טעויות ההגדרה בחומת האש שמשאירות עסקים בישראל חשופים בשקט
חומת אש טובה לא עושה כלום בפני עצמה. אלה פערי ההגדרה והתחזוקה שאנחנו רואים הכי הרבה בקופסאות FortiGate ו-Check Point של עסקים קטנים, ואיך לדעת אם הם קיימים אצלכם.
חומת אש היא פריט האבטחה שכמעט לכל עסק יש, וגם זה שהכי סביר שיהיה מוגדר לא נכון בשקט. הקופסה מותקנת ביום שהמשרד נפתח, היא עובדת, האינטרנט זורם, ואז אף אחד לא נוגע בה שוב במשך שנים. הבעיה היא שחומת אש היא לא מכשיר שמגדירים ושוכחים. FortiGate או Check Point שהמפרט שלהן טוב אבל ההגדרה גרועה, או שהוגדרו פעם אחת ולא תוחזקו שוב, יכולות לתת תחושת ביטחון מוטעית בזמן שהן משאירות פערים פתוחים לרווחה. אלה הטעויות שאנחנו נתקלים בהן הכי הרבה כשאנחנו בודקים חומות אש של עסקים קטנים, ודרכים פשוטות לדעת אם הן קיימות אצלכם. אף אחת מהן לא אקזוטית. אלה הפספוסים הרגילים שמצטברים.
ממשק הניהול פתוח מהאינטרנט
הטעות הכי מסוכנת היחידה היא להשאיר את ממשק הניהול של חומת האש פתוח לכל האינטרנט. זה נוח, כי טכנאי יכול להתחבר מכל מקום ולעשות שינוי. זו גם הזמנה פתוחה. תוקפים סורקים ברציפות את האינטרנט אחרי דפי התחברות חשופים של חומות אש, וכשמתגלה חולשה בממשק הניהול של יצרן, המכשירים החשופים האלה הם הראשונים שמותקפים, לרוב תוך ימים. ההנחיות של Fortinet עצמן חד משמעיות בעניין: אין לאפשר גישת ניהול מצד ה-WAN. ההגדרה הנכונה מגבילה את הניהול לרשת הפנימית או ל-VPN מאומת, ולעולם לא ב-HTTP או Telnet רגילים, אלא רק ב-HTTPS ו-SSH מוצפנים. אם אתם יכולים להגיע למסך ההתחברות של חומת האש שלכם מבית קפה, גם כל אחד אחר יכול.
קושחה שאף פעם לא מתעדכנת
קושחת חומת האש היא תוכנה, וכמו כל תוכנה יש בה חולשות שמתגלות ומתוקנות עם הזמן. גם Fortinet וגם Check Point משחררות עדכונים באופן קבוע, רבים מהם מתקנים ליקויי אבטחה שכבר מנוצלים. חומת אש שרצה על קושחה מלפני שלוש שנים נושאת כל חולשה מוכרת שהתגלתה מאז. זו אחת הדרכים הנפוצות ביותר שעסקים קטנים נפרצים דרך מכשיר שהם חשבו שמגן עליהם: חומת האש עצמה הופכת לדרך הכניסה. עדכון קושחה דורש קצת זהירות, כי אתם רוצים להיות על גרסה יציבה ואתם רוצים דרך לחזור אחורה, אבל לדלג עליו לגמרי מסוכן הרבה יותר מאשר לעשות אותו. אם אתם לא זוכרים מתי בפעם האחרונה עודכנה הקושחה של חומת האש שלכם, זו התשובה.
סיסמאות ניהול ברירת מחדל או חלשות
פרטי ההתחברות של ברירת המחדל לחומות אש מתועדים בפומבי, ומכשיר שעדיין משתמש בהם נגיש בקלות לכל מי שמוצא אותו. זה נשמע מובן מאליו, ובכל זאת סיסמאות ניהול חלשות או לא מוחלפות נשארות נפוצות, במיוחד במכשירים שהוגדרו במהירות. לכל חומת אש צריך להחליף את סיסמת ברירת המחדל מיד למשהו חזק, גישת הניהול צריכה להיות מוגבלת לחשבונות שמיים ולא להתחברות משותפת אחת, ואימות רב-שלבי צריך להגן על גישת הניהול בכל מקום שהפלטפורמה תומכת בכך. חשבון הניהול בחומת האש שלכם שולט בכל גבול הרשת שלכם. מגיעה לו לפחות אותה הגנה כמו לדואר שלכם.
הכלל המתירני שאף אחד לא ניקה
כללי חומת אש מצטברים. מישהו פותח פורט כדי להריץ אפליקציה חדשה, כלל זמני נוסף כדי לאתר תקלה, כלל שמתיר הכול נכנס כדי להוכיח שמשהו הוא לא אשמת החומה, ואז אף פעם לא מסירים אותו. תוך כמה שנים מערך הכללים הופך לבלגן רבוד שבו אף אחד לא בטוח מה כל שורה עושה או אם היא עדיין נחוצה, וכללים רחבים מדי משאירים פתחים שאף אחד לא התכוון אליהם. חומת אש צריכה לעבוד לפי עקרון ההרשאה המזערית: להתיר בדיוק את מה שהעסק צריך ולחסום את השאר כברירת מחדל. את הכללים צריך לבדוק מעת לעת ולהסיר את אלה שכבר לא משרתים מטרה. מערך כללים מסודר ומובן הוא בעצמו שליטת אבטחה.
לשלם על הגנה ולהשאיר אותה כבויה
חומת אש מודרנית היא חומת אש מהדור הבא רק כשמנויי האבטחה שלה פעילים ומוגדרים. מניעת איומים, מניעת חדירות, סינון אתרים והרצה מבודדת הם מה שמפריד בין מכשיר אבטחה אמיתי לבין ראוטר יקר, וגם ב-FortiGate וגם ב-Check Point הרבה מהתכונות האלה נשלחות במצב מתירני או כבוי כברירת מחדל. אנחנו מוצאים באופן קבוע עסקים שמשלמים כל שנה על מנויים שמעולם לא הופעלו בפועל, או שהושארו במצב ניטור בלבד שרושם איומים בלי לחסום אותם. שווה לוודא, במילים פשוטות, שההגנה שאתם משלמים עליה מופעלת ומוגדרת באמת לעצור דברים, לא רק לצפות בהם עוברים.
רישום כבוי, או יומנים שאף אחד לא קורא
חומת אש מייצרת תיעוד של מה שהיא רואה: ניסיונות התחברות, תעבורה חסומה, שינויי הגדרות והתחברויות של מנהלים. שני כשלים נפוצים. הראשון הוא שהרישום אף פעם לא מופעל כראוי, כך שכשמשהו משתבש אין עקבות ללכת אחריהם ואין דרך להבין מה קרה. השני, עדין יותר, הוא שהיומנים נאספים אבל אף אחד אף פעם לא מסתכל בהם, ומשמעות הדבר שהתקפה בעיצומה מייצרת התראות שיושבות בלי שנקראו. הרישום צריך להיות מופעל לשינויי מערכת, לניסיונות התחברות ולתעבורה שנחסמה, וחשוב מכך, מישהו צריך להיות אחראי לעבור עליו או להזרים אותו לשירות ניטור. יומן שאף אחד לא קורא הוא רק תפיסת מקום בדיסק.
רשת שטוחה מאחורי חומת האש
הרבה משרדים קטנים מריצים רשת שטוחה, שבה ה-Wi-Fi לאורחים, מצלמות האבטחה, מחשבי העובדים והשרת שמחזיק את קובצי הלקוחות יושבים כולם על אותו מקטע ויכולים כולם לדבר זה עם זה. חומת האש שומרת על הגבול מול האינטרנט אבל לא עושה כלום בפנים. החולשה מתגלה ברגע שמכשיר אחד נפרץ: מחשב נגוע, או מכשיר חכם זול עם ליקוי מוכר, יכול להגיע ישר לשרת. פילוח משתמש בחומת האש כדי לחלק את הרשת הפנימית כך ש, למשל, תעבורת אורחים ומצלמות לא תוכל לגעת במערכות שמחזיקות מידע רגיש. זה אחד הדברים בעלי הערך הגבוה ביותר שחומת אש יכולה לעשות מעבר לתפקידה הבסיסי, וזה אחד הדברים שהכי הרבה מדלגים עליהם.
גישה מרחוק שחוברה בחיפזון
גישה מרחוק היא המקום שבו חלק גדול מסיכון חומת האש נמצא היום. כשעובדים נזקקו פתאום לעבוד מהבית, הרבה עסקים פתחו גישה בכל דרך שהייתה הכי מהירה, לפעמים חשפו מערכות פנימיות או שולחן עבודה מרוחק ישירות לאינטרנט, וזו אחת הטעויות שמנוצלות הכי באמינות שיש. חומת אש יכולה לעשות את זה כראוי: VPN עם אימות רב-שלבי, או גישה בגישת Zero Trust שמעניקה גישה לאפליקציות מסוימות ולא לכל הרשת. גם FortiGate וגם Check Point תומכות במודלים האלה היטב. הטעות היא לא להפעיל גישה מרחוק, אלא להפעיל אותה ברשלנות ולעולם לא לחזור לקיצור הדרך שהיה אמור להיות זמני.
אף אחד לא באמת אחראי על המכשיר
מתחת לכל אלה יש שורש אחד: אף אחד לא אחראי על חומת האש. היא הותקנה על ידי מי שהקים את המשרד, או על ידי טכנאי שכבר עזב, ועכשיו היא שייכת לאף אחד. הקושחה מתיישנת, הכללים נערמים, המנויים פוקעים, היומנים לא נקראים, והמכשיר נסחף לאט מנכס לנטל, בלי שאף אחד החליט שכך יהיה. המותג שמלפנים משנה מעט מאוד לעניין הזה. גם FortiGate מתוחזקת היטב וגם Check Point מתוחזקת היטב מגינות על משרד קטן היטב; דוגמה מוזנחת של כל אחת מהן היא סיכון שמחופש להגנה. השאלה ששווה לשאול היא לא איזו חומת אש יש לכם, אלא מי מטפל בה.
לגלות איפה חומת האש שלכם באמת עומדת
רוב הטעויות האלה בלתי נראות מבחוץ. האינטרנט עדיין עובד, הנורית של חומת האש עדיין ירוקה, ושום דבר לא נראה לא בסדר עד היום שבו זה משנה. בדיקת חומת אש בוחנת את הדברים שלא מופיעים בשימוש היומיומי: אם ממשק הניהול חשוף, אם הקושחה עדכנית, אם ההגנה שאתם משלמים עליה באמת רצה, ואם הכללים עדיין הגיוניים. NetFortress מנהלת חומות אש לעסקים בישראל גם על FortiGate וגם על Check Point, ואנחנו שמחים לבדוק מערך קיים בלי קשר למי שהתקין אותו. אם אתם לא בטוחים אם חומת האש שלכם באמת מגינה על העסק או סתם יושבת שם, בקשו מאיתנו בדיקה וניתן לכם תשובה ברורה ומעשית.
שאלות נפוצות
כל כמה זמן צריך לעדכן חומת אש עסקית?
צריך לשמור את הקושחה עדכנית, כי גם Fortinet וגם Check Point משחררות באופן קבוע עדכונים שמתקנים ליקויי אבטחה שכבר מנוצלים. חומת אש שרצה על קושחה מלפני שנים נושאת כל חולשה מוכרת שהתגלתה מאז. עדכנו בזהירות, על גרסה יציבה ועם דרך לחזור אחורה, אבל אל תדלגו. אם אתם לא זוכרים מתי בפעם האחרונה עודכנה הקושחה של חומת האש, היא מאחרת.
