לקראת אירוע | להבין את האיום
מאת יהונתן גד, יו"ר ומנכ"ל משותף ב-InnoCom מקבוצת אמן
חברות רבות עושות את הטעות הקלאסית של התייחסות להתקפות סייבר מתמשכות ומתקדמות (APT Attacks) כאל תקרית חד-פעמית, הכוללת ניצול פרצה (exploit) והדבקה בווירוס או תולעת, שלאחריה מבצעת החברה תהליך ניקוי והחזרת המצב לקדמותו. בעשותן כך, הן מתעלמות מהעובדה שהתקפות APT היום הינן סדרה של מאמצים משולבים שמטרתם לייצר דריסת רגל במערכות הארגוניות למטרות טרור, פשע, ריגול תעשייתי ועוד.
החברות המודרניות חייבות להבין כי התקפות APT מתרחשות לכל אורך "מחזור החיים" של ההדבקה ולכן יש למגר אותן עוד בשלב ה-exploit, לפני שההאקר הצליח ליצור "חור" בחומת ההגנה הארגונית ולהקים לעצמו ערוץ תקשורת חשאי עם הסודות הכי כמוסים שלכם…
באחת ממתקפות הסייבר הידועות בארה"ב, שזכתה לשם הקוד "מבצע אורורה", גוגל הגדולה היתה אחת ממספר ארגונים אשר סבלו ממתקפת נוזקות (malware) ממוקדת ויעילה. הפרצה הראשונית נעשתה דרך ניצול חולשה של אקספלורר 6 במערכות שונות. לאחר מכן הריצו ההאקרים קובץ הפעלה והסוס הטרויאני "התקשר הביתה" לשרת נשלט אשר יכול לשלוח ולקבל פקודות וקבצים זדוניים ללא הגבלה. הכלים הזדוניים אפשרו להאקרים לאסוף מידע בעל ערך על הרשת הארגונית ומידע עסקי חסוי.
הנוזקות המודרניות מתוכננות לשלוט על המערכות המודבקות לפרקי זמן ארוכים. הן עושות שימוש בטקטיקות התקפיות על מנת לשבש את מערכות האבטחה ומסוגלות להקים ערוץ תקשורת יוצאת בין מספר פרוטוקולים שונים. ברגע שנעשתה הפריצה וההתקנה של הנוזקה, מערכת המחשוב הארגונית חשופה וההאקר יכול למכור את המידע או הגישה לכל המרבה במחיר – ארגוני טרור, ארגונים פוליטיים, השוק השחור של המידע וכו'. במצב זה בלתי אפשרי לנתח ולעצור את המידע היוצא מן הארגון כיוון שהנוזקה מצפינה אותו.
אם כך, הדרך הטובה ביותר לעצור מתקפות מסוג זה הינה זיהוי הפרצה המקורית ובידודה באופן אשר ימנע ממנה להריץ את הנוזקה הבינארית אל תוך הרשת. מרבית המתקפות מגיעות לארגון דרך הרשת והמייל, אולם גם דרך אתרי אינטרנט ויישומים המארחים תוכן שמועלה על ידי הגולשים, תוכן משותף, ווידג'טים ורשתות הפצת פרסומות מועדים לחדירה והדבקה של נוזקות. גם רשתות חברתיות הן כר פורה להאקרים, אשר משתמשים בהונאות פישינג יצירתיות כדי לפתות קורבנות לפתוח צרופות דואר זדוניות על ידי הקלקה על לינקים מודבקים דרך הודעות דואר אלקטרוני.
הפתרון של FireEye, אשר יוצג בכנס CyberSec, הינו הראשון מסוגו המסוגל לעצור איומים מתקדמים מסוג zero-day attacks ו-APT attacks, כמו גם את ההתקשרות של איומים אלה אל מחוץ לארגון. למערכת אחוז התראות שווא קרוב לאפס והחזר ההשקעה על המערכת הינו מהיר במיוחד.
למערכת של FireEye מנוע ביצוע וירטואלי (VX) ופילטר התקשרות "הביתה" (Callback Filter) אשר מונעים מהאיומים לפעול וליצור קשר עם שולחיהם. בעזרת רשת ההגנה הפועלת בענן, לקוחות יכולים ליהנות מקבלת מידע מעודכן על איומים גלובליים ולעדכן את הרשתות המקומיות שלהם. המערכת משלבת הגנה על תעבורה נכנסת ויוצאת בארגון ונפרסת בדקות ספורות. בעידן ההתקפות הממוקדות המודרניות, אין לארגונים את הפריווילגיה לוותר על כלי ההגנה הטובים ביותר על נכסי המידע שלהם.