מתקפת Zero Day
מתקפת Zero Day – איך מתגוננים ואיך מתמודדים עם מתקפת הסייבר הנפוצה?
מתקפת ‘יום האפס’ (Zero day attack) הינו כינוי לשימוש בפרצת אבטחה מאוד מתוחכמת ומאוד מורכבת לאיתור – לשם חדירה וגרימת נזק מהותי למערכות המידע של הארגון. מדובר באחת המתקפות הקטלניות והכואבות ביותר נגד הארגון, משום שהיא מבוצעת באותו יום בו מתגלית הפרצה, בלי שניתן לחברה זמן להוציא, להפיץ ו/או להטמיע תיקון ועדכון ללקוחות. במילים אחרות – גילוי הפירצה (שדרכו חדרה ההתקפה קודם לכן – אך ‘המתינה’ לשעת כושר) הוא ‘ההדק’ שגורם למתקפה להתרחש – ולהזיק – עוד בטרם ננקטו אמצעי מניעה לחסימתה.
מה מאפייני Zero Day attack? והאם וכיצד ניתן להתגונן מפני מתקפות אלו מראש?
מה זה Zero-Day attack?
המילה Zero, או ‘אפס’, במונח ‘תקיפת Zero Day’ או בתרגומה למונח העברי “מתקפת יום האפס’ נובעת מכך שמרגע הזיהוי והפרסום של הפירצה ועד למימוש של המתקפה יש אפס ימים, כלומר היא מבוצעת בו ביום. במרבית המקרים, מומחי אבטחה המגלים פרצה אצל חברה מסוימת, נוטים להתריע על הפרצה לאנשי ה-IT של הארגון לפני מועד הפרסום לקהל הרחב, על מנת לאפשר לחברה המתגוננת זמן לחקור ולתקן אותה ולהפיץ ללקוחותיה Patch תיקון עוד לפני הפרסום. ‘מתקפת יום האפס’, לעומת זאת, אינו מאפשר את פעילות ההתרעה והמניעה הזו – אלא מתרחש לפניה.
מתקפת ‘זירו דיי’ נסמכת לרוב על רגישות ו’חוליות חלשות’ בתוכנה לא מוכרת, כלומר באג או תכנון לקוי של המערכת או ההגדרות שלה.
מה המטרה התקפה זו?
המטרה של מתקפת Zero-Day attack היא להצליח לגרום לנזק באופן מיידי ולעתים בלתי הפיך, עוד לפני שהחברה הנפגעת מודעת לפרצה בין היתר בשל ‘גורם ההפתעה’. לעתים קרובות, אפילו חברת אבטחת המידע שסיפקה את המערכת, אינה מודעת לפרצות אלו. מצב זה מאפשר לתוקפים לפעול באופן מיידי, ללא יכולת של הארגון המותקף לזהות את התקיפה מראש ואת הגורם שלה, ולבטח שלא לתקן את הנזק. כאמור, במקרים רבים מדובר על הרס בלתי הפיך.
האם מדובר בעידן חדש של סכנה בעולם המחשוב והרשתות?
מתקפת Zero Day attack היא סוג חדש יחסית של מתקפות.
עד לאחרונה, הנוהג בקרב מומחי אבטחת מידע שגילו פרצות היה ליידע את אנשי ה-IT ואבטחת המידע בארגון על השימוש הפוטנציאלי העתידי בפרצה, על מנת לאפשר לחברה לספק ‘טלאי’ (Patch) לתקלה שהתגלתה. מתקפת ‘יום האפס’, לעומת זאת, עושה שימוש בפרצה שאינה מוכרת לארגון, כך שאין אפשרות להתגונן מפניה או לספק עדכון והגנה כלשהם לפני יצירת הנזק.
בעקבות האטרקטיביות והערך הגבוה של מתקפות ‘זירו דיי’, המרדף אחר גילוי פרצות צובר בשנית האחרונות תאוצה. הקצב המהיר של ההתרחשות במתקפות מסוג זה מקשה על המעקב אחרי הטכניקות והאינטראקציה בין התוקפים.
