לורנס אורנס, גרטנר: "כמות הנוזקות העולמית צמחה פי עשרה תוך חמש שנים; אין פלטפורמת IT שחסינה"

"נוזקות הן הבעיה החמורה ביותר בעולם אבטחת המידע כיום. המדובר גם ברמת התחכום שלהן וגם בכמותן. ב-2005 כמות הנוזקות הייחודיות בעולם עמדה על פחות מ-2 מיליון, ב-2009 הנתון עמד על 12 מיליון ואילו ב-2010 היא הגיעה ל-19.5 מיליון נוזקות ייחודיות. כיום, אף פלטפורמת IT אינה חסינה מפניהן", כך קובע לורנס אורנס, מנהל מחקר לתחום אבטחת מידע וניהול סיכונים בגרטנר (Gartner) העולמית.

אורנס התראיין לאנשים ומחשבים במסגרת הכנס השנתי שערכה גרטנר המזרח התיכון בתל אביב. לדבריו, "התפשטות הנוזקות הופכת לבעיה עבור כל מנמ"ר וכל מנהל אבטחת מידע. הסיבה לכך היא ערכות התקיפה אשר זמינות בשוק השחור ברשת, המאפשרות לתוקפים, בסכום נמוך יחסית של מאות עד אלף דולרים, ליצור מתקפות חובקות עולם וירטואלי. רבות מהנוזקות כיום הן מבוססות חתימה, ושינוי החתימה עוקף רבים מכלי האנטי-וירוס וממסנני התוכן, וכך במקרים רבים לא ניתן לזהות אותן".

מעבר להתפשטות הנוזקות, אילו עוד מגמות מאפיינות את עולם האבטחה כיום?
"יש שינוי באופי המתקפות. התוקפים עברו ממתקפות רחבות היקף, רועשות, שלחלקן אין מניע כלכלי, למתקפות שקטות, ממוקדות, שכמעט תמיד המניע שלהן הוא פיננסי. שלוש דוגמאות לכך הן הפריצה לשרתי גוגל (Google) בסין לפני יותר משנה, מה שקרה לרשת הפלייסטיישן של סוני (Sony), וכמובן התולעת סטוקסנט (stuxnet), שפגעה במערך הגרעין האיראני.

2011 היא השנה בה כמות הפרצות בעלות הפרופיל הגבוה השנה משמעותית בהרבה מבעבר. הפושעים המקוונים מנצלים את המתקפות הממוקדות בצורה יעילה למטרותיהם, והם עושים זאת בהצלחה רבה. באמצעות מתקפות ממוקדות, התוקפים מעלים את הסבירות שהנמענים יפתחו את הלינק המזויף שבמייל או ימסרו את פרטיהם האישיים. במתקפות אלה הנמענים הם משתמשים ארגוניים וניתן לחדור באמצעותם למערכות ה-IT הארגוניות, לחשבונות בנק של הארגון או לנתונים שניתן להמיר לכסף.

במסגרת תהליך 'מיקור החוץ' שעוברת הפשיעה הקיברנטית, אנו מבחינים בשירות להשכרת תקיפות למניעת שירות IMDDoS. אחד מהשירותים המפורסמים עבר בסין במהלך השנה החולפת. אני מעריך שהתחום ימשיך לשגשג.

גם רשתות הבוטנט (botnet) חוות מעבר מפעילות רועשת לשקטה וממוקדת. רשתות בוטנט הן רשתות זומבי שהושתלו בהן תוכנות זדוניות, ללא ידיעת המשתמש. הן ממשיכות להתפתח, לשנות צורה ולהתפשט, בין השאר לעולם הסלולר. גרטנר מעריכה, כי כ-4% עד 8% מהמחשבים בכל ארגון הם זומבים. אמנם המדובר בנתון נמוך יחסית למגזר הפרטי, שם כמות המחשבים הזומבים עומדת על 20%-30%, ולמרות זאת, הנתון חמור. עקב ההצטרכנות שעוברים הארגונים בהיבט ה-IT, הגורם ל-BYOPC (ר"ת של 'הבא את מחשבך האישי מהבית לעבודה'), הגידול השנתי בהידבקות מנוזקות והפיכת המחשבים לזומבים יוכפל מדי שנה בשנים הקרובות.

עוד איומים שנמשכים הם השתלות של קוד SQL, שנחשבות לחמורות ביותר בשל אופיין הנפוץ, היכולת לנצל אותן בקלות והתדירות הגבוהה שבה הן מנוצלות בפועל ברחבי רשת האינטרנט. הפרצה מאפשרת לתוקף להגיע ישירות למסד הנתונים של האתר, מסוג SQL. פרצות חמורות נוספות הן השתלה של פקודות במערכת ההפעלה, גלישת מאגר קלסית ו-Cross site scripting, מתקפת מניעת שירות (DoS) ועוד".

מה נדרש ממנהל אבטחת המידע הארגוני לעשות?
"5% מתקציב ה-IT הארגוני מוקדש לטובת אבטחת מידע. אלא שיש פה פרדוקס – יותר השקעה באבטחת מידע לא הופכת בהכרח את הארגון למאובטח יותר. נדרש לנהל ולתכנן מראש את האבטחה כדי שהיא תהיה אפקטיבית.

ברמת יחידות הקצה, עליו לדאוג לסריקה, איתור ומניעת חדירות של נוזקות במחשבים הניידים ובטלפונים החכמים של עובדי הארגון. הדבר ייעשה בין השאר, בהטמעת כלים לניהול האבטחה בעולם הנייד. כלים נוספים להתמודדות עם מגוון האיומים הם בעולמות ניתוח ההתנהגות ברשת, NBA, מניעת דליפת נתונים, DLP, בקרת גישה וניהול הגישה לבסיס הנתונים (DAM). עליו ליצור מערך כלים לזיהוי לניטור נוזקות, חדירות ומתקפות.

על מנהל האבטחה ליצור מערך אבטחה מבוסס שכבות, כך שיכוסו כל הרכיבים, כל המשתמשים וכל התהליכים בארגון. בדרך זו תתקבל יותר יעילות וכלי האבטחה ינוצלו באופן מיטבי ויהיה תזמור ביניהם. עליו לשלב בין כלי גילוי ברשת, כלי זיהוי וניתוח הרשת, כלי זיהוי איומים, כלי זיהוי חדירה וכלי ניהול הגישה ברשת המיחשוב הארגונית".