הקשחת שרתים ותחנות קצה: צ'קליסט לאבטחה מהירה

״הקשחת שרתים ותחנות קצה: צ'קליסט לאבטחה מהירה״

אם יש משפט אחד שכדאי לזכור, הוא זה: הקשחת שרתים ותחנות קצה היא הדרך הכי מהירה להפוך מערכת ״בסדר״ למערכת שקשה באמת לשבור.

לא צריך דרמה.

צריך סדר.

וצ'קליסט שמוריד סיכונים עכשיו, בלי לחכות ל״אחרי החגים״.

מתחילים נכון: מה בכלל מחפשים כשעושים הקשחה?

הקשחה היא לא קסם.

היא בעיקר הורדת שטח התקיפה, צמצום הרשאות, סגירת דלתות מיותרות, והפיכת כל רכיב ליותר צפוי ויותר נשלט.

במילים פשוטות: פחות הפתעות.

יותר שליטה.

וכדי שזה לא יהפוך לפרויקט אינסופי, עובדים בשכבות:

• בסיס – עדכונים, הגדרות ברירת מחדל, שירותים מיותרים.
• זהויות והרשאות – מי נכנס, איך, ולכמה זמן.
• רשת – מי מדבר עם מי, ובאיזה פורט.
• לוגים וניטור – כדי שלא תשמע על אירוע רק כשמישהו מרים ידיים.
• התאוששות – כי תמיד עדיף לקום מהר מאשר להיות ״צודק״.

החלק היפה: ברגע שיש צ'קליסט, אפשר להריץ אותו שוב ושוב, ולהעלות את הרמה בהדרגה.

צ'קליסט מהיר לשרתים – 15 צעדים שעושים הבדל מיידי

שרתים הם הלב.

וכשהלב פתוח לכל העולם, זה לא ״גמיש״ – זה פשוט מסוכן.

1) מה פתוח החוצה – ומה אמור להיות בכלל?

דבר ראשון: מיפוי חשיפה.

רשימת כתובות IP ציבוריות, דומיינים, פורטים פתוחים, ושירותים שמאזינים.

• כבה שירותים שלא חייבים להיות שם.
• סגור פורטים שלא בשימוש.
• הגבל גישה לפי מקור – אם רק צוות פנימי צריך, למה שכל העולם ייכנס?

זה הצעד הכי מהיר שמוריד סיכון.

2) עדכונים – לא מושלם, פשוט עקבי

לא צריך להיות ״מושלם״.

צריך להיות צפוי.

• הגדר חלון עדכונים קבוע.
• הפרד בין עדכוני אבטחה דחופים לבין עדכונים רגילים.
• אל תשכח firmware ורכיבי תשתית – לפעמים ההפתעה מגיעה משם.

3) ברירות מחדל: תתייחס אליהן כאילו הן בדיחה פרטית של תוקפים

סיסמאות ברירת מחדל.

מפתחות ברירת מחדל.

משתמשי דיפולט.

זה מרגיש ״קטן״, אבל זו אחת הנקודות הכי נפוצות שמביכות ארגונים.

4) חשבונות אדמין – פחות זה יותר

אדמין הוא כלי עבודה, לא סגנון חיים.

• הפעל עיקרון Least Privilege.
• הפרד חשבון יומיומי מחשבון ניהולי.
• השתמש בהעלאת הרשאות זמנית במקום אדמין קבוע.

מטרה: שאפילו אם משתמש נפרץ, אין לו מפתחות לכל הבניין.

5) SSH וכניסה מרחוק – כללים פשוטים שמצילים

• בטל כניסה עם סיסמה והעדף מפתחות.
• בטל root login מרחוק.
• הגבל IP-ים שמורשים להתחבר.
• הוסף שכבת MFA איפה שאפשר.

כן, זה טיפה פחות נוח.

וזה גם טיפה פחות ״היי, מישהו נכנס לי לשרת״.

6) שירותים מיותרים – למחוק באהבה

כל שירות רץ הוא עוד מקום לטעות.

ואין פה צורך ברומנטיקה.

• הסר חבילות שלא בשימוש.
• כבה דמונים שאינם קריטיים.
• בדוק משימות מתוזמנות שאף אחד לא זוכר למה הן קיימות.

7) קונפיגורציה מאובטחת לאפליקציות ולשרתים (כן, גם ל-Web)

שרת זה לא רק מערכת הפעלה.

זה גם Nginx/Apache, בסיסי נתונים, תורים, ועוד עולם קטן של ״ברירות מחדל״.

• כבה endpoints לניהול שלא חייבים חשיפה.
• הפעל TLS נכון והסר צופנים חלשים.
• הגבל כותרות, גודל בקשות, ונקודות העלאה.

