מוצר LanGuard מבית חברת GFI מציע מערכת מלאה לניהול אבטחה ועדכונים של תחנות קצה - החל מסריקות פגיעות (vulnerability) ועד לטיפול בפגיעות (remediation) והתקנת עדכונים (patch management). כל כלי אבטחת המידע הקיימים היום ברשת, נועדו בסופו של דבר להגן על תחנות הקצה. הרי בסופו של דבר תוקפים מכוונים לתחנות הקצה, במיוחד לחולשות שלהן (vulnerabilities). אבל מה הן חולשות אלה? החולשות הן חלקי קוד פגיע בתוכנה או במערכת הפעלה, שתוקפים יכולים לנצל. ניצול הקוד הפגיע יכול לגרום לשליפת מידע מסווג מהמערכת, או לצורך שתילת תוכנות rootkit אשר מקבלות גישת Admin למערכת. להלן דוגמאות:
הבאג המפורסם HeartBleed - מבלי להיכנס יותר מדי לפרטים טכניים, על ידי שליחת פקודה עם פרמטר מסוים לשרת SSL, ניתן לקבל ממנו 64KB מהזיכרון מטמון שלו. הזיכרון הזה מכיל (בין היתר), את המפתח הפרטי (private key), אשר בעזרתו ניתן לפתוח את כל תעבורת ה- SSL.
שתילת תוכנה זדונית בעזרת Adobe Vulnerability - ההתקפה הקלאסית ביותר כיום היא שליחת קובץ PDF שנראה כמו מסמך רגיל לחלוטין. בתוך אותו קובץ PDF קיים קוד זדוני אשר מנצל חולשה של Adobe שגורם לקריסתו. ניצול החולשה גורם לקריסה של היישום, אבל מדוע יש לתוקף אינטרס להקריס את התוכנה? ברגע שהתוכנה המארחת (Adobe), הקוד הזדוני מתנתק ממנה ונשאר לא תלוי בזיכרון המחשב. ברגע שהקוד הזדוני - rootkit, נמצא בזיכרון המחשב כמעט ובלתי ניתן לאתר אותו. בנוסף הדבר הכי חמור הוא מקבל גישת Admin למכונה הפגועה ומכאן התוקף בעל שליטה מלאה על המכונה.
לאור האמור זה מבהיר את הצורך במערכות אבטחת מידע כמו Firewall ו- IPS. תפקיד ה- Firewall הוא לסגור פורטים לא נחוצים ברשת באופן מרכזי, ותפקיד ה- IPS הוא להגן מפני חולשות. בארגון שיש בו עשרות (שלא לדבר על מאות) שרתי Web לצורך העניין, לא ניתן כל יום כל הזמן להתקין עדכוני אבטחה. במקרים כאלה מספיק להפעיל את ההגנה במקום מרכזי כמו ה- IPS, אשר מגן על כל אותם שרתים. יחד עם זאת חיוני ביותר שבמיוחד לתחנות הקצה והשרתים יהיו מותקנים עדכוני אבטחת מידע אחרונים. הרבה יצרנים בשוק מציעים פתרונות של סריקת הרשת ויצירת דוחות של התחנות והשרתים שחסר להן עדכוני אבטחה של מיקרסופט או תוכנות ארגוניות אחרות (כגון דפדפנים שונים, תוכנות לפתיחת PDF וכדומה). כאן מתבטאת הייחודיות של תוכנת LanGuard: היכולת להתקין עדכוני אבטחה (ועדכוני גרסה) מרחוק באופן אוטומטי. ההתקנה של מוצר LanGuard מגיעה כקובץ הרצה על שרת Windows Server. ההתקנה עצמה לוקחת דקות בודדות. לאחר ההתקנה מתבצעת סריקת תחנות ברשת לפי בחירת מנהל המערכת. ברגע שהסריקה הסתיימה (תהליך שיכול לקחת כמה שעות עבור כמות גדולה של תחנות ושרתים), מתקבל דוח מצב:
הדוח מציג כמה פילוחים שונים מבחינת סוגי מערכות הפעלה וכדומה, אבל הדבר הכי חשוב הוא כמובן כמות התחנות הלא מעודכנות ברשת: התכונה הכי חשובה של המוצר היא Auto-Remediation - התקנה של עדכוני מערכת הפעלה וגם תוכנות צד שלישי מיצרנים שונים. פעולת ה- Remediation כשמה כן היא "ריפוי". הכוונה בריפוי היא כמובן התקנה של עדכונים למערכת הפעלה עצמה (Windows s), ובנוסף עדכונים של תוכנות צד שלישי. בשילוב המילה Auto מתקבל פתרון אשר מבצע סקר סיקונים ברשת, ואף מרפא אוטומטית את אותם סיכונים. תזמון מדיניות ה- Auto-Remediation מתבצע באופן פשוט וניתן להתאמה אישית. המוצר רץ ברשת של Safeway במשך חודש ימים. בזמן הזה ההטמעה ולימוד המוצר לקח כמה שעות בודדות. לאחר מכן ה- LanGuard רץ באופן אוטומטי לחלוטין, והנפיק דוחות. להלן דוגמאות של הדוחות:
