התקפות מודרניות והארגון שלי (Defender ATP)

יום ראשון, מרץ 5, 2017

איומי הסייבר הנוכחים ואלה שיגיעו בעתיד מציבים את הארגונים של כולנו בחוסר איזון מוחלט לגבי כמות המערכות שאנו מתקינים, קבלת החלטות מול נהלי אבטחת מידע, אכיפת מדיניות על הארגון ועוד. למה בחרתי לקרוא לזה חוסר איזון? מצד אחד סוג של “היסטריה” עם כמות מערכות ומצד שני חוסר מענה לנקודות הקריטיות.שאני נמצא אצל לקוחות ורואה את כמות המערכות שנמצאות בארגון וחוסר הקורלציה בינהם ישר עולה השאלה (שלרוב גם אין עליה תשובה) האם ישנו תהליך או נוהל כאשר ישנה מתקפה? ואם כן מה עושים במצב כזה? האם המערכות יודעות לדבר בינהם וליידע על האירוע. בשורה התחתונה כאשר ישנה בעיה וגם אם...
תגובה אחת

הגנה על תעבורת הדואר עם Advanced Threat Protection

יום רביעי, ינואר 18, 2017

בתקופה האחרונה ישנם יותר ויותר מקרים של מתקפות חכמות ובמקרים רבים מצליחים התוקפים לעבור את מנגנוני ההגנה והאבטחה הרגילים ולעיתים המתקדמים, אין ספק שכיום התוקפים חכמים יותר וסוגי המתקפות מגוונים ושונים ולכן המתקפות שאנו חווים בתקופה האחרונה הם בעלי עוצמה רבה יותר ובבקרים רבים נקודתיות.אחת המערכות שחוות את המתקפות הרבות הם שירותי הדואר למינהם בהם Exchange Online, כמות הדואר שנשלח ומתקבל היא עצומה ולכן גם הסיכון גדול יותר, כיום שירות Exchange Online Protection מבצע הגנה על שירותי הדואר של Exchange Online ומספק הגנה מתקדמת ומבוסס על שירות אנטי וירוס עם מספר מנועים רב שכבתי ומערכת סינון דואר זבל.יחד עם...

אבטחת מידע וסייבר Macro-Based Malware

יום ראשון, דצמבר 25, 2016

כולנו משתמשים ביומיום עם קבצים המכילים מאקרו באמצעות Office ולרוב מפעילים אותם ללא חשיבה על מה שעלול להיות ברגע שלחצנו על Enable Content.אחת הדרכים הפופולריות של התוקפים כיום הם תקיפות באמצעות קובצי Office המכילים מאקרו שלכאורה נראים בטוחים ולא גורמים לבעיות אך מתחת לפני השטח עלולים להיות הרסניים עם Ransomware כדוגמת Locky. מהו Macro בכלל מאקרו הוא תת-רכיב/תת-תוכנה המבוסס על גרסה מצומצמת של Visual Basic ונמצא בעיקר במסמכי Office. מסמך שמורכב מהגדרות מאקרו מאפשר לבצע הרצת פקודות שונות בתוך קובץ Office.  פקדת Macro אשר נחשפת למשתמש כאפשרות רגילה (לחצן בתוך Office) או רצה ברקע למעשה מריצה מאחורי הקלעים מספר...
תגיות: ,
אין תגובות

אבטחת מידע וסייבר Shadow IT, ברוקר וכאלה

יום שלישי, נובמבר 8, 2016

עולם המחשוב התפתח באופן מהותי בשנים האחרונות החל מצד התשתיות, צד הפיתוח וצד המובייל וכתוצאה מכך המחשוב בארגון הפך להרבה יותר חדשני, מתקדם ונרחב עם טכנולוגיות שונות.הסיבות העיקריות לשינוי הם: המעבר לשירותי ענן התפתחות המובייל האופן שבו אנו צורכים מידע (Cosumerization) ישנם סיבות נוספות, כגון: התחדשות טכנולוגית ארגונית, אפליקציות ארגוניות, הצורך של חטיבות ומחלקות שונות בארגון להתחדש עם טכנולוגיה מסוימת בכדי ליצור Business Impact ועוד. כאשר אנו לוקחים יחד את הסיבות העיקריות יחד עם הסיבות הנוספות נוכל לקבל IT ארגוני שונה ממה שהכרנו עד כה, כלומר אם נשווה את ה-IT הארגוני משנת 2010 לזה של...
אין תגובות

חיבור באמצעות PowerShell לשירות Cloud App Security

יום שני, אוקטובר 17, 2016

שירות Cloud App Security או בשמו הקצר CAS הוא רכיב חשוב ואף קריטי במעבר אל שירותי הענן השונים. CAS הינו פתרון מקיף שמסייע לארגונים לנצל את כל היתרונות וכל היכולות הקיימים של אפליקציות ענן ומשפר את יכולות הניהול של הארגון (Visibilty & Activity).בנוסף לכך CAS מספק שיפור משמעותי ע”י הגנה על מידע חיוני על גבי הענן, הכלים והיכולות שמגיעים עם CAS מאפשרים לנו לעבור אל הענן בצורה בטוחה יותר בגלל אפשרויות ניהול ואכיפה, כגון: מענה לShadow IT הערכת סיכונים על מידע שעובר אכיפת מדיניות בהתאם לסיכונים ולרגולציה ארגונית תחקור פעילויות של אפליקציות ומידע שעובר...
אין תגובות

