W10 Security הגנה על תחנות קצה

by אלי שלמה · 09/03/2019

סדרת מאמרים של אפשרויות, יכולות והמלצות בהגנה על תחנות קצה מבוססות Windows 10 באמצעות הכלים הקיימים של Windows 10 Enterprise Security.

מאמר הקדמה ראשון של הגנה על תחנות קצה עם Windows 10.

תחנות קצה מבוססות Windows הינם חלק ממגוון התקני קצה אשר מצריכים הגנה ובמקביל להגנה על תחנות קצה מבוססות Windows 10, אנו נדרשים להגן על התקני קצה נוספים כדוגמת מכשירים חכמים, התקני IoT ורכבים.

תחנות קצה מבוססות Windows 10 עדיין דורשות תשומות מלאות והגנה מלאה בגלל שהם עדיין לב המערכת ובגלל שהם עדיין רובד חלש בארגון.

כיום ישנם מגוון אפשרויות להגנה על Windows 10, החל מאנטי-וירוס, מנגנוני Firewall למינהם, הקשחות דינמיות, פתרונות Disk Encryption, זיהוי הגנה והתנהגות בתחנות קצה כדוגמת EDR (או יותר נכון XDR), מערכות EPP ואפשרויות רבות ונוספות של וונדורים שונים של Trend Microm CyberARK, Symantec וכן הלאה.

אם כך מאיפה מתחילים? מה מומלץ? האם צריך להטמיע מערכות חדשות? האם צריך תקציב של 7 אפסים? בקיצור מה עושים? רגע לפני שנעבור על היכולות של הגנה על תחנות קצה באמצעות הכלים של Windows 10 Enterprise Security צריך ללהבין מה חשוב לנו בהגנה על תחנות קצה ולכל ארגון ישנה מדיניות שונה אך העדיין העקרון והשלבים בהגנה הם זהים לכלל הפתרונות.

ישנם המלצות רבות ומסמכי Checklist לכל וונדור והפופולרים שבהם הם של CIS ושל NIST, המועדף עליי הוא של CIS בגלל החלוקה לרמות והירידה לפרטים קטנים. אם נקח את השלבים של הגנה על תחנות קצה נוכל למנות אותם לפי הסדר הבא:

מדיניות ארגונית ונהלים (למשל מדיניות שאינה מתירה Local Admin)
הקשחות מבוססות Group Policy לפי Baseline (תחילה בסיסי ולאחר מכן מתקדם)
עדכוני אבטחה אחת לחודש ועדכונים רגילים אחת לחודשיים כולל מוצרים צד שלישי
מוצרי אבטחה בסיסיים כדוגמת אנטי-וירוס (שאינו מבוסס רק על חתימות)
יישום מוצרי אבטחה מתקדמים כדוגמת XDR, מנגנוני Privilege Access וכן הלאה

סוגי סיכונים Windows 10

כיום ישנם סיכונים ואיומים רבים מול Windows 10 ובלתי אפשרי למנות את כל אותם הסיכונים בגלל כמות הסיכונים ורמת כל סיכון, אך כן ניתן לחלק את סוגי הסיכונים למספר סיכונים עיקריים: חומרה, מערכת הפעלה, אפליקציות ומשתמשים.

חשוב להדגיש כי הגישה להגנה על תחנות קצה צריכה להיעשות עפ"י אותם סיכונים.

screenshot_32

כאשר תוקף מצליח להגיע ולפרוץ רמה מסוימת הוא יכול מאותה פריצה לבצע תקיפה ועקיפה לרמה אחרת ובכך לבצע תקיפה משולבת.

סיכונים ברמת משתמש – החלק החלש ביותר מכל רובדי ההגנה הקיימים, אך במידה ולמשתמש ישנם הרשאות גישה למשאבים מסיומים מתוקף תפקידו כחשבון בעל הרשאות הבעיה חמורה עוד יותר בגלל שמשתמש עלול לבצע פעולות מכוונות או לא מכוונות כאשר חלקן ללא ידיעה שהוא מבצע פעולה שאינה תקינה.
סיכונים ברמת חומרה – פעולות משתמשים וכן םעולות אדמינים מסתמכים על תקינותם של רכיבי החומרה השונים הקיימים במערכת וכן מסתמכים על תהליך הלוגים של המערכת, ולכן ניתן להשפיע על התנהגות המערכת ולשנות אותה. במקרי קצה ניתן לעקוף בתהליך העליה מגנוני הגנה שונים וע"י כך לתת למערכת לעבוד מבלי שתדע שנעשה שינוי.
סיכונים ברמת מערכת הפעלה ואפליקציות – מערכות הפעלה ואפליקציות אינן מושלמות ולכן ישנם באגים רבות ופירצות אבטחה וכל זאת על מנת להשיג מידע ושליטה על המערכת. ביומיום ישנם דיווחים רבים לגבי Zero-Day שונים מול חברות תוכנה אשר מנצלים באגים וגומרים למערכת להיות חשופה בתרחישים שונים.

מכיוון שאנו עובדים עם סוגי חומרה ומעבדים שונים,אנו צריכים בנוסף לכך להגן על שני סוגי הרשאות ספציפיים:

User Mode
Kernel Mode

אם נקח למשל Kernel Mode אז ישנם פעולות שונות שניתן לבצע ברמת מערכת הפעלה, כגון:

גישה לרכיבים שונים כדוגמת דיסק (רכיבי קלט/פלט)
שינוי מבנה נתונים וגישה לזכרון
פקודות מכונה למינהם

בסוגי חומרה ישנים יותר היו ארבע סוגי הרשאות אשר מחולקים על גבי Ring שונים .

הגנה באמצעות Windows 10

האפשרויות והיכולות Security של Windows 10 מספקות הגנה על רובדים שונים החל משינויים ברמת מערכת הפעלה, הפרדה בין מידע עסקי לארגוני ועד מיטיגציה אוטומטית במקרים של מקפות מתקדמות עם XDR.

הגנה על Windows 10 צריכה להיעשות לפי מספר שלבים כאשר כל שלב מחולק למספר רובדי הגנה ויכולות שונות.

שלב ראשון – הצפנה

בשלב ראשון מקשיחים ומצפינים את תחנת הקצה עם אפשרויות כדוגמת Bitlocker ברמת כל הדיסקים הקיימים באותה תחנה,ובנוסף לכך מצפינים כל התקן אחסון חיצוני אשר מתחבר לתחנת הקצה. הצפנות אלה יכולות להיעשות באמצעות דרישות חומרה מותאמות אשר כוללות גם את TPM 2.0.

ישנם דרכים שונות להצפין התקני אחסון ניידים וחיצוניים, בין אם את כל ההתקן החיצוני ברגע שהוא מחובר על תחנת הקצה או רק מידע אשר נשמר מתוך הארגון.

screenshot_30

שלב שני – הגנה על תהליך Boot

מכיוון שתהליך אתחול ועליה של מערכת הפעלה מכיל שלושה שלבים עיקריים (בפועל ישנם חמישה שלבים) אנו צריכים להגן על שלבי אתחול אלה במטרה למנוע שינויים ולמנוע עקיפה של מנגנוני הגנה.

screenshot_31

תהליך אתחול של Windows 10 כולל חמישה שלבי לוגין (Boot Process), אך בהגנה על תהליך Boot מתמקדי בשלושה שלבים עיקריים:

BIOS – כאשר Windows 10 עולה מופעל רכיב חמורה שנותן פקודות מסוימות למעבד ולאחר מכן מבוצעות אתחול לחלק מהרישומים לערכים שנקבעו מראש. במצב זה מתחיל להתבצע קוד ברמת BIOS. תהליך BIOS הינו קבוע אך יכול להשתנות בין סוגי BIOS וחומרה.
OS boot loader – בשלב זה מתבצעת טעינה של מערכת הפעלה בהתאם לאותה מערכת הפעלה, ומתבצעת טעינה ומימוש של NTLDR.
Kernel – השלב שבו מתבצעת טעינה של מערכת הפעלה ומבני נתונים פנימיים, טעינת התקני מערכת ושירותי המערכת. בשלב זה נכנס לפעולה גם תהליך Ntoskrnl.

אז רגע לפני שתהליך של Winlogon.exe (שלב חמישי בתהליך לוגין) נכנס לפעולה אנו נדרשים לבצע הגנה ולמנוע מאותם סיכונים להתממש וישנם אפשרויות רבות, בין היתר:

Maximize Firmware-based Security – ישנם אפשרויות הגנה מתקדמות ברמת Windows 10 על firmware החל ביצוע עדוכנים ועד תמיכה מול אפשרויות חומרה שונות כדוגמת Virtualization- based security או second level address translation וכמובן אכיפה עם פוליסי לכל אותם יכולות חומרה.

On-Chip Cryptography and Security – יכולות TPM אינן חדשות אך בגרסה השניה של TPM ויחד עם Windows 10 ניתן לבצע אכיפה של אוטנטיקציה מבוססת TPM מול אותה חומרה וכן ביצוע הצפנות.

Control the Boot Process – שליטה והתניה בתהליך עליה של Windows 10 עם אפשרות UEFI המאפשר להקשיח את תהליך האתחול של Windows 10 בצמוד לדרישות אבטחה על גבי חומרה או חיתום מערכת או עדכון UEFI רק של Image חתום מראש גם כן.

במאמר הבא והשני של הקדמה נמשיך לסקור את האפשרויות של הגנה על תחנות קצה.