טרנד: שירותי חמ"ל סייבר מנוהלים
חברת טריפלסייבר רוצה לפתור את בעיית היצף המידע בחמ"לי סייבר באמצעות מנוע אנליטי שיודע להמליץ לאנליסט האנושי מה לעשות
הצורך להתגונן בפני התקפות סייבר מביא ארגונים רבים, אלו שנמצאים תחת רגולציה וגם אלו שאינם, לתובנה שהם צריכים לנהל חדר מצב בסייבר. מדובר בחמ"ל דומה מאד באופי שלו לכזה מעולם התוכן הצבאי או המוניצפלי, שמטרתו ניהול האירועים במרחב הקיברנטי.
חמ"ל כזה לרוב משופע בטכנולוגיות ומערכות מסוגים שונים שאוספות מידע ממגוון סנסורים ברשת הלקוח וממקורות מידע חיצוניים כמו פידים של מודיעין. בחמ"ל טיפוסי כל המידע עובר אגרגציה ומגיע למסך מרכזי שמאפשר לאנאליסטים אנושיים לעשות הקשרים ולחפש דפוסים במידע. הדפוסים הללו אמורים להצביע על התקפת סייבר.
"הבעיה מתחילה בהיצף המידע", אומר נדב תבור, מנכ"ל חברת טריפלסייבר [triplecyber] המספקת שירותי חמ"ל סייבר מנוהלים. "כל סנסור ברשת מציף מאות או אלפי התרעות ביום. זה יוצר מצב שבו מגיעות לחמ"ל מליוני התרעות ביום מכל הסנסורים ברשת ומפידים חיצוניים. אנאליסט אנושי לא יכול לטפל בכולן. אז בפועל, מרדדים. את ההרתעות הלא קריטיות מנקים כדי שהאנליסטים יוכלו להשתלט לפחות על המידע הקריטי."
הבעיה במצב שנוצר בשטח היא שהאקרים מנצלים את כסות היצף המידע. לצורך הדיון נחלק את ההתקפות לשני סוגים. יש התקפות בשיטת 'מצליח' - אלו התקפות בקנה מידע גדול אבל ללא תחכום רב שמבוססת על הצלחה יחסית. אם הותקפו מליוני מחשבים בעולם, מספיק שאחוז קטן לא יהיה מוגן בכלים בסיסיים כדי להחזיר את עלות ההתקפה.
הסוג השני הוא התקפות מתוחכמות תחת הכותרת APT. אלו התקפות שמיועדות להשיג מידע מסוים או לגרום לנזק מסוים. והתוקף לא יפסיק עד שהוא יצליח. ההאקרים שעומדים מאחרי התקפות כאלו מכירים את בעיית היצף המידע בחמ"לים ואת המציאות שבה מנקים התרעות לא חשובות, ושם בדיוק הם מתחבאים.
"אם אתה מתעלם מסריקת פורטים פשוטה, אולי פספסת את אחד השלבים הראשונים בהתקפת APT", מסביר יענקל'ה הרן,יו"ר טריפלסייבר ושותף מייסד יחד עם נדב. "אנחנו מבססים את הפעילות שלנו על מנוע אנליטי אוטומטי שעובר על כל ההתרעות. אצלנו לא זורקים אף התרעה הצידה. המנוע עובר על כל ההתרעות מהסנסורים (לוגים) ומציף המלצות לאנאליסטים. אפשר לחשוב עליו כעל אנאליסט ממוחשב שעוזר לאנאליסט האנושי".
נדב ויענקל'ה מדגישים כי לא מדובר בפתרון שמטרתו להחליף את האנליסט האנושי. "השימוש במנוע אנליטי מאפשר לנו לספק שירותי חמ"ל מנוהלים להרבה חברות מחמ"ל אחד", מסביר תבור. "המנוע האנליטי האוטומטי הכי מתקדם היום בשוק, ועשינו מחקר כך שאנו מכירים מנועים כאלו, לא מסוגל להגיע ליכולת ההקשה של בן אדם. הוא יכול לעזור להגיע לתובנות."
אם בוחנים את האירועים הגדולים בעולם הסייבר כגון הפריצה לטארגט, רואים כי מדובר בתופעה שחוזרת על עצמה - חברות מקימות מערך הגנה בסייבר בעשרות או מאות מליוני דולרים, מטמיעות את מיטב הטכנולוגיות, וברגע האמת לא רואות את שתי ההתרעות הבודדות שמעידות על פעולה חשודה ברשת. "בדיוק את המצבים האלו אנחנו רוצים לפתור", אומר הרן. "ארגון, ולא משנה מה הגודל שלו, לא מסוגל לתפעל חמ"ל סייבר ביעילות לאורך זמן. זו פעולה יקרה שדורשת כוח אדם מיומן ויכולת לזהות דפוסים והקשרים בתוך מליוני שורות של התרעות מסנסורים שונים.
"אנחנו גם פועלים להקים חמ"לים במדינות אחרות שישרתו את המגזר העסקי. בצורה כזו נוכל לדעת על איומים שמתפשטים על פני הגלובוס ולהתריע בזמן ללקוחות. אם אירוע מתחיל במגזר הפיננסי באירופה או דרום אמריקה, ואתה מזהה אותו מהר בגלל שיש לך שם נוכחות, הלקוחות בשאר המדינות מרוויחים התרעה מוקדמת."
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם