$
סייבר ואבטחת מידע

זירת הסייבר עוברת לארגז החול

אמצעי הכרחי להתגבר על איומי הסייבר הנוכחים הינו לאפשר למערכות ההגנה שליחה אוטומטית של קבצים חשודים ן ל"ארגז חול" חכם המותאם לסביבה האורגנית של הארגון. פתרונות אחרים ימנעו מהארגון לנוע ולהגיב במהירות הנדרשת בעידן העסקי של ימינו". כך אומר תמיר סגל, מנהל פעילות טרנד מיקרו ישראל, בראיון לכלכליסט

בשיתוף טרנד מיקרו ישראל 12:5516.02.16
תמיר סגל הנו שועל קרבות ותיק בעולם ה-IT הישראלי וניהל במשך שנים רבות מערכות מורכבות הן בצד הספקים והן בצד הלקוחות. למעשה, סגל היה מהראשונים בישראל שהפיצו פתרון אנטי וירוס, עוד בימים שתוכנות הופצו באמצעות דיסקטים גדולים ושחורים. דווקא כאחד שראה כבר הכל, מעניין לשמוע את נקודת מבטו לגבי המלחמה הבלתי פוסקת בין בעלי "הכובעים השחורים", העוסקים בפשיעת סייבר ובהתקפות על שערי הארגונים, לבין בעלי "הכובעים הלבנים", האמונים על הדיפת ההתקפות הללו ועל ביסוס ביצורי הארגון מפני התקפות סייבר עתידיות.

 

פשע מאורגן ומתוכנן מראש

 

תמיר, במה שונים איומי הסייבר בעידן של ימינו מאלו שידעו ארגונים בעבר?

 

בתחילת הדרך, כאשר המקור לנוזקות ווירוסים למיניהם היו האקרים משועממים, העולם נראה אחרת. המניע לפיתוח הווירוסים היה רצון למשוך תשומת לב, להוכיח שאפשר, לייצר אימפקט, לעשות דווקא ... המהות של ההתקפות לא הייתה ממוקדת רווח אלא יותר ברמה של, אנרכוניזם, ונדליזם או כל רצון אחר לייצר איזו שהיא השפעה...

 

כיום המצב שונה בתכלית. מי שמניע את התעשייה הזו אלה ארגוני פשיעה ממוסדים וממומנים היטב. יש בזה הרבה מאוד כסף, כיוון שהתכנים המוצעים למכירה שווים המון כסף. ברמה של מודיעין עסקי וריגול תעשייתי, מדובר בעסקאות שנסגרות מראש ומאפשרות לאותם גורמים עוינים לגבות מאות אלפי דולרים בעבור מידע הנגנב משרתי חברות עסקיות. כך למשל, קיים ביקוש גדול מאוד לפרטי כרטיסי אשראי מארה"ב. דרישה זו הביאה בחור אוקראיני לפתח נוזקה, בעזרת כלי פיצוח בסיסיים שקנה באינטרנט, בהשקעה של כ- 700 דולר בלבד. הנוזקה שפיתח אפשרה לו לפרוץ למחשבי ענקית הקמעונאות טארגט (Target) ולגנוב פרטים של 40 מיליון כרטיסי אשראי וכן שמות, כתובות מגורים וכתובות דואר אלקטרוני של כ-110 מיליון לקוחות. הפריצה גרמה לטארגט להגיע כמעט לסף קריסה – המנייה נפלה בעשרות אחוזים, כל הדרג הניהולי פוטר ותביעות בהיקף של כ- 2 מיליארד דולר תלויות ועומדות נגדה. פריצה בעלת אופי דומה, שפרטיה הצליחו להישאר הרחק מאור הזרקורים, הייתה זו שהתרחשה בחברת הפיננסים הענקית – ג'יי פי מורגן. גם כאן דובר בנזקים של מאות מיליוני דולרים.

 

היום אנו עוסקים בפשע מאורגן ומתוכנן מראש. עסקים קטנים ובינוניים חווים את התופעה בעיקר תחת התקפות סחיטה של Ransom Ware – דרישת כופר. לרוב מדובר בקובץ שחודר למערכת במסווה תמים וברגע שפותחים אותו הוא נועל את כל הקבצים בהצפנה חזקה, שלרוב אינה ניתנת לפיצוח. תאר לעצמך מצב שבו בבוקר בהיר אחד כל קבצי האקסל והוורד במשרד עו"ד או רו"ח ננעלים לפתיחה... הנעילה מגיעה ביחד עם דרישת כופר לתשלום של מאות ועד אלפי יורו. במידה והכסף לא מועבר הקבצים פשוט נמחקים מהמחשב. המדהים הוא שלא מדובר בתופעת שוליים נדירה אלא במכת מדינה. למעשה, מתרחשים בין חמישים למאה מקרים כאלה בישראל מידי יום! כמעט אף אחד מהם אינו מגיע לתקשורת, כי איזה רו"ח היה רוצה לחשוף את העובדה שכל קבצי הלקוחות שלו היו נתונים בידיהם של פושעים?

 

תמיר סגל, מנהל פעילות טרנד מיקרו בישראל תמיר סגל, מנהל פעילות טרנד מיקרו בישראל צילום: גבריאל בהרליה

 

מהן החולשות של מנגנוני ההגנה הקונבנציונליים, כמו חומות אש ואנטי וירוס, למול איומי הסייבר העכשוויים?

 

לנוזקות Ransomware יש יכולות מוטציה כך שלאנטי וירוס קונבנציונלי המושתת על חתימות אין אפשרות לזהות את הנוזקה. טרנד מיקרו פיתחה אמצעי קורלציה מיוחדים לסוג זה של נוזקות וציידה את גרסאות התוכנה החדישות ביכולת זיהוי גבוהה של משפחת נוזקות Ransomware גם ללא חתימה ידועה מראש. מבחינה כמותית, רוב הנוזקות הנמצאות ברשת הינן ברות זיהוי באמצעים הרגילים ולפיכך לא ניתן לוותר על מנגנוני הגנה קונבנציונלים מאידך איום הנזק הרב שעלול להיגרם מנוזקה המכוונת ישירות לארגון זה או אחר - ומאופיינת בדרך כלל בתחכום יוצא דופן – יוצר צורך לשנות את הגישה הקלאסית לאבטחת הארגון.

 

מעבר למערכות רב תכליתיות

 

באלו מנגנונים צריכים להצטייד הארגונים העסקיים של ימינו בכדי להגן על עצמם טוב יותר?

 

לאחרונה אנו עדים לתופעה בה ארגונים מוסיפים אין ספור פתרונות הגנה בתקווה לעצור את האיום הבא, טופולוגית אבטחת הרשת הארגונית מאבדת את ההומוגניות , הפתרונות מגיעים מספקים שונים ודורשים משאבי ניהול חדשים היוצרים לחץ תקציבי על הארגון. חלק מפתרונות הסייבר החדשים מושתתים על אלגורתמיקה גבוהה ולאו דווקא על מידע מודעיני עובדה שמייצרת סבירות של התרעות שווא המהוות נטל על התפוקה בארגון. ריבוי הפתרונות יוצר גם בעיית סנכרון קשה בין כל הרכיבים ובהרבה מקרים אנו רואים השבתה או אי ניצול של הפתרון ובמקרים רבים גם נוצרים חורי אבטחה חמורים ברשת.

 

הדרך הנכונה להתמודד עם הבעיה היא במעבר לפתרון רב תכליתי שיודע לנצל את הקיים בארגון וגם ולהוסיף את שכבת הטיפול הנדרשת להתמודדות מול איומי הסייבר החדשים.

 

בוא נדמיין רשת בסיסית של ארגון X , עד כה השתמש הארגון בתחנות הקצה ובשרתי הדטה סנטר באנטי וירוס . בנוסף רכש הארגון הגנה קונבנציונלית לטובת הדואר הנכנס והיוצא וכן הגנה לעובדי הארגון הגולשים באינטרנט. ברוב הארגונים ההגנות האלו ירכשו מ 3 – 5 ספקים שונים על מנת "להגדיל" את סיכויי זיהוי הנוזקה.

 

איומי הסייבר מחייבים פרדיגמה המושתתת על ארגז חול (Sandbox ) מתקדם, המשמעות הפרקטית של הפתרון הוא מתן אפשרות "פתיחה" של קבצים חשודים שאינם מזוהים כנוזקה ידועה . בנוסף החליט הארגון לרכוש פתרון חדיש שמותקן בכל תחנות הקצה , פתרון שיאפשר לאתר ולסמן את אותם קבצים חשודים. מכיוון שפתרון הזיהוי לא "מדבר" עם ארגז החול ישירות החליט הארגון לשכור את שרותיו של משה (שם בדוי) שיושב מול מערכת הניהול החדשה ובכל פעם שהפתרון החדיש מסמן קובץ, מעביר משה את הקובץ לארגז החול ובודק באם האיתות אמיתי או איתות שווא. לאחרונה הודיע ספק פתרון הדואר שמעתה גם לפתרון שלו יש יכולות זיהוי מיוחדים ועכשיו משה גם בודק את האיתותים שמגיעים משרת הדואר,. גם אותם מעביר משה בצורה ידנית לארגז החול אלא שעכשיו משה כבר לא עומד בקצב והארגון שוכר את שרותיו של יוסף, (שם בדוי). בעוד אנו מדברים גם יצרן האנטי וירוס מכריז על פתרון זיהוי חדיש ומעתה כמות האיתותים מכפילה את עצמה אלא שלארגון אין תקציב לשכור את שרותיו של דויד (שם בדוי). מעתה כבר לא נבדקים כל הקבצים ומרגע זה הארגון שרכש במיטב כספו ארגז חול למעשה נפגע הן ברמת האבטחה והן ברמת התפוקה.

