המערכת שמפזרת את "ערפל המידע" סביב אבטחת הסייבר
ראיון עם איציק ויינשטיין, מנכ"ל CyberObserver
ארגונים רבים שמתמודדים מול מתקפות סייבר נתקלים בעולם כאוטי, וחלקם לא מוצאים בו את הידיים ואת הרגליים. הם נפגשים בבעיות שונות ומחפשים פתרונות. אלא שרבים מהפתרונות האלה מספקים מענה רק לאסקפט אחד של הבעיה, בעוד שמה שנדרש הוא פתרון שמספק מענה כולל, שיידע לתת הערכת מצב בזמן אמת ולנהל את ההתמודדות עם אירוע הסייבר, בעל פוטנציאל הנזק הרב לארגון.
CyberObserver מציעה פתרון כזה. שוחחנו עם מנכ"ל החברה, איציק ויינשטיין, על הפתרון ועל המגמות בעולם אבטחת הסייבר.
מה הבעיה שמערכת CyberObserver באה לפתור?
"כמתגוננים מאירועי סייבר יש לנו גישה לכמות מידע עצומה המופקת מכלי האבטחה, הטכנולוגיות, סטנדרטים, אימונים, תקנים, מידע אודות חדירות, הדרכה, הגדרות היכן לחפש פרצות ורשימות אינסופיות של בדיקות והמלצות. המידע המרובה והיוצא דופן המתקבל גורם ל-'ערפל מידע' המקשה מהותית ואף אינו מאפשר התמודדות יעילה עם איומי סייבר.
בעולם הכאוטי של אבטחת הסייבר, למנהל האבטחה ולשאר המנהלים הרלוונטיים, מתחתיו ומעליו, אין כלי שנותן מענה אודות מצב אבטחת הסייבר בהיבט של ניהול והערכת מצב בזמן אמת. נדרש פתרון שיוצר ומנהל עולם אבטחה מאוחד, אוטומטי, מתמשך ומחזורי, שבונה ומנתח את תמונת מצב אבטחת הסייבר העדכנית בארגון, שמבוססת על השילוב בין הטכנולוגיה, התהליכים והאנשים. נחוץ פתרון שיעריך בזמן אמת את סטטוס אבטחת הסייבר הכוללת בארגון ובחלוקה לתחומי אבטחת הסייבר השונים, ידווח בפורמט אחוד, ברור ומובן למנהלי האבטחה, למנהלים בכירים ולגורמים רלוונטיים נוספים בארגון.
מערכת CyberObserver בונה תמונת מצב אחודה, ברורה ועדכנית של אבטחת הסייבר ועושה זאת בזמן אמת. היא מפזרת את 'ערפל המידע' ויוצרת יכולת התמודדות ממוקדת ומיטבית עם איומי אבטחת הסייבר".
איך המערכת מתעדכנת ומתמודדת במרחב האיומים המשתנה?
"היא מבוססת על בקרות אבטחה, CSC (ר"ת Critical Security Controls). בקרות אבטחה מודדות את המידע החשוב והרלוונטי ביותר לבחינת מצב האבטחה שכל ארגון חייב לבצע על מנת למנוע, להתריע ולהגיב על תקיפות סייבר שמאיימות על ארגונים. מתודולוגיית העבודה של המערכת מבוססת על הטמעה של בקרות אבטחה במקורות המידע הרלוונטיים וניתוח שלהם מול יעדים. זה כולל בקרות כלליות, המשותפות לכל הארגונים, ובקרות ייעודיות, בהתאם לתחום בו פועל הארגון. ניתוח הבקרות מאפשר קביעת סטטוס בסיסי שמאופיין למצבי שיגרה וחריגה מסטטוס שמעידה על איום.
בקרות האבטחה מבוססות על גופי הייעוץ המובילים, כגון NIST ,ENISA ,ISO ,NERC-CIP ו-the Council on CyberSecurity, כמו גם על בקשות של מנהלי אבטחה בארגונים ועל מידע שקיים בחברה, שמבוסס על שנים רבות של ניהול תשתיות אבטחה בארגונים ביטחוניים גדולים ומורכבים. יצוין כי בקרות האבטחה מעודכנות באופן קבוע ומתמשך, בהתאם למרחב האיומים המתפתח, לכלים ולמודיעין המתקבל מחברות מתמחות בתחום – ומופצות ללקוחות המערכת".
מה הייחודיות של מערכת CyberObserver?
"המערכת היא פתרון ניהול כולל בזמן אמת, מהיר ליישום ומבוסס אינפוגרפיקה, שמקלה לראות ולהבין במהירות עולמות מורכבים. כאמור, היא פותחה לאחר שנים רבות של ניסיון בארגונים ביטחוניים גדולים, שמאוימים בקביעות ונדרשים למצוינות באבטחת הסייבר. המערכת מבוססת על מנוע מרכזי (מוגן פטנט) ובקרות אבטחה להצגת תמונת אבטחה ברורה, המחברת את כל המרכיבים של עולם אבטחת המידע בארגון. המערכת מציגה את המצב האבטחה העדכני, מוכנות ארגונית, וכן זיהוי פרצות ואיומים בכל מרחב אבטחת הסייבר בארגון".
כמה מורכב תהליך ההטמעה?
"התהליך מחולק לשני שלבים. השלב הראשון אוטומטי ברובו ונמשך מספר ימים. המערכת בונה במהלכו את תמונת האבטחה הארגונית על בסיס מצאי הכלים, שמאותר באופן אוטומטי, תהליכים ואנשים רלוונטיים. לכל כלי או תהליך ותחום אבטחה יש משקל. המשקלים משמשים לחישוב מצב האבטחה בכל תחום אבטחה ומצב האבטחה הכולל בארגון. לאחר בניית תמונת האבטחה בארגון, המערכת מאתרת באופן אוטומטית ומחזורי סטיות ממצב שיגרה, פרצות אבטחה, מיפוי סיכונים ואיומים בחלוקה לתחומי האבטחה – לרוחב כל עולם האבטחה. היא מציגה תובנות באופן ברור וקל להבנה.
בשלב השני נדרשת מעורבות בסיסית של הארגון לטובת ירידה לפרטים אודות תהליכים, טכנולוגיה ואנשים שאינם ניתנים למיפוי אוטומטי, והוספת בקרות אבטחה נוספות, על מנת לרדת לרבדים עמוקים, בהתאם למרחב האיומים ולטכנולוגיה המשתנים".