סקירות גישה יזומות, מחזקות את יציבות הסייבר.

דירוג

בסקר שנערך עם 590 אנשי IT ותשאולם,
האם וכיצד הם בודקים הרשאות גישה של משתמשים.
הסקר מצא כי 90% מהארגונים כבר בוחנים מעת לעת את זכויות הגישה או מתכננים
להתחיל לעשות זאת תוך שלוש שנים.
עם זאת, רוב המשיבים (81%) מודים שהם מבצעים סקירות גישה באופן ידני.

"סקירה ידנית היא הדרך הכי לא אמינה וגוזלת זמן לשמור על הרשאות מעודכנות",
אומר ג'ו דיבלי, חוקר אבטחה בכיר.
"אימייל או הודעה מיידית של איזה ראש מחלקה המאשרת זכויות גישה
בדרך כלל לא מספקות מבקרים פנימיים או חיצוניים.
יתרה מכך, גישה זו מגדילה את הסיכוי לטעות אנוש – קל מדי לשכוח את התשובה
של מישהו או לפספס את המייל לגמרי".

ב-41% מהארגונים, צוותי IT בודקים את זכויות הגישה למשתמשים לא רק באופן ידני אלא בעצמם,
מבלי לערב משתמשים עסקיים כלל.

"צוותי IT בדרך כלל אינם מסוגלים לדעת בדיוק מי צריך איזו גישה לאילו משאבי IT.
כתוצאה מכך, הארגון לא רק לא מצליח לאכוף כראוי את ההרשאות הקטנות ביותר,
אלא שה-Helpdesk מוצף בבקשות של משתמשים עסקיים ובעלי נתונים לעדכן זכויות גישה", מעיר דיבלי.

המשיבים שכבר יש להם כלי ייעודי לבדיקת זכויות גישה למשתמש נשאלו אז מה לדעתם
היתרון הגדול ביותר של פתרון זה. 49% מהם ציינו הפחתת סיכון ו-28% בחרו בחיסכון בזמן.

"אוטומציה של ביקורות גישה מפחיתה את סיכוני אבטחת הסייבר באופן ישיר, על ידי
הבטחת עדכון קבוע של זכויות המשתמשים, וגם בעקיפין. ביטול משימות ידניות משחרר צוותי IT להתמקד
בפעילויות קריטיות אחרות, כמו חקירת אירועי אבטחה לפני שהם הופכים להפרות", מוסיף דיבלי.

סין מורה להפסיק להשתמש במחשבים זרים, מי מרוויח?

דירוג

סין מורה לממשלה ולחברות בבעלות המדינה להפסיק להשתמש במחשבים זרים, והמרוויחה תהיה לינוקס.

זו לא הפעם הראשונה שנתקלנו בדיווחים על חדשות כאלה, וגם לא האחרונה. לדוגמא בעבר, ממשלות המליצו להפסיק להשתמש ב-Windows בגלל הרישיונות, כי הם יקרים, ולדוגמה, מעבר מ-Windows 7 ל-10 יכול להיות יקר מאוד. אבל גם סוגים אחרים של חדשות מתפרסמים, כאלה שמאשרים שהם מתכוונים להשתמש בתוכנה חינמית כדי לא להיות תלויה באחרת שמגיעה בדרך כלל מארה"ב. החדשות האחרונות על משהו כזה הן גם על החומרה, וזה שממשלת סין רוצה שישתמשו במותגים לאומיים בלבד.

מדובר בצו מהיר ואגרסיבי שנופל בהרבה מההצעה של דונלד טראמפ לאפל לייצר את כל מכשיריה בארצות הברית. בכך יוחלפו כ-50 מיליון מחשבים, זאת רק על ידי ממשלת סין. וזה מה שהם רוצים זה שגם חברות ממלכתיות יתחילו להשתמש במחשבים סיניים.

סין תפסיק להשתמש במחשבים זרים בעוד שנתיים.

למרות שהקדנציה שניתנה השבוע הייתה רק שנתיים, האמת היא שלפני כעשר שנים החלו לעסוק בנושא. בין הנפגעים יהיו HP ו-Dell, המותגים הנפוצים ביותר בסין, ו המרוויח העיקרי יהיה לנובו. יש עוד מותגים, אבל זה הפופולרי ביותר במדינה האסייתית ומחוצה לה. מניות של מותגי מחשבים כמו HP ו-Dell ירדו בחדות בשעות האחרונות בשל הידיעה הזו.

