"הלבנה" היא הרבה מעבר ל"-אנטי וירוס" מאי 2010 "הלבנה" לעומת התמודדות עם קוד עוין קבצי מחשב טומנים בקרבם פוטנציאל לאיומים מרובים .מימוש אותם איומים המוטמעים בקבצים מסכן את המידע במערכות המחשוב הרגישות כאשר קבצים נגועים באים איתם במגע. ייעודה של מערכת "הלבנה" איכותית הוא להפעיל יכולות נרחבות על הקבצים ,במטרה להתמודד עם מגוון רחב של איומים העלולים להיות מוטמעים בסוגי הקבצים השונים. לעומת מערכת ההלבנה ,קיימות בשוק מגוון רחב של תוכנות האמורות להתמודד עם קוד עוין ,והמכונות בשם העממי "אנטי וירוס" .הן מספקות יכולות אבטחתיות חשובות בזכות התמחותן בלחימה בקוד העוין ,אלא שבאופן טבעי הן מתמודדות עם חלק מסוים בלבד מתוך כלל האיומים האבטחתיים הטמונים בקבצים ובשימוש בהם. השוואה מהירה הנעשית בין הדרישות ממערכת הלבנה לבין הדרישות מתוכנה כנגד קוד עוין ,מעלה מסקנות ברורות: · מערכת הלבנה איכותית נדרשת לספק חבילת אבטחה שהיא הרבה מעבר למה שמספקת תוכנה המתמודדת רק עם קוד עוין .מערכת הלבנה איכותית נדרשת להתמודד עם גוון רחב מאוד של איומים המצויים בקבצים, כשרק חלק מסוים מהם נוגע לאיתור ולחסימה של קוד עוין. · מערכת הלבנה איכותית צריכה להכיל בקרבה יכולת להתמודדות גם עם איומי הקוד העוין ,למשל ע"י שילוב של מספר מנועים איכותיים המתמחים בתחום זה. המסקנות החד-משמעיות נותנות את המענה לשאלה העולה מעת לעת :מדוע יש צורך להטמיע מערכת הלבנה בארגון שכבר פועלת בו מערכת אנטי-וירוס? השוואת הטכנולוגיות להלן יוצגו דוגמאות ספורות ליכולות הקיימות במערכת הלבנה .יכולות אלו אינן בהכרח נתמכות ע"י התוכנות המתמודדות עם קוד עוין ,וגם אם קיימות בשוק תוכנות מדף מסוימות המתמודדות אם איום זה או אחר של קוד עוין ,הרי שאין זה אומר שכל תוכנה שכזו יודעת להתמודד עם כלל האיומים הרלוונטיים. · חסימת סוגי קבצים אסורים למערכת הלבנה נדרשת יכולת לקבל הגדרה של רשימת קבצים המותרים בהכנסה לרשת הרגישה ,White list - ועליה לחסום מעבר של כל קובץ אחר שאינו מופיע ברשימת הקבצים המאושרים. דוגמה :ארגונים רבים אוסרים באופן גורף על העובדים שלהם להכניס קבצי הרצה לרשת הרגישה. · חסימת קבצים בעלי סיומות מזויפות בנוסף לצורך לאתר ולחסום קבצים מסוגים אסורים ,קיימת החובה לבדוק את אמיתות סיומת שם הקובץ ,וזאת כדי לאמת כי הסיומת של הקבצים כפי שרואים אותה בעין היא אכן אמיתית ולא מזויפת. דוגמה :הארגון מחליט לחסום הכנסת קבצי הרצה מסוג .exeעובד הפועל בצורה עוינת מעוניין להכניס לארגון דווקא את הקובץ .Hack.exeלשם כך העובד משנה את הסיומת של הקובץ ל Hack.doc-ע"י שימוש ביכולת Renameשמספקת לו מערכת ההפעלה .העובד מכניס לרשת הפנימית הרגישה את הקובץ בעל הסיומת המזויפת ,שנראה כאילו הוא נוצר ע"י מעבד התמלילים .Wordבתוך הרשת הפנימית העובד משנה חזרה את הסיומת ל .exe-רק מערכת הלבנה איכותית תבחין בכך שמדובר בקובץ בעל סיומת מזויפת. · חסימת תכנים אסורים היכולות לחסום קבצים המכילים תכנים אסורים שמורה בעיקר לנושא ה"השחרה" ,אך קיימים גם מקרים בהם ישנו עניין למנוע בעזרת "הלבנה" הכנסת תכנים מסוימים לרשת ,תכנים שנוכחותם אינה רצויה באותה רשת. דוגמה :חסימת הכנסת מידע העלול לפגוע ברגשותיהם של עובדים בארגון. מערכת הלבנה איכותית צריכה לאפשר את היכולות לאתר מידע אסור בקבצים ,כולל איתור וחסימת מידע הקיים בקובץ אך נמצא במצב הנסתר מעין המתבונן. · חסימת קבצים המכילים יכולות ,Macroאו לחילופין נטרול הMacro- קיימים יישומי מחשב שונים המכילים יכולות פנימיות מובנות המאפשרות להפעיל יכולות הרצה של תוכניות. תכונה זו מוכרת בשם .Macroיכולת כתיבת והפעלת