לימוד עצמי: אירועי אבטחת מידע

מרכז פעולת אבטחה (SOC) הוא פונקציה ריכוזית בארגון המעסיק אנשים, תהליכים וטכנולוגיה כדי לפקח ולשפר באופן רציף את רמת האבטחה של הארגון תוך ביצוע פעולות מניעה, איתור, ניתוח ותגובה לאירועי אבטחת רשת.

מרכז SOC הוא מתקן (חדר  / אולם / סדרת חדרים) בו מערכות מידע ארגוניות (אתרי אינטרנט, יישומים, מסדי נתונים, מרכזי נתונים ושרתים, רשתות, שולחנות עבודה ונקודות קצה אחרות) מנוטרות, נבדקות ומגנות.

SOC פועל כמו מרכז שליטה ובקרה, נוטל טלמטריה מכל תשתיות ה- IT של הארגון, כולל רשתות, מכשירים, ואמצעים אחרים, בכל מקום בו נכסים אלה נמצאים. התהליך של איסוף הקשר ממקורות שונים, מסייע מאוד בהגנה בעידן של ריבוי האיומים המתקדמים. בעיקרו של דבר, כל אירוע שנרשם בארגון נרשם ומבוקר ב- SOC. בכל אחד מהאירועים הללו, על ה- SOC להחליט כיצד ינוהלו ויפעלו עליהם.

ה- SOC קשור לאנשים, תהליכים וטכנולוגיות המספקים תמונת מצב ראויה באמצעות ניטור, איתור, הכלה ותיקון של איומי IT. ה- SOC עוקב גם אחר יישומים לזיהוי התקפת סייבר אפשרית או חדירה (אירוע), וקובע אם מדובר באיום (אירוע) זדוני אמיתי, ואם האיום יכול להשפיע על הארגון.

הקמה והפעלה של SOC היא יקרה וקשה, ועשויה לכלול עמידה בכללי התעשייה כגון PCI DSS, ועמידה בכללי הממשלה, כגון חוק הגנת הפרטיות, חוק המחשבים ורגולציות מגזריות שונות.

טכנולוגיה

SOC בדרך כלל מבוססים על מערכת אבטחת מידע וניהול אירועים (SIEM) צוברת ומתאמת נתונים המוזנים אליה ממערכות אבטחה כגון מערכות גילוי רשת ומערכות פגיעות; מערכות ממשל, סיכון ותאימות (GRC); מערכות הערכה ופיקוח על אתרים, סורקי יישומים ומסדי נתונים; כלי בדיקת חדירה; מערכות גילוי חדירות (IDS); מערכת מניעת חדירות (IPS); מערכות ניהול יומנים; ניתוח התנהגות רשת ומודיעין איומי סייבר; מערכת מניעת חדירה אלחוטית; חומות אש, אנטי-וירוס ארגוני וניהול איומים מאוחד (UTM). טכנולוגיית SIEM יוצרת "חלונית זכוכית אחת" עבור בקרי האבטחה כדי לפקח על הארגון.

אנשים

בדרך כלל מנוהל ה- SOC על ידי מנהל SOC, והוא עשוי לכלול "מגיבים" הנקראים בעברית בקרי SOC (אנליסטים של SOC) בעלי דרגות יכולת (דרגות 1, 2 ו -3, ובאנגלית: tier 1, 2, 3), ציידי איומים (threat hunters) ומנהל תגובת אירועים (incident response manager(s)). ה- SOC מדווח ל- CISO, אשר בתורו מדווח לסמנכ"ל או ישירות למנכ"ל.

צוות SOC כולל בקרי SOC (אנליסטים), מהנדסי אבטחה ומנהלי SOC שצריכים להיות אנשי מקצוע בתחום ה- IT והרשתות. הם בדרך כלל מיומנים בהנדסת מחשבים, קריפטוגרפיה, הנדסת רשת או מדעי מחשב ויכולים להיות בעלי תעודות כגון CISSP או GIAC.

תוכניות האיוש של SOC נעות בין שמונה שעות ביום, חמישה ימים בשבוע (5×8) ועד עשרים וארבע שעות ביום, שבעה ימים בשבוע (24×7). משמרות צריכות לכלול לפחות שני אנליסטים ויש להגדיר את האחריות באופן ברור.

ארגון

ארגונים גדולים עשויים להפעיל יותר מ- SOC אחד לניהול קבוצות שונות של טכנולוגיות מידע ותקשורת, ולעיתים – כדי לספק יתירות במקרה בו אתר אחד אינו זמין. ניתן למקם מיקור-חוץ לעבודה של SOC למשל באמצעות שירות אבטחה מנוהל. המונח SOC שימש באופן מסורתי ממשלות וספקי אבטחת מחשבים מנוהלים, אם כי למספר הולך וגדל של חברות גדולות וארגונים אחרים יש גם מרכזים כאלה.

ה- SOC ומרכז פעולות הרשת (NOC) משלימים זה את זה ועובדים במקביל. ה- NOC אחראי בדרך כלל לניטור ותחזוקה של תשתית הרשת הכוללת, ותפקידו העיקרי הוא להבטיח שירות רשת ללא הפרעה. ה- SOC אחראי על הגנה על רשתות, כמו גם אתרי אינטרנט, יישומים, בסיסי נתונים, שרתים ומרכזי נתונים וטכנולוגיות אחרות. באופן דומה, ה- SOC ומרכז פעולות הביטחון הגופני מתואמים ועובדים יחד. ה- SOC הפיזי הוא מתקן בארגונים גדולים שבהם עובדי הביטחון עוקבים אחר בקרה / מאבטחים, אזעקות, טלוויזיה במעגל סגור, גישה פיזית, תאורה, חסמי רכב וכו '.

לא לכל SOC יש את אותו תפקיד. ישנם שלושה אזורי מיקוד שונים שבהם SOC עשוי להיות פעיל, ואשר ניתן לשלב אותם בכל שילוב:

1. בקרה – התמקדות במצב האבטחה עם בדיקות תאימות, בדיקת חדירה, בדיקת פגיעות וכו '.
2. ניטור – התמקדות באירועים והתגובה באמצעות ניטור יומן, ניהול SIEM ותגובת אירועים
3. תפעולי – התמקדות במנהל האבטחה התפעולית כגון ניהול זהויות וגישה, ניהול מפתחות, ניהול חומת אש וכו'.

במקרים מסוימים ה- SOC, NOC או ה- SOC של אבטחה פיזית עשויים לפעול יחד באותו מתקן, או בשילוב ארגוני, במיוחד אם המיקוד הוא במשימות תפעוליות. אם ה- SOC מקורו בארגון CERT, בדרך כלל ההתמקדות היא יותר במעקב ובקרה, ובמקרה זה ה- SOC פועל באופן עצמאי מ- NOC בכדי לשמור על הפרדת תפקידים. בדרך כלל, ארגונים גדולים יותר מקיימים SOC נפרד כדי להבטיח מיקוד ומומחיות. לאחר מכן משתף ה- SOC בשיתוף פעולה הדוק עם פעולות רשת ופעולות אבטחה פיזיות.

מתקנים

SOCs בדרך כלל מוגנים היטב עם אבטחה פיזית, אלקטרונית, מחשב ואנשי אדם. מרכזים מוצבים לרוב עם שולחנות עבודה הפונים לקיר וידיאו, המציג סטטוס אירועים והתראות; אירועים מתמשכים; הצוות מצויד גם במכשיר טלוויזיה לצורך מעקב אחר חדשות או מזג אוויר, כדי שהצוות יהיה מודע לאירועים אקטואליים שעלולים להשפיע על מערכות מידע. למהנדס אבטחה או מנתח אבטחה עשויים להיות כמה מסכי מחשב בשולחן העבודה.

תהליך ונהלים

תהליכים ונהלים בתוך SOC יתוארו בבירור תפקידים ואחריות וכן נהלי פיקוח. תהליכים אלה כוללים תהליכים עסקיים, טכנולוגיים, תפעוליים ואנליטיים. הם מציגים אילו צעדים יש לנקוט במקרה של התראה או הפרה, כולל הליכי הסלמה, נהלי דיווח ונהלי תגובה להפרה.

SOC בענן

ניתן להקים מרכז פעולות אבטחה בענן (CloudSOC) כדי לפקח על השימוש בשירותי ענן בארגון (ולשמור על בעיית ה- IT של Shadow תחת פיקוח), או לנתח ולבדוק תשתיות IT וביומני יישומים באמצעות טכנולוגיות SIEM כדי לספק התראות ופרטים על פעילות חשודה.

