בעיה: אי אפשר לתקוף את מה שאי אפשר לראות
ברבעון השלישי של 2025, 'קלאודפלייר' (Cloudflare) סיכלה את מתקפת הדי-דוס (DDoS – מניעת שירות מבוזרת) הגדולה ביותר שנרשמה אי פעם – 29.7 טרה-ביט לשנייה, שהופעלה על ידי הבוטנט 'איסורו' (Aisuru) ששלט בין 1 ל-4 מיליון מכשירים נגועים. באותה שנה, מתקפות די-דוס גדלו ב-198% ברחבי העולם, כאשר המגזר הפיננסי ספג 22% מכלל התקריות.
הנה האמת הלא נוחה: הפחתת די-דוס מסורתית היא תגובתית. אתם סופגים את המתקפה, מסננים את התעבורה הרעה, ומקווים שהתשתית שלכם תוכל לעמוד בעומס. אך מה אם התוקפים לא היו יכולים למצוא את היישומים שלכם מלכתחילה?
זהו העיקרון העומד מאחורי הסוואת יישומים (Application Cloaking) – אסטרטגיית הגנה יזומה ההופכת את השרתים, ממשקי תכנות היישומים (איי-פי-איי / API) והיישומים שלכם לבלתי נראים לסיור ולמטרות ישירות. אם תוקפים אינם יכולים לגלות את כתובות האיי-פי של המקור שלכם, לסרוק את הפורטים הפתוחים שלכם, או למפות את משטח התקיפה שלכם, הם אינם יכולים להשיק קמפיינים יעילים של די-דוס נגדכם.
מדריך זה מספק גישה מעשית, הממוקדת ביישום, לאסטרטגיות הסוואת יישומים המשלימות את הפחתת הדי-דוס המסורתית.
הבנת שרשרת התקיפה
לפני שנצלול לטכניקות ההסוואה, בואו נבחן כיצד תוקפים מתכננים ומבצעים בדרך כלל קמפיינים של די-דוס.
שלב 1: סיור (Reconnaissance)
תוקפים מגלים כתובות איי-פי של המטרה דרך היסטוריית די-אן-אס (DNS), יומני שקיפות של תעודות אס-אס-אל (SSL), כותרות דוא"ל, ובדיקה ישירה. כלים כמו 'סיקיוריטי-טריילס' (SecurityTrails), 'שודאן' (Shodan) ו-'סנסיס' (Censys) הופכים תהליך זה לקל באופן טריוויאלי. חיפוש פשוט יכול לחשוף שנים של היסטוריית די-אן-אס, המציגה כל כתובת איי-פי שהדומיין שלכם הצביע עליה אי פעם.
שלב 2: גישוש (Probing)
ברגע שזוהו המטרות, תוקפים בודקים את ההגנות עם כמויות קטנות של תעבורה זדונית. במגזר הפיננסי, כ-45% מהמתקפות מערבות גישוש לפני תקיפה בקנה מידה מלא. בכלל התעשיות, נתון זה עומד על כ-25%. מתקפות גישוש שולשו (עלייה של 300%) משנה לשנה ב-2025.
שלב 3: ביצוע המתקפה
חמושים במידע על המטרה ומודיעין על ההגנה, תוקפים משיקים הצפות נפחיות, מתקפות בשכבת היישום, או קמפיינים רב-וקטוריים. ב-2025, 52% מהמתקפות פגעו במספר מארחים בו-זמנית (הפצצת שטיח), ו-58% שילבו שני וקטורי תקיפה או יותר.
שלב 4: הסתגלות
כלי די-דוס מודרניים – במיוחד פלטפורמות מבוססות בינה מלאכותית – מנטרים דפוסי תעבורה בזמן אמת, מזהים חולשות, ומתאימים דינמית את פרמטרי התקיפה כדי להימנע מזיהוי.
הסוואת יישומים משבשת שרשרת זו בשלבים המוקדמים ביותר, ומונעת מהתוקפים לאסוף את המודיעין שהם צריכים עבור תקיפה ממוקדת יעילה.
המחיר של חוסר מעש
לפני הטמעת פתרון כלשהו, עליכם להבין את המקרה העסקי.
טבלה 1: ניתוח עלויות מתקפת די-דוס
קטגוריית עלות | סכום | מקור |
עלות ממוצעת למתקפת די-דוס | ~500,000 דולר | אימפרבה/מייז-בולט (Imperva/MazeBolt) |
עלות זמן השבתה לדקה | 22,000 דולר | מכון פונימון (Ponemon Institute) |
עלות די-דוס להשכרה (צד התוקף) | 45 – 300,000 דולר | מדד המחירים ברשת האפלה 2025 |
משך מתקפה ממוצע (2025) | 31 דקות | סטורם-וול (StormWall) |
עלייה במתקפות משנה לשנה | 198% | סטורם-וול (StormWall) |
נתח המגזר הפיננסי מכלל המתקפות | 22% | סטורם-וול (StormWall) |
עלייה במתקפות שכבת היישום (פיננסים) | 23% | אף-אס-איי-אס-איי-סי / אקמאי (FS-ISAC/Akamai) |
החישוב פשוט: אם היישום שלכם מושבת למשך 31 דקות בעלות של 22,000 דולר לדקה, זה מסתכם ב-682,000 דולר בעלויות זמן השבתה בלבד – מבלי לספור נזק למוניטין, נטישת לקוחות או קנסות רגולטוריים.
טבלה 2: סטטיסטיקות מתקפות די-דוס לפי תעשייה (2025)
תעשייה | נתח ממתקפות גלובליות | צמיחה משנה לשנה | הסתברות להיות יעד |
שירותים פיננסיים | 22% | +118% | גבוהה מאוד |
תקשורת (Telecommunications) | 19% | +106% | גבוהה מאוד |
מגזר ציבורי | 14% | +62% | גבוהה |
בידור | 12% | +84% | גבוהה |
מסחר אלקטרוני/קמעונאות | 11% | +71% | גבוהה |
בריאות | 8% | +45% | בינונית |
אחר | 14% | +38% | בינונית |
אסטרטגיה 1: הסוואת כתובת איי-פי של המקור
מה זה עושה: מסתיר את כתובות האיי-פי האמיתיות של השרת שלכם מגילוי ציבורי.
מדוע זה חשוב: אם תוקפים אינם יודעים את כתובת איי-פי המקור שלכם, הם אינם יכולים לעקוף את רשת הפצת התוכן (סי-די-אן) או שירות ההגנה שלכם כדי לתקוף את התשתית שלכם ישירות.
