כדי לחזק את האבטחה והפרטיות של נתוני החברה, אדמינים ב-IT של עסקים בינוניים וגדולים צריכים לפעול לפי השיטות המומלצות הבאות בנושא אבטחה. כדי ליישם כל אחת משיטות העבודה המומלצות ברשימת המשימות הזו, תצטרכו להשתמש בהגדרה אחת או יותר במסוף Google Admin.
אם אין לעסק אדמין ב-IT, יכול להיות שההמלצות שמופיעות ברשימת המשימות בנושא אבטחה לעסקים קטנים (1-100 משתמשים) יתאימו לכם יותר.
הערה: חלק מההגדרות שמתוארות כאן לא זמינות בכל המהדורות של Google Workspace אוהמהדורות של Cloud Identity.
שיטות מומלצות בנושא אבטחה – הגדרה
כדי להגן על העסק שלכם, חלק גדול מההגדרות שמומלצות ברשימת המשימות הזו מופעלות כברירת מחדל.
סופר-אדמינים שולטים בגישה לכל הנתונים של העסקים והעובדים בארגון, ולכן חשוב במיוחד להגן על החשבונות שלהם.
רשימה מלאה של ההמלצות מופיעה במאמר בנושא שיטות מומלצות לשמירה על אבטחה בחשבונות של אדמינים.
אכיפת אימות רב-גורמי
|
|
לדרוש מהמשתמשים לבצע אימות דו-שלבי אימות דו-שלבי עוזר להגן על חשבונות משתמשים מפני גישה לא מורשית במקרה שמישהו מצליח להשיג את הסיסמה שלהם. |
|
|
לאכוף מפתחות אבטחה – לפחות לאדמינים ולחשבונות אחרים בעלי ערך גבוה מפתחות אבטחה הם מכשירי חומרה קטנים שמשמשים לכניסה לחשבון, ומספקים אימות דו-שלבי עמיד בפני פישינג. |
הגנה על סיסמאות
|
|
למנוע שימוש חוזר בסיסמאות באמצעות Password Alert אפשר להשתמש ב-Password Alert כדי לוודא שהמשתמשים לא ישתמשו בסיסמאות הארגוניות שלהם באתרים אחרים. |
|
|
להשתמש בסיסמאות ייחודיות סיסמה טובה היא קו ההגנה הראשון על חשבונות של משתמשים ואדמינים. קשה לנחש סיסמאות ייחודיות. כמו כן, צריך למנוע שימוש חוזר באותה הסיסמה בחשבונות שונים, כמו אימייל ובנקאות דיגיטלית. |
מניעת פריצה לחשבונות ותיקון של חשבונות שנפרצו
|
|
לבדוק את דוחות הפעילות וההתראות באופן קבוע חשוב לעיין בדוחות הפעילות לגבי סטטוס החשבון, סטטוס האדמין ופרטי ההרשמה לאימות הדו-שלבי. |
|
|
להגדיר התראות באימייל של האדמין צריך להגדיר התראות באימייל לגבי אירועים שעשויים להיות מסוכנים, כמו ניסיונות כניסה חשודים, מכשירים ניידים שנפרצו או שינויים בהגדרות שבוצעו על ידי אדמין אחר. |
|
|
להוסיף אימותי זהות למשתמשים צריך להגדיר אימותי זהות למקרה של ניסיון התחברות חשוד. המשתמשים חייבים להזין קוד אימות ש-Google שולחת למספר הטלפון או לכתובת האימייל לשחזור החשבון. לחלופין, הם צריכים לענות על שאלה שרק בעל החשבון יכול להשיב עליה. אימות זהות המשתמש באמצעי אבטחה נוספים | הוספת מזהה עובד כאימות זהות |
|
|
לזהות ולאבטח חשבונות שנפרצו אם אתם חושדים שחשבון מסוים נפרץ, צריך להשעות את החשבון, לבדוק אם יש פעילות זדונית ולטפל לפי הצורך.
|
|
|
לפי הצורך, להשבית את הורדת הנתונים בחשבון Google אם חשבון מסוים נפרץ או שהמשתמש עוזב את החברה, אפשר, באמצעות Google Takeout, למנוע מהמשתמש להוריד את כל הנתונים שלו בחשבון Google. |
 |
למנוע גישה לא מורשית אחרי שעובד עזב את הארגון כדי למנוע דליפות נתונים, צריך לבטל את הגישה של המשתמש לנתונים של הארגון כשהוא עוזב. |
|
|
לבדוק את הגישה של אפליקציות צד שלישי לשירותי ליבה צריך לדעת לאילו אפליקציות של צד שלישי יש גישה לשירותי ליבה של Google Workspace כמו Gmail ו-Drive – ולאשר את הגישה שלהן. קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace |
|
לחסום את הגישה לאפליקציות ברמת אבטחה נמוכה באפליקציות ברמת אבטחה נמוכה לא נעשה שימוש בתקני אבטחה מודרניים כמו OAuth, והן מגבירות את הסיכון לפריצה לחשבונות או למכשירים. |
|
|
ליצור רשימה של אפליקציות מהימנות צריך ליצור רשימת היתרים שמפורטות בה אפליקציות של צד שלישי שיש להן גישה לשירותי הליבה של Google Workspace. קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace |
|
לבקר את הגישה לשירותי הליבה של Google אתם יכולים לאשר או לחסום את הגישה לאפליקציות Google כמו Gmail, Drive ויומן לפי כתובת ה-IP, האזור הגיאוגרפי, מדיניות האבטחה או מערכת ההפעלה של המכשיר. לדוגמה, אתם יכולים להתיר את השימוש ב-Drive לשולחן העבודה רק במכשירים שהם בבעלות החברה במדינות או באזורים מסוימים. |
|
להוסיף עוד שכבת הצפנה לנתוני האפליקציות של המשתמשים אם הארגון שלכם עובד עם קניין רוחני רגיש או פועל בתעשייה מפוקחת מאוד, תוכלו להוסיף הצפנה מצד הלקוח ל-Gmail, ל-Google Drive, ל-Google Meet וליומן Google. |
|
|
להגביל את היכולת לשתף את היומן עם גורמים מחוץ לארגון צריך להגביל את שיתוף היומן עם גורמים מחוץ לארגון להצגת סטטוס פנוי/עסוק בלבד. כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
להציג אזהרה למשתמשים כשהם מזמינים אורחים מחוץ לארגון כברירת מחדל, יומן Google מזהיר את המשתמשים כשהם מזמינים אורחים מחוץ לארגון. כך אפשר לצמצם את הסיכון לדליפות נתונים. צריך לוודא שהאזהרה הזו מופעלת לכל המשתמשים. |
|
להגביל את רשימת המשתמשים שיכולים לשוחח בצ'אט עם גורמים מחוץ לארגון צריך לאפשר רק למשתמשים עם צורך ספציפי לשלוח הודעות או ליצור חדרים עם משתמשים מחוץ לארגון. כך משתמשים חיצוניים לא יכולים לראות דיונים פנימיים קודמים, והסיכון לדליפת נתונים מצטמצם. |
|
|