 

ארגון Y לעומת זאת הבין שאין משמעות להטמיע פתרונות של יצרנים רבים הוא בחר ביצרן ששילב במוצריו הקונבנציונליים מנוע זיהוי לאיומי סייבר ששולח אוטומטית כל קובץ חשוד לבדיקה בארגז החול שגם הוא שייך לאותו יצרן . משה יוסף וגם דויד נאלצו לחפש מקום עבודה אחר, מעטפת ההגנה בארגון Y התייעלה וכל האיומים ידועים למנהלים. בנוסף הקורלציה בין הפתרונות מושלמת והתפוקה בארגון לא נפגעה בכלל. .

 

פיתרון הגנת סייבר מקצה לקצה

 

מה מייחד את הפתרונות של טרנד מיקרו בהשוואה למתחרים האחרים בשוק?

 

לטרנד מיקרו 26 שנות ניסיון בתחום אבטחת המידע והסייבר, ניסיון זה הושקע בשנים האחרונות בבניית מאגר מודעיני הנחשב לגדול מסוגו בעולם, כ 2000 איש מועסקים בניתוח ומחקר של הפעילות ברשת האינטרנט הגלובלית, המאגר מאפשר רמת זיהוי גבוהה של תכנון וניסיונות תקיפה של האקרים ברחבי העולם. טרנד מיקרו משתפת פעולה עם גורמי אכיפה שונים בניסיונות למגר מוקדי פשע דיגיטליים. המידע הרב מאפשר לטרנד מיקרו לנהל אסטרטגית הגנה יעילה בכל מכשיר קצה או רשת ארגונית בה מותקנים מוצרי החברה. לאחרונה החלה החברה לצייד את מוצריה במערכת זיהוי מתקדמת שמסוגלת לשלוח באופן אוטומטי קבצים חשודים לבדיקה בתוך ארגז חול משוכלל הממוקם בלב הרשת הארגונית. בצורה זו יכול הארגון להעצים את מעטפת ההגנה ולחתום כל קובץ חשוד בצורה פרטנית ולעצור במהירות כל הליך התקפה.

 

לאחרונה מיצבה חברת האנליסטים – גרטנר - את פתרון ההגנה של טרנד מיקרו כפתרון המתקדם ביותר בשוק והראשונה לתת מענה שלם ל EDR .

 

לפי IDC תופסת טרנד מיקרו 30.3% מסך שוק האבטחה הגלובלי של שרתים וירטואליים, המוצר דיפ סקיוריטי נחשב ליחיד ומתקדם מסוגו בתחום.

 

בנוסף קיבלה טרנד מיקרו ציון של 97.7% בזיהוי נוזקות בלתי ידועות , ציון שממצב אותה בפסגת סגמנט Breach detection .

 

לאחרונה הכרזתם על רכישתה של HP TippingPoint תמורת 300 מיליון דולר. מה השפעתה של הרכישה על היקף פתרון אבטחת המידע שלכם?

 

טרנד מיקרו רכשה מ-HP את TippingPoint, שמספקת פתרונות של הדור הבא למניעת פריצות (NGIPS) ופתרונות אבטחת רשת, זיהוי וניטור איומים, מניעת פריצות וניהול אבטחה ברשתות ארגוניות. הרכישה ממצבת אותנו כספק האבטחה המוביל לפתרונות הגנה מפני איומים דינאמיים, המכסים נקודות קצה, רשת, דאטה סנטר וענן. ארגונים גלובליים נמצאים כיום תחת מטר בלתי פוסק של איומים ההופכים ליותר ויותר מורכבים. הם נדרשים לאתר ולהגיב לאיומים אלו עם יכולת הגנת איומים רב-שכבתית וכאן בדיוק נכנס לתמונה פתרון TippingPoint. אם עד עכשיו היינו מובילים בתחום התוכן הרי שמעתה נוכל העצים את ההגנה שלנו גם בתחום של Network Security ולספק מענה כולל .

בטל שלח
    לכל התגובות
    x