מחקר: רק 0.02 אחוז מאירועי הסייבר בארגון הם מקרי אמת
דו"ח חדש שמפרסמת חברת CloudLock מעלה כי רק 1 מכל 5,000 אירועים בארגון מייצג התנהגות חשודה, ורק חלק קטן מאירועים חשודים אלה הוא אירוע תקיפת סייבר אמיתי
מתי התרעת אבטחה היא למעשה התרעת שווא? במציאות בה תקיפות סייבר על ארגונים הפכו כבר לעניין שבשגרה, צוותי IT ואבטחת המידע מתמודדים עם עומסים אדירים של אירועים חשודים ודפוסי פעולה חריגים מצד משתמשים ומתקשים לבודד ולהתמקד באותם איומים אמיתיים. הערכה זו מתחזקת על רקע נתונים העולים ממחקר חדש שמפרסמת CloudLock CyberLab, תחת הכותרת "The Cloud Threat Funnel".המחקר, שמבוסס על ניתוח התנהגות של 10 מיליון משתמשים, מיליארד קבצי מידע ו – 140,000 יישומים מבוססי ענן, חושף דפוסי התנהגות מובהקים של משתמשים בארגון בכל הקשור לגישה שלהם למערכות המידע הארגוני בענן. לאור ניתוח דפוסים אלה, ניתן, על פי המחקר, לבסס מודל חדש המאפשר לבודד את איומי הסייבר האמיתיים מתוך "רעשי הרקע" הכוללים "סתם" התנהגות חריגה או לא שגרתית של משתמשים בארגון.
המחקר מצביע על כך ש- 99.6 אחוז מהמשתמשים בארגון מתחברים לפלטפורמת הענן הארגונית ממדינה אחת או שתיים בשבוע נתון. בהתבסס על דפוס זה, אנשי אבטחת המידע יכולים לבודד את אותן פעולות חריגות מתוך ה – Long tail של המשתמשים.
לדוגמא, משתמש אחד מתוך 20,000 משתמשים מתחבר לענן הארגוני משש מדינות או יותר בשבוע מסוים. היכולת לאתר דפוס פעולה זה, משולה למציאת מחט בערימת שחת. באמצעות המודל החדש, הצליחו אנשי החברה לבצע קורלציה בין התנהגות לא שגרתית זו לבין פעולות חשודות המוגדרות בסיכון גבוה ולבודד חשבונות משתמשים שנפרצו ועלולים לסכן את הארגון.
המחקר מעלה מספר נתונים מעניינים:
0.02 אחוז (יחס של אחד ל – 5,000 מקרים) מכלל האירועים בארגון מייצגים התנהגות חשודה.
קיימים הבדלים מהותיים בהיקף הפעילות החשודה בין משתמשים שונים בארגון, כאשר עובדים הממוקמים בראש הרשימה של פעולות הנחשבות חשודות מבצעים פי 227 פעולות חריגות מאשר המשתמש הממוצע.
בארגון ממוצע נרשמים 5,732 אירועים חשודים מדי חודש כאשר מתוכם 58% הם אירועים חריגים במיוחד.
כ- 8% מכלל הניסיונות לכניסה של משתמשים (login) נכשלים או נתקלים במנגנוני אבטחה נוספים, כגון login challenge. מתוכם, 1.3% הם ניסיונות כניסה ממדינות המסומנות ברמת סיכון גבוהה.
מתוך כלל האירועים שהארגון מגדיר כ כ"חשודים", 11% הם תוצאה של פעולות שנעשות על ידי מנהלים (Admin).
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו
כיצד פועלת מתודולוגיית ה - Cloud Threat Funnel?
התהליך מתחיל בניתוח התנהגות המשתמש הנשען על איסוף וניתוח מעמיק של מידע מדויק ממגוון רחב של מקורות. נתונים אלו מועשרים במקורות מידע מודיעיני חיצוניים, ועוברים תהליך אלגוריתמי לזיהוי חריגות כדי להפחית את הסיכוי למקרי false-positive.
השלב הבא מתמקד בפעילות החריגות שזוהו, שאינן מתיישבות עם דפוסי הפעילות הנורמליים, כמו למשל קפיצה פתאומית בהיקפי פעילות. את הפעילות החריגה מזקקים ומבודדים לכדי פעילויות חשודות, ע"י הצלבה עם פעילויות של גישה למידע ויישומים רגישים והפעלה של חוקים מיוחדים לזיהוי פעילות חשודה. מודל זה מפחית משמעותית את מספר מקרי התרעות השווא, מוריד את היחס בין הסיגנל לרעש, וכך מאפשר למומחי אבטחת מידע למקד מאמץ רק באיומים אמיתיים.
מה השלב הבא?
כדי ליישם את שיטת Cloud Threat Funnel ארגונים נדרשים להטמיע מודל אבטחה מתאים המאפשר לצוות אבטחת המידע יכולות הערכה, מניעה, מעקב ומענה מתאימים. מרכיב חשוב במכלול זה הוא יכולות מודיעיניות, הבנה לגבי נקודות החולשה בענן, מחקר סייבר ומידע לגבי מעגלי העבודה ומדיניות אכיפה.
מתן עדיפות למרכיבים אלה הוא חיוני כדי למנוע עומס שוחק של אירועים הנחשבים כחשודים. יש להתחיל ביצירת רשימה של אירועים מלאה וצמצום המיקוד בתוקפי סייבר ופעילויות משתמשים המסתמנים כאירועי אמת וכך לאפשר קבלת החלטות מבוססות במהירות רבה יותר מאשר בעבר ומניעת חדירות במאמץ קטן יותר.
אקו"ם