לגלות את הבלתי ניתן לגילוי
תוקפים המתמחים במציאת Zero Day לא מבזבזים זמן. הם בודקים תוכנה חדשה עוד ביום שהיא יוצאת לשוק, מזהים את הפרצה, כותבים תוכנה זדונית ועושים בה שימוש לטובתם וכנגד ארגונים שונים
הגנה לישראל
| 19/05/2011
via shutterstock.com
עולם אבטחת המידע עבר בשנים האחרונות שינויים מרחיקי לכת. אם בעבר וירוסים ותוכנות זדוניות היו מוחדרים למחשב שלנו דרך הורדה לא זהירה של קבצים, הרי שכיום המצב שונה לחלוטין והאנשים שעומדים מאחורי התוכנות הזדוניות, הפכו להיות מתוחכמים הרבה יותר.
הסיבה לכך נעוצה בעיקר במטרות אותן הם מעוניינים להשיג, מטרות שהשתנו אף הן. בעוד שבעבר פגיעה במחשב הייתה לשם הפגיעה בלבד, רשת האינטרנט פתחה עבורם עולם חדש לחלוטין וכיום אנו מזהים יותר ויותר תקיפות שמטרתן פגיעה או גניבה של מידע ונתונים.
מהם איומי Zero Day?
מדובר באיומים מתוחכמים מאוד המשתמשים בפרצות לא ידועות או בפרצות שרק עתה התגלו, כך שלמרבית מוצרי אבטחת המידע המסורתיים קשה לזהותם. הפרצות האלו יכולות להיות בסביבות שונות בתשתיות הלקוח, כגון מערכות ההפעלה, מעבדי תמלילים, תוכנות גרפיקה פופולריות ועוד. התוקפים העומדים מאחורי הקבצים הזדוניים, נחשבים למומחי אבטחה טובים למדי אשר סורקים ומאתרים פרצות אבטחה בתוכנות שונות ועושים בהן שימוש לרעה.
בחלק גדול מהמקרים, התוקפים ישתמשו באיומים אלו כנגד ארגונים מסוימים בצורה מוכוונת ופרטנית, איומים הידועים התעשייה בשם APT (Advance Persistence Threats).
ברוב המקרים, התוקפים אשר מתמחים במציאת Zero Day לא מבזבזים זמן. הם בודקים תוכנה חדשה עוד ביום שהיא יוצאת לשוק, מזהים את הפרצה, כותבים תוכנה זדונית ועושים בה שימוש לטובתם וכנגד ארגונים שונים. האיומים עצמם לא מופצים בהכרח דרך הורדה של תוכנה או עדכון, וניתן למצוא קבצי Zero Day מתוחכמים במיוחד אשר מוחדרים למחשב באמצעות כניסה לכתובת אינטרנט מסוימת דרך הדפדפן באופן שבו הקובץ הזדוני מזהה את פרצת האבטחה ברגע הכניסה לכתובת/באמצעות קבלת דוא"ל/שימוש באמצעים נתיקים ועוד.
במקרים אלו, המשתמש ימשיך לעבוד כרגיל ולא ירגיש שקובץ זדוני חדר אליו למחשב באותו רגע, שכן לא ניתנת התראה ולא ניתן סימן שהתרחשה פעילות כלשהי, סדירה או חריגה.
בניגוד לקבצים זדוניים אחרים, רוב איומי ה-Zero Day וההתקפות הממוקדות לא מתמקדים בהאטת המחשב או בפגיעה בביצועים, אלא בגניבת מידע רגיש כגון קניין רוחני (Intellectual Property), מסמכים מסחריים רגישים או לחלופין בגרימת הרס כגון מחיקת המידע שנשמר במערכות הארגון ובכלל זה גם הגיבויים.
כיצד מתמודדים?
נשאלת השאלה "איך אפשר לתת מענה לאיום שנחשב מתוחכם כל כך, אשר מסווה את עצמו כל כך טוב על המחשב?".למרות שמדובר בתקיפות מתחכמות במיוחד, השלב הראשון במלחמה באיומי Zero Day הוא להבין כי אפשר להתמודד אתם באמצעות פתרונות המבוססים על מספר שכבות שונות של הגנה.
כך למשל, אם איומי Zero Day מנצלים את העובדה שהם מתבססים בתוך מערכת מסוימת ועורכים בה שינויים, הרי שתוכנות אבטחת מידע ייעודיות מזהות את הדפוס החריג הזה על ידי שימוש במנגנונים כמו בדיקה מקיפה של קבצים בסביבות וירטואליות המדמות את סביבות הלקוח (טכנולוגיות Sandbox), שימוש במאגרי מידע מבוססי מוניטין (Global Reputation) על מנת להבין מה טיב המקור, ובדיקת דפוסי התנהגות של התעבורה (Pattern Matching).
ככלל, כדי להשיג אחוז זיהוי גבוה ורמת אבטחת מידע גבוהה, יש לעדכן את מערכות אבטחת המידע השונות בעדכונים שוטפים על מנת לתת מענה לאיומים הרבים המתווספים מידי יום. מערכות אבטחת מידע המתעדכנות על בסיס קבוע ממאגרי המידע של החברה המפתחת יתנו מענה גבוה לעין שיעור לעומת מערכות שאינן מתעדכנות.
