סיכום אבטחת מידע PDF

Summary

המסמך מסכם נושאים באבטחת מידע, כולל מחזור חיים של פיתוח תוכנה (SDLC), מודל CIA (סודיות, שלמות, זמינות), סיכונים, ומספר נושאים נוספים.

Full Transcript

סיכום אבטחת מידע

SDLC- מחזור החיים של פיתוח תוכנה. אני רוצה לשבת עם המפתחים ולראות שהם
עושים את עבודתם כמו שצריך ולא עושים קיצורי דרך שיכולים להוות סיכונים

CIA:

**[Confidentiality] --** סודיות היא מרכיב של פרטיות המיושמת
כדי להגן על הנתונים שלנו מפני צופים לא מורשים.

**[Integrity]**- שלחתי נתון, איך המשתמש יכול לוודא שהנתון
שקיבל ממני הוא באמת הנתון ששלחתי? יכול להיות שמישהו נכנס באמצע, זה יכול
להיות עובד, האקר.

**[availability]** זמינות- המערכת זמינה לשימוש, נניח והייתה
התקפה, אם אני ערוך לזה שיש לי 1000 משתמשים, אם נכנסו 1500 סביר, אבל אם
נכנסו לי 5000 משתמשים אני כבר לא ערוך והמערכת תקרוס.

[3 גורמי הסיכון:]

\#[טכנולוגיות]-מערכות חומרה ,התוכנה והתקשורת המהוות
\"מערכות\".

\#[אנשים]-במידה ויש עובד ממורמר בארגון הוא מהווה סכנה.ולכן
לכוח אדם יש תפקיד חוב בארגון ממשום שיש להם מידע על כל עובד.

\#[תהליכים] - מידת הנזק משגיאת אנוש או נקודות תורפה
טכנולוגית עשויה לפחות מאוד במידה ומבוצע תכנון נכון של התהליכים בארגון.
הגדרת תהליכים בסדר נכון ובדוק מראש מאפשרת זיהוי מוקדם של פגיעה או ניסיון
פגיעה במערכות.

[4 רכיבים בסיסיים באבטחת מידע]

[אימות זהות:] ישנם 3 אמצעים: What you
know[,]What you have , What you are

[הרשאות]: 2 גישות:

Need to know- מה אני מאפשר לו במערכת שהוא צריך לדעת -- אני יודע מה הוא
צריך לדעת ואני אתן לו את מה שהוא צריך לדעת.

least privilege - מינימום הרשאות -- מדברת גם על זכויות וגם על הרשאות

[שלמות ואמינות המידע]

[זמינות המידע]

קניין רוחני-פטנטים מידע ומוניטין (כביכול לא מוחשי) שיש לי.(רוחני=לא
מוחשי)

[Down time]-זמן שהמערכת לא זמינה.

[single sign on-] מערכת אחת שבודקת אם זו אני ורק אם אני
מזדהה ועושה חיבור נכון זה עושה טיקט ונותן אפשרות לאפליקציות אחרות להשתמש
בנתונים במקום להקיש עוד ועוד סיסמאות בכל מקום שנכנסים.

[סיגמנטציה]- אני רוצה להגן על מידע קריטי באופן שונה ממה שאני
מגן על מידע לא קריטי.

[בקרות]- מטרת הבקרה להוריד את הסיכון.

[הגנה בשכבות]- אם יש אזור קריטי אני לא אגן עליו רק עם שכבה
אחת, אלא עם שנייה ושלישית ואם פרצו את האחת נגן עם שנייה ואם פרצו את
השנייה נגן עם שלישית.

[הקשחה]- מהמילה קשוח, אני הופך אותה ליותר קשה לפריצה, אני שם
לה יותר הגנות או שאני מבודד אותה מהרשת.

[Acssess control בקרת גישה]

משתמשים היום בשיטות הצפנה סימטריות וא-סימטריות.

סייפר=הצפנה , די-סייפר= פענוח.

[אניגמה] כשפענחו את הצופן של הצד השני= ככה נגמרה המלחמה.

