עוינים מודרניים (APT - Advanced Persistent Threat) מאופיינים בתהליכי הדבקה חשאיים ומתמשכים, לעיתים קרובות בניצוחם של גורמים בעלי אינטרס ומיקוד ביעד ספציפי. APT  בדרך כלל מתמקד בארגונים ו/או מדינות ממניעים עסקיים או פוליטיים. השימוש ב-APT נעשה ברמה גבוהה של חשאיות על פני תקופה ארוכה של זמן. המונח 'Advanced' מסמל טכניקות מתוחכמות הננקטות ע"י התוקף עצמו לנצל נקודות תורפה במערכות או דרך שימוש בהנדסה חברתית. המונח 'Persistent' מצביע על כך שנעשה שימוש במערכות שליטה ובקרה חיצוניות באופן רציף וממוקד לטובת חילוץ נתונים או פגיעה ביעד ספציפי, ובמידה ותקיפה הסתיימה בכישלון התוקף  יבוצע ניסיון נוסף מתוחכם יותר להיכנס לרשת הארגון.

 

עוינים אלה נבנים מראש כדי להתחמק ממערכות הגנה נפוצות, ובמקרים רבים מסוגלים להתחמק מגילוי בזמן ההדבקה, הפעולה, והיציאה מרשת הארגון.

 

האתגר המרכזי לארגונים בזיהוי עוינים אלה הנו איתור תהליך עוין בתחנה או בשרת, כאשר מערכת ההפעלה אינה מודעת לעוין הפועל מתוכה. מוצרי האנטי-וירוס השונים, הנם מבוססי חתימות ולפיכך אינם מזהים את העוין המודרני אלא רק איומים מוכרים. גם כאשר הלקוח מפעיל מערכת לניהול אירועי אבטחת מידע ומתקבלת התרעה בנוגע לאירוע מסוים המשפיע על נכסי הארגון, הלקוח אינו מסוגל לבדוק את אמיתות האירוע בגלל מחסור בכלים וידע נדרש לביצוע הבדיקה.

 

חברת ווי אנקור עובדת עם מספר פתרונות ייחודיים אשר מסוגלים להתמודד עם העוינים המודרניים, כגון Damballa  ,VxStream Sandbox ומערכת ECAT מבית RSA

 

במהלך השנים פותחה בחברת ווי אנקור מתודולוגיה ייחודית ומתקדמת לאיתור עוינים ולשילוב אוטומציה בתהליכי האיתור והמיגור. תהליכים אלה מקצרים משמעותית את הזמן הכולל שעוין מתקדם נמצא ברשת הארגון, ובמקרים רבים מסירים את העוין לפני שנגרם נזק כלשהו לארגון.

 

איתור עוינים מתקדמים

מערכת (ECAT (Enterprise Compromise Assessment Tool מבית RSA הינה פלטפורמה לאיתור עוינים מתקדמים כגון APT ופולימורפיים שלא זוהו ע"י מנועי AV או ע"י אנומליות ברשת. מערכת ECAT מבצעת השוואה בין תהליכים להתנהגותם המוכרת, והחרגתם והצפתם של תהליכים שאינם תואמים את ההתנהגות המוכרת שלהם. מערכת ECAT מאפשרת איתור של תהליכים חריגים על תחנות שעליהן מותקן סוכן של המערכת. המערכת מחפשת אובייקטים במיקומים שונים (זיכרון, דיסק) ומסוגים שונים, תהליכים, קבצי DLL, דרייברים, וכו'.

 

סוכן המערכת לא צריך לראות הזרקה/פגיעה/ניצול פגיעות כדי לאתר ולהצביע על תהליך חשוד, ובכך מספק מענה גם למקרים בהם ישנו קוד עוין שאינו פעיל (או אינו פעיל במלואו) בעת פעולת הסוכן.  המערכת מסוגלת לאתר את סיבת השורש להתנהגות חריגה, ובכך לקצר משמעותית זמני חקירה ותגובה לאירועים.

 

מערכת Damballa הינה פלטפורמה לאיתור עוינים מתקדמים המתמקדת בהתנהגות תחנות הקצה ברשת הארגון. המערכת מבוססת על זיהוי פניות DNS לשרתי C&C, שימוש במנגנוני DGA (Domain Generation Algorithm), פניה לאתרי אינטרנט המוכרים כעוינים, הורדת קבצים המוכרים כעוינים או שהינם חשודים ופניה בתקשורת לכתובות IP המוכרות כעוינת. כמו כן, במידה ורכיב נייד (מכשיר סלולארי, טאבלט, מחשב נייד, וכו') יצא מחוץ לגבולות הניטור של Damballa ונדבק בקוד עוין, בעת חזרתו לרשת Damballa תאתר את התקשורת מול שרתי ה-C&C ותציג את הרכיב הנייד כנגוע, כלומר מערכת Damballa לא צריכה לראות את תהליך ההדבקה כדי להסיק שקוד עוין קיים על עמדת קצה.

 

מערכת VxStream מבית Payload Security הינה Sandbox הפועל בצורה חדשנית להרצת קבצים שלא מסוגלים לפעול ב-Sandboxes אחרים. המוצר מחביא כל סממן של Sandbox או וירטואליזציה ובכך "מרמה" את העוין וגורם לעוין לחשוב שמדובר בתחנה לגיטימית ברשת הארגון. בנוסף, VxStream מספק ניתוח סטאטי ודינאמי מלא לקבצים חשודים, כולל Reverse engineering לפקודות אשר מורצות בזיכרון ע"י העוין.

 

 

 

Damballa 

we ankor