מערכת למניעת חדירות (IPS) – למה חשוב כעת יותר מתמיד

מאת מוטי שגיא, יועץ בכיר לאבטחת מידע, פורטינט

נוזקות הן הבעיה החמורה ביותר בעולם אבטחת המידע כיום. המדובר גם ברמת התחכום שלהן וגם בכמותן. ב-2005 כמות הנוזקות הייחודיות בעולם עמדה על פחות מ-2 מיליון, ב-2009 הנתון עמד על 12 מיליון ואילו ב-2010 היא הגיעה ל-19.5 מיליון נוזקות ייחודיות. כיום, אף פלטפורמת IT אינה חסינה מפניהן – כך קובעת  גרטנר (Gartner) העולמית.

התפשטות הנוזקות הופכת לבעיה עבור כל מנמ"ר וכל מנהל אבטחת מידע. הסיבה לכך היא ערכות התקיפה אשר זמינות בשוק השחור ברשת, המאפשרות לתוקפים, בסכום נמוך יחסית של מאות עד אלף דולרים, ליצור מתקפות חובקות עולם וירטואלי. רבות מהנוזקות כיום הן מבוססות חתימה, ושינוי החתימה עוקף רבים מכלי האנטי-וירוס וממסנני התוכן, וכך במקרים רבים לא ניתן לזהות אותן.

מתהילה למודל כלכלי משומן
התוקפים עברו ממתקפות רחבות היקף, רועשות, שלחלקן אין מניע כלכלי, למתקפות שקטות, ממוקדות, שכמעט תמיד המניע שלהן הוא פיננסי. שלוש דוגמאות לכך הן הפריצה לשרתי גוגל (Google) בסין לפני יותר משנה, מה שקרה לרשת הפלייסטיישן של סוני (Sony), וכמובן התולעת סטוקסנט (stuxnet), שפגעה במערך הגרעין האיראני.

רשתות הבוטנט (botnet) חוות מעבר מפעילות רועשת לשקטה וממוקדת. רשתות בוטנט הן רשתות זומבי שהושתלו בהן תוכנות זדוניות, ללא ידיעת המשתמש. הן ממשיכות להתפתח, לשנות צורה ולהתפשט, בין השאר לעולם הסלולר. גרטנר מעריכה, כי כ-4% עד 8% מהמחשבים בכל ארגון הם זומבים.

נורמת עדכוני windows update
מחקירת המקרים המוזכרים עולה מידע מדאיג שמנציח מצב עגום מצד אחד אך מחויב המציאות מצד שני.חברות פשוט לא מתקינות באופן תדיר עידכוני אבט"מ של מיקרוסופט, אדובי וכו'. הדבר נובע מסיבה עיקרית אחת :מיקרוסופט מוציאה פעם בחודש כ-10 עדכוני אבטחה בממוצע, הידועים בכינוים “Patch Tuesday” שלכל אחד ואחד מהם עלולה להיות השלכה תפעולית על יישומי הליבה של האירגון הדבר נכון בעיקר לגבי שרתים קריטים – מאות בארגון גדול ,אך גם לגבי תחנות עבודה שיכולים להגיע לאלפים.

דרך התמודדות יעילה היא לבצע Virtual Patching למחשבים אלו דרך הטמעת IPS ברשת. הטמעה של IPS ברשת מאפשרת לארגון לעצור איומים המנסים לנצל פגיעויות במערכת ההפעלה ע"י זיהוים ועצירתם ברמת ה-GateWay. כך ניתן זמן נאות ליישום הטלאי במחשב עצמו.

המענה של פורטינט
Fortinet הינה ספקית מובילה באבטחת רשת ומובילה עולמית בתחום פתרונות ניהול האיומים המשולב (UTM).פורטינט מוקמה על ידי גרטנר ברבעון המובילים בדו"ח "Magic Quadrant for UTM".

לדברי יונתן חצניוק, מהנדס מערכות בפורטינט, "כשמדברים על 'ראייה שלמה' או completeness of vision, הכוונה היא לפתרון שמצד אחד בנוי כחומרה ייעודית לאבטחה עם מעבדים ייעודיים לסינון איומים היודעים לספק ביצועי שיא של רשת, ומצד שני לפתרון עם יכולות IPS מקיפות המכילים מענה למימדי האיום השונים. החברה פעילה בישראל במגוון מגזרים, ספקי שירות, בטחון, פיננסי, היי-טק, ממשלה ועוד".

חברת NSS הינה חברת בדיקות המבצעת בדיקות בלתי תלויות וממומנות לציודי אבט"מ. המודל העסקי מאחורי החברה הינו למכור מסמכי בדיקות אלו ללקוחות קצה שמעונינים לקבל תוצאות אמת עם baseline זהה שלא מבוססות על נתוני מעבדה ודאטאשיט של החברות השונות.

בבדיקה שעשתה החברה ביולי 2011 נבדקו 13 מערכות IPS מחברות מובילות .בבדיקות נמצא שמערכת Fortigate 3950B (בעלת מאיצי IPS ייעודיים – XG2) הגיעה למקום ראשון בנתוני ביצועי IPS (מעל 16Gbps) ומקום שני ביכולת זיהוי התקפות Out of the Box (default) (87%.