פוסט זה בבלוג הוא החמישי בסדרת הדרכות סייבר מתמשכת בחסות OPSWAT Academy , אשר סוקרת את הטכנולוגיות והתהליכים הנדרשים לתכנון, יישום וניהול תוכנית להגנה על תשתיות קריטיות.
תוכנות זדוניות הן מסוכנות, אך לא באופן מובן מאליו. אם תוכנות זדוניות היו קלות לזיהוי, אז לכל דוא"ל, רשת או מערכת שיתוף הייתה הגנה מלאה. ככל שכלי אבטחת הסייבר מתפתחים, כך גם צריכה להיות הקלות שבה כל מיני סוגי תוכן זדוני נעצרים. עם זאת, בשנת 2020, המרכז ללימודים אסטרטגיים ובינלאומיים של מקאפי דיווח על הפסד עולמי שיא של קצת פחות מטריליון דולר. אז מדוע תוכנות זדוניות עדיין כה יעילות בעידן המודרני של אבטחת הסייבר?
תוכנות זדוניות מסוימות, שנועדו להיטמע בציפיות הטבעיות שלנו, מתחמקות בחוכמה מכלי ביקורת וניתוח. דוא"ל, אתר אינטרנט או כלים מקוונים חינמיים לכאורה מספקים פתחים לגורמים זדוניים להחדיר קוד, תוכניות או תהליכים זדוניים כדי לקדם את מטרותיהם.
כוונה זדונית במסווה של ניצול טבעו הטוב של אדם תמיד הייתה אסטרטגיה יעילה. כאנלוגיה, אזורים עם סכסוך מזוין ישתמשו במוקשים כדי להסוות דרך תמימה למלכודת מסוכנת. אנו יכולים לחשוב על תוכנות זדוניות התחמקות באותו אופן.
אם נסתכל על הכביש ונראה פיסת עפר מופרעת או גלאי מתכות מצפצף, נוכל לקבוע מה מצאנו, מה שהופך את הנתיב לבטוח לנסיעה. אבל לפעמים אנחנו לא יודעים. מוקשים יכולים להיות קבורים בזהירות, או עשויים מרכיבים שאינם מתכתיים, מה שבפועל מעכב את ניסיונות הגילוי שלנו.
הדרך הבטוחה ביותר היא לפוצץ את הנתיב שלנו מראש.
כבר במלחמת העולם השנייה, חוברו מפלצות מסתובבות ענקיות לכלי רכב גדולים וממוגנים כדי להכות את הקרקע ולפוצץ מוקשים כדי ליצור נתיב בטוח דרך שדות מוקשים. כלי רכב בעלי עיצוב דומה עדיין נמצאים בשימוש כיום. שיטה זו אלימה ויקרה, אך מבוקרת, מחושבת ויעילה ביותר.
כלי אבטחת סייבר מודרניים, כמו Sandbox ניתוח, מאפשר לנו לפוצץ תוכנות זדוניות באותו אופן. תוכניות וקבצים לדוגמה נטענים לסביבות וירטואליות מבודדות ומאובטחות שבהן תוכנות זדוניות יכולות לפעול, אך לא לפגוע במערכת חיצונית כלשהי. דוגמת התוכנה הזדונית היא מוקש הקרקע שלנו, וה... Sandbox החבל המשוריין בכבדות שלנו.
בעזרת פיצוץ הקוד, נוכל לנתח כל היבט של התוכן ולאמת את כוונתו. ייתכן שהקובץ בטוח, או שהוא ינסה ליצור קשר עם מקורות חיצוניים לא מאומתים, לשנות מפתחות רישום או לסרוק את מערכת הקבצים המקומית. הפעלת תוכנה זדונית בסביבה מבודדת כדי לנתח את התנהגותה ידועה בשם ניתוח דינמי .
בניגוד לכביש שלנו, שיש לו את התנאי הבינארי של בטוח או לא בטוח, עלינו לקחת בחשבון את מורכבות כוונת הקובץ. תוכניות לגיטימיות רבות יבצעו פעולות שנופלות לפעילות זדונית שעלולה להיות. לא כל... Sandbox נוצר שווה, ומה שהופך מוצר לטוב הן השיטות והחישובים המשמשים כדי לספק את הוודאות הגבוהה ביותר האפשרית בעת ניתוח פעילות הקובץ.
OPSWAT MetaDefender Cloud , כלי שכל אחד יכול לנסות בחינם , מציע פתרון רב עוצמה Sandbox אפשרות שניתן להשתמש בה כדי לדרג קבצים שהועלו כנגד מערכת שקלול חזקה. היכולת לפוצץ קובץ בבטחה מספקת מידע שעלול לעקוף טכניקות ניתוח סטטי מסורתיות. ארגזי חול מציעים הגנה מצוינת מפני התקפות יום אפס, שבהן הגדרות קבצים טרם נוספו למסדי הנתונים של חברות אנטי-וירוס. למעשה, חברות אנטי-וירוס רבות משתמשות בארגזי חול כבסיס לדעת אילו קבצים להוסיף לחתימות הנוזקה שלהן.
עם זאת, סריקת "ארגז חול" אינה פתרון סופי לתוכנות זדוניות. כדי לא לזהם את התוצאות, יש לסרוק כל קובץ בנפרד. עיבוד אפילו קובץ PDF, קובץ התקנה, קובץ הפעלה וכו' בודד דורש כמות משמעותית של זמן ומשאבי חומרה, מה שיכול להוות צוואר בקבוק למערכות אבטחה בעת התמודדות עם כמויות גדולות של קבצים. לדעת מתי ובאילו נסיבות להשתמש ב- Sandbox , הוא קריטי להפיכת טכנולוגיה זו ליעילה באמת.
רוצה לדעת עוד? OPSWAT האקדמיה מציעה מספר קורסי הכשרה בתחום אבטחת סייבר אשר יתעמקו בתחומי ארגז חול (Sandboxing) וטכנולוגיות אבטחה אחרות. OPSWAT יש להציע. כנסו לאתר opswatacademy.com והירשמו בחינם עוד היום!
