הגנת סייבר על פי איינשטיין

צוותי האבטחה במרכזי SOC נאלצים להתמודד מדי יום עם הצפה של אלפי התראות, שרובן התראות שווא. המפתח להגנת סייבר מהסוג החדש טמון באוטומציה של תהליך התחקור

שרון מלאבר IsraelDefense

המודעות לאיום הסייבר הולכת וגדלה ככל שמתרבים הפרסומים על מתקפות סייבר שהצליחו להסב נזק לחברות מסחריות ולארגונים ממשלתיים, בעיקר כאלה הנתפשים כחסינים מפני פריצה. מנושא שנחשב בעבר לטכנולוגי, ואשר לכן טופל בידי אנשי המחשוב בארגון, הפכה הגנת הסייבר לנושא קריטי שמנוהל מקרוב על ידי מקבלי ההחלטות הבכירים ברוב הארגונים. מתקפות סייבר עלולות להביא לגניבת מידע, דליפת נתונים של לקוחות, ולגרום לנזק עסקי ניכר ופגיעה תדמיתית קשה, שעלותם עלולה להגיע למיליוני דולרים רבים.

בסקר שנערך לאחרונה על ידי ISACA וחברת RSA נמצא שכ- 75% מאנשי אבטחת המידע מניחים שארגונם יהווה מטרה למתקפת סייבר כבר במהלך 2016. זהו אינו נתון אופטימי, וישנן כמה סיבות עיקריות לכך שחברות וארגונים ממשלתיים, למרות המאמצים והמשאבים הרבים שהם משקיעים, עדיין מפסידים בקרב נגד התקפות סייבר מתקדמות.

צוותי האבטחה במרכזי שליטה ובקרה לאירועי סייבר (SOC) מצוידים בדרך כלל בעשרות מוצרים ופתרונות ניטור והגנה מהטובים מסוגם בעולם. הבעיה היא שכל אחד מהפתרונות האלה פותח במטרה לתת מענה לווקטור תקיפה מסוים, אך הם לא "מדברים" אחד עם השני ואינם מסוגלים לשתף מודיעין בינם לבין עצמם, דבר המהווה תנאי-מוקדם לזיהוי המתקפות המורכבות והמתוחכמות של היום.

כתוצאה מכך, צוותי האבטחה במרכזי SOC נאלצים להתמודד מדי יום עם הצפה של אלפי התראות, שרובן התראות שווא, המגיעות מעשרות מערכות הגנה שונות ונפרדות. למעשה, ארגון ממוצע מבזבז בשנה כ- 1.3 מיליון דולר בממוצע על טיפול בהתראות שווא, בעוד שבגלל מחסור במשאבים, בממוצע רק 4% מההתראות נחקרות לעומק. יתרה מכך, לעתים קרובות ארגונים מצליחים לגלות שהם נתונים תחת מתקפת סייבר רק כמה חודשים לאחר שההתקפה החלה.

אם מוסיפים לכך את המחסור הכללי באנליסטים מיומנים (על פי סקר של חברת RSA, 59% מהמועמדים לעבודה בתחום הסייבר ב- 2015 לא היו מוכשרים לתפקיד), קל להבין כיצד קורה שרוב מתקפות הסייבר מתגלות מאוחר מדי. ככלל, ישנו פער הולך וגדל בין שיטות הפעולה של התוקפים לבין דרכי ההתגוננות של ארגונים. פושעי הסייבר מכירים היטב את מערכי ההגנה הנפוצים בארגונים, והם מתאימים את צעדי ההתקפה שלהם כדי לעקוף אותם בעורמה. על כן, שינוי המאזן מול התוקפים דורש שינוי גישה יסודי.

אלברט איינשטיין אמר כי "הגדרת אי-השפיות זה לעשות את אותם הדברים ולצפות לתוצאות שונות". ארגונים מוכרחים לאמץ פרספקטיבה חדשה לגמרי בהגנה מפני מתקפות סייבר - גישה מבוססת?מודיעין, אשר אוספת ראיות מווקטורים שונים של תקיפה ובו זמנית מספקת לאנליסטים את המודיעין לו הם זקוקים כדי לחסום מתקפות מתוחכמות וחשאיות נגד הארגון. ראש הטופס

המפתח להגנת סייבר מהסוג החדש טמון באוטומציה של תהליך התחקור, ובאיסוף מקסימום של ראיות ממקורות רבים והצלבתם כדי לזהות במהירות את ההתקפות.

תהליכי התחקור שמבוצעים כיום ברוב הארגונים על ידי אנליסטים לא מסוגלים לעמוד בקצב הגידול האקספוננציאלי של מרחב התקיפה ושל ההתראות המגיעות מפתרונות האבטחה הנקודתיים. רק אוטומציה של תהליכי הגילוי והתחקור תאפשר לצוותי ה- SOC להתמודד עם האתגרים הקשים ביותר שלהם - הצפה של התראות, זמן ארוך עד הזיהוי של ההתקפות, ריבוי התראות שווא וטעויות אנוש.

עם זאת, חשוב לזכור כי למרות שניתוח אוטומטי מגביר את היעילות התפעולית ועוזר להתמודד עם המחסור באנליסטים מיומנים, בהרבה מקרים אין תחליף לכושר השיפוט ולאינטואיציה האנושית. לפיכך חשוב לשלב בין אוטומציה לבין מענה אנושי, באופן שיאפשר לצוותי ה- SOC להגן על נכסי הארגון בצורה הטובה ביותר. בעזרת הטכנולוגיה המתאימה, ניתן למקסם את יכולות המכונה להנגיש לאנליסט תובנות שמבהירות את סיפור ההתקפה, ובמידת הצורך לאפשר לאנליסט להמשיך לתחקר ולהתמקד רק במה שבאמת דורש את המיומנויות והניסיון שלו במקום לטבוע בהרבה "רעש" שאינו רלוונטי.

במילים אחרות, אוטומציה מורידה את מחסום המיומנות (skills barrier) ומפשטת את תהליך החקירה מכיוון שהמידע מגיע אל האנליסט כשהוא נגיש ומאורגן בצורה שניתן למצות אותו ולהפיק ממנו תובנות במהירות. אם היה נדרש לנושא, אלברט איינשטיין בוודאי היה אומר שזו כיום הגישה השפויה היחידה להגנת סייבר.