מעצמת סייבר: פותח האנטי-וירוס הציוני הראשון

חוקרי מעבדת הפוגענים (נוזקות) באוניברסיטת בן-גוריון בנגב פיתחו באחרונה שיטה חדשה לאיתור הודעות אימייל זדוניות ולא מזוהות, שביצועיה נמצאו מדויקים יותר מתוכנות האנטי-וירוס הפופולריות ביותר.

שיטה זו רלוונטית כיום יותר מתמיד לאור העובדה שהאקרים עושים שימוש נרחב בהודעות דוא"ל, כדי לשלוח תוכן מסוכן לקורבנות, כמו קבצים, או קישורים לאתרים זדוניים.

צוות המחקר כלל את הדוקטורנט אביעד כהן, והמנחים האקדמים של כהן: ד"ר ניר ניסים, ראש מעבדת הפוגענים ע"ש דוד וג'נט פולק ב-Cyber@BGU ומרצה במחלקה להנדסת תעשייה וניהול; ופרופ' יובל אלוביץ', מנהל Cyber@BGU ומעבדות החדשנות של דויטשה טלקום (Deutsche Telekom) וחבר במחלקה להנדסת מערכות תוכנה ומידע.

לדברי ד"ר ניסים "הפתרונות הקיימים כיום, מנתחים רכיבים מסוימים של הודעת המייל, תוך שימוש בשיטות מבוססות כללים – אך מפספסים רכיבים חשובים אחרים, ויותר מכל, גם את הקשרים ביניהם. בנוסף, תוכנות האנטי-וירוס הקיימות משתמשות בעיקר בשיטות זיהוי מבוססות חתימה, ולכן אינן מספיקות על מנת לזהות אימיילים זדוניים חדשים ולא ידועים".

מערכת שתעריך באופן מקוון את הסיכון הנשקף מהודעת מייל

השיטה החדשה נקראת Email-Sec-360°. היא פותחה על ידי הדוקטורנט כהן בהנחיה אקדמית של ד"ר ניסים ופרופ' אלוביץ'. מחקרם, שפורסם לאחרונה בכתב העת Expert Systems with Applications, מבוסס על טכנולוגית למידת מכונה וניתוח של מאה מאפיינים כלליים שונים שחולצו מכל דוא"ל, כמו כותרת, גוף המייל וקבצים מצורפים. השימוש בשיטה אינו מחייב גישה לאינטרנט, כך שיחידים וארגונים יכולים להשתמש בה בקלות על מנת לשפר את זיהוי האיומים בזמן אמת.

לטובת הניסויים השתמשו החוקרים באוסף של 33,142 מיילים (12,835 מיילים זדוניים ו-20,307 מיילים תמימים) שנאספו בין השנים 2013-2016. הם השוו את מודל הזיהוי שלהם לביצועים של 60 תוכנות האנטי-וירוס המובילות כיום בשוק, כמו גם למחקרים קודמים, ומצאו שהמערכת שלהם עלתה בביצועיה על היתר ב-10% זיהוי.

לדברי ד"ר ניסים, "במחקר המשך אנחנו מעוניינים להרחיב את השיטה ולעשות אינטגרציה בין שיטות מתקדמות לניתוח וזיהוי של מסמכים עוינים, כגון קבצי PDF ומסמכי MS office – יחד עם Email-Sec-360°, משום שמסמכים אלו מהווים את וקטורי התקיפה הנפוצים בהם תוקפים עושים כיום שימוש, כדי לגרום למשתמשים לפתוח אותם ולהפיץ וירוסים ונוזקות – מה שנקרא הנדסה חברתית. שיטות הניתוח הללו כבר מפותחות במעבדת הפוגענים באוניברסיטת בן-גוריון".

חוקרי מעבדת הפוגענים שוקלים, בנוסף, להתחיל פיתוח של מערכת שתעריך באופן מקוון את הסיכון הנשקף מהודעת מייל נתונה. היא תהיה מבוססת על שיטות מתקדמות של למידת מכונה ותאפשר למשתמשים ברחבי העולם להזין הודעות דוא"ל חשודות – ולקבל באופן מיידי מדד זדוניות והמלצה כיצד לטפל בהודעה. כך גם תסייע המערכת ליצירת מאגר הכולל מיילים זדוניים ותמימים כאחד, למטרות מחקר. כיום, בשל מגבלות פרטיות, יצירת מאגר כזה היא משימה מאתגרת עבור חוקרי התחום.