מעבר לראוטר: חומות אש, Wi-Fi וחלוקת רשת לעסקים קטנים

רוב העסקים הקטנים בישראל מתייחסים לרשת שלהם כמו לאינסטלציה: כל עוד האינטרנט עובד והמדפסת מדפיסה, אף אחד לא מסתכל מקרוב. אבל הרשת היא הדבר הראשון שתוקף פוגש והשטח שכל מהלך מאוחר יותר תלוי בו. רשת משרדית שטוחה — שבה כל מחשב נייד, טלפון, שרת, מצלמה ומכשיר אורח יכולים להגיע לכל השאר — פירושה שמכונה אחת שנפרצה מעמידה את כל העסק בהישג יד. החדשות הטובות הן שהעקרונות שהופכים רשת למוגנת אינם אקזוטיים או יקרים. עסק קטן יכול לקבל את רוב התועלת מחומת אש מוגדרת כראוי, Wi-Fi הגיוני וכמה החלטות חלוקה, ואף אחד מהם לא דורש תקציב ארגוני או מהנדס במשרה מלאה.

למה הרשת היא הקו שכדאי להגן עליו

הרשת שלכם היא המקום שבו תוקפים נעים ברגע שיש להם דריסת רגל. אימייל פישינג עשוי לפרוץ מחשב נייד אחד, אבל מה שהופך את זה לאסון בקנה מידה עסקי הוא היכולת לנוע לרוחב — לקפוץ מאותו מחשב לשרת הקבצים, לגיבוי, ולכל מכשיר אחר. כופרה במיוחד מסתמכת על זה: היא נוחתת על מכונה אחת, ואז מתפשטת על פני הרשת השטוחה כדי להצפין כל מה שהיא יכולה לגעת בו. רשת שתוכננה עם גבולות מגבילה את רדיוס הפגיעה. המטרה אינה להפוך פריצה לבלתי אפשרית — שום בקרה בודדת לא עושה זאת — אלא להבטיח שמכשיר בודד שנפרץ לא יכול להפוך בשקט לפריצה של כל העסק.

התחילו מהקופסה שקיבלתם: ראוטרים מול חומות אש

משרדים קטנים רבים פועלים על הראוטר הבסיסי שסיפק ספק האינטרנט, שמציע הגנה מינימלית ולעיתים קרובות נשאר בהגדרות ברירת מחדל. חומת אש עסקית אמיתית עושה הרבה יותר: היא בודקת תעבורה, חוסמת חיבורים זדוניים מוכרים, מסננת תוכן אינטרנט ונותנת לכם נראות למה שבאמת זורם פנימה והחוצה מהרשת. לכל הפחות, שנו את סיסמת המנהל המוגדרת כברירת מחדל, השביתו ניהול מרחוק מהאינטרנט אלא אם אתם באמת זקוקים לו, שמרו את הקושחה מעודכנת, וכבו תכונות שאינכם משתמשים בהן. אם העסק שלכם תלוי בזמינות המערכות, המעבר מראוטר ביתי לחומת אש עסקית מנוהלת הוא אחת ההשקעות בעלות הערך הגבוה ביותר ברשת.

חלוקת רשת: אל תיתנו לפריצה אחת להפוך לכוללת

חלוקת רשת (סגמנטציה) פירושה חלוקת הרשת לאזורים נפרדים כך שבעיה באחד לא יכולה להתפשט בחופשיות לאחרים. בפועל, זה עשוי להיות שמירת השרתים על מקטע אחד, תחנות העבודה של הצוות על אחר, אורחים על שלישי, ומכשירים כמו מצלמות, מדפסות וחומרה חכמה על רביעי — עם כללים מבוקרים לגבי מי מורשה לדבר עם מי. העיקרון זהה לזה שגורם לתאים אטומים לעבוד באונייה: אם אחד מוצף, האחרים נשארים יבשים. עבור עסק קטן זה לא דורש בנייה מחדש של הכול; אפילו פיצול פשוט בין מערכות פנימיות מהימנות לכל השאר מצמצם דרמטית עד כמה תוקף או תוכנה זדונית יכולים לנוע.

נעלו את ה-Wi-Fi שלכם

הרשת האלחוטית היא לעיתים קרובות החוליה החלשה ביותר כי היא מרחיבה את הרשת שלכם מעבר לקירות שלכם אל הרחוב או המשרד הסמוך. השתמשו בהצפנת WPA3 (או לפחות WPA2) עם ביטוי סיסמה חזק ולא מובן מאליו, ושנו אותו כשעובדים עוזבים. הימנעו משיתוף סיסמת ה-Wi-Fi הראשית על לוח לכל מי שנכנס. אם נקודות הגישה שלכם תומכות בכך, הסתירו או הפרידו את ממשק הניהול ושמרו את הקושחה שלהן מעודכנת, כי נקודת גישה לא מעודכנת היא דרך כניסה שקטה. התייחסו לסיסמת הרשת האלחוטית כמו למפתח לבניין, כי מבחינה תפקודית זה מה שהיא — כל מי שיש לו אותה נמצא בתוך הרשת שלכם.

