אושרי פנחס

אם אתם מנהלי IT, מנהלי אבטחת מידע, או אפילו מנכ”לים שדואגים לעסק שלהם, יש שאלה אחת שאתם חייבים לשאול את עצמכם ב-2024: האם אתם עדיין סומכים על הטכנולוגיה שהגנה עליכם בשנות ה-90?

במשך עשורים, ה”אנטי-וירוס” (AV) היה קו ההגנה הראשון, ולעיתים היחיד, על תחנות הקצה בארגון. התקנו אותו, ראינו את האייקון הירוק בשורת המשימות, והרגשנו בטוחים. זה עבד מצוין כשהאיומים היו פשוטים, מוכרים, והגיעו בקבצים עם סיומת .exe חשודה.

אבל העולם השתנה. התוקפים של היום מתוחכמים יותר, מהירים יותר, והם כבר לא צריכים “וירוס” כדי להצפין לכם את השרתים ולדרוש כופר. הם משתמשים בכלים שכבר קיימים במערכת ההפעלה, הם תוקפים דרך הדפדפן, והם משנים את צורתם בכל רגע.

מול האיומים החדשים האלה, האנטי-וירוס המסורתי עומד חסר אונים. הוא הפך, אם לומר את האמת, למערכת “טיפשה”.

במאמר זה נצלול לעומק ההבדל בין ההגנה הישנה (Legacy AV) לבין הסטנדרט החדש בתעשייה – EDR (Endpoint Detection and Response), נבין את היתרונות והחסרונות, ולמה המעבר הוא כבר לא בגדר המלצה, אלא חובה הישרדותית.

ההגנה הישנה: אנטי-וירוס מסורתי (Legacy AV) – השומר עם ספר התמונות

כדי להבין את הבעיה, צריך להבין איך אנטי-וירוס מסורתי עובד. בבסיסו, AV הוא מערכת מבוססת חתימות (Signatures).

דמיינו שומר בכניסה למועדון. לשומר הזה יש “ספר פושעים” עבה, שמכיל תמונות (חתימות) של כל העבריינים המוכרים בעולם. כשמישהו מגיע לכניסה, השומר מסתכל עליו, מדפדף בספר, ומשווה.

• האם הפרצוף מופיע בספר? חסום אותו! (זה וירוס מוכר).
• האם הפרצוף לא מופיע בספר? תן לו להיכנס. (זה קובץ “נקי”).

למה זו מערכת “טיפשה”? כי היא יודעת לזהות רק את מה שהיא כבר מכירה. אם מגיע פושע חדש שטרם תועד, או פושע ותיק ששם שפם ומשקפיים (שינוי קל בקוד של הוירוס) – השומר ייתן לו להיכנס בלי שום בעיה.

אנטי-וירוס מסורתי בודק קבצים בצורה בינארית: טוב או רע, מוכר או לא מוכר. הוא מסתמך על מאגרי מידע של וירוסים ידועים. הבעיה היא שבעולם הסייבר של היום, נוצרות מאות אלפי נוזקות חדשות בכל יום. עד שחברת האנטי-וירוס תעדכן את ה”ספר” שלה, התוקף כבר מזמן בתוך הרשת שלכם. זוהי הגנה ריאקטיבית (מגיבה בדיעבד) בלבד.

ההגנה החדשה: EDR – הבלש הפרטי שבוחן התנהגות

כאן נכנס לתמונה ה-EDR (Endpoint Detection and Response). אם ה-AV הוא השומר בכניסה עם הספר, ה-EDR הוא צוות של בלשים פרטיים ומצלמות אבטחה חכמות שמפוזרות בכל הבניין.

ה-EDR לא מסתפק בלשאול “האם הקובץ הזה מוכר כוירוס?”. הוא שואל שאלה הרבה יותר חשובה: “מה הקובץ הזה מנסה לעשות?”

ה-EDR מבוסס על זיהוי התנהגות (Behavioral Analysis) וזיהוי אנומליות (Anomaly Detection). הוא עוקב אחרי הפעולות שקורות במחשב בזמן אמת.

קחו לדוגמה קובץ Word תמים למראה, שמגיע במייל מחברת משלוחים.

• האנטי-וירוס המסורתי: יסרוק את הקובץ. אם החתימה שלו לא מופיעה במאגר הוירוסים – הוא יסמן אותו כ”תקין” ויאפשר למשתמש לפתוח אותו.
• מערכת ה-EDR: גם היא תראה קובץ Word. אבל ברגע שהמשתמש יפתח אותו, ה-EDR יזהה שה-Word מנסה פתאום להפעיל פקודת PowerShell (כלי ניהול של ווינדוס), והפקודה הזו מנסה להתחבר לשרת לא מוכר בחו”ל ולהצפין קבצים. ה-EDR יגיד מיד: “רגע! זו לא התנהגות נורמלית של קובץ Word. זה נראה כמו מתקפת כופר!”

ה-EDR יזהה את ההתנהגות החשודה גם אם הקובץ עצמו נראה “תקין” לחלוטין, חתום דיגיטלית, ומעולם לא נראה לפני כן (מה שנקרא מתקפת Zero-day).

