• עברית
  • עברית

סייבקאסט בלוג

צופן פיפיות-על האתגרים בזיהוי איומים בעידן של קריפטוגרפיה הוליסטית

תומר נורי , מנכ"ל The Cyber Edge – Strategic Cyber Services

במיתולוגיה היוונית מופיע סיזיפוס כמייסדה ומלכה המרושע של עיר הנמל קורינתוס, לאחר מותו
(ולאחר הסתבכות עם זאוס) נגזר עליו עונש לגלגל סלע ענק לראש ההר רק כדי להגיע לפסגה
ולראות אותו נופל חזרה למטה, מפעולה זו נגזר השימוש בביטוי "עבודה סיזיפית".
אף אחד היום לא מצפה מה- CISO הארגוני לגלגל סלעים במעלה ההר,
אך ההסלמה באיומי הסייבר על המרחב הארגוני מייצרת אתגר משמעותי ולא מעט "עבודה סיזיפית" לצד תסכול לצוותי ההגנה בארגון.

צופן פיפיות
Share on twitter
Share on email
Share on facebook
Share on whatsapp

 הצפנות היוו מאז ומעולם קו ההגנה הראשון בפני חשיפה וזליגת מידע והשיטה הטכנולוגית הנפוצה ביותר לשיתוף מידע פרטי בסביבה ציבורית, למידור מידע, לצד הבטחת אמינות המידע והמסרים.

בעשור האחרון החשש המצוי מחולשות המידע בזמן "תנועה" (Data in Transit) הובילו לפיתוחים משמעותיים בתחום ההצפנה ולטכנולוגיות המאפשרות הצפנה רציפה, החל מהצפנה פוטונית ברמת החומרה ועד להצפנה אפליקטיבית. טכנולוגיות כגון הצפנת תמסורת אופטית ויישומי הצפנה שלא מחייבים מעורבות משתמש החלו כיישומים ייעודיים בסביבות הביטחוניות ומהר מאוד הפכו נחלתם של ארגונים אזרחיים רבים בתחום הפיננסי, הרפואי, הציבורי ותחומים נוספים.

ההכרה בשינוי מודל האיומים המודרני וההבנה כי חולשות קיימות בכל וקטור אפשרי, הרחיבו את המעטפת הקריפטוגרפית לתשתיות פנים-ארגוניות ולהצפנה אפליקטיבית מסועפת לרבות בגישה ליישומים מקומיים או יישומיים ותשתיות בענן.

בתחום שירותי התקשורת והתוכן המקוונים, לרבות שירותי מדיה ורשתות חברתיות, השימוש בהצפנה  התרחב משמעותית ומשמש גם את ספקי התוכן כמנגנון למנוע זליגה של דפוס השימוש ותחומי העניין מגופים חיצונים לצד שילוב במנגנוני זיהוי ואימות. כך לפי דו"ח של חברת Sandvine ניתן לראות עלייה בכמות התעבורה המוצפנת הכללית ועלייה חדה בהצפנה של תכנים ממכשירים ניידים. כאשר ספקי תוכן כגוןNetflix  ו YouTubeממשיכות להגדיל את נפח התעבורה המוצפנת כל שנה.

טכנולוגיות הצפנה נועדו לפעול באופן פסיבי ללא ניתוח המידע המוצפן ולתת דגש לאבטחת פרטיות המידע עצמו, אך במונחים של אפקטיביות אבטחתית, אפשר לטעון שהחשיבות של פתרונות אלו, כחלק אינהרנטי של כל תפיסת הגנת סייבר, עלתה וזאת ראשית עקב העלייה החדה באירועי זליגת מידע ושנית כיוון שרוב פתרונות ההצפנה משולבים עם תתי-מנגנונים נוספים המאפשרים אימות המידע, החתמתו והפעלת מנגנוני זיהוי חזקים.

לצד היתרונות הברורים ליישומי הצפנה, אנחנו עדים למגמה בה קריפטוגרפיה הוליסטית מהווה אתגר לזיהוי איומים מורכבים ואף יוצרת תנאים להחדרה של איומים שונים.

ניתן לסווג מגמה זו לשלוש קטגוריות עיקריות:

תחושת בטחון שווא

ההישענות על הצפנה מערכתית כדוגמת יישומי VPN SSL לגישה מרחוק של עובדים, שותפים ונותני שירות, אפשרה לארגונים גמישות רבה ואפשרות לתמוך במגמת ההתניידות שמתעצמת בעשור האחרון. כל זאת תוך שמירה על חשאיות המידע מעל כל תווך בשילוב מנגנוני אימות מתקדמים.

