לקראת ׳׳תקיפת אנונימוס׳׳ מחר – כיצד מתגוננים נכון? [דעה]

ההתעסקות שלנו בתקיפה העתידית של אנונימוס מחר ופעולות המנע שרבים כבר יישמו, מלמדת שמספיק האיום עצמו כדי לגרום לנו כבר לנזק. איך מתגוננים נכון?

opisrael

מאת זיו אמבר, יזם בתחום הסייבר סיקיורטי ואחד ממייסדי Secbi.

אני מצטער, אבל הנה אנחנו שוב נופלים לאותה מלכודת, וכן, אין חדש תחת השמש גם אחרי מספר שנים. אולי אלו שאריות מהאמא הפולניה שלנו – רק שניזהר, אולי בגלל אגו – ״לא הם שיפילו אותי״, ואולי כל סיבה אחרת. אבל מה זה משנה כי בסופו של דבר הם הצליחו: אנחנו מושבתים. בין אם מתוך בחירה כפעולת מנע או בעקבות התקפה יזומה של הצד השני.

עוד בשנת 2012 בנק דיסקונט והבנק הבינלאומי חסמו גישה מחו”ל ללב השירות הבנקאי שלהם, תוך כדי פגיעה בפעילות העסקית באופן מודע.

במהלך שנה שעברה שוב אותו סיפור, רק הפעם אירגון אחר, משרד החינוך השבית את האתר שלו באופן יזום… והם לא היחידים.

אז איך זה שמדינה שמרכזת בתוכה כל כך הרבה ידע באבטחת מידע, שמצמיחה כל שנה מאות חברות היי-טק המפתחות את מיטב הטכנולוגיה, עדיין עומדת על הרגלים מתוחה בעקבות התראות של האקרים אלמונים על תקיפה? כשחושבים על זה, ורואים את המספרים שחלק מהחברות מספקות על כמות האירועים שהן חוות ביום יום (חברת חשמל מדווחת על 10,000 תקיפות בשעה בממוצע), נשאלת השאלה מה עוד ניתן לעשות, הרי לא יתכן שאין לנו דרך אחרת להתמודד עם זה.

בשישי האחרון חגגנו אירוע בו שרדנו עוד צורר היסטורי בארוחת חג גדולה, אז היום עם כל הטכנולוגיה שיש לנו חייבת להיות אלטרנטיבה למצב המתגונן שלנו. הרי מה אנחנו מבקשים, לעבור עוד התקפה בשלום? מילא חציית ים סוף כשפרעה מאחורינו, אבל אם פתרנו את הבעיה של איך הכי מהר וקל להגיע לארוחת החג כשכל המדינה בדרכים בטח אפשר להתמודד גם עם התקפות סייבר. וכשחושבים על זה, מה באמת השתנה בשנים האחרונות ביכולת שלנו לנווט לארוחת החג? הרי המפות הן אותן מפות, ה-GPS קיים כבר לא מעט שנים, וזה לא שכמות הרכבים ירדה.

מה שהשתנה זה WAZE. ברור, לא? האמת, למשתמש זה מוצר פשוט, אבל כשחושבים על זה יש המון טכנולוגיה מאחורי המוצר הנהדר הזה. WAZE בעצם לקחו את כלי הניווט שקיימים שנים וחיברו לביג-דאטה: כמות התנועה על הכביש, המהירות הממוצעת שלי, משטרה, תאונות, עבודות בכביש, מידע מהנהגים שסביבי וכל כך הרבה מידע נוסף. כל זה בשביל לעזור לי להגיע ליעד הכי מהר.

<<< אנונימוס: ב-7 באפריל נפתח במתקפה על אתרים ישראלים

אז איך זה קשור לתקיפות הבאות?

הבעיה שלנו באבטחת מידע לא שונה מהותית מזו שסבלנו ממנה עד הופעת WAZE כשרצינו להגיע לארוחת החג. אנחנו צריכים לנווט את הארגון אל היעד: מקום מוגן, בנתיב הכי מהיר וקל. במילים אחרות – לא להפריע לו לעבוד. ואם ננסה ללמוד מההצלחה של WAZE, ואני מרשה לעצמי להניח שכל מי שקורא את המילים הללו השתמש ב-WAZE וחווה את היתרונות בשימוש, אנחנו יכולים לאמץ את אותם עקרונות. כדי להלחם בתקיפות אנחנו צריכים לראות את המפה המלאה על כלל הפרטים, ולא לנסוע באותו מסלול כל פעם רק כי זה מה שאנחנו מכירים.

