התנהגות חשודה
טכנולוגיות ניתוח התנהגות רשתית (NBA- Network Behavior Analysis) וניתוח מוניטין (Client Reputation) מהוות חלק משמעותי מארסנל הכלים הזמינים להתמודדות עם התקפות ממוקדות ואיומי סייבר מורכבים
הגנה לישראל
| 19/05/2011
(shutterstock.com)
תארו לכם עולם בו כל אחד מאתנו היה מחויב להתהלך עם תג באופן קבוע, תג המכיל לא רק את השם שלנו אלא את כל המוניטין שלנו, ה-Reputation שלנו אם תרצו. בעולם כזה הקלפטומן, גם אם היה מתהלך בחליפה מהודרת היה נזרק מכל חנות, הפירומן, גם אם היה מתהדר בגומות ונמשים של ילד חייכן היה מתקשה להשיג גפרורים וחומר בעירה, והוונדליסט היה נעצר במקום. בעולם זה האקרים היו מתקשים מאוד ליישם את פועלם וייתכן שאיומי סייבר מורכבים היו מנוטרלים לפני שהיו מגיעים לשלב הקריטי.
הבעיה היא שבעולם האמיתי – הקיברנטי אנחנו נהנים מאנונימיות מסוימת ואנחנו לא מצוותים דרך קבע לתג מוניטין מפורט שמתריע על פרופיל ההתנהגות שלנו. בעולם המידע בניית פרופיל מפורט לכל משתמש מחייב ניתוח התנהגות פרטני באופן שיאפשר לגלות מי חבר ומי אויב ואיזה תעבורת מידע היא לגיטימית ונחוצה ואיזה היא חלק ממהלך זדוני כזה או אחר.
טכנולוגיות ניתוח התנהגות רשתית (NBA- Network Behavior Analysis) וניתוח מוניטין (Client Reputation) מהוות חלק משמעותי מארסנל הכלים הזמינים להתמודדות עם התקפות ממוקדות ואיומי סייבר מורכבים. טכנולוגיות אלו, מעצם היותן מבוססות על אלגוריתמים משתנים ולא על חתימות סטאטיות, מהוות קו-הגנה אפקטיבי נגד איומי Zero-day ומאפשרות להתמודד עם איומים סמויים שלא מנוטרלים על ידי מערכות האבטחה המסורתיות. איומי סייבר מורכבים כגון התקפות APT (Advanced Persistent Threat) פועלים לרוב בחתימה נמוכה ולאורך זמן ולכן הם קשים יותר לזיהוי בשיטות הרגילות. לעומת זאת טכנולוגיות ניתוח התנהגות יכולות לשמש כרשת הגנה צפופה יותר הנמתחת סביב משאבי הארגון, מזהה ומנטרלת איומים חמקניים.
יישום של טכנולוגיות ניתוח התנהגות כמנגנון אבטחה אקטיבי ברשת מהווה שינוי תפיסה מול מתודולוגיות האכיפה המסורתיות של תחום האבטחה הרשתית. מתודולוגיות אלה המבוססות על חוקים לוגים נוקשים של אסור ומותר מוחלפות במודל הסתכלות ארוך טווח, הנשען על אלגוריתמים מתקדמים שפועלים לשקלול ציון לכל משתמש על פי דפוס הפעילות שלו בציר הזמן. כאשר משתמש פועל בצורה חשודה ודפוס הפעילות שלו תואם לדפוס המזוהה במערכת כפעילות זדונית ניתן להפעיל מנגנוני אכיפה שונים שיעצרו את המשתמש והתעבורה הרלוונטית המשויכת אליו. כדי למנוע זיהוי כוזב של פעולות לגיטימיות, מערכות ניתוח התנהגות ומוניטין פועלות לרוב כמנגנון משפטי מדוייק – כל המשתמשים מוגדרים בחזקת "חפים מפשע" וסביר להניח שמעידה קלה לא תשלח אותך לתא העונשין, אך פעילות חשודה וזדונית, המשתרעת לאורך זמן תכתיר לך מוניטין של משתמש חשוד ומכאן קיימת הסלמה ברורה עד לחסימת המשתמש והתעבורה.
קיימות שיטות שונות לניתוח התנהגות רשתית – מניתוח Metadata של פרופיל תעבורה לדגימות תעבורה חיות וכלה במנגנוני ניקוד משתמשים (Scoring) ושילוב מידע גיאוגרפי. כולן בסופו של דבר תורמות לקבלת תובנות על התנהגות המשתמשים ברשת, תובנות החיונית להתמודדות עם איומים מורכבים.