אבל דווקא בגלל הפרגמטיות והאינטואיטיביות שבעניין, יישומים כאלה ואחרים מהווים פלטפורמה נוחה להחדרה של מפגעים ופוגענים. הרבה ארגונים מתייחסים לגישה המוצפנת "כגישת אמון",  כאשר מבחינתם כאשר המשתמש המרוחק, לדוגמא נותן השירות או התומך המרוחק עבר הזדהות רב-שלבית בהצלחה והוקם התווך המוצפן, מרגע זה הוא נחשב אמין. למרבה הצער זיהוי חד ערכי של המשתמש אינו ערובה לזיהוי כוונות המשתמש או לאיכות שדר התקשורת שלו במונחים של תווך נקי מאיומים. רשתות VPN, למרות העלייה בעוצמת ההצפנה שלהם מהוות זה זמן מה פלטפורמה רוויות איומים. בין אם מדובר בפעולת זדון של משתמש מרוחק כגון עובד או נותן שירותים ממורמר או בין אם מדובר במשתמש לגיטימי שנושא קוד זדוני מתוחכם ללא ידיעתו (קוד זדוני שמתוכנת לנדוד לרשתות חדשות), הנזק הפוטנציאלי מגישה מוצפנת מוצלחת בשני התרחישים הללו יכול להיות עצום. ישנה חשיבות אדירה לשילוב מנגנוני אבטחה ומנגנוני תיעוד והקלטה של התעבורה שמגיע מהתווך המוצפן לזיהוי פעולות לא מאושרות ולנטרול איומים לפני שהם מגיעים לליבת הרשת.

האויב מבפנים

אתגר אבטחתי נוסף שקשור ליישומי הצפנה, קשור באופן ישיר לארכיטקטורה של הקוד הקריפטוגרפי  המשולב במערכות הצפנת מידע. הצפנת מידע מחייבת לרוב יישום טכנולוגי רב שכבתי שיכול אף לעיתים להתבסס על ספריות ידועות ותוכנות קריפטוגרפיות שעלולות לכלול חולשות מובנות.
חולשות אלו ניתן לנצל להחדרה של איומים מורכבים או לגניבה של מפתחות הצפנה ובהלימה פענוח מידע מוצפן. איומים אלו הופכים את הפלטפורמה שאמורה להגן עלינו ועל פרטיות ואמינות המידע שלנו והמשתמשים בה לבסיס לאיומים שונים. כך התוודענו בשנים האחרונות וחולשות מובנות
כגון Heartbleed  ביישומי Shellshock ,TLS/SSL ביישומי  SSH וחולשות מובנות ומסוכנות שהתגלו במנגנוני IKE ו-ISAKMP  ביישומי .IPSEC

רוב החולשות הללו הם למעשה פרצות מסוג Zero-Day שההשפעה שלהם על פגיעה בחוסן המידע עצומה ובו בעת קשה למשתמש הסופי, לארגון ומי שאמון על אבטחתו לזהות אותם.

מכיוון שמדובר לרוב בחולשות שנוגעות לציבור גדול של משתמשים, יצרני הציוד המשלבים את אותם תוכנות וקוד קריפטוגרפי ממהרים להוציא תיקונים ועדכונים ברגע שפרצה כזו מתגלית באופן פסיבי או יזום. שילוב של הצפנה תשתיתית ואפליקטיבית לרוב מייצרם קושי מסוים בניצול אותן חולשות.

 

מיסוך איומים

לפי מחקרים אחרונים, החל משנת 2017, 70%  מתעבורת האינטרנט היא מוצפנת (Sandvine) וכ- 50% מהתקפות ואיומי הסייבר מבוססים על תווך מוצפן (גרטנר). מגמות אלו לצד עלייה חדה של 50% ביישום הצפנה לאפליקציות פנים ארגוניות, משנים משמעותית את תמהיל התעבורה בשימוש הארגון ואת נפח הנתונים המוצפן באופן כללי ובפרט ביישום .SSL/TLS
שינוי רחב היקף זה מחייב התאמה למציאות בה קיים מיסוך קבוע ומתגבר לחלק גדול מהתעבורה שמגיעה לארגון ויכולה להכיל איומים שונים.
עוצמת האבטחה לא מהווה פה יתרון משמעותי, בין אם אתם משתייכים לארגון שהשכיל להבין ולהפנים את המגמות בעולם איומי הסייבר ונערכתם עם קו הגנה חדש ואנליטי ובין אם אתם ארגון שמנסה למקסם את ההשקעה במערכות אבטחה מהדור הקודם, עדיין אותה בעיה קיימת.
לא ניתן לנטרל את מה שלא רואים. במשוואה הזאת
IPS  בן 5 שנים או מערכת הגנה אנליטית חדשה נמצאים באותה נקודת פתיחה, מיסוך אל מול שידור נתונים מוצפן.

