תוכן עניינים:
איומי סייבר וכל טיב אבטחת ה- IT נעים בקצב שלפוח. ככל שההתקפות מתוחכמות וממוקדות יותר, כמה הגנות אפקטיביות שקודם לכן אינן כפי שהן היו - או שהפכו ללא יעילות לחלוטין מפני התקפות. להלן שלוש שיטות מיגון מיושנות, ומדוע הן כבר לא מספיקות. (לקריאת רקע, עיין בפנים החדשות של Cyberwarfare של המאה ה -21.)
חומות אש של הדור הבא (NGFW)
מבחינה היסטורית, חומת אש של הדור הבא (NGFW) משתמשת בגישה ממוקדת יישומים כדי לסווג את התעבורה ברשת במטרה לעצור תוכנות זדוניות והתקפות אחרות. עם זאת, ארגוני NGFW הוכחו כיעילים כנגד התקפות מתקדמות. הסיבה לכך היא שמלבה של טכנולוגיית NGFW הוא תצורה בסיסית של חתימות IPS, תוכנת אנטי-וירוס, רשימות שחורות של כתובות אתרים וניתוח מוניטין. כל אחד מאלה מגיב במהותו והוכיח כי אינו מסוגל לעצור איומים מתקדמים.
יצרנים של טכנולוגיית NGFW מבשרים את מוצריהם עם תוספות כמו קבצים בינאריים מבוססי ענן וניתוח DLL, כמו גם עדכונים לפי שעה בערכת חתימת חומת האש. הבעיה היא שהאפשרויות הללו עדיין משאירות הרבה זמן לתוכנות זדוניות לגרום נזק.
תוכנת אנטיוירוס
לנוכח מתקפות איום מתמשכות של אפס יום ומתמשך (APT) המנצלות פגיעויות לא ידועות, אנטי-וירוס אינו אלא חסר אונים במניעת איומי סייבר מודרניים. מחקרים מסוימים מראים כי 90 אחוז מהבינאריות הנמצאים בתוכנה זדונית מתרחשים תוך שעה, ומאפשרים לו להתגנב על פני תוכנת אנטי-וירוס הנשענת על זיהוי מבוסס חתימות ועדכונים המפגרים אחרי שעות, ימים או שבועות, תלוי בתדירות העדכון.
זמן הפיגור הזה מהווה הזדמנות פז עבור תוכנות זדוניות להפיץ מהמערכות הראשוניות שהוא מדביק. חלון זה ארוך דיו כדי שהתוכנה הזדונית תתקין זיהומים אחרים שיכולים לכלול פיצוחי סיסמאות ו- keyloggers המוטמעים עמוק במערכת המארחת המסוכנת שלה.
בשלב זה ההסרה נעשית קשה יותר ויותר. אז מדוע אנשי אבטחת IT שומרים על תוכנת אנטי-וירוס כחלק מהימן של האבטחה הכוללת? בימינו משתמשים באנטי-ווירוס לרוב כמערכת משלימה, או כ"קו הגנה ראשון "בשילוב עם מערכות גדולות ומתקדמות יותר. האנטי-וירוס לוכד את "הפירות התלויות הנמוכות", הכוללות חתימות וירוס ישנות יותר, ואילו מערכות הגנה חזקות יותר מפני תוכנות זדוניות תופסת את התוכנה הזדונית המתקדמת שמתפספסת.
שערים ברשת
ענף אבטחת הסייבר נתן לנו מורשת של התאמת דפוסים אשר נועדה בעבר להגדיל את החסימה מבוססת הנמל ולהסיר את גבולות החתימה ומוצרי האבטחה המבוססים על רשימה. שערי רשת מעסיקים את אותן טכנולוגיות.
טכנולוגיית שער האינטרנט משתמשת בבסיסי נתונים וברשימות של כתובות אתרים "גרועות" ידועות, אך אינה מביאה בחשבון איומים אמיתיים ומתפתחים כיום. אכיפת מדיניות ואבטחה ברמה נמוכה הם בערך היחיד ששערי רשת מביאים לשולחן האבטחה ככל שהתקפות סייבר התפתחו כדי להפוך שערים לא אפקטיביים. האופי הדינמי של משלוח ותקשורת של תוכנות זדוניות הופך רשימות לאתרים וכתובות URL "גרועות" מיושנות.
למרבה האירוניה, ככל ששערי רשת זכו לאימוץ ברחבי העולם, הם התיישנו מעט מבחינת האבטחה. לטכנולוגיית שער האינטרנט עדיין יש שימוש מסוים באכיפת כללי התאגיד המגבילים או מגבילים את הגלישה באינטרנט, אך כשמדובר בהגנה מפני התקפות מתוחכמות, לשערי האינטרנט יש תפקיד שולי במקרה הטוב.
ממייג'ור ועד קטינה
אמנם אין להכחיש ששלוש הטכנולוגיות הללו ממלאות תפקיד כלשהו בהגנה על רשתות מפני איומי סייבר, אך ההתקפות של הדור הבא שהתפתחו ואנחנו רואים היום גרמו להן חלקים קלים יותר של הגנות מתקדמות יותר.
טכנולוגיה אחת אשר יעילה בהגנה מפני תוכנות זדוניות מתקדמות היא חומות חומת-מצבע, המהוות במידה מסוימת בין פילטר מנות לתבונה ברמת היישום שנצברה באמצעות פרוקסי. זו רק אחת ממספר טכנולוגיות שהחליפו או קלטו את הרפיון של חלק מהטכנולוגיות הישנות - לפחות בינתיים. כמובן שאיומי הסייבר ממשיכים להתפתח, מה שאומר שניסיונות ההגנה צריכים להתפתח יחד איתם.