צעד 1: ביקורת חשיפת איי-פי נוכחית
לפני הטמעת ההסוואה, זהו כיצד כתובות איי-פי המקור שלכם עשויות כבר להיות חשופות. השתמשו בשיטות אלו כדי לבדוק את החשיפה שלכם:
טבלה 3: רשימת תיוג לביקורת חשיפת איי-פי
וקטור חשיפה | כיצד לבדוק | רמת סיכון | תיקון/טיפול |
רשומות די-אן-אס היסטוריות | חפשו ב-'סיקיוריטי-טריילס' (SecurityTrails) או 'די-אן-אס-היסטורי' (DNSHistory) עבור הדומיין שלכם | קריטית | לא ניתן לביטול, אך ניתן להגר לכתובת איי-פי חדשה |
יומני תעודות אס-אס-אל | בדקו ב-'סי-אר-טי נקודה אס-אייץ" (crt.sh) עבור תעודות שהונפקו לכתובות איי-פי | גבוהה | השתמשו בתעודות שהונפקו על ידי סי-די-אן בלבד |
כותרות שרת דואר | שלחו דוא"ל ובחנו כותרות מלאות | גבוהה | העבירו את שרת הדואר לכתובת איי-פי נפרדת |
תגובת איי-פי ישירה | נסו לגשת לכתובת איי-פי המקור שלכם ישירות בדפדפן | קריטית | הגדירו את השרת לדחות גישת איי-פי ישירה |
תתי-דומיין ללא פרוקסי | בדקו אם תתי-דומיין של פיתוח (dev), סביבת בדיקות (staging), או איי-פי-איי (api) עוקפים את ה-סי-די-אן | גבוהה | נתבו את כל תתי-הדומיין דרך ה-סי-די-אן |
כתובות מקודדות קשיח ב-איי-פי-איי | סקרו אפליקציות מובייל ואינטגרציות | בינונית | עדכנו לשימוש בשמות דומיין בלבד |
צעד 2: הגדרת הגנת פרוקסי הפוך
נתבו את כל התעבורה דרך פרוקסי הפוך (Reverse Proxy) או סי-די-אן שמסתיר את המקור שלכם. הקונפיגורציות המרכזיות שאתם צריכים:
דרישות קונפיגורציית שרת:
שרת המקור שלכם צריך להיות מוגדר לקבל חיבורים רק מטווח כתובות האיי-פי של ה-סי-די-אן שלכם. משמעות הדבר היא הגדרת שרת האינטרנט שלכם (בין אם 'אנג'ינקס', 'אפאצ'י' או 'איי-איי-אס') לבדוק את כתובת איי-פי המקור של בקשות נכנסות ולדחות כל אחת שאינה מגיעה מספק ה-סי-די-אן שלכם.
בנוסף, הטמיעו מערכת אימות כותרת סודית. הגדירו את ה-סי-די-אן שלכם להוסיף כותרת מותאמת אישית עם אסימון סודי לכל הבקשות שהוא מעביר. שרת המקור שלכם צריך לבדוק כותרת זו ולדחות בקשות שאינן כוללות אותה. זה מספק שכבה שנייה של אימות מעבר לבדיקת כתובת איי-פי.
טבלה 4: רשימת תיוג לקונפיגורציית סי-די-אן
פריט קונפיגורציה | מטרה | עדיפות |
פרוקסי לכל רשומות ה-די-אן-אס (ענן כתום ב-'קלאודפלייר') | הסתרת כתובת איי-פי המקור בחיפושי די-אן-אס | קריטית |
אפשר משיכות מקור מאומתות (Authenticated Origin Pulls) | אימות שבקשות מגיעות מה-סי-די-אן | קריטית |
הגדר רשימת היתרים לאיי-פי מקור | חסימת ניסיונות גישה ישירה | קריטית |
נטרל גישת איי-פי ישירה במקור | מניעת חיבורים מבוססי איי-פי | גבוהה |
השתמש בתעודות אס-אס-אל שהונפקו על ידי סי-די-אן | מניעת דליפות בשקיפות תעודות | גבוהה |
אפשר הצפנת אס-אס-אל/טי-אל-אס מלאה | אבטחת החיבור בין ה-סי-די-אן למקור | גבוהה |
צעד 3: חומת אש למקור שלכם
ברמת הרשת, חומת האש שלכם צריכה להיות מוגדרת כך:
- להפיל (Drop) את כל התעבורה הנכנסת כברירת מחדל.
- לאפשר חיבורים מבוססים/קשורים (עבור תגובות תעבורה יוצאת).
- לאפשר תעבורה נכנסת רק מטווח כתובות האיי-פי המפורסם של ה-סי-די-אן שלכם.
- לאפשר גישת ניהול הכרחית דרך רשת פרטית מדומה (VPN) או ערוץ מאובטח נפרד.
- לרשום בלוג את כל ניסיונות החיבור שהופלו לצורך ניטור.
טבלה 5: חוקי חומת אש להגנת מקור
עדיפות חוק | כיוון | מקור | יעד | פורטים | פעולה |
1 | נכנסת | טווחי איי-פי של סי-די-אן | שרת מקור | 443 | התר |
2 | נכנסת | וי-פי-אן לניהול | שרת מקור | 22, 3389 | התר |
3 | נכנסת | שירות ניטור | שרת מקור | מותאם אישית | התר |
4 | נכנסת | כלשהו | שרת מקור | כלשהו | הפל + רשום |
5 | יוצאת | שרת מקור | כלשהו | 443, 53, 123 | התר |
צעד 4: הפרדת השירותים שלכם
העבירו שירותים שעלולים לחשוף את כתובת איי-פי המקור שלכם לתשתית נפרדת לחלוטין:
טבלה 6: אסטרטגיית הפרדת שירותים
שירות | מצב נוכחי | מצב יעד | גישת הגירה |
יישום רשת | אותה כתובת איי-פי כשירותים אחרים | מאחורי סי-די-אן, איי-פי מבודד | פריסת סי-די-אן, עדכון די-אן-אס |
שרת דואר (SMTP) | אותה כתובת איי-פי, חושף את המקור | איי-פי נפרד או שירות מארח | הגירה לאיי-פי דואר ייעודי או שימוש ב-'גוגל וורקספייס'/'או-365' |
גישת אס-אס-אל/אדמין | פתוח בכתובת איי-פי המקור | וי-פי-אן בלבד או גישת רשת באפס אמון (ZTNA) | פריסת מארח בסטיון (Bastion) או פתרון זי-טי-אן-איי |
העברת קבצים/אף-טי-פי | פתוח בכתובת איי-פי המקור | אס-אף-טי-פי (SFTP) דרך וי-פי-אן בלבד | הגירה לפתרון העברת קבצים מאובטח |
פיתוח/סביבת בדיקות | אותו טווח כתובות איי-פי | תשתית נפרדת לחלוטין | פריסה לאזור ענן/ספק שונה |
מסד נתונים | נגיש מהאינטרנט | רשת פנימית בלבד | הסרת איי-פי ציבורי, שימוש ברשת פרטית |
אסטרטגיה 2: היקף מוגדר תוכנה (אס-די-פי) / "ענן שחור"
מה זה עושה: הופך את כל תשתית הרשת שלכם לבלתי נראית כברירת מחדל – ללא פורטים פתוחים, ללא שירותים הניתנים לגילוי.
