אבטחת נקודות הקצה המושלמת לעידן הקורונה – FortiEDR

פורטינט חשפה את ממצאי דוח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה. מודיעין האיומים אשר נאסף על ידי מעבדות FortiGuard במחצית הראשונה של 2020 מראה את השינוי הדרמטי שבו פושעי סייבר ומדינות זרות ממנפים את מגפת הקורונה הגלובלית בתור הזדמנות להשיק מתקפות סייבר רבות ומגוונות ברחבי העולם. 

ההסתגלות של התוקפים למצב החדש אפשרה גלי מתקפות אשר מתמקדים בפחד ובחוסר הוודאות הנובעים מהאירועים של החודשים האחרונים, יחד עם הריבוי הפתאומי של עובדים מרוחקים הנמצאים מחוץ לרשת הארגונית, אשר הרחיבה במהירות את שטח התקיפה הדיגיטלי.
אמנם התוקפים כבר השתמשו בעבר בשיטות כמו הנדסה חברתית, אך במחצית הראשונה של 2020 הם עברו לשלב הבא – החל מהאקרים אשר מעדיפים מתקפות פישינג (Phishing) מזדמנות ועד לפעילות עוינת של מדינות, פושעי הסייבר מצאו דרכים רבות לנצל את המגפה הגלובלית למטרתם האישית בקנה מידה גדול.   

העולם לא עוצר – מפת האיומים המודרנית
המגמות שהתגלו בדוח מדגימות כיצד מרחב ההתקפה התרחב עד לרשת הביתית, כאשר פושעי הסייבר מחפשים להשיג טביעת רגל ברשת הארגונית באמצעות ניצול התקנים אשר נמצאים בשימוש של העובדים המרוחקים כדי להתחבר באמצעותם לרשת הארגונית שלהם.   הדפדפנים מהווים יעד: עבור התוקפים, המעבר לעבודה מרחוק היווה הזדמנות חסרת תקדים להתמקד באנשים אשר עובדים מהבית ולא חושדים בדבר במגוון דרכים שונות.
דבר זה כולל מתקפות פישינג והתחזות דרך הדואר האלקטרוני העסקי, מתקפות אשר מגובות על ידי מדינות ומתקפות מבוססות תוכנות כופר. הפושעים עבדו כדי למקסם את טבעה הגלובלי של המגפה אשר השפיעה על כל בני האדם ברחבי העולם, בשילוב עם שטח התקיפה הדיגיטלי, אשר התרחב בן לילה.
מגמות אלו ואחרות מדגימות באיזו מהירות התוקפים יכולים לפעול כדי לנצל התפתחויות משמעותיות בעלות השפעה חברתית רחבה ברמה הגלובלית ואיך בעידן הטכנולוגי ההפכפך של ימינו, גורמים העוסקים באיומי סייבר משתמשים בנקודות קצה שלא מאובטחות היטב כפתח אחורי לפרצה ברשת.
תוקפים אלה מנצלים את העובדה שרוב נקודות הקצה מופעלות ומתוחזקות על ידי בני אדם בזמן שגרה אשר רוב הזמן אין להם את היכולת או את המשאבים לזהות התקפת בנקודות הקצה, ובטח שלא להגן עליהן בצורה מיטבית.

איומים על נקודות הקצה
על פי דוח מגמות האבטחה של NIST לשנת 2019, 70% מההפרות מקורן בנקודת הקצה. המחקר ניתח יותר מ-6 מיליון מכשירים ארגוניים וגילה כי הגורם העיקרי להפרת נקודות קצה היה חולשה (Vulnerability) קיימת, ורק 42% מנקודות הקצה מוגנות למעשה מפני איומים.
נקודות קצה הן יעדים קלים לתוקפי סייבר, המשתמשים בהם כדי ליזום התקפות מגוונות. בדרך כלל, התוקפים משתמשים בנקודת הקצה כאמצעי ליעד אחר – הרשת והמידע שהיא מכילה. ברגע שיש להם מידע שחשוב לארגון, הם מוכרים אותם לכל המרבה במחיר, דורשים סכום "כופר" עבור השבת המידע או הסרת ההצפנה, או משתמשים בהם כדי לבצע הונאה פיננסית וזהותית.
ישנן מספר סוגים של התקפות שהופכות את נקודות הקצה לסיכון מבחינת אבטחת המידע בארגון:

  • Phishing – התקפות שמכוונות למשתמשים בדוא"ל. הקורבנות מקבלים דוא"ל המתחזה לישות לגיטימית, המשלה את המשתמש לחשוף מידע רגיש או להוריד תוכנות זדוניות במעטפת לגיטימית.
  • Malvertising – מודעות זדוניות המכילות תוכנה זדונית. הקורבנות לוחצים על אתרים לגיטימיים ונדבקים בתוכנה זדונית.
  • Ransomware – סוג של תוכנה זדונית החוסמת את הגישה של הקורבן לנתונים שהוצפנו. הקורבנות צריכים לשלם כופר בכדי להחזיר את הנתונים שלהם.
  • Drive-by downloads – הקורבנות לוחצים על אתרי אינטרנט, קישורים או עדכוני תוכנה בעלי מראה לגיטימי. הקליק מוריד תוכנות זדוניות או תוכנות הכוללות "הצפנת כופר" ללא ידיעת הקורבן.
  • Unpatched Vulnerabilities – נקודות קצה אשר לא מעודכנות על בסיס קבוע מבחינת עדכוני אבט"מ נופלות לרוב להתקפות. שחקני איום משתמשים בחולשות אבטחה כאלו כדי לפרוץ לרשת.

אז איך עובדת מערכת EDR ?
פלטפורמת אבטחה, זיהוי ותגובה של נקודות קצה (Endpoint Detection & Response – EDR) מספקת לארגונים את האמצעים לפקח, לאתר ולהגיב לאיומי נקודות קצה. באמצעות יישום פתרונות ושיטות EDR, ארגונים משיגים נראות לנקודת הקצה של הרשת. EDR מספקת גם לארגונים את הכלים להגנה על הרשת מפני איומים נכנסים בזמן שהם מתרחשים.
פתרונות אבטחה מסוג EDR מספקים נראות בזמן אמת לנקודות קצה של הרשת, כמו גם יכולות יזומות לזיהוי ותגובה לאיומים בקצה. כדי לאפשר יכולות אלה, פתרונות EDR משתמשים במנגנונים הבאים:

  • איסוף נתונים – איסוף נתונים שנוצרו על ידי פעילויות בנקודות הקצה, כגון תקשורת, כניסות משתמשים וביצוע תהליכים.
  • תיעוד לוג נתונים – רישום נתונים בזמן אמת על אירועי אבטחה בנקודות הקצה. צוותי סייבר בצד ספק ה-EDR משתמשים במידע זה כדי להגיב לאירועי אבטחה בזמן שהם מתרחשים.
  • מנוע איתור – מבצע ניתוח התנהגותי, הקובע נורמה רגילה כבסיס של פעילות נקודת קצה ומזהה אילו חריגות מייצגות פעילות זדונית.

כדי לספק נראות וניתוח של נקודות קצה בזמן אמת, פתרונות EDR מבצעים את שלוש המשימות הללו באופן רציף. לאחר גילוי איום, פתרון ה- EDR יתריע למנהלי מערכת ו / או יחיל תגובת איום מוגדרת מראש.

Real-time, Automated Endpoint Protection

הכירו את FortiEDR  – המענה המושלם לאבטחת נקודות הקצה
במהלך אוקטובר 2019 חברת פורטינט, החברה המובילה בתחום אבטחת המידע, רכשה את חברת enSilo (אינסיילו), אשר פועלת בתחום של זיהוי ומניעת התקפות נגד תוכנות כופר, נוזקות ממוקדות, מתקפות ללא קבצים ומתקפות זדוניות ממגוון סוגים אחרים שארגונים, בעיקר גדולים, מתמודדים איתם באופן יומיומי. לרוב, אמצעי ההגנה של אותם ארגונים הם באמצעות מוצרים שמטרתם למנוע מהתוקף לחדור מבחוץ אל תוך הארגון, אבל enSilo מגיעה מכיוון אחר; נקודת ההנחה שלה היא שקשה עד בלתי אפשרי למנוע חדירה של גורם עוין חיצוני, אבל בהחלט אפשר למנוע ממנו לשבש ולגנוב מידע רגיש.
פתרון ה EDR של פורטינט מתמקד במניעת גניבה ושיבוש מידע בארגונים, תוך שימוש בטכנולוגיה שמגנה על נקודות קצה לפני ואחרי הדבקה, וכן עוצרת זליגות ופגיעה בנתונים בזמן אמת.
בשונה משאר פתרונות אבטחת נקודות קצה, המסתמכים על יכולת בודדת של חסימה או זיהוי, FortiEDR מספק הגנה משולבת הכוללת אוטומציה וניצוח מלא על זיהוי, חסימה ואף תגובה – בזמן אמת. הגנה זו מבטיחה להתמודד בהצלחה עם התקפות הממוקדות בנתונים, ובעיקר גניבה או פגיעה בהם, כפי שקורה פעמים רבות עם תוכנות כופר, ללא צורך במודעות לנתונים וללא כל תלות בשיטת ההדבקה. כאשר הפלטפורמה מזהה ניסיון להוצאת מידע על ידי גורם עוין מחוץ לארגון, היא שולחת התראה לארגון וחוסמת התקשרויות זדוניות החוצה.
פתרון ה FortiEDR מוכיח כי מוצר EDR טוב מונע את ההתקפה בזמן אמת, אבל מוצר EDR מצוין כמו FortiEDR עושה זאת עם עלות נמוכה בשל מיעוט אירועים מדויקים ואוטומציה רבה.

רוצים לשמוע עוד ?
אנחנו כאן בשבילכם –
קובי מזרחי, מנהל מוצר שיווק עסקי  – kobimi@bezeqint.co.il