תארו לכם עולם בו כל אחד מאתנו היה מחויב להתהלך עם תג באופן קבוע, תג המכיל לא רק את השם שלנו אלא את כל המוניטין שלנו, ה-Reputation שלנו אם תרצו. בעולם כזה הקלפטומן, גם אם היה מתהלך בחליפה מהודרת היה נזרק מכל חנות, הפירומן, גם אם היה מתהדר בגומות ונמשים של ילד חייכן היה מתקשה להשיג גפרורים וחומר בעירה, והוונדליסט היה נעצר במקום. בעולם זה האקרים היו מתקשים מאוד ליישם את פועלם וייתכן שאיומי סייבר מורכבים היו מנוטרלים לפני שהיו מגיעים לשלב הקריטי.
הבעיה היא שבעולם האמיתי – הקיברנטי אנחנו נהנים מאנונימיות מסוימת ואנחנו לא מצוותים דרך קבע לתג מוניטין מפורט שמתריע על פרופיל ההתנהגות שלנו. בעולם המידע בניית פרופיל מפורט לכל משתמש מחייב ניתוח התנהגות פרטני באופן שיאפשר לגלות מי חבר ומי אויב ואיזה תעבורת מידע היא לגיטימית ונחוצה ואיזה היא חלק ממהלך זדוני כזה או אחר.
טכנולוגיות ניתוח התנהגות רשתית (NBA- Network Behavior Analysis) וניתוח מוניטין (Client Reputation) מהוות חלק משמעותי מארסנל הכלים הזמינים להתמודדות עם התקפות ממוקדות ואיומי סייבר מורכבים. טכנולוגיות אלו, מעצם היותן מבוססות על אלגוריתמים משתנים ולא על חתימות סטאטיות, מהוות קו-הגנה אפקטיבי נגד איומי Zero-day ומאפשרות להתמודד עם איומים סמויים שלא מנוטרלים על ידי מערכות האבטחה המסורתיות. איומי סייבר מורכבים כגון התקפות APT (Advanced Persistent Threat) פועלים לרוב בחתימה נמוכה ולאורך זמן ולכן הם קשים יותר לזיהוי בשיטות הרגילות. לעומת זאת טכנולוגיות ניתוח התנהגות יכולות לשמש כרשת הגנה צפופה יותר הנמתחת סביב משאבי הארגון, מזהה ומנטרלת איומים חמקניים.
יישום של טכנולוגיות ניתוח התנהגות כמנגנון אבטחה אקטיבי ברשת מהווה שינוי תפיסה מול מתודולוגיות האכיפה המסורתיות של תחום האבטחה הרשתית. מתודולוגיות אלה המבוססות על חוקים לוגים נוקשים של אסור ומותר מוחלפות במודל הסתכלות ארוך טווח, הנשען על אלגוריתמים מתקדמים שפועלים לשקלול ציון לכל משתמש על פי דפוס הפעילות שלו בציר הזמן. כאשר משתמש פועל בצורה חשודה ודפוס הפעילות שלו תואם לדפוס המזוהה במערכת כפעילות זדונית ניתן להפעיל מנגנוני אכיפה שונים שיעצרו את המשתמש והתעבורה הרלוונטית המשויכת אליו. כדי למנוע זיהוי כוזב של פעולות לגיטימיות, מערכות ניתוח התנהגות ומוניטין פועלות לרוב כמנגנון משפטי מדוייק – כל המשתמשים מוגדרים בחזקת "חפים מפשע" וסביר להניח שמעידה קלה לא תשלח אותך לתא העונשין, אך פעילות חשודה וזדונית, המשתרעת לאורך זמן תכתיר לך מוניטין של משתמש חשוד ומכאן קיימת הסלמה ברורה עד לחסימת המשתמש והתעבורה.
קיימות שיטות שונות לניתוח התנהגות רשתית – מניתוח Metadata של פרופיל תעבורה לדגימות תעבורה חיות וכלה במנגנוני ניקוד משתמשים (Scoring) ושילוב מידע גיאוגרפי. כולן בסופו של דבר תורמות לקבלת תובנות על התנהגות המשתמשים ברשת, תובנות החיונית להתמודדות עם איומים מורכבים.
