לקראת אירוע | פורטינט – הדור הבא של חומת האש
האם מתקפות ה-APT ר"ת (Advanced Persistent Thread) הינם באמת תרחיש בלאות מפחיד? או שמא זוהי קלישאה שיווקית נוספת בעולם אבטחת המידע? תלוי את מי אתה שואל ● בואו נסתכל על זה קצת מבפנים ונראה האם וכיצד ניתן להתגונן מפני מתקפות אלו
אז מהו APT?
מאז שמונח ה-APT התפרסם לראשונה בתקשורת היו הגדרות שונות ומשונות על מה זה בכלל APT, ננסה קצת להסביר.
לוחמת ה-Cyber בעידן החדש מציבה בפנינו לא מעט אתגרים בתחומים שונים, האתגר העיקרי כיום בתחום זה הינו ההתמודדות עם התקפות לא ידועות (unknown malware), כל מנגנוני אבטחת המידע הקיימים כיום מתמודדים בגבורה עם מתקפות ידועות ובעלות חתימה, הבעיה העיקרית היא כיצד מתמודדים עם התקפה חדשה וללא חתימה.
מתקפת APT תהיה בדרך כלל מתקפה מורכבת מאוד (Advanced), תכיל תקיפות רבות ומגוונות כגון מתקפות יום האפס (Zero Day), בהם התוקף מנצל פגיעויות שעדיין לא מוכרות, או לחילופין שולח קובץ עם וירוס שלא מוכר עדיין על ידי מערכות המבוססות על חתימות. בדרך כלל התוקף ישתמש בכלים המסווים את המתקפה. תקיפות מסוג זה מגיעות בדרך כלל מתוקף מתוחכם אחד או ממספר תוקפים בו זמנית. למתקפות אלו יש בדרך כלל יעד מוגדר היטב, והתוקפים לא יעזבו את היעד עד שיצליחו במשימתם (Persistent), התוקפים יסרקו את היעד הנתקף ויחפשו את נקודות החולשה שלו עד שיצליחו לתקוף, לתוקף אין בדרך כלל בעיה של משאבים ולכן ישקיע כסף רב עד להצלחת המשימה, כמובן שהתוקף מבצע את עבודתו בזהירות רבה על מנת שלא להיחשף, אבל הוא כאן וישאר כאן עד שיצליח לתקוף.
איומים אלו מהווים אתגר רציני מאוד עבור ארגונים רבים, התקפות אלו בדרך כלל אינם זוכות לפרסום היות ואף ארגון לא רוצה לפרסם את חולשותיו.
כיצד מתמודדים?
חברת פורטינט שמה לעצמה כיעד, להילחם במתקפות אבטחת מידע בכלל ובמתקפות אלו בפרט וככזו פיתחה מנועי אבטחת מידע רבים שמטרתם להילחם במתקפות אלו.
הדור הבא של חומת האש – Next Generation Firewall
מוצר ה-FortiGate מבית חברת פורטינט הינו מוצר Next Generation Firewall המכיל מנועי אבטחת מידע רבים, בינהם מנוע IPS חזק מאוד, מנוע לזיהוי אפליקציות המכיל כיום כ 2900 אפליקציות שונות המתעדכנות כל הזמן, מנוע לזיהוי משתמשים, מנוע אנטי וירוס ועוד מנגנוני אבטחת מידע שונים המספקים הגנה כוללת לרשת הלקוח.
מנוע יוריסטי (heuristic)
היות ומנוע אנטי וירוס רגיל אינו מסוגל להתמודד עם התקפות אלו, פיתחה חברת פורטינט מנוע יוריסי יחודי שתפקידו לנתח את הקבצים ברמת הקוד ולנסות להבין מה הקוד מנסה לעשות (Reverse engineering), במידה ומנוע זה יחליט כי הקובץ חשוד, יעבור הקובץ לבדיקה במערכת ה SandBox שלנו.
מנוע SandBox
חברת פורטינט מספקת ללקוחותיה כחלק מההגנה הכוללת, מערכת SandBox בענן, מערכת זו מריצה קבצים חשודים בענן ומנסה לזהות את הפעילות שהקובץ מנסה לעשות, על ידי ניתוח הקובץ ובקרה על מערכת ההפעלה.
לאחר ניתוח הקבצים החשודים מערכת ה-SandBox כותבת בצורה אוטומטית חתימה לכלל מערכות הפורטינט בעולם.
מנוע AntiBoot
כחלק ממתקפת ה-APT ינסה התוקף להחדיר סוסים טרויינים לרשת הלקוח, בכדי לנסות ולגנוב מידע, סיסמאות, נתוני רשת שונים ועוד, סוסים טרויינים אלו לאחר שהותקנו ברשת הלקוח, ינסו לצאת לרשת האינטרנט ולתקשר עם המפעיל שלהם (Command and Control Center), לחברת פורטינט מנוע יחודי החוסם את התעבורה הנ"ל ומונע ממתקפות אלו להתרחש.
לסיכום: שיטות התקיפה הופכות למורכבות יותר ויותר, רק חברות אבטחת מידע המפתחות את כל מנועי אבטחת המידע לבד ומספקות הגנה קצה לקצה, תוך כדי יכולת לספק קצבי רשת חזקים תהיה מסוגלת להתמודד עם מתקפות אלו בסביבות רשת שונות.
חברת פורטינט כחברת אבטחת מידע מובילה מבצעת זאת בגבורה אצל לקוחות גדולים כקטנים במשק הישראלי ובעולם כולו.