איומים מודרניים נמשכים

בסביבה שבה מרבית מערכות ההגנה מבוססות על חתימות או זיהוי דפוסי התנהגות, מצליחות מתקפות APT להלך אימים על מנהלי אבטחת המידע.

(shutterstock.com)

אחד האיומים המרכזיים בתחום אבטחת המידע שנותר ללא מענה מוצלח, הינו היכולת לזהות התקפות עוינות שאינן מזוהות על ידי "חתימות" של מוצרי אנטי וירוס וזיהוי חדירות (IDP). מרבית מתודולוגיות ההגנה הנהוגות כיום מבוססות על זיהוי החתימה של האיום, כאשר החוסר המרכזי של שיטה זו נעוץ בחוסר המודעות לגבי האיום. כאשר הקוד העוין "תפור" למידותיו של ארגון (כמו בפרשת הטרויאני), או לחילופין מדובר על קוד חדש או כזה שאינו נפוץ (כמו כל קוד עוין בתחילת דרכו), יצרניות האנטי וירוס אינן חשופות אליו וייצור הנוגדן אורך זמן יקר גם לאחר חשיפתו.

איום קבוע מתוחכם (APT- Advanced Persistent Threat) כדוגמת האיום שתואר לעיל, הוא איום המבוסס על קוד שאינו מזוהה על ידי תוכנות אנטי-וירוס רגילות מחד ומנהל התנהגות "ג'נטלמנית" ביחסו לרשת מאידך. הוא לא יפיל נתבים וציוד תקשורת, לא יסרוק את הרשת, לא יבצע עשרות או מאות כישלונות בהזדהות ב- Active Directory, אבל הוא כן יחיה בתחנות או בשרתים. זאת, מבלי לצרוך יותר מדי משאבים, עובדה שתאפשר לו 'לטפטף' מידע החוצה באופן מתון. איום מסוג זה יכול גם לחכות ליום פקודה בכדי להוציא מידע או לפגוע במידע קיים (הגילוי שלו יהיה מאוחר מדי).

האתגר בהתמודדות

התמודדות עם איום שלא זוהה בכלי האבטחה הקיימים בידיו של ארגון (לרוב הארגונים אין כלים כאלו) דורשת שתי דיסיפלינות: הלבנה של תהליכים והתנהגות מוכרת והחשדה של תהליכים והתנהגות לא מוכרת.

כאשר מתבססים על חתימות חיוביות (BIT9, NSRL NIST), מסוגלים "להלבין" חלק גדול מהתהליכים. האתגר הגדול בפתרון כזה הינו תחזוקה אינסופית של חתימות ההלבנה ומרדף אחרי חתימות של עדכונים ושינויים בתחנות ובשרתים. מאידך, כאשר אנו מתבססים על החשדה של תהליכים והתנהגות לא מוכרת, אנו נשארים בדרך כלל עם מאות תהליכים חשודים ומשרה מלאה שעניינה ניתוח תעבורת רשת.

המתודולוגיה לזיהוי וטיפול באירועים עוינים בלתי מזוהים או חשד כזה, היא שילוב של מספר תהליכים. ללקוחות אשר מוטמע בהם פתרון ניטור אירועי אבטחת מידע (כמו מערכת ה-ArcSight), יש מודל Scoring למשאבים המבוסס על אירועים שליליים המאפשר לאתר את הנכסים/משתמשים שמהווים את הסיכון הגדול ביותר. מכיוון ש APT’s מתרחשים לאורך זמן, סך של אירועים שליליים יביא לזיהוי של הנכסים הפגיעים.

גם כאשר יש חשד לאיום בתחנות ושרתים, בדרך כלל נדרש מידע רלוונטי מהתחנה או השרת כדי שהארגון יחליט אם ל"פרמט או לא לפרמט". במקרה כזה, רוב הארגונים חסרים את הידע, הזמן או המוטיבציה לתחקר תחנות ושרתים ולכן זקוקים לדרך ודאית, מהירה ופשוטה יחסית לאמת את הפגיעה במשאב. קל וחומר אם מדובר ב APT.

הכותב הוא סמנכ"ל טכנולוגיות אבטחת מידע בחברת We!

אולי יעניין אותך גם