שני הסוגים של Zero Day Attack
מתקפות Zero-Day attacks מתחלקות לרוב לשני סוגים: מתקפות פרטיות, המוכרות רק לגורם שגילה את אותה נקודת חולשה ולגורמים אליהם העביר את המידע, ומתקפות ציבוריות, אשר פורסמו באופן גלוי.
במקרים של מתקפות פרטיות, משום שמדובר באיום אבטחתי חמור, הידיעה על פרצות אלו נמכרת בשוק השחור של עולם אבטחת המידע ויכולה להגיע לסכומים גבוהים. הפוטנציאל של האיום גדול במיוחד משום שהוא אינו מוכר עדיין, מה שמקשה על הגילוי וההתגוננות מפניהן. מתקפות פרטיות יכולות להיות חמורות ומסוכנות, אך לרוב הן פוגעות במספר מטרות מצומצם יחסית.
פרצות ציבוריות מהווה סכנה חמורה ורחבה, אך אם לגופים השונים יש תכנית התמגנות יעילה, הם יכולים להגן על עצמם מפני המתקפות הללו.
איך זה עובד?
האקרים מכל העולם משקיעים זמן רב באיתור נקודת תורפה בארגון כלשהו, בכך שהם כופים על מערכת האבטחה של הארגון לחשוף את הפרצות הקטנות ביותר, או לחלופין חלק מקוד האבטחה.
מהרגע בו נמצאה הפרצה, למאתר שלה יש שתי אפשרויות – להשתמש בפרצה שגילה לשימוש עצמי, או למכור אותה בשוק השחור.
הוצאת הפרצה לשוק השחור מאפשרת להאקר לקבל מחיר גבוה ולבנות מוניטין. בעקבות הביקוש, הסכומים בגין ‘מכירת’ תקיפות Zero-Day attack מגיעים למחירים גבוהים במיוחד.
התוקף שרכש את המידע על הפרצה משתמש בו לתכנון התוכנה והאמצעים לביצוע המתקפה, ואז מבצע אותה לפי רצונו. מרגע המתקפה, לארגון יש מעט מאוד מה לעשות בנידון.
איך מגיבים לתקיפה Zero-Day?
ארגונים עם אסטרטגיה משמעותית של אבטחת מידע והגנת סייבר דורשים מספקיות הסייבר שלהן דרכים להתמודדות עם התקפות ‘יום האפס’. פתרונות סייבר ‘סטנדרטיים’ אינם מספיקים כדי להיערך לכך- מערכת סינון דואר לא מספקת פתרון יעיל. תוכנות רוגלה לא הוגדרו עדיין במערכת, וכך יכולים להסתנן לארגון קישורים שנראים אותנטיים וניטרליים אך עלולים להתגלות בתור אתרים זדוניים.
הפתרון הטוב והמתאים ביותר למתקפות Zero Day הוא תשתית ענן המבוססת על פתרון הגנת סייבר רב-שכבתית.
תשתית ענן מתקדמת מאפשרת זיהוי של וירוסים ותוכנות זדוניות בזמן אמת.
מערכת הבדיקה של התשתית סורקת את הקישורים הנכנסים לארגון בכל רגע, ובאמצעות בדיקת ‘מוניטין’ לקישורים, המערכת בוחרת האם לאפשר גישה או לחסום אותה.
אינפורמט מערכות, אחת מהחברות הוותיקות והידועות בתחום שירותי מחשוב לעסקים, המספקת פתרונות מתקדמים של הגנת מידע ואבטחת מידע, מציעה פתרונות ייעודיים להתגוננות יעילה מפני תקיפות Zero Day. המומחים של אינפורמט ממפים את הסיכונים, מייעצים וממליצים על מערך אבטחת מידע והגנת מידע מותאמים לארגון, ומלווים את היישום, ההטמעה, התחזוקה והתמיכה לאורך כל הדרך.