אני יודע שכתבתי די הרבה על הנושא בזמן האחרון, אבל בכל זאת עוד משהו.
ישנה הסכמה בין חברות ה-antivirus על כך שמתקפות ממוקדות הן הדור הבא של וירוסים וטרויאנים. מדובר על קבצים שנכתבים במיוחד כדי לתקוף חברה מסוימת, או מספר חברות. ברוב המקרים מדובר על דואל יחיד לחברה אחת ולא יותר ממספר משלוחים לעד שלושה ארגונים. חברת messagelabs מעדכנת כי מדי יום הכלים שלה מנטרלים כשלוש מיליון תוכנות זדוניות. מתוכן רק כשבע (7) מוגדרות כמתקפות ממוקדות. (מקור: news.com)
כנראה שאת רוב המתקפות הממוקדות הם לא מאתרים. מתקפות ממוקדות הן כמו הגל הראשון ואנו יודעים מניסיון שבגל הראשון תמיד יש נפגעים וחברות ה-antivirus מתמודדות ביניהן בעיקר על יכולת הגילוי והוצאת עדכונים מהירה ופחות על מניעה ממש (אני לא מדבר על סתם סקריפטים, אלא על וירוסים וטרויאנים שנכתבים על ידי מביני עניין).
עוד מגמה בהקשר זה שחשוב לזכור הוא המעבר למתקפות על בסיס פורמטים מקובלים (כדוגמת office ו-pdf). ההגנה המקובלת של חסימת קבצי הרצה כבר אינה אפקטיבית כיום כמו שהייתה בעבר.
זה שהעתיד נמצא במתקפות ממוקדות די ברור אני חושב. גם זה שהישועה לא תצמח מפתרונות האנטי וירוס הקיימים. איך אפשר יהיה להתמודד עם מתקפות כאלה בכל זאת? שאלה טובה. הנה שני כיוונים שנראים לי אפשריים (אשמח לשמוע על עוד רעיונות):
- צריך להפריד בין מתקפות שמטרתן הוצאת מידע מהארגון למתקפות שמטרתן השבתת מערכות. הראשונות יכולות להיות מנוטרלות באמצעות כלים כגון Portauthority ו-Onigma שמונעים דליפת מידע (ולא משנה הסיבה לדליפה). האחרונות מסובכות יותר למימוש וניתן למנוע אותן בכלים הרגילים של תכנון ארכיטקטורה מאובטחת. צריך רק לקחת בחשבון שאחד ממקורות המתקפה יכול להיות פנימי (כמובן שזה יותר קשה ליישום מאיך שזה נשמע).
- אפשר לחשוב אולי על כלים שיבנו honeypot ברמה ארגונית, מה שיאפשר אולי לזהות מתקפות ייחודיות לארגון בצורה מהירה יותר.
- שיפור של מערך ניהול העדכונים בארגון (patch management). היום מעטים הם הארגונים שממש מעדכנים בצורה שיטתית ואפקטיבית את כל עדכוני האבטחה הנחוצים.
בבלוג זה
בכל הבלוגים
