איתור חדירה לרשת הארגון
איתור חדירה לרשתות תקשורת דומה למציאת מחט בערימה של שחת. לעתים קרובות מסתתר הפורץ מאחורי כמויות גדולות של נתוני תעבורה ופוגע במשאבי הרשת ללא הפרעה. במקרים אחדים נמצאו המתקיפים בתוך הרשת הארגונית חודשים ואף שנים. בכתבה זו נתאר, אנשי אגתא, שמייצרת מכשירי Agata DPI לניטור פסיבי ואקטיבי של רשתות ארגוניות, מספר טכניקות לבידוד תנועה חשודה ופריצות ברשת כדי להקטין סיכונים ולהתמודד עם ההתקפה.
לדוגמה, בתמונת המסכים אנחנו רואים סיכום של תנועות ברשת ארגונית מסוימת.
ניטור הרשת מייצר כמות אדירה של מידע ביום בודד בכל ארגון. כל ניסיון של מנהל האבטחה לשמור את המידע בזמן אמת ייתקל במהרה במחסום של גבול יכולת המערכת לעבד ולשמור את הנתונים.
לכן, כדי לשמור נתונים ולאתר את פריצות לרשת התקשורת, נצטרך לסנן את המידע הרב ולהתרכז ב-"עיקר", ננתח את התעבורה לפי פילטרים המגדירים מקור, רמת סיכון, יעד, פורט, פרוטוקול, תוכן ומשתמש, וכך נבנה פילטרים מתוחכמים.
באמצעות הטכניקות הבאות נוכל לבנות מערכת יעילה של תחקור בזמן אמת:
- סינון ומעקב אחרי תנועות חשודות בארגון (כגון גישה לא מורשת לשרתים ומשלוח קבצים אל יעדים מחוץ לארגון).
- זיהוי התנהגות חשודה, סימונה ובדיקתה לאחור.
- הגדרה דינמית של פקודות לעצירה וניתוב תעבורה חשודה.
- הפנייה של גורמי תעבורה מסומנת לאזור ניטרלי ברשת והמשך מעקב אחריהם.
- ויזואליזציה של המידע להדגשת נושאים חשובים.
- תמיכה במגוון רשתות ובגידול השימוש הארגוני ברשת.
- ניתוח נתוני התעבורה (כולל התוכן) הנשמרים לפי פילטרים מוגדרים. השמירה מאפשרת להבחין בתנועה לא רגילה שתסומן כחשודה (למשל, תעבורה של נתונים בזמן קבוע ממחשב מסוים).
- קריאת תוכן וסימון של תעבורה לא חוקית (לדוגמה, שינוי Headers).
- זיהוי של תעבורה "לא רגילה" (כמו פתיחת נסיונות התקשרות ללא מענה).
- זיהוי של גורם ברשת שניגש למידע ארגוני שלא תואם את מדיניות הארגון.
- זיהוי של גורם חדש ברשת שלא הזדהה כראוי (נסיונות התחברות לרשת הארגונית ממחשב חדש ברשת).
- עמידה בדרישות מדיניות האבטחה של החברה לגבי כל מחשב חדש הנכנס לרשת (למשל מערכת הפעלה מסוימת שלא אמורה להיות מחוברת לשרת מסוים).
- אבחנה בריבוי תנועות ברשת מגורם בודד (לדוגמה, מחשב שכיוון המידע בו הוא חד סטרי בעיקרו).
- סריקה לאחור של אירועים לפי מקור, יעד וכדומה.
- בחינת תוכן היסטורי של תעבורה והשוואה של Patterns בימים שונים (האם ביום שבת מישהו נכנס לשרת הפיננסי המכיל חשבונות בנק).
- זיהוי מקור או יעד מסוכנים על פי מיקום גיאוגרפי (האם מישהו חדר לרשת ממדינה זרה ואף עוינת?)
- וזיהוי של תעבורה לפי הרשאות (זיהוי משתמש).
חברת אגתא נוסדה ב-2008 על ידי שני מנהלים בכירים יוצאי חברת אלוט תקשורת. החברה עוסקת בתחום הסייבר סקיוריטי ומייצרת מכשירי Agata DPI לניטור פסיבי ואקטיבי של רשתות ארגוניות. מוצר ה-Forensics של אגתא מאפשר ניתוח והקלטה של תעבורה בקצבים גבוהים מאוד, ניתוח ברמת האפליקציה, מטה דטה וכן עשרות אלפי חוקי מדיניות הנטענים על ידי מחשבים חיצוניים במהירות של פחות משנייה. בין לקוחות החברה נמצאים ארגונים, חברות היי-טק מובילות וחברות מובייל בארץ ובעולם. כמו כן, נמצאת אגתא בימים אלה בפיילוט לאומי עם מטה הסייבר הלאומי של ישראל.