קבצים ומיילים מהווים את מקור המידע העיקרי ברשת הארגונית, בזמן שהם יכולים להכיל איומים אבטחתיים משמעותיים. בסקירה זו נציג את המענה האקטיבי המיטבי המושג באמצעות טכנולוגיית CDR, ונבין מדוע טכנולוגיות האבטחה המקובלות אינן מספקות בהכרח את המענה האבטחתי הנדרש.
כיום הקבצים והמיילים אינם בעלי מבנה פשוט, אלא ישויות מורכבות המכילות בתוכן קבצים מוטמעים ואובייקטים שונים, חלקם חוקיים וחלקם עוינים. לכן, חובה עלינו לאתר ולנטרל את האלמנטים המסוכנים שבתוכם לפני הכנסתם לרשת הארגונית.
מקובל שבכל ארגון כבר מותקנות טכנולוגיות הגנת מידע שפוגשות את הקבצים ואת המיילים. מגוון הטכנולוגיות הללו הוא עצום וכולל בין היתר את Firewall, WAF, Mail Relay/Mail Gateway, Antivirus/Antimalware, Web Proxy/Secure Browsing, EDR/XDR, Sandbox. אך נשאלת השאלה - האם הטכנולוגיות הללו נותנות מענה לאיומים האבטחתיים המוכלים בתוך קבצים מורכבים?
אפשר כבר לומר שהעובדה שחלקן המכריע של הטכנולוגיות המקובלות אינן מפרקות קבצים למרכיביהם (אנליזה), אינן מסירות אלמנטים מסוכנים מתוכם, אינן מרכיבות חזרה קבצים נקיים (סינתזה), ובנוסף אינן מסוגלות להתמודד עם האיומים שקיימים בתוך סוגים רבים של קבצים מוגני סיסמה, גורמת לכך שכאשר הן יפגשו קבצים מורכבים שמכילים אובייקטים עוינים, מרביתן יפספסו את האיומים הפנימיים. במקרה הטוב הן יחסמו את הקבצים והמיילים ובכך יפגעו ברציפות העבודה של הארגון, ובוודאי שלא נזכה לראות הסרה אקטיבית של אובייקטים עוינים מתוך הקבצים.
פירוק והרכבה מחדש
לעומתן, הטכנולוגיה המכונה (CDR (Content Disarm and Reconstruction מתמקדת בהורדה אקטיבית של סיכונים בקבצים ובמיילים.
במנועי ה-CDR אנחנו קולטים קבצים ומיילים מורכבים מקוריים, מפרקים אותם (אנליזה) למרכיבים הכי בסיסיים שלהם, בוחנים את המבנה של כל קובץ ואובייקט מוטמעים ביחס לתקן ושואפים לאתר סיכונים אבטחתיים והטמנות עויינות, מנטרלים או מסירים את האיומים, ולסיום - מרכיבים מחדש (סינתזה) קבצים ומיילים נקיים ואיכותיים.
אנחנו נשאף לפתח מנועי CDR ייעודיים, שכל אחד מהם ממוקד במשפחת קבצים מסוימת, וזאת להבדיל מטכנולוגיות האבטחה המקובלות שלרוב אינן מכילות יכולות ייעודיות שפותחו בהתאם לסוגי הקבצים השונים.
להבדיל מפתרונות אבטחת המידע המקובלים, בטכנולוגיית ה-CDR השאיפה שלנו היא לא לחסום, אלא לספק למשתמש קבצים ומיילים תקינים לאחר שעברו הסרה אקטיבית של איומים אבטחתיים.
נמחיש את חשיבות פעולת CDR ב-WhatsApp. למשל, אם קיבלנו ב-WhatsApp קובץ ZIP מוגן סיסמה, שבתוכו מצוי קובץ Excel שכולל Macro כלשהו. רוב טכנולוגיות האבטחה המוכרות יאשרו לשימוש את קובץ ה-ZIP ואת כל תכולתו, כי הן אינן יודעות לבדוק אותו עד לרמת ה-Macro המסוכן, או שלחילופין הן יחסמו את קובץ ה-ZIP ואת כל תכולתו בגלל שהוא מוגן סיסמה והן לא מתמודדות עם קבצים מוגני סיסמה. בכל מקרה, תתקיים כאן פגיעה ברציפות עבודת הארגון.
