macadmins israel round icon rec

זיהוי איומים (Threat Detection) מה זה? המפתח להסבר על הגנת הסייבר

נכתב במקור על ידי האנה המילטון באתר Jamf

גורמים עוינים מסכנים כל הזמן את אבטחת הסייבר שלנו באמצעות שיטות וכלים מגוונים. זיהוי איומים אלו אינו פשוט ודורש יכולות זיהוי איומים חזקות. בבלוג זה נדבר על זיהוי איומים – מה זה, אילו איומים אנחנו מזהים וכיצד מזהים אותם.

קודם כל, בואו נגדיר מה אנחנו מתכוונים באיום. המכון הלאומי לסטנדרטים וטכנולוגיה של ארה"ב (NIST) מגדיר איום סייבר כ:

כל נסיבה או אירוע בעלי פוטנציאל להשפיע לרעה על פעילות ארגונית (לרבות משימה, פונקציות, תדמית או מוניטין), נכסים ארגוניים או יחידים באמצעות גישה בלתי מורשית למערכת מידע, השמדה, חשיפה, שינוי של מידע, ו/או מניעת שירות. כמו כן, הפוטנציאל של מקור-איום לנצל בהצלחה חולשות מערכת מידע מסוימת.

במילים אחרות, איום הוא כל דבר שיכול לשבש את פעולותיך או פעולות הארגון שלך. מה זה זיהוי איומים? זיהוי איומים מנתח את התנהגות המערכת שלך על מנת לזהות איומים לפני שהם מזיקים למערכת שלך. זה שונה ממונח דומה אחר, "מניעת איומים", שמטרתו לחסום איומים מלהיכנס למערכת שלך מלכתחילה.

בואו נדבר על כמה סוגי איומים נפוצים.

סוגי איומים

תוכנות זדוניות (Malware)

Malware, או תוכנה זדונית, משמשת את התוקפים כדי לגנוב את הנתונים שלך, להרוס את המערכת שלך, לשלוט במכשיר שלך או למטרה אחרת. תוכנות זדוניות יכולות להיכנס למכשיר על ידי:

  • הורדות מהאינטרנט
  • שמירת קבצים מצורפים מדואר אלקטרוני
  • ניצול חולשות מערכת על ידי תוקפים
  • לחיצה על קישורים זדוניים

לאחר שתוכנה זדונית מגיעה למכשיר או לשרתים שלך, התוקפים יכולים להשתמש במידע שהם אוספים כדי לנצל את הנתונים שלך דרך כופרה – סוג של תוכנה זדונית שבה התוקפים מצפינים ו/או אוספים את הנתונים שלך ודורשים כסף כדי לשמור אותם פרטיים. הם גם יכולים להשתמש בשם המשתמש ובסיסמה שלך כדי לחדור עמוק יותר לרשת של החברה שלך עד שהם ימצאו את מה שהם מחפשים.

הנדסה חברתית (Social Engineering)

התקפות הנדסה חברתית בדרך כלל מנסות לנצל את הטבע האנושי, בין אם זה נדיבות (כמו תוקף המתחזה למישהו שזקוק לעזרה) או פחד (כמו איום שמשהו רע יקרה). סוג ההתקפה הזה נפוץ מאוד, ולעיתים קרובות משמש לגנוב את המידע שלך או להתקין תוכנות זדוניות במחשב שלך.

דיוג (Phishing) הוא סוג של הנדסה חברתית שמהווה איום משמעותי לאבטחת הנתונים. לעיתים קרובות קל יותר לגנוב מידע או לגרום למשתמשים להתקין תוכנות זדוניות כי זה דורש פחות ידע טכני. דיוג יכול להיראות כמו:

  • אימייל המחקה את הבנק שלך הדורש לאפס את הסיסמה, אבל לחיצה על הקישור מפנה אותך לאתר דמה שבו התוקפים יכולים לרשום את שם המשתמש והסיסמה שלך.
  • הודעת טקסט שאומרת שלא ניתן לספק את החבילה שלך, ואתה צריך ללחוץ על קישור כדי לפתור את הבעיה. הקישור מוביל לאתר זדוני.
  • אתה מנהל את הכספים של החברה שלך, ואתה מקבל אימייל עם חשבונית מצורפת משולח זדוני המתחזה לקבלן. אתה מוריד את הקובץ המצורף, אשר מתקין תוכנה זדונית במכשיר שלך.

