"מנהל אבטחה צריך שלושה דברים: מודיעין, מודיעין ומודיעין"
"הסיוט הכי גדול של מנהל אבטחת מידע, הוא לעבור אירוע שדומה ל-11 בספטמבר; לקבל עשרות אלפי התראות ביום, ולא להצליח לזהות מי מהן היא התראת אמת חמה", אמר ג'ון ווטרס, סגן נשיא בכיר ב-FireEye, ויו"ר ומנכ"ל iSight
"לצערנו, היקף האיומים, כמו גם רמת המורכבות והתחכום של האיומים – הולכים וגדלים. אלא שהתקציב שארגונים מקצים ל-IT ולאבטחת מידע אינו גדל, ולפעמים אפילו קטן. המענה יכול להיות רק דרך שלושה דברים: מודיעין אודות האיומים, מודיעין – ומודיעין", כך אמר לאנשים ומחשבים ג'ון ווטרס, סגן נשיא בכיר ב-FireEye, יו"ר ומנכ"ל iSight.
ווטרס הגיע ארצה להשתתף בשבוע הסייבר שנערך באוניברסיטת תל אביב. החברה בראשותו, הפועלת בעולם של מודיעין איומי סייבר, נרכשה בינואר האחרון על ידי FireEye ב-200 מיליון דולר.
"השינוי המשמעותי שנדרש ממנהל אבטחת המידע הארגוני", אמר ווטרס, "הוא לשנות את התמהיל ולהעביר את כובד המשקל למודיעין. עד עתה ארגון השקיע בממוצע כ-90% מהתקציב שלו במוצרי הגנה מסורתיים, כמו פיירוול, תחנות הלבנה, אנטי-וירוסים ועוד – ורק 10% במודיעין איומים. היום אנו רואים שינוי משמעותי: יותר ויותר ארגונים מבינים את כוחו של המודיעין ומשקיעים חלק גדול יותר מהתקציב שלהם בו. לכן, המוטו שלי הוא 'מודיעין לפני מוצרים'".
הסיוט של מנהל האבטחה
מה מביא מודיעין איומי סייבר לשולחן?
"כמו במודיעין צבאי, כך גם במודיעין איומי סייבר – מנהל אבטחת מידע מקבל מידע עמוק ומבוסס על מה שעומד מאחורי ההתראות שהוא מקבל. כך הוא יכול לקבל החלטה מושכלת האם ההתראה שהמערכות שלו ניפקו, דורשת תגובה מיידית, או שהיא התראה, אחת מני רבות, ואינה מהווה איום מיידי על הארגון".
"הסיוט הכי גדול של מנהל אבטחת מידע בארגון הוא שהוא יעבור אירוע שדומה ל-11 בספטמבר: הוא מקבל עשרות אלפי התראות ביום, ומצליח באמצעים טכנולוגיים שונים להוריד את זה ל-1,000 התראות חמות. אבל הצוות שלו מסוגל לבדוק לעומק רק 10-15 התראות, על מנת לוודא האם בוצעה חדירה לארגון – או שזאת התראת שווא. איך הוא יידע אילו התראות לבדוק? גם ב-11 בספטמבר היו התראות, אבל אף אחד לא העניק להן משמעות, הן טבעו בים של מידע".
"מערכות המודיעין הן אלו שעושות את ההבדל. הן מסוגלות לתת לכל התראה מאות מאפיינים וסימנים, המבוססים על צורת כתיבת הקוד, כתובות IP, מאפיינים גיאוגרפים ועוד. כך, מתוך 1,000 התראות שסומנו כ'חמות' יסוננו 20 ככאלו שצריך לבדוק לעומק. ואת זה – יכול הארגון לעשות".
לגנוב את הגביע הקדוש
מה השתנה בפעילות ההאקרים?
