מספר כללים למניעת תקיפה חיצונית על התשתיות

לצד הלחימה הפיסית של כוחותינו, אנו נדרשים להתמודד עם מתקפות סייבר על מטרות ישראליות. כאן מדובר באפיק תקיפה נוח יותר, התוקף יושב במקום מרוחק ודרך המחשב והאינטרנט מנסה לפגוע בתשתיות של מפעלים וארגונים.

מאמר זה הוא ראשון מני רבים שחברת Madsec תפיץ ללקוחותינו, המאמרים נכתבים על ידי מומחי סייבר שמתמודדים ביומיום עם המתקפות הללו. המטרה היא לספק בעיקר הנחיות והמלצות טכניות ולא מידע כללי תיאורטי.

1. בדיקת משטח התקיפה החיצוני
   וודאו שכל השירותים הגלויים לאינטרנט (גם מהתשתית ב- Cloud) אינם חשופים באופן מסוכן. ייתכן שקיימים אצלכם שירותים פתוחים מיותרים ולחילופין שירותים חיוניים אבל לא מוקשחים כנדרש (נניח סיסמה קלה מדי). יש כלים שמאפשרים בקלות את הבדיקה הזו.
2. אימות דו שלבי
   וודאו שכל חיבור מרוחק לשירותי החברה, מוקשח באימות דו שלבי 2FA, כולל התחברות לשירותי המייל ב 0365. ניתן לבצע אכיפה מהירה באמצעות הגדרת Conditional Access.
3. צמצום החשיפה למדינות רלוונטיות בלבד
   בצעו הגדרות Geo location בגישה לדואר האלקטרוני ב 0365 ול- VPN. מרבית התקיפות מגיעות מחו”ל, במידה וישנן מדינות שאינכם פעילים שם, חיסמו את הגישה משם, לפחות לחודש הקרוב.
4. הגדלת נפח האחסון של הלוגים
   הגדילו נפח האחסון של הלוגים ב Firewall ובמקביל הגדירו מודול IDS על תעבורה פנימה. במרבית המקרים, הנפח הוא קטן מדי ומספיק למספר שעות בודדות. חוסר בלוגים מונע את היכולת לבדוק ולהסיק מסקנות. ניתן לרכוש דיסק חיצוני ולחברו ל Firewall או לשלוח את הלוגים לשירות ב Cloud.
5. הגדרת חוקת Denial of Service
   הרבה לא מכירים, אך ה-Firewall מאפשר הגנות מפני מתקפות DoS ומומלץ להפעיל אותן. לדוגמה, אם מישהו מבצע Port Scan על כתובת IP חיצונית שלנו, ה-Firewall יודע לעצור את הסריקה אחרי כמות פורטים מסוימת שנסרקה.