מהו באמת "הדור הבא" באבטחת המידע?

מהו באמת "הדור הבא" באבטחת המידע?
מאת: אילן סגלמן, 14.12.17, 07:00

פתרון הדור הבא NGEP כולל 3 יכולות בסיסיות.

בשנים האחרונות שוק אבטחת נקודות הקצה הלך וגדל, עם הופעתם של פתרונות חדשים, שמכונים "הדור הבא" (NGEP: Next-Gen Endpoint Security). ספקי אבטחת המידע מקווים, שתשקלו את פתרונות הדור הבא שלהם, אבל לא כולם אכן מספקים אותם. בחינה מדוקדקת מעלה, שחלק מהפתרונות המוצעים כיום מושתתים עדיין על פלטפורמות או גישות מיושנות.

נדמה, שכולם משתמשים במונח "הדור הבא" ביתר קלות, וכי יותר ממונח מקצועי, הוא הפך למונח שיווקי, שמשמש ספקים כדי לבדל את עצמם לעומת מתחרים. ארגונים רבים שוקלים כיום להחליף את פתרונות הלגאסי שלהם בפתרונות מודרניים, אבל ללא קביעת קריטריונים או סטנדרטים ברורים לפתרונות "הדור הבא", קשה מאד לעשות את ההבחנה.

מאידך, איומי הסייבר הולכים ומתפתחים ללא הפסקה. רמת התחכום שלהם גדלה, הן בשל אופן ההתפשטות שלהם והן בשל תפוצתם לכל דכפין המעוניין לחולל נזק.

דו"ח של SophosLabs, שפורסם לאחרונה, הצביע על מגמת גידול בתקיפת כופרות במגוון רחב של פלטפורמות, בהן כמובן Windows, אנדרואיד, לינוקס, MacOS ועוד. כופרות, דוגמת WannaCry ו-Petya יצרו אנדרלמוסיה בשנה האחרונה. כופרות Cerber תמשיך להוות איום מסוכן גם במהלך השנה הקרובה, שכן יוצריה ממשיכים לעדכן אותה, לשכלל אותה ולמכור אותה ב-Dark Web.

בשל המורכבות ההולכת וגדלה, ארגון חייב לשאול את עצמו מהם האלמנטים, שיגנו עליו ואילו יכולות נדרשות עבורו כדי לחסום בצורה אפקטיבית את האיומים. חשוב לזכור, שפתרון הדור הבא חייב לשלב מספר טכנולוגיות ולספק הגנה בכל אחד משלבי ההתקפה.

אפשר להגדיר את פתרון הדור הבא ככזה הכולל את 3 היכולות הבסיסיות: מניעה, זיהוי ותגובה.
 
מניעה
מניעה היא היכולת לעצור את הנוזקה לפני שהיא חודרת להתקן ולפני שהיא יוצאת לפועל. יכולות המניעה ניתנות לחלוקה לפי חשיפה, מניעה והגנה טרם הוצאה לפועל. 

היכולות הקשורות במניעת חשיפה כוללות הגנת web, בקרת התקנים ומוניטין הורדות (מאיפה הקובץ מגיע, האם מכונות בארגונים אחרים עושים בו שימוש?). יכולות ההגנה בטרם הוצאה לפועל כוללות אנליזת קבצים/ HIPS והדמיה (האם ניתן להריץ את הקובץ בסביבה בטוחה כדי לבחון אותו?).

זיהוי
פתרונות הדור הבא עושים שימוש במספר שיטות כדי לזהות נוזקה, שכבר חדרה להתקן, ביניהם זיהוי תעבורה זדונית, סריקת זיכרון (האם הקובץ מראה התנהגות המתאימה לנוזקה) וזיהוי יכולות ניצול.
תגובה
יכולות התגובה צריכות להעלים את הנוזקה מיד כאשר הנוזקה מזוהה, ולבצע אנליזה כדי לזהות את נקודת החדירה שלה לארגון. אם כן, התגובה כוללת הסרת הנוזקה ו-Root Cause Analysis.

לבחור את פתרון "הדור הבא" האמתי
בשעה, שבה איומים מתקדמים נמצאים בעליה, ארגונים מחפשים בצדק את פתרונות הגנת נקודות הקצה מהדור הבא, שיגנו על המשתמשים שלהם וההתקנים שלהם. בעוד מרבית הספקים טוענים, שהם מספקים את פתרונות הדור הבא, חשוב לשים לב ל-3 נקודות המפתח הללו בעת ביצוע החלטה.

יתרה מכך, כדי לקבל פתרון מלא, חשוב לוודא, שפתרון הדור הבא שבחרתם עובד יחד ומשלים פתרונות אבטחה נוספים דוגמת פתרונות אבטחה קלאסיים לנקודות הקצה, הצפנה של מידע רגיש במחשב או בשרת, פתרונות שליטה על הרשת ועוד.

מאת: אילן סגלמן, דצמבר 2017.
סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications המפיצה את פתרונות Sophos בישראל