דלג לתוכן

מתקפת Zero-Day;

או: מהאירועים שכדאי לא לפגוש

עמוד ראשי » בלוג » אבטחת מידע » מתקפת Zero-Day;

מעודכנים ל-Firewall של אתמול? תתעוררו!

בתקופה כזו מתקפות סייבר מתחדשות בכל רגע
ומי שלא מעודכן עומד בלב הסכנה.
רגע אחד העסק מתקתק כמו שצריך
ורגע אחר כך – אתם יכולים לומר “ביי ביי” לשגרה שהכרתם.
ארגונים בסדר גודל בינוני לא יכולים להרשות לעצמם כיום להתפשר על אבטחה השייכת לדור הקודם.
מתקפת Zero-day, נעים (או יותר נכון, לא נעים) להכיר:
המתקפה שיכולה לפרק את הארגון שלכם לרסיסים.

מה זה בעצם Zero-Day attack?

מתקפת Zero-day  היא ניצול של פגם אבטחה במערכת אותה ניתן לטרגט באמצעות קוד זדוני.
פגיעות אלו מוכרות רק למי שמצא את אותן פרצות אבטחה במערכת
ולמי שהוא העביר אליו את אותו מידע. ברוב המוחלט של המקרים,
אפילו חברת האבטחה שסיפקה את המערכת, אינה מודעת לפרצות הללו.
ההתקפה מתרחשת באופן מידי וללא יכולת לזהות את התקיפה,
את מאפייניה ואת הגורם לה, ובטח שלא לתקן את הנזק.
במרבית המקרים, מדובר בהרס בלתי הפיך.

עידן חדש של סכנות

מתקפת אפס ימים היא מתקפה חדשה יחסית.
עד היום, היה נהוג בקרב מומחי אבטחה ליידע את אנשי ה-IT
והאבטחה בארגון על פרצה עתידית אפשרית,
תוך אספקת גיבוי (Patch, או טלאי תוכנה המספק “כיסוי” לתקלה שהתגלתה בתוכנה.
הטלאי מיועד להחליף רכיב מסוים בתוכנה ולתת מענה מידי).
מתקפת אפס ימים עושה שימוש בפרצה שאינה מוכרת ולפיכך,
אין אפשרות להתגונן מפניה או לספק איזשהו מוצר אבטחה.

בשל האטרקטיביות של מתקפת אפס ימים,
המרדף אחר פרצות אלו הולך וצובר תאוצה מדי יום,
ולמעשה זה רק עניין של זמן עד שיאתרו פרצה בחברה שלכם.
קצב ההתחדשות של מתקפות אפס ימים מקשה לעקוב אחר הטכניקות,
האסטרטגיות ומערכת הקשרים הענפה המתפעלת את המתקפות,
המסחר והקשרים בין התוקפים השונים.

שני סוגי Zero-Day attack

אז עכשיו משהכרנו את העולם של הדארק-סייבר
והמסחר הענף המתקיים בו ברגעים שאתם קוראים את הכתבה,
אנחנו עולים לשלב ב’:
בתוך פגיעות אפס ימים קיימים שני סוגים: פגיעות ציבוריות ופרטיות.

בשל העובדה כי פגיעותיו אלו אינן מוכרות לרבים,
הן גם לא מהוות איום רחב. פגיעותיו מסוג זה מכונות “פרטיות”.
מרגע שההאקר שאיתר את הפרצה בתוכנה חושף את הפגיעות האפשרית לשוק השחור,
התקפות אלו יכולות להיות איום משמעותי עבור הקורבן שכן אין כל דרך אפשרית לגלות אותן.

פגיעותיו ציבוריות – ההפוכות לאלו הפרטיות,
הן פגיעותיו שפורסמו בשוק השחוק באינטרנט ומהווה סכנה חמורה.
עם זאת, גופים וארגונים הדואגים להגן על עצמם מבעוד מועד יכולים למנוע את הנזקים הבלתי הפיכים.

איך זה עובד: האנטומיה של Zero-Day attack

האקרים משקיעים ימים ארוכים,
שבועות וחודשים במטרה להגיע לרגע הזה: מתקפת Zero-day.
במטרה למצוא נקודת תורפה ולו הקטנה ביותר בארגון,
האקרים מפענחים קודים במשך לילות ארוכים במטרה לכפות
על מערכת האבטחה של הארגון לחשוף את הפרצות הקטנות ביותר
או אפילו צירוף קטן מתוך קוד האבטחה.

מרגע שהקוד נחשף, להאקר יש שתי אפשרויות:
להשתמש בפרצה לצרכים עצמיים או להעביר אותה לברוקר,
למטרות מסחר בשוק השחור.
הוצאת הפרצה לשוק מאפשרת להאקר לבנות לעצמו מוניטין כשרק מטרה אחת עומדת לנגד עיניו:
מכירת הממצאים במחיר הגבוה ביותר שיוצע לו.
בשל העובדה כי zero-day attacks הן מוצר מבוקש ביותר,
פגיעות כאלה מגיעות למחירים גבוהים מאוד בשוק השחור של עולם אבטחת המידע.

המידע נמכר למרבה במחיר והתוקף, הרוכש את המידע,
זקוק לכלים הנכונים כדי לתכנן את אופן הפריצה שלו.
לשם כך, נעשה שימוש במידע המשולב לתוך תכנית ההתקפה.
ההאקר מתכנן מראש את הזמן,
התוכנה והאמצעים בהם תבוצע ההתקפה וברגע האמת – בום!

מרגע שהארגון שלכם הותקף, אין הרבה מה לעשות.
למעשה, אין שום דרך להתגונן כלל.
הדרך היחידה להימנע מ-Zero-day attacks הוא להתכונן לכך מראש.

אז מה עושים בעת מתקפת Zero-Day?

ארגונים ה”מבינים עניין” כבר דורשות כיום מחברות האבטחה
להתמודד עם התקפות ללא חתימות (Zero-day attacks).
הארגון אינו ערוך לקראתן:
מערכת סינון דואר סטנדרטית לא יכולה לספק פתרון להתקפות אפס ימים,
תוכנות רוגלה כלל לא הוגדרו במערכת ובאופן זה,
לינקים שנראים אותנטיים וניטרליים לחלוטין יכולים להתגלות
כאתרים זדוניים שבכוחם להעביר תוכנות רוגלה, לגנוב זהויות ועוד.

תשתית בענן

כדי להיערך בצורה הטובה ביותר לקראת מתקפות אפס ימים,
האמצעי היחיד המאפשר התגוננות מבעוד מועד
הוא תשתית בענן המבוססת על אנטי וירוס רב שכבתי.
התשתית בענן מאפשרת זיהוי וירוסים ותוכנות זדוניות ללא חתימות בזמן אמת.
מערכת בדיקה מריצה קודים בכל רגע על תשתית הענן
וסורקת את הלינקים המגיעים לדואר.
באמצעות בדיקת Reputation לקישורים הנכנסים,
המערכת יכולה לאפשר את הגישה או לחסום אותה.

כאשר כל לינק עובר דרך התשתית, הוא נבדק לא רק בזמן הכניסה למערכת
אלא בכל פעם בה המשתמש לוחץ עליו. באופן זה,
הארגון נשמר בכל רגע גם מפגיעויות ללא חתימות ו-zero-day attacks
שיכולות להביא את הארגון לקריסה.
ומה אתכם? אתם מוגנים?

הירשמו אל המנוי של exsitu וקבלו עידכונים, תוכן ענייני ומדריכים