מטפלים בוקטור התקיפה באמצעות קבצים

חברת odix משווקת מערכת הלבנה לשירותי ענן או פתרונות בחצר לקוח. "אחד הזרזים של לקוחות לאמץ פתרונות כמו של odix הוא תוכנות כופר", אומרים בחברה

קרדיט צלם: תומר שלום

ד"ר אורן איתן, מפקד מצו"ב בעברו, הקים יחד דודו גבע את חברת odi כחברת שירותי סייבר. מתוך חברה זו, לפני כחמש-שש שנים, עשו בחברה ספין אוף לפתרון הלבנת קבצים (CDR) שמוכר כיום תחת המותג odix. את חברת השירותים ממשיך לנהל גבע תחת המותג odil. שתי החברות פועלות תחת חברת האם odi. 

איתן הגיע לחברה, כאמור, לאחר שירות ארוך כמפקד יחידת ההצפנה הלאומית של ישראל, וכן כמי שכתב, עוד בשנת 2000, את תכנית הגנת המידע של צה"ל שנקראה אז "בולדר". בימים ההם, עולם הסייבר טרם נולד, ומתקפות הסייבר היו, יחסית, וקטור חדש ולא מוכר. 

פתרון הלבנה 

חזרה לפתרון ההלבנה. חברת odix עושה הלבנת קבצים ברמת תוכן הקובץ באמצעות מניפולציה על פורמט הקבצים ללא שינוי בפועל של פורמט הקובץ. זאת באמצעות טכנולוגיה שפותחה בחברה. "לפני הרבה שנים, אם רצו במערכת הביטחון לאבטח קובץ, היו מדפיסים ואז סורקים אותו", מסביר איתן בחיוך. "היום זה לא יתפוס. במקום זאת, אם קיבלתי קובץ וורד, ואני אהפוך אותו לPDF אקבל כמעט אותה תוצאה. 

"הבעיה עם שיטה זו שהמשתמש מאבד את הפונקציונאליות של הקובץ. אתה לא יכול להנות מהפיצ'רים של הקובץ. פתרון כזה יכול לתפוס אולי במערכת ביטחונית. בעולם האזרחי - מסחרי זה לא יעבור. לצורך כך, פיתחנו פונקציות דומות להמרת פורמט בלי לשנות בפועל את הפורמט של הקובץ. אנחנו קוראים לתהליך הזה TRUE CDR מכיוון שאין החלפת פורמט אלא רק ניקוי של הקובץ. עם זה יצאנו לשוק."

בהתחלה שיווקה odix מוצרים לחצר לקוח (און-פרם), כמו קיוסקים לטובת עמדות הלבנה. על פי החברה, מדובר במוצר נדרש בכל מקום בעולם. החל מחברות אנרגיה, חברות ביטחוניות ועד בנקים. מוצר נוסף בהמשך הדרך הוא שרת הלבנה מרכזי בארגון. דוגמה עדכנית להתקנה כזו היא עיריית תל אביב. בעקבות מגיפת הקורונה, עיריית תל אביב, הפסיקה לקבל קהל ועברה לעבודה מהבית. 

שינוי תרבות זה הביא לעליה משמעותית בכמות הקבצים הנשלחים לאתר העירייה. לכן, חיפשו בתל אביב פתרון הגנה מרכזי לסריקת קבצים. נכון להיום, כל הקבצים שמועלים לאתר העירייה עובר דרך שרת הלבנה מרכזי של odix. כך גם במפעל הפיס, לשכות התעסוקה ולקוחות נוספים בארץ ובעולם. 

באופן טבעי, לאחר פתרונות און פרם, פנו בodix לענן. "בשנה שעברה הגשנו בקשה לאיחוד האירופאי דרך תכנית 'הורייזן 2020'. הרעיון היה להגן על עסקי SME באירופה. הראינו לאיחוד כי מעל 60 אחוזים מהSMEים שחווים מתקפת סייבר מוצלחת פושטים את הרגל לאחר חצי שנה. רצינו לתת פתרון הלבנה כשירות בענן דרך MSSPים באירופה", מסביר איתן.  

