שאלות ותשובות לגבי NAC ו-EDR
תחנות עבודה חשופות למגוון איומי סייבר הקשורים לשימוש העובד בעמדה, להגדרותיה ולקישורה לרשת הארגונית ולאינטרנט. על מנת לצמצם את איומי הסייבר, בחרה האוניברסיטה בפתרונות המאפשרים רק למחשבים, עמדות ורכיבי רשת מורשים ומאומתים מול אגף מחשוב וטכנולוגיות המידע (להלן NAC ו-EDR) והתקנתם על כל מחשבי הקמפוס. מחשבים שלא יהיו מותקנים בהם מערכות ה-EDR וה-NAC עד ה-30.5.2022 ינותקו מהרשת הקווית. בדף זה ננסה לתת מענה לשאלותיכם
אז מה זה בעצם NAC/EDR ולמה צריך את זה?
NAC הוא קיצור של Network Access Control - זוהי מערכת המאפשרת או מונעת גישה לרשת הארגונית של עמדות ותחנות קצה, התקני רשת (לדוגמא: מצלמות IP), כל זאת מתבצע ע"י תחקור התחנה או העמדה וביצוע אכיפה מול מדיניות אבטחת המידע (Policy) אשר שנקבעה מראש.
המערכת מבצעת בדיקה שוטפת של מנגנוני האבטחה בכל המחשבים וציוד הקצה המחוברים לרשת האוניברסיטה ללא פגיעה בפעילות השוטפת של המשתמש.
המערכת מוודאת כי מדיניות האבטחה שנקבע באוניברסיטה מתממשת על מחשב הקצה.
הבדיקה או התחקור מול מערכת ה NAC, מתבצעים ע"י התקנת Agent / סוכן הנקרא Connector Secure אשר יותקן בכל המחשבים ובכול מערכות ההפעלה: Windows, Mac ו-Linux.
הסוכן של ה-NAC מאפשר לזהות מידית סיכוני אבטחה באותה תחנה או עמדת קצה הקשורים למערכת ההפעלה, ולטפל באירוע בזמן אמת.
EDR הוא קיצור של Endpoint Detection Response - מערכת אשר מנטרת את פעילות העמדות והשרתים בארגון. במידה ומזוהה פעילות זדונית נשלחת התראה ובאפשרותה אף לטפל באירוע.
המערכת מבצעת בדיקה שוטפת של התעבורה, התהליכים וההתנהגות של תחנות הקצה ברמת המעבד, ללא פגיעה בפעילות השוטפת של המשתמש.
המערכת מוודאה כי תחנות הקצה באוניברסיטה בטוחות וכי לא מתקיימת עליהן פעילות זדונית.
הניטור מול מערכת ה-EDR מתבצעת ע"י התקנת Agent/סוכן הנקרא CrowdStrike Falcon Sensor אשר יותקן בכל המחשבים ובכל מערכות ההפעלה כולל Windows, Mac ו-Linux.
הסוכן של ה-EDR מאפשר לזהות מידית סיכוני אבטחה באותה תחנה או עמדת קצה הקשורים למערכת ההפעלה, ולטפל באירוע בזמן אמת.
האם התוכנות מעמיסות על משאבי המחשב?
התוכנות הותקנו ונבדקו במשך מספר חודשים במחשבי יחידת אבטחת מידע ואגף טכנולוגיות המידע של האוניברסיטה, וכן בוצע פיילוט על כ-200 מחשבים בפקולטה, כולל מעבדות מחקר, ונמצאו תקינים ויתרה מזאת צורכים מעט מאוד זיכרון וכח עיבוד ולכן הן אינן מעמיסות או מאטות את המחשב.
על אלו מחשבים צריכים להתקין אותם?
המערכות צריכות להיות מותקנות על כל מחשב הנקנה מתקציב אוניברסיטה המחובר לרשת הקווית האוניברסיטאית באמצעות כבל רשת.
אנו מדגישים שאין צורך להתקין:
- במחשבים הנמצאים בבתים בלבד.
- במחשבים המתחברים על הרשת האלחוטית בלבד.
- מחשבי סטודנטים פרטיים*.
*חשוב לחדד כי מחשבים אלו אינם אמורים לעבוד על הרשת הקווית לפי נהלי האוניברסיטה, אלא לרשת האלחוטית בלבד. על כן, אין צורך להתקין בהם את תוכנות ה-NAC ו-EDR. שימו לב, במידה ותבחרו בכל זאת להתקין את התוכנות הנ"ל, על מנת להמשיך להיות מחוברים ברשת הקווית, עלולה להיות לכך השפעה כלשהי בגלישה בבית ובשל הגדרות הארגון, ולא ניתן יהיה להסיר את התוכנה. רק צוות היחידה לאבטחת מידע יכולים להסיר את התוכנות, ואנו לא נוכל לסייע בהסרתן.
מה עושים עם מחשב שאסור/לא ניתן להתקין עליו את ה-NAC/EDR ועדיין חייב להיות מחובר לרשת הקווית?
במידה וישנם מחשבים כאלה, יש לפתוח קריאה אלינו בכתובת דוא"ל lifeguard@tauex.tau.ac.il
יש לציין בקריאה את הנתונים הבאים:
- שם ראש המעבדה
- שם המחשב
- כתובת ה-IP שלו
- מיקום: בניין וחדר
- האם מחובר לרשת הקווית
- מערכת ההפעלה המותקנת על המחשב
- האם מחובר למכשיר
- סיבת החרגה
מה יקרה במידה ולא אתקין את התוכנות?
מחשבים שלא יותקנו בהם ה-NAC וה-EDR תחסם כניסתם לרשת החל מתאריך 30.5.2022.
מה לגבי מחשבים של אורחים?
אורחים המגיעים לקמפוס עם המחשבים האישיים שלהם, יתחברו לרשת האלחוט בלבד.
האם זה ימנע ממני לעבוד עם התוכנות המותקנות במחשב?
לא תהיה מניעה לעבוד עם התוכנות המותקנות אצלכם במחשב, כל עוד לא זוהתה פעילות זדונית במחשב שעלולות לסכן המידע במחשב ואת שאר האוניברסיטה.
האם המערכות אוספות נתונים מחוץ לאוניברסיטה?
אל דאגה, המערכות אינן אוספות שום נתונים של המחשב, אלא רק בודקת אם קיימת פעילות זדונית על המחשב.
כיצד מתקינים את המערכת?
ראו הוראות לפי מערכת הפעלה:
