למה משתמשי אורח הם הסיכון הכי לא מדובר בארגון
שיתוף חיצוני הוא מנוע עסקי. אתם חייבים לעבוד עם ספקי IT, מפתחים, רואי חשבון ומשרדי עורכי דין. בפועל זה אומר Teams, SharePoint, OneDrive וקבצים רגישים שיוצאים החוצה. הבעיה היא שמנגנון ההזמנות עובד מצוין, אבל מנגנון הסיום כמעט לא קיים. מיקרוסופט עצמה מזהירה שחשבונות אורח מצטברים, הופכים ללא פעילים, ונשארים כשטח תקיפה שקל לנצל. אפשר לראות את זה בהנחיות שלה לניקוי חשבונות אורח ישנים.
המסלול הקלאסי לאירוע: לא אקספלויט, רק גישה שנשכחה
לתוקף יש זהות. לפעמים זו סיסמה שדלפה, לפעמים פריצה לספק, לפעמים התחזות במייל. ברגע שיש לו חשבון אורח פעיל אצלכם, הוא פועל כמו משתמש לגיטימי: נכנס לקבצים, בודק צוותי Teams, מחפש חשבוניות וחוזים, ואז מתקדם לעוד הרשאות דרך שיתוף פנימי או לינקים פתוחים. אם אין לכם מדיניות שמקשיחה גישת אורחים ומפקחת עליה, אתם מגלים את זה רק כשכבר יש נזק.
חמש החלטות מדיניות שמקטינות סיכון כבר השבוע
- מי רשאי להזמין אורחים קבעו שרק קבוצת בעלי תפקיד יכולה להזמין משתמשים חיצוניים.
- אילו דומיינים מותרים הגבילו שיתוף לדומיינים מאושרים בלבד. מיקרוסופט מספקת יכולת רשמית להגבלת שיתוף SharePoint ו OneDrive לפי דומיין.
- MFA חובה לאורחים המדיניות הנכונה היא לדרוש אימות נוסף גם עבור אורחים, בהתאם להמלצות Zero Trust של מיקרוסופט לגישת אורחים.
- הרשאות מינימום ספק לא מקבל מנהל מערכת קבוע. משתמשים ייעודיים וקבוצות לפי פרויקט.
- לינקים אנונימיים הם חור בטלו שיתוף אנונימי, קבעו תוקף ללינקים, והעדיפו שיתוף מזוהה שמותיר עקבות בלוגים.
סוף פרויקט הוא אירוע אבטחה
הגדירו לכל ספק תאריך סיום גישה, והארכה תתבצע רק אחרי אישור מחדש. בסיום, הסירו את האורח מהקבוצות ובטלו לינקים ששותפו החוצה.
ניטור והתרעות: כאן SIEM SOC עושה את ההבדל
מדיניות חזקה לא שווה הרבה בלי ראות. אתם צריכים לדעת מתי נוצר אורח חדש, מתי השתנו הרשאות, ומתי יש הורדה מאסיבית של קבצים. זה מה שאנחנו עושים במסגרת שירות SIEM SOC: איסוף לוגים, ניתוח אנומליות והתערבות בזמן אמת. כשמוסיפים לזה מודיעין סייבר שמתריע על דליפת זהויות, מקצרים את הזמן בין חשיפה לבין תגובה.
שיתוף קבצים בלי DLP הוא הימור
ב Microsoft 365 קל לשתף בטעות תיקייה שלמה או קובץ רגיש עם גורם חיצוני. שכבת מניעת דלף מידע DLP מוסיפה כללים שמזהים מידע רגיש, חוסמים שיתוף לא מאושר, ומאלצים תהליך אישור לפני שמידע יוצא החוצה.
אל תסתפקו בהגדרות ברירת מחדל
כדי לא לנחש, כדאי להשוות את ההגדרות שלכם ל Baseline חיצוני. CISA מפרסמת קווי הקשחה ל Microsoft 365 כחלק מיוזמת SCuBA. לעיתים בדיקה כזו חושפת פערים קטנים שהופכים לכאב ראש גדול.
אל תשכחו את השאלה שהכי כואב לשאול: מה יקרה אם נצטרך לשחזר הרשאות
אירועי ענן לא נגמרים רק בקבצים. לפעמים נופלים על קבוצות, הרשאות ותצורות זהות. קראו את Entra ID לא מגובה והכופרה יודעת את זה, ואז המשיכו ל המדריך המעשי לגיבוי Microsoft 365 ו Google Workspace. מבחינתנו זו אותה תמונת מצב: שליטה בגישה היא חלק מהשרידות.
צק ליסט של 60 דקות למנהל IT עסוק
- הוציאו רשימת אורחים פעילים והצליבו מול פרויקטים קיימים.
- הגדירו דומיינים מותרים לשיתוף קבצים והפסיקו שיתוף אנונימי.
- הפעילו MFA חובה לאורחים והקשיחו מדיניות כניסה.
- הגדירו ביקורת גישה תקופתית להסרה אוטומטית של אורחים לא פעילים.
- בנו התרעות ללוגים של יצירת אורחים, שינוי הרשאות והורדות חריגות.
איך מתחילים בלי לנחש
לא בטוחים כמה דלתות חיצוניות יש לכם. התחילו מ סקר סיכונים שממפה שיתוף חיצוני, זהויות והרשאות בפועל. משם בונים שכבות הגנה בצורה מסודרת: אימות MFA, מדיניות שיתוף, DLP, וניטור. כל המעטפת נמצאת בדף הגנת הסייבר של 010.
השורה התחתונה שיתוף חיצוני לא חייב להיות סיכון, אבל הוא חייב להיות מנוהל. מי שלא מנהל אורחים, מנהל משברים.
מקורות מומלצים להעמקה חיצונית: Access Reviews לאורחים, ניקוי אורחים לא פעילים, הגבלת שיתוף לפי דומיין, Baseline של CISA ל Microsoft 365, ניהול סיכוני שרשרת אספקה לפי NIST.