אבטחת מידע וסייבר Azure Information Protection (הקמת AIP)

יום ראשון, אוקטובר 16, 2016

שירות Azure Information Protection מאפשר לנו להגן על המידע בארגון באמצעות טכנולוגיות מבוססות Azure RMS ובאמצעות Secure Island. המטרה בשילוב שתי הטכנולוגיות (Azure RMS + Secure Island) היא להביא חדשנות, להרחיב את יכולות הגנת המידע בארגון ולספק מנגנון חזק יותר להגנה על המידע.Azure Information Protection או בקצרה AIP הוא שירות מבוסס ענן המסייע לארגונים לתייג, לסווג ולהגן על מידע מסוג מסמכים ופריטי דואר. פעולה זאת יכולה להתבצע אוטומטת לפי חוקים ותנאים או בצורה ידנית ע”י משתמשי קצה או חלופין לשלב את אותם אפשרויות יחדיו.מידע נוסף לגבי Azure Information Protection בקישור הבא אבטחת מידע וסייבר Azure Information Protection (הקדמה)בכדי לבצע...
אין תגובות

אבטחת מידע וסייבר Enterprise Mobility + Security (הקדמה)

כיום העולם העסקי סובב סביב מספר טכנולוגיות מרכזיות וספציפיות בינהם Mobile & Cloud, מגמה זאת תלווה אותנו גם בשנים הקרובות ואף תתעצם.שאנו מביטים כיום על ארגונים ניתן להבחין כי ישנו מכנה משותף ומודל חדש של ניידות ארגונית שכולל: גישה למשאבים שונים ברשת הארגונית גישה מכל מקום ובכל זמן גישה מכל מכשיר, התקן מחשבי קצה גישה מאובטחת והצפנה של התוכן והנתונים גישה עם אפליקציות ייעודיות למשאבים יתרה מכך ישנם מקרים רבים בהם ניהול המשתמשים (מול תחנות הקצה וההתקני השונים) ע”י אנשי הסיסטם נעשה מרחוק ע”י אותם פלטפורמות ענן ומובייל ייעודיות.ישנם ארגונים שאימצו את המודל...
אין תגובות

אבטחת מידע וסייבר Azure Information Protection (הקדמה)

הגנה על המידע ועל ניהול זכויות המידע בעידן הסייבר המתפתח הינה דרישה הכרחית ואף קריטית בכל ארגון, המנגנון של Microsoft המסייע בהגנה וניהול זכויות המידע בארגון הוא Right Management Service שעושה זאת כבר משנת 2003 והתפתח עם השנים לגרסא הנוכחית של Windows Server 2016 ושל גרסת הענן עם Azure RMS וכולל אפשרויות מתקדמות.רכיב Right Management Service או בקצרה RMS קיים כבר מגרסאות On-Premises וליתר דיוק מגרסת Windows 2003 Server ובמהלך השנים התפתח אל AD-RMS בגרסת Windows Server 2008 וכיום בגרסה הנוכחית שלו עם Windows Server 2016, במקביל לגרסאות On-Premises שירות RMS התפתח אל הענן בשירות Office 365 המושתת על...
7 תגובות

אבטחת מידע וסייבר חשבונות בעלי הרשאות (הגנה בשכבות)

יום שישי, ספטמבר 23, 2016

במאמר הראשון אבטחת מידע בענן וסייבר חשבונות בעלי הרשאות (הקדמה) התמקדנו בחשבונות בעלי הרשאות וכמה רגישים אותם חשבונות מול הארגון וכיצד תוקפים יכולים לנצל את אותם חשבונות בכדי להשיג את מבוקשם.במאמר הנוכחי נוכל להבין איך ניתן למנוע מתקפות, מהם הפעולות שצריך לבצע ואיך ניתן לבצע הגנה בשכבות ברמת זהויות בתוך הארגון.כיום ישנם מצבים שונים בארגונים בהם תחנות קצה בעיקר ושרתים אינם מוקשחים ברמת זהויות ומשתמשים אינם מנוהלים בצורה מספיק טובה וחשופים למתקפות ברמת חשבונות משתמשים: חשבון Active Directory עם הרשאת אדמין בתחנות קצה – ברוב הארגונים משתמשי קצה (Domain Users) מוגדרים עם אדמין מקומי ולכן בפעולה הכי פשוטה...
אין תגובות

אבטחת מידע וסייבר Exchange Online Protection & Relay

יום שלישי, ספטמבר 6, 2016

האם שירות Exchange Online פתוח ומאפשר לאחרים ואנונימים לשלוח דואר דרכו? האם Exchange Online Protection עושה את העבודה ומוגדר עם Relay נכון? תשובות בסוף המאמר. לאחרונה נתקלתי במספר מקרים בהם אדמינים ביצעו בדיקות מול שירות Exchange Online עם כלי Microsoft Remote Connectivity Analyzer (בקצרה https://testconnectivity.microsoft.com/) או לחלופין מתוך הרשת הארגונית ובמהלך הבדיקה של Inbound SMTP EMail נמצאו מספר הודעות שמצביעות על Relay פתוח ולכאורה כל אחד יכול לשלוח דואר דרך הדומיין. כידוע במהלך בדיקת Inbound SMTP EMail נעשות מספר בדיקות: בדיקות מול רשומות DNS של MX בדיקת פורט 25 בדיקת MX אשר שייך לדומיין שלנו ...
אין תגובות