שלום לקוראי הבלוג,

אני הדס, רעייתו האוהבת של כותב בלוג זה, ואשת אבטחת מידע ותיקה (היום כבר לא אומרים "אבטחת מידע" אלא "הגנת סייבר", למרות שברוב המקרים אומרים אחד ומתכוונים לשני ולהפך). בזמן שבעלי מכלה צ'פאטי ודהל-בהט במומבאי (ראו פוסט קודם), אני התפניתי לספר לכם על "הצד שלה", וגם לחלוק איתכם קצת תובנות, ממעוף הציפור, בנושא אבטחת המידע הארגונית.

נושא ה"טיסות לחו"ל מטעם העבודה" אינו זר לנו. בעבר בעלי נסע לכנסים בחו"ל ואף זכה בטיולי פנאי מטעם החברה במקומות שונים בעולם אך זו הפעם הראשונה שהוא נוסע, ממש, לעבוד בחו"ל. התחושה מעורבת- מצד אחד גאווה גדולה ופרגון עצום, ומצד שני הימים הארוכים וההתמודדות עם כל המטלות בבית בלי עזרה היא לא פשוטה. משימות שהן בדרך כלל נחלתו הבלעדית כמו הר הכלים בכיור או מיתון עליצותה המוגזמת של הכלבה מצטרפות למשימות השגרתיות של ההורות ותפעול הבית והופכות, יחד עם הגעגועים, למעמסה שהיא לא רק רגשית. יש לנסיעות האלה גם צדדים חיוביים, כך למדתי. למשל, אתמול הלכתי לישון בשמונה בערב בלי שום רגשות אשם, גם הררי הכביסה צומצמו בחצי, והילדה ואני אוכלות רק מה שאני אוהבת לארוחת הערב, מבלי להתחשב בהעדפותיו הקולינריות של אדם נוסף.

בדרך כלל תחומי העיסוק של בעלי ושלי לא מצטלבים. אנחנו מבינים היטב זה את זה אבל עדיין, מערכות גיבוי ואחסון גדולות כמו NetApp, ועכשיו גם Infinidat, לא סובלות מאותו סוג איומי סייבר שיש, למשל, למערכות הפעלה.

ברור, מערכות שמחזיקות את כל המידע הארגוני, גם הרגיש ביותר, הן יעד מועדף על תוקפים, אולם ברוב המקרים הן ייחודיות ופחות נגישות ממערכות אחרות, מוחצנות יותר, כגון תחנות הקצה הארגוניות, שרת הדוא"ל, שרת הweb ודומיהן.

בהקשר קרוב, בשבוע שעבר התקיימה תחרות ההאקינג Pwn2Own השנתית, בה לוקחים חלק משתתפים מכל העולם ויכולים לזכות בפרסים של מאות אלפי דולרים. המשימה העיקרית בתחרות השנה הייתה "התחמקות ממכונות וירטואליות", המתחרים קיבלו מכונה וירטואלית של VMware או Hyper-V והיו צריכים להשיג שליטה בשרת המארח ("guest to host"). הקבוצה שזכתה בפרס הראשון, אנשי אבטחת מידע מחברת Qihoo360 הסינית, הצליחו להשלים את האתגר באמצעות שימוש בחולשת heap overflow  בדפדפן Edge, שהובילה לחשיפת באג type confusion בקרנל ווינדוס שהובילה לניצול uninitialized buffer ב- VMware.

על אף הייחודיות של מערכות הגיבוי והאחסון, מידי פעם אפשר לפגוש בחולשה סוררת במוצרים ספציפיים. חולשות כאלה עלולות אפילו לאפשר גישה מרוחקת לממשק הניהול או הרצת קוד, ולכן כדאי לבצע מעקב אחר החולשות המתפרסמות באתר CveDetails לפי שם היצרן, ולוודא שהמערכת בה אתם משתמשים לא חשופה לחולשות (או לפחות שיש לכם את הגרסא העדכנית ביותר). יש המון דוגמאות לחולשות כאלו, אני אבחר שתיים שמוגדרות קריטיות: חולשה CVE-2017-5600 ב- OnCommand Insight Data Warehouse של NetApp שפורסמה לפני חודש בדיוק, העלולה לאפשר לתוקף מרוחק גישה לממשק וביצוע פעולות, או חולשה CVE-2016-9871 במערכת ההפעלה EMC Isilon OneFS שפורסמה גם היא בחודש שעבר והתעדכנה לפני כשבוע, ומאפשרת למשתמש בעל הרשאות ISI_PRIV_LOGIN_PAPI ו- ISI_PRIV_SYS_SUPPORT לקבל גישת root. אגב, כשהיצרן עצמו מדווח על חולשות במוצרים שלו, הוא ברוב המקרים לא יציג PoC או את אופן הניצול הספציפי של החולשה. ככה הם יצרנים, לא אוהבים לירות לעצמם ברגל.

אז איך מתגוננים? כמובן הטמעת עדכוני אבטחה / שדרוג גרסא ברגע שהם מתפרסמים, בהנחה שאפשר לעשות את זה בלי, או במינימום, פגיעה בשירות. כמובן, גם עצות כלליות כמו שמירת הערנות והזהירות של עובדי הארגון בשילוב עם מערכות הגנה סבירות ומעלה הן טובות בכל הקשר, גם כאן.

ברוב המקרים ההתייחסות ברשת היא רק לאיומים הניצבים בפני משתמשי הגיבוי בענן, בדר"כ שירותי אחסון ציבוריים כמו Google Drive, Azure וכאלה, מכיוון שמערכות הגיבוי ה"גדולות" שלכם מגיעות עם הגדרות אבטחה מומלצות, הן יקרות מכדי שתוקף (שהוא לא מדינה) ירכוש אותן רק לצרכי חיפוש פרצות אבטחה והן מוגנות ע"י שלל מערכות ההגנה הארגוניות שה- CISO המוכשר שלכם כבר אפיין ותכנן ודאג שיטמיעו על הצד הטוב ביותר. ככה לפחות אני מקווה.

שלכם,

רעייתו