14 השיטות המומלצות ביותר לאבטחת מידע
אבטחת מידע

14 שיטות מומלצות לאבטחה נתונים שחובה להכיר!

ב-

להלן 14 השיטות המומלצות ביותר לאבטחת מידע –

1. להבין טכנולוגיות נתונים ומסדי נתונים. 

מאגרי מידע הפכו יותר ויותר מתוחכמים בעשורים האחרונים. מסד הנתונים היחסי הוא הנפוץ ביותר. טכנולוגיה זו מאפשרת צפייה בנתונים בדרכים דינמיות המבוססות על צרכי המשתמש או המנהל. השפה הנפוצה ביותר המשמשת לתקשורת עם מסדי נתונים היא Structured Query Language (SQL). SQL מאפשר למשתמשים להעביר שאילתות לשרתי מסדי נתונים בזמן אמת. גמישות זו גורמת לפגיעות גדולה כאשר היא אינה מיושמת בצורה מאובטחת. אל תבלבל את השפה SQL עם מוצר מסד הנתונים של Microsoft SQL Server, אם כי, כמו רוב מסדי הנתונים, SQL Server משתמש בשפת שאילתות מובנית. 

שווה בדיקה: פורום ידע בתחום האבטחת מידע והסייבר

מערכות מסד נתונים מוקדמות חיברו את משתמש הקצה ישירות לנתונים באמצעות אפליקציות. ברשת פרטית, אבטחה פיזית הייתה בדרך כלל כל מה שנדרש כדי להגן על הנתונים. כעת, כדי לשפר את הביצועים והאבטחה של מסדי נתונים, חברות בחרו באחד מהדגמים הבאים: 

  • דגם חד קומתי. במודל חד-שכבתי, או חד-שכבתי, מסד הנתונים והאפליקציה קיימים על מערכת אחת. זה נפוץ במערכות שולחניות שמריצות מסד נתונים עצמאי. גם יישומי יוניקס מוקדמים עבדו בצורה זו; כל משתמש ייכנס למסוף ויריץ אפליקציה ייעודית שניגשה לנתונים.
  • דגם דו קומתי. במודל דו-שכבתי, תחנת העבודה או המערכת של הלקוח מריצים יישום המתקשר עם מסד נתונים שפועל בשרת אחר. זהו יישום נפוץ, והוא עובד היטב עבור יישומים רבים.
  • דגם שלוש קומות. מודל שלוש השכבות מבודד למעשה את משתמש הקצה ממסד הנתונים על ידי הצגת שרת ברמה בינונית. שרת זה מקבל בקשות מלקוחות, מעריך אותן ושולח אותן לשרת מסד הנתונים לעיבוד. שרת מסד הנתונים שולח את הנתונים בחזרה לשרת השכבה האמצעית, ולאחר מכן שולח את הנתונים למערכת הלקוח. גישה זו הופכת נפוצה כיום. השרת האמצעי יכול גם לשלוט בגישה למסד הנתונים ולספק אבטחה נוספת.

NoSQL 

NoSQL הוא מושג חדש יחסית. כפי שצוין לעיל, רוב מערכות ניהול מסדי נתונים יחסיים מסחריים (Oracle, Microsoft SQL Server, MySQL, PostGres וכן הלאה) משתמשות ב-SQL. מסד נתונים של NoSQL אינו מסד נתונים יחסי ואינו משתמש ב-SQL. מסדי נתונים אלה נפוצים פחות מבסיסי נתונים יחסיים, אך משתמשים בהם לעתים קרובות כאשר קנה המידה חשוב. להלן כמה הבדלים עיקריים: 

תכונה מסד נתונים של NoSQL מסד נתונים של SQL
סוג מסד נתונים לא יחסי/מבוזר יחסי
סוג סכימה דִינָמִי מוגדר מראש
אחסון נתונים מאחסן הכל במסמך מקונן יחיד 
, לרוב 
בפורמט XML (מבוסס מסמך) 		 רשומות בודדות מאוחסנות 
כשורות בטבלאות (מבוסס טבלה) 
יתרונות יכול להתמודד עם כמויות גדולות של  נתונים 
מובנים, חצי מובנים ובלתי  מובנים		 תמיכה רחבה וקל 
להגדרה עבור נתונים מובנים 
מודל קנה מידה אופייני  אופקי (הוסף עוד שרתים) אנכי (שדרג את השרת)
ספקים / יישומים פופולריים  MongoDB, CouchDB אורקל, מיקרוסופט, MySQL
רגישים להתקפות הזרקת SQL?  לא, אבל רגיש 
להתקפות דומות מסוג הזרקה 		 כן

ביג דאטה

ארגונים מסוימים מאחסנים כמויות גדולות ביותר של נתונים, לרוב טרה-בייט רבים. "נתונים גדולים" אלו בדרך כלל אינם יכולים להתאים לשרת בודד, ולכן במקום זאת הם מאוחסנים ברשת שטח אחסון (SAN). SAN היא רשת נפרדת המוגדרת להופיע כשרת לרשת הארגונית הראשית. לדוגמה, שרתים מרובים והתקני אחסון ברשת עשויים להיות מוגדרים כמיני-רשת שיש לה מטרה אחת: לאחסן מספר טרה-בייט של נתונים. הוא מחובר לרשת הראשית כך שמשתמשים יכולים לגשת לנתונים ב-SAN מבלי להיות מודאגים מהמורכבות הכרוכה שם. ל-SAN יש בדרך כלל שרתים מיותרים, והם מחוברים באמצעות חיבורי סיבים אופטיים מהירים או iSCSI הפועלים על נחושת.  

אחת הבעיות עם ביג דאטה היא שהוא יכול להגיע לגודל שבו קשה לחפש, לאחסן, לשתף, לגבות ולנהל אותם.

מערכות קבצים

מערכות קבצים הן דרך נוספת לאחסן נתונים לא מובנים ולשלוט כיצד הם מאוחזרים. ללא מערכת קבצים, מידע הממוקם באמצעי אחסון יהיה גוף נתונים אחד גדול ללא שום דרך לדעת היכן פיסת מידע אחת נעצרת והאחרת מתחילה. הפרדת הנתונים לחתיכות ומתן שם לכל חלק מאפשרים לבודד ולזהות את המידע בקלות.  

ניתן להשתמש במערכות קבצים בסוגים רבים ושונים של מדיה, כגון SSDs, קלטות מגנטיות ודיסקים אופטיים. סוגי מערכת הקבצים תלויים במערכת ההפעלה שבה נעשה שימוש; לדוגמה, לינוקס משתמשת במערכות קבצים כגון ext family, xfs ו-jfs; מערכת ההפעלה Windows משתמשת ב- fat, fat32 ו-ntfs; ו-MacOS משתמש ב-apfs וב-hfs+. 

2. זיהוי וסיווג נתונים רגישים. 

כדי להגן על נתונים בצורה יעילה, עליך לדעת בדיוק אילו סוגי נתונים יש לך. טכנולוגיית גילוי נתונים תסרוק את מאגרי הנתונים שלך ותדווח על הממצאים. לאחר מכן תוכל לארגן את הנתונים בקטגוריות באמצעות תהליך סיווג נתונים. מנוע גילוי נתונים משתמש בדרך כלל בביטויים רגולריים עבור החיפושים שלו, וזה דבר מאוד גמיש אבל די מסובך ביצירה. 

