מיקרוסופט הכריזה שלא צריך יותר אנטי-וירוס, אבל אולי דווקא בגלל זה צריך לדאוג

בסוף חודש אפריל יצאה חברת מיקרוסופט עם הצהרה משמעותית ודי דרמטית. החברה טענה כי מערך ההגנה המובנה בווינדוס 11 המבוסס על תוכנת Defender מספק הגנה מלאה לרוב המשתמשים, ואין יותר צורך להתקין אנטי-וירוס נוסף. על פי ההודעה הזאת של ענקית התוכנה, מדובר בשינוי מרחיק לכת שאמור לחסוך לנו את כאב הראש המוכר.

לדברי החברה, השילוב של בינה מלאכותית, חסימת אפליקציות וניטור בזמן אמת משנה את כללי המשחק. אבל האם באמת ההגנה של ווינדוס מספיקה כדי למנוע את כל סוגי המתקפות והסכנות הקיימות כיום בזירת הסייבר או שבעידן שבו המחשב מחובר כמעט לכל חלק בחיים שלנו, צריך יותר פונקציונליות ויותר משכבת הגנה אחת?

ההפרדה הייתה ברורה

במשך שנים, ההפרדה הייתה ברורה: ווינדוס נתנה את מערכת ההפעלה, וחברות כמו ESET, נורטון, Kaspersky ,SentinelOne ואחרות סיפקו את שכבת ההגנה שמעליה. זה היה עולם פשוט שבו האיום המרכזי היה קובץ נגוע, ולכן גם הפתרון היה אנטי-וירוס שמזהה, חוסם ומנקה.

הסכנות הלכו והתפתחו ונוספו עוד ועוד סוגים: נוזקות, Adware, מתקפות כופר ועוד. הורדה של קובץ זדוני אחד בלי שיש לך תוכנת הגנה על המחשב עלולה הייתה לגרום למחיקת נתונים, לשיגור דואר אלקטרוני לרשימת התפוצה שלך, להצפנת קבצים, לחדירה לחשבון הבנק ועוד. תוכנות האנטי-וירוס המשיכו ללמוד ולהכיר את הסכנות החדשות ולפתח הגנות מפניהן, ובמקביל המושג אנטי-וירוס הפך ללא רלוונטי והוחלף בפתרונות מקיפים יותר להרבה יותר סכנות עם שמות כמו Endpoint Detection and Response או בקיצור EDR. מדובר בטכנולוגיית אבטחה המתמקדת בניטור רציף של נקודות קצה, כמו מחשבים, שרתים ומכשירים ניידים – כדי לזהות ולבלום איומי סייבר מתקדמים בזמן אמת.

אלכס שטיינברג, מנהל מוצר ESET בקומסקיור, המפיצה הרשמית של ESET בישראל, מסביר כי המוצרים שנקראו בעבר "אנטי-וירוס" הם כבר מזמן לא רק זה. ההגנה על המשתמש הפרטי לא יכולה להסתכם בזיהוי איומים בלבד: "החיים הדיגיטליים של המשתמש מתנהלים היום דרך המחשב, הדפדפן והטלפון, ולכן גם ההגנה צריכה להסתכל על כל ההתנהלות שלו ברשת, ולא רק על קובץ חשוד כזה או אחר", אומר שטיינברג. לדבריו, החברה שלו מציעה מעטפת שמחברת בין כמה שכבות הגנה: זיהוי איומים מתקדמים, גם כאלה שעדיין לא מוכרים בעולם, סינון תקשורת זדונית, הגנה על מצלמה ומיקרופון מפני גישה לא מורשית, הצפנת מידע רגיש וניטור דליפות זהות.

לצד זה, הוא אומר, יש גם כלים שהמשתמש פוגש ביום-יום כמו סביבת תשלומים מאובטחת לקניות ולבנקאות אונליין, VPN מובנה להגנה על הפרטיות בגלישה, ובקרת רשת ביתית שמאפשרת לראות מי מחובר ל-Wi-Fi ואם קיימות חולשות ברשת. "יש גם כלים כמו ניקוי Metadata מקבצים ותמונות לפני שיתוף, למשל הסרה של מיקום צילום, וניהול הרשאות אתרים שמאפשר למשתמש לשלוט טוב יותר במידע שהדפדפן חושף", הוא מוסיף.

האם באמת לא צריך אנטי-וירוס יותר?

ניר יהושע, חוקר חולשות אבטחה ומייסד Cipher Security Labs, חברת מחקר סייבר שמתמחה במחקר חולשות, בדיקות חדירה, נוזקות, Reverse Engineering ותגובה לאירועי סייבר, מציע להסתכל על ה-Defender קצת אחרת. לדבריו, זה כבר לא אותו אנטי-וירוס בסיסי שהיה בעבר.

"Defender, מנגנון ההגנה המובנה, הוא מוצר אבטחה מובנה ומשופר, שמתאים כקו הגנה ראשוני למשתמשים רגילים רבים", אומר יהושע. "עבור משתמש ביתי בסיסי, שמעדכן את המחשב, לא מוריד תוכנות ממקורות לא מוכרים, משתמש בסיסמאות חזקות ומפעיל אימות דו שלבי, Defender יכול לספק שכבת הגנה סבירה. אבל עדיין חסרות בו פונקציות רבות שקיימות היום בכלים אחרים".

לדבריו, השאלה האמיתית היא לא אם Defender הוא מוצר טוב או רע, אלא אם נכון להסתמך רק עליו. במיוחד כשעל המחשב נמצאים קבצים אישיים, גישה לחשבונות בנק, סיסמאות, מידע רפואי, קבצי עבודה ועוד. במקרה של עסק קטן, הסיכון אפילו גדול יותר: מידע של לקוחות, הנהלת חשבונות, דואר ארגוני, Microsoft 365 ועוד עלולים להיות באותו מחשב. "עבור משתמשים כאלה, Defender הוא נקודת התחלה טובה, אבל הוא לא אסטרטגיית הגנה מלאה", אומר יהושע.

"ויש עוד נקודה חשובה למדי, מציין יהושוע. "דווקא בגלל ש-Defender מותקן כמעט בכל מחשב Windows, הוא הופך למטרה טבעית עבור תוקפים. הם יודעים שהוא שם, לומדים איך הוא עובד ומחפשים דרכים לעקוף אותו. "מבחינת ניהול סיכונים, לא נכון לבנות את כל תפיסת ההגנה על שכבה אחת, של ספק אחד, שרצה על אותה מערכת הפעלה שעליה התוקף מנסה להשיג שליטה", הוא אומר.

עידו נאור, חוקר סייבר, מייסד-שותף ומנכ"ל Security Joes, העוסקת באבטחת ארגונים ותגובה לאירועים באמצעות פלטפורמת AI, תומך אף הוא בגישה שההגנה המובנית במיקרוסופט לבדה אינה מספיקה: "הטענה של מיקרוסופט ש-Defender לבדו מספיק לרוב הארגונים היא טענה חלקית בלבד. נכון, בשנים האחרונות Defender השתפר משמעותית והפך לפתרון בסיס חזק, אבל הוא עדיין חלק מאקו-סיסטם אחד עם נקודות עיוורון מובנות.

"בעולם שבו התוקפים משתמשים בטכניקות מתקדמות כמו Living-off-the-Land, תקיפות זהות ושרשראות תקיפה מורכבות, שכבת הגנה אחת, גם אם היא של מיקרוסופט, פשוט לא מספיקה. ארגונים שמבינים בסיכון לא שואלים אם Defender טוב, אלא איך משלבים אותו בתוך אסטרטגיית הגנה רב-שכבתית הכוללת גם יכולות EDR/XDR בלתי תלויות, ניטור מתקדם ותגובה מהירה לאירועים".

העסק קטן אבל הנזק גדול

אם אצל משתמשים פרטיים השאלה היא מה נמצא על המחשב, בעסקים קטנים ובינוניים הסיפור רגיש יותר. הרבה עסקים כאלה לא מחזיקים צוות אבטחת מידע, לא מפעילים ניטור מסביב לשעון, לא תמיד מנהלים גיבויים כמו שצריך, ולעתים אין הפרדה ברורה בין מחשב עבודה למחשב אישי.

"בהרבה עסקים קטנים ובינוניים אין צוות אבטחת מידע, אין ניטור 24/7, אין SOC (מרכז פעולות האבטחה), אין הפרדה טובה בין מחשב אישי למחשב עבודה, ולעתים אין תהליך מסודר של ניהול עדכונים, גיבויים, הרשאות, דואר ופישינג", אומר יהושע. "לכן דווקא שם שכבת הגנה נוספת יכולה להיות קריטית".

לדבריו, הערך של פתרון נוסף הוא לא רק "עוד אנטי-וירוס", אלא הגנה רחבה יותר: זיהוי איומים, הגנה מפני פישינג וכופר, ניהול מרכזי של תחנות, דוחות, נראות למנהל העסק, בקרת התקנים, הגנת דפדפן, הצפנה וניהול חולשות ועדכוני תוכנה.

אז מה עושים עכשיו?

התשובה תלויה בעיקר במי שמשתמש במחשב ומה נמצא עליו. מי שמשתמש במחשב בעיקר לגלישה בסיסית, מקפיד על עדכונים, לא מוריד תוכנות ממקורות לא מוכרים, משתמש בסיסמאות חזקות ומפעיל אימות דו שלבי, יכול להרגיש ש-Defender נותן לו שכבת הגנה סבירה.

אבל מי שמנהל מהמחשב חשבונות, עבודה, לקוחות, מסמכים חשובים או מידע אישי רגיש, צריך לשאול את עצמו אם זה מספיק. "מי שחשוב לו שלא לאבד את המידע, צריך לחשוב על כלי אבטחה נוסף, למשל EDR, לא מתוך פחד אלא מתוך ניהול סיכונים נכון", אומר יהושע. "כמו שבבית לא מסתמכים רק על מנעול אם יש בו רכוש יקר, אלא גם מתקינים אזעקה וכספת, כך גם בעולם הסייבר". Defender יכול להיות התחלה טובה, אבל בעולם שבו האיום יכול להגיע מהמייל, מהדפדפן, מהענן או מסיסמה שדלפה, לא כדאי להשתמש רק בברירת המחדל.