והתוכנה שהם ישתמשו, ביעילות, תהיה אחד המבוסס על לינוקס. "לינוקס" הוא ליבה, בעצם מנהלי התקנים כך שמערכת הפעלה יכולה לרוץ על כל מחשב, וזה היה פרויקט השנה האחרונה של לינוס טורוואלדס. מערכות GNU/Linux יכולות ללבוש צורות רבות, וכדוגמאות יש לנו אובונטו Kylin, שהיא אובונטו המיועדת לציבור הסיני, ומחשבים שולחניים כמו CDE, Cutefish, וכו. הם יכולים אפילו ליצור הפצה משלהם שתשמש את הממשלה וחברות בבעלות ממשלתית, אבל הדבר הבטוח היחיד הוא שאם כל זה נכון בסופו של דבר, הם לא ישתמשו ב-Windows או macOS כי שתיהן מערכות הפעלה אמריקאיות .

בעוד שנתיים נראה איך כל זה יסתיים.

פגיעויות בתוכנה לגישה מרחוק PTC Axeda agent

דירוג

לאחרונה פרסמו Vedere Labs ו-CyberMDX (מבית Forescout) מחקר לגבי פגיעויות בתוכנת גישה מרחוק אשר עיקר השימוש בה במגזר הרפואי. מומלץ לבחון ולהתקין את הגרסאות העדכניות בהקדם האפשרי.

פרטים
זוהו 7 פגיעויות ברכיבים שונים של התוכנה. אוסף הפגיעויות קיבל את הכינוי Access:7.
3 הפגיעויות החמורות ביותר עלולות לאפשר לתוקף הרצת קוד מרחוק (RCE) על הציוד.

הגרסאות הפגיעות:
Axeda agent: All versions
Axeda Desktop Server for Windows: All versions

דרכי התמודדות:
מומלץ לבחון ולהתקין את הגרסאות העדכניות בהקדם האפשרי.
הגרסאות העדכניות של Axeda Agent הן:
version 6.9.1 build 1046
version 6.9.2 build 1049
version 6.9.3 build 1051
מומלץ להגביל הגישה לממשק התוכנה לכתובות השייכות למנהלנים מורשים של הארגון.
את רשימת הציוד המזוהה או חשוד כעושה שימוש בתוכנה ניתן למצוא בקישור השני בסעיף "מקורות". ארגון שברשותו פריטי ציוד המוזכרים ברשימה, מומלץ לפנות ליצרן או לספק על מנת לברר זמינות העדכונים.

להמשך קריאה באתר הסייבר הלאומי >>

קמפיין כנגד מאות ארגונים המשתמשים בOffice365.

דירוג

מיקרוסופט מדווחת על קמפיין פישינג שמופץ במאות ארגונים בעולם המשתמשים בoffice365.

התוקפים שולחים לינק לOAuth ל"מותקף" , כאשר התוקף לוחץ על הלינק הוא מקבל בקשה להרשאה (consent Grant), במידה ו"המותקף" אישר את הבקשה – התוקפים מקבלים אפשרות גישה לשימוש, קריאה וכתיבה בתיבת הדוא"ל.

ההמלצות:

1. מומלץ להימנע מלתת לעובדים את האפשרות לתת הרשאה מסוג זה.
2. מומלץ להפיץ מייל זה לכלל העובדים בחברה על מנת ליידע אותם בקמפיין זה.

פודקאסט מומלץ [ENG]

דירוג

בטכנולוגיה, לעתים קרובות ניתן לחלק את התעשייה בין מומחים טכניים האחראים
על פיתוח הפתרונות בפועל, לבין אנשי מקצוע עסקיים המסייעים באסטרטגיית היציאה
לשוק בפועל של המוצר.

כמנהל הנדסה ראשי של סקאי (לשעבר קנשו),
ניר פלדמן צריך לאזן את שני הכובעים, להבין מה הלקוחות צריכים למוצר
טוב יותר ולתרגם את זה למאפיינים טכניים ממשיים.

לאחר שעבר בין העולם הארגוני ב-HP לעולם הסטארטאפים,
ניר מעריך את האופי הדינמי של הסטארטאפים,
המאפשר לו לקחת תפקיד מוביל יותר בעיצוב מסלול הצמיחה של החברה.

להאזנה לחצו כאן >>

כמובן שהוא צריך את האנשים הנכונים כדי להגשים את החזון,
ולכן מציאת הכישרון שיכול להוות בסיס לתהליכי מו"פ,
שהוא קריטי לכל חברת תוכנה, הוא המפתח להצלחת החברה.

Log4j: החולשה שכולם מדברים עליה [סייבר]

דירוג

הרבה חומר כבר נכתב ברשתות החברתיות. Log4j זה לא החולשה עצמה,

Log4j היא שמה של ספריית קוד פתוח שפותחה ב-Java (היא נכתבה גם בשפות אחרות כמו Ruby, C, C++, Python וכו') על ידי Apache Software Foundation .

הודות לו, מפתחי תוכנה יכולים ליישם הודעות LOG בזמן ריצה.

La החולשה CVE-2021-44228 ששוחרר לאחרונה, משפיעה על Apache Log4j 2.x. הפגיעות נקראה Log4Shell או LogJam, והיא התגלתה ב-9 בדצמבר על ידי מהנדס אבטחת סייבר שקורא לעצמו p0rz9 ברשת.

מומחה זה פרסם גם את זה, ב- Github על חור האבטחה.

With Log4j vulnerability, the full impact has yet to come | VentureBeat

חולשת אבטחה זו של Log4j מאפשרת לנצל אימות קלט שגוי ל-LDAP, מה שמאפשר ביצוע קוד מרחוק (RCE), ופגיעה בשרת (סודיות, שלמות הנתונים וזמינות המערכת). בנוסף, הבעיה או החשיבות של פגיעות זו נעוצה במספר האפליקציות והשרתים שמשתמשים בה, לרבות תוכנות עסקיות ושירותי ענן כגון Apple iCloud, Steam, או משחקי וידאו פופולריים כגון Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, ו-long וכו'.

בגלל השכיחות של הסיפריה והמערכות הקריטיות שמשתמשות בה, פושעי סייבר רבים עשויים לנצל אותה כדי להפיץ את תוכנת הכופר שלהם. בעוד שאחרים מנסים להמציא פתרונות, כמו פלוריאן רוט מ-Nextron Systems, ששיתף כמה חוקי YARA כדי לזהות ניסיונות לנצל את הפגיעות Log4j.

Apache Foundation גם מיהרה לתקן את זה, ושחררה תיקון לפגיעות זו. לכן, זה חיוני וחשוב לעדכן לגרסה 4 של Log2.15.0j כעת, אם יש לך שרת או מערכת מושפעים.

למידע נוסף על איך לעשות את זה, לחץ כאן קישור להורדה ועם מידע על כך.

פגיעות בתוכנת PAN-OS של פאלו-אלטו

דירוג

לאחרונה פרסמה חברת PaloAlto מידע לגבי 8 פגיעויות במערכת ההפעלה PAN-OS מתוצרתה. הפגיעות החמורה ביותר מוגדרת קריטית, ועלולה לאפשר לתוקף מרוחק בעל נגישות רשתית לציוד, הרצת קוד בהרשאות Root ללא צורך בהזדהות. מומלץ לבחון את גרסאות התוכנה העדכניות ביותר ולהתקינן בציוד הרלוונטי בהקדם האפשרי.

פרטים:

  1. גרסאות מערכת ההפעלה הפגיעות (הגרסאות שיש לעדכן על מנת לתקן את כלל הפגיעויות) הן:
Versionגרסאות פגיעות
PAN-OS 8.1< 8.1.17
PAN-OS 9.0< 9.0.14
PAN-OS 9.1< 9.1.9
PAN-OS 10.0< 10.0.1
PAN-OS 10.1< 10.1.3
Prisma Access 2.1Preferred, Innovation
  1. תשומת לב כי גרסאות PAN-OS 8.0 וקודמותיה אינן נתמכות עוד (EOL). למשתמשים בגרסאות אלו מומלץ לעדכנן בהקדם האפשרי לגרסה נתמכת. 
  2. לפגיעות החמורה ביותר נקבע ציון CVSS של 9.8. פגיעות זו קיימת בגרסה 8.1.x בלבד. 
  3. ההערכה היא כי היעדים העיקריים לביצוע תקיפות יהיו שרתי ה-VPN (Global Protect), מאחר ולהם באופן טבעי ממשק חשוף לרשת האינטרנט.
  4. להזכירכם, פגיעות המאפשרת RCE במוצרי ה-VPN של החברה, שדווחה באוגוסט 2019      (CVE-2019-1579), גררה תקיפת שרתים אלו מצד גורמים שונים בעולם.

דרכי התמודדות:

מומלץ לבחון ולהתקין בהקדם האפשרי את הגרסאות העדכניות ביותר.

מקורות:

  1. https://security.paloaltonetworks.com/
  2. https://security.paloaltonetworks.com/CVE-2021-3064
  3. https://security.paloaltonetworks.com/CVE-2021-3061
  4. https://security.paloaltonetworks.com/CVE-2021-3063
  5. https://security.paloaltonetworks.com/CVE-2021-3062
  6. https://security.paloaltonetworks.com/CVE-2021-3060
  7. https://security.paloaltonetworks.com/CVE-2021-3059
  8. https://security.paloaltonetworks.com/CVE-2021-3056
  9. https://security.paloaltonetworks.com/CVE-2021-3058

שיתוף מידע עם ה-CERT הלאומי אינו מחליף חובת דיווח לגוף מנחה כלשהו, ככל שחלה על הגוף חובה כזו. המידע נמסר כפי שהוא (as is), השימוש בו הוא באחריות המשתמש ומומלץ להיעזר באיש מקצוע בעל הכשרה מתאימה לצורך הטמעתו.

להורדת הדו"ח מאתר הסייבר הלאומי לחצו כאן

להמשך קריאה באתר הסייבר >>