ido   |   נובמבר 17, 2024

כשהסייבר פוגש את הטעות האנושית: לקחים מעוד אירוע סייבר שטיפלנו בו

אירוע אבטחת מידע שהתרחש לאחרונה על שרת IIS בסביבה מרובת שירותים ושרתים מדגיש את החשיבות של ערנות, הגנות מרובות שכבות ותהליכים אנושיים באבטחת מידע. הנה סקירה של מה שקרה, מה נמצא ומה ניתן ללמוד מכך.

 

האירוע: ציר הזמן

בשעות הבוקר המוקדמות של אחד מימי נובמבר, בשעה 02:00, צוות ה-SOC זיהה פעילות חשודה בשרת IIS. ההתראות הצביעו על כניסות מוצלחות ממקור זדוני ופעולות בלתי שגרתיות שבוצעו על ידי משתמש בהרשאות Admin. מיד ננקטו צעדים לבידוד השרת מהרשת כדי למנוע הסלמה נוספת. חקירה מעמיקה יותר גילתה כי התוקף ניגש לשרת באמצעות פרוטוקול RDP תוך שימוש במתקפת Brute Force על חשבון Admin מקומי. נמצא כי מקור התקיפה היה מהפדרציה הרוסית מספר ימים קודם לכן.

ממצאים עיקריים

החקירה חשפה מספר פרטים חשובים:

  • ניסיונות Brute Force מרובים – התוקפים ביצעו ניסיונות פריצה ממספר כתובות IP:
    • 185.147.124.35
    • 185.147.124.102
    • 163.172.52.125
  • גישה מוצלחת – ניסיון פריצה אחד הצליח, ואפשר לתוקף גישה אדמיניסטרטיבית לשרת.
  • ציר זמן של פעילות זדונית – החל יומיים לפני זיהוי הפעילות, התוקף התחבר לשרת כמה פעמים. במהלך החיבור האחרון, הועבר קובץ זדוני. למרבה המזל, הקובץ זוהה ונחסם מיד על ידי מערכת ה-EDR של הארגון.
  • חשיפת חומת האש – נמצא כי פורט 3389 היה פתוח לאינטרנט לפחות כשבועיים, מה שיצר נקודת כניסה אפשרית לתוקף.

הפעולות שננקטו

הארגון פעל במהירות וביצע מספר צעדים להתמודדות עם האירוע:

  1. בידוד השרת – השרת בודד כדי לבלום את האיום.
  2. שינוי סיסמאות – שינוי הסיסמאות של משתמשי admin המקומי ושל כל המשתמשים בסביבה הוחלפו.
  3. בדיקת חוקי חומת האש – חוקי חומת האש בסביבת השירות נבדקו. חוק חומת אש ב-GCP שאפשר גישה חיצונית דרך פורט 3389 נסגר.
  4. סקירת לוגים – של WAF ושל Load Balancer נבדקו, אך חלק מהממצאים לא היו זמינים עקב פיצ'רים שלא הופעלו.
  5. אימות אבטחת נקודות קצה – סריקות ובדיקת לוגים של EDR אישרו שלא זוהתה פעילות חשודה נוספת בשרת.

המלצות מומחי אבטחת מידע של IPV Security:

האירוע הזה מדגיש את החשיבות של אמצעי אבטחת מידע פרואקטיביים ותהליכים מסודרים. ההמלצות הבאות יסייעו למנוע אירועים דומים:

  1. הפעלת לוגים של תעבורה – ודאו שלוגים של תעבורת נתונים מופעלים בכל חוקי חומות האש כדי להגביר את השקיפות.
  2. חיזוק חומות האש – שקלו שימוש בחומת אש ייעודית (חומרה או תוכנה) לצורך הגנה מוגברת.
  3. מדיניות נעילת חשבונות – הגדירו מנגנון לנעילת חשבונות לאחר מספר מוגדר של ניסיונות כניסה כושלים, (תוך הימנעות מסיכון של מתקפות DoS על השירות הרגיש)
  4. בקרות פנימיות – הגדירו מדיניות מחמירה לשינויים בחוקי חומת האש, תוך דרישה לאישורים מצוות אבטחת המידע.

לסיכום,

הגורם העיקרי לאירוע הזה נראה שילוב של טעות אנוש והגדרה שגויה. למרבה המזל, פעולות מהירות מצד צוות האבטחה מנעו נזק נוסף, וההערכות הראשוניות מצביעות על כך שלא דלפו נתונים רגישים. זו עוד הוכחה שטכנולוגיה לבדה אינה יכולה למנוע פריצות. נדרש שילוב של טכנולוגיה, תהליכים, ממשל ובקרות אבטחה.

מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה