האנטי-וירוס כבר לא מספיק

למרות הציפיות, התולעת Conficker לא תקפה ; דור חדש של איומים מאיים על התעשייה

כמו בכל שנה לקראת 1 באפריל, כך גם הפעם ריחף איום שהתייחס לווירוס מחשבים. כ-15 מיליון מחשבים ברחבי העולם, כך היו ההערכות, בהם שוכנת תולעת רדומה (Botnet Worm) אמורים היו לנסות וליצור קשר עם המפעיל של התולעת ביום זה, בכדי לקבל הוראות הפעלה חדשות.

אמנם התאריך עבר ודבר לא קרה, אבל התולעת קיימת, ואף גרמה למיקרוסופט להכריז על פרס של 250 אלף דולר למי שיביא לגילוי יוצרה. זו לא מתיחת 1 באפריל.

אחת לתקופה צץ וירוס מתוחכם שמעמיד את תעשיית אבטחת המידע על הרגליים תוך שהיא מבינה שחוקי המשחק משתנים. הוא מזכיר לכולנו ששיטת העבודה של האנטי-וירוס קרובה לסוף ימיה.

התולעת הנוכחית נודעת בשמות Downadup או Conficker. היא תקפה לראשונה באופן פומבי בסוף שבוע באמצע ינואר והצליחה אף להשבית מספר חברות גדולות בעולם ובשוק הישראלי. חברת האנטי-וירוס סימנטק העריכה כי יותר מ-3 מיליון מחשבים נפגעו באותו סוף שבוע.

מתחבאת בצללים

Conficker, שחדרה למחשבי החברות דרך חור אבטחה במערכות ההפעלה של מיקרוסופט, היא נציגת העידן החדש של איומי אבטחת המידע. במקור, היא מיועדת להפוך מחשבים ל-Zombies (מחשב שפועל בשירות מפעילי וירוסים כאלה ואחרים), כך שיצטרפו לרשת לשליחת דואר זבל, אבל היא הצליחה לעשות רושם גדול בהרבה.

סימנטק כתבה במדריך מיוחד שפרסמה בנושא כי מאז שזוהתה בסוף 2008, תולעת Confickerהפכה לאחד מהאיומים הנפוצים ביותר באינטרנט בשנים האחרונות. איום זה, לפיה, "מסוגל לעקוף גדרות והגנות ברשתות, להתחבא בצללים של תעבורת הרשת, ולהתגונן עם יכולות שלא נראות לעיתים קרובות בנוף האיומים של היום".

אפשר להבין את הפואטיקה של הווירוסים בה נעזרת סימנטק. לא בכל יום רואה חברת אבטחת המידע וירוס או תולעת שמשאירים את המומחים שלה ושל חברות אחרות עם פה פעור ועם חשש.

לא מעט לקוחות של סימנטק היו ברשימת הנפגעות. בישראל נפגעו מ- Conficker מספר חברות גדולות, ביניהן בזק, חברת הביטוח הפניקס, קופת חולים כללית, ועוד מוסדות פיננסיים שביום יום לא היינו רוצים לחשוב שמערכות המידע שלהן אינן מוגנות.

אמנם, Conficker לא הזיקה באופן פעיל, אך הצליחה לשבש את העבודה במספר גדול של מחשבי ושרתי הארגונים בהם פגעה.

כדי למנוע את הזיהוי על-ידי האנטי-וירוס הצליחה Confickerלזייף התקשרות לאתרי העדכון של האנטי-וירוס: המחשב חשב שהוא מתקשר לשרתי האנטי-וירוס בארגונים, כשבפועל הגיע לאתרי דמה וכך האנטי-וירוס לא ידע כיצד להתמודד עם התולעת.

Conficker עברה בקלות יחסית ממחשב למחשב בארגון, והשתנתה לגרסאות שונות. הדבר המסוכן הוא הצלחתה לחדור למערכות האחסון הארגוניות. ההתמודדות הבהירה: הפתרון המסורתי של חברות האבטחה - עדכון חתימה של ווירוס במסד נתונים ונטרולו - לא תופס.