השורה התחתונה: כל מה שמאפשר ״להתנסות״ מבחוץ – תגרום לו להיות משעמם.

8) הפרדת רשת – כי לא כל רכיב חייב להכיר את כולם

הפרדה ל-segments היא אחת המתנות הכי גדולות שאתה יכול לתת לעצמך.

• DB לא צריך להיות נגיש מהאינטרנט.
• ממשקי ניהול לא צריכים להיות באותו סגמנט של משתמשים.
• שירותים פנימיים – תן להם לדבר רק עם מי שצריך.

9) סודות ומפתחות – לא בקובץ טקסט בשם ״final_final2״

ניהול סודות טוב הוא חיסכון בכאב ראש.

• העבר סודות ל-vault או מנגנון ניהול סודות.
• סובב מפתחות לפי מדיניות.
• צמצם הרשאות גישה לסודות לפי שירות, לא לפי ״מי ביקש״.

10) לוגים – בלי זה אתה עיוור, וזה לא כיף

תיעוד הוא לא ״נחמד״.

הוא הדרך להבין מה קרה לפני שהכול כבר נשרף (מטאפורית, כן?).

• העבר לוגים למקום מרכזי.
• ודא סנכרון זמן (NTP) בכל המערכות.
• הגדר התראות על חריגות בסיסיות: כניסות כושלות, שינוי הרשאות, שירותים שנעצרים.

11) הרשאות קבצים ותיקיות – הקלאסיקה שלא מתיישנת

הקשחה מעשית כוללת ניקוי הרשאות:

• הסר כתיבה מיותרת על תיקיות מערכת.
• הגדר בעלויות נכונות לשירותים.
• שמור מפתחות פרטיים עם הרשאות מינימליות.

12) אנטי-וירוס? EDR? תחליט ותיישם טוב

בשרתים, במיוחד קריטיים, חשוב לבחור פתרון שמתאים לעומס ולסביבה.

לא כי ״צריך״.

כי זה נותן עוד שכבה של גילוי ותגובה.

13) הקשחת קונטיינרים – כי גם ״זה רק Docker״ הוא משפט מפורסם

• הימנע מ-running as root.
• השתמש בתמונות בסיס מינימליות.
• סרוק images לזיהוי חולשות לפני העלאה.
• נעול הרשאות volume ו-capabilities.

14) גיבויים – תבדוק שחוזרים, לא רק שקיימים

גיבוי שלא נבדק הוא כמו מצנח בארון.

מרגיע, עד הרגע הלא נכון.

• הגדר גיבויים מבודדים (offsite או immutable).
• הרץ שחזור ניסיוני בתדירות קבועה.
• שמור היסטוריה מספיקה כדי לעבור גם הצפנה עוינת.

15) תיעוד קצר – כדי שהצוות יוכל לרוץ מהר

תיעוד לא חייב להיות ספר.

מספיקה רשימת ״מה יש, איפה זה, מי אחראי״.

תחנות קצה – איפה שהחיים קורים (והקליקים גם)

תחנת קצה היא המקום שבו משתמש עובד.

והמשתמש, עם כל הכבוד, לא תמיד קם בבוקר כדי לשפר את ההגנה.

הוא קם כדי לעבוד.

1) ניהול מרכזי – כי ידני זה חמוד עד שזה בורח

הקשחת תחנות קצה עובדת הכי טוב כשהיא מנוהלת:

• מדיניות אחידה לעדכונים.
• הגדרות אבטחה אחידות.
• אכיפה של הצפנה ונעילות מסך.

2) עדכונים לתחנות – אוטומציה עם מינימום דרמה

כדאי לאפשר עדכוני אבטחה אוטומטיים, עם בקרה בסיסית.

הדגש הוא עקביות.

לא ״יום מרוכז פעם ברבעון״.

3) הצפנת דיסק – כי מחשב נייד אוהב לטייל

הצפנה מלאה היא צעד פשוט שמונע דליפת מידע כשמכשיר הולך לאיבוד.

והוא הולך לאיבוד.

לפעמים רק בין הספה למטבח.

4) הרשאות מקומיות – להוריד אדמין מהיומיום

• משתמשים רגילים לא צריכים הרשאות התקנה לכל דבר.
• השתמש בפתרון שמאפשר העלאת הרשאות מבוקרת לזמן קצר.
• נטר התקנות חריגות.

5) חומת אש מקומית וכללי רשת – כן, גם בתוך הארגון

חומת אש בתחנת קצה היא שכבה שמונעת תנועה לא רצויה.

במיוחד כשהרשת הפנימית ״מרגישה בטוחה״.

היא מרגישה.

לא תמיד היא באמת.

6) דפדפן, תוספים והורדות – האזור שבו קורה רוב הבלגן

• הגבל התקנת תוספים לא מאושרים.
• הקשח הגדרות פרטיות ואבטחה בדפדפן.
• הפעל הגנות נגד הורדות חשודות.