מדוע זה חשוב: אס-די-פי (SDP) מבטל מתקפות די-דוס על ידי הפיכת משאבי רשת לבלתי נראים. תוקפים אינם יכולים לראות שום דבר כדי לתקוף אותו.
כיצד עובד אס-די-פי
ההבדל היסודי בין רישות מסורתי לבין אס-די-פי:
טבלה 7: רשת מסורתית לעומת ארכיטקטורת אס-די-פי
היבט | רשת מסורתית | היקף מוגדר תוכנה (SDP) |
מצב פורט ברירת מחדל | פתוח ומאזין | סגור וחשוך |
גילוי שירותים | אפשרי באמצעות סריקת פורטים | בלתי אפשרי – שום דבר לא מגיב |
רצף התחברות | התחבר קודם, אמת אחר כך | אמת קודם, אז התחבר |
משטח תקיפה | כל השירותים החשופים | אפס עד לקבלת הרשאה |
נראות רשת | טופולוגיה מלאה ניתנת לגילוי | מוסתרת לחלוטין ("ענן שחור") |
תוצאות סריקת פורטים | רשימה של שירותים פתוחים | כלום – נראה לא מקוון |
פגיעות ל-די-דוס | גבוהה – מטרות ידועות | מופחתת דרמטית – אין מטרות |
אישור חבילה בודדת (אס-פי-איי)
אס-פי-איי (SPA – Single Packet Authorization) הוא מנגנון האימות המאפשר את ה-אס-די-פי. להלן התהליך:
צעד 1: מכשיר המשתמש שולח חבילת יו-די-פי (UDP) בודדת חתומה קריפטוגרפית לשער ה-אס-די-פי. חבילה זו מכילה את זהות המשתמש, חותמת זמן, המשאב המבוקש וחתימה דיגיטלית.
צעד 2: שער ה-אס-די-פי מקבל את החבילה אך אינו מגיב. הוא מאמת בשקט את החתימה הקריפטוגרפית מול מסד הנתונים של המשתמשים המורשים שלו.
צעד 3: אם החתימה תקפה, השער מורה לחומת האש לפתוח זמנית נתיב חיבור רק עבור כתובת האיי-פי הספציפית של אותו משתמש אל המשאב הספציפי שהתבקש.
צעד 4: המשתמש יכול כעת ליצור חיבור דרך הנתיב שנפתח באופן זמני.
צעד 5: לאחר שההפעלה (Session) מסתיימת (או פג תוקפה), הנתיב נסגר אוטומטית.
טבלה 8: אס-פי-איי לעומת אימות מסורתי
היבט | מסורתי (וי-פי-אן / אס-אס-אייץ') | אישור חבילה בודדת (SPA) |
נראות פורט | פורט פתוח גלוי לסורקים | אין פורטים גלויים |
תגובת אימות | השרת מגיב לכל הניסיונות | אין תגובה לחבילות לא תקפות |
אפשרות לכוח גס (Brute Force) | כן – ניתן לנסות סיסמאות רבות | לא – חבילות לא תקפות נזרקות בשקט |
סיכון מתקפת שידור חוזר (Replay) | בינוני | אין – חותמות זמן וערכי 'נונס' קריפטוגרפיים |
די-דוס על שירות האימות | אפשרי – השירות חשוף | לא אפשרי – אין מה לתקוף |
נתיב חיבור | זמין תמיד | נוצר לפי דרישה לכל משתמש |
הטמעת אס-די-פי בארגון שלכם
שלב 1: הערכה (שבוע 1-2)
בצעו אינוונטר (מצאי) של כל השירותים שיש להם כרגע חשיפה ציבורית. עבור כל שירות, תעדו את הפורט, הפרוטוקול, המשתמשים הזקוקים לגישה, ושיטת האימות הנוכחית.
שלב 2: פריסת שער אס-די-פי (שבוע 3-4)
פרסו בקר ושער אס-די-פי לפני התשתית שלכם. השער צריך להיות הרכיב היחיד עם נוכחות רשת ציבורית כלשהי, וגם הוא צריך להשתמש ב-אס-פי-איי כדי להישאר בלתי נראה למשתמשים לא מורשים.
שלב 3: קליטת יישומים (שבוע 5-8)
הגרו יישומים אל מאחורי ה-אס-די-פי אחד בכל פעם, החל בכלים פנימיים, ולאחר מכן עברו למערכות קריטיות יותר. בדקו ביסודיות לפני הסרת הגישה הישירה.
שלב 4: הסרת גישת מורשת (שבוע 9-12)
ברגע שיישומים נגישים דרך אס-די-פי, הסירו את החשיפה הישירה שלהם לאינטרנט. סגרו פורטים בחומת האש, הסירו כתובות איי-פי ציבוריות, וודאו אי-נראות באמצעות סריקה חיצונית.
