אבטחה מבוססת רשת – הדבר הבא ב-"מרוץ החימוש" הסייברי

כתב: שלומי אנג'י, CTO אלקטל לוסנט

עולם הנוזקות עובר שינוי. הדור הראשון של הנוזקות נועד לנוע במהירות בנבכי הרשת תוך יצירת נזק רב מחד ומוניטין ליוצר מאידך. אולם, במשך הזמן למדו יוצרי הנוזקות כי יש פוטנציאל כספי בנוזקות המסוגלות להשתלט על המחשב או על הסלולרי מרחוק והפנימו שיותר מחשבים שווה יותר כסף.

אחד האמצעים הנמצאים בשימוש נרחב הוא הבוטנט (Botnets), המשמש למטרות פישינג (Phishing), מעילות בנקאיות, גניבת זהויות, סחיטה, הפצת דואר זבל ומתקפות DDOS. בעליהם משכירים גישה למכשירי קצה שבשליטתם, עבור סכומים לא מבוטלים. למעשה, שינוי התפיסה של כותבי הנוזקות ממוניטין לרווח הביא ליצירת נוזקות הקשות יותר לאיתור על ידי מערכות האבטחה של לקוח הקצה ויודעות להגן על עצמן מפני הסרה של אנטי וירוס. חלק מהשיטות כוללות השהיית האנטי וירוס, שליטה בגישה לרשת ואף מחיקת נוזקות מתחרות.

הימים בהם הספיקו תוכנות אבטחה "אנטי-וירוס" למיניהן,  בין אם ביחידת הקצה ובין אם בליבת  הרשת, חלפו מן העולם. תוכנות כאלה חיפשו חתימה ברורה של הנוזקה בתוך הקבצים המותקנים במחשב או בסלולרי (או היורדים אליו מהרשת). יעברו שעות ואף ימים מרגע שתופיע נוזקה חדשה במכשיר נגוע ברשת ועד שמערכות האנטי וירוס ילמדו ויפנימו את החתימה שלה. בזמן החולף, מידע פרטי רב (פרטי אנשי קשר, סיסמאות, תמונות ומידע מסווג) עלול להגיע לידיים הלא נכונות. גילוי נוזקות ברמת רשת התקשורת של ספק השירות מציע שכבת הגנה נוספת. איתור מבוסס התנהגות רשתית מהסוג של "קיינדסייט" המנטר את תעבורת רשת התקשורת הנו יעיל יותר, מכיוון שנוזקה חייבת להתממשק עם פעילות הרשת כדי לתקשר עם מפעיליה, להעביר מידע גנוב, לספק שירותי רשת אסורים ולהתפשט ממכשיר קצה אחד לאחר. כל הפעולות הללו נראות בקלות ברמת הרשת ומוכיחות  את קיומן של נוזקות פעילות.

איתור מבוסס התנהגות רשתית מפשט את תהליך האבטחה. ב-"מרוץ החימוש" בין ספקי אבטחה לפושעי סייבר, האחרונים מעדכנים כל הזמן את מוצריהם, אולם ממעטים לשנות את פרוטוקלי התקשורת של הנוזקות. בעוד תוכנות אבטחה המסורתיות צריכות לעקוב אחר אלפי חתימות הקשורות לגרסאות השונות של נוזקה מסוימת, מערכת מבוססת התנהגות רשתית צריכה לנטר חמישה פרוטוקולי תקשורת שונים בלבד. בכך, פתרונות אבטחה מבוססת התנהגות רשתית נמצאים בעמדת פתיחה טובה יותר להתמודדות עם התקפות "יום הדין" (הכוונה לנוזקות התוקפות כשהן מנצלות נקודת תורפה באבטחה לפני שהספיקו לתקנה), כיוון שרבים הסיכויים שגם נוזקה חדשה משתמשת בפרוטוקול תקשורת קיים.

יתרון האבטחה הראשון שמציעים פתרונות אבטחה מבוססי התנהגות רשתית הוא שלא ניתן להשהות את פעילותן (להבדיל ממערכת "אנטי וירוס" ביחידת הקצה). פתרונות אלה אינם רגישים לטכניקות המודרניות של נוזקות להימנע מאיתור, הם כמעט בלתי נראים לפושעי סייבר, והדרך היחידה להשהותם היא באמצעות חדירה למרכז הנתונים של הספק. בנוסף, כיוון שהספק מתפעל את המערכת, קל יותר לוודא שמערכת אבטחת הרשת נותרת מעודכנת ומודעת לאיומים העדכניים ביותר.

סקר שערכה קיינדסייט סקיוריטי לאבס (Kindsight Security Labs), זרוע האבטחה של אלקטל לוסנט, מעלה כי פחות משליש מבעלי הסמארטפונים מתקינים עליו אנטי וירוס ו-80% לא יודעים אם ספק התקשורת שלהם מספק הגנה מפני נוזקות ואיומי סייבר. לעומת זאת, 65% מהמנויים מצפים מהספק שלהם להגן על מכשירי הקצה שלהם ו-55% יהיו מוכנים לשלם עבור שירות כזה. בהיבט הטכנולוגי מגלה הסקר שמכשירים מבוססי אנדרואיד (Android) אחראיים ל-60% מההידבקויות בתוכנות זדוניות ברשתות הניידות וכי 40% מהתוכנות הזדוניות המיועדות למכשירים ניידים מגיעות ממחשבים מבוססי Windows המחוברים לטלפון,באמצעות USB או מוקד MIFIi. כמו כן, 94% ממחשבי ה-PC מצוידים בתוכנת אנטי וירוס ועדיין, מעל ל-10% מהרשתות הביתיות נגועות בנוזקות. על אף ש-83% מכלל משתמשי הרשת הפעילו אנטי וירוס מעודכן, 51% נדבקו בלפחות נוזקה אחת במהלך השנה האחרונה.

כשם שתעשיית הנוזקות מתפתחת, במקביל מתפתחות מתודולוגיות וטכנולוגיות חדשות. עם המעבר המואץ לענן, אך טבעי שגם האבטחה תעלה מדרגה.