אחת מנקודות החולשה הגדולות בהתמודדות עם איומי אבטחה מתקדמים הוא ההתמודדות עם איומי zeroday, כלומר אותן נוזקות אשר טרם זוהו על ידי ספקיות האבטחה וטרם פורסמה "חתימה" עבורם. אתגר זה עומד במרכז הפעילות של ספקיות פתרונות סינון התוכן. החשיבות של סינון וניקוי תעבורה בשער (GW) ובעמדות הקצה עלתה מדרגה בשנתיים האחרונות עם הצגתן של נוזקות אשר תוכננו במיוחד עבור מגזרים או אפילו ארגונים מסויימים. תפיסת אבטחת המיידע חייבת להשתנות ולהתאים עצמה למציאות המתפתחת על ידי מציאת מנגנונים אשר יטפלו באיומים לא מוכרים.
אחד המנגנונים הללו מודגם בפתרונות "הלבנה" למיניהם. חברות ישראליות כמו MobileTick, YazamTech, Opswat ואחרות מציעות כיום פתרוננות להלבנת קבצים בכניסה לרשת הארגון ומציעות פיתרון מסויים לבעיית האיומים הלא מוכרים.
פיתרון חדש ומרענן הוא הפיתרון של חברת FireEye. חברה אמריקאית זו מציעה מנגנון הלבנה וסינון של קבצים בצורה הבאה:
רוב הפיתרון אומנם דומה למתחרים, גם כאן מדובר בקופסא, אשר יושבת בתוך הרשת (או מקבלת את התעבורה אליה). היצרן מציע שלוש קופסאות שונות: אחת לסריקת תעבורת אינטרנט, אחת לסריקת דואר ואחת אשר עומדת בפני עצמה ויכולה לשרת קיוסקי הלבנה. כשקובץ חדש מגיע, המערכת בודקת אותו מול מאגרי המידע העולמיים של החברה (מנגנון מקובל כיום בקרב יצרניות ה AV המובילות) כדי לחפש מאפיינים "מחשידים" עבור הקובץ כמו גילו, האם נפגעו משתמשים בעולם כתוצאה מפתיחה שלו ועוד. בשלב השני מחפשים האם קיימת תקשורת החוצה מהקובץ כדי לזהות פניה לכיוון מערכת ניהול חיצונית באינטרנט.
השלב האחרון הוא החידוש הגדול: בתוך הקופסא יש רכיב שנקרא virtual execution engine שיוצר למעשה סביבה דומה לסביבות קיימות בארגון (מעין אימג' או sandbox מיוחד). כך אפשר לגרום לקובץ שיועד לתקיפת סביבת win7, לרוץ בסביבה דומה ומבודדת. המערכת בודקת את ההתנהגות של הקובץ כדי לנסות לראות האם קורים דברים חשודים. המערכת מציפה התנהגות חשודה ומנהל המערכת יכול למחוק או לאפשר מחיקה של קבצים חשודים אוטומטית. כל ארוע חשוד מפעיל מנגנון תיעוד לצורכי בקרה, תיחקור ולימוד. למערכת קישור למערכות SIEM וכן אפשרות לחיבור עם מערכות הגנה נוספות כדוגמת FW אשר מקבלות התראה על כתובת אינטרנט או פורמט שמריץ כעת התקפה על הארגון ומאפשרת לחסום אותו בקלות.
כמו בכל מערכת, גם במערכת זו יש אתגרים וחולשות:
אחת הבעיות שהמערכת מנסה להתמודד איתן היא בעיית הביצועים. סריקה ובדיקה של כל קובץ עד זיכויו עשוייה לגזול זמן רב. בדיקה כזו על פני נפחים גדלים והולכים של מידע עלולה ליצור בעייה קשה מאוד. דרך ההתמודדות שנבחרה עם הבעיה אצל יצרן זה מחולקת לשניים: ליצרן יש מספר דגמים של המערכת אשר מסוגלים לתמוך בנפחי תעבורה של 20 מגה עד 1 גיגה ואפשרות לבניית קלסטר של מספר קופסאות. אופציה נוספת היא הרצה במקביל של הקובץ בצורה מדורגת גם במערכת וגם ביעדו המקורי. כך ניתן לשחרר קצת את צוואר הבקבוק, תוך סיכון מסוים שקובץ נגוע כן יכנס לרשת.
חיסרון מרכזי של המערכת הוא מחירה הגבוה. הפיתרון נועד לתת מענה לארגונים ומוסדות גדולים או כאלה שיש להם מידע מסווג ורגיש. עדיין, יש גבול לתקציב אבטחת המידע גם בגופים גדולים ולכן יקשה על חלקם "לשים את הכסף" דווקא על פיתרון זה.
לסיכום: עיקר החידוש במערכת זו הוא דרך הרצת הקבצים החשודים בתוך sandbox מיוחד ואיפיון קבצים מזיקים בצורה כזו. מדובר בנדבך נוסף וחשוב להתמודדות עם איומי zeroday.
המלצה ללקוחות: בידקו את מנגנון ההלבנה בארגונכם ובעיקר את ההתאמה שלו להתמודדות עם איומים לא מוכרים.
הירשם ל-
תגובות לפרסום (Atom)
רשומות
5 תגובות:
עקב אילוץ זמן הבדיקה, מומלץ ליישם את מערכת ההגנה על תעבורת אינטרנט בתצורת ניטור בלבד.
את מערכת ההגנה על תעבורת דואר, מומץ ליישם עם יכולות חסימה.
בנוסף, פתרון עמדת ההלבנה מכיל יכולות סריקה ייחודיות, החסרות כיום.
כיוון שכדאי לבדוק הוא מימוש בתצורה של שירותים מנוהלים. גם יחסוך כסף וגם ייתן מענה מצויין לארגונים קטנים יותר. השאלה היא האם ניתן לעשות זאת כששרתי הדואר נשארים בארגון?
הפתרון של Mobiletick ודומיו נותנים פתרון הלבנה למשתמשי קצה להלבין חומר שרוצים להכניס למחשבים האישיים שלהם והלבנה רשתית של מעבר קבצים מרשת לרשת.
fireeye
לעומת זאת נותן אפשרות לסרוק תעבור נכנס מהWEB ומהמייל באפשרות ליישום בשער הכניסה או ב TAP .
כל הפתרונות אומנם נותנים מענה להתקפות לא מבוססות חתימה אך הם לא מספקים את אותם הצרכים.
לגבי שירותים מנוהלים עבור ארגונים קטנים, הדבר אפשרי בפתרון ההגנה בדואר, כיוון שקופסת ה - Fireeye יכולה לעבוד כ - MTA, כלומר Mail Relay.
הוסף רשומת תגובה