אי-תצורה ופגיעויות (Misconfigurations and Vulnerabilities)

לפעמים איומים לא נגרמים על ידי תוקפים – הם חולשות במערכת שלך. זה יכול להיות:

  • תוכנה או מערכות הפעלה לא מעודכנות
  • תוכנה עם חולשות ידועות או לא ידועות שתוקפים יכולים לנצל אותן
  • מדיניות סיסמאות חלשות
  • מדיניות גישה רחבה מדי; חוסר שימוש בעקרונות הרשאות מינימליות

מניעת שירות – Denial of Service

התקפת Denial of Service משמשת כדי למנוע מהתקן לתפקד כראוי. לדוגמה, בהתקפת DoS מבוזרת, תוקף עשוי להשתמש במספר רב של מכשירים כדי לגשת לאתר אינטרנט. כאשר האתר לא מסוגל להתמודד עם התנועה המוגברת, השרת התומך באתר יתרסק, מה שימנע מאנשים לגשת אליו. זה יכול לגרום נזק רב לפעילות החברה, במיוחד אם האתר שלהם הוא מקור הכנסה משמעותי.

איומים פנימיים (Insider Threats)

איומים פנימיים הם כאשר מישהו שמכיר את המערכת שלך עושה משהו שמשבש את אבטחת הסייבר שלך. זה יכול להיות לא מכוון, כמו עובד שנופל בפח דיוג, או מכוון, כמו עובד מרוגז שמשתמש בידע הפנימי שלו כדי לגנוב מידע.

איומים לא ידועים

ישנם איומים רבים בחוץ, כולל חדשים שעדיין לא התגלו על ידי צוותי אבטחה. אלה יכולים להיות קשים לזיהוי, ודורשים יכולות זיהוי מתקדמות.

שיטות זיהוי איומים

גילוי איומים אינו משימה פשוטה. ארגונים צריכים להתמודד עם איומים כל הזמן – מספיק תקיפה אחת מוצלחת כדי לגרום נזק משמעותי. לכן חיוני שיהיו כלים מתאימים באסטרטגיית ההגנה שלך. יש כמה שיטות לאיתור התקפות:

זיהוי מבוסס-חתימה (Signature-based Detection)

זיהוי מבוסס-חתימה מזהה רכיבים ידועים של איום על ידי הסתמכות על מאגר נתונים של חתימות איומים ידועות. לדוגמה, תוכנת זיהוי האיומים שלך סורקת את המכשיר שלך לקוד שידוע כחלק מתוכנה זדונית. אם היא מוצאת את הקוד הזה, התוכנה שלך יודעת שיש לך תוכנה זדונית במכשיר שלך.

זיהוי מבוסס-התנהגות (Behavior-based Detection)

זיהוי מבוסס-התנהגות אינו מחפש קוד ספציפי כמו זיהוי מבוסס-חתימה. במקום זאת, הוא מחפש התנהגות שמעידה על כך שייתכן ותוכנה זדונית נמצאת במכשיר שלך. לדוגמה, המכשיר הנגוע שלך עשוי להשתמש במשאבים רבים יותר או לבקש גישה למיקום רשת מוזר.

בינה מלאכותית ולמידת מכונה (AI/ML)

בינה מלאכותית (AI) ולמידת מכונה (ML) משמשות לשיפור יכולות הזיהוי. באמצעות AI/ML, התוכנה שלך יכולה לזהות איומים שאינם במאגר הנתונים או בעלי התנהגויות לא צפויות. זהו כלי רב עוצמה שעובד עם חוקרי אבטחה, מעבר ליכולת האנושית לזהות איומים.