מי שבוחן לעומק את תחום התקפות הסייבר מגלה תמונה ברורה: מזה מספר עשורים ועד היום, הדואר האלקטרוני ממשיך להיות הציר המרכזי לתקיפת ארגונים. רוב תקיפות הסייבר מתרחשות שם מכיוון שמדובר בפרצה נגישה מאוד. קל לטרגט אדם ספציפי (צריך רק לדעת מה כתובת המייל שלו) ויכול להיות גם קל למדי להפילו בפח, עם נוזקה המצורפת למייל או לינק להונאת פישינג שתגנוב פרטי התחברות קריטיים.
"התוקפים מבינים זאת ומנצלים את המצב", אומר איתי גליק, סמנכ"ל מוצרים בחברת OPSWAT, המתמחה בהגנת סייבר לתשתיות קריטיות. "ישנן אין-סוף אפשרויות תקיפה, כשרבות מהן לא מזוהות על ידי תוכנת האנטי וירוס. למוצרי אנטי וירוס למיניהם יש רמת דיוק נמוכה, אפילו אם הם משתמשים בלמידת מכונה. למפתחי תוכנות ההגנה קשה לעמוד בקצב של מעל ל-100 מיליון תוכנות זדוניות בשנה. גם כשווירוס מזוהה - מספיקה קומפילציה חדשה, או שינויים קלים בקוד, כדי לייצר ממנו גרסה חדשה שעדיין אינה מזוהה. הרי האנטי וירוס עובד על בסיס חתימה, ושינוי הקוד הופך את החתימה הספציפית ללא רלוונטית ואת האיום לכזה שלא ניתן למצוא. התוצאה היא מצב בו קל מאוד לחדור לארגון. האי-מייל הוא נתיב מטורגט ישיר לתוך עמדת הקצה וכך מביא את הנוזקה ישירות למחשב המשתמש".
פלטפורמת אבטחה שלמה
מצב זה מטריד מאוד את תעשיית אבטחת הסייבר והוא אחת הסיבות ש-OPSWAT הגדירה את 2024 כשנה בה תשים דגש על פתרונות אבטחת אי-מייל. הודות לטכנולוגיית האבטחה שפיתחה יש לה יתרונות בתחום הגנת המייל, למרות שקיים בו מספר דו-ספרתי של יצרנים מובילים. "למרות הפעילות הערה בתחום, עדיין 77% מפתיחות המיילים הנגועים עוברות את פתרונות ההגנה", מציין גליק. "האנטי וירוס לא זיהה, היה שימוש ב-Malware לא מוכר או ב-Exploit חדש, שעוד אין הגנה עליו וכדומה".
אז כיצד OPSWAT כן חוסמת התקפות כאלו?
"הקונספט שלנו הוא גישת Zero Trust ובדיקה מדוקדקת של כל מייל בצורה שתאפשר ליירט את הסכנה לפני הגעתה למטרה. פיתחנו תהליך בשם Deep Content Disarm and Reconstruction שבכוחו לחסום גם התקפות לא מוכרות. זהו פיתוח שבנוי על טכנולוגיית Multi scanning - סריקה מרובת מנועים. כמו כלים אחרים שפיתחה החברה - אין עוד כאלו בתעשייה. חברות רבות מפתחות מוצרי אבטחה, אבל רובן עושות מוצר אחד או שניים. ל- OPSWAT יש פלטפורמה שלמה המאפשרת לאבטח את כל מה שצריך ולעמוד בתאימות הנדרשת על ידי הרגולציה - נושא קריטי בארגונים המספקים תשתיות קריטיות.
