הלבנת קבצים מבוססת אלגוריתמים - הדור הבא במניעת נוזקות Malware))
מאת: ד"ר אורן איתן, 30.4.18, 19:20

אחת הבעיות הגדולות בהגנה של רשת ארגונית היא התמודדות עם קבצים נגועים ב-,Malware שאינן ידועות למערכות ההגנה הקיימות. טכנולוגיית הלבנת קבצים - המצאה ישראלית, שנולדה בצה"ל והתאזרחה, אמורה לפתור את הבעיה, אך האם זה צריך לבוא על חשבון פגיעה בקבצים עצמם?
 
הלבנת קבצים, או בשמה באנגלית Content Disarm & Reconstruction - CDR, היא טכנולוגיית הגנה מפני נוזקות ,Malware שמנסות לחדור לרשת האירגונית באמצעות קבצים המכילים קוד זדוני. טכנולוגיית הלבנת קבצים היא הכלי החזק ביותר למניעת נוזקות מבוססות קבצים ובאה בעיקר להתמודד עם איומים חדשים ולא ידועים, שכלי ההגנה המסורתיים, כגון אנטי-וירוס, ו-Sandbox, לא יודעים למנוע ואפילו מערכות EDR מתקשות להתמודד איתם.

הלבנת קבצים הוא תהליך, שאינו מבוסס בהכרח על גילוי של נוזקה (כי איך תזהה משהו שאף אחד לא מכיר?) אלא על שיבוש וניטרול כל קוד זר, שעלול להתחבא בתוך הקובץ ללא ניחושים וללא שימוש בניתוחים סטטיסטיים ובדיקת התנהגויות משתמש. בפשטות: הלבנת קבצים תשמש לסריקת כל הקבצים לפני שהם מגיעים למשתמש. לא תמיד תתגלנה נוזקות, אבל אפשר להגיד בביטחון קרוב ל100%, שבסוף התהליך הקבצים נקיים ובטוחים לשימוש.
 
הלבנת קבצים – המצאה ישראלית שנולדה בצה"ל והתאזרחה
טכנולוגיית הלבנת קבצים היא המצאה ישראלית ומקורה בצורך של אירגוני הביטחון בישראל למנוע חדירת נוזקות לרשתות המאובטחות והסגורות של אירגונים אלה בכל מחיר. כיום, כל רשת מחשבים, ולא רק רשתות ביטחוניות, חשופה לאיומים רבים ומהווה מטרה לתקיפה באמצעות נוזקות. תקיפות כאלו הן נפוצות מאד בעיקר מכיוון שהידע הפרקטי על אופן ביצוע תקיפות כאלו זמין לכל דורש על גבי רשת האינטרנט. זו הסיבה, שגם מנהלי אבטחה של רשתות מסחריות "רגילות" מבינים את הצורך בטכנולוגיית הלבנת קבצים אבל המימוש הצבאי של טכנולוגיה כזו לא ממש מתאים לצרכי ארגון מסחרי.
 
מערכות ההלבנה הראשונות, שפותחו בצה"ל ובשאר ארגוני הביטחון בישראל, התבססו על שימוש במספר מנועי אנטי-וירוס במקום במנוע אחד. פתרון זה אכן היה מוצלח כאשר מומש לראשונה לפני כ-2 עשורים, אך עם התפתחות הטכנולוגיה בעידן המידע, הפכו מתקפות מבוססות קבצים להיות יותר ויותר מתוחכמות והאקרים החלו לתקוף רשתות ספציפיות באמצעות נוזקות, שנכתבו במיוחד לרשת מסוימת אחת. מתקפות כאלו אינן מתגלות באמצעות מנועי אנטי וירוס גם אם הקובץ ייסרק ע"י כל מנועי האנטי-וירוס הקיימים העולם, מהסיבה הפשוטה, שמנוע אנטי-וירוס מבוסס על זיהוי חתימות של נוזקות וזה אומר, שמישהו צריך קודם לזהות את הנוזקה ולעדכן את בסיס הנתונים של המנוע.
 
