הדו"ח השנתי של Symantec קובע: יותר חורים ברשת
מאת יניב פלדמן, אפריל 16, 2009. 23 תגובות. שייך לקטגוריות אבטחת מידע
חברת Symantec שחררה אתמול את הדו"ח השנתי שלה המתאר את מצב אבטחת המידע ברשת האינטרנט במהלך שנת 2008. לפי נתוני הדו"ח חלה קפיצה משמעותית במספר האיומים, כאשר מטרתם העיקרית היא גניבת מידע מסווג ממחשבי המשתמשים. המידע שנאסף בדו"ח מבוסס על מחקר שביצעה החברה במהלך החודשים ינואר 2008 עד דצמבר 2008. המחקר התבסס על מיליוני סנסורים המותקנים ברחבי רשת האינטרנט וניטור אקטיבי של תקשורת בין האקרים (נשאיר את הדיון בנושא הפרטיות לפעם אחרת). בחודשים אלה בלבד Symantec שחררה כ-1.6 מיליון עדכוני חתימות לאיומים חדשים. זוהי עלייה של 265% משנת 2007 ובסך הכל כמות העדכונים של שנת 2008 מהווה כ-60% מעדכוני החתימות שיצרה החברה אי פעם.
העלייה במספר עדכוני החתימות - מקור: Symantec Internet Security Threat Report Volume XIV: April, 2009
הדו"ח מציין כי המקור העיקרי לאיומים היה ונשאר גלישה באינטרנט. מעל ל-90 מהאיומים שהתגלו בתקופת המחקר היו ניסיונות לגניבת מידע חסוי ומעל ל-76% מתוך האיומים הללו התבצע באמצעות מתקפות שהשתמשו ב-Keystroke Logging (או הקלטת מקשים) – עלייה של 72% מעל כמות האיומים שהתמשו בסוג זה של מתקפה ב-2007.
אחד הדברים המעניינים המצוינים בדו"ח הוא שיפור כושר ה"עמידות" של ההאקרים כנגד ה"מתקפות" שמנהלים נגדם גופי אבטחת המידע, הממשלה הפדרלית בארצות הברית והגופים הממונים באיחוד האירופי. בדו"ח צוין כי לאחר סגירת שני "אתרי אירוח" של רשתות Botnet גדולות באוגוסט ונובמבר של שנה שעברה, חלה ירידה משמעותית בכמות מתקפות ה-Botnets ברשת, אך המגמה לא נמשכה לאורך זמן שכן מפעילי רשתות ה-Botnet מצאו אתרים חדשים שיארחו את שירותיהם וחזרו לפעולה במהירות.
הנקודה הפגיעה ביותר ברשת בשנים האחרונות הייתה ונשארה פלטפורמת אפליקציות ה-Web. רבות מבין האפליקציות הללו נבנו במטרה לספק שירותי פיתוח, עדכון וניהול של אתרי אינטרנט חדשים ביתר פשטות, אך כפי הנראה, אבטחת מידע לא הייתה בראש סדרי העדיפויות של המפתחים, דבר שהשאיר את הפלטפורמות הללו פתוחות למספר רב של פגיעויות. דוגמה טובה לנושא ניתן לראות במתקפה שבוצעה לאחרונה על שירות Twitter שניצלה חור אבטחתי בשירות שאיפשר לתוקף להשתמש ב-Cross-Site Scripting כדי להפיץ ספאם דרך חשבונות משתמש שאינם שלו. לפי נתוני הדו"ח, מתוך 12,885 פגיעויות שונות שדווחו במהלך שנת 2008, רק ל-394 מהן (פחות מ-3 אחוז), הוציעה מפתחת הפלטפורמה (או הקהילה בחלק מהמקרים) תיקון אשר "סותם" את החור.
הייתי רוצה לסכם עם אחד הנתונים היותר מעניינים בדו"ח והוא שהרוב הגדול של המתקפות (וגם הגידול הגדול ביותר בכמות המתקפות) מרוכז באזור אירופה, המזרח התיכון ואפריקה (EMEA). לא ארה"ב, לא סין, לא המזרח הרחוק ולא דרום אמריקה. בהתחשב בעובדה שחלק לא קטן מהמדינות שנמצאות סביבינו במזרח התיכון וחלק גדול ממדינות אפריקה אינן טכנולוגיות ברמה מספיק גבוהה כדי ליצר נפח איומים "כזה" גדול, נשאלה השאלה, מה המקור ה"אמיתי" והמדוייק יותר שממנו מגיעה כמות האיומים הגדולה הזו?
לקריאת הדו"ח המלא באתר של Symantec
יניב פלדמן
מייסד האתר ועורך ראשי בעל נסיון טכנולוגי של 8 שנים בתחום תשתיות מחשוב ואבטחת מידע. לפני כניסתו לתחום, כתב יניב עבור מגזיני משחקי מחשב ווידאו בארץ ובחו"ל והקים את אתר חדשות המשחקים iGames שבשיאו נצפה ע"י 15 אלף קוראים מידי יום. יניב הוא בוגר תואר ראשון במנהל עסקים והוא מחזיק בתואר Microsoft MVP בתחום אבטחת מידע. החל משנת 2007, עוסק יניב בייעוץ וסיוע בנושאי פיתוח עסקי וטכני למיזמי טכנולוגיה ואינטרנט.
פוסטים נוספים בנושא אבטחת מידע
משתמשי אקספלורר 8 לא היו חשופים לפרצת אבטחה בטוויטר שתוקנה בסוף השבוע 
מלחמת הסייבר הראשונה
הבהלה מוירוס facebook fan check מנוצלת על ידי תוכנות זדוניות
האקרים פרצו את מערכת האקטיבציה של חלונות 7
23 תגובות לפוסט "הדו"ח השנתי של Symantec קובע: יותר חורים ברשת"
-
מאת Ezer:
האם למיקרוסופט יש פיתרון או רק לסימנטק ?
-
האם רק לסימנטק יש פתרון
או גם למיקרוסופט יש מה להגיד בעניין -
מאת Eli:
אם מיקרוסופט היתה עושה משהו בעניין במקום לדחוף OneCare כנראה שהיה טוב יותר
-
מאת Yaniv Feldman:
טוב, אז רק שתדעו לצורך הסטטיסטיקה, כ-87% מהפגיעויות מתגלות דווקא באפליקציות ולא במערכת ההפעלה .
לגבי מיקרוסופט, מיקרוסופט היא אולי החברה שהכי "עושה משהו" לגבי הנושא. שים לב שאתה שומע על זה שמיקרוסופט משחררת תלאים לתיקוני אבטחה כל הזמן… לעומת מקומות אחרים שבמקרה הטוב, אתה שומע על הבעיית אבטחה ובמקרה הרע, אפילו גם על זה לא… -
מאת Tuvia:
אני שמעתי על זה שיש למיקרוסופט תוכנת אנטי וירוס
אבל למי יש ביצים מספיק גדולות כדי להתקין אותה
זה כמו לתת לחתול לשמור על השמנת -
מאת Tamir:
אני לא מאמין שיש ארגון אחד רציני שיתקין אותה
זה בטח מוצר לא בשל מלא בבאגים כמו כל הדברים של מיקרוסופט
רק שפה זה כבר מסוכן ! -
מאת Amiad:
אתה בטח מתכוון לאפליקציות כמו Sharepoint
שמלא בחורי אבטחה בגלל שמבוסס על IIS
ואין למיקרוסופט שום דרך טובה להגן עליו
למרות שהוא מאוד נפוץ -
מאת Sharon:
אני מאחל לכל מי שיתקין אותו שיצליח לישון בשקט..
כי אחרי התקנה של דבר כזה באמת רועדות הביצים -
תסלחו לי אם אני שוב אחזור לסטטיסטיקות כדי להוכיח כמה אתם טועים. מנוע האנטי-וירוס של מיקרוסופט נמצא באחד משלושת המקומות הראשונים באופן קבוע בכל ההשוואות שערך האתר AV-Test.org – אתר נייטרלי לחלוטין.
בנוסף לכך, לי יש ניסיון מאוד מקיף עם האנטי-וירוס של מיקרוסופט המוטמע בארגונים גודלים בארץ ובעולם והדוגמה הטובה ביותר שאני יכול לתת היום זה ההתפרצות האחרונה של ה-CONFICKER שלא פגעה באף אחד מהלקוחות שלי שהם בעלי FOREFRONT של מיקרוסופט לעומת לקוחות שלי עם SYMANTEC, TREND ו-MCAFEE שנפגעו מהוירוס.מעבר לכך, מיקרוסופט היום עובדת על פלטפורמה חינמית לחלוטין (בשם קוד MORRO) המיועדת לתת הגנת אנטי-וירוס ואנטי-ספייוור לתחנות קצה לא מנוהלת (להלן מחשבים ביתיים).
לגבי Sharepoint, מיקרוסופט היום מציעה פתרון שנקרא Forefront for Sharepoint אשר מגן על המערכת מפני וירוסים ואיומים נוספים. בנוגע להגנה על ה-IIS עצמו, ישנו מגוון רחב של Application Level Firewalls כולל אחד מבית מיקרוסופט עצמה בשם Intelligent Application Gateway… אז תבדקו את העובדות שלכם…
-
מאת Eyal:
יניב
איפה אפשר לקבל עוד מידע על המוצרים האלו ?
אצלי בארגון נפגעו בצורה רצינית מה Conficker ואנחנו גם עם Mcafee וגם עם Trend
האם אתה בתור מומחה יכול להמליץ על המוצרים הללו כטובים יותר ? -
מאת Dany:
אני שמעתי על הForefront שהוא עובד לא רע
אבל שלא ממש קל לנהל אותו האם זה נכון ?
שמעתי גם שיש למיקרוסופט מוצר חדש – סטירלנג או משהו כזה
תוכל להרחיב ? -
מאת Sharon:
מאיפה מורידים את ה Morro שכתבת עליו ?