נשלח ב-4/5/2014 17:23
לא הבנתי מה היתרון על וינדוס אפדייט? זה נראה כמו פיתרון לאנשי IT עצלנים. בנוסף לא הבנתי מה הם מקשרים בין הפרצה באדובי ואקספלורר לבין ROOTKIT? הפרצות הללו יכולות להחדיר כל קוד למערכת, החל מקוד hello world, ועד לפירצה עמוקה לליבה! להכניס את המושק רוטקיט לכאן נראה לי לא מקצועי. בפרט היום שכל אנטי וירוס סורק את סקטורי האתחול. כל מה שהיה טוב ברוטקיט זה שלא היה סריקה בשלב האיתחול, אבל בניגוד לוירוס רגיל שניתן להסתיר ולהצפין בכל מקום במערכת, רוטקיט מוגבל מאוד, לכן היום כמעט לא מפתחים רוטקיטים. מהאתר שאליו אתה מפנה, זה נראה כמו כתבה שיווקית. אם אכן כך, אבקש לתקן ולהסיר תוכן פרסומי, אם לא קבל את התנצלותי.
נשלח ב-4/5/2014 22:09
itshak57 כתב:
לא הבנתי מה היתרון על וינדוס אפדייט? זה נראה כמו פיתרון לאנשי IT עצלנים. בנוסף לא הבנתי מה הם מקשרים בין הפרצה באדובי ואקספלורר לבין ROOTKIT? הפרצות הללו יכולות להחדיר כל קוד למערכת, החל מקוד hello world, ועד לפירצה עמוקה לליבה! להכניס את המושק רוטקיט לכאן נראה לי לא מקצועי. בפרט היום שכל אנטי וירוס סורק את סקטורי האתחול. כל מה שהיה טוב ברוטקיט זה שלא היה סריקה בשלב האיתחול, אבל בניגוד לוירוס רגיל שניתן להסתיר ולהצפין בכל מקום במערכת, רוטקיט מוגבל מאוד, לכן היום כמעט לא מפתחים רוטקיטים. מהאתר שאליו אתה מפנה, זה נראה כמו כתבה שיווקית. אם אכן כך, אבקש לתקן ולהסיר תוכן פרסומי, אם לא קבל את התנצלותי.
1. זה הרבה מעבר ל-WINDOWS - זה מעדכן גם תוכנות צד שלישי למשל של adobe ו - וכו' בנוסף זה מאתר חולשות נוספות כמו פורטים לא רצויים שפתוחים ועוד.
2. המושג ROOTKIT משמש לתאר משהו שיש לו שליטה ברמת ROOT ובדר"כ גם מסתיר את עצמו היטב
3. לגבי תוכן שיווקי - כמעט כל מה מידע שתמצא בעברית הוא עם תוכן שיווקי , אין הרבה מידע ברמה שמחולק חינם , נראה לי גם לא הוגן לקחת משהו ולהסיר ממנו את השיווקי ולגנוב את התוכן הרצוי.
נשלח ב-4/5/2014 22:15
windows אפדייט (אל תנסה אפי' לכתוב אפדייט באנגלית, המנגנון האחראי על מניעת הזרקות יצנזר אותך :)) מעדכן גם צד שלישי. זה חוץ מזה שאת הצד שלישי גם התד שלישי מעדכן. רוטקיט הוא מושג לוירוסים ספצפיים. אם אתה מגדיר כל וירוס שמקב שליטת רוט (שאגב לא כל כך קיימת בוינדוס :)) כרוטקיט אז יש מליוני כאלה. לכן נהוג לקרוא לוירוסים העובדים על האתחול כרוט קיט, לפחות אצלנו :) 3. זה פרסומת, ולא הבנתי מה המידע.
נשלח ב-4/5/2014 22:30
1. ממתי וינדוס אפדייט (איכססס למה הקטע של למחוק את זב באנגלית?) מעדכן adobe וכו'? וממתי לה מתריע על פגיעות של מחשב? גם לא מעשי לסמוך על מערכת כמו WSUS בכדי לעקוב אחרי מצב העדכונים המחשבים (מי אומר שהתחנה בכלל מצליח לדבר עם ה WSUS).