הבעיה הגדולה – קובץ לא שמיש אחרי ההלבנה
היות ומנועי האנטי-וירוס הפכו להיות לא יעילים במניעה של נוזקות חדשות ולא ידועות, פותחה שיטה חדשה להלבנת קבצים המבוססת על המרת הפורמט של הקובץ לפורמט אחר. אכן, ברוב המקרים, אם נמיר את הקובץ לפורמט אחר נצליח להרוס (או לשבש) את הקוד הזדוני, שייתכן ונמצא בקובץ, ובכך נמנע את הפעלתו. הבעיה הגדולה בשימוש בשיטת המרת פורמטים היא, שהקובץ, שיוצא מתהליך ההלבנה, אינו אותו קובץ ולעיתים קרובות הוא מאבד לגמרי את השימושיות שלו.

אתן דוגמא: אם משתמש ציפה לקבל קובץ אקסל עם נוסחאות ובמקומו הוא קיבל קובץ PDF, או במקרה הטוב קובץ CSV, הוא יאלץ לעבוד קשה יותר כדי לשחזר את הקובץ עליו הוא צריך לעבוד עם כל הנוסחאות ושאר הפונקציות שהיו בו. לעיתים, המשתמש צריך ממש לייצר קובץ חדש מהתחלה. פתרון כזה מתאים אולי לאירגונים ביטחוניים סגורים, שבהם הביטחון מקבל עדיפת עליונה אפילו על חשבון התפוקה של המשתמשים, אבל הוא ממש לא מתאים לארגון מסחרי.
 
המרת פורמטים כפולה - פתרון ביניים לא מספק
הפתרון הראשוני לבעיית השימושיות היה מימוש המרת פורמטים כפולה - נמיר את הקובץ לפרומט ביניים ואח"כ נמיר חזרה לפורמט המקורי. לכאורה, בסיום תהליך ההלבנה, המשתמש מקבל קובץ בפורמט המקורי, אבל זה רק לכאורה, כי בכל מקרה של המרת פורמטים, רגילה או כפולה, מאבדים הקבצים חלק מהפונקציונאליות שלהם ותפוקת הארגון נפגעת.

חיסרון נוסף ובולט של שיטת המרת פורמטים הוא חוסר היכולת להתמודד עם קבצים בתוך קבצים (Nested files). לדוגמא: האקר מנסה להחדיר נוזקה לארגון בתוך קובץ PDF וכדי לעקוף את כלי ההגנה המסורתיים הוא מכניס את קובץ הPDF לתוך מסמך .DOCX זאת אומרת, לתוך הארגון נשלח קובץ Word "תמים" ותקין, שברוב רובם של המקרים יעקוף גם מערכת Sandbox. אך כשהמשתמש הסופי ייפתח את קובץ הPDF המצורף הנוזקה תופעל מיידית.

המרת פורמטים פשוטה או כפולה לא יודעת לטפל בקובץ בתוך קובץ. לפעמים המשתמש יקבל את הקובץ המצורף ביחד עם הנוזקה שבתוכו ובמקרים אחרים מערכת ההלבנה "תשטיח" את הקובץ המצורף והמשתמש יראה רק תמונה או אייקון של הקובץ. כלומר, הקובץ לא שמיש כפי שהמשתמש ציפה לקבל.

בשורה התחתונה, שיטת המרת פורמטים, מתוחכמת ככל שתהיה, פוגעת בתפוקת הארגון ומפספסת את הצורך באיזון בין דרישות אבטחת המידע ולבין הצורך של הארגון להמשיך ולהיות יעיל ורווחי, וכן, גם ידידותי למשתמש הסופי.
 
הפתרון - הלבנת קבצים מתקדמת מבוססת אלגוריתמים
טכנולוגית הלבנת קבצים מתקדמת אינה מבצעת המרת פורמטים אלא מפרקת ובונה את הקובץ מחדש לפי הפורמט הספציפי של כל קובץ וקובץ. כלומר, תהליך ההלבנה מזהה את סוג הקובץ ומפעיל עליו אלגוריתם, שמכיר לעומק את הפורמט ויודע לקחת ממנו אך ורק את המידע השייך לפורמט, וזה כולל גם קבצים המצורפים לקובץ. בסוף התהליך המשתמש מקבל קובץ בטוח לשימוש וזהה לחלוטין מבחינת השימושיות שלו.

מבחינה טכנית הקובץ הוא קובץ חדש לגמרי אך הדבר שקוף למשתמש. טכנולוגיה כזו צריכה להיות מסוגלת לתמוך בהלבנה מלאה של קבצים בתוך קבצים ושל קבצים כולל בקבצי ארכיון כגון ZIP ו-RAR.

אמשיך לפתח את הדוגמה בפסקה הקודמת, קובץ PDF נגוע בתוך קובץ DOCX, אלא שהפעם ההאקר התחכם עוד יותר וסגר את קובץ DOCX בתוך 10 רמות של קובץ מסוג ZIP. רוב כלי הסריקה, כולל הלבנה בשיטת המרת פורמטים, ייסרקו רמה אחת או שתיים בתוך הקובץ הדחוס. לעומת זאת, הלבנת קבצים מתקדמת תסרוק בצורה רקורסיבית את כל רמות הדחיסה, תמצא את קובץ DOCX ותלבין אותו באלגוריתם המתאים לו, תמצא את קובץ הPDF המצורף ותלבין גם אותו, אח"כ תלבין כל קובץ ZIP בפני עצמו, תסגור כל הרמות ותעביר למשתמש קובץ במבנה זהה לקובץ המקורי, מולבן ובטוח לגמרי לשימוש.


ניהול מדיניות האבטחה - חלק בלתי נפרד ממימוש טכנולוגיית הלבנת קבצים
תהליך הלבנת קבצים, קריטי ככל שיהיה, חייב לקחת בחשבון גם את צרכי אבטחת המידע של הארגון וגם את הצורך התפעולי/עסקי שלו. האיזון הזה (שאפשר לקרוא לו גם "ניהול סיכונים") לא יכול להתקיים בארגון ללא שליטה ובקרה מלאה של מנהל אבטחת המידע על התהליך ההלבנה.
 
בכל ארגון קיימות רמות שונות של הרשאות משתמשים כחלק מניהול הסיכונים הארגוני. היות וקבצים הנכנסים לארגון הם קריטיים לעבודה שוטפת תקינה מחד ומהווים סיכון אבטחתי מאידך, מערכת הלבנת קבצים מתקדמת חייבת לאפשר גמישות מלאה בהגדרת הרשאות למשתמשים (או לקבוצות) בהתאם לניהול הסיכונים הארגוני.

לדוגמא: מדיניות בסיסית להכנסת קבצים לארגון תחייב את מערכת ההלבנה להוריד מאקרו מקבצי אופיס, אבל מה יעשו סמנכ"ל הכספים והחשבים שלו? הם הרי משתמשים בקבצי אקסל המכילים מאקרו ברמה יומית, זאת העבודה שלהם. מנהל אבטחת המידע יכול להגדיר במערכת הניהול של תהליכי ההלבנה קבוצת משתמשים, שבקבצים המיועדים אליהם, ואך ורק אליהם, המאקרו יישאר. בצורה הזו המחלקה ממשיכה לתפקד כרגיל ומנהל אבטחת המידע יכול לנהל את הסיכון הזה בנפרד (לבצע להם הדרכות מיוחדות וכד').
 
סיכום
אחד הסיכונים הגדולים באבטחה של רשת מחשבים הוא מניעת כניסת נוזקות malware דרך קבצים הנכנסים לרשת. הסיכון הולך וגדל כל הזמן מכיוון שמדי יום "נולדים" אלפי קבצי קוד זדוני חדשים ולכלי ההגנה המסורתיים אין אפשרות לעקוב אחריהם ולתת מענה הולם למניעתם. טכנולוגיית הלבנת קבצים מבוססת אלגורתמים היא מענה יעיל ומדויק להתמודד עם הבעיה. זו טכנולוגיה, שאינה מבוססת על זיהוי הנוזקה אלא על מניעה מוחלטת של נוזקות כאלו.

הלבנת קבצים לא יודעת להגיד "בקובץ הזה קיים קוד זדוני" אבל יודעת להגיד בביטחון מלא, שאחרי שהקובץ עבר תהליך הלבנה כל קוד זדוני, שאולי היה בו, אינו פעיל ואינו יכול לגרום נזק. טכנולוגיית הלבנת קבצים לוקחת בחשבון פרמטר נוסף על נושא אבטחת המידע והוא היכולת של הארגון להמשיך לעבוד ולתפקד כרגיל.

טכנולוגיה כזו מלבינה קבצים בצורה השומרת על הפונקציאונליות המלאה שלהם תוך כדי ניטרול האיום הפוטנצאלי ועמידה במדיניות האבטחה האירגונית. יישום מוצלח של הפרמטרים האלה מהווה פריצת דרך בהסבת טכנולוגיה צבאית לשוק האזרחי.
 
הכותב: ד"ר אורן איתן, אפריל 2018.
מנכ"ל חברת ODI
http://odi-x.com