לעומת זאת, מערכת CDR איכותית תבקש מהמשתמש לספק לה את סיסמת ה-ZIP, ותחסום אותו רק אם לא קיבלה ממנו את הסיסמה, או שקיבלה סיסמה לא נכונה. אם הסיסמה נכונה היא תפתח את ה-ZIP, תוציא מתוכו את קובץ ה-Excel, תפרק את קובץ ה-Excel ותזהה בתוכו את ה-Macro. היא תנהג ב-Excel וב-Macro כפי שהגדיר לה מנהל המערכת - האם רק לחסום Excel כי הוא מכיל Macro, או להסיר את ה-Macro מתוך ה-Excel ולהחזיר למשתמש Excel נקי, או לבדוק האם ה-Macro מהווה איום אבטחתי ואם לא - אז לספק אותו למשתמש. במילים אחרות, מערכת ה-CDR תפרק לגורמים ותרכיב מחדש ZIP מוגן סיסמה, שבתוכו Excel שעבר סינון ל-Macro, ותעביר אותו למשתמש ה-WhatsApp.
לבחור את היצרן הנכון
בשוק ניתן למצוא גם יצרנים שמתמחים בפיתוח פתרונות CDR, וגם יצרנים שמתגברים טכנולוגיות אבטחה אחרות ביכולות CDR כאלו ואחרות. כשבאים לבחור יצרן ופתרונות CDR הכרחי לבדוק האם הפתרון כולל יכולות ממוקדות, שמותאמות לסוגי קבצים שונים, או שנעשה שימוש בפתרונות גנריים, שאינם ממוקדים באיומים השונים שקיימים בסוגי הקבצים השונים. בנוסף, חשוב לבחון עד כמה הפתרון המוצע מסוגל להסיר איומים מקבצים ומיילים ולהכשירם לשימוש בטוח, וזאת במקום רק לחסום אותם ולהפריע לרציפות העבודה.
כמו כן, יש לבדוק האם הפתרון מחזיר קבצים תקינים שאיכות וחוויית השימוש בהם אינה נפגעת, מה שעלול לקרות כאשר הסינון מתבסס על המרות פורמטים של קבצים.
נקודות נוספות שיש לבחון: האם מדובר בסינון מהיר, שאינו מעכב עבודה ולא יוצר צווארי בקבוק והאם נדרשים משאבי מחשוב גבוהים כדי לשמור על ביצועים טובים; האם היצרן מספק חבילת פתרונות שנותנים מענה לכל סוגי כניסות הקבצים והמיילים לארגון; ולבסוף, האם היצרן פיתח בעצמו יכולות CDR ייעודיות, או שהוא מסתמך על יכולות שמספקים מנועי אנטי-וירוס.
להתקין בכל מקום ובכל כניסה אפשרית
היסטורית, שילוב פתרונות ה-CDR תואמת את התקדמות הרגולציות השונות. ההתחלה הטבעית היתה בגופים ביטחוניים וממשלתיים, והמשיכה הלאה לגופים פיננסים ובריאותיים. בחלוף השנים ניתן למצוא כיום פתרונות CDR בארגונים מגוונים כגון שלטון מקומי, תשתיות, תחבורה, תקשורת, חינוך, תעשייה, הייטק ומשפט.
מאחר ויכולות CDR מלאות מסופקות היום גם כשירותי SaaS בענן ולא רק כהתקנה מלאה בחצר הלקוח, הרי שגם ארגונים קטנים יכולים ליהנות משירותי CDR as a Service.
אנו ממליצים להתקין את פתרונות ה-CDR בכל כניסה אפשרית של קבצים לארגון, ובכלל זה: בכניסת המיילים (גם כאשר שרת המיילים הוא מקומי וגם כאשר מדובר בשירות מיילים כדוגמת Microsoft 365), בהורדת קבצים מאתרים בעזרת דפדפנים (דוגמת Chrome, Edge), בקבלת קבצים בתוכנות צ'ט (דוגמת WhatsApp), בהכנסת קבצים שמקורם במדיות נתיקות (כולל ממכשירי סלולר), ובהגעת קבצים לספריות (לאחר העלאה ב-SFTP/HTTPS).
הכותב הוא מייסד ומנכ"ל חברת יזמטק (YazamTech), שמפתחת מנועי CDR למגוון גדול מאוד של משפחות וסוגי קבצים, תוך דגש על הסרה אקטיבית של סיכונים אבטחתיים מקבצים וממיילים וצמצום המקרים של חסימתם. פתרונות החברה מותקנים בערוצי הכניסה השונים של קבצים ומיילים לארגון, והם מסופקים הן כהתקנות בחצר הלקוח והן כשירותי ענן SaaS
לאתר יזמטק>>>
בשיתוף יזמטק (YazamTech)
