מהפכת האבטחה שמחוללת תופעת הביג דאטה
עולם אבטחת המחשבים שאנו מכירים יעבור שינוי משמעותי ביותר בשנים הקרובות. הסיבה לכך היא כמות המידע הענקית איתה יתמודדו ארגונים. כמות זאת תחייב מערכות אבטחה גמישות ופתוחות שיוכלו להתמודד עם סיכונים רבים ולא ידועים בזמן אמת
ההערכה היא כי לתהליכי ניתוח ביג דאטה תהיה השפעה מכרעת על רוב קטגוריות המוצרים בשוק אבטחת המידע בעשור השנים הקרוב, ובהן מערכות SIEM ((ר"ת של Security Information and Event Management) תפקידן של מערכות אלו הוא ללקט מידע מהלוגים שמיוצרים במערכות האבטחה ובציוד הרשת הרב בארגון. המערכות אוספות מידע זה, מתעדפות אותו, מנתחות אותו, מצליבות אותו ומאפשרות לראות אותו בצורה בעלת ערך מוסף רב.
למשל, ניתן לזהות פרצות אבטחה או אירועי אבטחה, שמתרחשים כמעט בזמן אמת. באמצעות ה-SIEM ניתן להשתמש בלוגים רבים על-מנת לקבל תמונת אבטחה כוללת ומדויקת. פעמים רבות, לוג בודד הוא חסר משמעות ורק התמונה הגדולה מאפשרת לזהות כשלים ופרצות), ניטור רשת, אימות משתמשים והרשאות, ניהול זהויות, גילוי הונאות, סריקת מחשבים וניהול סיכונים.
כבר בשנה הקרובה נראה חברות אבטחת מידע שמציעות פתרונות ביג דאטה מסחריים. אם בעבר, כלים מתקדמים לניתוח מידע שהוטמעו במוקדי אבטחת המידע, נבנו לפי הזמנה, ב-2013 יחל תהליך מסחור של טכנולוגיות ביג דאטה הנכללות במוצרי אבטחה, מגמה שתעצב מחדש גישות אבטחה ופתרונות תוכנה ותייצר הוצאות כספיות בשנים הקרובות. בטווח הארוך יותר, ישנה הביג דאטה את טיבם של מנגנוני האבטחה הקונבנציונליים הפועלים כנגד תוכנות זדוניות, מונעים אובדן מידע ויוצרים "חומות אש" למיניהן. במהלך שלוש עד חמש השנים הקרובות, נראה המשך פיתוח של כלים לניתוח נתונים אשר יאפשרו מגוון של יכולות חיזוי מתקדמות ובקרות הגנה בזמן אמת.
העולם העסקי של ימינו, הגדוש במידע ומבוסס על מחשוב ענן ומכשירים ניידים, הפך למיושנים את נהלי האבטחה התלויים במערכות הגנה היקפית ואבטחה סטטית, שלצורך פעולתן התקינה נדרש ידע מוקדם על איומים. זאת הסיבה לכך שמנהלי אבטחה בוחרים לעבור למודל המבוסס על מודיעין – מודל גמיש, חוקר הקשרים ומודע לסיכונים אשר מסייע לארגונים להתגונן מפני איומים ידועים. מדובר בגישת אבטחה מושכלת הנתמכת בידי כלים לניתוח ביג דאטה ומשלבת הערכות סיכון דינמיות ושיתוף מידע אודות איומים וטכניקות התקפה.
להלן מספר הנחיות בסיסיות לארגונים המבקשים לתכנן מעבר להגנה מבוססת ביג דאטה, כחלק מתוכנית כוללת לאבטחה מבוססת מודיעין. 1. אסטרטגיה הוליסטית לאבטחת סייבר: יש לתכנן את ההגנה בהתאם לדרישות, לסיכונים ולאיומים הספציפיים של הארגון. 2. ארכיטקטורה למידע המשותף: מכיוון שניתוח הביג דאטה מתבסס על איסוף מידע ממקורות שונים בפורמטים רבים, יש להקים ארכיטקטורה אחת המאפשרת ביצוע תהליכי איסוף, מדידה, ניתוח ושיתוף המידע. 3. ארכיטקטורת אבטחה מאוחדת: ארגונים צריכים להחליט באיזה מוצרי אבטחה הם ימשיכו לתמוך ולהשתמש בשנים הקרובות. זאת מאחר וכל מוצר מציע מבנה נתונים משלו, שבעתיד הקרוב יצטרך להשתלב במסגרת מאוחדת לניתוח נתונים.
4. כלי אבטחה פתוחים וניתנים להרחבה עבור הביג דאטה: ארגונים נדרשים להבטיח שהשקעות שוטפות במוצרי אבטחה יתמקדו בטכנולוגיות המשתמשות בגישות גמישות לניתוח נתונים ולא בכלים סטטיים המתייחסים לגבולות הרשת ולאיומים המוכרים. על כלי הניתוח החדשים להציע גמישות מבנית שתאפשר שינויים ככל שהעסק, טכנולוגיית המידע או איומי האבטחה, ילכו ויתפתחו. 5. חיזוק המיומנויות המדעיות של צוות האבטחה: פתרונות אבטחה לביג דאטה יסופקו ודאי בזמן, אך צוותי האבטחה בארגונים עלולים שלא להיות מוכנים כהלכה לשינויים. מדעני מידע עם ידע מקצועי בתחום האבטחה הם מצרך נדיר והביקוש להעסקתם ימשיך להיות גבוה. זאת הסיבה לכך שארגונים רבים נוטים להיעזר בגורמים חיצוניים בכדי להוסיף על היכולת העצמית לניתוח אבטחה.
6. מודיעין על איומים חיצוניים: יש להרחיב תכניות פנימיות לניתוח אבטחה באמצעות הכללת מודיעין על איומים חיצוניים. יש לבצע הערכה של מידע המגיע רק ממקורות מהימנים ורלוונטיים.
כאמור שילוב הביג דאטה בנוהלי האבטחה יספק תמונה ברורה יותר של סביבת ה-IT (Information Technology), ישפר את היכולת להבחין בין פעולות חשודות לרגילות, יגביר את האמון במערכות ויעצים באופן משמעותי את היכולת להגיב לאירועים. המשחק משתנה אל מול עינינו: יותר ויותר נתונים מוכנסים לאינטרנט באופן אוטומטי, ומגמה זאת תמשיך ותצבור תאוצה. כלי ניתוח אבטחה שעבד באופן נפלא לפני שנתיים או שלוש, כבר לא ממלא היום את תפקידו. ארגונים כיום צריכים לעבור על הרבה יותר נתונים, בזמן שהאיומים הופכים למרומזים מאי פעם.
הביג דאטה משנה את טיבם ומתייחס למוגבלותם של תחומי האבטחה הקונבנציונליים, כמו חומות אש ומאבק בתוכנות זדוניות, כמו גם הליכי זיהוי והיתרי גישה. הוא מיושם בדרכים חדשות המאפשרות למיומנויות המתאפיינת בתאימות, למידה עצמית והתבססות על ניתוח סיכונים, להשיג הערכה מתמדת של האבטחה ולהתאים את רמת ההגנה לשינויים הסביבתיים ולתנאי הסיכון. את גילוי האיומים ומעשי המרמה ניתן יהיה לחזות מראש, ככל שיתקיים מאגר עשיר יותר של פרטי המשתמש וניתן יהיה להרכיב מהמידע המורכב שהשגנו תמונת עולם לגבי מה נחשב לנורמאלי לעומת מה נראה כסוטה מהתקן. אין ספק כי כבר בשנה הקרובה, ארגונים מהשורה הראשונה עם יכולות אבטחה מתקדמות יאמצו מודלים לאבטחה מודיעינית המבוססת על ניתוחי ביג דאטה.
הכותב הוא מנהל מחקר וחדשנות ב- RSA, חטיבת האבטחה של EMC
נא להמתין לטעינת התגובות
אקו"ם