זיהוי איומים ותוכנות זדוניות – איך הם עושים את זה?
This post is also available in: 
English (אנגלית)
תוכנות זדוניות ברשת מהוות איום משמעותי בתחום האבטחה בסייבר, וכאשר משאירים את התוכנות לבדן ללא טיפול מתאים הן יכולות להשיג גישה למידע סודי, נתונים אישיים, ואף להשתלט על מערכות פעילות או לשבש מידע קיים. אז איך ניתן לזהות את פיסות הקוד האלו?
אחת מהשיטות המקובלות לזהות איומים היא על ידי ניתוח סימנים של פעילות חריגה. זיהוי של תוכנות זדוניות אשר מבוססות על משפחות תוכנה ידועות קל לביצוע, אך איומי הסייבר יכולים להופיע בכל מיני צורות, עובדה שמקשה על זיהוי ומהווה אתגר נוסף שעל המומחים להתמודד מולו.
לדוגמה, מפתחי תוכנות זדוניות לעיתים משתמשים בגישה של "קצת ולאט", בה הם שולחים כמות קטנה של קוד זדוני על גבי רשת מסוימת למשך זמן ממושך, ובכך מקשים על תוכנות האבטחה הקיימים שלא מסוגלים לאתר או לנטרל את האיום. שיטת פעולה זו יכולה לגרום נזק רב במיוחד ברשתות של חברות פרטיות, בהן אין מספיק נראות בסביבת העבודה, על פי thhackernews.com.
לעיתים קרובות, פיסות הקוד זדוני יהיו מוצפנות. הצפנת הקוד מקשה מאוד על זיהוי האיום מכיוון שכמות מכובדת של ממשקי אבטחה עובדים על פי זיהוי חתימה מיוחדת של התוכנה. בנוסף, ישנם מפתחים שעושים שימוש בקונספט של פולימורפיזם שנותן למפתחים את האפשרות לעשות שינויים בקוד שייצרו וריאנטים שונים של אותה התוכנה.
כאשר חוקרים מנתחים עצי משפחה של קבוצות תוכנה זדוניות הם יכולים לנצל מידע שקיים כבר בראי הציבור במחקר שלהם כגון פרטים על התנהגות התוכנה, המבנה שלה וחולשות ידועות, על מנת לזהות ולהגיב בצורה הכי נכונה. אחת מהדרכים בה חוקרים בתחום מנתחים תוכנות זדוניות היא על ידי שימוש בהנדסה הפוכה / פיתוח לאחור בו החוקרים מנסים לזהות את הייעוד של התוכנה דרך מבנה הקוד. בנוסף, חוקרים משתמשים בסביבה המבודדת של ארגזי חול על מנת לצפות בהתנהגות של תוכנות זדוניות ללא גרימת נזק למכשירים ומערכות נוספות.
מעוניינים לצלול אל תוך עולם העתידנות הטכנולוגית? – הירשמו ל–INNOTECH 2023, הכנס והתערוכה הבינלאומיים לחדשנות באקספו תל אביב ב29-30 במרץ.
מעוניינים בחסות / ביתן תצוגה בתערוכת ה-INNOTECH 2023? לחצו כאן לפרטים!