להציג אזהרה למשתמשים לגבי שיחה בצ'אט עם גורמים מחוץ לדומיין (בגרסה הקלאסית של Hangouts בלבד) צריך להציג אזהרה למשתמשים כשהם מדברים בצ'אט עם אנשים מחוץ לדומיין. כשההגדרה מופעלת, שיחות צ'אט קבוצתיות מפוצלות כשמתווסף לדיון המשתמש הראשון שהוא מחוץ לדומיין. כך משתמשים חיצוניים לא יכולים לראות דיונים פנימיים קודמים, והסיכון לדליפת נתונים מצטמצם. ב-Chat, משתמשים וחדרים חיצוניים תמיד מסומנים כחיצוניים. |
|
|
להגדיר מדיניות להזמנות לצ'אט אתם יכולים לקבוע אילו משתמשים יוכלו לאשר אוטומטית הזמנות לצ'אט בהתאם למדיניות של הארגון לגבי שיתוף פעולה. |
|
|
לעדכן באופן שוטף דפדפני Chrome ו-ChromeOS כדי לוודא שהמשתמשים מקבלים את תיקוני האבטחה העדכניים, צריך לאפשר עדכונים. בדפדפן Chrome, תמיד צריך לאפשר עדכונים. כברירת מחדל, מכשירי ChromeOS מתעדכנים לגרסה העדכנית ביותר של Chrome כשהיא יוצאת. חשוב לוודא שהעדכונים האוטומטיים מופעלים לכל המשתמשים במכשירי ChromeOS. הגדרת מדיניות Chrome למשתמשים או דפדפנים | ניהול עדכונים במכשירי ChromeOS |
|
לאלץ הפעלה מחדש כדי להחיל עדכונים צריך להגדיר את דפדפן Chrome ומכשירי ChromeOS כך שיודיעו למשתמשים שהם צריכים להפעיל מחדש את הדפדפנים או את המכשירים שלהם כדי שהעדכון יחול. אם המשתמש לא מבצע את הפעולה הנדרשת, צריך לאלץ הפעלה מחדש אחרי פרק זמן מוגדר. הודעה למשתמשים לבצע הפעלה מחדש כדי להחיל עדכונים בהמתנה |
|
|
להגדיר כללי מדיניות בסיסיים למכשירי ChromeOS ולדפדפני Chrome צריך להגדיר את כללי המדיניות הבאים במסוף Google Admin:
|
|
|
להגדיר כללי מדיניות מתקדמים לדפדפני Chrome כדי למנוע גישה לא מורשית, הורדות מסוכנות ודליפות נתונים בין אתרים, צריך להגדיר את כללי המדיניות המתקדמים הבאים:
הגדרת מדיניות של דפדפן Chrome במחשבים מנוהלים | מדריך להגדרת אבטחה של דפדפן Chrome לארגון (Windows) |
|
|
להגדיר מדיניות של דפדפן Windows במחשב אם בארגון שלכם רוצים להשתמש בדפדפן Chrome, אבל המשתמשים עדיין צריכים לגשת לאפליקציות ולאתרים ישנים שמחייבים שימוש ב-Internet Explorer, תוסף התמיכה בדפדפן Chrome מדור קודם מאפשר למשתמשים לעבור באופן אוטומטי בין Chrome לדפדפן אחר. כדי לתמוך באפליקציות שמחייבות דפדפן מדור קודם, צריך להשתמש בתמיכה בדפדפן מדור קודם. |
|
|
להשבית את היצירה האוטומטית של פרופילים ב-Currents צריך להשבית את היצירה האוטומטית של פרופילי Currents ציבוריים למשתמשים בארגון. |
|
|
להגביל את האופן שבו משתמשים משתפים תוכן חיצוני מ-Currents וצופים בו לדוגמה, יכול להיות שתרצו למנוע ממשתמשים ליצור תוכן חיצוני או לקיים איתו אינטראקציה. |
בעזרת ניהול נקודות קצה ב-Google אפשר להגן על חשבונות משתמשים ועל נתוני העבודה שלהם במכשירים ניידים, בטאבלטים, במחשבים ניידים ובמחשבים.
רשימת ההמלצות המלאה מופיעה ברשימת המשימות לאבטחה של ניהול מכשירים.
