טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

‫מה מערך הסייבר יכול ללמוד ממאבטח בקניון‬

או, איך בדיוק תוכנות אבטחה לומדות להתמודד עם איומים, ולמה כל כך קשה להן להילחם בווירוסים והתקפות שהן לא מכירות

תגובות

בתקופה האחרונה אנו עדים להתקפות רבות ומגוונות בעולם הסייבר. אנו שומעים על אתרי מסחר שנפרצים ומספרי כרטיסי אשראי של לקוחותיהם נגנבים, תולעים המתפשטות בעולם ומשתקות כורים גרעיניים, אתרי אינטרנט ממשלתיים שקורסים תחת התקפות וסוסים טרויאנים שגונבים מידע פיננסי רגיש מבנקים. כיצד ייתכן שעם כל המשאבים הרבים המושקעים (או לא?) בהגנת עולם הסייבר, עדיין ניתן לפרוץ כמעט לכל מערכת בעולם – בין אם היא באיראן, ישראל או ארה"ב?

בעולם הסייבר מקובל לסווג את שיטות ההגנה לשתי קטגוריות עיקריות. הראשונה הינה הגנה המבוססת על זיהוי עפ"י חתימות והשניה מבוססת על זיהוי עפ"י אנומליות (חריגות, יוצאי דופן).

מה ההבדל בין חתימות לאנומליות?

בוא נקפוץ רגע החוצה מהעולם הווירטואלי לעולם האמיתי, אל הקניון הקרוב לביתכם.

בכניסה לקניון עומד מאבטח, שבוחן את מאות הנכנסים לקניון ומחפש ביניהם את אותו אחד שעלול לבצע פיגוע. טרם הצבתו בעמדה, המאבטח עבר הכשרה שבמסגרתה ניתנו לו מספר קווים מנחים לאיתור חשודים אפשריים. למשל, אם אנחנו בקיץ וחם מאוד בחוץ ופתאום נכנס לקניון מישהו עם מעיל פוך נפוח אז כדאי מאוד שתעצור אותו. או אם מתקרב לשער הכניסה מישהו המחזיק רימון ביד אחת, אקדח ביד השניה וחגורת נפץ סביב מותניו, זה סימן שהגיע הזמן לשלוף את האקדח שלך. בנוסף, הוא גם קיבל רשימה של קלסתרונים של חשודים אותם יש לעכב באופן מיידי ולמנוע מהם בכל מחיר מלהיכנס לקניון.

למעשה, מה שהגדרנו כאן זו רשימה של חוקים או חתימות. אם אתה רואה כך וכך אז זה סימן שהגיע הזמן לפעול. כאשר המאבטח עוקב אחר הנכנסים לקניון ומשווה אותם (מראם החיצוני, פעילותם, התנהגותם) אחד לאחד לרשימת החוקים שהוכנה לו מראש הוא יכול לזהות ולעצור 100% מהאנשים העונים באופן מלא לאחד מהחוקים לאיתור חשודים. באופן הזה אנו משיגים הגנה מוחלטת ומלאה מפני איומים אותם ידענו לאפיין מראש ולתרגם אותם לסט של חוקים ברורים וחד משמעיים.

אולם, מה קורה אם מגיעה לקניון אישה קשישה הנראית בשנות השמונים לחייה אשר נושאת על גבה צ'ימידן ולמותניה מחובר מנשא תינוק? המאבטח הנאמן שלנו מביט ברשימת החוקים שלו ולא מוצא אף חוק העונה לתרחיש הקשישה. למעשה אפילו ייתכן שמוגדר לו לא לעכב קשישים וקשישות לבדיקה. האם מערך ההגנה נפרץ לרווחה והמחבל שהתחפש לקשישה הצליח בקלות להערים על המאבטח ולהחדיר לקניון תיק עמוס חומרי נפץ?

לא, מערך ההגנה לא כשל והמאבטח העירני זיהה את האיום. אומנם המאבטח מודע לכך שהקשישה לא עונה לאף אחד מהחוקים שהוגדרו לו אבל השילוב של קשישה בת שמונים, צ'ימידן כבד על גבה ומנשא תינוק המחובר למותניה מוגדר באופן מיידי במוחו של המאבטח כמשהו חריג, לא הגיוני. זו אנומליה. משהו שאינו מתחבר בצורה הגיונית לכל מה שהוא ראה וחווה בעבר. משהו שמצריך עיכוב, בדיקה מעמיקה וידוא שלא מדובר בנסיון התקפה מוסווה תחת מעטה נורמלי ורגיל. זאב בעור של כבש.

עשו לנו לייק לקבלת מיטב החדשות והעדכונים ישירות לפייסבוק שלכם

בעוד שמערכת החוקים הוגדרה באופן קשיח מראש, המערכת לזיהוי אנומליות הינה מובנית במוחו של המאבטח. היא מתבססת על כל מה שהוא מכיר עד כה, על כל מה שהוא למד במשך השנים, על השכל הישר וההגיון הפשוט. המוח הינו מנגנון משוכלל שיודע להתאים תרחישים לתבניות ולאתר באופן אוטומטי את החריג, את מה שלא מסתדר. את האנומליות. מנגנון זיהוי האנומליות הוא זה שמאפשר לו לאתר איומים חדשים עליהם לא שמע בעבר ולשפר לעין שיעור את מערך ההגנה.

הגנה בעולם הסייבר

כמעט כל מערכות ההגנה הווירטואליות המוכרות לכם הן מערכות המבוססות על חוקים וחתימות. החל מחומות אש, דרך מערכות רשתיות לזיהוי התקפות ועד למערכות ביתיות לזיהוי התקפות (כמו אנטי-וירוסים, אנטי-ספאם, אנטי-פישינג ועוד).

מה הוא חוק בעולם הווירטואלי ומי מגדיר אותו?

בשנת 2000 נשלח מהפיליפינים אי-מייל למספר משתמשים בעולם. בשורת הנושא נכתבה מילה אחת, ILOVEYOU, ולאי-מייל צורף קובץ אחד, LOVE-LETTER-FOR-YOU.txt.vbs. זו היתה יריית הפתיחה לאחת התולעים ההרסניות ביותר בהיסטוריה של עולם האינטרנט. כאשר משתמש קיבל את אי-מייל האהבה ופתח את מכתב האהבה המצורף, התולעת פגעה קשות במחשבו, לא לפני ששיכפלה את עצמה ושלחה מיילים דומים ל-50 אנשי הקשר המופיעים ראשונים ברשימת אנשי הקשר של המשתמש המותקף.

אף מערכת אבטחה לא זיהתה את התולעת, ולכן גם לא מנעה מהמשתמש לפתוח את הקובץ המצורף. אולם חמור מכך, אף מערכת אבטחה לא מנעה את הפצתו הוויראלית של המייל מהמחשב המותקף ל-50 אנשי הקשר שלו ועל כן לא נעצרה התפשטותה של התולעת הזדונית. לאחר עשרה ימים מאז ההפצה הראשונית של התולעת נדבקו מעל 50 מיליון מחשבים בעולם והנזק העולמי נאמד בכ-6 מיליראד דולר!


כיצד ניתן לייצר (בדיעבד) חוק שיזהה את התולעת?

דוגמא לחוק אפשרי: אם מגיע אי-מייל שבכותרת מופיעה המילה ILOVEYOU ומצורף לו קובץ יחיד ששמו LOVE-LETTER-FOR-YOU.txt.vbs אז השמד את האי-מייל במיידי (בפועל, החוק גם יכיל חלק מהטקסט המופיע בתוך הקובץ המצורף). את החוק הזה תגדיר חברת האנטי-וירוס, שחקרה את התולעת והבינה איך לאפיין אותה ולייצר את החתימה שכרגע הגדרנו. כעת חברת האנטי-וירוס תשלח עדכון לכל תוכנות האנטי-וירוס של לקוחותיה, התוכנות יוסיפו לרשימת החוקים שלהן את החוק החדש, וכאשר יגיע אי-מייל העונה לחוק זה, תוכנת האנטי-וירוס תשמיד אותו לפני שהמשתמש יוכל לפתוח אותו ולהיפגע.

כלומר, תוכנות האבטחה מחזיקות מאגרים של חוקים וחתימות של תולעים, סוסים טרויאנים ווירוסים ובצורה זו הן יכולות להגן על משתמשים, אתרי אינטרנט ורשתות, בדיוק כמו המאבטח שלנו בקניון שהשווה כל אדם לרשימת החוקים לאיתור חשודים שהוגדרה לו מראש.

אולם, מה קורה אם מישהו מייצר גירסה חדשה של וירוס ILOVEYOU שהכותרת שלו היא Message from your lover ומצורף אליו קובץ בשם PICS-OF-YOUR-LOVER.pdf? החוק שהגדרנו לאפיון תולעת ה-ILOVEYOU לא תקף במקרה הזה, תוכנות האנטי-וירוס לא ימצאו התאמה למאגר החוקים שלהן והטרוריסט המחופש לגברת הקשישה יעבור בחופשיות אל תוך הקניון. בעולם האבטחה אנו קוראים להתקפה מסוג זה Zero day attacks – התקפה שלא נראתה בעבר ואף אמצעי הגנה לא מכיר אותה עדיין ולכן גם אין חוקים שיכולים לזהות אותה. מה שנדרש במקרה הזה הוא מערכת לזיהוי אנומליות.

מהי אנומליה באולם הווירטואלי וכיצד ניתן לזהות אותה?

הנה דוגמא למנגנון לזיהוי אנומליות, שיכול היה למנוע את התפשטות תולעת ILOVEYOU ודומיה. מנגנון זה לומד ומאפיין את הדרך בה שולח המשתמש אי-מיילים. הוא בונה לעצמו פרופילים שונים של התנהגויות המאפיינות שליחת אי-מיילים ע"י המשתמש. למשל, כאשר אני מפעיל מנגנון זה אצלי הוא בוחן את המיילים אותם אני שולח, בודק לאן אני שולח אותם ומתוך זה מאפיין באופן אוטומטי את קבוצות האנשים אליהם אני שולח מיילים. למעשה הוא בונה עבורי פרופילים שונים של התנהגויות אותן הוא ראה אצלי. לדוגמא, בשעות הבוקר אני שולח מיילים בעיקר לעובדים במשרד או ללקוחות, בשעות הערב אני שולח מיילים בעיקר לחברים, בסופי שבוע בעיקר למשפחה וקצת לחברים אבל לא ללקוחות ולעיתים רחוקות אני שולח לאנשי מקצוע (מוסך, אינסטלטור, חשמלאי). כל הלימוד מתבצע באופן אוטומטי והפרופילים המאפיינים את ההתנהגות המיילית שלי מתעדכנים כל הזמן. נדגיש כי בדוגמה הזאת פישטנו בהרבה את האופן שבו עובד מנגנון לזיהוי אנומליות ובפועל הוא בונה פרופילים מורכבים המתחשבים באלפי משתנים ופרמטרים.

כעת, נניח שאותה תולעת ILOVEYOU תקפה אותי והיא מנסה להתפשט ממני ולהדביק אחרים. זיכרו שתולעת זו משכפלת את המייל הזדוני ל-50 האנשים הראשונים המופיעים ברשימת אנשי הקשר שלי. אני מזמין אתכם לבצע תרגיל פשוט – פיתחו את רשימת אנשי הקשר שלכם והסתכלו על 50 האנשים הראשונים המופיעים ברשימה. מה משותף להם? האם יש קשר ביניהם? האם אי פעם בעבר שלחתם אל כולם את אותו המייל באותו הזמן? מה הסבירות שמייל שלכם יישלח אל כל ה-50 הראשונים באותו הרגע?

אצלי למשל מופיעים ברשימה 7 חברים (קשר יומיומי), 8 אנשים מהעבודה (קשר במשך היום), 8 לקוחות, 6 בני משפחה, 3 חברים לריצה (סופי שבוע), 4 חברים מהמילואים (פעמיים בשנה), סוכנת הנסיעות (פעמיים בחודש), המוסכניק (פעם בשנה), 5 חברים מהאוניברסיטה (לא בקשר) ועוד 5 (קשר מזדמן) ועוד שני אנשי קשר שאין לי מושג מי הם ואיך הם הגיעו לפנקס הכתובות שלי. שום דבר לא מקשר בין 50 האנשים האלה כקבוצה, מעולם לא שלחתי אליהם את אותו המייל באותו הזמן ואפילו לא שלחתי להם מיילים שונים באותו הזמן. אני מניח שאצל רובכם המוחלט המצב הוא דומה, ו-50 האנשים הראשונים שייכים לקבוצות שונות הנבדלות באופן מובהק אחת מהשניה.

כלומר, המייל הזה שתוכנת הדואר שלי מנסה לשלוח ל-50 האנשים הראשונים ברשימה הוא חריג, יוצא דופן, אנומליה. מנגנון הלימוד וזיהוי האנומליות שלנו יזהה זאת באופן מיידי שכן הפרופיל שלו חריג מאוד ולא דומה לשום דבר שהמנגנון ראה או למד בעבר. למרות שהתולעת שינתה את פניה, החליפה כיסוי, שינתה את הכותרת ואת התוכן, והיא איננה עונה על אף חוק שאופיין עבור ה-ILOVEYOU המקורי, מנגנון זיהוי האנומליות זיהה אותה באופן מיידי שכן ההתנהגות שלה (ולא רק התוכן) היתה חריגה ולא תאמה את המוכר והנורמלי.

בתמונה הבאה מוצג אוסף של מאות מיילים שנשלחו מהמחשב שלי. כל נקודה מייצגת אי-מייל אחד שנשלח. התמונה המתקבלת היא ענן של נקודות הנראות אקראיות לגמרי.

מכיוון שכל אי-מייל מורכב ממאות משתנים המורכבים מיעד השליחה, תאריך ושעה, כותרת, תוכן, טקסט ומסמכים מצורפים, התמונה הכוללת חסרת סדר לחלוטין ולא ניתן להבין ממנה מה נורמלי ומה חריג.

כעת נראה מה מעלה הניתוח של המנגנון לזיהוי אנומליות. מנגנון זה יודע לנתח בצורה חכמה את מאות המשתנים המרכיבים כל אי-מייל, לאפיין אותם ולארגן אותם במבנים גיאומטריים בעלי משמעות. מבנים אלה הם כל כך ברורים שאפילו מישהו שאיננו מהתחום יכול לזהות את האנומליות בקלות.

בתמונה הבאה מוצג אותו אוסף של מאות מיילים לאחר שנותח ואורגן מחדש ע"י מנגנון זיהוי האנומליות. כל נקודה מציינת א-מייל שנשלח על ידי. ניתן לראות שהאי-מיילים מסודרים במבנה גיאומטרי ברור בצורת בננה. יש מיילים באיזור הכחול במרכז (מיילים לחברים), יש מיילים באיזור הצהוב מצד ימין (מיילים למשפחה) ומיילים באיזור הצהוב מצד שמאל (מיילים ללקוחות) ולמעשה כל ה"בננה" הגדולה מסמלת את האיזור הנורמלי שאופיין ע"י מנגנון האנומליות.

לעומת זאת, במרכז התמונה יש מספר נקודות בודדות בצבע אדום. נקודות אלה רחוקות מכל שאר הנקודות (בבננה הגדולה) והן מוגדרות באופן אוטומטי ע"י המנגנון כאנומליות – חריגות שאינן קשורות לאיזור הנורמלי. ואכן, כל הנקודות האדומות הן מיילים שהתולעת ניסתה לשלוח מהמחשב שלי על מנת להתפשט למשתמשים אחרים. מנגנון זיהוי האנומליות זיהה אותם בהצלחה והצליח לעצור את המיילים הזדוניים מבעוד מועד.

מכיוון שמנגנון זיהוי האנומליות של המאבטח מהקניון כמעט ולא קיים במוצרי האבטחה הקיימים היום בעולם הסייבר, אנו ממשיכים להיות עדים להתקפות, פריצות, חדירות וגניבות מידע. אומנם מנגנונים לזיהוי אנומליות אינם מספקים הגנה של 100% וגם להם יש מספר חסרונות אולם תרומתם למערך ההגנה הינה מכרעת. עד שלא ישולבו מנגנוני הגנה אלה באופן משמעותי ונרחב במערך הסייבר, ימשיכו כל מערכות המחשב למיניהן להיות פגיעות וחשופות להתקפות ההרסניות ביותר. ועדיין לא הזכרנו את הסוסים הטרויאנים שחודרים למערכות דרך אמצעי ההגנה ומחכים ליום הדין בו תינתן להם הפקודה לבצע השמדה כוללת ואז גם נגלה שגניבת מספרי כרטיסי האשראי היא הדאגה הקטנה ביותר שלנו...
מטה הסייבר, לתשומת לבך!

ד"ר גיל דוד הוא מנכ"ל חברת Brainstorm Private Consulting



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות