"רק 3% מהפרצות דורשות טיפול מידי; מחלקות IT חייבות להתמקד בהן"

כתב: סלבה לוזקין, מנהל פריסייל במולטיפוינט, מפיצת Tenable בישראל.

מספר הפרצות החדשות שהתגלו כמעט והוכפל במהלך השנתיים האחרונות. ב-2018 המספר הגיע ליותר מ-16 אלף – יותר מ-40 פרצות בכל יום בממוצע. במקביל, ככל שהמתקפות ארגונים הולכות ומתרחבות, כך גדל גם מספר הפרצות שיש להתייחס אליהן. הוסיפו לכך את המורכבות הגוברת של תשתית ה-IT, עם תהליכי DevOps, ענן וקונטיינרים, והתוצאה היא שמחלקות ה-IT לא מסוגלות להתמודד עם כל התראה על פרצה חדשה.

על פי מחקר של מכון פונימון, ארגונים מתמודדים כיום עם מחסור קיצוני במשאבים ובהון אנושי. 58% מהם אומרים שחוסר בצוות מיומן פוגע ביכולתם לבצע סריקות של פרצות בקצב הנדרש, ו-51% מציינים שהם קורסים תחת תהליכים ידניים ותור הולך ומתארך של משימות שלא טופלו. הדרך להתמודד עם הפרצות האלה היא לשנות אסטרטגיה.

מה ארגונים עושים כדי להתמודד עם הזרם הבלתי נפסק של פרצות חדשות?

ארגונים נוקטים בגישות שונות לתעדוף הפרצות. ארגון מסוים יכול להחליט על טיפול בכל האיומים עם ציון CVSS עם דירוג 7 ומעלה, אבל גם בדרך זו הוא עדיין מתמודד עם היקף גדול של איומים קריטיים. ארגונים אחרים פשוט פונים לטפל בפרצות שהכי קל לטפל בהן, ויש כאלה שמטפלים קודם כל באיומים החדשים ביותר שנכנסים לתור. אלא שלרוב, התוצאה זהה אצל כולם – תגובה מאוחרת לאיום קטלניים.

מדובר במרדף אינסופי. האם יש דרך לעמוד במשימה?

להתמודד עם עומס שכזה זו באמת משימה בלתי אפשרית, אבל אין צורך לעשות זאת. מחלקות IT חייבות לדעת אילו פרצות מהוות עבורן סיכון אמיתי, ולהתמקד בהן. אחרת, הן עלולות להשקיע את המשאבים המוגבלים שלהן בפרצות לא חשובות ולהשאיר את הפרצות המסוכנות ביותר פתוחות להתקפות.

Tenable פיתחה מאפיין פורץ דרך של תעדוף מבוסס יכולות, שמאפשר להתמקד בתיקון הפרצות החשובות באמת. יכולות התעדוף החכמות מבוססות על נתונים שנאספים ממגוון מקורות ועל ניתוח שלהם באמצעות אלגוריתמים מתקדמים של לימוד מכונה. כל פרצה מקבלת דירוג – Vulnerability Priority Rating – שמהווה מדד לניתוח שבוצע והוא מתעדכן על בסיס יומי.

מה כוללת תכנית תעדוף נכונה?

כל הפרצות הן חולשה מסוימת, אבל רק כאלה שמנצלים אותן מהוות סיכון אמיתי. לכן, קודם כל יש לטפל בפרצות שאיומים מנצלים אותן באופן פעיל בשטח. שילוב של נתוני אמת אודות איומים בכלי של Tenable מאפשר לדעת אילו איומים מנוצלים. לאחר מכן יש לטפל בפרצות שיש סבירות גבוהה שינצלו אותן בקרוב. מודלים ייחודיים של Tenable לצורך חיזוי מאפשרים לזהות מתוך אירועי עבר מאפיינים שמגבירים את הסיכוי שפרצה מסוימת תנוצל. לבסוף, יש לטפל בפרצות בנכסים חיוניים, שפגיעה בהם תהיה קריטית לפעילות הארגון, במיוחד לגבי נכסים החשופים לרשת.

הפלטפורמה של Tenable, המוכרת אצל רבים גם על פי שם המוצר שלה, Nessus, מגינה על יותר מ-27 אלף ארגונים בעולם. היא מספקת מידע מדויק המאפשר לזהות, לחקור ולתעדף תיקון של פרצות ושגיאות בהגדרות לרוחב כל סביבת ה-IT המודרנית. חיישני Nessus מבצעים סריקה אקטיבית וניטור פסיבי, כדי שהארגון יוכל תמונת מצב מלאה אודות פגיעויות – בתשתית מקומית ובענן. הדיוק הרב של Tenable מאפשר מעקב אחר נכסים בעלי דינמיות גבוהה, כגון מכשירים ניידים, מכונות וירטואליות ונכסים בענן – בין אם זה AWS, Azure או Google Cloud.