2. ה-ROOTKIT הראשונים היו בסקטור האתחול אבל ממש לא מחייב שזה רק שם.
3. המאמר שמציג את התוכנה הוא "מידע" - תוכן מלווה על איפה קונים אותו וכו' הוא "שיווק"
נשלח ב-4/5/2014 22:36
וינדוס אפדייט מעדכן את מה שמתקבל ומוגדר כקריטי או חשוב מהיצרן. באדובי ספציפית ניתן להגדיר עדכונים אוטומטיים בכל המוצרים. יתכן וזה קצת מקל את העבודה, לכן כתבתי פיתרון לאנשי IT עצלנים. בכל מקום שנתקלתי עד היום ROOTKIT כוונתו הייתה ROOTKIT זה פרסומת עם הסבר על המוצר. בהזרקות שהיו עושים פה היו משתמשים בקונסולה הזו, ומזריקים קודים. לכן יצרו מסנן עם מילות מפתח שבלעדיהם לא ניתן להזריק, וחסמו אותם. אחד מהמילים זה אפדייט.
נשלח ב-4/5/2014 22:44
לא קשור עצלנים.
מה עדיף לך ש 1000 תחנות יצאו לאינטרנט להוריד עדכון או ששרת אחד בתוך הרשת יפיץ לכולם? חוץ מזה לנהל דברים כאלה לא קשור לעצלנות זה סתם בזבוז זמן חשוב על שטויות.
תאר לך ארגון עם 1000 מחשבים שמקבלים אפדייטים משרת WSUS איך אתה בכלל יכול לעקוב אחרי מחשבים שמשום התחברו לשרת -ה WSUS? או אולי פספסת ולא הפצת עדכון חשוב? וזה רק עדכונים של וינדוס.
מה תעשה לגבי צד שלישי (מה שציינת לגבי קריטי ליצרן זה בעיקר לחומרה)
יש לפעמים צורך להוציא דוחות עבור רגולטור - מאיפה תוכיח מה המצב ברשת?
ובנוסף יש לך את מצב הפורטים ועוד.
תוקן על ידי גדי11 ב- 04/05/2014 22:45:34
נשלח ב-4/5/2014 22:49
טוב הרי שנינו יודעים שמי שמסתמך על וינדוס הוא פושע. הפתרון הוא באנטי וירוס טוב, ואז לא כל עדכון הוא קריטי. אתה יכול לבנות בעצמך בקלות מערכת שתקבל עדכונים ממך, או לשלוט על כל התחנות מרחוק. אני לא אמחוק את האשכול, גם כי לא התכוונת להספים כמובן, וגם בגלל הדיון, וגם כי לא מגיע לך שאני אצנז אותך :) (אני מתכוון מהצד הטוב כמובן). אבל להבא לפחות לא להביא קישור לפרסום. תודה.
נשלח ב-4/5/2014 22:58
רציתי רק להוסיף עוד כמה נקודות על צורך במערכות ניהול עדכונים..
1. הרבה ארגונים לא נותנים למשתמשים להתקין עדכונים , ז"א מה שרץ עם הרשאות משתמש רגיל לא יעבוד. 2. לא מומלץ לחכות למיקרוסופט עד שהם יעדכו את הפלאש וכדומה. 3. בהרבה ארגונים גם אין גישה ישירה מהתחנות לאינטרנט להורדה של קצבי התקנה וכדומה.
יש גם מוצרים שעושים דברים מגניבים נוספים כמה דחיפות עדכונים ל -VMים כבויים או שנמצאים ב-STANDBY וכדומה.
תוקן על ידי גדי11 ב- 04/05/2014 23:00:45
נשלח ב-4/5/2014 23:09
נחמד, אבל אם יש לך אנטי וירוס טוב כדוגמת נורטון (זה לא סוד שאני מעריך אותם :)) המצב אינו קריטי כ"כ. הרי אתה מתייחס לפרצות באדובי רידר או פלאש, אבל שוכח שכמות הפרצות שיש בליבה של וינדוס, ושלוקח חודשים לתקן אותם, עדיין פרוץ. אלא מאי, האנטי וירוס אחראי לא לסמוך על וינדוס. נכון שאסור להשאיר פרצה פתוחה גם אם אנטי וירוס, אבל עדיין זה לא כ"כ קריטי. אתה צודק שעד שעדכוני צד שלישי מגיעים לאפדייט לוקח זמן.
