שיעור 13: הגנה פנימית — הרשאות, הקשחה וסגמנטציה
בשיעור הקודם בנינו קו הגנה היקפי שלם — Firewall, WAF, DMZ, IDS/IPS, VPN ו-NACL — שעוצר את רוב התעבורה הזדונית עוד לפני שהיא מגיעה לרשת הארגון. אבל ההנחה הבסיסית באבטחת סייבר היא שתוקף נחוש ומתוחכם יצליח במוקדם או במאוחר לעקוף גם את זה, וגם בלי שום תוקף חיצוני — משתמשים פנימיים עלולים בטעות או בזדון
בקיצור: מניחים שהתוקף בסוף יעבור את החומה החיצונית, אז השאלה היא כמה הוא יכול להזיק אחרי שהוא כבר בפנים. PoLP קובע מראש 'רדיוס פגיעה' קטן לכל חשבון. RBAC/MAC/DAC/ABAC/GBAC הם דרכים שונות להחליט מי בכלל מקבל גישה. הקשחה מצמצמת מה יש לתקוף בכל מערכת; סגמנטציה מבודדת מערכות זו מזו כדי שתוקף לא ינוע בחופשיות; והצפנה מגנה על מידע גם כשהוא בתנועה וגם כשהוא שוכב על הדיסק.
- PoLP (עקרון הרשאת המינימום) ורדיוס פגיעה
- כל תהליך, משתמש או מערכת מקבלים רק את ההרשאות שהם ממש צריכים לביצוע משימתם — לא יותר. כך מצטמצם שטח התקיפה, ואם חשבון נפרץ או שירות נגנב, התוקף מוגבל ל'רדיוס פגיעה' (Blast Radius) קטן — למה שהחשבון באמת צריך, לא לכל הסביבה.
- RBAC (בקרת גישה מבוססת תפקיד)
- הרשאות נקבעות לפי תפקיד/תפקוד בארגון ולא לפי משתמש בודד — כל מי שממלא תפקיד מסוים מקבל אוטומטית את אותה קבוצת הרשאות. פשוט ליישום ומתרחב בקלות בארגונים גדולים.
- MAC (בקרת גישה חובה)
- אכיפה מרכזית וקשיחה של גישה לפי צימוד רמות סיווג (תוויות סודיות) בין המשתמש למשאב — לא המשתמש ולא בעל המשאב יכולים לשנות זאת. אופייני לסביבות בעלות סיווג גבוה כמו צבא וממשל.
- DAC (בקרת גישה לפי שיקול דעת)
- בעל המשאב (היוצר/המחזיק) מחליט בעצמו מי מקבל גישה ואיזו — מתאים לסביבות שיתוף ועבודה משותפת על קבצים, אך תלוי בשיקול הדעת של כל בעל משאב בנפרד.
- ABAC ו-GBAC (בקרת גישה מבוססת מאפיינים/קבוצות)
- GBAC מעניק גישה לפי חברות בקבוצה (כמו 'מנהלים' או 'IT'). ABAC הוא המודל המקיף ביותר — הוא שוקל בו-זמנית את המשתמש, המשאב וגם את הסביבה (שעה, מיקום), ומאפשר את ההרשאה הגרנולרית והדינמית ביותר.
- הקשחה (Hardening)
- תהליך שמצמצם את שטח התקיפה של מערכת: ביטול שירותים ותוכנות מיותרים, סגירת פורטי רשת שאינם בשימוש, ויישום סדיר של עדכוני אבטחה (Patches) כדי לתקן חולשות ידועות.
- סגמנטציה ותנועה רוחבית (Lateral Movement)
- חלוקת רשת גדולה לאזורים מבודדים (כמו DMZ, Server Farm ו-DB Zone) או ל-VLANs נפרדים, כך שגם אם תוקף חודר לסגמנט אחד, יכולתו לנוע בחופשיות לסגמנטים אחרים (תנועה רוחבית) מוגבלת מאוד. תעבורת North-South היא בין הארגון לעולם החיצון; East-West היא בתוך הארגון עצמו.
- הצפנה בתנועה מול הצפנה במנוחה
- הצפנת תקשורת (TLS, IPsec, VPN) מגנה על מידע בזמן שהוא עובר בין מערכות ומונעת ציתות ושינוי בדרך. הצפנת מידע במנוחה מגנה על נתונים המאוחסנים בדיסקים ובמסדי נתונים, גם במקרה של גניבה פיזית של המדיה. אלו שני מצבים שונים, ושניהם נדרשים.