שימוש בטכנולוגיית גילוי וסיווג נתונים עוזר לך לשלוט בגישה של משתמשים לנתונים קריטיים ולהימנע מאחסנתם במיקומים לא מאובטחים, ובכך להפחית את הסיכון לחשיפה לא נכונה של נתונים ואובדן נתונים. כל הנתונים הקריטיים או הרגישים צריכים להיות מסומנים בבירור בחתימה דיגיטלית שמציינת את הסיווג שלו, כך שתוכל להגן עליהם בהתאם לערכו לארגון. כלים של צד שלישי,
כאשר הנתונים נוצרים, משתנים, מאוחסנים או משודרים, ניתן לעדכן את הסיווג. עם זאת, יש לבצע בקרות כדי למנוע ממשתמשים לזייף את רמת הסיווג. לדוגמה, רק משתמשים מורשים צריכים להיות מסוגלים לשדרג לאחור את סיווג הנתונים. 

3. צור מדיניות שימוש בנתונים. 

כמובן, סיווג נתונים לבדו אינו מספיק; עליך ליצור מדיניות שמפרטת סוגי גישה, תנאים לגישה לנתונים על סמך סיווג, למי יש גישה לנתונים, מהו שימוש נכון בנתונים וכן הלאה. אל תשכח שלכל הפרות המדיניות יהיו השלכות ברורות. 

4. שליטה בגישה לנתונים רגישים. 

אתה גם צריך להחיל בקרות גישה מתאימות לנתונים שלך. בקרות גישה צריכות להגביל את הגישה למידע בהתבסס על עקרון ההרשאות הקטנות ביותר: המשתמשים צריכים לקבל רק את ההרשאות החיוניות לביצוע תפקידם המיועדים. זה עוזר להבטיח שרק צוות מתאים יכול לגשת לנתונים. בקרות הגישה יכולות להיות פיזיות , טכניות או ניהוליות , כפי שמוסבר להלן. 

בקרות אדמיניסטרטיביות 

בקרות גישה מנהלתיות הן נהלים ומדיניות שכל העובדים חייבים לפעול לפיהם. מדיניות אבטחה יכולה לפרט פעולות שנחשבות מקובלות, רמת הסיכון שהחברה מוכנה לקחת על עצמה, העונשים במקרה של הפרה וכו'. המדיניות נערכת בדרך כלל על ידי מומחה שמבין את מטרות העסק ואת תקנות הציות החלות.  

מבנה פיקוח הוא חלק חשוב מהבקרות המנהליות. כמעט כל הארגונים גורמים למנהלים להיות אחראים על פעילות הצוות שלהם; אם עובד מפר בקרה מנהלית, הממונה יישא באחריות גם כן.

חינוך ומודעות כוח אדם

יש לספק הדרכה על מנת לגרום למשתמשים להיות מודעים למדיניות השימוש בנתונים של החברה ולהדגיש כי החברה מתייחסת ברצינות לאבטחה ותאכוף את המדיניות באופן אקטיבי. בנוסף, יש לחנך ולבדוק את המשתמשים מדי פעם כדי לחזק ולאמת את ההבנה שלהם. אמצעי אבטחה קיימים כדי להגביל את מה שמשתמשים יכולים לעשות אך הכלים הללו אינם מושלמים. אם משתמשים פותחים כל קובץ מצורף בכל דואר אלקטרוני, סיכוי גבוה שהתקפה של יום אפס או ניצול אחר שלא מופיע במסד הנתונים של האנטי-וירוס שלך יפגע במכונה. לכן, משתמשים צריכים לקבל השכלה לגבי אחריותם ושיטות העבודה המומלצות שלהם לשימוש נכון במחשב.

הליך פיטורי עובדים 

הבטחה שלכל עובד עוזב לא ישמור גישה לתשתית ה-IT שלך היא קריטית להגנה על המערכות והנתונים שלך. עליך לעבוד עם משאבי אנוש כדי לפתח נוהל סיום משתמש יעיל המגן על הארגון שלך מבחינה משפטית וטכנולוגית מעובדים לשעבר. 

בקרות טכניות 

ברוב המקרים, אין לאפשר למשתמשים להעתיק או לאחסן נתונים רגישים באופן מקומי. במקום זאת, יש לאלץ אותם לתפעל את הנתונים מרחוק. יש לנקות ביסודיות את המטמון של שתי המערכות, הלקוח והשרת, לאחר שמשתמש מתנתק או פסק זמן של הפעלה, או שמא יש להשתמש בכונני RAM מוצפנים. באופן אידיאלי אין לאחסן נתונים רגישים במערכת ניידת מכל סוג שהוא. כל המערכות צריכות לדרוש התחברות מסוג כלשהו, ​​ויש להגדיר תנאים לנעול את המערכת אם מתרחש שימוש מפוקפק. 

הרשאות 

יש להעניק הרשאות משתמש בהתאם לעקרון המינימום ההרשאות. להלן הרשאות הקובץ הבסיסיות במערכות ההפעלה של Microsoft: 

  • שליטה מלאה – המשתמש יכול לקרוא, לבצע, לשנות ולמחוק קבצים; להקצות הרשאות; ולקחת בעלות.
  • שנה – המשתמש יכול לקרוא, לכתוב ולמחוק את הקובץ.
  • קריאה וביצוע – המשתמש יכול להריץ את קובץ ההפעלה.
  • קרא – המשתמש יכול לקרוא אך לא לשנות את הקובץ.
  • כתוב – המשתמש יכול לקרוא ולשנות את הקובץ אך לא למחוק אותו.

לתיקיות יש אותן הרשאות, פלוס אחת נוספת – רשימת תוכן התיקיות, המאפשרת למשתמש לראות מה יש בתיקייה אך לא לקרוא את הקבצים.

רשימות בקרת גישה 

רשימת בקרת גישה (ACL) היא רשימה של מי יכול לגשת לאיזה משאב ובאיזו רמה. זה יכול להיות חלק פנימי ממערכת הפעלה או אפליקציה. לדוגמה, ליישום מותאם אישית עשוי להיות ACL שמפרט לאילו משתמשים יש אילו הרשאות במערכת זו.  

רשימות ACL יכולות להתבסס על רשימות הלבנות או רשימות שחורות. רשימת היתרים היא רשימה של פריטים מותרים, כגון רשימה של אתרים שמשתמשים רשאים לבקר בהם באמצעות מחשבי החברה, או רשימה של תוכנות של צד שלישי המורשות להתקין במחשבי החברה. רשימות שחורות הן רשימות של דברים אסורים, כגון אתרים ספציפיים שאסור לעובדים לבקר בהם או תוכנה שאסור להתקין במחשבי הלקוח. 

בתהליך ניהול הקבצים נעשה שימוש נפוץ יותר ברשימות ACL של רשימת היתרים, והם מוגדרים ברמת מערכת הקבצים. לדוגמה ב-Microsoft Windows, אתה יכול להגדיר הרשאות NTFS וליצור מהן רשימות בקרת גישה של NTFS. 

התקני אבטחה ושיטות 

מכשירים ומערכות מסוימים עוזרים לך להגביל עוד יותר את הגישה לנתונים. להלן רשימת המיושמים הנפוצים ביותר:  