טבלה 9: ציר זמן להטמעת אס-די-פי
שלב | משך זמן | פעילויות | קריטריונים להצלחה |
הערכה | שבועיים | אינוונטר שירותים, זיהוי משתמשים, תיעוד דפוסי גישה | קטלוג שירותים מלא |
פריסת שער | שבועיים | פריסת תשתית אס-די-פי, הגדרת מדיניות | שער מבצעי, בדיקת גישה עובדת |
פיילוט הגירה | שבועיים | העברת 2-3 יישומים לא קריטיים ל-אס-די-פי | משתמשים יכולים לגשת דרך אס-די-פי |
הגירה רחבה | 4 שבועות | העברת שאר היישומים | כל האפליקציות נגישות דרך אס-די-פי |
הקשחה | שבועיים | הסרת גישה ישירה, סגירת פורטים | אפס משטח תקיפה נראה לעין |
אופטימיזציה | מתמשך | ניטור, כוונון מדיניות, הוספת יישומים | שיפור מתמיד |
אסטרטגיה 3: ארכיטקטורת גישה הפוכה
מה זה עושה: מבטלת לחלוטין חיבורים נכנסים על ידי כך שהיישומים שלכם יוזמים את כל החיבורים החוצה.
מדוע זה חשוב: היעדר חיבורים נכנסים משמעו שאין פורטים לתקוף. חומת האש שלכם יכולה להיות מוגדרת לדחות את כל התעבורה הנכנסת.
הבנת גישה הפוכה
בארכיטקטורות מסורתיות, משתמשים חיצוניים יוזמים חיבורים אל השרתים שלכם. דבר זה דורש פורטים פתוחים, מה שיוצר משטח תקיפה.
בארכיטקטורת גישה הפוכה, שרתי היישומים שלכם יוזמים חיבורים החוצה אל שירות מתווך (Broker). המשתמשים מתחברים גם הם למתווך. המתווך מתאים בין משתמשים מורשים לבין היישומים המותרים להם דרך מנהרות יוצאות אלו.
טבלה 10: גישה מסורתית לעומת ארכיטקטורת גישה הפוכה
היבט | גישה מסורתית | גישה הפוכה |
יוזם החיבור | משתמש חיצוני ← השרת שלך | השרת שלך ← מתווך ← משתמש חיצוני |
פורטים נכנסים נדרשים | מרובים (80, 443, 22 וכו') | אפס |
מצב חומת אש | חייבת לאפשר תעבורה נכנסת | יכולה לחסום את כל התעבורה הנכנסת |
משטח תקיפה | פורטים ושירותים חשופים | כלום – אין שירותים מאזינים |
נדרש מאזן עומסים | כן, בחזית השרתים | לא – המתווך מטפל בניתוב |
חשיפת איי-פי | איי-פי המקור חייב להיות בר-השגה | איי-פי המקור יכול להיות פרטי לחלוטין |
כיצד true pass של 'טרה-זון' מטמיעה גישה הפוכה
טכנולוגיית 'טרו-פאס' (truePass) של 'טרה-זון' (TerraZone) משתמשת במנגנון גישה הפוכה מוגן בפטנט:
צעד 1: פריסת מחבר (Connector)
מחבר קליל מותקן לצד היישום שלכם. מחבר זה יוזם מנהרה מוצפנת יוצאת אל שער ה-'טרה-זון'. מכיוון שהחיבור הוא יוצא, אין צורך לפתוח פורטים בחומת האש.
צעד 2: אימות משתמש
כאשר משתמש רוצה לגשת ליישום, הוא מבצע אימות מול שער ה-'טרה-זון' (ולא מול התשתית שלכם). השער מאמת זהות, בודק את יציבת המכשיר, ומעריך מדיניות גישה.
צעד 3: ביסוס הפעלה (Session)
עבור משתמשים מורשים, השער מנתב את התעבורה שלהם דרך המנהרה היוצאת שכבר בוססה מהמחבר שלכם. המשתמש לעולם אינו מתחבר ישירות לתשתית שלכם.
צעד 4: אימות מתמשך
לאורך כל ההפעלה, השער מנטר חריגות ויכול לסיים גישה באופן מיידי אם מופרת מדיניות.
טבלה 11: השוואת משטח תקיפה לפי ארכיטקטורה
סוג ארכיטקטורה | פורטים נכנסים נדרשים | מטרת די-דוס זמינה | סיור (Reconnaissance) אפשרי | מורכבות הטמעה |
מסורתית (ישירה) | רבים (80, 443, 22 וכו') | כן – כל השירותים | כן – נראות מלאה | נמוכה |
מוגן סי-די-אן | מוגבל (סי-די-אן בלבד) | חלקי – סי-די-אן סופג | חלקי – המקור עלול לדלוף | בינונית |
מוגן וי-פי-אן | 1 (פורט וי-פי-אן) | כן – רכז וי-פי-אן | מוגבל | בינונית |
אס-די-פי עם אס-פי-איי | 0 (עד לקבלת הרשאה) | לא | לא | גבוהה |
גישה הפוכה (טרו-פאס) | 0 (באופן קבוע) | לא | לא | בינונית |
יתרונות למוסדות פיננסיים
ארכיטקטורת גישה הפוכה היא בעלת ערך רב במיוחד עבור בנקאות ושירותים פיננסיים:
- תאימות רגולטורית: רגולציות רבות דורשות הדגמה של בקרות גישה. גישה הפוכה מספקת באופן מובנה גישת "הפריבילגיה המינימלית" עם שבילי ביקורת מלאים.
- גישת צד שלישי: ניתן להעניק לספקים ולמבקרים גישה ליישומים ספציפיים ללא חשיפת רשת כלשהי. הגישה יכולה להיות מוגבלת בזמן ומתועדת במלואה.
- קישוריות סניפים: משרדי סניפים יכולים לגשת למערכות מרכזיות ללא רשתות 'אם-פי-אל-אס' (MPLS) מורכבות או רשתות פרטיות מדומות (וי-פי-אן) בין אתרים.
- אינטגרציית מיזוגים ורכישות: ניתן להעניק גישה לישויות חדשות באופן מיידי ללא פרויקטים של אינטגרציית רשת.
אסטרטגיה 4: הסוואת והגנת ממשקי תכנות יישומים (איי-פי-איי)
מה זה עושה: מסתיר נקודות קצה של איי-פי-איי (API) מגילוי ומגן עליהן מפני מתקפות די-דוס בשכבה 7 (שכבת היישום).
מדוע זה חשוב: מתקפות איי-פי-איי גדלו ב-43% בשנת 2025. ממשקי איי-פי-איי בתחום הבנקאות והקמעונאות הם מטרות עיקריות מכיוון שהזמינות שלהם משפיעה ישירות על ההכנסות ורציפות העסקאות.