נושאים נוספים ללימוד עצמי ומחקר

• מוצרים תומכים מוצרי SOC
• מוצרי SIEM
• מוצרי NAC (network access control)
• סנסורים: התקנה וקונפיגורציה. תהליך הגדרה של חוקים במוצר, התראות שווא למול התראות אמת, מעקב, עדכון, תחזוקה.
• אופן התייחסות למידע התרעתי המתקבל ממקור חיצוני לארגון, ניסיון חדירה מבחוץ.
• אופן ההתייחסות למידע הרתעתי המתקבל ממקור פנימי, מתוך הארגון המתקבל מכל מחשב וציוד המותקן בארגון ו/או הרשאי לגשת למשאבי הארגון.
• הכרת סוגי תקיפות דוגמת : DoS/ DDoS, Spear Phishing, וכו'
• הבנת תהליך ביצוע התקיפה, שלבי המתקפה, משך המתקפה.
• הבנת הנזק (impact) הנגרם מהתקיפה.
• הכרות עם הנושא של התראות שווא, false positive ו- false negative.
• אופן הטיפול בתקיפות שהתגלו (גישות ומוצרים)
• הפעלת מנגנונים בולמים ובדיקת יעילותם,
• בדיקת נזקים, מימוש תהליכים פורנזיים
• תהליכי שחזור,
• הרחבת בסיס הידע הארגוני
• פניה דיווח לרשויות החוק

התוכנות הזדוניות (malware) כוללות תוכנות ריגול, יישומי אנטי-וירוס מזוייפים, וירוסים, סוסים טרויאניים, תולעים, adware (תכנות פרסום) ו- rootkits. חדירה של אחת מהתוכנות למחשב עלולה לגרום לשליטה של האקר על מחשב ואפילו על הזהות של בעל המחשב.

מגוון תוכנות אנטי-וירוס, חומות אש ואסטרטגיות אחרות משמשות כדי לסייע בהגנה מפני הצגת תוכנות זדוניות, כדי לעזור לזהות אותה אם היא כבר קיימת ולהתאושש מפעילות זדונית הקשורה לתוכנות זדוניות.

תוכניות זדוניות מוקדמות רבות, כולל תולעת האינטרנט הראשונה, נכתבו כניסויים או כמעשה קונדס, אך כיום, תוכנות זדוניות משמשות על ידי האקרים ועל ידי ממשלות, כדי לגנוב מידע אישי, כספי, עסקי או ביטחוני.

לעתים קרובות משתמשים בתוכנה זדונית באופן נרחב כנגד אתרים ממשלתיים או ארגוניים כדי לאסוף מידע שמור או לשבש את פעולתם. עם זאת, ניתן להשתמש בתוכנה זדונית נגד אנשים כדי להשיג מידע כמו מספרי זיהוי אישיים או פרטים חסויים: מספרי כרטיסי בנק או אשראי וסיסמאות.

תוכניות שנועדו לעקוב אחר הגלישה באינטרנט של המשתמשים, להציג פרסומות לא רצויות או להפנות הכנסות שיווקיות מקושרות נקראות רוגלה. תוכנות ריגול אינן מתפשטות כמו וירוסים; במקום זאת הם בדרך כלל מותקנות תוך ניצול חורי אבטחה. הם יכולים גם להיות מוסתרים וארוזים יחד עם תוכנות שאינן קשורות להתקנה היזומה על-ידי משתמשים.

תוכנת הכופר Ransomware משפיעה על מערכת מחשב נגועה בדרך כלשהי ודורשת תשלום כדי להחזיר אותה למצב הרגיל. תוכניות כמו CryptoLocker מצפינות קבצים בצורה מאובטחת ורק לאחר תשלום דמי הסחיטה – מאחזרים את הקבצים.

תוכנות זדוניות מסוימות משמשות ל"ייצור כסף" על ידי הונאת קליקים, מה שמאפשר שמשתמש המחשב לחץ על קישור פרסום באתר, תוך יצירת תשלום מהמפרסם. בשנת 2012 העריכו כי כ -60 עד 70% מכל התוכנות הזדוניות הפעילות השתמשו בהונאה כלשהי של קליקים, ו -22% מכל קליקים על מודעות הונאה.

