RSA הכריזה על יכולות חדשות של פלטפורמת הניתוח NetWitness Spectrum

RSA – חטיבת האבטחה של EMC, הכריזה על יכולות חדשות של פלטפורמת הניתוח שלה, RSA NetWitness Spectrum, שיוצרת לדבריה מהפיכה בזיהוי, ניתוח ויצירת קדימויות של איומים מבוססי תוכנות זדוניות ברשתות ארגוניות מסוג Zero-Day. את ההכרזה ערכה החברה בכנס RSA 2011 Europe, שנערך לפני כשבועיים בלונדון.

כנס RSA לאבטחת מידע נערך השנה בלונדון, כמסורת השנים האחרונות, ומשך אליו כ-1,200 מקצוענים מרחבי איזור EMEA ואף לא אחד מהמשתמשים בישראל, בגלל שנערך בחג סוכות. הכנס מאורגן בארה"ב זה 20 שנה ובאירופה 12 שנה, על ידי חברת האבטחה RSA. האירוע פתוח אמנם לכל התעשייה, אך למעשה רוב המשתתפים בו הם משתמשיה ושותפיה של חברת האבטחה, שמהווה חלק מקבוצת EMC, שרכשה את RSA לפני כחמש שנים תמורת כ-2 מיליארד דולרים. RSA עצמה רכשה את החברה הישראלית Cyota, שהתמחתה בפתרונות אבטחה לתנועות בנקאיות, חצי שנה בלבד לפני כן, תמורה 145 מיליון דולרים. החברה הישראלית שנרכשה, בראשותה של מיכל בלומנשטיק-ברוורמן – המנכ"לית, נעשתה למרכז הפיתוח הגדול ביותר של RSA מחוץ לארה"ב.

ATP (ר"ת Advanced Persistent Threats) או "איומים מתקדמים מתמידים" הוא המושג החדש שהושאל לעולם אבטחת המידע מהעולם הצבאי והביטחוני. בעולם האזרחי, האיומים המתמידים מתרכזים בעיקר בגניבת IP (קניין רוחני), שעשוי להפיל חברות. NetWitness Spectrum פותח על ידי חברת NetWitness שנרכשה על ידי RSA באפריל השנה, כמה ימים לאחר הפריצה למערכות של הרוכשת וגניבת הקודים של הטוקנים מסוג SecureID שסופקו לעשרות אלפי משתמשיה להגנת זהותם בגישתם למערכות המחשב שלהם. בעת הפריצה כבר השתמשה RSA בתוכנה של NetWitness וזו עזרה לה לזהות את הפריצה למערכותיה ואפשר לה לגלות מה נגנב ולהיערך לפעולה מונעת מהירה שעצרה נזקים אצל לקוחותיה, ובעיקר בלוקהיד-מרטין (Lockheed Martin), שם זוהתה פריצה שצלחה בזכות הנתונים שנגנבו מ-RSA.

את NetWitness הקים ד"ר עמית יורן, מומחה אבטחה בינלאומי מוכר, בן להורים ישראלים, שכיהן כמנהל אבטחת סייבר ראשי בממשל בוש הבן. ד"ר יורן פעל גם בדירקטוריון של חברת Guardium להגנת בסיסי נתונים וזהויות, שנרכשה על ידי יבמ (IBM) בכ-145 מיליון דולרים ב-2007 ומכר את חברת RipTech שהקים לסימנטק (Symantec) בשנת 2002.

על פי RSA, תומכות היכולות החדשות בניתוח בזמן אמת של רשימה מורחבת של תכנים הקשורים עם רבים מווקטורי האיום המתקדמים הקריטיים ביותר. RSA אף הוסיפה שותפים חכמים חדשים רבים, כדי להרחיב את מקורות הידע והמומחיות שמהם שואב RSA NetWitness Spectrum את המודעות המצבית חסרת התקדים שלו. היכולות המתקדמות הללו מתוכננות לאפשר למרכזי פעילויות אבטחה לזהות ולפתור בעיות חמורות שגם הגישות המסורתיות וגם הגישות המודרניות להגנה מפני תוכנות זדוניות לא השכילו לזהות.

RSA NetWitness Spectrum מושתת על RSA NetWitness – הפלטפורמה עטורת הפרסים לניטור אבטחת רשת, המאפשרת לארגונים לתעד ולנתח את כל התנועה ברשת. RSA NetWitness Spectrum מתוכנן לנתח באופן אוטומטי את כל התכנים הניתנים לביצוע העוברים ברשת על-ידי כך שהוא עונה באופן אוטומטי על אלפי שאלות בנוגע להתנהגותם של קבצים – הן בהקשר המלא של הרשת של הארגון והן בנוגע ליחסים שלו עם בינת האבטחה בכל המערכת האקולוגית של ספקי התכנים.

"בסביבת האיומים הקיימת היום, אין צורה של מניעת תוכנות זדוניות שיכולה להבטיח די הגנה לנכסי המידע יקרי הערך של ארגונים", אמר בכנס אדי שוורץ, ה-CSO (ר"ת Chief Security Officer) של NetWitness מקבוצת RSA, בשמו של ד"ר עמית יורן, סגן נשיא בכיר ומנכ"ל חטיבת תאימות וניהול אבטחה ב-RSA, שנבצר ממנו להגיע לאירוע בלונדון. "עם החידושים האחרונים ב-RSA NetWitness Spectrum, אנו מספקים לארגונים שולחן עבודה עשיר בתכנים, גמיש וזריז ההופך רבות מהמשימות המורכבות ביותר של ניתוח תוכנות זדוניות ושל קביעת קדימויות לפעולות אוטומטיות. RSA NetWitness Spectrum עוזר לסגור את הפער בין המקום שבו מסתיימת יעילותה של ההגנה נגד תוכנות זדוניות לבין המקום שבו מתחילים קווי האש האמיתיים של איתור איומי רשת מתקדמים".

גרסת RSA NetWitness Spectrum 1.1 כוללת תוספת תמיכה עבור מסמכי PDF ואופיס (Office) וארכיון JAR במנוע הניתוח שלו. כיוון שיש היום הרבה יותר תקיפות ייעודיות המשתמשות במסמכי PDF כאמצעי להדבקה,  RSA NetWitness Spectrum מתוכנן להעביר את כל מסמכי ה-PDF והאופיס וקבצי ה-JAR את אותה חקירה מחמירה וקפדנית כמו כל קובץ executable, תוך שילוב של ארבע טכניקות חקירה נפרדות, לרבות sandboxing ("בידוד בארגז חול"), Crowd Sourcing, ניתוח התנהגות רשת ותכני קבצים, במטרה לספק את התוצאות מבוססות הסיכונים המקיפות ביותר, ישירות לידיהם של מרכזי פעילויות האבטחה.

הכותב הוא שליח אנשים ומחשבים לבריטניה