נוף איומי ה-איי-פי-איי
ממשקי איי-פי-איי מתמודדים עם אתגרי די-דוס ייחודיים:
טבלה 12: וקטורי תקיפה ספציפיים ל-איי-פי-איי
סוג מתקפה | תיאור | השפעה | יעילות הגנה מסורתית |
מניית נקודות קצה (Enumeration) | גילוי כל נקודות הקצה הזמינות של ה-איי-פי-איי | מאפשר מתקפות ממוקדות | נמוכה – ממשקי איי-פי-איי חייבים להיות ניתנים לגילוי כדי לפעול |
כוח גס על אימות (Authentication Brute Force) | ניסיונות התחברות המוניים | פריצה לחשבונות, תשישות משאבים | בינונית – הגבלת קצב עוזרת |
תשישות משאבים | שאילתות יקרות, מטענים (Payloads) גדולים | ירידה בביצועי השירות | בינונית – דורש ניתוח שאילתות |
דחיסת אישורי גישה (Credential Stuffing) | התחברות אוטומטית עם אישורים שדלפו | השתלטות על חשבון | בינונית – נדרש ניתוח התנהגותי |
תעבורת בוטים | גרידת נתונים (Scraping) ושימוש לרעה אוטומטיים | גניבת נתונים, בזבוז משאבים | בינונית – נדרש זיהוי בוטים |
הצפות איי-פי-איי נפחיות | בקשות בנפח גבוה הנראות לגיטימיות | אי-זמינות השירות | נמוכה – קשה להבחין מתעבורה אמיתית |
יישום הסוואת איי-פי-איי
שכבה 1: פריסת שער איי-פי-איי (API Gateway)
לעולם אל תחשפו שרתי איי-פי-איי עורפיים (Backend) ישירות לאינטרנט. כל התעבורה צריכה לזרום דרך שער איי-פי-איי אשר:
- מסיים חיבורי אס-אס-אל/טי-אל-אס (SSL/TLS).
- מאמת את פורמט הבקשה והתוכן.
- אוכף דרישות אימות.
- מחיל הגבלת קצב.
- רושם בלוג את כל הבקשות לצורך ניתוח.
- מסתיר את כתובות השרתים העורפיים ואת המבנה שלהם.
שכבה 2: הגבלת קצב נוקשה
הטמיעו מגבלות קצב שונות בהתבסס על רגישות נקודת הקצה:
טבלה 13: מגבלות קצב מומלצות ל-איי-פי-איי לפי סוג נקודת קצה
קטגוריית נקודת קצה | בקשות/דקה | הרשאת פרץ (Burst) | פעולה בחריגה | דוגמאות לנקודות קצה |
אימות | 10 | 5 | חסימה + התרעה | /לוגין, /טוקן, /איפוס-סיסמה |
פעולות קריאה | 1,000 | 100 | ויסות (Throttle) | /חשבונות, /עסקאות, /יתרות |
פעולות כתיבה | 100 | 20 | תור (Queue) | /העברות, /תשלומים, /עדכונים |
שאילתות יקרות | 10 | 2 | חסימה | /דוחות, /הצהרות, /אנליטיקה |
ציבורי/לא מאומת | 30 | 10 | אתגר (Challenge) | /סטטוס, /תעריפים, /מיקומים |
שכבה 3: הסתרת מבנה ה-איי-פי-איי
מנעו מתוקפים למפות את ה-איי-פי-איי שלכם:
טבלה 14: מניעת חשיפת מידע ב-איי-פי-איי
דליפת מידע | כיצד זה קורה | שיטת מניעה |
גילוי נקודות קצה | הודעות שגיאה 404 מפורטות | החזרת "לא נמצא" גנרי לכל הנתיבים הלא חוקיים |
גילוי פרמטרים | שגיאות אימות ורבליות (מפורטות) | החזרת "בקשה לא חוקית" גנרית ללא פרטים |
מחסנית טכנולוגית | כותרות שרת, פורמטים של שגיאה | הסרת כל הכותרות המזהות, שימוש בפורמט שגיאה גנרי |
תיעוד איי-פי-איי | נקודות קצה ציבוריות של סוואגר/אופן-איי-פי-איי | נטרול נקודות קצה של תיעוד בסביבת הייצור |
מידע גרסה | מספרי גרסה בתגובות | הסרת כותרות גרסה, שימוש בגרסאות פנימיות |
מבנה פנימי | דפוסי נקודות קצה צפויים | שימוש בשמות נקודות קצה לא רציפים ולא ברורים מאליהם |
שכבה 4: אימות בקשות
דרשו חתימות קריפטוגרפיות על בקשות איי-פי-איי:
כל בקשת איי-פי-איי צריכה לכלול:
- חותמת זמן (למניעת מתקפות שידור חוזר).
- מזהה לקוח.
- חתימת אייץ'-מאק (HMAC) שחושבה על תוכן הבקשה.
השרת מאמת שהחתימה תואמת לפני עיבוד כל בקשה. זה מבטיח שגם אם תוקף מגלה את נקודות הקצה שלכם, הוא אינו יכול לבצע בקשות תקפות ללא מפתחות החתימה.
טבלה 15: רמות אימות איי-פי-איי
רמה | שיטה | מקרה שימוש | ערך הגנת די-דוס |
ללא | נקודת קצה פתוחה | נתונים ציבוריים (תעריפים, מיקומים) | אין – חייב להסתמך על הגבלת קצב |
מפתח איי-פי-איי | מפתח סטטי בכותרת | אינטגרציות שותפים | נמוך – מפתחות יכולים לדלוף |
אסימון ג'יי-דבליו-טי (JWT) | אסימון חתום מוגבל בזמן | הפעלות משתמש | בינוני – אסימונים פגים |
חתימת אייץ'-מאק (HMAC) | חתימת בקשה קריפטוגרפית | פעולות אבטחה גבוהה | גבוה – כל בקשה מאומתת |
טי-אל-אס הדדי (mTLS) | אימות מבוסס תעודה | מערכת-למערכת | גבוה מאוד – נדרשת תעודה |
הנה תרגום החלק הבא של המאמר. כפי שביקשת, הטקסט תורגם במלואו לעברית, ללא שימוש באותיות באנגלית (כולל מונחים טכניים וראשי תיבות), תוך הקפדה על המינוח המקצועי.
אסטרטגיה 5: ארכיטקטורת הגנה רב-שכבתית
מה זה עושה: משלב אסטרטגיות הסוואה והגנה מרובות לכדי ארכיטקטורת הגנת עומק.
מדוע זה חשוב: אף טכניקה יחידה אינה חסינת-כדורים. הגנות מרובדות מבטיחות שאם שכבה אחת נעקפת, האחרות נותרות יעילות.
ארכיטקטורת ייחוס
יישום מוסווה כהלכה צריך לכלול חמש שכבות הגנה:
שכבה 1: סי-די-אן / הפחתת די-דוס (היקף)
השכבה הראשונה סופגת מתקפות נפחיות ומסתירה את כתובות איי-פי המקור. שכבה זו מטפלת במתקפות בקנה מידה של טרה-ביט לפני שהן מגיעות לתשתית שלכם.
שכבה 2: חומת אש ליישומי רשת – וואף (קצה היישום)
ה-וואף (WAF) בוחן תעבורת אייץ'-טי-טי-פי / אס (HTTP/HTTPS) עבור דפוסים זדוניים, אוכף מגבלות קצב, וחוסם חתימות תקיפה ידועות. שכבה זו עוצרת מתקפות שכבה 7 שעוקפות את ההפחתה הנפחית.
שכבה 3: שער איי-פי-איי (קצה ה-איי-פי-איי)
עבור תעבורת איי-פי-איי, שכבה זו מספקת אימות נוסף, הגבלת קצב, ואימות בקשות הספציפיים לדפוסי איי-פי-איי.
שכבה 4: זי-טי-אן-איי / גישה הפוכה (שכבת הגישה)
שכבה זו מבטיחה שגם אם תוקפים מגיעים איכשהו לרשת שלכם, הם אינם יכולים לגשת ליישומים ללא אימות מתאים. מודל הגישה ההפוכה משמעו שאין למה להתחבר.
שכבה 5: מיקרו-סגמנטציה (פנימי)
אם תוקף פורץ למערכת אחת, מיקרו-סגמנטציה מונעת תנועה רוחבית למערכות אחרות. כל מקטע יישום מבודד.
טבלה 16: מטריצת הגנה רב-שכבתית
סוג מתקפה | שכבה 1 (סי-די-אן) | שכבה 2 (וואף) | שכבה 3 (שער איי-פי-איי) | שכבה 4 (זי-טי-אן-איי) | שכבה 5 (מיקרו-סגמנטציה) |
די-דוס נפחי | ✓ סופגת | – | – | – | – |
די-דוס שכבה 7 | חלקי | ✓ חוסמת | ✓ מגבילה קצב | – | – |
שימוש לרעה ב-איי-פי-איי | – | חלקי | ✓ מאמתת | ✓ דורשת אימות | – |
מתקפת מקור ישירה | ✓ מסתירה איי-פי | – | – | ✓ אין פורטים פתוחים | – |
תנועה רוחבית | – | – | – | – | ✓ מכילה/תוחמת |
סיור (Reconnaissance) | ✓ מסווה מקור | ✓ מסתירה שגיאות | ✓ מסתירה מבנה | ✓ בלתי נראית | ✓ מבודדת |
רשימת תיוג ליישום
טבלה 17: רשימת תיוג ליישום מלא
שכבה | רכיב | סטטוס | עדיפות | אחראי | תאריך יעד |
1 | פריסת סי-די-אן | ☐ | קריטית | – | – |
1 | אימות הסוואת איי-פי מקור | ☐ | קריטית | – | – |
1 | ביקורת היסטוריית די-אן-אס | ☐ | גבוהה | – | – |
1 | משיכות מקור מאומתות | ☐ | גבוהה | – | – |
2 | פריסת וואף (WAF) | ☐ | קריטית | – | – |
2 | חוקי הגבלת קצב מוגדרים | ☐ | קריטית | – | – |
2 | זיהוי בוטים מופעל | ☐ | גבוהה | – | – |
2 | חוקי וואף מותאמים אישית ליישום | ☐ | בינונית | – | – |
3 | פריסת שער איי-פי-איי | ☐ | גבוהה | – | – |
3 | הגבלת קצב איי-פי-איי לפי סוג נקודת קצה | ☐ | קריטית | – | – |
3 | יישום חתימת בקשות | ☐ | בינונית | – | – |
3 | תיעוד איי-פי-איי מנוטרל בייצור | ☐ | בינונית | – | – |
4 | נבחר פתרון זי-טי-אן-איי | ☐ | גבוהה | – | – |
4 | גישה הפוכה למערכות אדמין (ניהול) | ☐ | גבוהה | – | – |
4 | יישום אס-פי-איי למערכות רגישות | ☐ | בינונית | – | – |
4 | תוכנית להחלפת וי-פי-אן | ☐ | בינונית | – | – |
5 | תכנון מיקרו-סגמנטציה לרשת | ☐ | גבוהה | – | – |
5 | מדיניות גישה מבוססת זהות | ☐ | גבוהה | – | – |
5 | ניטור תעבורת מזרח-מערב | ☐ | בינונית | – | – |
הנה תרגום החלק האחרון של המאמר. כפי שביקשת, הטקסט תורגם במלואו לעברית, ללא שימוש באותיות באנגלית (כולל פקודות, שמות כלים וראשי תיבות), תוך הקפדה על המינוח המקצועי.
בדיקת יישום ההסוואה שלך
לאחר הטמעת אסטרטגיות אלו, ודאו את יעילותן באמצעות בדיקות שיטתיות:
טבלה 18: בדיקות אימות הסוואה
קטגוריית בדיקה | מה לבדוק | תוצאה מצופה | כלים לשימוש |
חשיפת די-אן-אס | תשאול רשומות ה-די-אן-אס של הדומיין | רק כתובות איי-פי של סי-די-אן מוחזרות, אין מקור | דיג (dig), אן-אס-לוק-אפ (nslookup), כלי די-אן-אס מקוונים |
די-אן-אס היסטורי | בדיקת מאגרי מידע של היסטוריית די-אן-אס | רשומות ישנות אינן חושפות מקור נוכחי (או שהמקור השתנה) | סיקיוריטי-טריילס, די-אן-אס-היסטורי |
שקיפות תעודות | חיפוש ביומני תעודות | אין תעודות שהונפקו ישירות לכתובת איי-פי של המקור | סי-אר-טי נקודה אס-אייץ' (crt.sh), סנסיס (Censys) |
סריקת פורטים | סריקת כתובת איי-פי המקור הידועה | אין פורטים פתוחים, אין תגובות | אנ-מאפ (nmap) (מרשת חיצונית) |
גישה ישירה | ניסיון לגלוש לכתובת איי-פי המקור | סירוב חיבור (Connection refused) או פסק זמן (Timeout) | קורל (curl), דפדפן |
עקיפת כותרת מארח | גישה לכתובת איי-פי המקור עם כותרת מארח (Host) של הדומיין | אמור להידחות | קורל (curl) עם דגל מינוס-אייץ' (-H) |
מניית נקודות קצה של איי-פי-איי | ניסיון לגלות נקודות קצה לא מתועדות | שגיאות גנריות, ללא חשיפת מידע | בדיקה ידנית, כלי פאזינג (Fuzzing) |
אימות הגבלת קצב | שליחת בקשות מהירות ל-איי-פי-איי | שגיאות 429 לאחר מעבר הסף | כלי בדיקת עומסים |
ניטור מתמשך
הסוואה דורשת ערנות מתמדת:
טבלה 19: דרישות ניטור מתמשך
תחום ניטור | במה לצפות | סף התרעה | פעולת תגובה |
ניסיונות גישה למקור | יומני חומת אש עבור חיבורים שהופלו (Dropped) | כל ניסיון מכתובת איי-פי שאינה של ה-סי-די-אן | חקירת המקור, אימות ההסוואה |
שינויי די-אן-אס | ניטור עבור שינויי די-אן-אס לא מורשים | כל שינוי לא צפוי | סקירה מיידית, תקרית פוטנציאלית |
הנפקת תעודות | ניטור יומני שקיפות תעודות (CT) עבור תעודות חדשות | כל תעודה שלא הונפקה דרך ה-סי-די-אן | חקירה, פוטנציאלית ביטול התעודה |
הפעלת הגבלת קצב | פגיעות בהגבלת הקצב של שער ה-איי-פי-איי | זינוק חריג בבקשות חסומות | ניתוח עבור דפוס תקיפה |
דפוסי שגיאות איי-פי-איי | דפוסי שגיאות חריגים מסוג 4-איקס-איקס (4xx) | זינוק בשגיאות 404 או 400 | ניסיון מנייה (Enumeration) פוטנציאלי |
חיבורים יוצאים | מחברים (Connectors) השומרים על מנהרות | כל ניתוק של מנהרה | חיבור מחדש מיידי, חקירת הסיבה |
תגובה לאירועים: כשהסוואה אינה מספיקה
גם עם הסוואה, תוקפים מתוחכמים עלולים למצוא דרכים לעבור. הנה ספר ההפעלה (Playbook) לתגובה שלכם:
טבלה 20: ציר זמן לתגובה לאירוע די-דוס
שלב | זמן | פעולות | החלטות מפתח |
גילוי | 0-5 דק' | סקירת התרעות, בדיקת לוחות מחוונים, אישור מתקפה | האם זו מתקפה אמיתית או תוצאה חיובית כוזבת? |
סיווג | 5-15 דק' | זיהוי סוג המתקפה, וקטור וקנה מידה | נפחית? שכבה 7? רב-וקטורית? |
הכלה | 15-30 דק' | הפעלת הגנות מוגברות, הפעלת אתגרים (Challenges) | אילו טכניקות מיטיגציה (הפחתה) ליישם? |
מיטיגציה | 30-60 דק' | שילוב שירותי ניקוי (Scrubbing), הרחבת משאבים (Scale) במידת הצורך | האם המיטיגציה יעילה? האם צריך להסלים? |
ייצוב | 1-2 שעות | אימות שהשירותים שוחזרו, ניטור להישנות | האם בטוח להפחית הגנות? |
התאוששות | 2-4 שעות | חזרה לפעילות רגילה, תיעוד התקרית | אילו שינויים נדרשים למניעה עתידית? |
לאחר-תקרית | 24-72 שעות | ניתוח מלא, עדכון הגנות, שיפור ההסוואה | איך הם מצאו אותנו? איך למנוע בפעם הבאה? |
פעולות תגובת חירום
כאשר נמצאים תחת מתקפה פעילה, ניתן לנקוט בפעולות אלו באופן מיידי:
טבלה 21: אפשרויות תגובת חירום
מצב | פעולה מיידית | יישום | תופעות לוואי |
מתקפה נפחית המכריעה את ה-סי-די-אן | הפעלת מצב "תחת מתקפה" | לוח מחוונים של סי-די-אן או איי-פי-איי | משתמשים רואים דפי אתגר (Challenge pages) |
הצפת שכבה 7 על נקודת קצה ספציפית | הגבלת קצב חירום (10 בקשות/דקה) | וואף (WAF) / שער איי-פי-איי | עלול להשפיע על משתמשים לגיטימיים |
מתקפה מאזורים ספציפיים | חסימה גיאוגרפית זמנית | חוקי חומת אש של סי-די-אן | חוסם משתמשים לגיטימיים מאותם אזורים |
כתובת איי-פי המקור התגלתה ומותקפת | רוטציית איי-פי מיידית | קונסולת ספק הענן | עיכוב בהפצת די-אן-אס, השבתה קצרה אפשרית |
נקודת קצה של אימות מותקפת | הפעלת קאפצ'ה (CAPTCHA) בכניסה | קונפיגורציית יישום | פגיעה בחוויית המשתמש |
התגלתה מניית איי-פי-איי | הפעלת חסימת בוטים אגרסיבית | קונפיגורציית וואף (WAF) | עלול לחסום אוטומציה לגיטימית מסוימת |
מדידת הצלחה
עקבו אחר מדדים אלו כדי להעריך את יישום ההסוואה שלכם:
טבלה 22: מדדי ביצוע מרכזיים (KPIs) להסוואת יישומים
מדד | לפני הסוואה (קו בסיס) | יעד לאחר יישום | כיצד למדוד |