SQL Injection - מתקפות המתבססות על שפת SQL, שפה לתכנות וניהול מערכות
מידע מגוונות, בעיקר מסדי נתונים שימוש בקוד SQL לקבלת גישה למשאבים או
שינוי נתונים ישירות מול הדאטה בייס.

Zero Day Vulnerability - פגיעות שהייתה לנו אפס ימים להתכונן אליה.-
מעכשיו כל יום שעובר ולא התקלה לא מטופלת המערכת שלי נמצאת בסיכון.

למעשה זוהי פגיעות ביישום שעדיין לא נכתב לה תיקון.

Vulnerability -- פגיעות \\ פירצה ידועה

Exploit -- ניצול של הפירצה (קוד)

Fix / HotFix -- תיקון לפרצה

סוסים טרויאנים - תוכנת מחשב המתחזה לתוכנה לגיטימית בכדי לחדור למחשב
ולבצע פעולות לא מורשות.

- [Backdoor ]

- שימוש במחשב על ידי גורמים לא מורשים (דוגמה נפוצה: מחשב ZOMBIE
ורשתות Botnet, לצרכי מתקפות מניעת שירות, \"ספאם\" של דואר
אלקטרוני ועוד)

כלי DLP - קשור לדליפת מידע, אני רוצה למנוע דליפת מידע, אני רוצה למנוע
הוצאת מיילים מארגון, אני יתחיל לבנות string של מילים. באמצעות string אני
מציפה את כל המיילים כל מייל שמופיע בו המילים האלה, נחסם

[קווארנטין]- אזור מגודר, אם יש משהו שהגיע מIP לא מוכר מאזור
חשוד או לא מוכר הוא ייחסם, נכניס אותו לקווארנטין כמו מכלאה שממנה אני
משחרר רק אחרי שראינו שאפשר להעביר אותה או לארגון או החוצה[.]

אירועי אבטחת מידע- IRT -- insident צוות טיפול באירוע תפקידו למעשה להתכנס
ברגע שיש אירוע,

DRP דיזסטר = אסון- תכנון התאוששות -- בונים אתר מרוחק 40 קילומטר מהאתר
שלי ששם מרימים מערכת מרוחקת מהאתר שלי, לא זהה לחלוטין, כאילו אני משכפל
את כל הארגון שלי. (רק מחשבים)

BCP- גם אסון אבל צריך לייצר המשכיות.

[Key Loggers :]

תוכנה המתעדת כל אות שמוקלדת ,יכולה גם לשלוח תקופתית דו\"ח הקלדות, כך
שאין צורך להגיע פיזית באף שלב למחשב ה\"מתועד\". קיימים גם לוגרים לעכבר,
בעיקר לזיהוי תבניות והתנהגות \"הכן זאת בעצמך\" בשפת הפיתוח החביבה עליך
או השתמש ביישומים מוכנים מהרשת, דוגמת ה- Keylogger של -- Ardamax.

[NIST] ארגון תקינה אמריקאי שמגדיר בתחום של אבטחת מידע אוסף
של שאלות ותחומים כדי לעמוד באבטחת מידע, כדי לעמוד בתקן.

[הבקרות מתחלקות ל3:]

[בקרה ניהולית]: מנהלים לא מתעסקים לא עם טכנולוגיה ולא עם
תהליכים, הם מתעסקים עם אסטרטגיה, מדיניות. מדיניות זה סוג של בקרה,
הנחיות.

[בקרה אופרטיבית]: תהליכים של עובדים וגישות פיזיות- בתהליך
עצמו אורח שמגיע ילוו אותו, זה תהליך, אני אומר אין מצב שיסתובבו אצלי
אורחים ללא ליווי בארגון. (כמובן שמדובר על רפאל ולא על שופרסל)

[בקרה טכנית:] אלמטנים טכנולוגיים.

RISK MENEGMENT -- אנחנו מתעסקים בעולם של סיכונים, יש סיכון של חדירה,
צריך להוריד אותו.לשם כך בונים בקרות, את הבקרות האלה צריך להצדיק. מציגים
את הסיכון במונחים כספיים

צריך לזהות סיכונים צריך לסווג אותם : identification, classification,
ownership

שלושה אלמנטים עיקריים בהערכת סיכון

1. לזהות

2. לנתח סיכון

3.להעריך סיכון- להבין כמותית או איכותית -- לא לכל סיכון אפשר להדביק
מחיר. (דוגמת ההוריקן בפלורידה- אני יודע לקמט אותו במספר כמה נזק יהיה
לי).

