Latest Security News

האיום הפנימי - הגדרה ודרכים להתמודדות

הגדרה : עובד מועסק או מועסק לשעבר , שותף עסקי נוכחי או לשעבר שיש או שהיה לו גישה למערכות המידע של החברה ,וביצע בכוונת זדון שימוש לרעה,שיבוש,מחיקה וכו במידע .

ההגדרה הורחבה לאחרונה גם לשותפים עסקיים,ספקים וכו בשל הנטייה ההולכת וגוברת של הוצאת תהליכים ותמיכה במערכות המידע למיקור חוץ ( outsourcing ) , החל בחיבורים לצורך תמיכה במערכות מרכזיות כגוןWEB ,DATABASES,STORAGE וכלה בהוצאת קמפיינים , DATA MINING ומשימות אחרות לחברות צד שלישי וספקים.

ארגון CERT האמריאי ערך מחקר מקיף החל מ 1996 ועד היום וניתח קרוב ל 300 מקרים של התקפות ע"י גורמים המוגדרים פנימיים.

להלן חלק מהמסקנות שהגיעו אליהם:

ניתן לחלק את ההתקפות לשלוש קטגוריות מרכזיות:

  1. חבלה - במקרים אלו התוקף מעוניין לגרום נזק לארגון או לאדם בארגון, מחיקת מידע , הורדת מערכות ,והפרעה לאופרציה הנורמלית בארגון - מתוך 300 - כ 100 מוגדרות כנסיון חבלה.
  2. גנבת קניין רוחני- במקרים אלו התוקף גונב סודות חברה,תוכניות חברה,קוד פיתוח,תוכניות אסטרטגיות וכו . כ 40 מתוך ה 300 מוגדרים כגנבת קניין רוחני.
  3. גניבה או טיפול במידע לצורך רווח כספי - בקטגורה זו נכללים גניבת או שינוי פרטים אישיים , כרטיסי אשראי וכו לצורך מכירה של המידע בשלב מאוחר יותר , ברוב המקרים התוקף הפנימי מקבל תשלום ע"י גורם חיצוני לביצוע העברה. כ 106 מקרים הם מסוג זה .
  4. MISC - כ 46 מקרים בהן אין מספיק ראיות או מידע לשייך את ההתקפה לאחת מהקטגוריות.

כמובן שחלק מהמקרים מתפרסים על כמה קטגוריות ביחד.

50% מעובדים שביצעו עבירות מסוג זה החזיק במשרה טכנית בארגון.

נקודות חשובות באבטחת מידע שעלו מהמקרים .

  • ברמת ניהול הסיכונים - יש להרחיב את מעגל האבטחה שיכלול את כל קבלני המשנה,נותני התמיכה,וספקים חיצוניים בעלי גישה למידע אירגוני - הקשחת והגבלת הגישה למשאבים ע"י גורמים אילו,ניטור ומעקב ככל הניתן לפעולות הנעשות ע"י הגורמים החיצוניים בתוך הארגון וכן ניתוק מידי של הקבלן בתום העסקתו עשויים למנוע התקפות דרך גורמים אלו
  • need to know bases - ניתוח המקרים מעלה שברוב המקרים התוקף קיבל הרשאות גישה גבוהות בהרבה ממה שהיה צריך לעבודתו , באחד מהמקרים מצויין כי איש מכירות הצליח לגנוב קוד מקור של מוצר וזאת מכיוון שהיתה לו הרשאה לספריה שהיכילה קוד זה .הגבלת ההרשאות לצרכי עבודה היתה מונעת מקרה זה.
  • הפרדת רשויות - פיצול פעולות קריטיות לגורם מאשר וגורם מבצע - בחקירת המקרים התגלה כי למרות שהפרדה זו קיימת ,במקרים רבים אין אכיפה באמצעים טכניים וגם אם קיימת , היא לא מבוצעת נכון. ברוב במקרים הפרדות אלו קיימות בעיקר "על הנייר".
  • הפרדת ופיצול הרשאות בתוך קבוצת ה system administrators - מחקירת המקרים עלה שלא כל מנהלי הרשת צריכם גישה לניהול כל הרשת :) יש לנסות להפריד הרשאות גם בתוך הקבוצה הזאת דוגמא למיקרה שהובא היתה ,מנהל רשת זוטר שעמד לפני פיטורים אך עדיין היה בעל הרשאות ADMIN גורפות בארגון - דבר שאפשר לו לחבל בשרתים רבים וכן למחוק את הלוגים על פעילות זו ואף לכונונם שיצביעו על המנהל שלו כגורם האשם.
  • ניהול חשבונות והרשאות - המחקר מעלה שרוב פעולות החבלה התבצעו לאחר הפיטורין אך בעזרת התחברות לרשת שהוכנה מראש ע"י העובד . בדרך כלל השימוש היה בחשבונות משותפים (משתמש אפליקטיבי)test,traning,sysadmin,dba וכו ,חשבונות שקשה מאד לזהות מי בעצם המשתמש האמיתי ה"מסתתר " מאחוריהם. במיקרים רבים מנהלי רשת יצרו חשבונות שנראו לצרכים לגיטימיים אך למעשה שימשו אותם להתחברות מרחוק לארגון לאחר הפיטורין.
  • סיסמאות - מקרים רבים הראו כי משתמשים העבירו בינהם ססמאות בכדי לחסוך זמן ולבטל את הצורך בגורם אחד מאשר ואחד מבצע .
  • סיסמאות חלשות - במקרים רבים מנהלי רשת וגורמים אחרים הריצו PASSWORD CRACKERS ופרצו לחשבונות ולקבצים מוגני סיסמה לצורך גניבת הרשומות.חלק מהחשבונות שנפרצו שימשו להם לאחר הפיטורים דרך להתחבר לארגון.
  • auditing and log mamagment - במקרים רבים נראו גישה לשרתים רגישים והורדת downloads כמות גדולה של קבצים ,פרט מעניין נוסף הוא שרוב הפעולות מסוג זה נעשו בחלון זמן של 3-1 חודשים לפני פיטורי עובד או התפטרות - בדיקה של תבניות כאלו יכולות לעזור בגילוי מקרים של פעולה פנימית.
  • חשיבות שיתוף פעולה בין מחלקות כוח אדם , IT ,מנהלים, והבעלים של המידע - חקירת המקרים מעלה שלא די באמצעי IT ( טכניים) בלבד לזיהוי פשע ההולך להיתבצע אלא חייב שיתוף פעולה עם מחלקות כוח אדם ובעלי המידע עצמו היודעים למי הצורך במידע ולמי לא בהתאמה לגורמים כגון פיטורים, מירמור בעבודה וכו.

FYI

הקשחות SSL בשרתי IIS

תקן PCI ותקנים נוספים מחייבים הקשחת מנגנון ה SSL HTTPS .
התקן מחייב - ביטול תמיכה לאחור ב ssl v 2 והקשחת אלגוריתם ההצפנה .
ההקשחה מתבצעת ב REGISTRY של שרת ה IIS וניתנת לבדיקת ע"י כלי של FOUND STONE = SSLDIGGER

http://stdout-dev-null.blogspot.com/2006/02/disable-ssl2-and-weak-ciphers-in-iis.html

השינויים:


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"Enabled"=dword:ffffffff





Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]

"Enabled"=dword:ffffffff