האפליקציה •: לדוגמא

. מותקנת בשרתהבחינת האפליקציה : WEBמערכת מבוססת לשאר חלקי המערכת" חזקות"ת גישה או הרשהלאפליקצי (

.) ולבסיס הנתונים! על האפליקציה משמעותה שליטה על רכיבי המערכתלטותתהש

21


פו נ קצי ונ לי ות דיקותב.דרך נוספת ומשלימה לבדיקות החדירה

בדקים אפיוני המערכת הקשורים באבטחת נהפונקציונלית ברמה .מידע

:לדוגמא.ויםג נתוני זיהוי שהחסימת הגישה לאחר הקשת שלוש •לצפות /פרופילים שונים של משתמשים אשר יכולים לעדכן •

. בנתונים בהתאם לרמת ההרשאות. שלא נועדו לשינויאילתותשך ופשרות לערא •


פו נ קצי ונ לי ות דיקותב

למערכת הפונקציונליות מתבצעות במסגרת כלל הבדיקות דיקותבה.ל מתודולוגיות הבדיקות הידועותעוהן נשענות

:יוגדרו סביבת, ים המאוימיםבהרכי הגדרת - STP - תיק תכנון הבדיקות •

,‘וכו הבדיקות

. אשר בו נכתבת הבדיקה לכל רכיב- STD - המפורט ותקהבדי תיק •

22


פ ונק צ יו נ לי ו ת דיקותב

:דגשים

כולל, מבדיקות המערכתאינטגרלית מתבצעות כחלק קוהבדי •!מחודש בכל שחרור גרסהע ביצו

לדוגמא החלפת סיסמא כל (בדיקות מושפעות מתאריכים ה •,) תקופה

.הבדיקות מושפעות ממוצרי הגנה משלימים •

פרופיל המשתמש נחשבת לבדיקה מורכבת וארוכה שכן היא דיקתב, ושפעת ממספר רב של קומבינציות התלוי בהרשאות לקבציםמ

....ערכים, תשדו, סכיםמ, שאילות, מצבי עבודה, תוכניות

!!!לותיביעהאתגר למזער את מספר הבדיקות בלי לפגוע


הצ ורך באבטחה

ה עולה ביחס ישיר למספר נמספר ניסיונות הפריצה כל ש •

.ובהתאם כמות ההצלחות, באינטרנט

!!אחד-אשר משתמש מתחבר לאינטרנט הוא יכול להיות כלכ •

!! את החוק על משתמשים ממדינות אחרותכוףאבלתי אפשרי ל •

....ועדיין •

.י גורמים פנימיים" מכלל אירועי אבטחת מידע נגרמים ע80% - כ

23



.חשב כיום לנכס העיקרי והחשוב של חברות וארגוניםנהמידע

מידע מחייב מערכת אבטחת מידע שתגן עליו ה.ואי זמינותו מחיקתו, שיבושו, בפני חשיפתו

?למה לדאוג! חורי אבטחהשלמרבית המוצרים בשוק י •.התקנות לא הולמות של מוצרי ההגנה בארגון •.באגים •.אל"מידע מסווג של הארגון ושליחתו בדו" טיפתח" •. עובדים ממורמרים עלולים לנצל את הרשאותיהם במערכת •

... ועוד הרבה



?האם תשתיות המחשוב בטוחות

!! לא

. היא חשופה לניסיונות פריצהךכל שהמערכת מורכבת יותר ככל החברות המייצרות ש טיהנאמנם בשנים האחרונות אנו עדים ל

.תשתיות להקשיח את המערכת. שום ההקשחה דורש מיומנות שבמרבית הארגונים אינה קיימתיך יא

24


מגרשבשחקנים ה.ועלפ אוכיצד הו" אויב"כדי להגן על המשאבים של עליך לדעת מי ה

פירצהמישהו אחר מוצא , קיימתלפירצהכל פעם שנמצא פתרון .חדשה

:המוטיבציה של האנשים שונהריגול , מלחמה, פעילות מחתרתית, בידור, הרס, ניבהג, מהקנ, אתגר

...תעשייתי ועוד


מגרשבשחקנים ה

:בין השחקנים נמצאים

• Hackers

• Cracker

• Script kiddie

• Phreaks

• Virtual Gangs

עובד חברה•

25


מגרשבשחקנים הHackers

אדם חדור מוטיבציה לפרוץ במחשבה שהמידע באינטרנט הוא •. חופשי לכל .כ רוצים להתפרסם ולכן משאירם חותמת"בד •).בכוונה(א גורמים לנזק ל •

לא חסרים ישראלים בשוק הזה לדוגמא י ישראלי "תוכנה שנכתבה ע, Satanתוכנת

של ארגונים על Ip בותוומטרתה לסרוק כתמנת לאתר כתובות פעילות שמחוברות

..אופן קבוע בלרשת


מגרשבשחקנים הCracker

!נזק מטרתו•.שירות עצמי ורווח אישי•. וסקרנותעשעשו•...משתילים וירוסים ו, ונביםג•. אחריםלים לקרוא דואר שננה

Script kiddie. טרף קלחפשיםמ•. מידע או מעוניינים לגנובםלא מחפשי•.מטרה להשיג הרשאה למידעה•.א משאירים עקבותל•.לכניסה בפעם הבאה" דלת אחורית"כ "שאירים בדמ•. בקודומחיםמ•

26



Phreaks.יהנהטלפודן יבעהחלו •.שורתק פורצים למערכות ת•יום הסיכון להיתפס בהונאת טלפונים הוא גדול בגלל התקדמות כ •

. הטכנולוגית. אישיותולקיום בעיקר פורצים לתיבות כ •. היום בהונאת טלפונים ניידיםתמחיםמ •

Virtual Gangs. כנופיות וירטואליות•.כ מורכבת ממספר מומחים בתחומים שונים"דב •.שחרר את המידע בעולם שיהיה נגיש לכולםל המטרה •



עובד חברה

עובד משועמם המנסה לראות מידע שאינו •

.ו מורשה ל

. לו בשוגג ומנצלןא עובד שמקבל הרשאות ל •

.עובד לשעבר בחברה המנסה לגרום נזק •

עובד המנסה לגנוב מהחברה כסף או מידע •

. להשגת טובות הנאה

27


שיטו ת המשחקהכרה של השיטות תיתן לנו את האפשרות להבין נגד מה אנחנו

. הדרכים להגן על המידע בארגוןןמתמודדים ומה

:קיימות שיטות רבות לפריצה

שיטות פשוטות:כגון

. תוכנה להקלטת המידע שהוקשו על המקלדת•.תוכנה לצפייה בכוכביות הסיסמא •.לקבלת הרשאות" הנדסת אנוש” שימוש ב •


שיטו ת המשחק

: מורכבותתשיטו

הקלטהסיסמאותSpoofingהתחזותDoSתולעת

שרתי דוארטרויאניםסוסים

שרתי אינטרנטוירוסים

28



וירוסים.תוכנה שמצורפת לתוכנה אחרת

.פי תאריך או אירוע מסוים לדת לתקיפה עמיו •.חלקם נועדו לעצבן •.לקם נועדו לזרוע הרסח •. אליוישהגלקם נועדו למחוק כל מידע שיש להם ח •

רנוביל'צ: של וירוס ידוע אדוגמ



סוסים טרויאניים

!כשמו הוא

!סוכנים מאודמ •PcAnywhereתוכנות בתוכם כלי פריצה רבים כגוןכיליםמ •.מקליט תווי מקלדת •.ירוסיםו •.ה הוא נמצאב לפי הרשאות הספרייה עמידלאפשר גישה מ •.מצורף לתוכנה אחרת •

29


שיטו ת המשחקתולעת

.הפיצםל לתוכנה םזקוקילא •.ושבת חיידקיםמ מתרבים ללא הרף כמו -הנזק •. עד להתרסקות המערכתק לצרוך את כל נפח הדיס-המטרה • vbs.*כ כ " בדרופיעיםמ •

התחזות• Social Engineeringהתחזות לעובד או לדמות מוכרת בחברה על מנת לקבל •

. הרשאות גישה למערכות המידע בארגוןם הצצה מעבר לכתפו של עובד שמנסה להיכנס ג יכול להיות •

