פתרונות סייבר – במה זה טוב לארגונים?

כתב: עידן טולדו, CTO סקיורנט מקבוצת אמן

כמות ותחכום האיומים הקיימים כיום בעולם המחשוב מצריכים את הארגונים והחברות השונות להיכנס לפרויקטים של בחינת והטמעת מערכות אבטחה, שמשלימות פערים וחולשות בהן לא מטפל עולם אבטחת המידע ה-"מסורתי".

כשאנחנו מדברים על עולם אבטחת המידע ה-"מסורתי", הכוונה היא לרכיבי אבטחה דוגמת חומות אש בעלות פונקציונליות בסיסית, מנגנוני אנטי וירוס מבוססי "חתימות" ודומיהם. מערכות אלה מעניקות טיפול באיומים ידועים ובחולשות מוכרות, כאשר ההישענות היא על "חתימות". אבל מה אם המצב בפועל איננו כך? מה קורה כשהאיום לא ידוע ומערכות ההגנה לא מכירות את אותה החולשה?

מגמת המתקפות ורמת התוקפים השתנתה בשנים האחרונות, ואנחנו נוכחים לדעת שהמוצרים המשמשים כיום את עולם אבטחת המידע ה-"מסורתי" לא נותנים מעטפת מספקת אל מול סוגי המתקפות הקיימות כיום. איומים לא ידועים במרחב הסייבר יכולים להגיע ממספר גורמים, כגון מדינות, פושעי סייבר ואף תוקפים פנימיים.

דרכי התקיפה במרחב הסייבר שונות ומגוונות. בחלק מהמקרים התוקפים דווקא בוחרים להתמקד במתקפות מבוססות "הנדסה חברתית", המבוצעות על עובדי הארגון ממנו רוצים לדלות מידע רגיש. למשל, התוקפים משתמשים במתקפה המתבצעת על ידי שליחת קובץ או לינק למייל של העובדים, שבדרך כלל לא קיימת עבורם חתימת אנטי וירוס או חסימה במנגנוני הסריקה של הארגון. ברגע שעובד הארגון פותח את המייל ולוחץ על המידע המצורף, נטען לתחנת העבודה שלו קוד זדוני המאפשר גישה מלאה משרת ההשתלטות של התוקפים לעבר תחנת העבודה של אותו העובד. בשלב זה, התוקפים דואגים לשמר את הגישה ולהתרחב ברשת הארגון באמצעות טכניקות שונות. קיימים מקרים בהם קשה לאתר את התוקפים וחסימתם יכולה להיארך זמן רב.

מה בין אבטחת מידע לאבטחת מידע במרחב הסייבר?

אנחנו יכולים לשאול את עצמנו מהו בעצם ההבדל בין אבטחת מידע לאבטחת מידע במרחב הסייבר? האם וירוס הכופר הידוע לשמצה, שדואג להצפין את קבצי המשתמשים, מוגדר כמתקפת סייבר או כווירוס? האם הוא הופך להיות מוגדר כווירוס כשהוא מופץ למאות ארגונים בצורה רנדומלית, ללא התייחסות גיאוגרפית וללא התייחסות לסקטור מסוים? ומה אם אותו וירוס הכופר היה מופץ במכוון בווריאציה חדשה לארגון ספציפי בתאריך מסוים, ובכך היה משבית את הפעילות העסקית של אותו הארגון? האם אז הוא היה מוגדר כמתקפת סייבר? ניתן להתחבט עם שאלות אלה וליצור עוד אינספור תרחישים שככל הנראה, הדעות לגביהם יהיו חלוקות. מה שנסכים עליו, פה אחד, הוא שאנחנו רוצים למנוע את התרחישים הללו מהארגון ולפיכך, לצמצם ואף לחסום ולנטרל את אותם האיומים שאינם ידועים לנו.

כאשר לקוד לא קיימת חתימה במנגנון האנטי וירוס, נרצה לנתח את ההתנהגות שלו, כחלק ממנגנון מנע שבהמשך ידאג לעצירתו ולהתפשטותו ברשת הארגון. לטובת טיפול במקרים המתוארים מעלה, קיימים בשוק מנגנוני אבטחה מתוחכמים שיודעים לנתח את ההתנהגות של אותו הקוד, בין אם ניתוח של מה הקוד מנסה לבצע בפועל בתחנת העבודה, אילו ערכים הוא משנה במערכת ההפעלה ומאילו תיקיות הוא פועל, ובין אם ניתוח ההתנהגות של אותו הקוד בהיבטי תקשורת, האם הקוד פונה לכתובות URL מסוימות באינטרנט, מתי וכיצד הוא מנסה להתפשט ברשת הארגון וכדומה. כאשר המערכת מזהה שאכן מדובר בקוד זדוני, היא תדע ליצור לאותו הקוד חתימה ולהכניס את תחנת העבודה הנגועה ל-"הסגר", על מנת שלא ייגרם נזק נוסף ברשת הארגון עקב התנהגותו של אותו הקוד. כחלק מהתהליך, המערכת תדאג להעביר את המידע הרלוונטי עבור הקוד לשאר מערכות האבטחה, על מנת שאלה יכירו ויחסמו אותו מבעוד מועד, בין אם על ידי יצירת חתימות במערכות השונות ובין אם על ידי הכנסת כתובות ה-URL שאליהן הקוד מנסה לפנות לרשימות השחורות.

בשל מקרים כאלה ואחרים, היצרניות הגדולות בתחום אבטחת המידע החלו לפתח פתרונות משלימים לעולם הסייבר. בנוסף לכך, קמו חברות רבות בתחום שמפתחות פתרונות ייעודיים לעולם הסייבר שפועלים בערוצי המידע השונים.

גודל הארגון לא בהכרח קובע את רגישות וחיסיון המידע שהארגון נדרש לו ולכן, גם לארגונים קטנים וגם לבינוניים אסור להתעלם ממרחב הסייבר ומהשלכותיו.

פתרונות אבטחת המידע לעולם הסייבר מספקים רבדי אבטחה נוספים, שלא תמיד קיימים או מופעלים במערכות האבטחה הקיימות בארגונים הקטנים והבינוניים. זאת, בשל עלותם הגבוהה, הצורך בתחזוקתם וניטורם ובהבנת התהליכים הנדרשים לטיפול באירוע באם מתרחש. הפתרונות השונים כוללים מוצרי זיהוי אנומליות רשתיות, מוצרי זיהוי אנומליות בתחנות קצה ממשפחת EDR (ר"ת Endpoint detection and response), מערכות Sandbox, מוצרי הלבנה מתוחכמים, מערכות Next Generation Firewall ועוד.

מתעניינים באבטחת מידע ובסייבר? רוצים לשמוע עוד? הירשמו לכנס SecTech 2015.