"המערכת שלנו יושבת לוקאלית או בענן, לבחירת המשתמש, סורקת את האימיילים שנכנסים ויוצאים בארגון - בין אם פנימיים ובין אם מחוצה לו - ומבצעת עליהם מספר תהליכים: הסתכלות על ה-URL, שכתוב שלו ובדיקה בזמן לחיצה אם מדובר בלינק עוין. באמצעות מנועי אנטי וירוס שונים בהם המערכת עושה שימוש, היא בודקת כל אלמנט במייל כולל גוף הטקסט - אזור שפחות נהוג להתייחס אליו בחשדנות, אך יכול גם כן להחביא סכנה. במידה שלא מצאה סיכון, מבצעת המערכת את תהליך ה-Deep Content Disarm and Reconstruction ובמקביל תהליך Sandbox, שמריץ את הקובץ ובודק אם יש חשד שהוא עוין, למשל בעל פרמטרים של גישה לדיסק או לרשת. הכל נבדק בהודעת המייל. לא רק הקבצים המצורפים וגוף הטקסט, אלא 150 סוגי קבצים שונים. רוב המשתמשים אפילו לא מודעים לקיומם, או לכך שמדובר בקבצים. זימון לפגישה, למשל, הוא סוג של קובץ - שגם כן צריך להיבדק. קבצים אלו נסרקים בזריזות, עוד לפני שהקובץ מגיע לתיבת המשתמש - אליה יגיעו במהירות, אך רק לאחר שיזוהו כנקיים".
לבדוק כל קובץ שמגיע
חברת OPSWAT הוקמה בארה"ב ב-2002, במטרה לייצר שפה משותפת בין פתרונות אבטחה שונים הרצים על תחנת קצה. הפתרון הראשון שהיא יצרה בתחום הוא טכנולוגיית ה-Multi scanning, שהיוותה את הבסיס לכל המוצרים שפיתחה מאז. כחלק מגדילת החברה הוקם גם הסניף הישראלי, בהתחלה כמשרד קטן בהרצליה וכיום במשרד חדש וגדול בפתח תקווה.
גליק מספר שגולת הכותרת של המשרד החדש היא מעבדת סייבר בה ניתן לראות כיצד מגינה החברה על הרשת הארגונית, מרמת הבקר התעשייתי ועד החיבור לענן, על כל המערכות העוברות בדרך. המעבדה הופכת למרכז אינטראקטיבי המוקדש למיפוי זרימת מידע בטכנולוגיית הפעולה (OT) ובטכנולוגיה של מערכות המידע (IT). בחברה מצהירים שהיא מייצגת את יכולותיה במתן המענה הטכנולוגי לאתגרי הסייבר העדכניים.
"המעבדה מדגימה את פתרונות OPSWAT, מציגה את יכולתנו המיוחדת לזהות, לנתח ולהפחית פגיעות מזיקות ותקיפות Zero Day ומספקת תובנות על תגובות ספציפיות לאיומים פוטנציאליים", מפרט גליק. "המטרה היא להפוך את כל המוצרים שלנו לאינטראקטיביים. שיהיה אפשר לחוש אותם, לגעת בהם, לראות את פעילותם בלייב בכל הרמות. זה מביא את כל המוצרים שלנו לידי ביטוי כפלטפורמת הגנה על ארגונים של תשתיות קריטיות. ישנן 16 קטגוריות שהוגדרו כתשתיות קריטיות, ביניהן תחבורה, בנקים, מוסדות ממשלה ומוסדות ביטחוניים".
עד כמה נפוצה כיום גישת Zero Trust בעולם הסייבר?
