"ארגונים נדרשים לגישה מוכללת בהגנה מפני APT"

"APT, מתקפות מתקדמות ומתמשכות, הן 'ערמומיות' ומגיעות בשלל צורות. לכן הדרך להתמודד עימן היא בגישה מוכללת", כך אמר גיא כרסנטי, מנכ"ל Prevision, מקבוצת SuperCom.

כרסנטי דיבר בכנס סייבר ואבטחת מידע שהחברה ערכה היום (ה') במלון הרודס בהרצליה. לדבריו, "APT הינה מהאתגרים הקשים בעולם הסייבר. המתקפה מסוג זה נחלקת לכמה סוגים: אלה היושבים בארגון זמן רב, ואלה שלא, נוזקות המנצלות חולשות ידועות, חולשות בלתי ידועות, או נוזקה שנכתבה לטובת ביצוע משימות אסורות".

מתקפת יום אפס, אמר, "היא מאד בעייתית כי היא מוסווה בין העולם התשתיתי והאפליקטיבי. אתגר אחד הוא APT העושה שימוש ביום אפס, בחולשות לא ידועות, ואתגר נוסף שאסור לפספס היא נוזקה שעושה מה שהיא רוצה".

צילום ועריכת וידיאו: דותן גור

הקוד, אמר, "יכול להגיע מקבצים שהורדו למחשב – דפדפן, חיבור ישיר למחשב, פרוטוקול ייעודי שנכתב לטובת המשימה, שיתופי רשת ומייל. צורות ההתקדמות שלו הן: תקיפה מקומית, רשתית, תקיפת שירותי רשת בצורה ישירה, לטראלית, בה הנוזקה מקפצת דרך שירותי רשת ושיתופים – או כשהנוזקה מקפצת תוך תקיפת מחשבים ושירותים חשופים".

המענה, ציין כרסנטי, הוא בביצוע כמה פעולות: "להתקין תוכנה נגד APT על מחשבי הקצה; לעדכן פרוטוקולי שיתוף רשת; להטמיע מערכת למניעת דליפת מידע, לפלח באופן מלא את הארגון ולהפריד סביבות; להתקין רכיבים לאיתור פרצות; לעבוד בתצורת טרמינל סרבר; להטמיע מערכת לסינון קבצים; ולבצע נעילה וחסימת התקנים". כל אלה, לדבריו, נדרשים להתבצע במודל Security by Design.

כרסנטי הציג את דרכי ההתמודדות האסטרטגיות עם המתקפות: "נדרש מיפוי של כלל האפליקציות שרצות בתחנות הקצה; איתור אלו העושות שימוש בטכנולוגיה ישנה; איתור אלו שזקוקות להרצה עם משתמשים פריבליגיים; בניית פרויקט אסטרטגי לשדרוג יישומי הקליינט; שימוש ב-Whitelisting ; אימות חתימות של קבצים"

"לארגונים כיום אין יכולת לייצר 'בבית' מערכות לאיתור APT", אמר. "מומלץ לצרוך אותן כשירותים מנוהלים לניטור APT. יש להתקין רכיב אחד נגד APT ובלא כלים משלימים. יש להעביר את הדואר דרך שירותי אבטחת דואר בטרם הגעתו לארגון. מומלץ להקים מרכז ניטור מנוהל, MSSP".

כרסנטי סיים באומרו כי "יש לעדכן כלים נגד APT אחת לשלוש שנים. כלים הפועלים למניעת APT שהם מרובי לוגים – לא יהיו יעילים מספיק, מומלץ לצרוך כשירות מלכודות דבש, ויש לשדרג את מערכות ההפעלה המאובטחות".

הגנה על תחנות קצה

בני אנקרי, מנהל מוצר ב-safend, אף היא מקבוצת SuperCom, אמר כי "החברה מתמחה במתן פתרונות אבטחת מידע לתחנות הקצה בארגונים גדולים".

בני אנקרי, מנהל מוצר ב-safend, מקבוצת SuperCom. צילום: לירן קרפ

אנקרי הציג כמה ממוצרי החברה: Protector, מבואה ורכיב בקרה עם הצפנה נתיקה, עם יכולת הגדרת חוקי Wi-Fi וטיפול באחסון נייד; Encryptor, המצפין את הדיסק באופן מלא; Inspector, המסנן את המידע בטרם הוא נע פנימה; Auditor, המספק רשימת רכיבים שמחוברים, או חוברו, לרשת הארגונית.

עוד הוא ציין את יכולות החברה להלום לרגולציות השונות, ביניהן זה של האיחוד האירופי, GDPR. לדבריו, "פיתחנו חבילת אבטחה למכשירי קצה בארגונים המריצים את מערכת ההפעלה Windows 10". אנקרי סיים בציינו שני מוצרים בפיתוח – האחד לניהול משתמשים מקומיים והשני – פתרון לניהול משתמשים הצורכים רשתות תקשורת שונות.

ד"ר אמיר שרייבר, מנהל אבטחת מידע בישראכרט. צילום: לירן קרפ

ד"ר אמיר שרייבר, מנהל אבטחת מידע בישראכרט אמר כי "אחד הדברים החשובים שיש לעשות בעת התקנת Wi-Fi, לפני שבוחרים פתרון טכנולוגי, יש לעשות ניהול סיכונים. יש לבדוק מה הצורך, דרישת הלקוח, איפה תועלות ואז לבחון את אזורי הסיכון. פתרונות טכנולוגיים יש כבר היום – לזיהוי המכשיר, לזיהוי הלקוח, להבחנה באנומליות".

לדבריו, "יש תקיפות המיועדות לתווך של הרשת האלחוטית ויש תקיפות פנימיות שלא קורות באלחוט. אין אמת אחת – מה שחשוב זה להביט על אבטחת מידע בצורה מוכללת".