אבל ה-EDR לא רק מזהה (Detection), הוא גם מגיב (Response). הוא מאפשר לאנשי ה-IT:

1. לחסום את התהליך הזדוני מיד.
2. לבודד את המחשב הנגוע מהרשת כדי שהתוקף לא יעבור לשרתים אחרים.
3. לקבל “צילום רנטגן” מלא של האירוע: מאיפה הקובץ הגיע, מה הוא ניסה לעשות, ואילו קבצים נוספים נפגעו.

ראש בראש: יתרונות וחסרונות

כמו בכל טכנולוגיה, לכל גישה יש את הפלוסים והמינוסים שלה.

אנטי-וירוס מסורתי (Legacy AV)

יתרונות:

1. פשטות: קל מאוד להתקנה ולניהול. לרוב זה “שגר ושכח”.
2. עלות: זול משמעותית מפתרונות EDR.
3. משאבים: קל משקל, לא מכביד כמעט על ביצועי המחשב.
4. יעילות בסיסית: עדיין מצוין בלעצור איומים ישנים ומוכרים שעדיין מסתובבים ברשת.

חסרונות (והם קריטיים):

1. עיוורון לאיומים חדשים: חסר תועלת מול מתקפות Zero-day או נוזקות שעברו שינוי קל (Polymorphic).
2. חוסר אונים מול מתקפות “ללא קובץ” (Fileless): תוקפים היום משתמשים בכלים לגיטימיים של המערכת (כמו PowerShell) כדי לתקוף. ה-AV לא רואה בזה שום בעיה כי אין קובץ “וירוס” לסרוק.
3. אין נראות (Visibility): אם נפרצתם, ה-AV לא יגיד לכם איך זה קרה, מתי, ומה הנזק.

EDR (Endpoint Detection & Response)

יתרונות:

1. זיהוי מתקדם: מזהה איומים לא מוכרים, מתקפות כופר מתוחכמות ופעילות זדונית המבוססת על התנהגות.
2. תגובה ונראות: מאפשר לחקור את האירוע לעומק, להבין את שרשרת התקיפה, ולבודד מכשירים נגועים בלחיצת כפתור.
3. צייד איומים (Threat Hunting): מאפשר לאנשי אבטחה לחפש באופן יזום סימנים לתוקף שכבר נמצא ברשת, במקום לחכות להתראה.

חסרונות:

1. מורכבות ניהול: דורש ידע מקצועי כדי להבין את ההתראות, לכוונן את המערכת ולחקור אירועים. (לכן ארגונים רבים לוקחים שירות MDR – ניהול חיצוני של ה-EDR).
2. עלות: יקר יותר משמעותית מאנטי-וירוס רגיל.
3. התראות שווא (False Positives): מכיוון שהוא בוחן התנהגות, לפעמים הוא עלול לחסום בטעות פעולה לגיטימית של עובד, ונדרש כוונון עדין.

למה חייבים להפסיק להשתמש באנטי-וירוס מסורתי?

התשובה הפשוטה היא: כי האויב השתנה.

להסתמך על אנטי-וירוס ב-2024 זה כמו לצאת למלחמה מודרנית עם חרב. זה אולי נראה מרשים, אבל זה לא יעיל מול נשק אוטומטי.

האקרים יודעים בדיוק איך עובדים מנועי האנטי-וירוס, והם בודקים את הנוזקות שלהם מולם לפני שהם משחררים אותן. אם אתם משתמשים רק ב-AV, אתם משאירים את הדלת האחורית של הארגון פתוחה לרווחה בפני כל תוקף מתוחכם קצת יותר מ”ילד סקריפטים”.

המעבר ל-EDR הוא לא רק שדרוג טכנולוגי; הוא שינוי תפיסתי. זה מעבר מהנחה ש”אנחנו מוגנים אם לא קפצה התראה”, להבנה ש”יתכן שאנחנו כבר תחת מתקפה, ואנחנו צריכים כלים לזהות ולעצור אותה בזמן אמת”.

לא רק EDR: שכבות הגנה נוספות

חשוב לציין שגם EDR הוא לא “פתרון קסם” יחיד. אבטחת מידע בנויה על שכבות (Defense in Depth).

לצד ה-EDR שיושב על המחשב עצמו, קיימות היום מערכות מתקדמות שפועלות עוד לפני שהאיום מגיע לדיסק. אלו מערכות הפועלות ברמת הרשת או הדפדפן (Browser Security / DNS Filtering). הן יודעות לזהות, למשל, שאתר האינטרנט שהעובד מנסה לגלוש אליו מכיל קוד זדוני, או שהקובץ שהוא מנסה להוריד מכיל “מטען” חשוד – ולחסום את הגישה אליו בענן, עוד לפני שהוא בכלל נחת במחשב ונבדק על ידי ה-EDR.

שילוב של הגנה היקפית כזו, יחד עם EDR חזק שמנתח התנהגות בתוך המחשב, מספק את מעטפת ההגנה הנדרשת בעידן הנוכחי.

לסיכום, אם הארגון שלכם עדיין מסתמך על האייקון הירוק של האנטי-וירוס משנות ה-2000, הגיע הזמן להתעורר. השאלה היא לא “האם נעבור ל-EDR”, אלא “מתי נעשה את זה, והאם זה יהיה לפני או אחרי מתקפת הכופר הבאה”.