האם חומת אש של FortiGate או Check Point מאובטחת ישר מהקופסה?
לא בפני עצמה. שתיהן פלטפורמות טובות, אבל הרבה תכונות אבטחה נשלחות במצב מתירני או כבוי, סיסמאות ברירת מחדל צריך להחליף, וכללים צריך לבנות לרשת הספציפית שלכם. חומת אש שנקנתה, חוברה ולא נגעו בה שוב נסחפת מנכס לנטל. אופן ההגדרה והתחזוקה שלה חשוב הרבה יותר מהמותג שמלפנים.
האם אני אמור להיות מסוגל להתחבר לחומת האש שלי מהבית?
לא ישירות דרך האינטרנט. להשאיר את ממשק הניהול של חומת האש חשוף לכל האינטרנט היא הטעות הכי מסוכנת, כי תוקפים סורקים אחרי דפי ההתחברות האלה ומכוונים אליהם ברגע שמופיעה חולשה. הניהול צריך להיות מוגבל לרשת הפנימית או להיות מונגש דרך VPN מאומת, ורק ב-HTTPS ו-SSH מוצפנים, לעולם לא ב-HTTP או Telnet רגילים.
מה ההבדל בין חומת אש לבין חומת אש מנוהלת?
החומרה זהה; מה שמשתנה הוא הניהול. חומת אש מנוהלת פירושה שמישהו שומר על הקושחה מעודכנת, מכוונן ומפעיל את תכונות מניעת האיומים שאתם משלמים עליהן, מנקה כללים שהצטברו, עובר על היומנים ומתאים את ההגדרה כשהעסק משתנה. חומת אש לא מנוהלת מתיישנת בשקט. תשומת הלב המתמשכת, ולא הקופסה, היא מה שבאמת מגן עליכם.
אנחנו משרד קטן. האם אנחנו באמת צריכים פילוח רשת?
זה אחד הדברים בעלי הערך הגבוה ביותר שחומת אש יכולה לעשות. ברשת שטוחה, מכשיר אחד שנפרץ, מחשב נגוע או מכשיר חכם זול עם ליקוי מוכר, יכול להגיע ישר לשרת שמחזיק את קובצי הלקוחות שלכם. פילוח משתמש בחומת האש כדי להפריד תעבורת אורחים, מצלמות ותשלומים מהמערכות הרגישות, כך שהדבקה אחת לא יכולה להפוך לאירוע של כל המשרד.
מאמרים קשורים
FortiGate מול Check Point לעסקים קטנים: מה בעל עסק באמת צריך לדעת
השוואה ענייניית ובלי ז'רגון בין שתי חומות האש הנפוצות בעסקים. איפה כל אחת מתאימה, מה המפרט באמת אומר למשרד קטן, ולמה אופן הניהול חשוב יותר מהלוגו על הקופסה.
קרא את המאמרVPN או אפס אמון: לחשוב מחדש על גישה מרחוק לעסק
ה-VPN שחיבר את העובדים שלכם למשרד במשך שנים הפך לאחת הדרכים המותקפות ביותר לתוך עסק קטן. הנה מה שגישת אפס אמון משנה, מתי VPN עדיין בסדר, ואיך לבחור בלי הסיסמאות השיווקיות.
קרא את המאמרMicrosoft 365 Business Premium: האבטחה שאתם כבר משלמים עליה ורוב הסיכויים שלא מפעילים
Business Premium אורז שכבת אבטחה ברמת ארגון גדול שרוב העסקים הקטנים אף פעם לא מפעילים: EDR של Defender for Business, Conditional Access, Intune, מניעת דליפת מידע והגנת דואר מתקדמת. הנה מה שכלול, ואיך הופכים אותו להגנה אמיתית.
קרא את המאמררוצים לאבטח את העסק בלי להקים צוות IT פנימי?
קבעו ייעוץ חינם וקבלו תמונת מצב ראשונית ומעשית על סביבת ה-IT ואבטחת Microsoft 365 שלכם.