האתגר האמיתי בתגובה לאירועי סייבר
כתב: אור כהן, Security CTO, ווי אנקור, מקבוצת חילן.
בארגונים של היום יש מגוון רחב של מערכות אבטחה והגנה, שתפקידן לזהות ולמנוע מתקפות ואיומים. מערכות אלה מפיקות מידע רב ומגוון אודות מצב אבטחת המידע בארגון, ושולחות התרעות במידה שמתגלות חריגות שיש לתת עליהן את הדעת. כמו כן, תודות לפרסום הרב של נושא הסייבר בתקשורת העולמית, אנחנו עדים לעלייה במודעות העובדים ואף להתרעות אודות אירועים פוטנציאליים שמגיעות ישירות מהעובדים עצמם. כלל ההתרעות שמופקות בערוצים השונים מגיעות לפתחו של גוף אבטחת המידע או ה-IT הארגוני לטיפול ולבדיקה.
בחינת ההתרעות המתקבלות מראה כי אחוז ניכר מהן חוזרות על עצמן מספר רב של פעמים באופן תבניתי, ומתייחסות במקרים רבים לחשיפות או פגיעויות מוכרות וידועות. הליך הטיפול שמבוצע בפועל דומה מאוד בין ההתרעות והינו פשוט באופן יחסי – אך מבוצע לרוב באופן ידני ודורש השקעת זמן מצד העובדים שאחראים על טיפול בהתרעות. חלק מהן אף "זוכות" להתעלמות או ביטול כאשר ישנן כמויות גדולות של התרעות שדורשות בדיקה או טיפול באופן יומיומי. גישה זו נובעת לרוב ממחסור בזמן, בידע, בכוח אדם זמין, בנגישות, בכלים או ביכולת ניהול מסודרת של אירועים ותהליכים.
בחינה נוספת של הנושא מלמדת כי גופי אבטחת המידע וה-IT בארגונים השונים מבינים היטב את הסביבה בה הם פועלים, מכירים את המערכות והמידע הזמין להם ומכירים את האירועים הנפוצים בסביבתם, אך למרות זאת לא מייצרים נהלי תגובה מסודרים להתרעות מוכרות ולא מיישמים מנגנונים של הפקת לקחים ולמידה מאירועי עבר.
בסופו של דבר, ארגונים נשארים חשופים ופגיעים דווקא במקומות בהם אין קושי טכני במיגור החשיפה, ונפגעים שוב ושוב מאיומים או כלים פשוטים ומוכרים, ולא מאיומי סייבר מתקדמים שנכתבו במיוחד כדי לפגוע בארגון ספציפי. אם מוסיפים לכך את העובדה שארגונים רבים לא משקיעים מחשבה בשנייה שלאחר גילוי האירוע באמצעות נהלי תגובה, מגיעים לסיטואציה בה ארגונים נמצאים לרוב במצב של כיבוי שריפות במקום למסד תהליך מסודר להתמודדות עם איומים פשוטים יחסית.
המטרה צריכה להיות התמודדות אוטומטית לחלוטין עם התרעות מוכרות שחוזרות על עצמן. באמצעות מיסודה של שיטה זו ניתן להגיב לכל התרעה משמעותית מהר יותר, לצמצם התרעות שווא, להיות עקביים בטיפול בהתרעות, לוודא סגירה של טיפול בהן, לשפר בצורה ניכרת את סטטוס חשיפת הארגון, וחשוב מכל – לפנות את המשאב הנדיר ביותר בתחום, מומחי אבטחת המידע, להתמודד עם מקרים מורכבים שלא ניתן לפתור באופן אוטומטי.
הטכנולוגיות הנדרשות לטובת מיסוד התהליכים האוטומטיים כבר זמינות וקיימות במרבית הארגונים, רק נדרש לשנות כיוון חשיבה לגבי אופי השימוש בהן. מערכות רבות מגיעות עם API, אך נדיר שישנן מערכות שמדברות בניהן בצורה דו-כיוונית לטובת התמודדות עם איומי אבטחת מידע. התוצר הוא איים שלא מסוגלים לתקשר ופוגעים ביכולת ליצר מערך הגנתי יעיל. בארגונים מסוימים ניתן אף לראות כלי שמאפשר אוטומציה של תהליכים וניהול Workflow (ה-Orchestrator), אך כלל פעולותיו מבוצעות במסגרת של System/IT ולא באבטחת מידע. שימוש בכלי זה לטובת ניהול תהליכי תגובה להתרעות אבטחה יאפשר שימוש גם במערכות שאין להן יכולת לקבל פקודות ממקור חיצוני.
אנחנו, בווי אנקור, מיישמים לוגיקה לפיה מכירת מוצר או שירות טוב זה פשוט לא מספיק. המטרה היא לייצר אינטגרציה מלאה ואוטומטית בין המוצרים והכלים, כך שיתנו כיסוי מלא כאשר נדרש להגיב להתרעה בזמן אמת, ובכך להרים משמעותית את רמת האבטחה בארגון ולאפשר התמודדות אמיתית עם איומי העתיד.
מעוניינים לשמוע עוד? הירשמו לכנס InfoSec 2015, בהפקת אנשים ומחשבים.