לקראת אירוע | התנהגות חשודה
ניתוח התנהגות רשתית כמנגנון למניעת איומי סייבר מורכבים
מאת תומר נורי, סמנכ"ל הטכנולוגיות בנטקום (מלם-תים תקשורת) מקבוצת מלם-תים
תארו לכם עולם בו כל אחד מאתנו היה מחויב להתהלך עם תג באופן קבוע, תג המכיל לא רק את השם שלנו אלא את כל המוניטין שלנו, ה-Reputation שלנו אם תרצו. בעולם כזה הקלפטומן, גם אם היה מתהלך בחליפה מהודרת היה נזרק מכל חנות, הפירומן, גם אם היה מתהדר בגומות ונמשים של ילד חייכן היה מתקשה להשיג גפרורים וחומר בעירה והוונדליסט היה נעצר במקום. בעולם זה האקרים היו מתקשים מאוד ליישם את פועלם וייתכן שאיומי סייבר מורכבים היו מנוטרלים לפני שהיו מגיעים לשלב הקריטי.
הבעיה היא שבעולם האמיתי – הקיברנטי אנחנו נהנים מאנונימיות מסוימת ואנחנו לא מצוותים דרך קבע לתג מוניטין מפורט שמתריע על פרופיל ההתנהגות שלנו. בעולם המידע בניית פרופיל מפורט לכל משתמש מחייב ניתוח התנהגות פרטני באופן שיאפשר לגלות מי חבר ומי אויב ואיזה תעבורת מידע היא לגיטימית ונחוצה ואיזה היא חלק ממהלך זדוני כזה או אחר.
טכנולוגיות ניתוח התנהגות רשתית (NBA – Network Behavior Analysis) וניתוח מוניטין (Client Reputation) מהוות חלק משמעותי מארסנל הכלים הזמינים להתמודדות עם התקפות ממוקדות ואיומי סייבר מורכבים. טכנולוגיות אלו, מעצם היותן מבוססות על אלגוריתמים משתנים ולא על חתימות סטאטיות, מהוות קו-הגנה אפקטיבי נגד איומי Zero-day ומאפשרות להתמודד עם איומים סמויים שלא מנוטרלים ע"י מערכות האבטחה המסורתיות. איומי סייבר מורכבים כגון התקפות APT (ר"ת Advanced Persistent Threat) פועלים לרוב בחתימה נמוכה ולאורך זמן ולכן הם קשים יותר לזיהוי בשיטות הרגילות. לעומת זאת טכנולוגיות ניתוח התנהגות יכולות לשמש כרשת הגנה צפופה יותר הנמתחת סביב משאבי הארגון, מזהה ומנטרלת איומים חמקניים.
יישום של טכנולוגיות ניתוח התנהגות כמנגנון אבטחה אקטיבי ברשת מהווה שינוי תפיסה מול מתודולוגיות האכיפה המסורתיות של תחום האבטחה הרשתית. מתודולוגיות אלה המבוססות על חוקים לוגים נוקשים של אסור ומותר מוחלפות במודל הסתכלות ארוך טווח, הנשען על אלגוריתמים מתקדמים שפועלים לשקלול ציון לכל משתמש על פי דפוס הפעילות שלו בציר הזמן. כאשר משתמש פועל בצורה חשודה ודפוס הפעילות שלו תואם לדפוס המזוהה במערכת כפעילות זדונית ניתן להפעיל מנגנוני אכיפה שונים שיעצרו את המשתמש והתעבורה הרלוונטית המשויכת אליו. כדי למנוע זיהוי כוזב של פעולות לגיטימיות, מערכות ניתוח התנהגות ומוניטין פועלות לרוב כמנגנון משפטי מדוייק – כל המשתמשים מוגדרים בחזקת "חפים מפשע" וסביר להניח שמעידה קלה לא תשלח אותך לתא העונשין, אך פעילות חשודה וזדונית, המשתרעת לאורך זמן תכתיר לך מוניטין של משתמש חשוד ומכאן קיימת הסלמה ברורה עד לחסימת המשתמש והתעבורה.
קיימות שיטות שונות לניתוח התנהגות רשתית – מניתוח Metadata של פרופיל תעבורה לדגימות תעבורה חיות וכלה במנגנוני ניקוד משתמשים (Scoring) ושילוב מידע גיאוגרפי. כולן בסופו של דבר תורמות לקבלת תובנות על התנהגות המשתמשים ברשת, תובנות החיונית להתמודדות עם איומים מורכבים.
חברת Fortinet הכריזה לאחרונה על גרסה 5 של מערכת ההפעלה FortiOS, בגרסה זו Fortinet משלבת מספר מנגנונים המשמשים לניתוח Reputation והתנהגות רשתית של משתמשים ומאפשרת למנהל הרשת להגדיר ספים חיוניים. כמו כן פורטינט השיקה את פלטפורמת ה-Forti-DDOS מערכת המשלבת מנגנון NBA אינהרנטי המאפשר ניתוח תעבורה כמנגנון נטרול התקפות מבוזרות.
חברת נטקום מקבוצת מלם-תים, הנה חברת אינטגרציה מובילה המתמחה בתכנון ויישום של פתרונות אבטחת מידע מתקדמים ומתן מענה לאיומים מורכבים. נטקום הנה שותפה עסקית של חברת Fortinet והיא תציג חלק מהפתרונות הנ"ל בכנס השנתי של החברה.