7) מאקרו וקבצי Office – חברים ותיקים של צרות

אם אין סיבה עסקית ברורה, חסום מאקרו ממקורות לא אמינים.

אם יש סיבה, תפעיל allowlist ותבנה תהליך אישור.

8) EDR לתחנות קצה – תן לעיניים שלך להיות פתוחות

במקום לסמוך על מזל, עדיף פתרון שמזהה התנהגות חשודה, בידוד, וחקר מהיר.

הקשחה טובה + EDR טוב זה שילוב פרקטי במיוחד.

הכי מהר, הכי חכם: סדר פעולות שמנצח עצלנות

כדי להגיע לאבטחה מהירה בלי להיתקע, הנה סדר מומלץ:

1. מיפוי חשיפה – מה פתוח ולמי.
2. סגירת שירותים ופורטים – הסרה וכיבוי.
3. עדכוני אבטחה – מערכת הפעלה ואפליקציות.
4. הקשחת זהויות – MFA, הרשאות, הפרדת חשבונות.
5. לוגים והתראות – בסיס לנראות.
6. גיבויים ושחזור – בדיקת התאוששות.
7. הקשחת תחנות קצה – הצפנה, ניהול מרכזי, EDR.

זה לא ״הכול או כלום״.

זה ״תתקדם כל שבוע עוד קצת״.

שאלות ותשובות קצרות, כי ברור שיהיו

ש: מה ההבדל בין הקשחת מערכות לבין ״עוד אנטי וירוס״?

ת: אנטי וירוס הוא שכבה אחת. הקשחה היא תכנון שמקטין את מספר ההזדמנויות לתקיפה מלכתחילה, גם אם אין לך שום כלי זיהוי.

ש: מה הדבר הכי שכיח שמפספסים בהקשחת שרת?

ת: שירותים פתוחים שלא היו אמורים להיות פתוחים, והרשאות ניהול רחבות מדי. שני אלה עושים המון רעש כשהם מתפוצצים, ומעט מאוד עבודה כשהם מתוקנים.

ש: האם צריך להקשיח גם מערכות פנימיות שלא חשופות לאינטרנט?

ת: כן. תנועה פנימית היא חלק גדול מהסיפור, במיוחד כשמשהו אחד כבר נפרץ. הקשחה פנימית היא מה שמונע מהאירוע להפוך לטיול מאורגן בארגון.

ש: איך בוחרים מה להקשיח קודם כשאין זמן?

ת: מתחילים במה שמקטין שטח תקיפה: סגירת פורטים, כיבוי שירותים מיותרים, עדכוני אבטחה, והקשחת זהויות עם MFA.

ש: גיבוי זה חלק מהקשחה? זה לא ״משהו אחר״?

ת: זה חלק מהסיפור. הקשחה בלי התאוששות היא כמו חגורה בלי אבזם. אפשר להתווכח על הסטייל, אבל זה לא מחזיק.

ש: האם הקשחה תאט לי את העבודה?

ת: לפעמים קצת. אבל ברוב המקרים, כשעושים את זה נכון, זה בעיקר מסיר כאוס. והכאוס הוא זה שמאט באמת.

ש: איך מודדים שההקשחה באמת הצליחה?

ת: לפי ירידה בחשיפה (פחות פורטים ושירותים), שיפור בניהול הרשאות, כיסוי לוגים והתראות, תוצאות סריקות חולשות טובות יותר, ובעיקר יכולת שחזור שנבדקה.

נגיעה אנושית: גם אבטחה צריכה קצב עבודה

קל ליפול למלכודת של ״נעשה הכול״ ואז לא לעשות כלום.

במקום זה, תבחר צ'קליסט.

תגדיר בעלים לכל סעיף.

ותסגור פינות בקצב קבוע.

אם בא לך לעקוב אחרי אנשים שמדברים טכנולוגיה בגובה העיניים, אפשר להציץ גם על אילון אוריאל.

ולמי שאוהב תוכן זריז יותר, יש גם את אילון אוריאל באינסטגרם.

הסוף הטוב: הקשחה שמרגישה קלה, לא כבדה

הקשחת תשתיות, הקשחת שרתים, הקשחת תחנות, חיזוק הגדרות אבטחה, צמצום הרשאות, ניהול עדכונים, וסגירת חשיפות – כל אלה הם לא ״פרויקט ענק״.

הם הרגל.

תתחיל בצעד אחד היום.

מחר תוסיף עוד אחד.

ובקרוב תהיה לך סביבת עבודה הרבה יותר שקטה.

כזה שקט שכמעט משעמם.

וזה בדיוק הסגנון של אבטחה טובה.