מדריך: 10 מהלכים פשוטים שאתם יכולים לעשות *עכשיו* כדי להקפיץ את רמת האבטחה שלכם

תמונה: dreamstime

השנה היא 2025 וביותר מדי מפגשים עם לקוחות אני רואה פערי אבטחה שאפשר היה לסגור עוד בשנת 2015. אותם פערים משפיעים על רמת האבטחה בארגון ומונעים ממנו להתמקד בדברים החשובים שיקדמו אותו עסקית. למשל, לא מעט פעמים באירועי IR אני נתקל באותם TTPS שתוקפים עושים בהם שימוש שוב ושוב.

אבטחת מידע מגיעה בשלבים. אמנם אין פתרון אחד שסוגר את כל הפינות ואפשר להגיד: ״הנה, הארגון שלי עכשיו מוגן, אפשר לנוח״, אבל צריך להתחיל. השלב הראשון הוא הרכיבים שחשופים לרשת האינטרנט, ומשם נעים כל הדרך אל הרשת הפנימית. לכן, חובה להקשיח כל שלב במעגל האבטחה הארגוני. להלן עשרה דברים שאפשר לעשות באופן מיידי כדי להקפיץ עכשיו את רמת האבטחה אצלכם בארגון.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

Active Directory Certificate Services .1

מדובר על שירות לניהול תעודות ברשת הארגונית, לפני כשנתיים יצא מחקר של חברת ייעוץ מובילה בארצות הברית שמצאה פערי אבטחה משמעותיים בשירות הזה. בשורה התחתונה? הגדרה לא נכונה שם (וכן, כל הארגונים נופלים בזה) תאפשר למשתמש עם הרשאות נמוכות גישה להרשאות Domain Admin. כמה קל, אה?

מה אפשר לעשות?

• להגדיר את התעודות כך שרק משתמשים בעלי הרשאות מתאימות יכולים לבצע בקשת משיכה (Enrollment) משירות ה-ADCS.
• לבדוק אם הגדרת ENROLLE_SUBPPLIES_SUBJET הכרחיות בתעודות הנמצאות בשירות ה-ADCS.
• לבדוק אם הרשאות Server Authentication, Client Authentication הכרחיות בתעודות אשר נמצאות בשירות ה-ADCS.

2. אחסון פרטי התחברות נשמרים באופן גלויי (Clear-Text)

תתפלאו בכמה ארגונים שאנחנו מגיעים אליהם מצאנו משתמשים רגילים וגם משתמשי IT ששומרים את הסיסמאות בקובץ בשם "סיסמאות״ על שולחן העבודה. פשוט מחכים שתוקף יגיע ויאסוף את המידע הזה. ספוילר: בלא מעט מקרים זה נעשה, למרות שיש כספת ארגונית.

מה אפשר לעשות?

• יש כלים כגון (snaffler) שמחפשים סיסמאות בקבצים בכל מיני קומבינציות, מומלץ להריץ אותו אחת לשבוע בארגון.
• להדריך את המשתמשים לשמור מידע רגיש רק בצורה מוצפנת ולעשות שימוש בכספת הארגונית.

3. שימוש בסיסמאות קלות לניחוש

כן, גם ב-2025 נעשה שימוש בסיסמה Aa123456 ולפעמים גם עבור משתמש Domain Admin. בלא מעט מקרים הדבר הראשון שתוקף יעשה זה לנחש סיסמאות של משתמשים אחרים. במקרים אחרים, משתמשי ה-IT יוצרים קומבינציה שחוזרת אצל כל העובדים: האות הראשונה של השם הפרטי, האות הראשונה של המשפחה ואז תאריך תחילת העבודה. צריך לציין שהמידע הזה זמין לכל משתמש בארגון.

מה אפשר לעשות?

• להחריג שימוש בסיסמאות קלות לניחוש, זה יכול להיות רצפים, שם החברה, שם של העובד ועוד.
• לעשות שימוש במחולל סיסמאות בעת יצירת סיסמה חדשה למשתמש.

תתפלאו בכמה ארגונים מצאנו משתמשים רגילים וגם משתמשי IT ששומרים את הסיסמאות בקובץ בשם "סיסמאות״ על שולחן העבודה. פשוט מחכים שתוקף יגיע ויאסוף את המידע הזה. ספוילר: בלא מעט מקרים זה גם קורה, למרות שיש כספת ארגונית

 

4. סיסמת משתמש Local Administrator משותפת בין שרתים ותחנות

כאשר נעשה שימוש בשרת PXE או ב-image ייעודי בעת התקנת מערכות הפעלה, הבסיס של ההתקנה זהה לכל התחנות והשרתים, בין היתר הסיסמה של האדמין המקומי. במקרה שאין רכיב לשימוש ניהול סיסמאות מקומי ובמקרה שתוקף הצליח להשיג הרשאות גבוהות על תחנה או אפילו שרת אחד, הוא ישיג גישה גם לשאר השרתים והתחנות שעושים שימוש באותו Image.

מה אפשר לעשות?

מומלץ להשתמש בכלים אוטומטיים ליצירת סיסמאות עבור משתמשים לוקאלים. מיקרוסופט יצרה כלי בשם LAPS, הוא אפילו חינמי ועושה עבודה מעולה.

5. תהליך Lsass אינו מוגן

מדובר על תהליך (Process) במערכת הפעלה Microsoft Windows האחראי על אכיפת מדיניות האבטחה וההזדהות במערכת. תוקף שהשיג הרשאה גבוהה על התחנה הזו יכול ליצור דאמפ לתהליך ה-Lsass, ובכך לגשת לפרטי הזדהות של משתמשים נוספים או שירותים שמחוברים לתחנה.

מה אפשר לעשות?

• לנווט לנתיב הבא ב-Registry ולשנות את ההגדרות RunAsPPL ל-1
• Regedit > HKEY_LOCAL_MACHINE\SYSTEM|CUrrentControlSet\Control\Lsa

6. מנגנון ה-SMB Signing מוגדר כ-Not Required

כאשר תוקף רוצה להשתלט על שרת או תחנה, הוא ינסה לבצע מתקפות Relay נפוצות אשר יאפשרו לו להשתלט עליהם בקלות, רק מלהאזין לתעבורת Broadcast שעוברת בשרת.

מה אפשר לעשות?

• לנווט לנתיב הבא ב-GPO ולהפיץ את ההגדרות הבאות בארגון
• Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
• Scroll through the options and double-click’ Microsoft Network Server: ‘Digitally Sign Communication – Always
• Scroll through the options and double-click’ Microsoft Network Client: ‘Digitally Sign Communication – Always

דואגים לעדכן רק 98 אחוז מרכיבים בארגון. תמונה: dreamstime

7. היעדר עדכונים

מתברר שלא מעט פעמים דואגים לעדכן רק 98 אחוז מרכיבים בארגון. למה? כי פספסו או שהחליטו שלא צריך. בדיוק בנקודה הזאת תוקף נכנס. בלא מעט מקרים אותם פגיעויות, כגון CVE-2021-42278 או CVE-2021-42287, מאפשרות לכל משתמש שחבר בקבוצת Domain Users להשיג הרשאות Domain Admin בשלושה קליקים. קל ומגניב, נכון?

מה אפשר לעשות?

יש לעדכן באופן גורף את כלל המערכות בארגון באופן קבוע אחת לשלושה חודשים ובעת יציאה של עדכוני אבטחה קריטיים, יש לעדכן באופן מיידי.

8. היעדר מידור רשתי (סגמנטציה)

ארגונים משקיעים מיליוני דולרים במוצרי אבטחה, באנשי אבטחת מידע ובציוד יקר, אבל דבר אחד הם לא עושים – סגמנטציה. צריך להבין שזה עניין של זמן, ובדרך כלל הזמן קצר, עד שתוקף ישיג הרשאות גבוהות. אבל אם הסביבה מוגנת באמצעות חוקים מתאימים ורלוונטיים, החיים של התוקף הופכים לקשים ביותר, אומר לכם מניסיון.

מה אפשר לעשות?

• לתכנן וליישן מידור והפרדה הולמים בין תחנות העבודה של המשתמשים לשרתים.
• רשתות עם גורמים בעלי הרשאות גבוהות כגון IT יש לשים ברשת שאינה זמינה לרשת הארגון.
• לייצר חוקים בהתאם לאופי השימוש הארגוני ולדאוג לטייב את החוקים באופן קבוע.

9. סיסמאות קלות לפריצה עבור משתמשי Service Account

בלא מעט מקרים אותם משתמשי Service Accounts מחזיקים בהרשאות גבוהות. מאחר שיש להם SPN, כל משתמש ברשת הפנימית יכול לבקש את ה-TGS של אותו Service Account, לנסות לפרוץ אותו ולהשיג את הסיסמה של ה-Service Account.

מה אפשר לעשות?

• להגדיר כי מנגנון ה-Kerberos יעשה שימוש ב-AES256 בלבד
• לדאוג שלמשתמשים בעלי הרשאות Domain Admin לא יהיה SPN
• ליישם את מנגנון ה-Account Policy עבור משתמשי ה-Service Account בצורה מלאה על פי ההמלצות הבאות:
  Minimum Password Length – 25
  Password must meet complexity requirement – Enabled

10. חיבור אנונימי מאופשר בשרתי ה-Domain Controller

תוקף שהצליח להשיג גישה לרשת הפנימית, אבל ההרשאות הן מקומיות בלבד, יכול לבצע שאילתות LDAP אל שרתי ה-Domain Controller, ובכך לקבל רשימה מלאה של משתמשים ושרתים בארגון.

מה אפשר לעשות?

בממשק ה-Secpol לשנות את הערך הבא:
do not allow anonymous enumeration of SAM account and Shares – Enabled

הכותב הוא בעלים ומנכ"ל של חברת שורסק