סוף עונת החתימות – זיהוי עויינים 2012

מהו האתגר המרכזי בזיהוי עויינים?
"האתגר המרכזי בזיהוי עוינים הוא לאתר תהליך עוין בתחנה או בשרת כאשר מערכת ההפעלה אינה מודעת לעויין הפועל מתוכה, האנטיוירוסים אינם מזהים אותו והוא אינו מבצע פעילות חריגה באופן שיגרום למערכות הרשת להצביע על קיומו".

ספר מעט על המוצר ECAT ומתי התחלתם לשווק אותו בישראל בלעדית.
"ECAT נוצר כפתרון איתור עויינים בלתי מזוהים לצבא הקנדי, כחלק מיוזמה של תגובה לאירועי אבטחת מידע וחקירות מחשב, מה שגילינו בלקוחות ArcSight (מערכת לניהול אירועי אבטחת מידע – SIEM) שכאשר מתקבלים אירועים מסוימים לגבי נכסי הארגון, הארגון אינו מסוגל לבדוק את אמיתותם כי הוא חסר את הכלים והידע לבצע את הבדיקה.אירוע אבטחת מידע שמזוהה בנכס בארגון, בדר"כ מתנהל באופן הבא: ראשית, סריקת התחנה ע"י אנטיוירוס ולאחר מכן, פרמוט או סגירת אירוע בתחנה. מעטים הארגונים שמקיימים חקירה מקיפה על אירועי אבטחת מידע כיוון שלרוב המשאבים אינם מאפשרים לקיים תהליכים ארוכים שיעילותם מוטלת בספק. המיוחד ב-ECAT הינו שדרך שילוב  של תהליכי הלבנה והחשדה, ניתן להגיע באופן מאוד מהיר למסקנות ולהצבעה על התהליך העויין".

האם תוכל לספר על האופן בו זוהו בפועל עויינים מורכבים?
"לא ניתן לפרט על ארגון ספיציפי, אך קיימנו עד כה קצת פחות  מעשר "בדיקות"  בארגונים שונים במטרה לאתר עויינים בלתי מזוהים. המקרים שנדרשנו אליהם היו ממספר סוגים עקריים:

1.    ארגונים שהיו מעוניינים לקיים בדיקה מהירה על מחשבי בכירים לאיתור ריגול עסקי
2.    ארגונים שזיהו התנהגויות "חשודות" של תחנות ושרתים ורצו לוודא שאינן מכילים עווינים
3.    ארגונים שביקשו "להלבין" סביבות רגישות במטרה לבסס baseline”" של מחשבים "נקיים"

באחד הארגונים "איתגרו" אותנו באיתור עויין שהם שתלו באחד המחשבים ובקשו מאתנו לזהותו, לקח לנו 10 דקות להתקין ולהריץ סריקה של זכרון התחנה ולאחר 3 דקות נוספות זיהינו 4 תהליכים שבצעו פעולות הזרקה והחבאה בזכרון, שלושה מהם השתייכו לתוכנת אנטיוירוס ו-Single Sign On ואחד לא היה מוכר, הלא מוכר התנהל כמו Keylogger והוא אכן היה העויין שנדרשנו למצוא. סה"כ כ-15 דקות עבודה".

מהי כמות כוח האדם הנדרשת לאתר עויינים באמצעות ECAT?
"הרעיון מאחורי המתודולוגיה שגובשה ב-ECAT, הוא לאפשר מספר שלבים אוטומטיים שכוללים הלבנה של תהליכים לגיטימיים והחשדה של תהליכים שמבצעים פעולות שיכולות להיות מסוכנות כגון: הזרקה לתהליכים, החבאה ממערכת ההפעלה, הצפנה של מקור התהליך, פעילות רשת וכדומה. אנו מציעים לאתר עויינים בחלק מפרוייקט חד פעמי, או שירות שנתי ולשלב את הפעילות במערכת בדיקות חדירות שמבצעים הארגונים. ארגון שיחליט לרכוש את המוצר, ייאלץ להקדיש מספר שעות בשבוע לנושא כפונקציה של כמות התחנות \שרתים המנוטרים".

מדוע להשתמש ברכיב מבוסס סוכן שיש מוצרים רשתיים לנושא?
"בסוף היום, גם אם השתמשנו במוצרים מבוססי רשת, חייבים להגיע לתחנה \ שרת בכדי לוודא את התופעות שחזינו בהם, במוצרים האחרים. כאשר ארגונים מגיעים לתחנות, הם מגלים שהרבה פעמים שחסרים להם המשאבים (זמן ו\או ידע) או את המוטיבציה לקיים חקירה מקיפה בתחנה\שרת. מה גם שלעיתים לא ניתן לאתר את הגורם העוין גם אם בוצעה חקירה מקיפה. האיומים האחרונים שזוהו (למשל Flame), מוכחים כמה זמן לוקח לחברות האנטיוירוס לזהות איומים מתוחכמים, במקרה הזה מדובר במספר שנים ואני יותר מבטוח שנגלה עוד מספר איומים בסגנון זה בהמשך הדרך".