  • מניעת אובדן נתונים (DLP) – מערכות אלו עוקבות אחר תחנות העבודה, השרתים והרשתות כדי לוודא כי נתונים רגישים לא נמחקים, מוסרים, מועברים או מועתקים. הם גם עוקבים אחר מי משתמש ומעביר את הנתונים כדי לזהות שימוש לא מורשה.
  • חומת אש – חומת אש היא אחד מקווי ההגנה הראשונים ברשת מכיוון שהיא מבודדת רשת אחת מהשנייה. חומות אש יכולות להיות מערכות עצמאיות או שהן יכולות להיכלל בהתקני תשתית אחרים, כגון נתבים או שרתים. אתה יכול למצוא פתרונות חומת אש חומרה ותוכנה; חומות אש מסוימות זמינות כמכשירים המשמשים כהתקן העיקרי המפריד בין שתי רשתות. חומות אש מונעות תנועה בלתי רצויה מלהיכנס לרשת הארגון, מה שעוזר למנוע דליפת נתונים לשרתים נוכלים של צד שלישי על ידי תוכנות זדוניות או האקרים. בהתאם למדיניות חומת האש של הארגון, חומת האש עשויה לבטל לחלוטין חלק מהתנועה או את כל התעבורה, או שהיא עשויה לבצע אימות בחלק מהתעבורה או כולה.
  • בקרת גישה לרשת (NAC) – זה כולל הגבלת הזמינות של משאבי רשת להתקני קצה התואמים למדיניות האבטחה שלך. חלק מפתרונות NAC יכולים לתקן באופן אוטומטי צומת שאינו תואם כדי להבטיח שהוא מאובטח לפני מתן גישה. NAC שימושי ביותר כאשר סביבת המשתמש סטטית למדי וניתנת לשליטה נוקשה, כגון ארגונים וסוכנויות ממשלתיות. זה יכול להיות פחות מעשי בהגדרות עם קבוצה מגוונת של משתמשים ומכשירים שמשתנים לעתים קרובות. NAC יכולה להגביל מכשירים לא מורשים לגשת לנתונים שלך ישירות מהרשת שלך.
  • שרת פרוקסי – התקנים אלה פועלים כמנהלי משא ומתן לבקשות מתוכנת לקוח המחפשת משאבים משרתים אחרים. לקוח מתחבר לשרת ה-proxy ומבקש שירות כלשהו (לדוגמה, אתר אינטרנט); שרת ה-proxy מעריך את הבקשה ולאחר מכן מאפשר או דוחה אותה. בארגונים, שרתי פרוקסי משמשים בדרך כלל לסינון תעבורה ושיפור ביצועים. התקני פרוקסי יכולים להגביל את הגישה לנתונים הרגישים שלך מהאינטרנט.

בקרות פיזיות 

לעתים קרובות מתעלמים מהאבטחה הפיזית בדיונים על אבטחת מידע. מדיניות ירודה בנושא אבטחה פיזית עלולה להוביל לפגיעה מלאה בנתונים שלך או אפילו ברשת. יש לנעול כל תחנת עבודה כך שלא ניתן להסירה מהאזור. כמו כן, יש למקם מנעול כך שלא ניתן לפתוח את המארז, תוך חשיפת פנים המערכת; אחרת, כוננים קשיחים או רכיבים רגישים אחרים המאחסנים נתונים עלולים להיות מוסרים ולהיפגע. זה גם תרגול טוב ליישם סיסמת BIOS כדי למנוע מתוקפים לאתחל למערכות הפעלה אחרות באמצעות מדיה נשלפת. מכשירים ניידים, כגון סמארטפונים, טאבלטים, מחשבים ניידים, כונני הבזק מסוג USB, אייפודים ומכשירי בלוטות' דורשים תשומת לב מיוחדת, כפי שנבחן בהמשך. 

אבטחת מחשב נייד

עם מחשבים ניידים, החששות הגדולים ביותר הם אובדן וגניבה, שכל אחד מהם יכול לאפשר לצדדים זדוניים לגשת לנתונים בכונן הקשיח. יש להשתמש בהצפנת דיסק מלא בכל מחשב נייד בארגון. כמו כן, שימוש בנקודות Wi-Fi ציבוריות אינו רעיון טוב אלא אם כן נעשה שימוש בערוץ תקשורת מאובטח כמו VPN או SSH. ניתן לחטוף אישורי חשבון בקלות באמצעות התקפות אלחוטיות ועלולות להוביל לפגיעה ברשת הארגון. 

אבטחת מכשירים ניידים 

מכשירים ניידים יכולים לשאת וירוסים או תוכנות זדוניות אחרות לרשת של ארגון ולחלץ נתונים רגישים מהשרתים שלך. בגלל האיומים הללו, יש לשלוט במכשירים ניידים בקפדנות רבה. יש לסרוק את המכשירים המורשים להתחבר לאיתור וירוסים, ולהצפין מכשירים נשלפים. זה נהדר להשתמש ב-NAC למטרה זו.

חשוב להתמקד בנתונים, לא בגורם הצורה של המכשיר עליו הוא נמצא. סמארטפונים מכילים לעתים קרובות מידע רגיש, אך מוחלת עליהם פחות הגנת אבטחה מאשר על מחשבים ניידים המכילים את אותו מידע. כל המכשירים הניידים שיכולים לגשת לנתונים רגישים צריכים לדרוש סיסמאות באורך זהה ובעלי אותן בקרות גישה ותוכנת הגנה.  

מכשיר נוסף לדליפת נתונים גדולים הוא סמארטפון עם מצלמה שיכול לצלם תמונות וסרטונים ברזולוציה גבוהה ולהקליט סאונד באיכות טובה. קשה מאוד להגן על המסמכים שלך מפני גורמים פנימיים עם המכשירים הניידים האלה או לזהות אדם שמצלם צג או לוח עם נתונים רגישים, אבל צריכה להיות לך מדיניות האוסרת שימוש במצלמה בבניין.  

הפרדה ברשת 

פילוח רשת כולל הפרדת הרשת ליחידות לוגיות או פונקציונליות הנקראות אזורים. לכל אזור ניתן להקצות כללי סיווג נתונים שונים, להגדיר אותם ברמת אבטחה מתאימה ולנטר בהתאם. פילוח מגביל את הנזק הפוטנציאלי של פשרה לאזור בודד. בעיקרו של דבר, הוא מחלק מטרה אחת לרבים, ומותיר לתוקפים שתי אפשרויות: להתייחס לכל פלח כאל רשת נפרדת, או להתפשר על אחת ולנסות לדלג על הפער. אף אחת מהאפשרויות לא מושכת. התייחסות לכל קטע כרשת נפרדת יוצרת הרבה מאוד עבודה נוספת, שכן על התוקף להתפשר על כל קטע בנפרד; גישה זו גם מגבירה באופן דרמטי את חשיפת התוקף להתגלות. הניסיון לקפוץ מאזור שנפגע לאזורים אחרים הוא קשה מכיוון שאם המקטעים מתוכננים היטב, אז ניתן להגביל את תעבורת הרשת ביניהם. תמיד יש חריגים שחייבים לעבור, כמו תקשורת עם שרתי דומיין לניהול חשבונות מרכזי, אבל קל יותר לאפיין את התעבורה המוגבלת הזו.  

מעקב וידאו 

ניטור כל המתקנים הקריטיים בחברה שלך על ידי מצלמות וידאו עם חיישני תנועה וראיית לילה חיוני לאיתור אנשים לא מורשים המנסים לגנוב את הנתונים שלך דרך גישה ישירה לשרתי הקבצים, לארכיונים או לגיבויים שלך, כמו גם לזהות אנשים שמצלמים תמונות של נתונים רגישים ב אזורים אסורים.  

נעילה ומיחזור

אזור העבודה שלך וכל ציוד צריך להיות מאובטח לפני השארת ללא השגחה. לדוגמה, בדוק דלתות, מגירות שולחן וחלונות, ואל תשאיר ניירות על השולחן שלך. יש לנעול את כל העותקים המודפסים של נתונים רגישים, ולאחר מכן להרוס אותם לחלוטין כאשר אין בהם עוד צורך. כמו כן, לעולם אל תשתף או תשכפל מפתחות גישה, תעודות זהות, קודי נעילה וכו'.  

לפני השלכה או מיחזור של כונן דיסקים, מחק לחלוטין את כל המידע ממנו וודא שהנתונים אינם ניתנים לשחזור. יש להשמיד פיזית דיסקים קשיחים ומכשירי IT אחרים שהכילו מידע קריטי; להקצות מהנדס IT ספציפי לשלוט באופן אישי בתהליך זה. 

5. הטמעת ניהול שינויים וביקורת מסדי נתונים. 

אמצעי אבטחה נוסף הוא רישום כל פעילויות מסד הנתונים ושרת הקבצים. יש לשמור על פעילות התחברות למשך שנה אחת לפחות לצורך ביקורת אבטחה. כל חשבון החורג מהמספר המרבי של ניסיונות כניסה כושלים צריך להיות מדווח אוטומטית למנהל אבטחת המידע לצורך חקירה. היכולת לזהות שינויים במידע רגיש והרשאות נלוות היא קריטית. שימוש במידע היסטורי כדי להבין אילו נתונים הם רגישים, כיצד נעשה בהם שימוש, מי משתמש בהם ולאן הוא הולך נותן לך את היכולת לבנות מדיניות אפקטיבית ומדויקת בפעם הראשונה ולחזות כיצד שינויים בסביבה שלך עשויים להשפיע על האבטחה. תהליך זה יכול גם לעזור לך לזהות סיכונים שלא ידועים בעבר. ישנם כלים של צד שלישי המפשטים את ניהול השינויים וביקורת פעילות המשתמש, כגוןמבקר Netwrix .    

6. השתמש בהצפנת נתונים. 

הצפנה היא אחת משיטות אבטחת המידע הבסיסיות ביותר, אך לעתים קרובות מתעלמים ממנה. כל הנתונים העסקיים הקריטיים צריכים להיות מוצפנים בזמן מנוחה או במעבר, בין אם באמצעות מכשירים ניידים או דרך הרשת. מערכות ניידות צריכות להשתמש בפתרונות דיסק מוצפנים אם הן יחזיקו נתונים חשובים מכל סוג שהוא. 

עבור מערכות שולחניות המאחסנות מידע קריטי או קנייני, הצפנת הכוננים הקשיחים תסייע למנוע אובדן מידע קריטי גם אם ישנה פריצה ומחשבים או כוננים קשיחים חסרים. לדוגמה, הדרך הבסיסית ביותר להצפין נתונים במערכות Windows שלך היא טכנולוגיית Encrypting File System (EFS). אם אתה משתמש ב-EFS כדי להגן על נתונים, משתמשים לא מורשים לא יכולים לצפות בתוכן של קובץ גם אם יש להם גישה מלאה למכשיר. כאשר משתמש מורשה פותח קובץ מוצפן, EFS מפענח את הקובץ ברקע ומספק עותק לא מוצפן לאפליקציה. משתמשים מורשים יכולים להציג או לשנות את הקובץ, ו-EFS שומר שינויים באופן שקוף כנתונים מוצפנים. אם משתמשים לא מורשים מנסים לעשות את אותו הדבר, הם מקבלים הודעת "גישה נדחתה". 

טכנולוגיית הצפנה נוספת מבית מיקרוסופט היא BitLocker. BitLocker משלים את ה-EFS על ידי מתן שכבת הגנה נוספת לנתונים המאוחסנים במכשירי Windows. BitLocker מגן על מכשירים שאבדו או נגנבו מפני גניבת נתונים או חשיפה, והוא מציע סילוק נתונים מאובטח כאשר אתה מבטל מכשיר. 

הצפנה מבוססת חומרה  

בנוסף להצפנה מבוססת תוכנה, ניתן ליישם הצפנה מבוססת חומרה. בתוך הגדרות התצורה המתקדמות בחלק מתפריטי תצורת ה-BIOS, אתה יכול לבחור להפעיל או להשבית מודול פלטפורמה מהימנה (TPM). TPM הוא שבב שיכול לאחסן מפתחות קריפטוגרפיים, סיסמאות או אישורים. ניתן להשתמש ב-TPM כדי לסייע ביצירת מפתחות hash וכדי להגן גם על סמארטפונים והתקנים שאינם מחשבים אישיים. זה יכול לשמש גם ליצירת ערכים המשמשים עם הצפנת דיסק שלם, כגון BitLocker שתואר לעיל. שבב TPM עשוי להיות מותקן על לוח האם.  

7. גבה את הנתונים שלך. 

יש לשכפל נכסים עסקיים קריטיים כדי לספק יתירות ולשמש גיבויים. ברמה הבסיסית ביותר, סובלנות תקלות עבור שרת פירושה גיבוי נתונים. גיבויים הם פשוט ארכיון תקופתי של הנתונים כך שאם יש כשל בשרת תוכל לאחזר את הנתונים. מנקודת מבט אבטחה, ישנם שלושה סוגי גיבוי עיקריים שבהם אנו עוסקים: 

  • מלא – כל הנתונים מאוחסנים בארכיון.
  • דיפרנציאל – כל השינויים מאז הגיבוי המלא האחרון נשמרים בארכיון.
  • מצטבר – כל השינויים מאז הגיבוי האחרון מכל סוג מאוחסנים בארכיון.

גיבוי מלא 

גיבוי מלא היא אסטרטגיית הגיבוי הטובה ביותר אך יש לה חסרונות. שקול תרחיש שבו אתה עושה גיבוי מלא בשעה 01:00 בכל בוקר. אתה מודאג מהאפשרות של קריסת שרת לפני הגיבוי המלא הבא, אז אתה רוצה לעשות גיבוי גם כל שעתיים. באיזה סוג גיבוי כדאי לבחור? הבה נשקול כל אפשרות ומה יקרה אם המערכת תתרסק ב-5:10 בבוקר. אם תבצע גיבוי מלא כל שעתיים החל מ-01:00, אז כשהמערכת קורסת ב-5:10 בבוקר, אתה פשוט צריך לשחזר את ה-5: 00 בבוקר גיבוי מלא. עם זאת, הפעלת גיבוי מלא כל שעתיים גוזלת זמן רב ודורשת משאבים, ותהיה לה השפעה שלילית משמעותית על ביצועי השרת. 

גיבוי דיפרנציאלי 

בתרחיש זה, אתה מבצע גיבוי מלא בשעה 01:00 ולאחר מכן מבצע דיפרנציאל כל שעתיים לאחר מכן. כאשר המערכת קורסת ב-5:10 בבוקר, עליך לשחזר את הגיבוי המלא מ-1 לפנות בוקר ואת הגיבוי הדיפרנציאלי מ-5:00. זה לוקח רק צעד אחד יותר מאשר שחזור הגיבוי המלא. עם זאת, זכור שהגיבויים הדיפרנציאליים הולכים להיות גדולים יותר בכל פעם שאתה עושה אותם ובכך גוזלים יותר זמן ומשאבים. למרות שלא תהיה להם השפעה כמו לגיבויים המלאים, הם עדיין יאטו את הרשת שלך. 

גיבוי מצטבר 

בתרחיש זה, אתה מבצע גיבוי מלא בשעה 01:00 ולאחר מכן גיבוי מצטבר כל שעתיים. כאשר המערכת קורסת ב-5:10 בבוקר, עליך לשחזר את הגיבוי המלא האחרון שנעשה ב-1 לפנות בוקר ולאחר מכן כל גיבוי מצטבר מאז – ויש לשחזר אותם לפי הסדר. זוהי משימה הרבה יותר מורכבת, אבל כל גיבוי מצטבר קטן ולא לוקח הרבה זמן או משאבים ליצור.  

אין בחירה נכונה אחת באיזה גיבוי להשתמש. הבחירה הנכונה תלויה בצרכי הארגון שלך. לא משנה באיזו אסטרטגיית גיבוי תבחר, עליך לבדוק אותה מעת לעת. הדרך היעילה היחידה לבדוק את אסטרטגיית הגיבוי שלך היא לשחזר את נתוני הגיבוי למחשב בדיקה. אחת השיטות הטובות ביותר היא לאחסן את הגיבויים שלך במקומות שונים מבחינה גיאוגרפית כדי למנוע אסונות כמו פעולות טבע או תאונות (למשל, הוריקנים, שריפות או תקלות בדיסק קשיח) להרוס את ליבת ה-IT של העסק. יש לבצע גיבויים בהדרגה על פני מספר דיסקים ושרתים, ובלוחות זמנים שונים (יומי, שבועי וחודשי). עדיף, גיבויים מצטברים אלה צריכים לשמור עותק בסיסי וכל שינוי צריך לשקף רק את השינויים בעותק הבסיסי, או גרסה קודמת התואמת היטב.

