Defense in Depth — למה הגנה אחת אף פעם לא מספיקה
צוות CyberHub · לפני 2 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
הגנה לעומק (Defense in Depth) היא אסטרטגיה של שכבות הגנה מרובות, כך שאם אחת נכשלת — האחרות עדיין מגנות. עיקרון יסוד באבטחה.
אף הגנה אחת אינה מושלמת. Defense in Depth (הגנה לעומק) היא העיקרון שאומר: בנו שכבות הגנה מרובות, כך שכישלון של אחת לא שובר את הכל.
האנלוגיה: טירה
טירה טובה לא מסתמכת על חומה אחת — יש חפיר, חומה, שער, מגדלים, ושומרים. תוקף צריך לעבור את כולם. כך גם ברשת.
השכבות (דוגמה)
- פיזי — מי ניגש לשרתים.
- רשת — חומות אש, סגמנטציה.
- קצה (Endpoint) — אנטי-וירוס/EDR, עדכונים.
- אפליקציה — קוד מאובטח, ולידציה, WAF.
- נתונים — הצפנה, גיבוי, בקרת גישה.
- זהות — סיסמאות חזקות, MFA, least privilege.
- אנשים — מודעות והדרכה (החוליה החלשה!).
למה זה עובד?
תוקף שעבר את חומת האש עדיין נתקל ב-EDR; אם עבר אותו, הנתונים מוצפנים; אם הגיע אליהם, הניטור מתריע. כל שכבה קונה זמן וסיכוי לעצור.
חיבור ל-Zero Trust
Defense in Depth מניח שכל שכבה עלולה להיכשל — ולכן לא סומך על אף אחת לבד. זו אותה רוח של Zero Trust.
הלקח: אל תחפשו "כדור כסף" אחד. בטיחות אמיתית = שכבות.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🛡️ עוד הגנה
כלל 3-2-1 לגיבויים — ההגנה הכי טובה מפני כופרה
מתקפת כופרה (Ransomware) מצפינה את הקבצים שלכם ודורשת תשלום. הגנה אמיתית אחת עובדת תמיד: גיבוי טוב. כלל 3-2-1 הוא הסטנדרט.
סיסמאות חזקות ו-2FA: ההגנה שכל אחד חייב
רוב הפריצות לחשבונות פרטיים לא דורשות 'האקר גאון' — אלא סיסמה חלשה או כזו שדלפה. הנה איך מגינים על עצמכם ב-10 דקות.
Active Directory תחת מתקפה — Kerberoasting, Pass-the-Hash והגנה
Active Directory הוא הלב של רוב הרשתות הארגוניות — ולכן היעד מספר 1 של תוקפים. נכיר את המתקפות הקלאסיות ואיך מתגוננים מהן.