לקראת אירוע | שימוש בטכנולוגיות מידול וסימולציה לחיזוי התקפות סייבר ארגוניות
מאת אורי לוי , מנהל אזורי EMEA ,סקייבוס סקיוריטי
אין צורך להכביר מילים בדבר מלחמת הסייבר העולמית המתפתחת ומתדפקת על סף דלתותיהם של ארגונים, ממשלות וגופים ציבוריים. ההתלכדות של מספר מגמות ותהליכי עומק אשר התרחשו בשנים האחרונות וכניסת טכנולוגיות כגון נייידות מחשובית ,וירטואלזציה, כמו גם חיבור וקישוריות של שירותים ציבוריים וממשלתיים לרשת האינטרנט, הפרו בצורה משמעותית את מאזן הכוחות בין היכולת להגן על תשתיות ושירותים אלו לבין היכולת להתקיף ולשבש את אותם שירותים. נוסיף לזה את השינויים הטכנולוגיים הדחופים, הסביבה העסקית המשתנה במהירות ונקבל מפת אילוצים הדורשת מארגונים חשיבה וכלים אחרים מאלו שהיו נהוגים בעבר.
מהגנה ריאקטיבית להגנה פרואקטיבית
מן הסתם הגנת הסייבר היא תהליך רב שכבתי המכיל מספר רכיבים כגון מדיניות, טכנולוגיה, כח אדם, מתודולוגיה וכו'. בבסיס תפיסת ההגנה הנכונה מבוססת ההנחה כי הצד המגן נמצא בנחיתות מתמדת בכל מימד אפשרי, ולכן הוא חייב להפעיל כלים ושיטות יעילות יותר מהצד התוקף על מנת להתמודד עם רמות האיום הקיימות בצורה אפקטיבית ולא פחות חשוב כלכלית והגיונית לרמת הנזק הפוטנציאלי שיכול להגרם כתוצאה מהתקפה.
מחקר שבוצע לפני מספר שנים מצביע על קשר ישיר בין זמן גילוי וטיפול באירוע אבטחתי לבין העלות הכלכלית הקשורה בו. ככל שהאירוע התגלה או נחזה בשלב מוקדם יותר (עד כדי מניעה וסיכול) כך העלות הכלכלית של הטיפול וההשפעה של האירוע היו קטנים יותר. תפיסה זו עומדת בבסיס הפתרון שחברת סקייבוקס מציעה ללקוחותיה בתחום ניהול אבטחה פרואקטיבית.
לחזות את העתיד, להשפיע על ההווה
אם כן, כיצד ניתן לבצע חיזוי של התקפות ואירועי אבטחה עוד לפני שהם קרו? חשבו על פיתוח של מטוס קרב חדשני, לפני שהמטוס נבנה, מפתחי המטוס משתמשים במודל הנדסי של המטוס ובתרחישים שונים ומשונים על מנת לבחון את ביצועי המטוס את העמידות שלו באותם תרחישים ונקודות הכשל במטוס וזאת עוד לפני שבורג אחד הוברג בגוף המטוס. באופן דומה, הטכנולוגיה של סקייבוקס מאפשרת לארגונים לייצר מודל של הרשת הארגונית בצורה קלה ומהירה תוך ‘ייבוא’ מידע סטנדרטי אשר קיים בכל רשת ארגונית (קבצי הגדרות של נתבים ומתגים, חומות אש, מערכות ניהול נכסים, תוצאות סריקה של VM וכו'). מודל זה מכיל את מפת טופולוגית הרשת, את הגדרות הניתוב והמיתוג, את הגדרות האבטחה באמצעי האבטחה השונים ואת השרתים ותחנות העבודה הארגוניות כמו גם את הפגיעויות והחולשות הידועות שלהם.
כלל המידע הזה ממודל למודל אנליטי אשר על גביו מבוצעים ומורצים סימולציות התקפה המאפשרות להסיק כיצד ניתן לתקוף את הארגון באופן הקל ביותר ולהשיג את האפקט הרב ביותר. אנליזות אלה עונות על שאלות מהותיות לאבטחה הארגונית השוטפת, למשל היכן קיימות הגדרות מוטעות אשר מייצרות חשיפה אבטחתית? אילו חולשות ניתנות לניצול בפועל ולכן עליהם להיות מתוקנים באופן מיידי? מה ההשפעה של איום חדש שהתגלה על הרשת הארגונית שלי? וכו' וכו'.
מערכת זו מאפשרת לארגונים להפוך להיות פרואקטיבים (לעומת ריאקטיבים בעבר) ולהקטין באופן דרמתי את החשיפה שלהם ואת רמת הסיכון בה הם פועלים, כמו כן היא מקטינה את עלויות האבטחה המושקעות על ידי הארגון, כיון שניתן להתמקד בצורה מדוייקת אך ורק בחולשות, נתיבי התקפה וכשלי מדיניות אשר מייצרים סיכון אמיתי ומשמעותי לארגון ולא בצורה גורפת ו'עיוורת' ללא הבחנה בין עיקר לטפל.
