אורן ברט, מטריקס: "המענה ל-Flame – הפרדה בין חלקים מאובטחים במחשב לחלקים פתוחים לאינטרנט"

"ההתפרצות של הרוגלה Flame השבוע הוכיחה שוב לכולנו שההתקפה המודרנית איננה על התשתית והיא לא מאובחנת בחתימה התנהגותית, אלא מחפשת את הדרך אל המידע הארגוני כדי לשאוב אותו החוצה. המענה ל-Flame הוא בהפרדה וירטואלית בין חלקים מאובטחים במחשב לחלקים פתוחים לאינטרנט", כך אמר אורן ברט, מנהל תחום אבטחת מידע בחטיבת מוצרי התוכנה של מטריקס.

לדברי ברט, "ככל שחברות אבטחת המידע השונות מפתחות עוד ועוד הגנות קיימות ועוד ועוד חומות, כך כמות הנוזקות הולכת וגוברת. על כל טלאי אותן מפתחות חברות האבטחה על מנת לסתום פרצה מפותחים עשרות קודים חדשים שיודעים להיכנס באמצעות פרצה אחרת. Flame היא רק דוגמא אחת לנזק או אובדן הפרטיות שיכול להיגרם לכל אחד מאיתנו, בבית או בארגון. נדרשת חשיבה מחודשת כיצד להגן על המידע הרגיש".

"במלחמה כמו במלחמה", הוסיף. "ככל שנשים יותר הגנות – כך ירבו וישתכללו ההתקפות".

הוא הוסיף, כי "ארגונים חייבים לחשוב מחדש כיצד הם מגנים על רשתות התקשורת שלהם. הגישה המקובלת כיום היא של מתן תרופה לבעיות שצצות או חסימה נקודתית מפני פריצות והתקפות. יש לבחון גישות שונות, שנותנות פתרון מוכלל ומלא – ולא תלוי, כזה שיאפשר למשתמשים עבודה שוטפת, ללא חששות מפרצות עתידיות".

מטריקס, אמר ברט, מייצגת את פתרון BufferZone של טרסטוור (TrustWare). הוא ציין ש-"הפתרון מביא את תפיסת הווירטואליזציה לעולם אבטחת המידע ומבצע הפרדה וירטואלית בלתי חדירה בין אזור בטוח במחשב, שבו פועלים יישומים שנחשבים בטוחים ושמורים כל הקבצים הרגישים ובו גולשים באתרים מאובטחים, מאושרים ומוכרים, לבין חלק אחר ומופרד לחלוטין במחשב. בחלק זה גולשים באינטרנט, מתקשרים בתוכנות מסרים מיידיים, קוראים קבצים ממדיה מאמצעי אחסון נתיקים או שולחים קבצים ומסרים אחד לשני. אי אפשר כלל להעביר מידע מהאזור הפתוח למחשב המוגן בדרך ישירה כלשהי".

"הטכנולוגיה של טרסטוור שונה מאוד מפתרונות האבטחה הקיימים בשוק", הוסיף. "היא מסייעת ביצירת נשק מושלם במלחמה של הארגון נגד איומים מבוססי אינטרנט ומהווה פתרון משלים לפתרונות האבטחה הקיימים, כי היא פותרת את הדילמה התמידית שבין 'אבטחה-הקשחה' ל-'גמישות' למשתמש ומספקת מחשבים נקיים מנוזקות".

"Flame – שונה מתוכנות זדוניות אחרות"
לדברי ניר ולטמן, ארכיטקט אבטחת המידעשל סיטאדל (Citadel Consulting), "הרוגלה מתנהגת באופן חריג מהרגיל בקטגוריה של תוכנות זדוניות. לדוגמה, היא תוקפת כמה וקטורים במערכת ההפעלה במקביל; משתמשת בטכניקות פיתוח מתקדמות לטיפול בקטעי קוד קריטיים, התלויים אחד בשני (Mutex); יש בה הגדרת תזמון שונה לכל הפעלה של משימה, כך שיהיה קשה לעקוב אחר הפעלת תהליכים במערכת ההפעלה; והיא כוללת שימוש בתקשורת מוצפנת לשרתים חיצוניים".

"ניתן להבין מחקר הנוזקה שמדובר בפיתוח מתקדם, שבוצע על ידי מומחי אבטחה עם רקע חזק בפיתוח ואיתור פרצות, ולכן – הפיתוח שלה לא נעשה על ידי קבוצת האקרים כי אם על ידי ארגון או מדינה. בנוסף, כל חברות האנטי-וירוס הגדולות בעולם לא גילו את הנוזקה הזו במשך השנתיים האחרונות ומכאן שגם לא התייחסו אליה".

מנגד, אמר, "יכול להיות שההילה שנוצרה סביב הנושא מוגזמת מדי מכמה סיבות. האחת, אף ש-Flame חיה ונושמת, הסבירות להפעלתה נמוכה יחסית, מכיוון שהיא מופצת על גבי Disk on Key או באמצעות מחשב נגוע אחר. שנית, כמות המחשבים שבשלב זה אותרו כנגועים ברוגלה נמוכה ביחס למתקפות אחרות שנתגלו באחרונה. שלישית, בכל יום מפותחות עשרות אלפי תוכנות זדוניות שיודעות לבצע את הפעולות שה-Flamer עושה, אך באופן פחות חכם".

"על אף שהפצת הנוזקה מתבצעת בעיקר באמצעות Disk on Keys, אי אפשר להלחיץ את כל המשתמשים ולאסור עליהם להשתמש בהם", הוסיף ולטמן. "ללא קשר ל-Flame, נדרשת מודעות".

"Flame עוררה הד תקשורתי רב עקב סדרת אירועים שקרתה לאיראן", סיכם, "אולם הסיכון האמיתי נמצא סביבנו בכל יום שבו אנחנו נמצאים בסביבת מחשבים, טלפונים חכמים וטאבלטים. היכולת האמיתית של ארגון להתמודד עם איומים במימד הקיברנטי תימדד באותם איומים חדשים ובלתי צפויים שיצוצו, ובעיקר בגמישותם של ארגונים ומערכות מידע להתמודד עימם בזמן אמת".