[APT]: התקפה שהיא לאוו דווקא התקפה ספציפית, זה אנשים שיושבים
ברשת בעלי מטרה בד\"כ מטרה אסטרטגית או מדינות או ארגוני טרור, ביון
וכו\'..

[Risk evaluation]: אם הסיכון גבוה ממה שאני מוכן לקבל אני
צריך להוריד אותו.

[Risk treatment]: ביטוח סייבר.

התמודדות עם סיכונים:

1. Risk mitigation- אבטחת מידע מתחילה לפעול. אני רוצה להפחית את הסיכון
כדי להכניס אותו לתאבון הסיכון שלי.

2. Risk acceptance- נופל בתאבון הסיכון שלי ואני מקבל אותו כפי שהוא. חי
עם הפסד של חצי מיליון דולר בפלורידה מוכן לקחת את הסיכון ולא עושה
כלום, אם יקרה- אספוג חצי מיליון דולר.

3. Risk transfer- ביטוח, אם יש סיכון למשהו עושים ביטוח. זה מקביל
לinsurance.

4. Risk avoidance - הימנעות מהסיכון- הבנקים לא עוברים לגיבוי מידע על
ענן, הם נמנעים מהסיכון. (זה אולי יותר זול וכדאי אבל הם מפחדים להיכנס
בכלל למצב שיש בו את הסיכון) מוותרים על הפעילות, הם לא מתמודדים עם
הסיכון אבל הם נמנעים.

Justifying controls: מערכות שבדקות חיצונית את הספקים. אני רוצה להדליק את
המערכת הזאת, אני צריך להודיע להנהלה שיש פה סיכון, צריך להעריך את הספקים
האלה. צריך לקמט את הסיכון

**[control בקרות גישה, (חשוב למבחן)]**

בקרות גישה למידע, למערכות. הסיכון- גישה של מישהו לא מורשה -- חדירה.

שמים סיסמאות, זה דוגמה אחת לבקרת גישה. IAAA

1. זיהוי (identify)

2. אימות (authentication)

3. הרשאות (authorization)

4. אחריותיות Accountability))

[MACS]- מנדטורי- אומר שאני הגדרתי דפוסים של למי מותר להיכנס
למערכת ולמי תהיה גישה. מנדטורי אין גמישות.

[DACS]- דיסקרשינרי- אין לי שיקול דעת, אני מאפשר למשתמש לבקר
או לשנות את הגישה שלו למערכת. יש גישה לשיקול הדעת של המשתמש.

Subject מי שפונה למערכת

Object המערכת שאליה אני פונה

Multi factor authentication. - תהליך אימות המשלב בין כל
הפקטורים.דוגמאות: כרטיס אשראי, טלפון נייד, מחולל סיסמאות.הבעיה בשיטה זו
היא הפגיעה בusability של המשתמש.

False positove- מישהו שמותר לו, מישהו \"חיובי\", בטעות דחיתי מישהו שמותר
לו

False negative- בטעות אפשרתי למישהו שאסור לו.

Pocket filtering- דוגמה- רשת של רשימות IP שאני לא מעונין שיסתובבו ברשת
שלי.

Application firewalls- בנו firewalls שמונע כניסות, הוא יושב בשכבת
האפליקציה, זה יושב בשכבת אפליקציה כי אני נותן לו להיכנס לרשת אבל אני לא
נותן לו להשתמש באפליקציה מסוימת.

Proxy- בעברית זה מיופה כוח, כשאני בונה איזשהו שרת שהוא כביכול מיופה
כוחי, הכוונה שאם הגישה עד היום הייתה לשרת שלי, אני רוצה לבנות מיופה כוח-
מחשב אחר שבו אני מאפשר גישה של מחשבים אחרים. הוא מרוחק ממני, (כמו ש.ג.
במכללה, אבל אם אני ישים אותו מרוחק אז יגיעו למכללה רק כאלה שעברו אותו).