כתובות איי-פי מקור ניתנות לגילוי | תיעוד חשיפה נוכחית | 0 ניתנות לגילוי | מבחן סיור (Reconnaissance) חיצוני רבעוני |
פורטים נכנסים פתוחים במקור | ספירת פורטים נוכחית | 0 (או סי-די-אן בלבד) | סריקת פורטים חודשית מרשת חיצונית |
ניסיונות סיור מוצלחים (מלכודת דבש) | ביסוס קו בסיס | הפחתה של 90%+ | פריסת מלכודת דבש (Honeypot), ניטור ניסיונות |
ניסיונות תקיפה ישירות-למקור | ספירה ביומני חומת אש | הפחתה של 95%+ | ניתוח שבועי של יומני חומת אש |
הצלחת גילוי מבנה איי-פי-איי | בדיקת חשיפה נוכחית | קרוב ל-0% | הערכת אבטחת איי-פי-איי רבעונית |
זמן ממוצע לגילוי גישוש | מדידת יכולת נוכחית | מתחת ל-5 דקות | מדדי התרעות סיאם (SIEM) |
שיעור הצלחת מתקפות די-דוס | זמן השבתה היסטורי | הפחתה של 80%+ | ניטור זמן פעולה תקינה (Uptime), רשומות תקריות |
ציון משטח תקיפה | שירותי דירוג אבטחה | רביע עליון (Top Quartile) | ביט-סייט (BitSight), סיקיוריטי-סקור-קארד (SecurityScorecard) |
טבלה 23: מסגרת חישוב החזר השקעה (אר-או-איי)
קטגוריית עלות/תועלת | שיטת חישוב | ערכים לדוגמה |
עלות הטמעה | תוכנה + שירותים + עבודה | 50,000 – 200,000 דולר |
עלות תפעול שנתית | מנויים + תחזוקה | 24,000 – 100,000 דולר |
עלות ממוצעת של זמן השבתה ב-די-דוס | דקות השבתה כפול 22,000 דולר | 682,000 דולר למתקפה של 31 דקות |
תדירות מתקפות היסטורית | מתקפות לשנה | 2-10 למגזר הפיננסי |
הפסד שנתי פוטנציאלי | מתקפות כפול עלות ממוצעת | 1.36 מיליון – 6.8 מיליון דולר |
הפחתת סיכון | הפחתה צפויה עם הסוואה | 60-80% |
תועלת שנתית | הפסד פוטנציאלי כפול הפחתת סיכון | 816 אלף – 5.4 מיליון דולר |
החזר השקעה (אר-או-איי) | (תועלת שנתית פחות עלות שנתית) חלקי עלות הטמעה | 300-500%+ בשנה הראשונה |
סיכום: מפת הדרכים ליישום הסוואה
הטמיעו אסטרטגיות אלו לפי סדר ההשפעה והמורכבות:
שלב 1: יסודות (שבועות 1-4)
התמקדו בהסוואת כתובת איי-פי המקור – הצעד הראשון בעל ההשפעה הגבוהה ביותר והכי בר-השגה:
- פרוס או ודא קונפיגורציית סי-די-אן (רשת הפצת תוכן).
- בצע ביקורת לכל וקטורי חשיפת האיי-פי הפוטנציאליים.
- הגדר את חומת האש לקבל תעבורת סי-די-אן בלבד.
- הטמע משיכות מקור מאומתות.
- הפרד שירותי דואר ושירותים אחרים לכתובות איי-פי שונות.
שלב 2: הקשחת איי-פי-איי (שבועות 5-8)
הגן על משטח תקיפת ה-איי-פי-איי שלך:
- פרוס שער איי-פי-איי (API Gateway) אם טרם הוטמע.
- הטמע הגבלת קצב מדורגת לפי סוג נקודת קצה.
- הסר חשיפת מידע מהודעות שגיאה.
- נטרל נקודות קצה של תיעוד בסביבת הייצור.
- שקול חתימת בקשות עבור פעולות רגישות.
שלב 3: טרנספורמציית גישה (שבועות 9-16)
הטמע גישה הפוכה להסוואה מקסימלית:
- פרוס פתרון זי-טי-אן-איי (ZTNA) (כגון 'טרו-פאס' של 'טרה-זון').
- הגר גישת ניהול למודל גישה הפוכה.
- בטל וי-פי-אן לטובת גישה ספציפית-ליישום.
- הטמע אס-פי-איי (SPA) עבור כל מערכת שנותרה בגישה ישירה.
- השג דרישה לאפס פורטים נכנסים.
שלב 4: שיפור מתמיד (מתמשך)
תחזק ושפר את יציבת ההסוואה שלך:
- בדיקות סיור (Reconnaissance) חיצוניות קבועות.
- ניטור מתמשך לדליפת איי-פי.
- עדכון ההסוואה ככל שהתשתית משתנה.
- הערכות אבטחה רבעוניות.
- תרגילי תגובה לאירועים.
מסקנה
מתקפות די-דוס ימשיכו לגדול בנפח, בתחכום ובתדירות. הסטטיסטיקות של 2025 מבהירות זאת: צמיחה של 198% משנה לשנה, מתקפות שיא של 29.7 טרה-ביט לשנייה, כלי תקיפה מבוססי בינה מלאכותית המסתגלים בזמן אמת, ושירותים פיננסיים הנושאים ב-22% מנפח המתקפות העולמי.
הפחתת די-דוס מסורתית – ספיגת מתקפות עם רוחב פס עצום – נותרת הכרחית אך הופכת ליקרה ותגובתית יותר ויותר. הסוואת יישומים מציעה גישה משלימה: חסלו את משטח התקיפה לחלוטין.
כאשר היישומים שלכם בלתי נראים, תוקפים מתמודדים עם אתגר יסודי. הם אינם יכולים לתקוף תשתית שהם לא יכולים למצוא. הם אינם יכולים לגשש הגנות שאינן מגיבות. הם אינם יכולים למפות רשתות המופיעות כחורים שחורים לכלי הסריקה שלהם.
הטכניקות במדריך זה – הסוואת כתובת איי-פי המקור, היקפים מוגדרי תוכנה, ארכיטקטורת גישה הפוכה והגנת איי-פי-איי – מייצגות יישומים מעשיים של עיקרון זה. הן ניתנות לפריסה כיום, עם תוצאות מדידות.
התחילו עם הסוואת כתובת איי-פי המקור. ודאו שהשרתים שלכם בלתי נראים מהאינטרנט הציבורי. לאחר מכן עבדו בשיטתיות דרך כל שכבה עד שמשטח התקיפה שלכם יתקרב לאפס.
לתוקפים יש אוטומציה, בינה מלאכותית ובוטנטים השולטים במיליוני מכשירים. היתרון שלכם הוא אי-נראות.
השתמשו בזה.
למידע על יישום הסוואת יישומים עם טכנולוגיית הגישה ההפוכה של 'טרה-זון' ופתרון ה-זי-טי-אן-איי 'טרו-פאס', בקרו ב-'טרה-זון נקודה איי-או' או צרו קשר עם צוות האבטחה של 'טרה-זון' לייעוץ.