תנו לאורחים ולמכשירים חכמים נתיב משלהם

מבקרים, לקוחות וטלפונים אישיים לעולם לא צריכים לשבת על אותה רשת כמו מערכות העסק שלכם. רשת Wi-Fi נפרדת לאורחים — מבודדת כך שמכשירי אורח יכולים להגיע לאינטרנט אך לא לשרתים, לקבצים או למכשירים אחרים שלכם — מסירה קטגוריה שלמה של סיכון כמעט בלי עלות. אותו היגיון חל על הערימה הגדלה של חומרה 'חכמה' במשרד מודרני: מצלמות, טלוויזיות חכמות, חיישני דלת ומכשירים דומים הם לעיתים קרובות לא מאובטחים ונדיר שהם מעודכנים, ובכל זאת הם יושבים על הרשת עם כל השאר. הצבתם על מקטע מבודד משלהם פירושה שאם אחד נפרץ, התוקף נוחת איפשהו בלי שום דבר בעל ערך להגיע אליו.

גישה מרחוק בלי לפתוח את דלת הכניסה

הטעות הנפוצה ביותר ברשת שאנו רואים היא חשיפת Remote Desktop (RDP) או ממשקי ניהול ישירות לאינטרנט. תוקפים סורקים ברציפות אחר אלה ומבצעים brute-force לסיסמאות חלשות תוך שעות, ו-RDP חשוף נותר אחת מנקודות הכניסה המובילות לכופרה נגד עסקים קטנים. לעולם אל תפרסמו RDP ישירות לאינטרנט. במקום זאת, דרשו מהצוות להתחבר דרך VPN המוגן באימות רב-שלבי, כך שגישה מרחוק תלויה ביותר מסיסמה שאפשר לנחש. זה מתחבר ישירות לאבטחת עבודה מרחוק והיברידית באופן רחב יותר: בקרות הרשת ובקרות נקודות הקצה חייבות לעבוד יחד, כי מחשב נייד מאובטח על חיבור לא מאובטח עדיין חשוף.

שמרו על בריאות חומת האש וציוד הרשת

חומת אש אינה מכשיר 'הגדר ושכח'. כמו כל מכשיר אחר, חומרת רשת מגיעה עם תוכנה שמכילה פגיעויות, והיצרנים משחררים עדכוני קושחה כדי לתקן אותן. חומת אש, מכשיר VPN או ראוטר לא מעודכנים עם פגם מוכר גרועים יותר מאי-קיום חומת אש, כי הם נותנים תחושת ביטחון מזויפת בעודם משמשים כנתיב כניסה ישיר — כמה פריצות גדולות התחילו בדיוק כך. שמירה על ציוד רשת מעודכן היא חלק מאותה משמעת של עדכון שרתים ותחנות עבודה, והיא ראויה לאותה תשומת לב. אם אף אחד בעסק שלכם אינו אחראי לבדוק שהקושחה של חומת האש עדכנית, כדאי לסגור את הפער הזה עכשיו.

ראו מה קורה ברשת שלכם

אי אפשר להגן על מה שאי אפשר לראות. חומת אש עסקית ומתגים מנוהלים יכולים לתעד חיבורים, לסמן תעבורה חריגה ולהראות לכם אילו מכשירים נמצאים ברשת שלכם — כולל כאלה שאף אחד לא זוכר שחיבר. הנראות הזו חשובה גם ביום-יום, לזיהוי מכשיר שמתנהג בצורה מוזרה, וגם במהלך אירוע, כשהיומנים אומרים לכם למה תוקף הגיע ומתי. עבור עסק קטן, אינכם צריכים מרכז תפעול אבטחה כדי ליהנות מכך; אפילו ניטור והתראות בסיסיים על ההיקף שלכם הופכים את הרשת מקופסה שחורה למשהו שאתם באמת יכולים להבין, וזה ההבדל בין תפיסת בעיה מוקדם לבין גילויה שבועות מאוחר יותר.

טעויות נפוצות באבטחת רשת

כמה טעויות חוזרות כמעט בכל רשת SMB לא מנוהלת. הפעלת הכול שטוח, ללא הפרדה בין שרתים, צוות, אורחים ומכשירים חכמים. השארת סיסמאות ברירת מחדל בראוטרים, בחומות אש ובנקודות גישה. חשיפת RDP או ממשקי ניהול לאינטרנט. שיתוף סיסמת Wi-Fi אחת עם כולם ואי-החלפתה לעולם. אי-עדכון קושחת רשת לעולם. ואי-ידיעה מה באמת מחובר. אף אחת מאלה אינה דורשת תחכום כדי לנצל, ואף אחת אינה דורשת תחכום כדי לתקן — אלה ענייני הגדרה ומשמעת ולא טכנולוגיה יקרה. סגירתן היא חלק מהשיפור הזול ביותר באבטחה הזמין לעסק קטן.

מאיפה להתחיל

אם המשרד שלכם פועל על ראוטר ברירת מחדל של ספק, רשת שטוחה אחת וסיסמת Wi-Fi משותפת אחת, ההגדרה הזו עושה מעט מאוד כדי להאט תוקף. NetFortress מתכננת ומנהלת רשתות עסקיות לעסקים קטנים ובינוניים בישראל — חומות אש אמיתיות, חלוקה שמכילה פריצות, Wi-Fi מאובטח עם בידוד אורחים ומכשירים, גישה מרחוק מוגנת ב-MFA, וניטור שמראה לכם מה באמת קורה. קבעו ייעוץ חינם ונסקור היכן הרשת הנוכחית שלכם תאפשר לתוקף לנוע בחופשיות, ונציג תוכנית מעשית לנעול אותה.