הגבלת השיתוף ושיתוף הפעולה עם גורמים מחוץ לדומיין
|
|
להגדיר אפשרויות או ליצור כללים לשיתוף קבצים עם גורמים מחוץ לארגון אפשר להגביל את שיתוף הקבצים בדומיינים שלכם על ידי השבתת אפשרויות השיתוף או יצירת כללים להרשאות שיתוף (שמאפשרים לכם שליטה מדויקת יותר בשיתוף). כך מצמצמים את הסיכון לדליפת נתונים ולזליגת נתונים. אם נדרש שיתוף מחוץ לארגון בגלל צרכים עסקיים, אפשר להגדיר איך הוא יתבצע עבור היחידות הארגוניות, או להקצות דומיינים ברשימת ההיתרים. הגבלת השיתוף עם גורמים מחוץ לדומיינים המורשים | הגבלת השיתוף עם גורמים מחוץ לארגון | יצירת כללים להרשאות שיתוף להגבלת השיתוף עם גורמים מחוץ לארגון |
|
להציג אזהרה למשתמשים כשהם משתפים קובץ עם גורם מחוץ לדומיין אם מאפשרים למשתמשים לשתף קבצים עם גורמים מחוץ לדומיין, צריך להפעיל אזהרה שתוצג להם בכל שיתוף חיצוני. כך המשתמשים יכולים לוודא שזו הפעולה שהם התכוונו לבצע, והסיכון לדליפות נתונים יצטמצם. |
|
לא לאפשר למשתמשים לפרסם באינטרנט צריך להשבית את הפרסום של קבצים באינטרנט. כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
|
להגדיר אפשרויות גישה כלליות לשיתוף קבצים צריך להגדיר את אפשרות הגישה שמוגדרת כברירת מחדל לשיתוף קבצים כמוגבלת. רק לבעלים של הקובץ צריכה להיות גישה, עד שהוא ישתף את הקובץ. אפשר ליצור קבוצות שיתוף (קהלי יעד) בהתאמה אישית למשתמשים במחלקות שונות. |
|
|
להגביל את הגישה לקבצים לנמענים בלבד כשמשתמש משתף קובץ דרך מוצר Google שהוא לא Docs או Drive (למשל, על ידי הדבקת קישור ב-Gmail), בודק הרשאות הגישה יכול לבדוק אם יש לנמענים גישה לקובץ. צריך להגדיר את בודק הרשאות הגישה לנמענים בלבד. כך אפשר לשלוט בגישה לקישורים שהמשתמשים שלכם משתפים, ולצמצם את הסיכון לדליפות נתונים. |
|
למנוע או להגביל את הסיכון שמשתמשים חיצוניים יוכלו למצוא את החברים בקבוצות של הארגון כדי למנוע ממשתמשים בארגון אחר שמשתמש ב-Google Workspace למצוא את חברי הקבוצות בארגון, צריך לאסור על ארגונים חיצוניים לשתף קבצים עם המשתמשים. לחלופין, כדי להגביל את סוג הסיכון הזה, צריך להתיר שיתוף עם גורמים חיצוניים רק אם מדובר בדומיינים שמופיעים ברשימת ההיתרים. אם משתמשים בהגדרות שיתוף ב-Google Drive: עבור כל יחידה ארגונית שרוצים להגן עליה מהסיכון הזה, צריך לבצע אחת מהפעולות הבאות:
מידע נוסף מופיע כאן: ניהול שיתוף עם גורמים מחוץ לארגון. אם משתמשים בכללים להרשאות שיתוף לצורך שיתוף ב-Drive: כדי להגביל את הסיכון הזה, צריך קודם ליצור כלל להרשאות שיתוף עם ההגדרות הבאות:
מידע נוסף מופיע במאמר יצירת כלל להרשאות שיתוף. בשלב הבא, צריך להשבית את כלל ברירת המחדל שנקרא [ברירת מחדל] משתמשים בארגון שלי יוכלו לשתף פריטים עם אזהרה ולקבל פריטים מכולם. פרטים נוספים מופיעים במאמר בנושא הצגה או עריכה של פרטים של כללים להרשאות שיתוף. |
|
|
לדרוש משותפי עריכה מחוץ לארגון להיכנס ל-Google צריך לדרוש משותפי עריכה מחוץ לארגון להיכנס לחשבון Google. אם אין להם חשבון Google, הם יכולים ליצור חשבון חדש ללא עלות. כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
|
להגביל את המשתמשים שיכולים להעביר תוכן מתיקיות אחסון שיתופי צריך לאפשר רק למשתמשים בארגון שלכם להעביר קבצים מתיקיות האחסון השיתופי שלהם למיקום ב-Drive בארגון אחר. |
|
|
לשלוט בשיתוף התוכן בתיקיות אחסון שיתופי חדשות צריך להגביל אילו משתמשים יוכלו ליצור תיקיות אחסון שיתופי, לגשת לתוכן או לשנות את ההגדרות של תיקיות אחסון שיתופי חדשות. |
הגבלת עותקים מקומיים של נתונים ב-Drive
|
|
להשבית את הגישה למסמכים במצב אופליין כדי לצמצם את הסיכון לדליפות נתונים, מומלץ להשבית את הגישה למסמכים במצב אופליין. כשמסמכים נגישים במצב אופליין, עותק של המסמך מאוחסן באופן מקומי. אם יש סיבה עסקית להפעיל גישה למסמכים במצב אופליין, כדאי להפעיל את התכונה הזו ברמת היחידה הארגונית כדי למזער את הסיכון. |
|
|
להשבית את הגישה ל-Drive מהמחשב המשתמשים יכולים לקבל גישה ל-Drive מהמחשב באמצעות Drive File Stream. כדי לצמצם את הסיכון לדליפות נתונים, מומלץ להשבית את הגישה ל-Drive מהמחשב. אם תחליטו להפעיל את הגישה דרך המחשב, כדאי להפעיל אותה רק עבור משתמשים עם צורך עסקי מהותי. |
שליטה בגישה לנתונים על ידי אפליקציות צד שלישי
|
|
לא לאפשר תוספים ל-Google Docs כדי לצמצם את הסיכון לדליפות נתונים, מומלץ לא לאפשר למשתמשים להתקין תוספים ל-Google Docs מחנות התוספים. כדי לתמוך בצורך עסקי ספציפי, אפשר לפרוס תוספים ספציפיים ל-Google Docs שתואמים למדיניות הארגון. |
הגנה על מידע אישי רגיש
|
לחסום שיתוף קבצים עם מידע אישי רגיש או להזהיר לגביהם כדי לצמצם את הסיכון לדליפות נתונים, צריך להגדיר כללים להגנה מפני אובדן נתונים, כך שיסרקו את הקבצים לאיתור מידע אישי רגיש ויעשו את מה שנדרש כשמשתמשים ינסו לשתף קבצים תואמים עם גורמים מחוץ לארגון. לדוגמה, אפשר לחסום שיתוף עם גורמים מחוץ לארגון של מסמכים שמכילים מספרי דרכון, ולקבל התראה באימייל על כל שיתוף כזה. |
הגדרת אימות ותשתיות
|
|
לאמת אימיילים באמצעות SPF, DKIM ו-DMARC באמצעות SPF, DKIM ו-DMARC, אפשר להקים מערכת לאימות אימיילים שמשתמשת בהגדרות DNS לאימות, לחתימה דיגיטלית ולמניעת זיופים בדומיין. לפעמים תוקפים מזייפים את הכתובת 'מאת' בהודעות אימייל, כך שנראה שהן נשלחו ממשתמש בדומיין שלכם. כדי למנוע את זה, אפשר להגדיר SPF ו-DKIM לכל שידורי האימייל היוצאים. אחרי שמגדירים SPF ו-DKIM, אפשר להגדיר רשומת DMARC כדי לקבוע איך Google ונמענים אחרים יטפלו באימיילים לא מאומתים, שנראה כאילו הם הגיעו מהדומיין שלכם. |
|
|
להגדיר שערי אימייל נכנס לעבודה עם SPF באמצעות SPF אפשר למנוע שליחה של ההודעות היוצאות שלכם לספאם, אבל שער יכול להשפיע על אופן הפעולה של ה-SPF. אם אתם משתמשים בשער אימייל לניתוב אימייל נכנס, חשוב לוודא שהוא מוגדר כראוי עבור Sender Policy Framework (SPF). |
|
|
לאכוף TLS עם דומיינים של שותפים צריך להגדיר את ה-TLS כך שיחייב חיבור מאובטח עבור אימייל אל דומיינים של שותפים (או מהם). |
|
|
לדרוש אימות של השולח לכל השולחים שאושרו כשיוצרים רשימת כתובות של שולחים מאושרים שיכולים לעקוף את הסיווג כספאם, צריך לדרוש אימות. כשאימות השולח מושבת, Gmail לא יכול לאמת שההודעה נשלחה על ידי מי שנראה ששלח אותה. אימות הזהות מפחית את הסיכון לזיופים ולפישינג או מתקפת Whaling. למידע נוסף על אימות השולח. |
|
|
להגדיר רשומות MX כדי שהאימיילים יישלחו בצורה נכונה צריך לקבוע שרשומות ה-MX יצביעו על שרתי הדואר של Google כרשומה בעדיפות העליונה, שתבטיח זרימה תקינה של דואר למשתמשים בדומיין שלכם ב-Google Workspace. כך אפשר לצמצם את הסיכון למחיקת נתונים (בגלל אובדן הודעות אימייל) ולחדירה של תוכנות זדוניות. הגדרת רשומות MX ל-Google Workspace Gmail | ערכים של רשומות MX של Google Workspace |
הגנה על משתמשים וארגונים
|
|
להשבית גישת IMAP/POP תוכנות IMAP ו-POP למחשב מאפשרות למשתמשים לגשת ל-Gmail דרך תוכנות אימייל של צד שלישי. צריך להשבית את הגישה ל-POP ול-IMAP לכל המשתמשים שלא צריכים אותן ספציפית. כך מפחיתים את הסיכון לדליפת נתונים, למחיקת נתונים ולזליגת נתונים. כך אפשר גם לצמצם את איום ההתקפות, כי יכול להיות שההגנות של לקוחות IMAP לא דומות להגנות של לקוחות צד ראשון. |
|
|
להשבית העברה אוטומטית צריך למנוע מהמשתמשים להעביר באופן אוטומטי דואר נכנס לכתובת אחרת. כך מפחיתים את הסיכון לזליגת נתונים כתוצאה מהעברת אימיילים – שיטה נפוצה בקרב תוקפים. |
|
|
להפעיל אחסון כל האימיילים (CRL) אחסון כל האימיילים מבטיח שעותק של כל הדואר שנשלח והתקבל בדומיין שלכם – כולל אימייל שנשלח או התקבל על ידי תיבות דואר שהן לא של Gmail – יאוחסן בתיבות הדואר ב-Gmail של המשתמשים המשויכים. מומלץ להפעיל את ההגדרה הזו כדי לצמצם את הסיכון למחיקת נתונים. אם אתם משתמשים ב-Google Vault, חשוב לוודא שהאימייל נשמר או מוחזק. הגדרה של אחסון כל האימיילים (CRL) | אחסון כל האימיילים (CRL) ו-Vault |
|
|
לא לעקוף סינון ספאם לשולחים פנימיים צריך להשבית את האפשרות של עקיפה של מסנני ספאם כשהשולח הוא משתמש פנימי, כי כתובות מחוץ לארגון שמתווספות לקבוצות נחשבות כתובות פנימיות. על ידי השבתת ההגדרה הזו, תוכלו לוודא שכל האימיילים של המשתמשים יסוננו לצורך זיהוי ספאם, כולל אימייל משולחים בתוך הארגון. כך גם פוחת הסיכון לזיופים ולפישינג או מתקפת Whaling. |
|
|
להוסיף הגדרה של כותרות ספאם לכל כללי הניתוב שמוגדרים כברירת מחדל כותרות ספאם עוזרות למקסם את קיבולת הסינון של שרתי אימייל במורד הזרם, ומפחיתות את הסיכון לזיופים ולפישינג או למתקפת Whaling. כשמגדירים כללי ניתוב כברירת מחדל, צריך לסמן את התיבה הוספת כותרות מסוג X-Gm-Spam ו-X-Gm-Phishy כדי ש-Gmail יוסיף אותן להודעה כציון סטטוס הספאם והפישינג שלה. לדוגמה, אדמין בשרת במורד הזרם יכול להשתמש במידע הזה כדי להגדיר כללים לטיפול בספאם ובפישינג באופן שונה מהטיפול באימייל נקי. |
|
|
להפעיל סריקה משופרת של הודעות לפני שהן נשלחות כש-Gmail מזהה שהודעת אימייל עלולה להיות ניסיון פישינג, ההגדרה הזו מאפשרת לו לבצע בדיקות נוספות של ההודעה. |
|
|
להפעיל אזהרות לגבי נמענים חיצוניים Gmail מזהה אם נמען חיצוני בתגובה לאימייל הוא לא מישהו שמשתמש מקיים איתו אינטראקציה באופן קבוע, או אם הוא לא נמצא באנשי הקשר של המשתמש. כשקובעים את ההגדרה הזו, המשתמשים מקבלים אזהרה ואפשרות לבטל את המענה. |
|
|
להפעיל הגנה נוספת על קבצים מצורפים Google סורקת את ההודעות שנכנסות כדי להגן מפני תוכנות זדוניות, גם אם הגדרות ההגנה הנוספות מפני קבצים מצורפים זדוניים לא מופעלות. הפעלה של הגנה נוספת על הקבצים המצורפים יכולה לקלוט הודעות אימייל שלא זוהו קודם לכן כזדוניות. |
|
|
להפעיל הגנה נוספת על קישורים ותוכן חיצוני |
|
|
להפעיל הגנה נוספת מפני זיוף Google סורקת את ההודעות הנכנסות כדי להגן מפני זיוף, גם אם לא הופעלו הגדרות נוספות להגנה מפני זיוף. למשל, הפעלה של אמצעי הגנה נוספים מפני זיופים והפעלת אימות יכולות להפחית את הסיכון לזיופים שמבוססים על שמות דומים של דומיינים או עובדים. |
שיקולי אבטחה במשימות היומיות ב-Gmail
|
|
להיזהר לפני שמבטלים סינון ספאם כדי להימנע מעלייה בכמות הספאם, כדאי לחשוב פעמיים לפני שמבטלים את סינון הספאם שמוגדר כברירת מחדל ב-Gmail.
|
|
|
לא לכלול דומיינים ברשימת השולחים שאושרו אם הגדרתם שולחים מאושרים, ואם סימנתם את האפשרות של עקיפת מסנני ספאם עבור הודעות שהתקבלו מהכתובות או מהדומיין הכלולים ברשימות האלה של שולחים מורשים, צריך להסיר את הדומיינים מרשימת השולחים שאושרו. החרגת דומיינים מרשימת השולחים המורשים מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling. |
|
|
לא להוסיף כתובות IP לרשימת ההיתרים בדרך כלל, אימיילים שנשלח מכתובות IP שכלולות ברשימת ההיתרים לא מסומנים כספאם. כדי להפיק את המרב משירות סינון הספאם של Gmail וכדי לקבל את התוצאות הטובות ביותר של סיווג הספאם, צריך להוסיף לשער דואר נכנס – ולא לרשימת ההיתרים של כתובות ה-IP – את כתובות ה-IP של שרתי הדואר שלכם ושל השותפים שמעבירים אימיילים ל-Gmail. הוספת כתובות IP לרשימות היתרים ב-Gmail | הגדרת שער לדואר נכנס |
הגנה על מידע אישי רגיש
|
לסרוק ולחסום הודעות אימייל עם מידע אישי רגיש כדי לצמצם את הסיכון לדליפות נתונים, צריך לסרוק אימיילים יוצאים בעזרת גלאי הגנה מפני אובדן נתונים, ולנקוט פעולה כשהמשתמשים מקבלים או שולחים הודעות עם תוכן רגיש. לדוגמה, אפשר לחסום את האפשרות של משתמשים לשלוח הודעות שמכילות מספרים של כרטיסי אשראי ולקבל התראה באימייל אם המספרים נשלחים. |
|
שימוש בקבוצות שמיועדות לאבטחה כדי לוודא שרק משתמשים נבחרים יכולים לגשת לאפליקציות ולמשאבים רגישים, צריך לנהל את המשתמשים באמצעות קבוצות אבטחה. כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
להוסיף תנאי אבטחה לתפקידי האדמין צריך לאפשר רק לאדמינים מסוימים לשלוט בקבוצות אבטחה. את האדמינים אחרים צריך לסווג כאדמינים שיכולים לשלוט רק בקבוצות שלא קשורות לאבטחה. כך מפחיתים את הסיכון לדליפות נתונים ולאיומים זדוניים מבפנים. |
|
|
להגדיר גישה פרטית לקבוצות כדי להגביל את הגישה לחברים בדומיין, צריך לבחור בהגדרה 'פרטי'. (חברי הקבוצה עדיין יכולים לקבל אימיילים מחוץ לדומיין). כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
|
להגביל את יצירת הקבוצות לאדמינים בלבד צריך לאפשר יצירת קבוצות לאדמינים בלבד. כך אפשר לצמצם את הסיכון לדליפות נתונים. |
|
|
להתאים אישית את הגדרות הגישה של הקבוצה המלצות:
|
|
|
להשבית חלק מהגדרות הגישה לקבוצות פנימיות ההגדרות הבאות מאפשרות לכל אחד באינטרנט להצטרף לקבוצה, לשלוח הודעות ולצפות בארכיוני הדיונים. עבור קבוצות פנימיות, צריך להשבית את ההגדרות האלה:
|
|
|
להפעיל ניהול ספאם בקבוצות אפשר להגדיר הודעות שיישלחו לתור הניהול, עם או בלי להודיע למנהלים, לדחות הודעות ספאם באופן מיידי או לאפשר את פרסום ההודעות בלי פיקוח. |
|
|
לחסום שיתוף של אתרים מחוץ לדומיין הגדרת אפשרויות שיתוף ב-Google Sites | הגדרת אפשרויות שיתוף בגרסה הקלאסית של Google Sites |
|
|
להחשיב חשבונות עם הרשאות Vault כחשבונות רגישים צריך להגן על חשבונות שהוקצו לתפקידי אדמין ב-Vault באותו האופן שבו מגינים על חשבונות של סופר-אדמינים. |
|
|
לבדוק את הפעילות ב-Vault באופן קבוע משתמשים עם הרשאות Vault יכולים לחפש ולייצא נתונים של משתמשים אחרים, וגם לשנות את כללי השמירה שעלולים למחוק נתונים שצריך לשמור באופן סופי. צריך לעקוב אחרי הפעילות ב-Vault כדי לוודא שתהיה עמידה במדיניות המאושרת של גישה לנתונים ושמירת נתונים. |
השלבים הבאים – מעקב, חקירה ותיקון שגיאות
|
|
לבדוק את הגדרות האבטחה ולחקור את הפעילות מומלץ להיכנס באופן קבוע למרכז האבטחה כדי לבדוק את מצב האבטחה שלכם, לחקור תקריות ועל סמך המידע הזה לנקוט פעולות. |
|
|
לבדוק את יומן הביקורת של האדמין אפשר להשתמש ביומן הביקורת של האדמין כדי לעיין בהיסטוריה של כל משימה שבוצעה במסוף Google Admin, לראות מי האדמין שביצע את המשימה, את התאריך ואת כתובת ה-IP שממנה האדמין נכנס. |
