היי לכולם

ישנה כוונה לנסות ולתקוף אירגונים ישראלים במספר התקפות (אחת מכוונת ל 7.4.( על מנת לגרום להשבתה של הרשת או לנסות ולדלות מידע מבסיסי נתונים אשר אינם מוגנים כראוי, בשלב זה אנו ממליצים להפעיל את החתימות הבאות במערכות ה-IPS  בכדי להתגונן מהתקפות אלו:

HTTP: Blind SQL Injection - Exploit

HTTP: HTTP HTML Page Not Found

HTTP: Possible HTTP LOIC Denial-of-Service Attack Detected

HTTP: Possible LOIC Get Request Detected

HTTP: Request URI Overly Long

HTTP: SQL Injection - Exploit II

HTTP: SQL Injection - Exploit

HTTP: Anonymous OpMegaUpload Detected

HTTP: Possible Slowloris Denial of Service Attack Detected

כמו כן אנו ממליצים להפעיל Connection Limit Policy הכולל גם Connection Rate וגם Active Connection ולהגביל את שני הערכים למספר שנראה סביר לעבודה תקינה של האתר בהתאם לסביבה שלכם ולהגדיר מדיונות חסימה גיאוגרפית אשר תחסום את כלל הארצות אשר אינן אמורות לגשת לאתרים שלכם (נתמך רק במכונות M-Series בגרסה 7 ומעלה)

אנו גם ממליצים להפעיל את מנגנון ה-Syn Cookie במכונות המגינות על אתר האינטרנט אך יש לסייג מכונות אשר מנתרות גם תעבורת LAN שכן מנגנון זה עלול ליצור איטיות בסביבה זו.

חשוב לבדוק אם קיימות התראות לחתימות אלו בטרם הפעלת חסימה כי במקרים מסויימים יתכן שהאתר יעבוד בצורה שתגרום לזיהוי שגוי, עם זאת אנו ממליצים לבצע שינוי באתר עצמו כך שלא יהיו התראות שווא לחתימות אלו ולא לבטלן.

אנו ממשיכים לנתח מידע נוסף שהתקבל על ידינו ובמידה ויהיו המלצות נוספות אנו נודיע בהמשך.