להחדיר את הקונספט שעל כל מחשב חייבת להיות מותקנת תוכנת אנטיווירוס מעודכנת, לקח לא מעט שנים ועדיין, למרבה הפליאה, אפשר למצוא ארגונים שפועלים ללא תוכנה זו. תהליך דומה עברנו עם העברת המסר לחיוניות ההגנה של תוכנת חומת האש - הפיירוול. היום, כשאנחנו ניצבים בכל יום בפני מתקפת וירוסים יותר חריפה ויותר מתוחכמת מקודמתה, אנחנו כבר מבינים שאנטי וירוס ופיירוול לבדם, כבר לא מספיקים.
הווירוסים כאמור הפכו מתוחכמים יותר ויותר, כבר לא מדובר בווירוס שמוחק קבצים או סתם מקשה על העבודה השוטפת. הבעיה המרכזית כיום היא בעיית הווירוסים מסוג תולעת, המשלבים מתקפות מורכבות Blended threat/attack (שילוב של תולעת וקוד זדוני), שבמקרה הקל יאטו את תהליך העבודה ובמקרה החריף יותר, ינטרלו את התקשורת באופן מלא.
במחצית השנייה של שנת 2003 הפסיד המשק העולמי 32.8 מיליארד דולר כתוצאה מנזקי וירוסים. וירוס Sobig לבדו, גבה נזק המוערך בכ-29.7 מיליארד דולר, כשהוא דוחק למקום השני, בדירוג הווירוסים הקטלניים והמכבידים ביותר פיננסית, את Klez, שעד כה גרם להפסדים כספיים של 13.9 מיליארד דולר "בלבד". במקום השלישי ברשימה מתמקם וירוס ותיק - I Love you עם נזק כספי של 8.75 מיליארד דולר.
הרשת פתוחה היום לשיטות שונות של מתקפות בהן דפדפן אינטרנט Internet Explorer, תקן/פרוטוקול HTTP, תוכנת דואר OutLook, תקן/פרוטוקולSMTP ו-MAPI, שיתוף קבצים ברשת, אפליקציות לשרות אינטרנט כמו MS ISS, תקן/פרוטוקול HTTP ושירותי Peer2Peer ועוד רבות אחרות. לא רק שמספיקה פרצה אחת בלבד, ישנם וירוסים, Nimda לדוגמה, שמנצלים את כל הפרצות.
מיקרוסופט לבדה שחררה יותר מ-70 תיקונים בכל אחת מהשנתיים האחרונות. שזה בחישוב קל, בממוצע, עדכון אחד לשבוע. במקרים אחרים אף היו 2-5 עדכוני חירום ביום אחד. ומה עם עדכוני תוכנה של יצרנים אחרים? יוצרי הווירוסים מנטרים פגמים אלה, המשמשים אותם לחדור למערכות שלא עודכנו בזמן. וגם חודשים אחרים הוצאת העדכון מערכות רבות מתגלות כלא מעודכנות בכלל.
תהליך האכיפה של הקשחת מערכות הפעלה הוא ארוך וקשה ובא להגן, לרוב על המשתמשים, מעצמם. מסקר שעשתה IDC בשנת 2003 עולה שעדיין, למרות הדיווחים, 37% יקליקו על קובץ המצורף לדואר בשםLOVE-LETTER-FOR-YOU.TXT. רשתות פתוחות הן זולות לתכנון והתקנה, אך מחיר הדבקתן בווירוסים, תולעים וקודים זדוניים הוא מחיר גבוה לא ערוך. שרותי DHCP שלא דורשים אימות (authentication), רשתות אלחוטיות שפתוחות בברירת המחדל, אלה ועוד מחייבים מערכת מתוחכמת וכלי מעקב.
לפי Meta Group טווח החלפה ממוצע של מערכת נע בין 1-4 שנים, דבר שמחייב שקיפות ומעקב תמידיים, בכללם הסרה מוחלטת של מערכות ישנות ולא מוגנות. הרשתות גדלו פי 8-10 בשנים האחרונות, ויחד עם הווירוסים שקצב התפשטותם גדל פי 2-4 בשנה, כל מערכת חדשה מסבכת עוד יותר את ההגנה. IDC אף מציין כי בכל שנה, גדלה תעבורת הדואר האלקטרוני ב-10 מיליארד הודעות. נוסיף לזה את כמות המשתמשים באינטרנט ואת השימוש בו (בשנת 2002 הגידול היה 40%), כוח העבודה שמשתמש במחשבים נישאים, פאלם, Ipaq, חיבור אלחוטי ועבודה מבית, שעולים אף הם בקביעות ונבין שמדובר כאן בבעיה רצינית.
