לקראת אירוע | WildFire – התשובה של פאלו אלטו לאיומים המודרניים
מאת אלון גולדפיז, מהנדס מכירות בחברת InnoCom מקבוצת אמן
איומי הסייבר בעידן המודרני מציבים בפנינו אתגרים לא פשוטים, כאשר המרכזי בהם הינו ההתמודדות עם התקפות לא ידועות (unknown malware). כל מנגנוני אבטחת המידע הקיימים כיום מתמודדים בהצלחה עם מתקפות ידועות ובעלות חתימה, הבעיה העיקרית היא כיצד מתמודדים עם התקפה חדשה ללא חתימה – מתקפת יום אפס.
מהי מתקפת יום – אפס?
מתקפת יום-אפס (Zero-day attack) הינו כינוי לשימוש בפרצת אבטחה חדשה שלא הייתה ידועה עד כה. המילה "אפס" מתייחסת ליום האפס מזמן פרסום הפרצה. מכיוון שהפרצה אינה מוכרת עדיין, אין לה קובץ תיקון (במקרה של באג פשוט) וחתימה (במקרה של וירוס), מאחר וחברות מוצרי האבטחה אינן מכירות אותה עדיין. מתקפות יום-אפס נסמכות לרוב על פגיעות תוכנה לא מוכרת, כלומר, באג או תכנון לקוי של המערכת או הגדרותיה, אשר מאפשר לתוקף לבצע שלב כלשהו בתקיפתו. מתקפה זו לרוב תגיע לארגון דרך רשת האינטרנט, בין אם תוך כדי גלישה או בכל צורת תקשורת אחרת.
מהו הפתרון של פאלו אלטו לנושא זה?
המערכת של פאלו אלטו (Palo Alto Networks) יודעת לזהות פגיעויות יום אפס על ידי בדיקות הקבצים במערכות SandBox סגורות. מערכת SandBox הינה מערכת וירטואלית המריצה את הקבצים החשודים ובודקת את התנהגותם. במידה ומדובר בקובץ "חשוד", לדוגמא – קובץ המבצע פעילות חשודה כגון שכפול הקובץ, ניסיון כתיבה לא חוקי ל-registry של המערכת, ניסיון האזנה לפורט מסוים ועוד, המערכת יוצרת חתימה בצורה אוטומטית ומעדכנת את המערכת של פאלו אלטו לנושא זה, הנקראת WildFire.
לחברת Palo Alto "ענן" שירותי מחשוב בו מותקנות מערכות ה-SandBox. טכנולוגיה זו הוכחה כטכנולוגיה מוכחת ויעילה. באמצעות טכנולוגיה זו יצרנו מעין "רשת חברתית" לשיתוף חתימות, היות וכל משתמשי פאלו אלטו בעולם מעלים קבצים חשודים לחוות השרתים של פאלו אלטו, חוות השרתים מייצרת באופן אוטומטי חתימות ומעבירה אותם לכלל מכונות הפאלו אלטו בעולם. מנגנון זה פעיל מזה כחצי שנה והצליח לגלות עד כה למעלה מ- 40,000 נוזקות חדשות.
לקוחות רבים חוששים מעצם העלאת הקבצים לענן שירותי המחשוב של פאלו אלטו ולכן ניתן לבחור אילו קבצים אנו מעוניינים להעלות לענן ואלו לא. על פי רוב, קבצים שכבר הגיעו מהאינטרנט ואינם קנייניים, אין בעיה בהעברת לענן המחשוב של פאלו אלטו. בנוסף, ניתן ליהנות מהשירות הנ"ל גם ללא העלאת הקבצים לענן וקבלת חתימות בלבד.