"עולם אבטחת המידע כולו עובר אליה ורשתות ארגוניות נוקטות בה, אפילו לגבי עמדות הקצה. בזמן האחרון הגישה הזאת חודרת גם לעולם האי-מייל ומתרחבת ההבנה שיש לבדוק כל קובץ שמגיע ולא לתת בו אמון אוטומטי. יש לבחון כל אלמנט בהודעת המייל לעומק - מגוף הטקסט ועד לקבצים המצורפים, לבצע עליו שורה של תהליכים נדרשים - ורק אז, אם הכל נקי - להעביר למשתמש הקצה. נקיטה בגישת Zero Trust יכולה להביא לרמת אבטחה גבוהה הרבה יותר בארגון. אם ניקח לדוגמה קבצים מוצפנים: היה נהוג לא לסרוק אותם. כיום גם להם לא מאמינים - וסורקים. מיילים שיוצאים מהארגון - סביר להניח שהם נקיים. אבל מה אם הם מכילים מידע פרטי שלא צריך לצאת? או שהמשתמש בטעות שלח וירוס? כך שגם שם יש כיום Zero Trust"
נראה שהזירה רק נעשית יותר ויותר סבוכה
"מבחר ההתקפות הולך ומתרחב ורבות מהן משכילות להתחבא בצורות שונות ומתוחכמות כדי למנוע זיהוי רחב על ידי מנגנון. בזמן האחרון ישנן הרבה תקיפות באמצעות קוד QR. כאשר המשתמש סורק אותו עם הטלפון הוא יכנס לאתר פישינג מתחזה. הוא עלול להזין שם את סיסמתו , שתגיע בעצם לתוקף. יש תוכנות זדוניות מוכרות שקל לזהות כתהליך שרץ על תחנת הקצה, אך בנוסף יש תוכנות כאלה שמחכות ליום פקודה. הן יושבות על התחנה בלי לגרום נזק, אולי אוספות מידע, ולא ניתן לזהות אותן דרך תהליכים שרצים. הן מסתירות עצמן היטב ומחכות לרגע בו יופעלו. אם, למשל, האקרים מפזרים בארגון מספר גבוה של נוזקות כאלה, שמוגדרות כולן לפעול בתאריך מסוים - הן לא יזוהו עד לאותו התאריך, וכשהוא יגיע - יפעלו בו זמנית ויוכלו להקריס את הארגון שטורגט".
לייצר אבטחת מייל פנימית
אתגרי סייבר כאלה גורמים לארגונים לשנות גישה בנושא האבטחה, כל אחד לפי תפיסתו לגבי מה יותר בטוח. ארגונים רבים מעבירים פעילות רבה לענן המחשוב, שם מוגנים היישומים על ידי האבטחה מצד הספק. 85% מהארגונים המשתמשים כיום בחבילת Office, עושים זאת בגרסה המקוונת - Office 365. ארגונים אחרים בוחרים בהגנה לוקאלית יותר, מתוך התפיסה שכך יוכלו לשלוט עליה היטב. "ארגונים המוטרדים מאוד מנושא האבטחה, או שהרגולציה מחייבת אותם להתנהלות מסוימת, נוטים לבחור באבטחת מייל לוקאלית", מסביר גליק. "הם רוצים רשת מופרדת עם כל ההגנות. זהו בדיוק היתרון היחסי שלנו ב-OPSWAT, כי הרבה מאוד מתחנות האנטי וירוס שלנו מתופעלות בענן ושם קובעות אם הקובץ המצורף למייל זדוני או לא. לכן, בנינו פתרון שיודע להתמודד עם עבודה המנותקת מהענן ומספק סט של אפשרויות לייצר אבטחת מייל פנימית הכולל את כל שלבי ההגנה, ללא פשרות. גם ארגונים כאלה, שהם יותר מוטי אבטחה, יכולים לבצע הגירת מיילים או מעבר ל-Office 365 לענן, כשאנחנו יכולים לשנות את ההגנה מלוקאלית לעננית בקלות".
הזכרת תוכנות זדוניות רדומות. מה הדרך להתמודד עימן?
"הדרך האידיאלית לזהות ולנטרל נוזקה כזאת היא שימוש בתהליך ה-Deep Content Disarm and Reconstruction של OPSWAT. אם, למשל, המתקפה מוטמעת במסמך Word - התהליך יוצר עותק בטוח לפתיחה של המסמך, ללא הרכיבים הנוספים. רק לוקח את הטקסט והתמונות מהמסמך ובעצם בונה אותו מחדש. בשלב השני הקובץ נכנס ל-Sandbox ונבדק שם לעומק, במטרה להגיע לכיסוי הגדול ביותר האפשרי לזיהוי נוזקות. לתהליך שפיתחנו יש את היכולת לעשות זאת היטב וכשאנו משווים את היכולות שלו לאלו של שחקנים אחרים בשוק - אנו רואים שאנחנו מובילים מול כולם. לא במקרה ל-OPSWAT יש כיום אלפי לקוחות, רובם תאגידים גדולים ומוסדיים העוסקים בתחומים קריטיים כחשמל, ביטחון וממשל".
לאתר החברה>>>
בשיתוף OPSWAT
