למנוע את המתקפה הבאה: הכירו את ה-Security Intelligence

איומי הסייבר רק הולכים ומשתכללים, ומנהלי IT מבינים שכדי להישאר כמה צעדים לפני גורמים זדוניים עליהם להשתמש בכלים יצירתיים. המערכות החדשות משקפות תפיסת ניהול אבטחה שונה ויכולות לעשות את ההבדל בין מתקפה שנחסמה לבין אסון אבטחה

Activists Protest ACTA Proposal

צלם/תמונה:  Adam Berry/ Getty Images Israel

מאת אלון בילורובסקי, מנהל קבוצת Security Solutions, יבמ ישראל

עברייני סייבר כבר מזמן לא מסתפקים במטרות קטנות וקלות. הם נושאים עיניהם אל מאגרי המידע העצומים של ארגונים, שעמוסים בכל טוב כמו פרטי לקוחות, פרטי כרטיסי אשראי, מידע רגיש ו-BI שיכול לחשוף את מצב העסק שלכם.

גם תחום אבטחת המידע הארגונית כבר הרבה יותר מורכב ועמוק. העצות ששמענו בשנות ה-90, כמו "אל תתנו לאף אחד את הסיסמה שלכם", כבר לא עובדות, וכיום נדרשות מערכות שמנתחות כמויות אדירות של מידע במטרה לזהות תקיפה מבחוץ ומבפנים.

תשתיות הענן נמצאות בתקופת פריחה, וזה נפלא ומבעית בו זמנית. רק דמיינו את האתגר לשמור על המידע כשכבר לא מדובר על רשת ארגונית סגורה, אלא על רשת שחלקיה מבוזרים ורמת האבטחה בהם משתנה. במילים אחרות, יכול להיות שהמידע הכי רגיש שלכם הרבה יותר חשוף ממה שדמיינתם.

הצורך בהגנה על המידע היקר שלכם ברור, השאלה היחידה היא איך עושים את זה. ארגון גדול יפעיל עשרות כלי אבטחת מידע, כל אחד מספק שונה, כאשר כל כלי כזה הוא ייעודי ולרוב פותר רק בעיה אחת באופן נקודתי. הצורך הזה הביא בעשור האחרון לפיתוח מערכות מסוג SIEM (Security Information and Event Management), שמרכזות את המידע מכלל מערכות האבטחה ומציגות למנהלי ה-IT תמונת מצב על אבטחת המידע הארגונית, שנגזרת מכל הנתונים שמייצר המערך המורכב הזה.

עד לא מזמן הטמעה ויישום של מערכות אלה הייתה משימה בלתי נגמרת שכרוכה בעלויות גבוהות, בעיקר בשל מחסור חמור בכוח אדם מיומן, השקעות בלתי נגמרות בשירותים מקצועיים ומחסור בידע בהפקת ערך מהמערכות הללו. נוכח כל אלו התפתחה תפיסת ניהול אבטחה חדשה שמכונה "Security Intelligence".

מדובר בתחום שמשלב בין מודיעין סייבר לבין מערכות אבטחת המידע של הארגון. השילוב מעניק למערכות ה-SIEM המסורתיות שכבות אנליטיות נוספות המסייעות לארגון להתכונן טוב יותר למתקפה הבאה, שכמובן צפויה להיות מתוחכמת והרסנית יותר מבעבר.

מאגר עולמי של אירועי אבטחת מידע

בואו נתעכב רגע על אופן הפעילות של מערכת SIEM. מדובר במערכת שאוספת נתונים מיומן פעילות המערכת ("Logs"), מהתקני רשת ומאפליקציות, ויש לה מודולים שעוקבים אחר פעילות מערכת ההפעלה, פעילות משתמשים, ואפילו התנהגות חשודה מצד משתמשים. היא מנתחת בזמן אמת את הנתונים ומאפשרת זיהוי מהיר של תבניות התנהגות חשודות וצמצום פעילות זדונית או מניעתה. נוסף על יכולות בסיסיות אלה, ישנן גם מערכות שמשתמשות ביחידות עיבוד אירועים ברשת הארגונית: הן מסוגלות לנתח בזמן אמת Network Flows, תנועה ב-Application Layer (ברמת ה-Packets) ותבניות התנהגות חשודות של משתמשים בארגון (UBA – User Behavior Analytics).

