Blended Threats
בכל פגישה שאני מגיע ללקוח לייעוץ , או במעמד יועץ צד שלישי לפרוייקט מסויים, תמיד אני נתקל בהרמת גבות בשלב מסויים. באימפלמנטציות יפות יותר כל הגופים דאגו למערכות שמסוגלות לטפל בכל סוג של מזיק בתוך התוכן ועד עמקי הDATA, נהלים מפה ועד הודעה חדשה, ומערכות AAA מעולות אשר יכולות לאתר הקשה על מקלדת מלפני 8 חודשים וכדומה. ואז אני תמיד שואל "איזה פיתרון בחנתם לצורך מתן מענה לאיומים מרובבים ?" ואז השתיקה הארוכה ...
השתיקה אינה מפני ששכחו משהו , לא זה העניין , אלא ש"איומים מרובבים" , או בשפתם המקצועית "BLENDED THREATS" אינם נחלת הידע הכללי. הם בד"כ מופיעים כתזות או כנסיונות מתן מענה טכנולוגי מסויים לבעיות מסויימות אשר כוללות מספר מזיקים. אך זה לא הנושא , לכן אני בוחר להציג בפניכם כאן בצורה הכי פשוטה מהו איום מרובב.
וירוסים פולימורפיים הינם דוגמא טובה לחתיכות של קוד זדוני אשר מופיע בכל הדבקה בצורה שונה , וזאת על ידי הצפנת או קידוד הPAYLOAD של הוירוס בכל פעם מחדש. הם בעצם סללו את הדרך להבין שאם ניתן למערכות להתמודד בכל פעם עם אותו קוד בצורה אחרת , התגובה תהיה שונה. וכך נולד רעיון ריבוב ההתקפה. התהליך בפועל דומה לכל כתיבת וירוס או סוס טרויאני או הטעם האהוב עליי , תולעים. בעצם בגישה כזו , נכתב כל קוד שכזה בצורה שיכולה לתקוף במספר דרכים במקביל או באקראיות.
הרעיון הוא כזה , אם למשל אני תולעת שמפיצה לינק מסויים לאתר . אני יכול להפיץ עצמי גם באמצעות שכפול דרך רשימת הכתובות של הדואר האלקטרוני , גם דרך הIM , גם דרך הSMS GATEWAY שמוגדר לי על התחנה , גם על ידי עריכת מסמכים וחתימה עם הלינק עליהם וכדומה. בנוסף דרכי השכפול שלי יהיו מרובבות , שכן פעם אחת אשכפל את עצמי דרך אימייל , פעם השניה אתקוף דרך שיתוף הקבצים , בפעם השלישית בIM וכדומה... המצב שנוצר הוא יכולת של תולעת אחת לעבוד בכל החזיתות , גם בשכבות התקשורת וגם בשכבות האפליקציה.
ומה הבעיה בכלל ? הרי יש לי אנטיוירוס ואנטיספאם ואנטי אנטי אנטי ... ובכן תתפלאו , הם לא יתפסו התקפות כאלה במעל 80% מהמקרים. וזאת מפני שכל מנוע שכזה עובד לבד , אנטיוירוס חותם לבד שקובץ נקי , וגם מערכת האנטיספאם , הIPS יעבוד באותה צורה וכן הלאה. ולמעשה כל פתרון UTM שלא יהיה , לא יפתור את הבעיה מאחר והיא מחולקת על יותר מידי שכבות , כאשר באף שכבה אי אפשר לומר במדויק "כן , זו התקפה !". אולי חברה אחת או שתיים פנו לתת מענה אמיתי לבעיה זו ( על ידי כתיבת כל המנגנונים בעצמך , אתה מסוגל לבצע קונסילידציה של החלטות על סמך ניתוח משותף של כל המנועים , ורק כך תוכל לגלות את ההתקפה ).
התקפות אלו נחשבות לנדירות אבל לקשות ולמסוכנות מכולן , שכן אין להן חתימות, אין להן התנהגות צפויה , ואי אפשר ללמוד אותן. כמו כן רוב כותבי הקוד הזדוני אינם מכירים את כלל צורות העבודה ולכן לא בונים את מה שאני מכנה SUPERWORMS. אבל כמו שפעם היינו צריכים לכתוב וירוסים באסמבלי, והיום יש כלים שמייצרים לנו וירוסים בקליק, גם זה יבוא. השאלה היא רק מי מאיתנו יראה את הנולד מהר מספיק וברור מספיק בכדי להגיב.
על מנת להראות את אחת מדרכי הטיפול הטובות ביותר בתחום הטיפול באיומים מרובבים ארצה להציג בפניכם ראיון עם קן זי , מנכ"ל ומייסד חברת FORTINET , ומייסדה והבעלים לשעבר של חברת NetScreen שנרכשה על ידי JUNIPER. הראיון עצמו משנת 2004 והינו אבן דרך חשובה בתחום : גילשו לראיון
בנוסף למאמר שלי בנושא UTM שפורסם באנגלית בבלוג הזה : גילשו למאמר
השתיקה אינה מפני ששכחו משהו , לא זה העניין , אלא ש"איומים מרובבים" , או בשפתם המקצועית "BLENDED THREATS" אינם נחלת הידע הכללי. הם בד"כ מופיעים כתזות או כנסיונות מתן מענה טכנולוגי מסויים לבעיות מסויימות אשר כוללות מספר מזיקים. אך זה לא הנושא , לכן אני בוחר להציג בפניכם כאן בצורה הכי פשוטה מהו איום מרובב.
וירוסים פולימורפיים הינם דוגמא טובה לחתיכות של קוד זדוני אשר מופיע בכל הדבקה בצורה שונה , וזאת על ידי הצפנת או קידוד הPAYLOAD של הוירוס בכל פעם מחדש. הם בעצם סללו את הדרך להבין שאם ניתן למערכות להתמודד בכל פעם עם אותו קוד בצורה אחרת , התגובה תהיה שונה. וכך נולד רעיון ריבוב ההתקפה. התהליך בפועל דומה לכל כתיבת וירוס או סוס טרויאני או הטעם האהוב עליי , תולעים. בעצם בגישה כזו , נכתב כל קוד שכזה בצורה שיכולה לתקוף במספר דרכים במקביל או באקראיות.
הרעיון הוא כזה , אם למשל אני תולעת שמפיצה לינק מסויים לאתר . אני יכול להפיץ עצמי גם באמצעות שכפול דרך רשימת הכתובות של הדואר האלקטרוני , גם דרך הIM , גם דרך הSMS GATEWAY שמוגדר לי על התחנה , גם על ידי עריכת מסמכים וחתימה עם הלינק עליהם וכדומה. בנוסף דרכי השכפול שלי יהיו מרובבות , שכן פעם אחת אשכפל את עצמי דרך אימייל , פעם השניה אתקוף דרך שיתוף הקבצים , בפעם השלישית בIM וכדומה... המצב שנוצר הוא יכולת של תולעת אחת לעבוד בכל החזיתות , גם בשכבות התקשורת וגם בשכבות האפליקציה.
ומה הבעיה בכלל ? הרי יש לי אנטיוירוס ואנטיספאם ואנטי אנטי אנטי ... ובכן תתפלאו , הם לא יתפסו התקפות כאלה במעל 80% מהמקרים. וזאת מפני שכל מנוע שכזה עובד לבד , אנטיוירוס חותם לבד שקובץ נקי , וגם מערכת האנטיספאם , הIPS יעבוד באותה צורה וכן הלאה. ולמעשה כל פתרון UTM שלא יהיה , לא יפתור את הבעיה מאחר והיא מחולקת על יותר מידי שכבות , כאשר באף שכבה אי אפשר לומר במדויק "כן , זו התקפה !". אולי חברה אחת או שתיים פנו לתת מענה אמיתי לבעיה זו ( על ידי כתיבת כל המנגנונים בעצמך , אתה מסוגל לבצע קונסילידציה של החלטות על סמך ניתוח משותף של כל המנועים , ורק כך תוכל לגלות את ההתקפה ).
התקפות אלו נחשבות לנדירות אבל לקשות ולמסוכנות מכולן , שכן אין להן חתימות, אין להן התנהגות צפויה , ואי אפשר ללמוד אותן. כמו כן רוב כותבי הקוד הזדוני אינם מכירים את כלל צורות העבודה ולכן לא בונים את מה שאני מכנה SUPERWORMS. אבל כמו שפעם היינו צריכים לכתוב וירוסים באסמבלי, והיום יש כלים שמייצרים לנו וירוסים בקליק, גם זה יבוא. השאלה היא רק מי מאיתנו יראה את הנולד מהר מספיק וברור מספיק בכדי להגיב.
על מנת להראות את אחת מדרכי הטיפול הטובות ביותר בתחום הטיפול באיומים מרובבים ארצה להציג בפניכם ראיון עם קן זי , מנכ"ל ומייסד חברת FORTINET , ומייסדה והבעלים לשעבר של חברת NetScreen שנרכשה על ידי JUNIPER. הראיון עצמו משנת 2004 והינו אבן דרך חשובה בתחום : גילשו לראיון
בנוסף למאמר שלי בנושא UTM שפורסם באנגלית בבלוג הזה : גילשו למאמר
Labels: technology, thesis, threats, vulnerability
| Link 
בארי אהבתי את הכתבה.
עיראקי
Posted by
Anonymous |
9:31 AM