יצירת עמדת הלבנה Sandbox

בעידן שבו איומי הסייבר הולכים ומתעצמים, יצירת עמדת הלבנה (Sandbox) הפכה לכלי חיוני לארגונים המעוניינים להבטיח סביבה בטוחה ונקייה מאיומים. המאמר מתמקד בשלבים המרכזיים והציוד הנדרש להקמת עמדת הלבנה מאובטחת, החל מהתקנת מערכת הפעלה ותוכנות מקוריות, דרך הקשחת הגדרות מערכת ועד לבידוד מוחלט של המחשב מהרשת.

מדריך זה נועד לספק כלים מעשיים להגנה מפני חדירות ואיומים, תוך שמירה על סטנדרטים גבוהים של אבטחת מידע ובקרת גישה. תהליך זה לא רק מגן על נתוני הארגון, אלא גם תורם ליצירת סביבת עבודה יעילה ומאובטחת.

מה זה Sandbox?

Sandbox (בעברית: "ארגז חול") הוא מושג מעולם אבטחת המידע והפיתוח, המשמש לתיאור סביבה מבודדת (לרוב מדובר על עמדה יחידה המנותקת לחלוטין מהרשת הפנימית והחיצונית) שמאפשרת לבצע בדיקות או להפעיל תוכנות ללא סיכון להשפיע על המערכת הראשית או על נתונים רגישים. השימוש ב-Sandbox נפוץ במיוחד לצרכים כמו זיהוי איומים, ניתוח תוכנות חשודות, ובדיקה של קבצים או קוד בסביבה מוגנת.

העיקרון המרכזי של Sandbox הוא יצירת "מעבדה" שבה ניתן לנסות פעולות בצורה מבוקרת, ללא חשש שהשפעות חיצוניות (כגון חדירת וירוסים או שגיאות בקוד) יזיקו למערכת העיקרית. סביבה זו יכולה להיות תוכנה ייעודית, מכונה וירטואלית או מחשב פיזי נפרד שמבודד לחלוטין מהרשת.

בקרב אנשי סייבר, Sandbox משמש ככלי חיוני לזיהוי מתקפות מסוג Zero-Day ולבחינה של התנהגות תוכנות זדוניות. הוא גם נפוץ בפיתוח תוכנה, שבו מפתחים יכולים לבדוק את הקוד שלהם בסביבה בטוחה לפני שילובו במערכות הפקה.

יתרונותיו המרכזיים של ה-Sandbox כוללים:

1. מניעת זליגת נתונים רגישים.
2. שמירה על יציבות המערכת המרכזית.
3. אפשרות לניתוח תוכנות או קבצים בצורה מפורטת.

טכנולוגיה זו נמצאת בשימוש נרחב בתעשיות כמו בנקים, חברות טכנולוגיה, ארגוני ממשל, וחברות ביטחוניות, שם אבטחת מידע היא בראש סדר העדיפויות.

אבטחת מידע -דגשים

• ביום יום- על העמדה להיות מנותקת לחלוטין מרשת החשמל. חשמל יחובר רק לצורך העבודה בלבד.
• העמדה חייבת להיות Custom Made ולא עמדה עם Brand כמו Dell או Lenovo

רכישות מומלצות- רשימת מכולת

• בתוך העמדה תורכב מגירה עם דיסק HDD נשלף (דיסקים פיזיים מסתובבים ולא Flash) של 2TB

יש לבחור לוח-אם עם יציאות טוריות עבור מקלדת ועכבר, ולקנות מקלדת ועכבר עם חיבורי PS/2 תואמים.

להלן לוח אם עם חיבור PS/2 עליו:

• לאחר התקנת התוכנות (מערכת הפעלה+אופיס+תוכנת ההלבנה) יש לנתק את הדיסק הנשלף, ולהכניסו לכספת שעומדת בתקן.
• את מארז המחשב יש לשים בחדר בו יש נעילה עם כרטיס כניסה בעל הרשאות. עדיפות לחדר בו יש נעילה + מצלמה פעילה 24/7 שתפקח על המארז.

דגשים נוספים

1. ההתקנה והעדכון של תוכנות במחשב יבוצעו אך ורק במשרדי החברה.
2. המחשב לא יחובר לעולם לרשת האינטרנט או רשת פנימית כלשהי. ניתן להיעזר בחוסמי פורט RJ45 ייעודיים.
3. אין לחבר מדיה חיצונית בעלת חיבור USB (או כל כונן חיצוני אחר).
4. אין להתקין תוכנות ממאגרי קבצים קיימים – שרתי תוכנות, אימג'ים (ISO), התקנים ניידים פרטיים וכד'.
5. כלל התוכנות יהיו מקוריות בלבד ויותקנו באמצעות:

• דיסק CD מקורי וחדש (לא בוצע שימוש במחשב קודם) בלבד.
• תוכנה צרובה על גבי CD, שנצרבה במחשב לא מזוהה (לא במחשבי החברה!) ועברה הלבנה.

תוכנות להתקנה

• מערכת הפעלה 10 Microsoft Windows (או גרסה מעודכנת יותר)- דיסק מקורי בלבד!
• אופיס 2013 (או גרסה מעודכנת יותר)- דיסק מקורי בלבד!
• הפעלת התוכנות (אקטיבציה) תתבצע טלפונית (Offline) מול מרכז התמיכה של מייקרוסופט בטלפון 1-800-350-444
• אין להתקין עדכוני Windows Update לרבות עדכוני אבטחה או Service Packs מעבר למגיע בדיסק המקורי. אם יש צורך בעדכונים, יש לצרוב אותם על גבי CD, ולהעבירם בהליך הלבנה.

בקרת משתמשים

1. יש לעשות שימוש בחשבונות משתמשים אישיים בלבד, ולא גנריים כגון User, Admin וכדומה.
2. המשתמש יהיה בעל הרשאות מוגבלות, ללא הרשאות ניהוליות (התקנת תוכנות, שינוי מדיניות וכו')
3. יש להקים חשבון מנהל בעל הרשאות חזקות לטובת טיפול ותחזוקה של המחשב:

הגדרות חשבון מנהל (Admin)

1. כאמור יש להגדיר שם חשבון שונה מהשם הגנרי Admin, Administrator, Root וכו').
2. סיסמה צריכה להיות בת 10 תווים, מורכבת מתווים רגילים (A-Z), ספרות (0-9) ותווים מיוחדים (%5).
3. תוקף הסיסמה: עד 90 ימים.
4. מניעת אפשרות חזרה על 10 הסיסמאות האחרונות.

הגדרות חשבון יוזר (User)

1. יש להגדיר שם חשבון משתמש שונה מהשם הגנרי User, Username, user1 וכו'
2. סיסמה תהיה בת 8 תווים לפחות, מורכבת מתווים רגילים (Aa-ZZ), ספרות (0-9) ותווים מיוחדים (%5).
3. תוקף סיסמא: עד 120 ימים.
4. מניעת אפשרות חזרה על 10 הסיסמאות האחרונות.

פרמטרים נוספים שחשוב להגדיר

1. נעילת חשבון לאחר 5 ניסיונות עוקבים כושלים.
2. משך זמן הנעילה יוגדר למקסימום המחייב שחרור ע"י Admin (בדרך כלל 15 דקות)
3. נעילת מחשב באמצעות שומר מסך מוגן סיסמא לאחר 5 דקות.
4. יש להגדיר כיבוי המחשב לאחר זמן אי פעילות משתמש (לצורך העניין 5 דקות).
5. יש לשמור לוגים על ניסיונות גישה כושלים, עבודה בשעות חריגות ונעילת משתמשים לתקופה של חצי שנה לפחות.
6. ביטול האפשרות להעלאת המערכת ב Safe-Mode.

הגדרות BIOS

1. הגדרת העלאת המערכת (BOOT) מהדיסק הקשיח בלבד (ללא DOK, CD או LAN)
2. ביטול האפשרות להעלאת המערכת דרך כרטיס הרשת PXE
3. ביטול האפשרות של Wake-On-LAN
4. קביעת סיסמה לכניסה ושינוי פרטים ב-BIOS לפי הגדרות סיסמת Admin
5. קביעת סיסמה להפעלת המחשב לפני העלאת מערכת ההפעלה.

לאחר מכן יש להתקין את תוכנת ההלבנה מדיסק CD צרוב.

וידאו: מה זה PXE

פתרון בעיות

במידה ובטעות עשיתם את ההגדרות כולל הסיסמאות, וננעלתם מצד ה-BIOS (לא זוכרים סיסמה), תוכלו לבצע איפוס לבטריה של ה-BIOS לפי ההוראות הבאות:

1. מכבים את המחשב
2. מנתקים את החשמל מהמחשב, וממתינים דקה לפריקת המתח (בדרך כלל נורת חיווי שעל הלוח נכבית)
3. מבצעים פריקת מתח
4. עם מברג פס דק מנתקים את הבטריה מהלוח, וממתינים כ-20 שניות
5. מחזירים את הבטריה חזרה
6. סוגרים את המארז, ומדליקים את המחשב
7. התוצאה: כל הגדרות ה-BIOS התאפסו

סיכום

תהליך יצירת עמדת הלבנה (Sandbox) לצרכי אבטחת מידע הוא תהליך שכיח וחשוב. תהליך זה כולל התקנה של מערכת הפעלה ותוכנות במחשב המבודד מהרשת, תוך שימוש בתוכנות מקוריות בלבד, שנבדקו מראש ונצרבו על מדיה פיזית. המטרה היא להבטיח סביבה מאובטחת ונקייה ממקורות זיהום פוטנציאליים.

בנוסף, מפורטים הצעדים הנדרשים להקשחת הגדרות מערכת, כגון בקרת משתמשים עם הרשאות מוגבלות, סיסמאות חזקות עם תוקף מוגבל, ונעילת מחשב לאחר זמן חוסר פעילות + דגש על הגדרות BIOS המונעות שימוש במדיה חיצונית או פריצות באמצעות רשתות.

לאחר סיום ההתקנות, המערכת נבדקת וננעלת בחדר מאובטח המצויד באמצעי הגנה נוספים, כגון מצלמות מעקב ונעילות פיזיות. תהליך זה נועד ליצור שכבת הגנה חזקה מפני איומי סייבר ולוודא שליטה מלאה (גם פיזית) על גישה למערכת.

בהצלחה