8. השתמש ב-RAID בשרתים שלך. 

RAID הוא כלי בסיסי לסובלנות תקלות המסייע בהגנה מפני הרס נתונים והשבתת מערכת. RAID הוא מערך מיותר של דיסקים עצמאיים. RAID מאפשר לשרתים שלך לקבל יותר מכונן קשיח אחד, כך שאם הכונן הקשיח הראשי נכשל, המערכת תמשיך לתפקד. רמות ה-RAID העיקריות מתוארות כאן: 

  • RAID 0 (דיסקים מפוספסים) – הנתונים מופצים על פני דיסקים מרובים באופן המספק מהירות משופרת (ביצועי קריאה/כתיבה) בכל רגע נתון, אך אינו מציע סובלנות תקלות כלשהי. יש צורך במינימום שני דיסקים.
  • RAID 1 – רמת RAID זו מציגה סובלנות לתקלות מכיוון שהיא משקפת את תוכן הדיסקים; זה נקרא גם שיקוף. על כל דיסק שאתה צריך לפעולות, יש דיסק זהה במערכת. יש צורך במינימום שני דיסקים ו-50 אחוז מהקיבולת הכוללת שלך משמשים לנתונים והשאר 50 אחוז למראה. לדוגמה, שרת עם שני כוננים קשיחים יוכל לאחסן נתונים השווים לגודל של אחד הדיסקים. עם RAID 1, אם הכונן הראשי נכשל, המערכת ממשיכה לפעול על כונן הגיבוי. אם אתה מוסיף בקר נוסף למערכת, זה עדיין RAID 1, אבל זה נקרא כעת דופלקס.
  • RAID 3 או 4 (דיסקים מפוספסים עם זוגיות ייעודית) – רמת RAID זו כוללת שלושה דיסקים או יותר כשהנתונים מפוזרים על פני הדיסקים. דיסק ייעודי אחד משמש לאחסון מידע זוגיות, כך שקיבולת האחסון של המערך מצטמצמת בדיסק אחד. אם דיסק נכשל, יש רק אובדן חלקי של נתונים. הנתונים שנותרו על הדיסקים האחרים, יחד עם מידע הזוגיות, מאפשרים לשחזר את הנתונים.
  • RAID 5 (דיסקים מפוספסים עם זוגיות מבוזרת) – רמת RAID זו משלבת שלושה דיסקים או יותר באופן שמגן על נתונים מפני אובדן של כל דיסק אחד. זה דומה ל-RAID 3, אבל השוויון מופץ על פני מערך הכוננים. בדרך זו, אינך מקצה דיסק שלם לאחסון סיביות זוגיות.
  • RAID 6 (דיסקים מפוספסים עם זוגיות כפולה) – רמת RAID זו משלבת ארבעה דיסקים או יותר באופן שמגן על נתונים מפני אובדן של שני דיסקים כלשהם. הוא משיג זאת על ידי הוספת בלוק זוגיות נוסף ל-RAID 5. כל אחד מבלוק השוויון מופץ על פני מערך הכוננים כך שהשוויון אינו מוקדש לאף כונן ספציפי.
  • RAID 1+0 (או 10) – רמת RAID זו היא מערך נתונים משוקף (RAID 1), אשר לאחר מכן מפוספס (RAID 0), וזו הסיבה לשם "1+0". תחשוב על זה כעל "פס של מראות". מערך RAID 1+0 דורש מינימום של ארבעה כוננים: שני כונני שיקוף כדי להחזיק מחצית מנתוני הפסים, ועוד שני כונני שיקוף עבור החצי השני של הנתונים.
  • RAID 0+1 – רמת RAID זו הפוכה או RAID 1+0. כאן, הפסים משתקפים. מערך RAID 0+1 דורש לפחות ארבעה כוננים: שני כוננים משוקפים כדי לשכפל את הנתונים במערך RAID 0.

9. השתמש באשכולות ואיזון עומסים. 

RAID עושה עבודה פנטסטית בהגנה על נתונים במערכות (שאותן אתה מגן עוד יותר עם גיבויים רגילים), אבל לפעמים אתה צריך לצמוח מעבר למערכות בודדות. חיבור מחשבים מרובים לעבודה יחד כשרת יחיד ידוע כאשכולות. מערכות מקובצות מנצלות עיבוד מקביל, המשפר את הביצועים והזמינות, ומוסיפות יתירות (אך גם מוסיפות עלויות). 

ניתן לקבל זמינות גבוהה גם באמצעות איזון עומסים. זה מאפשר לך לפצל את עומס העבודה על פני מספר מחשבים. מחשבים אלו הם לרוב שרתים העונים לבקשות HTTP (המכונה לעתים קרובות חוות שרתים), אשר עשויות להיות באותו מיקום גיאוגרפי או לא. אם אתה מפצל מיקומים, זה נקרא אתר שיקוף, והעותק המשוקף יכול להוסיף יתירות גיאוגרפית (לאפשר מענה מהיר יותר לבקשות) ולסייע במניעת השבתה. 

10. הקשיח את המערכות שלך. 

כל מקום שבו נתונים רגישים יכולים להתגורר, אפילו באופן זמני, צריך להיות מאובטח כראוי בהתבסס על סוג המידע שלמערכת יכולה להיות גישה אליו. זה יכלול את כל המערכות החיצוניות שיכולות לקבל גישה לרשת פנימית באמצעות חיבור מרוחק עם הרשאות משמעותיות, מכיוון שרשת מאובטחת רק כמו החוליה החלשה ביותר. עם זאת, השימושיות עדיין חייבת להיות שיקול, ויש לקבוע איזון מתאים בין פונקציונליות ואבטחה.  

קו הבסיס של מערכת ההפעלה 

הצעד הראשון לאבטחת המערכות שלך הוא לוודא שתצורת מערכת ההפעלה מאובטחת ככל האפשר. מחוץ לקופסה, רוב מערכות ההפעלה מגיעות עם שירותים מיותרים שפועלים רק כדי לתת לתוקף דרכים נוספות של פשרה. התוכניות ושירותי ההאזנה היחידים שצריך להיות מופעלים הם אלו שחיוניים לעובדים שלך לבצע את עבודתם. אם למשהו אין מטרה עסקית, יש להשבית אותו. זה עשוי להיות מועיל גם ליצור מערכת הפעלה מאובטחת של תמונה בסיסית המשמשת את העובד הטיפוסי. אם מישהו זקוק לפונקציונליות נוספת, השירותים או התוכניות הללו יופעלו על בסיס כל מקרה לגופו. מערכות ההפעלה Windows ו-Linux יהיו לכל אחת מהן תצורות ההקשחה הייחודיות שלה. 

חלונות 

Windows היא ללא ספק מערכת ההפעלה הפופולרית ביותר בה משתמשים צרכנים ועסקים כאחד. אבל בגלל זה, היא גם מערכת ההפעלה הממוקדת ביותר, עם פרצות חדשות המוכרזות כמעט מדי שבוע. ישנן מספר גרסאות שונות של Windows בשימוש בארגונים שונים, כך שחלק מהתצורות המוזכרות כאן לא יתורגמו לכולן. הנה כמה דברים שצריך לעשות כדי לשפר את האבטחה: 

  • השבת את אימות LanMan.
  • ודא שלכל החשבונות יש סיסמאות, בין אם החשבון מופעל או מושבת.
  • השבת או הגבל הרשאות בשיתופי רשת.
  • הסר את כל השירותים שאינם נדרשים, במיוחד telnet ו-ftp, שהם פרוטוקולי טקסט ברור.
  • אפשר רישום עבור אירועי מערכת חשובים.

לינוקס 

מערכת ההפעלה לינוקס הפכה פופולרית יותר בשנים האחרונות. למרות שיש הטוענים שהוא מאובטח יותר מ-Windows, עדיין יש לעשות כמה דברים כדי להקשיח אותו בצורה נכונה: 

  • השבת שירותים ויציאות מיותרים.
  • השבת את אימות האמון המשמש את הפקודות "r".
  • השבת תוכניות setuid ו-setgid מיותרות.
  • הגדר מחדש חשבונות משתמש עבור המשתמשים הדרושים בלבד.

שרתי אינטרנט

שרתי אינטרנט הם אחד האזורים המועדפים לתוקפים לניצול בגלל טווח ההגעה שיש להם. אם תוקף יכול לקבל גישה לשרת אינטרנט פופולרי ולנצל חולשה שם, יש לו הזדמנות להגיע לאלפי, אם לא מאות אלפי משתמשים שניגשים לאתר ולנתונים שלהם. על ידי מיקוד לשרת אינטרנט, תוקף יכול להשפיע על כל החיבורים מדפדפני האינטרנט של המשתמשים ולגרום נזק הרבה מעבר למחשב האחד שעליו הם התפשרו. 

שרתי אינטרנט היו במקור פשוטים בעיצובם ושימשו בעיקר כדי לספק טקסט HTML ותכנים גרפיים. שרתי אינטרנט מודרניים מאפשרים גישה למסד נתונים, פונקציונליות צ'אט, הזרמת מדיה ושירותים רבים אחרים; הגיוון הזה מאפשר לאתרים לספק יכולות עשירות ומורכבות למבקרים. כל שירות ויכולת הנתמכים באתר הם יעד פוטנציאלי לניצול. ודא שהם עומדים בתקני התוכנה העדכניים ביותר. עליך גם לוודא שאתה נותן למשתמשים רק את ההרשאות הדרושות כדי לבצע את המשימות שלהם. אם משתמשים ניגשים לשרת שלך דרך חשבון אנונימי, אז השכל הישר מכתיב שעליך לוודא שלחשבון האנונימי יש את ההרשאות הדרושות לצפייה בדפי אינטרנט ותו לא. 

שני תחומי עניין מיוחדים עם שרתי אינטרנט הם מסננים ושליטה בגישה לסקריפטים הניתנים להפעלה. מסננים מאפשרים לך להגביל את התנועה המותרת לעבור. הגבלת התנועה רק למה שנדרש עבור העסק שלך יכולה לעזור להדוף התקפות. ניתן להחיל קבוצה טובה של מסננים על הרשת שלך כדי למנוע ממשתמשים לגשת לאתרים שאינם אלה הקשורים לעסקים. זה לא רק מגביר את הפרודוקטיביות, אלא גם מקטין את הסבירות שמשתמשים יקבלו וירוס מאתר מפוקפק. 

סקריפטים הניתנים להפעלה, כמו אלה שנכתבו ב-PHP, Python, טעמים שונים של סקריפטים של Java ו-Common Gateway Interface (CGI), פועלים לרוב ברמות הרשאה גבוהות. ברוב הנסיבות, זו אינה בעיה מכיוון שהמשתמש מוחזר לרמת ההרשאה הרגילה שלו בסיום הביצוע. בעיות מתעוררות, עם זאת, אם המשתמש יכול לצאת מהסקריפט בעודו ברמה הגבוהה. מנקודת המבט של מנהל מערכת, דרך הפעולה הטובה ביותר היא לוודא שכל הסקריפטים בשרת שלך נבדקו ביסודיות, נותו באגים ואושרו לשימוש. 

שרתי דואר אלקטרוני 

שרתי דואר אלקטרוני מספקים את עמוד השדרה של התקשורת עבור עסקים רבים. הם פועלים בדרך כלל כשירות נוסף בשרת או כמערכות ייעודיות. הצבת סורק וירוסים פעיל בשרתי דואר אלקטרוני יכולה להפחית את מספר הוירוסים המוכנסים לרשת שלך ולמנוע את הפצת וירוסים על ידי שרת הדואר האלקטרוני שלך. עם זאת, ראוי לציין שרוב הסורקים אינם יכולים לקרוא את הקבצים הפתוחים של מיקרוסופט; כדי לסרוק חנויות דואר של Exchange, אתה צריך סורק AV דוא"ל ספציפי, חלקם אפילו מנסים לזהות דיוג, טכנולוגיה כזו מבוססת על מנוע למידת מכונה ויש לה פרספקטיבות טובות להילחם בהתקפות הנדסה חברתית.  

שרתי דואר אלקטרוני מוצפים על ידי מערכות אוטומטיות המנסות להשתמש בהם כדי לשלוח דואר זבל. רוב שרתי האימייל יישמו אמצעים כדי למנוע זאת. האיומים, לעומת זאת, הופכים יותר ויותר מתוחכמים. ייתכן שתוכל לצמצם ניסיונות אלה לגשת למערכת שלך על ידי הזנת כתובות ה-TCP/IP ברשימת הדחיית ACL של הנתב שלך. פעולה זו תגרום לנתב שלך להתעלם מבקשות חיבור מכתובות IP אלה, ולמעשה ישפר את האבטחה שלך. אמצעים כאלה יכולים להיעשות גם עם מסנני דואר זבל.   

שרתי FTP 

שרתי פרוטוקול העברת קבצים (FTP) אינם מיועדים ליישומים בעלי אבטחה גבוהה בגלל החולשות הטבועות בהם. רוב שרתי ה-FTP מאפשרים לך ליצור אזורי קבצים בכל כונן במערכת. עליך ליצור כונן נפרד או ספריית משנה במערכת כדי לאפשר העברת קבצים. במידת האפשר, השתמש בחיבורי רשת וירטואלית פרטית (VPN) או חיבורי Secure Shell (SSH) לפעילויות מסוג FTP. FTP אינו בולט באבטחה, ומערכות FTP רבות שולחות מידע חשבון וסיסמה ברחבי הרשת ללא מוצפן. FTP הוא אחד הכלים המשמשים לעתים קרובות לניצול מערכות. 

מנקודת מבט של אבטחה תפעולית, עליך להשתמש בחשבונות כניסה נפרדים ובסיסמאות עבור גישת FTP. פעולה זו תמנע חשיפת חשבונות מערכת בפני אנשים לא מורשים. כמו כן, ודא שכל הקבצים המאוחסנים בשרת FTP נסרקים לאיתור וירוסים. 

עליך להשבית תמיד את חשבון המשתמש האנונימי. כדי להקל על השימוש ב-FTP, רוב השרתים מאפשרים כברירת מחדל גישה אנונימית. עם זאת, מנקודת מבט אבטחה, הדבר האחרון שאתה רוצה הוא לאפשר למשתמשים אנונימיים להעתיק קבצים אל השרתים שלך וממנו. השבתת גישה אנונימית מחייבת את המשתמש להיות משתמש מוכר ומאומת על מנת לגשת לשרת ה-FTP. 

הדרך הטובה ביותר לאבטח את ה-FTP היא להחליף אותו לגמרי. את אותה פונקציונליות ניתן למצוא בשירותים מאובטחים יותר כגון Secure File Transfer Protocol (SFTP). 

11. החל אסטרטגיית ניהול תיקון נכונה. 

להבטיח שכל הגרסאות של היישומים שנמצאים בסביבת ה-IT שלך מעודכנות אינה משימה קלה אך היא חיונית להגנה על נתונים. אחת הדרכים הטובות ביותר להבטיח אבטחה היא להפוך את החתימות לאנטי-וירוס ועדכוני תיקון למערכות לאוטומטיות. עבור תשתית קריטית, תיקונים צריכים להיבדק ביסודיות כדי להבטיח ששום פונקציונליות לא מושפעת ושלא יוכנסו פרצות למערכת. אתה צריך שתהיה לך אסטרטגיית תיקון הן עבור מערכות ההפעלה והן עבור היישומים שלך. 