**Remote access** - מישהו שרוצה להתחבר מרחוק.

רדיוס -- אני מחבר אותו לשרת חיצוני ששם הוא מזדהה הוא אומר מי הוא, הרבה
דרכים לבוא ולהגיד עכשיו תזדהה מול השרת, זה השרת שבודק אותך מותר לך או
אסור לך להיכנס.

Kerberos - קודם כל אני ניגש ל- Kerberos הזה ואז אני מתחיל להסתובב ומקבל
כרטיס, עם הכרטיס הזה אני מקבל גישה ל- Kerberos נוספים לאפליקציות נוספות.
(תרגום לעברית. Kerberos מתן אימות צד שלישי מאובטח שימוש בהצפנת מפתח
סימטרי כדי לאמת משתמש בודד למשאבי רשת שונים שומר מסד נתונים המכיל מפתחות
פרטיים של לקוחות/שרתים מורכב משלושה שירותים מתקשרים: שרת אימות (AS) מרכז
לתפוצת מפתחות (KDC) שירות הענקת כרטיסים של Kerberos (תכנית השירות)(.

יתרונות קרברוס-

1. סטנדרט

2. סיסמאות לא עוברות ברשת

3. אימות הדדי של client ו- service

4. שימוש חכם במפתחות הצפנה.

Seseme- דומה מאוד ל Kerberos אבל משתמשים יותר באירופה.

VPN- virtual private networks- רשת פרטית וירטאלית -- יתרון: אפשר לבקש
הצפנה, ואפשר להצפין גם את הpocketים. החיבור עצמו מוצפן -- חיבור מוצפן
אומר שמי שאין לו את המפתח לא יכול להיכנס בכלל.

[Intrusion detection and prevention system] IDPS
[-] סוג של בקרות שתפקידן להוריד את רמת הסיכון חדירה מבוצעת
כשהתוקף מנסה להשיג כניסה ומתנהג בצורה לא רגילה,אני בונה מערכות שמתחילות
לחפש התנהגויות לא רגילות במערכת

signature - החתימה- ההתנהגות הנורמלאית.

Detection- רק מתריע, לא זרקתי אותו מהרשת אני רק נותן התראה פנימית ואז
אפשר לעקוב אחריו, אני מפתה את ההאקר להיכנס לאיזה חדר ואני \"מטפל\" בו
שם,

IDS זה קיצור של intrusion detection system שכן הוא רק מזהה את התהליכים
האלו ואילו ה IPS הוא הכלי האקטיבי, מאתרת פעילות חשודה כמו זיהוי חדירה
היא מגיבה לאיום על ידי שינוי הגדרות ה-FIREWALL והתקני אבטחה נוספים בזמן
אמת כדי להקשות או לסכל את ניסיון החדירה,ולכן הפירוש שלו intrusion
detection system.

יש סוגים שונים של IPS IDS --אני יכול לשים אותם בכניסה לרשת, כמו
FIREWALL-ואז כל התנהגות חריגה בכניסה לרשת אני יאתר אותה, אני גם יכול
לשים את זה ברמת השרת, ברמת המחשב, במרמת הPOST (תחנת קצה)

חסרון HOST IPS- הרבה מאוד התקנות, עדכונים, צריך לחזק לשדרג לראות שזה
עובד, אם יש לי אלף מחשבים ואני רוצה לשים אלף IPS IDS אני צריך לשים אלף
התקנות ואני צריך גם לשדרג. בנוסף לפעמים זה לוקח הרבה מקום בזיכרון

[ANOMALY BASES]- בגישה שאני בונה מה נורמאלי לא נורמאלי,
א-נורמאליה- התנהגות לא תקינה אני מתחיל לאסוף סטטיסיטיקות שמזהות התנהגות
לא תקינה ברשת, סוכם (סכום מספרי) כמה פאקטים עברו, כמה פאקטים מיועדים לIP
מסוים. כשיש התנהגות חריגה מבחינתי זה א-נומאליה. (מזהה גם התקפות חדשות)

Honeypot מלכודת דבש, יש לי יכולת לזהות מישהו עם תנועה חריגה מישהו שנכנס
בשעה לא סבירה אני עוד לא מאשים אותו אני רק רוצה לבדוק אז אני מנתב אותו,
אני מפתה אותו לכיוון איזה אדמינסטרטור, למעשה ליקטתי אותו והכנסתי אותו
לחדר סגור, הרעיון לא להתעמת איתו. הרעיון לערב את רשויות החוק שיפתרו את
זה. אם ההאקר לא זיהה שהוא נתפס, זה מעולה אני מחפש לראות את ההתנהגות שלו,
כדי למנוע איום.

DLP DATA LEAKAGE PROTACTION - מערכות למניעת דלף מידע פועלות לזיהוי,
ניטור ואבטחה של מידע המועבר בתקשורת והמצוי במאגרי מידע וביחידות הקצה,
באמצעות ניתוח עמוק של תוכן ותוך שימוש בממשק ניהול מרכזי, מערכות שמתקינים
אותם בדרך כלל לטיפול במיילים.

קריפטוגרפיה - עוסקת בהסוואה מכוונת של מסרים ופענוח מכוון של מידע מוסווה
, הרעיון לבנות אלגוריתם שמערבל מידע באמצות מפתחות חיצוניים באמצעות כלים
חיצונייים אני מערבל מידע כדי שהוא לא יהיה קריא.

plain Text -הטקסט לפני ההצפנה.

cipher Text הטקסט מוצפן.

סוגים של הצפנות:

- טרנספוזישן -- אני לוקח טקסט ומשנה מיקום יש לוגיקה כלשהי.

- סבסטיטיושן---אני מחליף אותיות, i הפך להיות n , B הפך להיות E,
כשמבינים את השפה מתחילים בהחלפה זה הופך להיות פשוט.

- בלוק הצפנה **Block cipher** - מחלקים את הטקסט לבלוקים ומטפלים ברמת
הבלוק עם המפתח

- וואן טיים פד **One time pad** - לסיסמא או מפתח שמחולק פעם אחת ומושמד
המפתח הזה מיוצר באופן רנדומאלי לשני הצדדים צריך להיות אותו מפתח,
אורך המפתח כגודל הטקסט

ZERO KNOWLEDGE- אני עכשיו צריך לשכנע משתמש באיזה שהיא טענה בלי שאני
העברתי לו מידע בכלל.

דוגמה להצפנה סימטרית - אניגמה:

מכונה שימשה את הגרמנים במלחה\"ע השנייה. למעשה, מקלדת שכאשר הוקלדה בה
האות A החזירה את האות G. במידה והטקסט המוצפן הוקלד במכונה זהה היא תחזיר
חזרה מ G את A. משמע, כדי לפענח היה חייב עותק של המסר המוצפן ומכונה זהה
לחלוטין.

א-סימטרית- לכל אחד שני מפתחות- מפתח ציבורי (קוראים לו ציבורי כי אני רוצה
שכולם יידעו אותו) אני מצפין באמצעות הציבורי של הצד השני, הצד השני פותח
באמצעות הציבורי והפרטי שלו. המפתחוות הם קריטיים כי עם האקר שם את היד על
המפתח אז הוא יודע לפענח את ההצפנה. המפתח הפרטי צריך להיות משהו לא חשוף-
שמור והוא קריטי. נכנסס האלמנט של גודל המפתח- מינימום 128 ביטים, יש
מפתחות גם של 512 ביטים יכול לקחת שנים לפצח אותם.

**[ענן.]**

IAAS -- Infrastructure as a service -- תשתית בסיס לשירותי ענן -- מקבילה
לשרתים הקיימים

PAAS -- Platform as a service -- פלטפורמה שלמה כשירות

SAAS -- Software as a service -- תוכנה שלמה ומוכנה כשירות. אני לא שם את
האפליקציה שלי אני קונה זכות שימוש (אני לא מפתח אותה, היא אפילו לא שלי)
עבור אפליקציה שיושבת בענן.

PRIVATE -- חלק שלי בענן

PUBLIC- כל האזור (לא רק שלי)

HYBRID- שילוב של שניהם

Simple Mail Transfer Protocol SMTP - משמש למשלוח דואר אלקטרוני בין שרתים
שונים, עד שיגיע לשרת היעד, אך אינו מאפשר למשתמש לשלוף את הודעות הדואר
המיועדות אליו מן השרת.

הנדסה חברתית- מושג מתחום האבטחה ובפרט בתחוום אבטחת המידע, שמשמעותו ניצול
של תכונות פסיכולוגיות של האדם אשר עשויות להביא אותו לציית לבקשותיו של
הפורץ.

התמודדות עם הנדסה חברתית- מודעות. אני צריך ליידע את כל הגורמים החברה
שבאים במגע עם גורמי חוץ, לא לתת מידע גם אם נשמע לי סופר נחוץ. העלאתי את
המודעות אנשים פחות חשופים ופחות נותנים מידע.

דוגמה: אפליקציה של חברת תעופה יש בה באג, (בכל המערכות יש באגים) הבאג הזה
מאפשר בחמש שורות של קוד לקבל מידע על נוסעים ב24 שעות. חסר לו רק כרטיס
אשראי, פה נכנסת ההנדסה החברתית- גם זה עושים על ידי שליחת הודעה למספר
הטלפון של הלקוח בהודעה כתוב שדרג טיסה ב20 דולר, מי לא ישדרג ואז הלקוח
שולח את מספר כרטיס האשראי בקישור שצורף בהודעה חוזרת.

Fishing פישינג --היא שיטת הונאה מהנפוצות ביותר לחשיפת מידע אישי ממשתמשים
בשירותי רשת. הפורץ יוצר זיוף דיגיטלי (טופס כניסה למערכת, מייל מגורם
\"מוכר\", אתר דמה וכיוצ\"ב), בעל מראה דומה למערכת המידע האמתית. המשתמש
מזין לתומו את הפרטים האישיים והסיסמה לתוך האתר המזויף. הנתונים שהוזנו
נשלחים לשרת שנמצא בשליטתו של הפורץ, המקבל גישה מלאה לחשבון משתמש זה. איך
ממשמים פישינג טוב? להסתיר URL , לקנות URL ממש קרוב לחברה נניח לגוגל זה
GOO.GL אז גוגל תקנה את הכתובות הכי קרובות אליה כדי למנוע מהאקרים לפגוע
במשתמשי גוגל.

Ransomware -- וירוס כופר: מצפינות את קבצי המשתמש באמצעות מפתח אסימטרי,
מתקין קוד זדוני (בד\"כ מגיע מהקלקה על לינק במייל, או פתיחת מסמך
וורד\\אקסל עם מאקרו), סורק קבצים במחשב המקומי וברשת, ומצפין אותם בהצפנה
חזקה, המונעת גישה למסמכים. בכדי לאפשר גישה מחדש לחומר יש לשלם כופר של
כמה אלפי שקלים ויותר, בהתאם למטרה שהוצפנה (אדם פרטי או חברה \\תאגיד).

Buffer Overflow (buffer overrun)

נגרם כאשר תוכנה מנסה לאחסן ב BUFFER (שטח אחסון זמני) יותר מידע ממה שהיא
תוכננה לאחסן Buffers נוצרים להחזיק מידע סופי כלשהוא, לעיתים קרובות מסוג
מסוים של נתונים. אפשרה לתוקף להריץ קוד לבחירתו ולשנות נתונים במחשב
באמצעות שליחת הודעת אימייל.

STUXNET

תולעת מחשב -- וירוס תולעת שהשתילו אצל האיראנים. SCADA צרה צרורה מבחינת
אבטחת המידע. לתולעת יש יכולת לתכנת מחדש את הבקרים.. תולעת ראשונה שהתגלתה
והראשונה שנועדה לפגוע במערכות בקרה תעשייתיות. לתולעת חתימה דיגיטלית --
זה אישור שכביכול זה מגיע מגורם מוסמך. החתימה הדיגיטלית נגנבה משני מפיצים
של חתימה דיגיטלית. צעד שאפשר לתולעת לא להתגלות תקופה ארוכה.

Secure facility

תשתית של החברה אני צריך להגן עליה מבחינה פיזית, להוריד סיכון של איומים
פיזיים. נעזרים באלמנטים טבעיים -- זרימה של מידע של תעבורה גדרות, שערים-
צריך להכניס אלמנטים אמינים של אבטחה פיזית. שומרים, כלבים, מנעולים,
מפתחות, כניסה סגירה ורק אז כניסה, מונטורים אלקטרוניים. מערכות אזעקה חדרי
מחשב חדרי תקשורת כרטיס עובד- אלמנט פיזי שבאמצעותו נכנסים וכו\'..

Chief Information Security Officer CISO -- מנהל אבטחת מידע ארגוני , תחת
CISO יש שני גורמים צלע אחת: שמטפל בכל האיומים- כל הבקרות שדיברנו עליהם
-- הוא מוודא שחומת אש מותקנים כמו שצריך ואם לא איפה צריך לשפר. (תקלות
ומערכות בקרה וכל מה שקשור בתפקוד היום יומי)הצלע השנייה היא צלע
פרוייקטלית (פרויקט זה בקרה כל בקרה זה פרויקט. אני מכניס חומת אש חדשה
צריך לבדוק אותו) ניהול פרויקט מההתחלה עד הסוף.

2 הסמכות משמעותיות: CISSP -- הסמכה בפרטים- להבין תשתיות לבוא מעולם
תשתיות. ההסמכה הכי יוקרתית. ציון עובר 70

CISM- הסכמה קלה יותר מהראשונה -- ציון עובר 56 מי שבא מאוריינטציה ניהולית
ההסמכה הזאת יותר קלה לו.

ACL ACCESS CONTROL LIST - רשימה של למי מותר להיכנס ולמה. טבלת הרשאות
שמתעדכנת כל הזמן.

: PCI DSS תקן

- - -

תקן ISO27002 :

תקן בינלאומי המספק כללים ברורים לניהול אבטחת מידע בארגון.הוא בסיס לתקנים
נוספים שפותחו. התקן דורש מדיניות אבטחה, נכסי מידע, היבטי אבטחה לעובדים
קיימים וחדשיםף הגנת על סביבת ומתקני מחשוב, הקמת מערכות בקרה וניהולן
הטכני, הגבלת זכויות גישה לרשתות, צפיית אירועי פריצה וניהול תגובה הולמת,
אמצעי הגנה שמירה וניהול שחזור בעת קריסה של המידע.

תקן ISO 27799

תקן בינלאומי לאבטחת מידע בתחום הבריאות:מבוסס על תקן כללי (27002) מטרתו
לתת הגנה על מידע רפואי אישי שברשותם.התקן עוסק בשמירת כל המידע הבריאותי,
בריאות אישי הנוגע לאדם שניתן לזהותו וקשור למצבו הפיזי או הנפשי לשרותי
בריאות המסופקים לו.

GDPR - General Data Protection Regulation - האסדרה הכללית להגנה על מידע
היא אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי, מועצת האיחוד
האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד
האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף,
שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה
על הפרטיות.

סוגי בקרות גישה:

Preventive- (מונע) אני רוצה לעצור כל פעילות שהיא לא רצויה או לא מורשית.
(מישהו ניסה להיכנס, מנעתי ממנו להיכנס, לדוגמה firewall מונע כניסה

Detective- (רק מזהה) זיהיתי פעילות חריגה ברשת- מישהו נכנס בשתיים בלילה
על בסיס כקבוע כבר כמה ימים, לא קרה בעבר אני רוצה לדעת למה. תזוזות לא
רגילות ברשת אני רוצה לדעת -- האיתור של החריגה לא בהכרח מנע את ההאקר
להינכס

Corrective -(מזהה ומתקן/מונע) משחזר את האזור שהיה בו בעיה, מזהה ומתקן.

Separation of duty- חלוקת תפקידים -- החלפת עובדים. בשאלות מדברים על
collusion- קנוניה -- שניים שחברו והחליטו לעשות פעולה זדונית לשם כך עושים
Separation of duty. כשאני מדבר על fraud -- מעילה.

defense in depth -- הגנה בשכבות.

(חייו של איש אבטחת מידע -- מנהל סיכונים ובקרות)

Configuration management -- אם התצורה משתנה אני צריך לבוא לעדכן ולראות
בדיוק באיזה תצוגה אני משתמש. אני רוצה להיות כמה שיותר מעודכן ולעדכן כמה
שיותר עדכונים.

Patch management -- פץ\' תיקון תוכנה -- היו אוסף של תקלות -- חברת התוכנה
אוספת באגים פותרת אותם ונותנת לך פץ\' שמתקן את הבעיות שהיו. הפץ\' הזה
מתקן את התיקונים ולפעמים מכניס בעיות חדשות.

Vulnerability management - יש כלים שמרצים היום במערכות -- scanner - אני
יכול לבוא באמצעות כלי מבוקר לראות איפה יש חולשות, סביבה של תשתיות שאני
יודע שיש בהם תשתיות- וגם אני רוצה לראות דברים שחוזרים על עצמם.

SaaS - תוכנה כשירות Software as a Service היא תוכנה המסופקת למשתמש
כשירותים הזמינים באתר הספק.

Cloud- אני העברתי פעילות לcloud אני צריך לראות מה אני צריך לתחזק, זה
הולך ומשתנה -- הולך וגדל מבחינת אבטחת מידע ככל שאני עולה לכיוון הsaas

Google drive -- נחשב saas -- אחראי על אבטחת מידע של התשתית. בענן יש
תשתית. בsaas האחריות היא על הגוף שנותן לך שירותים.

Incident response - IR הוא קיצור של Incident Response והוא מתאר את
התהליך בו צוות הIR צריך להגיב להתקפה \\ פריצה לארגון שכן "תקרית" יכולה
להפוך לפריצה \\ התקפה על הארגון.

Botnets

מנגנון אוטומטי, רובוט רשת. זה הופך מחשבים שונים ברשת לזומבים. המחשב מבצע
פעולות מבלי שהמשתמש ביקש ממנו לעשות אותן. שותלים חתיכת קוד (סוס טרויאני)
שגורמת למחשבים לעבוד בשביל גורמים שונים. נפוץ למקרים של מניעת שירות וגם
משמש למקרים של ספאם.

Men in the middle attack - התקפה שבה ההאקר נכנס באמצע ביני לבין השרת.
מאותו רגע שהוא השתלט על התקשורת והוא מציג את עצמו כשרת אני מתקשר מול
הההאקר, השרת כבר לא יודע שאני מבקש ממנו דברים.

Drp סוגים:

Hot site -- אתר ש\"מחכה לאסון\" -- מוכן לגמרי למקרה של אבטחה שריפה
וכו\'.. מוכן לגמרי לשימוש. (דומה מאוד לmirror רק בלי כל המידע שנמצא
בmirror- זאת אומרת פחות מעודכן מהmirror.

Mirror site- אתר ש\"מחכה לאסון\" - אני משכפל את הנתונים -- אותם מחשבים
אותו מידע אותו גיבוי אני צריך גם לתחזק את זה- זה מיידי לא מרגישים אפילו
שאחד השרתים הלך. -- הכי יקר.

Warm site- חמים- בו יש כמעט הכל בתוך שתיים עשרה שעות מפעילים את החדר
מחשב הזה. כי יש בו פחות אלמנטים וצריך להעביר את המידע או לשחזר אותו ואז
הוא יתחיל לעבוד.

Cold site- אתר עם מיזור רצפה הכל -- רק צריך למלא אותו במחשבים כל מה
שקשור בתקשורת ומערכות, ואז אוכל לעשות בו שימוש זה ייקח הרבה יותר זמן אבל
הוא הרבה יותר זול.

אקספלויט (Exploit) - הוא קטע תוכנה או מידע המנצלים פרצת אבטחה או באג
בתוכנה או בחומרה. מטרת האקספלויט היא לשנות את ההתנהגות המתוכננת של הרכיב
עליו הוא מופעל בהתאם לצורכי המפעיל ולרצונותיו. שימוש באקספלויטים נפוץ על
ידי האקרים למטרות הפעלת קוד תוכנה זדוני