קצב ההתפשטות המהיר של הווירוסים, לא מותיר לנו הרבה זמן להיערך. CodeRed התפשט בתוך כשעה, SQLSlammer בתוך כ-3 דקות ו-Mydoom, שנחשב לאחד הווירוסים הקטלניים שנראו עד כה, תקף מיליוני מחשבים ברחבי העולם בתוך דקות. ההגנה על הרשת חייבת להיעשות מבעוד מועד ולהיות עצמאית לגמרי בכל הקשור לצורך בעדכון ידני של חתימות וירוסים. אסור גם לשכוח כי מלבד תחנות העבודה והשרתים עצמם, הם לא הקורבנות היחידים של הווירוסים. בחזית נמצאים היום הגם הנתבים (router) והמתגים (switch). למעשה כל דרכי התקשורת והמערכות חוות פגיעה עד לכדי השבתה כוללת, שמביאה לאותם הפסדים כספיים שציינתי בתחילה.
מקאפיMcAfee מאפשרת הגנה מעמיקה יותר, בזכות יכולות סריקה יעילות יותר (בכללן קבצים דחוסים דוגמת ZIP), סריקת כל מבנה הדואר ולא רק חלקו, קבצים מצורפים וסריקה של כל התקשורת ולא רק את תחילתה או חלקה, דבר שעושות חברות אבטחת מידע אחרות. בנוסף, מבצעות המערכות של מק'אפי סריקת זיכרון דינאמית, ועצירת התקפות בזמן אמת. למק'אפי מערכת ניהול EPO שלפי מבחנים אובייקטיבים של VTC University of Hamburg, Proactive detection of new test, no false alarm נחשבת כבר 4 שנים ברציפות למערכת הניהול הטובה ביותר. המערכת מרכזת את כל צרכי הניהול, השליטה, המדיניות, ההפצה, הדיווח, ביצוע דוחות, סריקת כל הרשת ומציאת פריצות בלחיצת כפתור. EPO פועל ברקע ללא התערבות המשתמש וללא ידיעתו, דבר שמאפשר המשך עבודה רציפה גם ללא תלות בשיתוף הפעולה בעדכון או דיווח של המשתמש עצמו.
מתוך ראייה עתידית לצפוי להתפתח בתחום הווירוסים והקודים הזדוניים, ביצעה מק'אפי לפני מס' חודשים הערכות מיוחדת. במסגרת הערכות זו, רכשה מק'אפי 2 חברות טכנולוגיות, מהמובילות בתחומן, כדי לאפשר פתרון הגנה מעמיק ומדויק אף יותר.
הטכנולוגיה המוכרת בשם Intrusion Prevention מספקת פתרון הגנה בסביבת הרשת, המשולב חומרה לזיהוי ומניעת התקפות ידועות ולא ידועות. Network Base Intrusion Prevention - פתרון זה מאפשר תמיכה מלאה בביצועיהם של מתגי התקשורת ברשת המקומית, עד 2GB במכשיר בודד I-4000, I-1200 לרשת 100 רגילה. ה-Intrushield בודק וחוסם סוגי מתקפות שונות על הרשת בכללן Dos ו-DDos ללא עיכוב והפרעות. יתרון משמעותי נוסף הוא ביכולתו להמשיך ולהעביר תקשורת גם במקרה של ניתוק זרם החשמל, יכולת לפתיחת ערוצי VLAN וניהול מדיניות (Policy) שונה לכל VLAN עד השרת/התקן הבודד.
להגנה בסביבת השרתים, מיישמת מק'אפי טכנולוגית Host Base IPS (Intrusion Prevention). הכוללת פתרונות משולבי תוכנה להגנה פרואקטיבית, הן לשרתים ותחנות העבודה והן יכולות ניתוח וזיהוי בזמן אמת, ללא צורך בעדכון חתימות, של מתקפות תקשורת. שלב ראשון בהערכות הארגון כולל הטמעה של מערכת מתוחכמת - Entercept. מערכת זו "יושבת" בין ה-System Call וה-Operation System. כך שליבת המערכת לא עוברת שינוי. פעולה זו חוסכת משאבי מערכת (CPU) מזהה ומונעת התקפות ידועות ולא ידועות.
שתי הטכנולוגיות מבוססות על בדיקת התנהגות, כשהמוצר מחפש את השינויים (אנומליה), את החתימות וההתאמה ביניהן.
הגישה הכוללת הזו של מק'אפי לתחום ההגנה ההיקפית הטובה ביותר לרשת הארגון, מבטיחה שקט ובטחון גם במהלך מתקפות חריפות המשתוללות ברשת. כאנקדוטה, אפשר לומר שכל לקוחותינו שהפנימו את האיומים הצפויים, ונערכו בהתאם, פשוט צלחו את המתקפה האחרונה של Mydoom ללא אף פגיעה.
_______________________
הכותב הוא מנהל טכני בחברת אבטחת המידע, מק'אפי-ישראל
