FireEye – מענה לאיומים מהדור החדש
רון כהן, מהנדס מכירות מאינוקום, מספר על מערכת ה-FireEye, ואיך היא יכולה להגן על הארגון שלכם
חברת FireEye האמריקנית, והמיוצגת בישראל על ידי חברת InnoCom מקבוצת אמן, נחשבת למובילה בתחום עצירת מתקפות הסייבר הממוקדות (APT). החברה מספקת, למעשה, מענה לאיומים מהסוג החדש, ופעילה מספר שנים בגופים גדולים.
רון כהן, מהנדס מכירות האחראי על תחום ה-FireEye באינוקום, מסביר כי "החברה שמה כמטרה לספק הגנה אמיתית נוספת, לצד רכיבי הגנה קיימים, זאת מתוך ההבנה שאלו לוקים בחסר אל מול האקרים ואל מול התקפות סייבר מתוחכמות".
"האיומים הטכנולוגים השתנו בשנים האחרונות" מסביר כהן, "תוכנות זדוניות מתקדמות וממוקדות החליפו את הגישה של התקפה רחבה ושל תוכנות זדוניות בשוק המוני. אם בעבר איומים נועדו למעשי קונדס, כיום – רוב ההתקפות הן ממוקדות כדי להשיג מידע רגיש בעל ערך אישי, קניין רוחני, אישורי אימות או מידע פנימי. טקטיקה כזו מחייבת היערכות בהתאם, וזה בדיוק מה ש-FireEye מספקת".
הגנות המסורתיות כגון חומות אש,AV (אנטי וירוס) ושערים לאינטרנט (פרוקסי) סורקות רק את הצעד הראשון של ההתקפה הנכנסת. מערכות אלה מסתמכות על חתימות ודפוסים מוכרים של התנהגות כדי לזהות ולחסום איומים. הדבר משאיר, למעשה, חור בהגנת הרשת הארגונית שכן הוא מבוסס חתימות בלבד ולא מזהה תעבורה זדונית יוצאת. התוצאה היא פגיעות להתקפות יום-אפס ואיומים מתמשכים ממוקדים מתקדמים (APT).
כהן מדגים: "תלות הארגונים היום היא בפרק הזמן הארוך לפיתוח חתימה, זמן זה כפוף לתפוצתה של ההתקפה, קצב ההתפשטות והמידע המצוי בידי החוקרים – שיטה זו לא יעילה להתקפות ממוקדות. קוד זדוני מזוהה במהלך כמה ימים תוך כדי שהוא מתפשט. מנגד, טקטיקות קוד פולימורפיות מצליחות לחדור מערכות הגנה מסורתיות עקב שינוים רבים הנעשים ברמת החתימה. אם ההתקפה הינה ממוקדת ומטרתה להישאר מתחת לרדאר, ההגנות המסורתיות יחמיצו לחלוטין התקפות חסרות חתימה. כלומר, בשפה פשוטה יותר, לא משנה כמה הקוד זדוני, אם כלים מבוססי חתימה לא ראו אותו לפני כן, הם יתנו לו לעבור".
הפתרון, לפי כהן, צריך לכלול שילוב של מספר מערכות הגנה: " כלי אקטיבי להגנת הרשת, הפעלה או "פיצוץ" קבצים בסביבה וירטואלית מופרדת לטובת איתור קוד זדוני, שימוש במוצר שלא מבוסס על חתימות כגון אנטי וירוס/IPS, תמיכה בתעבורת אימייל וגלישה ושיתוף מידע בין לקוחות באמצעות DTI Cloud – Dynamic Threat Intelligent Cloud. אלו אמורים, בסינרגיה מלאה, לספק הגנה מקסימלית למערכות הארגון.