"קיבלנו מענק של שני מיליון אירו והתחלנו לעבוד. ראינו שמעל 94 אחוזים מהמתקפות נגד לקוחות כאלו מגיעות מהדוא"ל. שניתחנו את התקיפות בדוא"ל, מצאנו שני סוגים עיקריים. דרך הURL - פישינג מבוסס לינקים. בוקטור זה יש מגוון פתרונות הגנה שאמורים להתמודד עם URLים מזוהמים.

"דרך נוספת היא באמצעות צרופה בדוא"ל. ההאקרים משתמשים בקבצים מקוננים (Nested Files). המשמעות היא שזהו מבנה קובץ רב שכבתי - "קובץ בתוך קובץ" - שמטרתו להתחמק ממנגנוני הגנה. אחד הדברים שאנחנו עושים זה לבחון את כל הרמות של הקובץ. לעשות לו פירוק עמוק והרכבה מחדש."  

האיום הפנימי

תחום ההלבנה אינו פתור מתחרות, ובנוסף לפתרונות CDR אחרים, ישנם גם פתרונות סנדבוקס שהחלו לספק יכולות פירוק והרכבה, אבל ברמה בסיסית. שירותי ענן כמו אופיס 365 גם מספקים פתרונות סנבוקס, אך נעדרים טיפול ייעודי בקבצים מזוהמים. "רוב ההגנות על דוא"ל (Email Gateway) הם לפני האופיס 365", אומר איתן. "הפתרונות הקיימים לוקחים את כל ההודעות דרך שינוי רשומת הMX, מריצים מנגנוני הגנה, ומחזירים ל365. אנחנו רצינו להתממשק לAPI של מיקרוסופט."

ולא סתם בחרו בodix את מיקרוסופט. לענקית התוכנה ישנם כ-200 מליון משתמשים משלמים לאופיס 365. לצורך השוואה, לשירותי g suite של גוגל יש רק כששה מליון משתמשים עסקיים. "לכן התמקדנו במיקרוסופט. להגן על שירות Exchange Online", מסביר איתן. "השימוש בAPI של מיקרוסופט מאפשר לנו לבדוק קבצים כמעט ללא שיהוי. ההתקנה בחנות של אופיס 365נעשית בקליק. 

"עבור סיסו בארגון או MSSP, שלבי ההתקנה והתפעול הכי חשובים. יתרון נוסף במודל כזה הוא טיפול במתקפות המגיעות מתוך הארגון. כשליש מהמתקפות הן כאלו, כאשר מוצרי הגנה הפועלים מבחוץ לא תופסים את הקבצים הללו. בגלל שאנחנו בתוך 365 אנחנו מנקים גם את התעבורה הפנימית."

למיקרוסופט אין כיום פתרון CDR בדומה לזה של odix. החברה מוכרת שתי רמות אבטחה באופיס 365. רמה בסיסית שמקבל כל מנוי שמתחבר לשירות. ויש שירות מתקדם (ATP) עם  סנדבוקס. "אנחנו פרטנר בAPI ועובדים אתם בשיתוף פעולה. הם 'פותחים לנו את הברז' בהתאם לכמות התעבורה שעוברת אלינו. המוצר בחנות של אופיס 365 נקרא FileWall", מסביר איתן. 

"ברגע שאתה בענן, יש פחות חשיבות לגיאוגרפיה. הפתרון גלובלי ומיועד ללקוחות SMB עד 500 משתמשים או מעל. השלב הבא מיועד לאנטרפרייז. חברה אמריקנית תרצה שאריץ לה פתרון מענן אמריקאי. היא תרצה שאעמוד בתקנים בינלאומיים ורגולציות. חברה גדולה גם רוצה פתרון ניהול. יש לנו כלי ניהול דרכו יכול הMSSP או הסיסו לקבוע מדיניות לארגון או למשתמשים. אנחנו מתממשקים לMicrosoft Azure Sentinel. כך הלקוח יכול לקבל את כל התמונה ממקום אחד."  