Macroמקובלת לדוגמה בתוכנות משרדיות כדוגמת Word, Power pointו Excel-ממשפחת .Microsoft Office השימוש ב Macro-מיועד כמובן למטרות חיוביות ,אך הניסיון מראה שגורמים עוינים ניצלו את יכולת ה Macro-על מנת לפגוע במי שקיבל מהם קובץ שהכיל Macroעוין. מערכת הלבנה איכותית תדע: § לאתר נוכחות Macroבקובץ. § לחסום קובץ המכיל .Macro § במידת האפשר ,לנטרל את ה Macro-על מנת לאפשר שימוש בקובץ ללא ה.Macro- לא כל מערכת המתיימרת להתמודד למול קוד עוין יודעת להתמודד עם Macroבקובץ ,ובטח שלא להציע ללקוח שירות של נטרול ה Macro-תוך הכשרת הקובץ לעבודה בטוחה. · חסימת קבצים המכילים אובייקט מוטבע ,Embedding -או לחילופין נטרול האובייקט המוטבע קיימים יישומי מחשב שונים המכילים יכולות פנימיות מובנות המאפשרות להטביע )לשתול( בתוכם אובייקטים שונים ,כולל אפילו שילוב קבצים שלמים כאובייקטים .האובייקטים המוטבעים יכולים להיות גלויים או סמויים מהעין. תכונה זו מוכרת בשם הכללי ,Embeddingואילו ביישומי משפחת Microsoft Officeהמוכרים Word, Power point, Excelמכונה היכולת הזו.OLE - Object Linking & Embedding : השימוש ביכולת Embeddingמיועד כמובן למטרות חיוביות ,אך גורמים עוינים עלולים לנצל את יכולת ה- Embeddingעל מנת לפגוע במי שקיבל מהם קובץ שהכיל בתוכו הטבעה של קובץ /קבצים עוינים. מערכת הלבנה איכותית תדע: § לאתר נוכחות קובץ מוטבע. § לחסום קובץ ראשי ) (Containerהמכיל בתוכו קובץ מוטבע. § במידת האפשר ,לנטרל את הקובץ המוטבע ,על מנת למנוע השפעתו שיכולה להיות הרסנית. לא כל מערכת המתיימרת להתמודד למול קוד עוין יודעת להתמודד עם קובץ מוטבע בתוך הקובץ הראשי ,ובטח שלא להציע ללקוח שירות של נטרול הקובץ המוטבע תוך הכשרת הקובץ הראשי לעבודה בטוחה. · ניהול משתמשים מערכת "הלבנה" איכותית מכילה ניהול משתמשים מובנה ,מה שמאפשר למנהל האבטחה להגדיר למי מותר לבצע "הלבנה" ,ומהוא פרופיל ה"הלבנה" המותר לו לבצע .זאת בעוד שמערכות המתמודדות עם בדיקת קבצים כנגד קוד עוין מבצעות בדיקה על הקבצים מבלי לוודא האם ההכנסה לרשת של אותם קבצים מותר לאותו משתמש. · התמודדות עם קוד עוין מאמר זה עוסק ביסודו בהשוואה בין יכולות מערכת "הלבנה" לבין יכולות מערכת המתמודדת עם קוד עוין. נכתב כבר שמערכת "הלבנה" איכותית צריכה להכיל/להפעיל יכולת התמודדות עם קוד עוין. ישנו שוני בין המערכות המסחריות המתמודדות עם קוד עוין המתבטא במגוון נושאים :בצורת עבודתן, במעטפת הביצועים שלהן ,במידת עדכניותן ,בנוחות תפעולן ועוד ,לכל אלו השלכה ישירה על הסיכוי שלהן לחסום קובץ המכיל קוד עוין .מקובל כיום שכל רשת וכל מחשב מוגנים ע"י תוכנת מניעת קוד עוין כלשהי ,אך מעטות הרשתות ומעטים המחשבים המוגנים בו זמנית ע"י מספר מערכות כאלו ,וזאת למרות שברור כי סיכויי המענה שיספקו מספר מערכות גדול מזה שמספקת מערכת אחת בלבד .אחת הסיבות למיעוט המערכות המגנות על רשת מסוימת בפני קוד עוין הנו הקושי התפעולי שקיים להפעיל בו זמנית מספר תוכנות כנגד קוד עוין. כאן נכנסת לתמונה מערכת ה"הלבנה" ,המאפשרת להפעיל במקביל מספר מנועים המתמודדים עם קוד עוין, ובכך משפרים את חסינות הרשת כנד האיום. המענה :מערכת SelectorIT מערכת SelectorITפותחה בחב' יזמטק במיוחד בכדי לספק את המענה האבטחתי שיאפשר "הלבנת" קבצים המיועדים להכנסה לרשת רגישה. מערכת SelectorITמפעילה שורה של מנועים שתכליתם להתמודד עם קוד עוין ,ובכך היא מכסה גם את תחום האיום הזה. מערכת SelectorITמספקת יכולות "הלבנה" שהן הרבה מעבר ליכולות שמספקות מערכות המתמחות בהתמודדות עם קוד עוין בלבד )כדוגמת אנטי-וירוס(.
© Copyright 2024