 

כדי לתת מענה לאתגר זה, בשנים האחרונות פותחו מספר שיטות, טכנולוגיות ופתרונות שתפקידם לאפשר פענוח ממוקד של תעבורה מוצפנת ושחזור ההצפנה ללא פגיעה באמינות וזמינות הנתונים. ההסרה או למעשה "הקילוף" של ההצפנה מאפשר למערכות אבטחה לנתח את תכולת המידע (Payload) המקורית, לזהות ונטרל איומים שונים.

כיום יש חלופות שונות לפענוח ההצפנה, חלק ממערכות ההגנה הרשתיות כגון מערכות NGFW  ומערכות SWG מכילות יכולת נקודתית כזו וכן תכונות אלו מתחילות להיות נפוצות בפלטפורמות איסוף מידע כגון .Network Packet Broker – NPB
חברת
IXIA Keysight היא מהחברות המובילות בתחום פלטפורמות מתקדמות ליכולת Visibility לתעבורה מוצפנת לרבות תמיכה בטכנולוגיות   .TLS 1.3

מעבר לפתרונות נקודתיים קיימות פלטפורמות ייעודיות המשמשות כמפענחי הצפנה אוניברסליים.

ניתן לחבר לפלטפורמות אלו פתרונות אבטחה שונים כגון מערכות אנליטיות שונות ומערכות ניתוח תוכן. אופן פענוח ההצפנה יעשה לרוב במודל שלMIM – Man In the Middle  ומאפשר לתת מענה  לתעבורה  מוצפנת  מסוג TLS גם כאשר יעד ההצפנה הינו שרת או תשתית  מחוץ לארגון ולאין לארגון את מפתחות ההצפנה שלו.

פענוח הצפנה באופן נקודתי מעלה בצורה משמעותית את האפקטיביות של כל רכיב אבטחה שיקושר לפלטפורמות אלו, הוא מאפשר ניתוח של כל תכולת המידע ואכיפה משמעותית במידת הצורך. יתרון נוסף למערכות ייעודיות בתחום זה הוא היכולת לפענח כמות גדולה מאוד של קישורים ותעבורה מוצפנת מבלי לפגוע במשאבים יקרים של מערכות ההגנה.

Related Posts

צופן פיפיות-על האתגרים בזיהוי איומים בעידן של קריפטוגרפיה הוליסטית

 הצפנות היוו מאז ומעולם קו ההגנה הראשון בפני חשיפה וזליגת מידע והשיטה הטכנולוגית הנפוצה ביותר לשיתוף מידע פרטי בסביבה ציבורית, למידור מידע, לצד הבטחת אמינות המידע והמסרים. בעשור האחרון החשש המצוי מחולשות המידע בזמן "תנועה" (Data in Transit) הובילו לפיתוחים משמעותיים בתחום ההצפנה ולטכנולוגיות המאפשרות הצפנה רציפה, החל מהצפנה פוטונית

Breaking Point

מוצר הBreakingPoint  מדמה תעבורת אינטרנט ריאליסטית כדוגמת (Facebook, Twitter) ובנוסף מגוון רחב של התקפות (Exploit, Malware, Fuzzing, Botnet) הגורמות לחידלון שירותים. BreakingPoint בוחן ומאמת את רמת תשתיות אבטחת המידע האירגוניות ומקטין את רמת הפגיעות בשיעור של 80% ובנוסף מסייע ברמת מוכנות הארגונים להתמודד טוב יותר עם התקפות בזמן אמת בשיעור

Threat Simulator

 Threat Simulator היא פלטפורמת סימולציה של פריצה והתקפה (BAS), הבנויה על 20+ שנות מנהיגות בבדיקות אבטחת רשת. על ידי הדמית ה Kill Chain של התקפות הסייבר ברשתות הייצור שלהם, צוותי SecOps יכולים למדוד את יעילות האבטחה, לזהות פערים בכיסוי ולתקן פגיעות אפשריות לפני שתוקפים יכולים לנצל אותם. בעזרת Threat Simulator

דילוג לתוכן