חתימה דיגיטלית

במהותה, טכנולוגיית CDR עושה מניפולציה על הקובץ על מנת לנקות אותו. ככזו, ישנו אתגר עם חתימות דיגיטליות. מבחינה משפטית, פירוק והרכבה של הקובץ מפרים את אמינות החתימה. לכן החתימה במקרה כזה אינה תקפה. בodix מספקים אפשרות לחתום את הקובץ מחדש על ידי CA לאחר הפירוק בזמן ההרכבה. אתגר נוסף הוא קובץ מוצפן. ככזה, המשתמש צריך להכניס את הסיסמא על מנת לאפשר למערכת לסרוק את הקובץ. 

בהתקנות און פרם, הארגון צריך לפתוח את הקבצים \ תעבורה המוצפנים טרם הטיפול של שרת ההלבנה. פתיחה או סגירה של הצפנה באחריות הארגון. שאלה נוספת היא העומס על תשתיות הענן של החברה. כיום, החברה יכולה לטפל במאות אלפי משתמשים. אולם, כאשר המצבת תגדל למליונים, תדרש בחינה של תשתיות הIT מבוססות ענן. 

"פיתחנו מערכת בצורה שמאפשרת לה גידול תיאורטי אין סופי", מסביר איתן. "עם זאת, במציאות, כאשר מגיעים למליוני משתמשים, יש צורך לבצע אופטימיזציה עמוקה של השימוש בתשתיות ענן. זהו אחד מרכיבי העלות הגדולים בהוצאות חברה עם עומסים כאלו. כרגע, כאמור, אנחנו עדיין לא שם. לספקי ענן יש כלים לעזור לנו בזה כאשר נצטרך."  

התמודדות עם פרטיות 

היות והחברה עוסקת בטיפול בקבצי משתמשים, שינויים במשטרי פרטיות כמו GDPR משפיעים גם עליה. אחד מהם הוא ביטול הסכם "מגן הפרטיות" בין אירופה לארה"ב. המשמעות היא, כי קבצים של משתמשים אירופאים לא יכולים להגיע לתשתיות בארה"ב. 

בodix מבינים את האווירה הבינלאומית, ונערכים לעבור לעבודה באזורים (Regions) כבר ב2021. "זו הופכת לדרישה בסיסית בגלל רגולציה", מסביר איתן. "גם בגלל דרישה של הלקוחות. נערכים לזה ב2021. בהיבט הפרטיות יש שתי רמות - אם אתה מאחסן או מעבד. אם אתה מאחסן חלות עליך יותר מגבלות. שאתה רק מעבד הטיפול יחסית יותר קל. אתה מקבל הקובץ , מעבד, ולא שומר אותו. לכן ההתייחסות של הGDPR שונה מהותית בין שני המקרים . אנחנו עושים רק עיבוד." 

הגנה מפני תוכנות כופר

אחד הזרזים של לקוחות לאמץ פתרונות כמו של odix הוא תוכנות כופר. מדובר כמעט במגיפה וירטואלית שאינה פוסחת על אף יבשת. נזק ממוצע ממתקפה כזו יכול להגיע למאות או מליוני דולרים במצטבר, כאשר מרבית מתקפות מסוג זה מתחילות בהודעת דוא"ל עם לינק מזוהם או צרופה מזוהמת. סריקת צרופות יכולה לצמצם משמעותית את משטח התקיפה של תוכנת כופר. 

"אנחנו יוצאים כעת לסיבוב השקעה גדול. המערכת שלנו אדישה לזיהוי נוזקה. אנחנו מנקים כל קובץ שנכנס אלינו. רק בדיעבד אנחנו יודעים מה מצאנו כאשר חברות אבטחת מידע אחרות מדווחות על סוג המתקפה. עד היום, אף לקוח שלנו לא נפגע מתוכנת כופר. בסופו של דבר, כופרה צריכה פלטפורמה להכנס לתוך הארגון. אחת מהן, היא באמצעות קבצים בהודעות דוא"ל או קבצים בכלל. בCDR אנחנו מנקים את הוקטור הזה."