אם יש משהו שמנהלי IT ותשתיות אוהבים, זה אוטומציה של “שגר ושכח”. בסביבה עמוסה שבה אנחנו מנהלים מאות או אלפי Endpoints, הרעיון שתוכנה תדע לעדכן את עצמה באופן עצמאי מול שרתי היצרן נשמע כמו חלום. זה חוסך לנו שעות של התעסקות, סוגר Vulnerabilities ישנים, ומוריד התראות ממערכות הסריקה וה-Compliance הארגוני.
אבל, התקרית האחרונה סביב מנגנון העדכון של Notepad++ מזכירה לנו למה אסור לנו להתעצל. היא חושפת את אחת הבטן הרכות הכי מסוכנות כיום ברשתות ארגוניות. בפוסט הזה אני רוצה להסביר את פילוסופיית העבודה שלי כאיש סייבר ותשתיות: למה אני תמיד אעדיף לקחת שליטה ולבצע פעולת Push אקטיבית של טלאים, מאשר לתת לתוכנות לבצע פעולת Pull או Auto-Update מול האינטרנט.
האנטומיה של התקיפה: איך הופכים תוכנה תמימה לסוס טרויאני?
השיטה של ההאקרים פשוטה ומבריקה, והיא מבוססת על מודל של Supply Chain Attack (מתקפת שרשרת אספקה). תוכנות רבות, מעורכי טקסט פשוטים ועד כלי פיתוח מורכבים, מכילות מנגנון Updater פנימי שפונה לאינטרנט כל כמה ימים כדי לבדוק אם קיימת גרסה חדשה. התוקפים מבינים שקשה מאוד לפרוץ ישירות לארגונים שמוגנים היטב, אז הם תוקפים את שרתי היצרן של התוכנה הקטנה, או פשוט מבצעים חטיפת תעבורה שגורמת למנגנון העדכון בארגון שלכם לחשוב שהוא מדבר עם השרת הלגיטימי, כשבפועל הוא מנותב לשרת Malicious.
ברגע שזה קורה, מערכת העדכון מורידה Payload זדוני. החלק הכי מסוכן כאן הוא שתחנת הקצה שלכם סומכת על התהליך הזה לחלוטין. התוכנה שמבקשת להריץ את העדכון היא תוכנה לגיטימית שהתקנתם ואישרתם מראש. כך התוקפים עוקפים שכבות הגנה שלמות ומקבלים Delivery Channel ישיר, הישר לתוך רצפת הייצור של הארגון שלכם.
הפרדוקס של Zero Trust מול צד שלישי
כאן בדיוק אני מרגיש שאנחנו, כקהילת IT, חוטאים לפעמים למקצוע. כשאני מוביל פרויקטים להטמעת תשתיות Cloudflare Zero Trust בארגונים, העיקרון המנחה והברזל הוא “לעולם אל תסמוך, תמיד תוודא”. אנחנו לא מאמינים לאף משתמש, לאף מכשיר, ולאף רשת, גם אם הם יושבים פיזית בתוך המשרד.
אבל איכשהו, כשזה מגיע לתוכנות Third Party, אנחנו זורקים את כל התפיסה הזו מהחלון. אנחנו משקיעים הון תועפות ומשאבים במערכות EDR מתקדמות כמו SentinelOne או Crowdstrike כדי לזהות התנהגויות חריגות בתחנות הקצה, אבל במקביל מאפשרים לאיזו תוכנת עריכת וידאו או קורא PDF להוריד ולהריץ קבצי Executable ישירות מהאינטרנט בלי שום בקרה מוקדמת? מבחינתי, זה אבסורד גמור.
הסתמכות על Auto-Updaters היא למעשה לעשות מיקור חוץ לאבטחת המידע שלנו, ולהפקיד אותה בידי מחלקת ה-IT של איזו חברת תוכנה עלומה. אם שרת העדכונים שלהם נפרץ, אנחנו נפרצים איתם. אין שום סיבה הגיונית שארגון ששומר על המידע והנכסים שלו יאפשר לכל תוכנה במחשב של העובד “לטייל” לאינטרנט מתי שמתחשק לה ולהכניס פנימה קוד בלתי נבדק.
המעבר ל-Push: ככה נראה ניהול טלאים ריכוזי
התקרית של Notepad++ ממחישה למה גישת העדכונים האוטומטיים חייבת לעבור מהעולם בסביבה העסקית והארגונית. ניהול נכון ומאובטח של תחנות קצה דורש שליטה מוחלטת ואקטיבית בצינור העדכונים. הנה איך נראית ארכיטקטורה נכונה מבוססת Push:
- כיבוי מוחלט של Auto-Updaters: הצעד הראשון והקריטי ביותר הוא להעביר Policy מקיף, דרך ה-GPO או מערכת ה-MDM הארגונית, שמכבה לחלוטין את יכולת העדכון העצמאי של כל התוכנות המותקנות בארגון. התוכנה חייבת לעבוד בדיוק עם הגרסה שאושרה לה, ולא לנסות “להתקשר הביתה” כדי לחפש הרפתקאות.
- Patch Management מרכזי: כל העדכונים חייבים לרדת למערכת ניהול מרכזית אחת מול מקור אמין ומאומת. המערכת המרכזית מבצעת ולידציה לקבצים, בודקת חתימות דיגיטליות וסורקת מול מנועי Anti-Malware לפני שכל תחנה מקבלת אישור לגשת אליהם.
- Staged Rollout וסביבת בחינה: גם כשמגיע עדכון לגיטימי וחשוב, לעולם לא דוחפים אותו מיד לכלל הארגון. האסטרטגיה היא לדחוף את העדכון בפוש קודם כל לקבוצת פיילוט מצומצמת כדי לוודא שאין התנגשויות תוכנה, קריסות או התנהגות רשת חשודה. רק לאחר אישור, אנחנו מבצעים Deployment מדורג לשאר המחלקות.
שורה תחתונה
זה נכון, לעבוד בשיטת Push דורש קצת יותר עבודה הקמתית מצד צוות התשתיות, ויש כאלו שיגידו שזה מעכב עדכוני אבטחה ביום או יומיים לעומת האוטומציה. אבל בעולם שבו מתקפות שרשרת אספקה הן וקטור התקיפה מספר אחת שמפיל חברות, השליטה הריכוזית הזו היא הדבר היחיד שמפריד בינינו לבין כותרת שלילית בעיתון על דלף מידע. כשאני דוחף את העדכון, אני יודע בדיוק מה נכנס לארגון שלי.
איך אתם מנהלים את עדכוני ה-Third Party אצלכם בארגון? האם אתם עדיין מסתמכים על המנגנונים הפנימיים של האפליקציות, או שעברתם למערכת Patch Management ריכוזית שדוחפת עדכונים אקטיבית? אשמח לקרוא את התובנות שלכם ולשמוע על דרכי התמודדות כאן בתגובות.
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.