בנוסף לאופציה להרוויח כסף באופן פלילי, תוכנה זדונית יכולה לשמש לחבלה, לרוב למניעים פוליטיים. Stuxnet, למשל, נועד לשבש ציוד תעשייתי מאוד ספציפי. היו פיגועים בעלי מוטיבציה פוליטית שהתפשטו וגרמו לכיבוי רשתות מחשבים גדולות, כולל מחיקה קבועה של קבצים והשחתה של רשומות האתחול הראשי, שתוארו כ"הרג מחשב". התקפות כאלה בוצעו על Sony Pictures Entertainment (25 בנובמבר 2014, תוך שימוש בתוכנות זדוניות הידועות בשם Shamoon או W32.Disttrack) וחברת ארמקו הסעודית (אוגוסט 2012).

סוגי תוכנות זדוניות

• וירוס – תוכנה שיכולה להעתיק את עצמה, או לצרף את עצמה לתוכנה או לקובץ, ולבצע משימות לא רצויות ולא מאושרות שאינן מזוהות בקלות ועלולות להיות מופצות באופן נרחב באמצעות שיתוף קבצים, התקני זיכרון או דואר אלקטרוני.
• תולעת – תוכנת מחשב שיכולה לרוץ באופן עצמאי כשהיא משבטת את עצמה על מחשבים אחרים המחוברים לרשת. היא ידועה בכך שהיא צורכת משאבי מחשב באופן הרסני.
• תוכנת ריגול – תוכנה פולשנית ותקיפה המאפשרת לאסוף את כל המידע בחשאי, דרך חיבור האינטרנט. לעיתים קרובות נעשה בה שימוש למטרות פרסום.
• רשת בוטים (botnet) – רשת של מחשבים נגועים, שפועלת כמו רובוט תחת שליטה של משתמש מרוחק. היא נוהגת לשלוח הודעות ספאם והודעות דיוג בדואר האלקטרוני (phishing mails, אתרים דמויי אתרים מוכרים שנועדו ל-"דוג" את פרטי ההתחברות של המשתמש שיזין את פרטיו).
• Rootkit – אוסף של תוכנות מחשב, לרוב זדוניות, המיועדות לאפשר גישה למחשב או לאזור בתוכנה שאינו מותר בדרך אחרת (למשל, למשתמש שאינו מורשה) ולעתים קרובות מסווה את קיומו או את קיומה של תוכנה אחרת.

פרצת אבטחה

פרצת אבטחה בתוכנה או באתר אינטרנט היא בעיה הנובעת מעצם צורת כתיבת התוכנה או מאילוצים שונים המאפשרים לקראקר להשיג שליטה חלקית או מלאה על המחשב עליו מורצת התוכנה או אתר האינטרנט.

ישנן שלל סיבות מדוע נוצרות אותן פרצות אבטחה ולא מסולקות על ידי המתכנתים שלהן. למשל: רצון להוציא גרסה חדשה של תוכנה עד מועד אחרון מסוים ובשל כך להימנע מבדיקת מצבי שגיאה לא צפויים שונים, חוסר ידע מספיק של המתכנת או חוסר תשומת לב למצב שגיאה מסוים.

אמנם ישנם מומחי אבטחה המועסקים על ידי חברות גדולות, שכל תפקידם הוא לנסות ולמצוא את הפרצות הנמצאות במוצריהן או באתרי האינטרנט שלהן וכך יוכלו לתקנן מבעוד מועד. אולם כנגדם ישנן קבוצות "קראקרים " (המכונים "האקרים בעלי כובע שחור") המנסים להשיג לדוגמה מידע חסוי על לקוחות של חברה גדולה לצורך מכירת המידע למתחרה שלהן.

כסיוע למומחי האבטחה ישנם גם האקרים (המכונים בעלי "כובע לבן") שאף הם מנסים למצוא פרצות אבטחה, בתמורה לתשלום או לפרסום, אך בניגוד לעמיתיהם הם מודיעים באופן מסודר לחברה, החשופה לפרצות, על אופי הפרצות ומיקומן כך שיוכלו לתקן אותן לפני שינוצלו על ידי גורמים עוינים.

פגיעויות – Vulnerabilities

פגיעות היא חולשה שיכולה להיות מנוצלת על ידי גורם עוין / תוקף, לביצוע פעולות לא מורשות בתוך מערכת מחשב.

כדי לנצל פגיעות, על תוקף לכלול לפחות כלי או טכניקה ישים שיכולים להתחבר לחולשה במערכת.

