האם תוכנות אבטחת המידע באמת מגנות עלינו?
צוות המחקר Team82 בקלארוטי חושף: כך פרצנו את הגנות ה-WAF של חברות הסייבר המובילות. צוות המחקר Team82 בחברת האבטחה למערכות סייבר-פיזיות, קלארוטי (Claroty), חושף טכניקת תקיפה חדשה למעקף פתרונות ה-WAF המובילים בתעשייה. פתרונות WAF מגנים על יישומים וממשקי API מבוססי ווב מפני תעבורה חיצונית זדונית שמגיעה מהאינטרנט, בעיקר מתקפות XSS ו-SQL Injection.
טכניקת התקיפה שנחשפה על ידי Team82 פועלת כמעקף גנרי לפתרונות WAF הנמכרים על ידי ספקים מובילים בתעשייה, בהם Palo Alto, F5, Amazon AWS, Cloudflare ו-Imperva.
"תוקף המסוגל לעקוף את יכולות סריקת התנועה והחסימה של פתרונות ה-WAF זוכה לקו ישיר לאפליקציה ובהינתן חולשה נוספת יכול לגשת למידע רגיש של לקוחות" אומר נועם משה, חוקר חולשות בקלארוטי. "הדבר הינו קריטי במיוחד בפלטפורמות OT ו-IoT בתשתיות קריטיות, דוגמת תחנות כוח, מפעלי מים, בתי חולים ותעשיות אחרות, שעברו למערכות ניהול וניטור מבוססות ענן. מעקפים כאלה לרוב מכוונים כלפי ספק מסוים על מנת לקבל גישה נרחבת למערכות הללו".
טכניקת התקיפה של Team82 מסתמכת תחילה על הבנת האופן שבו רכיבי WAF מזהים ומסמנים SQL syntax כזדוני, ולאחר מכן מציאת SQL syntax שה-WAF אינו מסוגל לזהות. צוות המחקר מצא כי פתרונות ה-WAF אתרו בקלות התקפות SQLi, אך שילוב JSON ל- SQL syntax הותירה את ה-WAF עיוור להתקפות אלו. JSON הינו פורמט סטנדרטי של חילופי קבצים ומידע, הנמצא בשימוש בדרך כלל כאשר נתונים נשלחים מהדפדפן לאפליקציית ווב. ספקים רבים איחרו להוסיף תמיכה ב-JSON, דבר שאפשר לעקוף את האבטחה שפתרונות ה-WAF מספקים.
- Reflectiz גייסה 22 מיליון דולר, הודות לסטנדרט אבטחה חדש
- קריית סייבר תוקם בדימונה - ההייטק ינוע דרומה?
- המלצת המערכת: כל הכותרות 24/7
כל הספקים במחקרו של צוות Team82 עודכנו לגבי טכניקת ההתקפה החדשנית ועדכנו את הפתרונות שלהם כך שיתמכו ב- JSON syntax בתהליך הבקרה של ה- SQL injection.
Claroty (קלארוטי) מאפשרת לארגונים לאבטח מערכות סייבר-פיזיות משולבות (Cyber-Physical Systems) בסביבה התעשייתית (OT), במגזר הבריאות (IoMT) ובמגזר הארגוני (IoT) – המהווים יחד את האינטרנט המורחב של הדברים (XIoT). הפלטפורמה המאוחדת של קלארוטי משתלבת עם תשתיות הקיימות של לקוחות, כדי לספק מגוון שלם של בקרות לנראות, ניהול סיכונים וחולשות אבטחה, זיהוי איומים, וגישה מאובטחת מרחוק. קלארוטי מגובה על ידי חברות ההשקעה וספקי האוטומציה התעשייתית המובילים והגדולים בעולם, ויש לה מאות לקוחות ארגוניים באלפי אתרים ברחבי העולם.
ChatGPT (גרוק)איך לקבל תשובות טובות יותר מה-ChatGPT?
תנו לצ'אט להכיר אתכם - למה זה חשוב ואיך עושים את זה?
ChatGPT רוב המשתמשים ב-ChatGPT מתמודדים עם אותה בעיה: התשובות שהם מקבלים כלליות מדי, חסרות הקשר אישי ומחייבות הסברים חוזרים בכל שיחה. הם מוצאים את עצמם מתחילים כל דיאלוג מההתחלה, מסבירים שוב ושוב את התחום המקצועי שלהם, את קהל היעד ואת הסגנון המועדף עליהם. התוצאה היא בזבוז זמן יקר וחוויית שימוש מתסכלת.
הפתרון קיים כבר בתוך המערכת, אך רוב המשתמשים פשוט לא מודעים אליו. מדובר בפונקציית ההתאמה האישית (Custom Instructions או Personalization) שמאפשרת להגדיר פעם אחת את הפרופיל המקצועי והאישי שלכם, כך שכל שיחה עתידית תתבסס על המידע הזה.
המדריך המלא להגדרת הפרופיל האישי
הגישה לתפריט ההגדרות פשוטה: בגרסת הדפדפן תמצאו אותו תחת שם המשתמש בצד שמאל, ובאפליקציה דרך כפתור התפריט. בחרו באפשרות Personalization והפעילו את האפשרות Enable customization.
המערכת מציגה שני שדות מרכזיים. בשדה הראשון, "What would you like ChatGPT to know about you", תארו את הרקע המקצועי שלכם. כתבו באיזה תחום אתם עובדים, מהו התפקיד המדויק שלכם, מי קהל היעד שלכם, אילו כלים דיגיטליים אתם משתמשים בהם ומהן המטרות העסקיות שלכם. למשל: "אני מנהלת מוצר בחברת פינטק ישראלית, עובדת מול לקוחות עסקיים בינוניים, משתמשת ב-Jira ו-Figma, ומתמקדת בפיתוח פתרונות תשלומים דיגיטליים".
- פי 5 בתשעה חודשים - מרקור שעובדת עם ChatGPT כבר שווה 10 מיליארד דולר
- ציטט את ChatGPT כהוכחה רפואית - מה פסק השופט?
- המלצת המערכת: כל הכותרות 24/7
בשדה השני, "How would you like ChatGPT to respond", הגדירו את סגנון התשובות הרצוי. ציינו את אורך התשובה המועדף, הפורמט (פסקאות רצופות או נקודות), רמת הפירוט הטכני, השפה והטון. דוגמה: "תשובות ממוקדות של 200-300 מילים, בעברית מקצועית אך נגישה, עם דגש על יישום מעשי ודוגמאות קונקרטיות מעולם הפינטק".
ChatGPT (גרוק)איך לקבל תשובות טובות יותר מה-ChatGPT?
תנו לצ'אט להכיר אתכם - למה זה חשוב ואיך עושים את זה?
ChatGPT רוב המשתמשים ב-ChatGPT מתמודדים עם אותה בעיה: התשובות שהם מקבלים כלליות מדי, חסרות הקשר אישי ומחייבות הסברים חוזרים בכל שיחה. הם מוצאים את עצמם מתחילים כל דיאלוג מההתחלה, מסבירים שוב ושוב את התחום המקצועי שלהם, את קהל היעד ואת הסגנון המועדף עליהם. התוצאה היא בזבוז זמן יקר וחוויית שימוש מתסכלת.
הפתרון קיים כבר בתוך המערכת, אך רוב המשתמשים פשוט לא מודעים אליו. מדובר בפונקציית ההתאמה האישית (Custom Instructions או Personalization) שמאפשרת להגדיר פעם אחת את הפרופיל המקצועי והאישי שלכם, כך שכל שיחה עתידית תתבסס על המידע הזה.
המדריך המלא להגדרת הפרופיל האישי
הגישה לתפריט ההגדרות פשוטה: בגרסת הדפדפן תמצאו אותו תחת שם המשתמש בצד שמאל, ובאפליקציה דרך כפתור התפריט. בחרו באפשרות Personalization והפעילו את האפשרות Enable customization.
המערכת מציגה שני שדות מרכזיים. בשדה הראשון, "What would you like ChatGPT to know about you", תארו את הרקע המקצועי שלכם. כתבו באיזה תחום אתם עובדים, מהו התפקיד המדויק שלכם, מי קהל היעד שלכם, אילו כלים דיגיטליים אתם משתמשים בהם ומהן המטרות העסקיות שלכם. למשל: "אני מנהלת מוצר בחברת פינטק ישראלית, עובדת מול לקוחות עסקיים בינוניים, משתמשת ב-Jira ו-Figma, ומתמקדת בפיתוח פתרונות תשלומים דיגיטליים".
- פי 5 בתשעה חודשים - מרקור שעובדת עם ChatGPT כבר שווה 10 מיליארד דולר
- ציטט את ChatGPT כהוכחה רפואית - מה פסק השופט?
- המלצת המערכת: כל הכותרות 24/7
בשדה השני, "How would you like ChatGPT to respond", הגדירו את סגנון התשובות הרצוי. ציינו את אורך התשובה המועדף, הפורמט (פסקאות רצופות או נקודות), רמת הפירוט הטכני, השפה והטון. דוגמה: "תשובות ממוקדות של 200-300 מילים, בעברית מקצועית אך נגישה, עם דגש על יישום מעשי ודוגמאות קונקרטיות מעולם הפינטק".