האם זה כמו AVG ? -
זה מה שאני מצאתי שחיפשתי על ה Forefront
Forefront Identity Manager
http://www.microsoft.com/forefront/en/us/identi...
האם לזה התכוונת ? כי זה לא נראה כמו אנטי וירוס -
מידע נוסף לגבי מוצרי האבטחה של מיקרוסופט ניתן לקבל בכתובת
http://www.microsoft.com/forefront/
ספציפית לגבי המוצר המגן על תחנות קצה הנקרא Forefront Client Security
http://www.microsoft.com/forefront/clientsecurity/
לגבי סטירלינג, זוהי בעצם הגרסה הבאה של כלל מוצרי ה-FOREFRONT של מיקרוסופט (סקירה מקיפה על המוצרים תהיה זמינה כאן באתר בהמשך) – גרסת ה-BETA 2 יצאה לציבור השבוע(MORRO הוכרז באופן רשמי לפני כמה חודשים ועדיין אין תיעוד רשמי של המערכת ואו מידע על תאריכי יציאה. ברגע שיהיה משהו שניתן לפרסם, אנחנו מבטיחים לעשות זאת.
-
מאת Gal:
יניב
האם למיקרוסופט יש גם הגנה מפני ווירוסים לארגונים כאשר גולשים באינטרנט ?
איפה ניתן למצחוא מידע כל המוצרים האלו ? -
מאת Avi:
יניב
לפי כל מה שכתוב פה זה נראה שמיקרוסופט לוקחת סוף סוף ברצינות את
נושא אבטחת המידע האם זה נכון ? האם יש אסטרטגיה מאחורי כל זה ?
או שזה רק נסיון לדרוס את המתחרים כמו תמיד..
מתי תפרסם סקירה ? זה נשמע מעניין
האם יש עוד תחומים באבטחת מידע שמיקרוסופט משקיעה בהם ? או שזה רק אנטי וירוסים -
מאת Tom:
מה מיקרוסופט עושה בתחום ה AntiSpam ?
הרי שרת הדואר שלה הוא הכי נפוץ ובכל זאת חייבים עוד מוצרים כדי להגן עליו
אני אשמח עם מיקרוסופט תשקיע קצת בתחום הבעייתי הזה -
מאת Tomer:
יניב אני חייב להגיד שהתגובות פה יותר מענינות מהכתבה עצמה !
קבל חח
-
מאת Amiad:
נכנסתי לאתר שכתבת ואני מוריד עכשיו את ה Intelligent Application Gateway
תוכל להפנות אותי לאתר/מידע שמסביר עליו קצת יותר ? כמו איך אפשר להגדיר אותו
ומה היכולות שלותודה
נ.ב נראה מוצר מדליק
לא ידעתי שמיקרוסופט בתחום הזה בכלל -
התחלת ההשקעה של מיקרוסופט בתחום אבטחת מידע התחילה כבר לפני כמה שנים טובות כאשר SP2 של Windows XP יצא…
בלי קשר, למיקרוסופט יש ROADMAP מאוד רציני בכל הקשור לאבטחת מידע מזה כמה שנים ורק בשנה האחרונה הושקעו כמה מילארדי דולרים רק בתחום המדובר.אני מבטיח להעלות באחד הימים הקרובים פוסט שמדבר על האסטרטגיה החדשה של מיקרוסופט בתחום כולל הצגת ליין המוצרים
הנוכחי והעתידי שלה.בינתיים, כמו שכבר ציינתי, מידע מלא (כולל גרסאות הדגמה של כל המוצרים) ניתן למצוא ב
http://www.microsoft.com/forefront/לגבי האנטי-ספאם, הפתרון הנוכחי שיש למיקרוסופט מתבסס על יכולות האנטי-ספאם הקיימות ב-EXCHANGE 2007, אך בגרסה הבאה של Forefront for Exchange ישולב גם מנוע אנטי-ספאם עצמאי.
-
מאת אהוד:
אני חייב להגיד שאני בשוק. חברת אבטחה אומרת בדו"ח שהיא מוציאה שמניין האיומים עלה? אני לתומי חשבתי שהחברה תוציא דו"ח שאומר שהאיומים נשארו זהים ופשוט סתם יש להם שמות אחרים, ושבמקום להגיד שהתוקפים נהיו מחוכמים יותר, תגיד שהגולשים נהיו זהירים פחות.
ובכלל, בדו"ח של חברה שמתקיימת ממוצרי אנטיוירוס הייתי מצפה שהיא תגיד שאין בכלל מה לדאוג ולא צריך יותר לקנות את המוצרים שלה. היא כבר מתצא ביזנס אחר ואל תדאגו לה. מפתיע שהיא באמת מציגה נתונים שהמסקנה שלהם היא שצריך לרכוש ולעדכן את מוצריה.
מאת 
אז מה מיקרוסופט עושה בעניין ?
הרי רוב החורים מתגלים במערכות ההפעלה שלה