כישלון שיטות הגנת הסייבר הקלאסיות — מה הלאה?
This post is also available in: 
English (אנגלית)
מאת אמיר אורבוך וגבי סיבוני
התוכנית ללוחמת סייבר, המכון למחקרי בטחון לאומי
שיטות ההגנה הקלאסיות הנהוגות בעולם בעשרות השנים האחרונות אינן מודרניות העושות שימוש בפרצות (malware) מצליחות לעצור התקפות פוגעניות אבטחה שאינן מוּכרות (ולכן אין להן עדיין תיקון), שנקראות חולשות יום־אפס (Zero Day vulnerabilities). דוגמאות להתקפות אלה על מחשבים ועל רשתות תקשורת של ארגונים עסקיים ושל ספקי תשתיות ושירותים חיוניים וקריטיים הן וירוסים, תולעים, דלת אחורית, סוסים טרויאניים – כלי ניהול/גישה (RATs). שיטות ההגנה הקלאסיות, הכוללות אמצעי תוכנה וחומרה והמתבססות על חומות אש (FireWall), חתימות וחוקים (rules), תוכנות אנטי־וירוס, סינון תוכן, מערכות איתור חדירה (IDS) ודומיהם נכשלות לחלוטין בהגנה מפני איומים לא־מוּכרים, דוגמת ואינן מספקות את המענה ההגנתי הדרוש. מערכות ההגנה המקובלות כיום מגִנות מפני התקפות מוּכרות על סמך חתימות ידועות וניתוח לאחור של התקפות, על מנת לייצר באופן היוריסטי, אבל הן חסרות תועלת מול ההתקפות המתרבות והולכות שאינן מוכרות, וחסרות כל חתימה. המידע המנותח כולל את פעילות התקשורת הארגונית (datasilos) כמקור להבנת התנהגות לא־רגילה (אנומליות), המעידה ברוב המקרים על קיום פוגענים במערכת.
המאמר מציע להתבסס על הנתונים שעליהם יש להגן כמקור ידע לפיתוח מערכת ההגנה. ניתוח אנליטי של נתונים מסיביים (BIG-DATA Analytics) יאפשר זיהוי פוגענים כאלה תוך בניית מודל המאפשר אמינות גבוהה של זיהוי ומזעור התרעות השווא (false positive) המהוות אתגר לכל מערכת הגנה.
(…)
פרופ' אמיר אורבוך הנו חבר סגל בית הספר למדעי המחשב באוניברסיטת תל־אביב וחוקר במסגרת תוכנית ניובאוור ללוחמת סייבר במכון למחקרי בטחון לאומי.
ד"ר גבי סיבוני הוא ראש תוכנית צבא ואסטרטגיה וראש תוכנית לוחמת סייבר במכון למחקרי בטחון לאומי.
מאמר זה נכתב בסיועו של אביב רוטברט, תלמיד לתואר שלישי, מלגאי בתוכנית ניובאוור במכון למחקרי בטחון לאומי.
פורסם בירחון צבא ואסטרטגיה, כרך 5 גיליון 1
לקריאת המאמר המלא, אנא הקליקו על הקישור הבא:
כישלון שיטות הגנת הסייבר הקלאסיות — מה הלאה