ניהול הפגיעות הוא התרגול המחזורי של זיהוי, סיווג, פיצוי והתמכרות של פגיעויות. נוהג זה מתייחס בדרך כלל לפגיעויות תוכנה במערכות מחשוב.

לרוב סיכון אבטחה מסווג באופן שגוי כפגיעות. השימוש בפגיעות עם אותה משמעות של סיכון יכול להביא לבלבול. הסיכון הוא פוטנציאל ההשפעה המשמעותי הנובע מניצול פגיעות. ישנן נקודות תורפה ללא סיכון: למשל כאשר לנכס המושפע אין ערך. פגיעות עם אחד או יותר מקרים ידועים של התקפות פועלות ומיושמות במלואה מסווגת כפגיעות ניתנת לניצול – פגיעות שלגביה יש ניצול. חלון הפגיעות הוא הזמן בו הוחלף או התבטא חור האבטחה בתוכנות שנפרסו, ועד שהוסרה הגישה, התקנת אבטחה הייתה זמינה / נפרסה או שהתוקף הושבת – ראה התקפה של יום אפס.

באג אבטחה (פגם אבטחה) הוא מושג צר יותר: ישנן פגיעויות שאינן קשורות לתוכנה: פגיעויות של חומרה, אתר, כוח אדם הן דוגמאות לפגיעויות שאינן באגי אבטחת תוכנה.

מבנים בשפות תכנות שקשה להשתמש בהם כראוי יכולים להוות מקור גדול לפגיעויות.

אקספלויט – Exploit

אקספלויט הוא קטע תוכנה או מידע למנצלים פרצת אבטחה או באג בתוכנה או בחומרה. מטרת האקספלויט היא לשנות את ההתנהגות המתוכננת של הרכיב עליו הוא מופעל, כך שתתאים לרצונותיו של התוקף. שימוש באקספלויטים נפוץ על ידי האקרים למטרות הפעלת קוד תוכנה זדוני. לדוגמה, התקנת נוזקה, הסלמת הרשאות, התקנות מניעת שירות – ההופכות את המכשיר לכלי תקיפה בעצמו, ועוד.

אקספלויטים נכתבים ברחבי העולם בידי האקרים בעלי ידע בשפות תכנות שונות, ובחלק מהמקרים הם ניתנים להורדה חופשית ברשת האינטרנט באתרים ייעודיים לנושא. באתרים האלה קיימים בדרך כלל הסברים על מטרת האקספלויט ואופן הרצתו, עניין המייתר במידת מה את הצורך בידיעת שפות תכנות כדי לבצע התקפות האקינג אלו. לכתיבת האקספלויט ולפרסומו קודם מחקר שתכליתו מציאת חולשה באופן הפעולה של המערכת הרצויה, אשר מאפשרת לנצל אותה לצורכי התוקף.

במקרים מסוימים, בעת פרסומו האסקפלויט ינצל חולשת Zero-Day. במקרים כאלה הוא עלול להוות סיכון גבוה על המערכות הרלוונטיות, מכיוון שטרם הופץ עבורו טלאי מתאים.

דרכי פעולה

דרכי הפעלת האקספלויטים הן רבות ובהן:

• הרצה רגילה על המחשב המותקף על ידי התוקף (בדומה להרצת כל תוכנה אחרת). דרך פעולה זו שימושית בין היתר עבור הסלמת הרשאות.
• הרצה מתוך פלטפורמת תוכנה מתאימה, לדוגמה – Metasploit.
• התקפה על מחשב מרוחק. דרך פעולה זו שימושי בין היתר עבור ניצול פרצות בתוכנות שרתמרוחקות.

התקפות אקספלויטים על מחשבים מרוחקים מאופיינות לעיתים קרובות באינטראקציה מסוימת עם המשתמש המותקף או עם המערכת המותקפת, ניצול שדות קלט בעלי יכולת חדירה למחשב מקבל הקלט, וכן שימוש בטכניקות הנדסה חברתית.

במקרים מסוימים, בהתאם לסוג הפרצה שנמצאה במערכת המותקפת, האקספלויט יכול להכיל גם Shellcode. כאשר הוא קיים, ה- Shellcode מאפשר לתוקף לקבוע את הפעולות שיתבצעו על המערכת המותקפת לאחר שנוצלה הפרצה על ידי האקספלויט.

קוד ייעודי (Shellcode) הוא חלק בקוד של אקספלויט המנצל פרצת אבטחה המהווה את ה"מטען המועיל" שיפעל על המחשב הנתקף. הקוד הייעודי בדרך כלל מתחיל בפקודת מעטפת שמאפשרת לשלוט במחשב המותקף. קוד ייעודי בדרך כלל כתוב בשפת מכונה.

יכולת כתיבת קוד ייעודי, יכולת לנתח מה הוא עושה, היכולת להתאים קוד כזה לפלטפורמות שונות, ("חתימת קוד ייעודי מוכר"), והיכולת לפתח ווריאציות שלו כדי להתחמק מתוכנות הגנה (אנטי וירוס וכדומה) – הם מרכיב משמעותי בהגדרת היכולת של מומחה בלוחמת סייבר.

הגנה בסיסית (אישית)

• השתמש במערכת ההפעלה ותוכנות המחשב העדכניות ביותר. מומלץ להגדיר עדכון אוטומטי של מערכת ההפעלה במחשבים ביתיים על מנת לשמור על עדכניותה. בארגון יש לקבוע מדיניות מסודרת של עדכוני מערכת הפעלה.
• חובה להגן על מחשב עם תוכנת אנטי-וירוס אמינה ומעודכנת. יש לרכוש תוכנה זו מגורם מוכר ומהימן. יש להיזהר מתוכנות אנטי-וירוס מזויפות, אשר יכולות בחשאי להשבית כל מוצר, לצרוך את משאבי המחשב ולסכן את הנתונים והפרטיות של המשתמש. בנוסף, כמעט בלתי אפשרי להסיר אותן מהמחשב.
• לא ללחוץ על לינקים חשודים בהודעות אימייל, בחלונות קופצים וברשתות החברתיות
• לא להתקין תוכנות פרוצות או מזויפות
• להקפיד על סיסמאות חזקות ולשמור אותן במקומות בטוחים
• לסרוק לעיתים קרובות את המחשב עם תוכנת אנטי-וירוס מעודכנת ואמינה.

סממנים מחשידים

• חלונות קופצים – במידה שמתקבלים חלונות קופצים גם כשהדפדפן סגור או כשהמחשב אינו מחובר לאינטרנט, ישנו סיכוי גבוה שיש במחשב וירוס.
• הודעות חשודות בדואר היוצא – המטרה של התוכנות הזדוניות על המחשב היא להפיץ את עצמן ולפגוע בכמה שיותר מחשבים. הן יכולות לעשות זאת דרך חשבון האימייל, הסקייפ או הרשת החברתית. לכן, יש לשים לב מדי פעם לדואר היוצא, ולבדוק שאין שם הודעות שבעל המחשב לא שלח אותן. במידה שנמצא משהו חשוד, קודם כל יש להחליף סיסמא.
• המחשב איטי או קורס – תופעות אלה של קריסת המחשב או איטיות המחשב יכולות להיגרם מהגדרות לא נכונות, חומרה ישנה או זיכרון עמוס. אך בנוסף, יכול להיות שיש תוכנה זדונית במחשב. כדי לבדוק מה הסיבה לבעיה יש לשים לב לקצב הופעת התופעות. אם הן הופיעו בהדרגה, סביר להניח שמדובר בחומרה ישנה או זיכרון עמוס, אך אם התופעות הופיעו בין לילה, קיים סיכוי סביר שהסיבה היא תוכנה זדונית.
• פונקציות בסיסיות לא עובדות – אם פתאום אין אפשרות לפתוח פונקציות בסיסיות במחשב, למשל את "מנהל המשימות" המראה אילו תוכנות פועלות במחשב בכל רגע נתון, יתכן שהמחשב נדבק בווירוס שלא רוצה שיגלו אותו.
• אין תופעות – גם אם אין כלל סימנים חריגים לא ניתן להניח כי מחשבך נקי מתוכנות זדוניות. ככל שהתוכנה הזדונית הנמצאת במחשב מתוחכמת יותר, קשה יותר להבחין בה. ישנן תוכנות זדוניות בעלות מנגנון המסיר וירוסים אחרים הקיימים במחשב כדי למנוע מתוכנות האבטחה להציג אזהרות ולמשוך את תשומת לבו של המשתמש לנושא האבטחה.