איך עושים את זה?

ראשית צריך לאסוף את כל המידע הרלוונטי בארגון. כיום ברוב הארגונים ישנם המון כלי זיהוי שונים החל מ-Firewall, Mail Gateway, Web Proxy, IPS/IDS, WAF, וכו. רוב המידע הזה נאסף ב-SIEM, אבל זה לא משנה איפה, העיקר שיהיה לנו את המידע הנדרש על מנת לנתח אותו בשלבים הבאים.

שנית צריך להתמודד עם כמויות המידע וליצר קשרים בין ההתראות השונות על מנת להיות מסוגלים לחקור בצורה אפקטיבית. כולנו הרי יודעים כמה רעש כלי זיהוי בודד יכול ליצר, ואם ניקח בחשבון את כלל כלי הזיהוי השונים שלכל אחד מאיתנו יש בארגון וכשכל מקור מייצר כמויות אדירות של התראות על איום בודד, המכפלות מסתכמות לכמויות מידע אדירות שאף אדם לא יכול לנתח. מה שאנחנו צריכים לעשות זה לבחור את חלקי המידע וטווחי הזמן הרלוונטים על מנת להפחית את כמות הנתונים וכמויות המידע האדירות שאנליסט רואה.

אחרי שצמצמנו את כמויות המידע, החלק השני הינו האופן שבו אנחנו מנתחים את המידע בכדי ליצר קשרים – עד היום המידע נותח באמצעות חוקים סטטים – “אם…אז…”. מה שאנחנו באמת צריכים לעשות זה לשבור את ההתראות השונות לרכיבים בסיסיים (כמו ש-WAZE מסתכלים על מהירות, כיוון, תאוצה וכו.), לאסוף רק את הפרטים שתורמים לנו לניתוח המידע, ועליהם להריץ את השאילתות שלנו – רק שהפעם הניתוח צריך להתבסס על עקרונות של Business Intelligence, או Machine Learning בכדי שנוכל להוציא תובנות חדשות מהמידע ולא לחפש רק את מה שאנחנו מכירים היום. הטמעה של כלים אלו מאפשרת לאנליסט לראות 12 תקריות (incidents) ביום, ולא 237 מיליון אירועים (events) ו-660 אלף התראות (alerts) בחודש כמו במצב הנוכחי.

שלישית, הסתכלות על המידע לאורך זמן. כיוון ואנחנו עובדים באירגון “חי”, וכיוון והאיומים איתם אנחנו מתמודדים משתנים ומתפתחים לאורך זמן, אנחנו צריכים לבחון את המידע לאורך ציר הזמן – כלומר לייצר פרופיל של המידע בהתאם למידע שמצטבר בתוך הארגון, מה שיאפשר לנו להבין את האירוע לעומק.
אבל יש עוד מידע מחוץ לארגון שיכול לשמש לנו כעזר, למשל – מודיעין איומים (Threat Intelligence), ארגונים עמיתים, קבוצות עבודה וכו. העשרת המידע הפנימי עם מה שידוע לתעשיה יכול לאפשר לנו לחקור ולייצר תובנות חדשות מהר וטוב יותר.

עכשיו נשאר לנו להציג לאנליסט את המידע מסוכם, כך שרק ישאר לו לבחור במה להתמקד, ובלי הצורך להריץ שאילתות באופן ידני, ולחקור את מה שבאמת חשוב על מנת לקבל החלטה מושכלת על איך להתמודד עם האיומים שעומדים מולו.

זה ברור שאיומי סייבר הם בעיית “ביג-דאטה”, והמידע כבר קיים אצלנו. האם היום אנחנו באמת משתמשים בכל המידע והכלים שלנו על מנת לוודא שארגון שלנו מוגן?

[interaction id=”55228a467fdf079b4e2815e1″]

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "לקראת ׳׳תקיפת אנונימוס׳׳ מחר – כיצד מתגוננים נכון? [דעה]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אין
Guest

בנתיים הם החלו לפרסם שמות משתמש ו סיסמאות של ישראלים לפייסבוק
http://pastebin.com/711N46Xt

or
Guest

ופייסבוק חסמה הכל כבר

wpDiscuz

תגיות לכתבה: