קריסת העולם הישן של האבטחה
מרכז המחקר של חברת אבטחת הסייבר, ניוטרון, מפרסם דו"ח מקיף ומפורט על מתקפת Petya-Like ● "כלי הפריצה של ה-NSA שדלפו לשוק, בשילוב תחכום ההאקרים, מבטיחים לנו קיץ חם: עוד התקפות רבות, ואף קשות יותר מאלה שהכרנו"
מרכז המחקר בהרצליה של חברת אבטחת הסייבר ניוטרון, מפרסם דו"ח מקיף בעקבות מתקפת Petya וצופה רצף מתקפות חדשות שיקרו בחודשים הקרובים, כאשר רובן לא ייעצרו על ידי כלי האבטחה המסורתיים מבוססי חתימות, וגם לא על ידי מנגנונים מתוחכמים יותר המבוססים על הגנת Next-generation.
לדברי אמיר שמר, סמנכ"ל וחבר הנהלה בניוטרון, ההצלחה בשתי התקיפות האחרונות מדרבנת את התוקפים. "הצלחת המתקפות וקצב ההתפשטות המדהים שלהם בעשרות מדינות, מצביע על קריסת העולם הישן של האבטחה – הישענות על טלאיי אבטחה, מוצרים מבוססי חתימות, וריבוי של מערכת FireWall, שבעצם נעקפות לגמרי. כל אלו כבר לא מתאימים לעולם החדש".
שמר מוסיף כי במסגרת CyberWeek2017 הצהיר סמנכ"ל בכיר של חברת תעופה מהגדולות בעולם, כי "האבטחה המסורתית קרסה – אני מתכונן לגרוע מכל". הקריסה לטענתו מתבטאת בריטואל המביש הקבוע שקורה מיד אחרי כל מתקפה חדשה: מוצרי האבטחה כשלו, הארגונים נפגעים, חברות האבטחה מתקנות, ואז יוצאות בהכרזות עולמיות שהמוצר שלהם "עוצר את האיום".
לפתח מענה ספציפי
"הוא צודק", מבהיר שמר. "מה שהיצרנים לא מספרים הוא שעל מנת לעצור את הווריאנט החדש של האיום לפני גרימת הנזק לארגון, הם צריכים בעצם לשים את היד על האיום הזה. מכאן שורש הבעיה. הם צריכים להשיג את הדגימה, לפרק את האיום לגורמים, ללמוד אותו לעומק ואז לפתח עבורו מענה ספציפי".
לדבריו, "יש שיטות אחרות שמובלות על ידי חברות סייבר מבוססות 'מנועי חיזוי' או Big Data. מנועים אלו מנסים לחזות את האיומים החדשים, אך אליה וקוץ בה – ה-'חיזוי' מבוסס על מידע קיים והיסטורי, כאשר ההאקרים פועלים כל הזמן על פי שיטות חדשות שלא בוצעו וקוטלגו בעבר".
"העולם הישן מבוסס גם על הישענות-יתר על פתרונות מבוססי ניטור, איסוף מידע ותחקור (EDR). מוצרים אלו טובים ל-'ניתוח שלאחר המוות' או Threat-hunting לאיתור סיכונים (IOCs) ידועים".
שמר מסביר כי "השקעות רבות זורמות בכיוון זה, וכל ארגון אכן צריך להצטייד בכלים כאלה. אך מה הטעם בפתרון שיכול לשרטט לך בגרפיקה מרשימה את מהלך המתקפה אחרי שהמידע נגנב, הוצפן או הושחת"?
להשכיל לחשוב אחרת
להערכת שמר, "העולם החדש שייך לחברות סייבר שהשכילו לחשוב אחרת. חברות ספורות אלו מפתחות מנועים חדשניים שלא נדרשים להכיר את סוג האיום, שיטת הפריצה, או מקור האיום. תפישה זו מאפשרת 'להתנתק' ממה שמוכר וידוע, תוך מיקוד בשיטות שיוכלו לזהות את הלא-ידוע. החברות מתרכזות קודם כל במניעה בזמן אמת (Realtime), ורק אחר כך בתחקור".
שמר מצביע על כך "שמניעת איום מסוג חדש, שפועל בשיטה חדשה שמעולם לא נצפתה, ובזמן אמת, היא העתיד של אבטחת המידע. באימוץ פתרונות מסוג זה יש גם חיסכון כספי ניכר, שכן אם הפגיעה בארגון נמנעת – אין צורך בכוח אדם של אנליסטים, אין צורך בכלי תחקור או כלי תיקון Remediation, וכד'".
לדבריו, "ניתן להקטין את כמות הפתרונות ואת כוח האדם העוסק בתחזוקה של הפתרונות האלו – רק על ידי אימוץ גישות חדשניות של מניעת נזק בזמן אמת. פתרונות מסוג זה מונעות את הפגיעה במוניטין, בשווי החברה ובלקוחות הארגון".