. לרשת וצפייה בנתוני ההזדהות שלו



סיסמאות

. ה העיקרינההגבעבר היוותה הסיסמא את קו •. נפוץימושהש גם כיום עדיין

ל בעלעכ מכילות פרטים "בד". חכמות"מרבית הסיסמאות אינן •. הסיסמא

. סיסמאותוץרלפ תוכנות רבות יימותק •צירופים שונים עד אשר מקבלות בוכנות אלו מבצעות ניסיונות ת . גישה למידעתהרשא

. במרבית התוכנות קיים מילון צירופים שכיחים של סיסמאות

30



שרתי אינטרנט.מספקים מידע מהשרת בהתאם לדרישת המשתמש

המשתמש , במקרים שלא בוצעה הקשחה מספקת לקוד או לשרת.יכול לערוך את הבקשה

• CGI• IIS • Java script• Activx


שיטו ת המשחקשרתי דואר

:מושגיםSMTP –Simple Mail Transfer Protocol

עבר דואר משרת לשרתמPOP3 –Point to Point 3 protocol

"משתמש"ת לרמהשמעבר דואר

:חולשות• Spam פצצותה •.ריצה או חטיפה של תיבת דוארפ •. הדואר והגבלת גודל התיבהרתשחשובה מאוד הגדרת •

31



Denial of Service – DoS

: המטרה ת או שליפת ואילתשי "הצפת הרשת במידע שגוי או לא רלוונטי ע

.ורשה מהרשת בכמויות חריגותממידע כמויות אלו של מידע לא רלוונטי יבזבזו את משאבי המערכת ומידע

.עד לקריסתה

:דוגמאות של טכניקות להצפת מידע ברשת.שליחת כמויות רבות של חבילות מידע קטנות •כדי להעמיס , ליחת דואר בעל קובץ מצורף בעל נפח גדול מדיש •

. את זמן העיבוד של השרת



Ip Spoofing

בלתקהתחזות לכתובת מוכרת ברשת ו.ך הרשתו של גורם מורשה בתההרשא

הקלטה

.מקליט כל הקלדה של המשתמש.כ בא כחלק מסוס טרויאני"בד

32


אבטחת הצי וד

אמצעי בקרת גישה•,טכנאים(ים יחיצונ הגבלת גישה לעובדים •

).מבקרים, יקיוןנ עובדי . אבטחת מדיה נושאת מידע•.יידיםנ אבטחת מחשבים •. נשלפיםונניםכ •.USBזכרון •תקלות באספקת , הצפות, גנה בפני אשה •

.מיזוג אויר, חשמל.ריסהג •

....ועוד


סוגי התקנים

– 1495י "ת•אבטחת מערכות מידע ממוחשבות

– 1972י "ת•אבטחת מידע בתקשורת בין מחשבים

– 7799י "ת•ניהול אבטחת מידע

33


– 1495י "תאבטחת מער כות מידע ממוחשבות

כללי– 1חלק • מצעים נושאי מידע– 2חלק • סיסמות– 3חלק • היערכות למצב אסון– 5חלק • ניהול הרשאות גישה– 6חלק • גיבוי מידע ושחזורו- 7חלק •

בהכנה בקרה וביקורת אירועים– 4חלק • ניתוח סיכונים- 9חלק •


ניה ו ל אבטחת המידע.מידור והרשאות •

,חולל סיסמאותמ( אמצעי זיהוי ואימות הזיהוי •

).ועוד, אמצעי ביומטרי

מעקב תוחיינ, logs)( ניהול רישום ביומנים •

. ובקרה

. טיפול באירועים חריגי ם •

.ם ניהול גרסאות והתקנת טלאי•

.הקשחה, הגדרה, ונפיגורציהק •

.הטמעת מודעות לאבטחת מידע בקרב המשתמשים •

.....ועוד

34


אירוע ים חריגי ם

:סוגי אירועים חריגים

.ירוסיםו •. לא מורשהושמיש •.פילת השרתנ •.ריצהפ •.ניבהג •. שריפה בחוות השרתים •....עודו


הטי פ ו ל באי רועים חריגי ם

: חשיבות תיעוד הטיפול

. לדעת מה מקור האירוע•.ובת הוכחהח •. תקלותיסטוריתה •. התאוששותסיונותנ •.ואר אלקטרוניד •.ודעות טלפוןה •. טלפוןיחותש •

35


הטי פ ו ל באי רועים חריגי ם

גיבוייםותרי הגיבויים מהווים את המקור לשחזור המצב לזמן הקרוב ב•

. לקרות התקלה. גיבוי לא רק למידע ולתוכנות•.י צריך להיות באזור סיכונים שונהו מיקום הגיב•

LOGניתוח . אשר גרמו להעיםוריאו השתלשלות הא לאיתור הבעיהורקמהווה מ

.דיווח לגורמים השונים על האירוע החריג


חריגי םעים והפקת לקחי ם מאי רסוגי .ולנתח את האירועים לנטר, כמתלמנגנונים המאפשרים

.היקפים ועלויות, תדירות, האירועים

. מהו האירוע החריג ומה ניתן לעשות כדי למנעו בעתיד–סוגים

.חותה מהנזקפ מה עלות הנזק והאם ההשקעה בתיקון –עלות

36


ניה ו ל משתמשים

.וןגשה למשאבי האריהגפתח לבקרת מניהול משתמשים הינו ה

:מאפייני המשתמש וזיהוי מאפשרים

. לבצע מידור•. לעקוב אחר פעילות במערכת•. פעולהועצ להטיל אחריות לבי •



מדיניות בקרת גישה

.דרו ויתועדוגדרישות הארגון לבקרת המידע יו

".עקרון הצורך לדעת"י " עפגישה למידע תוגבלה

גישת משתמשיהולנ

.ניתוב המשתמש לביצוע פעולות מוגדרות במערכות המורשות לו

37


ניה ול משתמשים

.נוהל ניהול משתמשים, חדשיםשתמשיםמ מתן הרשאות ל•שינוי הרשאות למשתמש במעבר תפקיד •,גדרת משתמש הנעדר לתקופה ממושכתה הקפאת •.ביטול משתמשים שעזבו את הארגון •

"חזקות"הרשאות ..ועוד, כנאיט, קצין אבטחת מידע, תכניתן, SYSTEM: הרשאות כגון•"חזקות"מצום מספר המשתמשים בעלי הרשאות צ•



.שימוש בסיסמאה3 חלק 1495י "לתניהול סיסמאות בהתאם •

).תוך קביעת הרמה (.יסמא ראשוניתס •. סיסמא זמנית •. מבנה תחבירי •. החלפת סיסמא •. כללי שמירת הסיסמא •.ת סיסמאותיטורס הי •

38


אבטחת שירותי ה רשת

השימוש בשירותי רשת. יוכלו לגשת רק לשירותים להם קיבלו הרשאהשתמשיםמ •ים ומערכותשמשתמ, תונהג הפרדה בין קבוצות של שירותים•

. מידע. תיושם בקרה על השימוש ברשת•

"כפוי "תיבנ).LOG- בםרישו( יבוקר, הנתיב מתחנת העבודה לשירותי הרשת•.משתמש תביאו למסך הפתיחה" פתותע" •.LOG - פעילות המשתמש באפליקציה תתועד ב•

מערכות רגישותידודב.מבודדת מחשוב מערכות רגי שות ינוהלו בסביבת



כניסה מרחוק".חזק"ם מרחוק תצריך זיהוי י גישת משתמש•.התעבורה תהיה מוצפנת •.י גורם פנימי"גישה מרחוק למתן שירותי תמיכה תהיה יזומה ע •

.תבוקרוד עות הפעילות ת

זמן התחברותגבלתה. יוגדרו ימים בהן מותרת פעילות ברשת•. פעילות ברשתתיוגדרו שעות בהן מותר •

39



זהות של משתמש–זיהוי ואימות .ישלשימושו האי) ID(חודי י לכל משתמש יהיה זיהוי י•. קבוצתי IDא יינתן ל •, כרטיס חכם, סיסמא( לכל משתמש יהיה אמצעי לאימות הזיהוי •

...). קורא ביומטרי

תחנת עבודה. תחנות העבודה יקבלו זיהוי אוטומטי •. במידת האפשר יוגבל משתמשים לפעילות מתחנה מסוימת•תוכנס למצב, לאחר פרק זמן מוגדר, ותל ללא פעיתוחהפ תחנה •

".הקפאה ". בוצע כיבוי אוטומטיי, לאחר פרק זמן מוגדר נוסף



ן אירועיםמישום ביור).LOG( יוגדרו האירועים שיתועדו ביומן האירועים •.שר ידווחו לגורם האחראיא חריגיםיוגדרו אירועים • המערכת תתגוב, משך שמירה(וגדר שיטת ניהל יומן האירועים ת י•