כותב המאמר הוא מהנדס מערכת ב-McAfee ישראל.
עולם אבטחת המידע עבר בשנים האחרונות שינויים מרחיקי לכת. אם בעבר וירוסים ותוכנות זדוניות היו מוחדרים למחשב שלנו דרך הורדה לא זהירה של קבצים, הרי שכיום המצב שונה לחלוטין והאנשים שעומדים מאחורי התוכנות הזדוניות, הפכו להיות מתוחכמים הרבה יותר.
הסיבה לכך נעוצה בעיקר במטרות אותן הם מעוניינים להשיג, מטרות שהשתנו אף הן. בעוד שבעבר פגיעה במחשב הייתה לשם הפגיעה בלבד, רשת האינטרנט פתחה עבורם עולם חדש לחלוטין וכיום אנו מזהים יותר ויותר תקיפות שמטרתן פגיעה או גניבה של מידע ונתונים.
מהם איומי Zero Day?
מדובר באיומים מתוחכמים מאוד המשתמשים בפרצות לא ידועות או בפרצות שרק עתה התגלו, כך שלמרבית מוצרי אבטחת המידע המסורתיים קשה לזהותם. הפרצות האלו יכולות להיות בסביבות שונות בתשתיות הלקוח, כגון מערכות ההפעלה, מעבדי תמלילים, תוכנות גרפיקה פופולריות ועוד. התוקפים העומדים מאחורי הקבצים הזדוניים, נחשבים למומחי אבטחה טובים למדי אשר סורקים ומאתרים פרצות אבטחה בתוכנות שונות ועושים בהן שימוש לרעה.
בחלק גדול מהמקרים, התוקפים ישתמשו באיומים אלו כנגד ארגונים מסוימים בצורה מוכוונת ופרטנית, איומים הידועים התעשייה בשם APT (Advance Persistence Threats).
ברוב המקרים, התוקפים אשר מתמחים במציאת Zero Day לא מבזבזים זמן. הם בודקים תוכנה חדשה עוד ביום שהיא יוצאת לשוק, מזהים את הפרצה, כותבים תוכנה זדונית ועושים בה שימוש לטובתם וכנגד ארגונים שונים. האיומים עצמם לא מופצים בהכרח דרך הורדה של תוכנה או עדכון, וניתן למצוא קבצי Zero Day מתוחכמים במיוחד אשר מוחדרים למחשב באמצעות כניסה לכתובת אינטרנט מסוימת דרך הדפדפן באופן שבו הקובץ הזדוני מזהה את פרצת האבטחה ברגע הכניסה לכתובת/באמצעות קבלת דוא"ל/שימוש באמצעים נתיקים ועוד.
במקרים אלו, המשתמש ימשיך לעבוד כרגיל ולא ירגיש שקובץ זדוני חדר אליו למחשב באותו רגע, שכן לא ניתנת התראה ולא ניתן סימן שהתרחשה פעילות כלשהי, סדירה או חריגה.
בניגוד לקבצים זדוניים אחרים, רוב איומי ה-Zero Day וההתקפות הממוקדות לא מתמקדים בהאטת המחשב או בפגיעה בביצועים, אלא בגניבת מידע רגיש כגון קניין רוחני (Intellectual Property), מסמכים מסחריים רגישים או לחלופין בגרימת הרס כגון מחיקת המידע שנשמר במערכות הארגון ובכלל זה גם הגיבויים.
כיצד מתמודדים?
נשאלת השאלה "איך אפשר לתת מענה לאיום שנחשב מתוחכם כל כך, אשר מסווה את עצמו כל כך טוב על המחשב?".למרות שמדובר בתקיפות מתחכמות במיוחד, השלב הראשון במלחמה באיומי Zero Day הוא להבין כי אפשר להתמודד אתם באמצעות פתרונות המבוססים על מספר שכבות שונות של הגנה.
כך למשל, אם איומי Zero Day מנצלים את העובדה שהם מתבססים בתוך מערכת מסוימת ועורכים בה שינויים, הרי שתוכנות אבטחת מידע ייעודיות מזהות את הדפוס החריג הזה על ידי שימוש במנגנונים כמו בדיקה מקיפה של קבצים בסביבות וירטואליות המדמות את סביבות הלקוח (טכנולוגיות Sandbox), שימוש במאגרי מידע מבוססי מוניטין (Global Reputation) על מנת להבין מה טיב המקור, ובדיקת דפוסי התנהגות של התעבורה (Pattern Matching).
ככלל, כדי להשיג אחוז זיהוי גבוה ורמת אבטחת מידע גבוהה, יש לעדכן את מערכות אבטחת המידע השונות בעדכונים שוטפים על מנת לתת מענה לאיומים הרבים המתווספים מידי יום. מערכות אבטחת מידע המתעדכנות על בסיס קבוע ממאגרי המידע של החברה המפתחת יתנו מענה גבוה לעין שיעור לעומת מערכות שאינן מתעדכנות.
כותב המאמר הוא מהנדס מערכת ב-McAfee ישראל.