ניהול תיקוני מערכת הפעלה 

ישנם שלושה סוגים של תיקוני מערכת הפעלה, כל אחד ברמת דחיפות שונה.  

  • תיקון חם – תיקון חם הוא תיקון מיידי ודחוף. באופן כללי, אלה מייצגים בעיות אבטחה חמורות ואינן אופציונליות; יש להחיל אותם על המערכת.
  • תיקון – תיקון מספק פונקציונליות נוספת או תיקון לא דחוף. אלה הם לפעמים אופציונליים.
  • Service Pack – ערכת Service Pack היא ערכת התיקונים החמים והתיקונים עד כה. יש ליישם אותם תמיד, אך בדוק אותם תחילה כדי לוודא שלא נגרמות בעיות על ידי העדכון.

ניהול תיקוני יישומים 

בדיוק כפי שאתה צריך לשמור על תיקוני מערכת ההפעלה עדכניים מכיוון שלעתים קרובות הם מתקנים בעיות אבטחה שהתגלו במערכת ההפעלה, אתה צריך לעשות את אותו הדבר עם תיקוני יישומים. ברגע שנוצל ניצול באפליקציה נודע, תוקף יכול לנצל אותו כדי להיכנס או להזיק למערכת. רוב הספקים מפרסמים תיקונים על בסיס קבוע, ועליכם לסרוק באופן שוטף לאיתור טלאים זמינים. מספר רב של התקפות כיום ממוקדות למערכות לקוחות מהסיבה הפשוטה שלקוחות לא תמיד מנהלים את תיקון האפליקציות בצורה טובה. קבע ימי תחזוקה שבהם תבדוק ותתקין תיקונים לכל היישומים הקריטיים שלך. 

12. הגן על הנתונים שלך מפני איומים פנימיים. 

ארגונים ממשיכים להשקיע כמות יוצאת דופן של זמן וכסף כדי לאבטח את הרשת בהיקף מפני התקפות חיצוניות; עם זאת, איומים פנימיים הופכים לגורם מרכזי לחשיפת נתונים. סקרים רבים אומרים כי תקריות פנימיות מהוות יותר מ-60 אחוז מכלל ההתקפות; עם זאת, ארגונים רבים אינם מדווחים על התקפות פנימיות מחשש לאובדן עסקי ופגיעה במוניטין שלהם.  

איומים פנימיים מגיעים בשתי צורות. איום פנימי מורשה הוא מי שמנצל לרעה את זכויותיו והרשאותיו, בטעות, במכוון או שהאישורים שלו נגנבו. מקורב לא מורשה הוא מישהו שהתחבר לרשת מאחורי ההגנות ההיקפיות. זה יכול להיות מישהו שהתחבר לשקע בלובי או בחדר ישיבות, או מישהו שמשתמש ברשת אלחוטית לא מוגנת המחוברת לרשת הפנימית. התקפות פנימיות יכולות להוביל לאובדן נתונים או לזמן השבתה, ולכן חשוב לנטר את הפעילות ברשת שלך כמו הפעילות בהיקף.  

מקורבים המשתמשים בגישה מרחוק 

גישה מרחוק לרשתות ארגוניות הופכת גם היא לדבר שבשגרה. משתמשים עובדים מהבית בקצב הולך וגובר, ולכן חיוני לאבטח את החיבורים המשמשים לגישה מרחוק. אימות חזק חיוני בעת חיבור מרחוק. חשוב גם שהמכונות שמשתמשים מעסיקים לגישה מרחוק לרשת יהיו מאובטחות כראוי. בנוסף, יש לרשום כראוי הפעלות מרוחקות או אפילו להקליט וידאו. 

13. השתמש במערכות אבטחה של נקודות קצה כדי להגן על הנתונים שלך. 

נקודות הקצה של הרשת שלך מותקפות ללא הרף, כך שישנה את תשתית האבטחה של נקודות הקצה כדי להתמודד איתן היא חיונית למניעת פרצות נתונים. תוכניות לא מורשות ותוכנות זדוניות מתקדמות (כגון rootkits) הן חלק מהדברים שיש לקחת בחשבון באסטרטגיית אבטחת נקודות הקצה שלך. עם השימוש המוגבר במכשירים ניידים, נקודות הקצה של הרשת מתרחבות והופכות לבלתי מוגדרות יותר ויותר. כלים אוטומטיים השוכנים במערכת נקודות הקצה חיוניים להפחתת היעילות של תוכנות זדוניות. לכל הפחות, עליך להשתמש בטכנולוגיות הבאות: 

תוכנת אנטיוירוס 

יש להתקין תוכנת אנטי וירוס ולשמור על עדכניות בכל השרתים ותחנות העבודה. בנוסף לניטור אקטיבי של קבצים נכנסים, יש לערוך סריקות באופן קבוע כדי לתפוס זיהומים שחמקו, כגון תוכנות כופר.  

אנטי תוכנות ריגול

כלים נגד תוכנות ריגול ואנטי תוכנות פרסום נועדו להסיר או לחסום תוכנות ריגול. תוכנת ריגול היא תוכנת מחשב המותקנת ללא ידיעת המשתמש. בדרך כלל מטרתו היא לברר מידע נוסף על התנהגות המשתמש ולאסוף מידע אישי. כלים נגד תוכנות ריגול עובדים בדומה לכלי אנטי וירוס; רבים מהפונקציות שלהם חופפות. תוכנות מסוימות נגד תוכנות ריגול משולבות עם חבילות אנטי-וירוס, בעוד שתוכניות אחרות זמינות כעצמאיות. ללא קשר לסוג שבו אתה משתמש, עליך לחפש באופן קבוע תוכנות ריגול, המזוהות לעתים קרובות על ידי נוכחותם של עוגיות מעקב על מארחים, ולהסיר כל מה שמותקן. 

חוסמי חלונות קופצים 

חלונות קופצים לא רק מעצבנים; הם מהווים איום ביטחוני. חלונות קופצים (כולל חלונות קופצים) מייצגים תוכניות לא רצויות הפועלות על המערכת, כך שהם עלולים לסכן את רווחתה של המערכת.  

חומות אש מבוססות מארח 

חומות אש אישיות הן חומות אש מבוססות תוכנה המותקנות בכל מחשב ברשת. הם פועלים בדיוק כמו חומות אש גדולות יותר בגבול – הם מסננים מנות מסוימות כדי למנוע מהן לצאת או להגיע למערכת שלך. הצורך בחומות אש אישיות מוטל לעתים קרובות בספק, במיוחד ברשתות ארגוניות שיש להן חומות אש ייעודיות גדולות שמונעות מתנועה שעלולה להזיק להגיע למחשבים פנימיים. עם זאת, חומת האש הזו לא יכולה לעשות שום דבר כדי למנוע התקפות פנימיות, שהן די נפוצות ולעתים קרובות שונות מאוד מאלו מהאינטרנט; התקפות שמקורן ברשת פרטית מבוצעות בדרך כלל על ידי וירוסים. לכן, במקום להשבית חומות אש אישיות, פשוט הגדר חומת אש אישית סטנדרטית בהתאם לצרכי הארגון שלך וייצא את ההגדרות הללו לחומות האש האישיות האחרות. 

IDS מבוססי מארח 

מערכות זיהוי חדירה (IDS) זמינות גם עבור מארחים בודדים. IDSs מארח ינטרו רק את החלקים הפנימיים של מערכת מחשוב. IDS מבוסס מארח יסתכל על מצב המערכת ויבדוק אם התוכן שלה הוא כצפוי. רוב ה-IDS מבוססי המארחים משתמשים באימות תקינות, שפועל על העיקרון שרוב התוכנות הזדוניות ינסו לשנות תוכניות או קבצים מארח תוך כדי התפשטותן. אימות תקינות מנסה לקבוע אילו קבצי מערכת שונו באופן בלתי צפוי. היא עושה זאת באמצעות טביעות אצבע מחשוב, בצורה של גיבוב קריפטוגרפי, של קבצים שיש לנטר כאשר המערכת נמצאת במצב נקי ידוע. לאחר מכן הוא סורק ויוציא התראה כאשר טביעת האצבע של קובץ מנוטר משתנה. הבעיה העיקרית עם אימות תקינות היא שהוא מזהה את ההדבקה בתוכנה זדונית לאחר מעשה ולא ימנע זאת. 

14. ביצוע הערכות פגיעות ומבחני חדירת אבטחת סייבר. 

הערכות פגיעות מורכבות בדרך כלל מסורקי יציאות וכלי סריקת פגיעות כגון nmap, OpenVas ו-Nessus. כלים אלה סורקים את הסביבה ממחשב חיצוני, ומחפשים יציאות פתוחות ומספרי הגרסה של שירותים אלה. ניתן להצליב את התוצאות מהבדיקה עם שירותים ורמות תיקון ידועות שאמורות להיות במערכות נקודות הקצה, מה שמאפשר למנהלן לוודא שהמערכות עומדות במדיניות האבטחה של נקודות הקצה. 

בדיקת חדירה היא הפרקטיקה של בדיקת מערכת מחשב, רשת או יישום אינטרנט כדי למצוא פרצות אבטחה שתוקף יכול לנצל. בדיקת חדירה יכולה להיות אוטומטית עם יישומי תוכנה או לבצע ידנית. המטרה העיקרית של בדיקות חדירה היא לזהות חולשות אבטחה. ניתן להשתמש בבדיקות חדירה גם כדי לבדוק את מדיניות האבטחה של הארגון, עמידתו בדרישות התאימות, מודעות האבטחה של עובדיו ויכולת הארגון לספק מענה וזיהוי לאירועי אבטחה. ארגונים צריכים לבצע בדיקות עטים באופן קבוע – באופן אידיאלי, פעם בשנה – כדי להבטיח אבטחת רשת וניהול IT עקביים יותר. להלן כמה מאסטרטגיות בדיקת העטים העיקריות בהן משתמשים אנשי מקצוע בתחום האבטחה:

  • בדיקות ממוקדות מבוצעות על ידי צוות ה-IT של הארגון וצוות בדיקות החדירה בעבודה משותפת. לפעמים זה מכונה גישה של "אורות נדלקים" מכיוון שכולם יכולים לראות את הבדיקה מתבצעת.
  • בדיקות חיצוניות מכוונות לשרתים או התקנים גלויים חיצונית של חברה, כולל שרתי דומיין, שרתי דואר אלקטרוני, שרתי אינטרנט או חומות אש. המטרה היא לברר אם תוקף מבחוץ יכול להיכנס וכמה רחוק הוא יכול ללכת ברגע שיש לו גישה.
  • בדיקה פנימית מבצעת התקפה פנימית מאחורי חומת האש על ידי משתמש מורשה עם הרשאות גישה סטנדרטיות. סוג זה של בדיקה שימושי להערכת כמה נזק יכול עובד רגיל לגרום.
  • בדיקה עיוורת מדמה את הפעולות והנהלים של תוקף אמיתי על ידי הגבלה חמורה של המידע הניתן לאדם או לצוות המבצעים את הבדיקה. בדרך כלל, בודקי העטים מקבלים רק את שם החברה.
  • בדיקה כפולה סמיות לוקחת את המבחן העיוור ולוקחת אותו צעד קדימה – רק אדם אחד או שניים בתוך הארגון עשויים להיות מודעים לכך שמתבצעת בדיקה.
  • בדיקת קופסה שחורה זהה בעצם לבדיקה עיוורת, אך הבוחן לא מקבל מידע לפני שהבדיקה מתקיימת. במקום זאת, בודקי העט חייבים למצוא את דרכם למערכת.
  • בדיקת קופסה לבנה (קופסת קריסטל) מספקת לבודקי החדירה מידע על רשת היעד לפני שהם מתחילים בעבודתם. מידע זה יכול לכלול כתובות IP, סכימות של תשתית רשת, הפרוטוקולים בשימוש וכן הלאה.

אבטחת נתונים לסיכום 

כפי שראית, הגנת מידע מקיפה הרבה נושאים ותחומים. זה קריטי למנהלי רשת ואנשי אבטחה טובים לשמור על כל כלי האבטחה שלהם מעודכנים ולהשתמש בניהול מדיניות טוב. עם כל כך הרבה מדיניות לאכוף ויישומים כדי להתעדכן, זה יכול להיראות כמו אתגר מרתיע עבור כל צוות אבטחה. 

אתגר נוסף בהגנה על נתונים הוא מזעור ההשפעה על משתמש הקצה. למרבה הצער, תוכניות כמו תוכנת אנטי-וירוס, חומות אש אישיות ומערכות זיהוי איומים נוטות לגנוב רוחב פס וכוח עיבוד מפונקציונליות חשובה של משתמש קצה. מסיבה זו, כשאתה מחליט באילו תוכניות להשתמש כדי להגן על משתמשי קצה, בדוק היטב באיזו טביעת רגל התוכנית משתמשת ובניצול הזיכרון שלה. 

תוכן הסתר
1 1. להבין טכנולוגיות נתונים ומסדי נתונים.
1.1 NoSQL
1.2 ביג דאטה
1.3 מערכות קבצים
2 2. זיהוי וסיווג נתונים רגישים.
3 3. צור מדיניות שימוש בנתונים.
4 4. שליטה בגישה לנתונים רגישים.
4.1 בקרות אדמיניסטרטיביות
4.2 בקרות פיזיות
5 5. הטמעת ניהול שינויים וביקורת מסדי נתונים.
6 6. השתמש בהצפנת נתונים.
6.1 הצפנה מבוססת חומרה
7 7. גבה את הנתונים שלך.
7.1 גיבוי מלא
7.2 גיבוי דיפרנציאלי
7.3 גיבוי מצטבר
8 8. השתמש ב-RAID בשרתים שלך.
9 9. השתמש באשכולות ואיזון עומסים.
10 10. הקשיח את המערכות שלך.
10.1 קו הבסיס של מערכת ההפעלה
10.2 שרתי אינטרנט
10.3 שרתי דואר אלקטרוני
10.4 שרתי FTP
11 11. החל אסטרטגיית ניהול תיקון נכונה.
11.1 ניהול תיקוני מערכת הפעלה
11.2 ניהול תיקוני יישומים
12 12. הגן על הנתונים שלך מפני איומים פנימיים.
12.1 מקורבים המשתמשים בגישה מרחוק
13 13. השתמש במערכות אבטחה של נקודות קצה כדי להגן על הנתונים שלך.
13.1 תוכנת אנטיוירוס
13.2 אנטי תוכנות ריגול
13.3 חוסמי חלונות קופצים
13.4 חומות אש מבוססות מארח
13.5 IDS מבוססי מארח
14 14. ביצוע הערכות פגיעות ומבחני חדירת אבטחת סייבר.
15 אבטחת נתונים לסיכום

אולי גם תאהב...

מהי אבטחת מסד נתונים?
אבטחת מידע

מה זה אבטחת מסד נתונים? 6 שיטות עבודה

אבטחת מידע בבינה מלאכותית
אבטחת מידע

שימוש בבינה מלאכותית באבטחת סייבר 2023

ביטוח סייבר: הופכים אטרקטיביים לשוק הביטוח
אבטחת מידע

ביטוח סייבר: הופכים אטרקטיביים לשוק הביטוח