).'גיבוי וכו, אמתמל כאשר השטח

שעוןינכרוןסישום רח ילהבטכדי , מול השרתיסונכרנושעוני תחנות העבודה

.מדויק של הפעולות שנעשו מתחנות העבודה

40



בלא השגחהשתמש מציוד

. ציוד ללא השגחה יהיה מוגן כהלכה•. המשתמשחריותא •. מהמשרדהביציאנעילת תחנת העבודה :וגמא ד

ארון כאשר ב נעילת החדר או נעילת מחשב נייד . נעדרים מהמשרד

מחשבים ניידים. לעבודה במחשבים ניידיםיוחדיםמי עבודה להנו ע יקב•. יש לתת דגש על אבטחת המחשב הנייד בפני גניבה•


ותחזו קה של מערכותיתוח פ הגדרת דרישות האבטחה

יש , בעת פיתוח מערכת חדשה או הכנסת שינויים במערכת קיימת.לנתח את המערכת ולהגדיר את הדרישות לאבטחתה ולבקרתה

:ודת להתייחסותקנ.פלט- שלמות ואמינות נתוני קלט•. שלמות ואמינות העיבוד•.אבטחת בסיס הנתונים •.בקרת גישה לספריית תוכניות המקור •אבטחת סביבת פעילות המערכת •

).כולל תחנות הקצה (.הניסוי והייצור, הפרדה בין סביבת הפיתוח •. אבטחת התקשורת•

41


ותחזו קה של מערכותיתוח פ

פיתוח תוכנה על ידי קבלני משנה.חוץ לארגוןמ בקרות לאבטחת פיתוח תוכנה •בתשתיות" דלתות אחוריות"ו" חהטחורי אב" בדיקת •

. ובמוצרים

על הסביבה הנכונה לכךותקת בדיצנוהל הר


ותחזו קה של מערכותיתוח פ נוהל בקרת שינויים

צמצום הסבירות למקרים בהם יתכן שיבוש במערכות ובקרה קפדנית .על ביצוע שינויים

. הרצת שינויים לא לעיתים קרובותצועיב •. השינויים במסמך מרכזיכוזר •. הקשורים לשינוייכיםל של כל התההדיקב •.עוציבוורק שינויים הכרחיים ה לים ידחו להחלפת גרסק ינוייםש •

42


–מהו קיר אש FIREWALL

.שומר בארגון בדלת או בנקודת ביקורת •רכיב חומרה או תוכנה שבא להפריד לסנן בין רשתות •

. על פי הגדרה.קובע מה יכנס ומה לא •.IP SPOOFINGמונע •.שוקל איזה חבילות מידע יכנסו •.הזד הות •.מתעד פעילות •.משמש כיום גם למטרות שונות בארגון •.הניהול שלו היא החולשה הגדול ה שלו •


הצ פנה הפתרון האולטימטיבי

הודעה צריכ ה להגיע שלמה מנקודת ה התחלה לנקודת •. הסיום

.הצפנת ההוד עה • השולח והנמען חולקים–טכניקת ההצפנה הסימטרית •

. מפתח סימטריאך קיימות טכניקות רבות, טכניקה זאת שולטת בשוק

. אחרותי שיטת“העברת המפ תח להצפנה הסימטרית תעשה ע •

המפתח הציבורי שהיא שיטת הצפנה נוספת איטית אךשיטה זאת נועדה רק לתחילת ההתקשרות בין. בטוחה

. שני גורמים

43


הצ פנה הפתרון האולטימטיבי

שיש ביניהם קשר, בחירת זוג מפתחות– המפתח הציבורי •. מתמטי מסוים

השני ידוע לכל לכן, מפתח אחד נשמר בסוד והוא הפרטי •. ציבורי

י"י המפתח הפרטי תפתח רק ע" ההצפנ ה שנעשתה ע•. המפתח הציבורי

י המפתח הציבורי יכולה להיפתח רק" הצפנה שנעשתה ע•.י המפתח הפרטי" ע

. מפתח פומבי של הנמען–מפתח פומבי *

DAY 3 01 אבטחת מידע.pdf-10

Documents

Transcript of DAY 3 01 אבטחת מידע.pdf-10