יכולות מתקדמות נוספות של מערכת כזאת הן אינטגרציה עם מערכות כגון Threat Intelligence שאוספות מידע מודיעיני לגבי פעילות זדונית באינטרנט וב-Deep web; עם מערכות ניהול פגיעויות (Vulnerability Management); עם מערכות ניהול סיכונים; עם מערכות פורנזיקה; ועם מערכות תגובה מהירה (Incident Response).

מערכת SIEM שמציעה גם שירות Threat Intelligence מאפשרת לארגון לפנות למאגר עולמי של אירועי אבטחת מידע, ולשתף במאגר את פרטי האירוע שלו. כך למשל, אם ארגון נפגע מ-Malware כלשהו שכבר תקף במקום אחר בעולם, הארגון יכול לקבל Runbook – נוהל תגובה המכיל סט פקודות שיסייע לו להתמודד בהצלחה ובמהירות עם המתקפה – ולקצר משמעותית את זמן התגובה ואת סטיית התקן בטיפול באירוע.

המערכת מרכזת את שטף המידע, על כל ערוציו האפשריים, לממשק ניטור מאוחד שמהווה מעין לוח מחוונים שמאפשר למקבלי ההחלטות הקשות לקרוא, לנתח ולהבין בזמן אמת את סיכוני האבטחה האפשריים. זה יכול להיות בדיוק ההבדל בין מתקפה שנחסמה לבין אסון אבטחה.

בקרוב: מערכות חקירה ויזואלית

ברבעון הקרוב מתוכננות להיכנס לתחום גם מערכות Visual Analytics – מערכות ניתוח מידע וחקירה מודיעינית-חזותית, שיעזרו לחקור אירוע אבטחת מידע על ידי הצגת שרשרת התקיפה בצורה ויזואלית. מערכות אלה יכולות לסייע רבות להבנת התמונה הכוללת ולירידה לשורש הבעיה: להבין כיצד והיכן החל האירוע ומה השפעתו על הארגון. שלב נוסף בשכלול המערכות האלה הוא עיבוד שפה טבעית (NLP) שיאפשר דיאלוג מילולי עם מערכות ה-Security Intelligence, כמו עוזר בינה מלאכותית שמסייע לחוקר בטיפול באירוע.

יש סיבה טובה לכך ששוק ה-Security Intelligence גדל במהירות: התקפות סייבר על ארגונים הופכות תכופות יותר ויותר ובמקביל רמת התחכום והסכנה שלהם עולה. מנהלי IT מבינים שכדי להישאר צעד אחד לפני גורמים זדוניים, עליהם להשתמש בכלים יצירתיים ולא לינאריים. מערכת אבטחה היא הכרחית, אך חשוב לזכור שלא כל ארגון זהה למשנהו ולא לכולם צרכים זהים. מערכת טובה תאפשר לארגון שלכם להפעיל רק את המודולים שנחוצים לו (וגם לשלם רק עליהם).

הכתבה בחסות חטיבת הסייבר של IBM ישראל

סקר של גרטנר קובע כי IBM QRadar מובילה גם ב-2016 בקטגוריית ה-SIEM (זו השנה השמינית). IBM QRadar היא פלטפורמת Security Intelligence מתקדמת לגילוי איומי אבטחת מידע וחדירות, וניטרולם.
לפרטים נוספים על QRadar, לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 Comments on "למנוע את המתקפה הבאה: הכירו את ה-Security Intelligence"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Gzcdcd
Guest

לא הבנתי מה יש בכתבה הזאת חוץ מפרסומת ל-IBM

Fsociety
Guest

ככה זה כשמתרגמים כתבות בגוגל טרנסלייט

wpDiscuz

תגיות לכתבה: