במהלך השנים האחרונות אנחנו ב־M-Challenge נתקלים שוב ושוב באותו דפוס:
עסק שעובד שנים בשקט, ואז בוקר אחד טלפון מוקדם. מחשבים מבולגנים, קבצים שנמחקו, לפעמים גם הדפסות מוזרות מהמדפסת.
כמעט תמיד, החוט המקשר ברור: תוכנת גישה מרחוק שהותקנה במצב Unattended.
תוכנות כמו AnyDesk או TeamViewer הן כלים מצוינים, אין ויכוח. הבעיה מתחילה כשמתקינים אותן עם סיסמה קבועה, בלי אימות רב־שלבי, ובלי בקרה אמיתית מי מתחבר ומתי.
מה זה בעצם Unattended Access
מדובר במצב שבו אפשר להתחבר למחשב מרחוק בלי שמישהו בצד השני מאשר את החיבור בזמן אמת.
נוח. מהיר. מסוכן.
מרגע שהוגדרה סיסמה חלשה או שנפרצה סיסמה קיימת, המחשב פתוח לחלוטין.
לא צריך פישינג מתוחכם, לא צריך קובץ מצורף. מספיק סריקה אוטומטית ברשת שמאתרת מחשבים עם AnyDesk פתוח.
למה זה כל כך מסוכן
גישה כזו עוקפת כמעט את כל מנגנוני ההגנה הקלאסיים:
-
אין צורך בסיסמת משתמש Windows
-
אין צורך בהרשאות דומיין
-
אין צורך באישור אנושי
-
ברוב המקרים אין לוגים שמישהו באמת בודק
התוקף נכנס כמו משתמש לגיטימי. מוחק קבצים, משתלט על שולחנות עבודה, מתקין נוזקות נוספות ולעיתים ממשיך משם לרשת הארגונית כולה.
טעויות נפוצות שאנחנו רואים בשטח
-
התקנה “זמנית” שנשארת שנים
-
אותה סיסמה על עשרות מחשבים
-
חוסר מוחלט ב־MFA
-
חשיפה ישירה לאינטרנט בלי הגבלת IP
-
מחשבה מוטעית ש"אנטי וירוס כבר יגן"
איך עובדים נכון עם גישה מרחוק
ההמלצה שלנו ברורה:
-
לא מתקינים AnyDesk או TeamViewer במצב Unattended כברירת מחדל
-
אם חייבים, אז רק עם MFA חזק
-
הגבלת גישה ל־IP ידועים בלבד
-
ניטור חיבורים ולוגים
-
העדפה לפתרונות ארגוניים מנוהלים עם בקרת הרשאות
ובעיקר, להבין שגישה מרחוק היא גישה מלאה. אין דבר כזה “קצת מסוכן”.
השורה התחתונה
רוב מקרי החדירה שאנחנו פוגשים לא התחילו בפרצת Zero-Day, אלא בהחלטה נוחה אחת שנראתה תמימה.
גישה מרחוק לא מנוהלת היא אחת מנקודות הכשל הקלות והכואבות ביותר בארגון.
אם יש לכם ספק, כנראה שכדאי לבדוק עכשיו ולא אחרי הטלפון של 07:00 בבוקר.
M-Challenge
אבטחת מידע לא עושים בדיעבד.