"אם האנטי-וירוס גילה את הווירוס בתחנה, מישהו פישל", טוען שמוליק אנג'ל, מנכ"ל סימנטק ישראל, "על תולעת Confickerידעו כמה חודשים לפני ההתקפה. מרגע שהיא חדרה וזוהתה, ההסרה שלה הייתה בעייתית".

בסימנטק טוענים כי הדרך להתמודד עם האיום הייתה באמצעות מודעות של מנהלי המחשוב בארגונים, התקנת עדכוני האבטחה של מיקרוסופט וסימנטק, וכן התקנה של סט הפתרונות של החברה ליחידות הקצה, שהיא משווקת.

זה אולי נשמע כמו גלגול אשמה מהחברה, אבל אלו שטרחו לעשות את זה (ומתברר שלא רק הישראלים התעצלו) הצליחו להימלט מההידבקות. הבעיה היא שאחרי שנים של וירוסים מאיימים, עדיין חלק גדול מהארגונים לא מעדכנים את מערכות האבטחה.

הבעייתיות של האנטי-וירוס עולה מדו"ח שפרסמה חברת הסטארט-אפ הישראלית פרומיסק בינואר, שמצא כי החשיפה הגדולה ביותר של תחנות הקצה בארגונים מגיעה דווקא מאי-עדכון או השבתת תוכנת האנטי-וירוס, וכ-28% מהארגונים סובלים מבעיה זו. לשם השוואה, רק 23% מהארגונים סובלים מחשיפה לבעיית אבטחה בעקבות התקן זיכרון נייד לא מורשה.

לדברי מנכ"ל פרומיסק, אמיר קוטלר, מכיוון ש-Conficker פגעה, בין השאר, ביכולת לנטר את פעולת המחשבים האישיים באמצעות הרשת הארגונית, הפתרון של פרומיסק סייע באיתור המחשבים הפגועים או אלו שעלולים להיפגע, באמצעות זיהוי של התקני המחשוב הארגוניים שלא עומדים בנהלים.

הפתרון של פרומיסק אינו במקום שהאנטי-וירוס נכשל, אלא כתוספת, וגם מתאים למגמה לפיה חברות האבטחה רוצות להפוך את פתרונות הקצה לחבילות מקיפות יותר, שכוללות גם פתרונות ניהול גישה לרשת, מניעת חדירה למחשב בנקודת הקצה, הגנה מדליפת מידע, הצפנה, פיירוול אישי, וסינון כתובות אתרים בעייתיות.

רכישות אפשריות

לא בטוח ש- Conficker הייתה נעצרת בשערי ארגון שבו יש את כל הפתרונות האלו על המחשבים האישיים, אבל וודאי שהאנטי-וירוס כבר לא מסוגל להתמודד איתם לבד. לצידו יש צורך ביכולות שמגיעות מעולם ניהול משאבי המחשוב שנדרשים כטכנולוגיה משלימה. "עד 2010 נראה איחוד של שוק אבטחת ה-PC ושוק ניהול ה-IT", העריך לאחרונה האנליסט פיטר פירסטברוק מגרטנר.

על הרקע הזה, מתבצע בשנה וחצי האחרונות גל רכישות בתחומי האבטחה, עם דגש על מוצרים שמאפשרים ניהול משאבי ה-IT ושליטה על המידע ופחות מצד אבטחת תשתיות המחשוב המסורתי. הקונסולידציה מתבצעת כרגע בעיקר מצד חברות ניהול ה-IT ועדיין לא מהצד השני, ולדברי פירסטברוק, "ספקיות פתרונות האבטחה - חוץ מסימנטק - מפחדות להיכנס לשווקים לא מוכרים".

ולמי שרוצה קצת ספקולציות לגבי העתיד, לצ'ק פוינט, מיקרוסופט, ו-HP יש פתרונות לאבטחת מידע על נקודות הקצה. אם גם הן חלק מהמגמה הנוכחית, אפשר להניח שהן עשויות לבצע רכישה שתחזק אותן בתחום ניהול ה-IT. מה שיסייע להן להתאים את עצמן לדור החדש של האיומים.

צרו איתנו קשר *5988