"בשנים האחרונות השתנתה מפת האיומים שמולה מנהל אבטחת המידע נדרש להתמודד ולהתגונן. בעבר, הוא היה צריך להתגונן מפני מתקפות DDoS, או גניבת ה-IP של הארגון במקרים קיצוניים. כיום, המתקפות הפכו לאגרסיביות יותר".
"ההאקרים אינם מסתפקים בקניין הרוחני של הארגון, הם רוצים לגנוב את דרכי הפעולה, המהלכים השיווקים, ודרך ההתנהלות הפיננסית של הארגון. בהשאלה מעולם הכדורסל, הם רוצים את 'ספר המהלכים' שהמאמן בנה לקבוצה, את הגביע הקדוש. כך, כשהם פועלים מטעם המתחרים של ארגון, הם יאפשרו למתחרים לגשת למכרז גדול עם מוצר מועתק, שעלה הרבה פחות, הם יידעו מה אסטרטגיית השיווק שלו – ויכינו מהלך מתאים נגדו וינצחו אותו במכרז".
"חשוב לציין כי מרבית הפעילות היום היא 'אזרחית', משמע פלילית – טרור בסייבר עדיין לא הגיע למסה קריטית. אבל – היכולות ה'אזרחיות' של הפשע המקוון זמינות ונמצאות למכירה גם לקבוצות טרור".
מודל אבטחת מודיעין
עם רכישת iSight, אמר ווטרס, "FireEye הופכת לגוף מודיעין איומי הסייבר הפרטי מהמתקדמים בעולם. הלקוחות מקבלים סיכון עסקי נמוך, עם התראות מעודכנות, תיעדוף איומים ותובנות שיכינו אותם טוב יותר להתמודדות עם איומים. אנחנו מובילים בתעשייה מודל אבטחת מודיעין, המספק לארגונים את התובנות האסטרטגיות הדרושות להם על מנת להילחם בהצלחה בהתקפות המתוחכמות והעיקשות ביותר. מודל האבטחה מבוסס מודיעין מציע נראות עמוקה ורחבה יותר של מתודולוגיות המתקפות והתוקפים – וכך הוא מאפשר לארגונים לזהות ולהגיב במהירות על פרצות אבטחה".
לדברי ווטרס, "רשת המודיעין של isight כורה ומנטרת איומי סייבר בעולם, וממפה אלפי פעילים בתחום. לחברה יש כ-400 אנשי צוות, ביניהם יותר מ-300 מומחי מודיעין איומי סייבר, הפרושים ב-40 מדינות ועובדים ב-29 שפות. אנו ספק בלעדי של מודיעין איומי סייבר לסוכנויות הפדרליות הממשלתיות בארצות הברית. השקענו כמעט 100 מיליון דולר, במשך שמונה שנים, בבניית יכולת מודיעין הסייבר שלנו".
להגיב במהירות וביעילות
לדבריו, "חיבור מומחי iSight יחד עם צוותי המודיעין של FireEye ו-Mandiant – שאף היא נרכשה על ידי FireEye – מביא למיזוג מודיעין מנקודת מבט הקורבן, עם מודיעין מנקודת מבט התוקף".
"בניגוד למדינות אחרות", סיכם ווטרס, "בישראל כמעט ולא הייתי צריך להסביר את חשיבותו של מודיעין איומים. נפגשתי פה עם מומחי אבטחת מידע מכל המגזרים, וכולם ידעו על מה אני מדבר. רק פה אני מבין כי המציאות הביטחונית היומיומית שלכם, חייבה מודיעין מתקדם ביותר בתחום הצבאי והחשאי".
"מודיעין איומים הוא המפתח לבניית אבטחה חזקה, שתגן על כל ארגון. ככל שפעולות הסייבר משתלבות באלמנטים הפיזיים, הגיאו-פוליטיים והתחרותיים – גישת אבטחה מבוססת מודיעין תהיה המפתח באיתור האיומים המתוחכמים ביותר, עם היכולת להגיב אליהם במהירות וביעילות".
תגובות
(0)