אם ה' לא ישמור שרת...
-
מידי פעם אנשים שואלים אותי האם השרת שלי מאובטח, ורוצים לדעת אם הנתונים שלהם בטוחים מחדירות חיצוניות ומפריצות.
אני תמיד מסתבך בתשובה.
מצד אחד משתדל לעשות מה שאני יכול, יש חומת אש על השרת, סיסמאות מסובכות על הSQL בנוסף לרשימה לבנה של כתובות אייפי מורשות.
מצד שני לחברות גדולות מאוד כבר הצליחו לפרוץ, אז לשרת הקטן והמסכן שלי לא יצליחו אם ירצו?
מצד שלישי למה שמישהו יפרוץ לשרת שלי? מה כבר מצדיק כזה מאמץ?
ומצד רביעי להתחיל לפרט את כל זה לכל מי ששואל, עושה רושם לא מאוד רציני.. אבטחה בינונית שמחזיקה מעמד עד שמישהו ינסה לפרוץ.. זה אומר שאפשר לפרוץ? אז הנתונים שלי מחר יכולים להסתובב ברשת?הגדיל לעשות אחד שבוע שעבר שדרש אישור מחברה חיצונית שמפקחת על האבטחה.
מה אמורים לענות על שאלות כאלה? אני בטוח שיש כאן מפתחים שגם מתמודדים עם לקוחות ששואלים כאלה שאלות..
תודה -
@שואף הגישה שלי,
א) תהיה בטוח במה שאתה אומר, באמת תנסה להבין את התשתית שלך ואיפה החולשות ואיך אתה מוגן מפניהם וכו'
ב) ככל שהתשתית שלך יותר פשוטה כך אתה יותר מאובטח. זה שהצליחו לפרוץ לחברות גדולות, בד"כ כי יש להם תשתית מסובכת פי אלף משלך
ג) כמובן תמיד תקפיד על best practices ותנסה לשמור על שטח חשיפה קטנה.אם תקפיד על זה רוב הסיכויים שבאמת אתה יותר מאובטח מחברה ענקית
-
תשובה יותר בכיוון האנושי ופחות בכיוון הטכני:
אנשים ששואלים שאלות כל אבטחת השרת, על פי רוב לא מבינים באבטחה, וחלק מהם חושבים שהם מבינים והם הכי גרועים. הם בד"כ אנשים שבאו לעולם עם התפקיד היחיד של לעצבן מפתחים רציניים שרק רוצים לחיות את החיים שלהם בשלווה...
צריך לענות עם מילים בומבסטיות שגם אתה וגם הם לא מבינים מה הם אומרים. ועם בטחון עצמי מוגזם.מישהו באמת צריך ליצור מילון של מונחים מפציצים לדברים רגילים לגמרי
למשל:firewall = advanced perimeter defense mechanism
נו, מישהו מתנדב למשימה?
-
-
@שואף
אנחנו משתמשים במחשוב ענן כדי למנוע ניסיונות פריצה בזמן אמת, אנחנו מצפינים את התעבורה באמצעות בלוקצ'יין, השרת מחובר לDMZ עם אלגוריתם בינה מלאכותית שנועד למנוע פריצות וגם לעדכן את עצמו להגנה מפני פרצות חדשות שנמצאו בזמן אמת.
ואם זה לא מספיק, יש לנו גיבוי ב30 שרתים מעבר לים שמתעדכנים בזמן אמת ויושבים מאחורי כספות ענק, כל אחד מחזיק חלק אחר של המידע, ומפתחות הצפנה שונות כדי שהם לא יוכלו לפענח את המידע עבור עצמם.
ולסיום, יש לנו מזכירה פיזית שעוברת על הלוגים ובודקת כשלים אנושיים.
היא תתקשר אליכם מידי פעם לוודא שאתם עוקבים אחרי נהלי אבטחת המידע המחמירים שלנו, אם תרצו שהיא לא תתקשר, אז אתם תתבקשו למלא שאלון אישיות לוודא שניתן לסמוך עליכם, את השאלון תעשו כשאתם מחוברים לאינטרנט והמצלמה שלכם עובדת.כמו כן תאלצו להשאיר פיקדון למקרה שעברתם על נהלי אבטחת המידע שלנו.
למעיישה, תענה להם שיש לך אבטחה טובה, אם חופרים לך אז תשתמש במילים שהם לא מבינים כדי לתאר מה שבאמת יש לך.
במקום להגיד פיירוול, תגיד iptables.. יש סינתוז של קלטים, שכבת הגנה אפליקטיבית, וכמובן חסימת כשלים ידנית.אל תשכח לציין שאתה משתמש בתעודות אבטחה עם תקנים מהמחמירים בשוק (יש לך ספק מיוחד ל- X.509, בשילוב RSA שזאת ההצפנה הכי חזקה שקיימת היום)
תגיד להם גם שיש לך מימוש מיוחד של דיפי הלמן בשביל להגביר את רמת האבטחהושבכל המידע שעובר בשרת תמיד עובד מעל TCP, שזה פרוטוקול רשת מיוחד כדי למנוע איבוד מידע, מידע פחות רגיש יעבור מעל UDP כדי לבלבל את התוקפים, במידה והם ינסו לפרוץ.
אם הוא ממש "מייבין" רציני, תוסיף שזה רץ על לינוקס, הוא ירגיש שהוא מבין באבטחת מידע, ואתה תרגיש שנפטרת ממנו
אם הוא קצת "מייבין", אז תגיד לו שזה שרת לינוקס מוקשח.אני אנסה לחשוב על עוד פתרונות יצירתיים, זה ממש כיף
-
@חגי אהה בסדר פשוט ראיתי ביתד יום שלישי לפני כמה שנים שיש היום וואקרים (אל תתפוס אותי על המילה, אתה יודע, אני קורא את זה במעלית בדרך לסדר א') שפורצים לכל מיני דברים, וזה קצת הפחיד אותי.
אבל אם אתה אומר שאתה מבין בזה, סומך עליך. רק רציתי להיות בטוח.
אגב, במילה אחת, בלוקצ'יין זה קשור אולי לביטקוין? זה ראיתי בהמבשר של גיסי שקנה לפסח, עשו שם כתבה על זה במוסף חג, תגיד זה נכון שיש אנשים שנהיו מליארדרים מזה?
אגיד לך את האמת, גיסי המליץ לי להשקיע בזה, הבנתי מלמעלה איך זה עובד, אבל אמרתי לו תברח מזה, מחר איזה וואקר יפרוץ לכספת של הביטקוין ויגנוב לכולם. אני מאמין רק בשטרות, או נכסים, אבל הכסף הוירטואלי.. מה שבא מהר הולך מהר.טוב מה אגיד לך, עושה לי כאב ראש העננים האלה, תעשה לי טובה תמלא לי הטופס אבטחה הזה בעצמך, למה פעם אחרונה שעשיתי תיאום מס באיטרנט (בחנות של חותם כמובן, אין לי בבית), לקח לי חצי שעה רק להבין איך להחליף המקלדת מעברית לאנגלית.
אהה ועוד משהו שגיסי אמר לי לשאול אותך, השרת שלך בישראל? כי לאחרונה יש קצת איטיות במערכת, וזכרתי שאמרת לי שהשרת הוא בחו"ל, אז אולי זה בגלל שלוקח זמן להתחבר עד לשם. אולי תעביר הכל לישראל וזהו.
-
@שואף אמר באם ה' לא ישמור שרת...:
אהה ועוד משהו שגיסי אמר לי לשאול אותך, השרת שלך בישראל? כי לאחרונה יש קצת איטיות במערכת, וזכרתי שאמרת לי שהשרת הוא בחו"ל, אז אולי זה בגלל שלוקח זמן להתחבר עד לשם. אולי תעביר הכל לישראל וזהו.
החלק הזה לא יצא נכון בטעות?
שרת ישראלי לא יותר מהיר משרת בחו"ל? (אם רוב הבקשות באות מהארץ כמובן) -
-
@שואף הכותרת מאוד מתחמקת, ומבחינתי היא די מפחידה.
תחשוב ששואלים חברת שמירה אם החברה שלהם מספיק מיומנים וזה התשובה שלהם.
אתה יכול לומר לאנשים אני עושה כפי המקובל בשוק, ואתה יכול גם להיות יותר רציני ולהבין מה הבעיות הנפוצות ואיפה זה יכול לתפוש אותך. בד"כ שמתחילים לחשוב בראש של אבטחה מהר מאוד מבינים המון דברים.
מפתחים עסוקים (לא אתה חלילה), שמבחינתם האבטחה זה איזה בירוקרטיה שנתקעת מידי פעם הם בהחלט באוכלוסיית סיכון של הסיפורים ששומעים מידי פעם. -
@שואף אמר באם ה' לא ישמור שרת...:
מצד שני לחברות גדולות מאוד כבר הצליחו לפרוץ, אז לשרת הקטן והמסכן שלי לא יצליחו אם ירצו?
תלמד מהכשלונות של החברות הגדולות, הנה מה שאני זוכר מהמקרים הקלאסיים:
- טרגטו עובד בחברה וגנבו לו מפתחות וכו' מהמחשב האישי.
- הדלפות של פרטי התחברות לRDP או VPN.
- חומות אש ששכחו לסגור.
- API שלא היה בנוי בצורה חכמה ונתן אפשרות לשאוב מידע של הרבה לקוחות.
- פרצות שהתפרסמו ומנהל השרת לא הספיק לתקן.
- סיסמאות חלשות בפאנל נידח.
- שימוש חוזר בסיסמאות בכמה מקומות.
חלק מהדברים כאן לא נוגעים אילך וחלק לא
העיקר לא ללכת לישון ולחשוב שהכל בסדר.
