התייעלות ואפקטיביות בהגנת סייבר
כתב: תומר נורי, סמנכ"ל הטכנולוגיות של מלם תים.
במיתולוגיה היוונית מופיע סיזיפוס כמייסדה ומלכה המרושע של עיר הנמל קורינתוס, שעליו נגזר לגלגל סלע ענק לראש ההר רק כדי להגיע לפסגה ולראות אותו נופל בחזרה למטה. מפעולה זו נגזר השימוש בביטוי "עבודה סיזיפית". אין כיום מישהו שמצפה ממנהל אבטחת המידע הארגוני לגלגל סלעים במעלה ההר, אך ההסלמה באיומי הסייבר על המרחב הארגוני מייצרת אתגר משמעותי ולא מעט "עבודה סיזיפית" לצוותי ההגנה בארגון.
אותה החמרה באיומי הסייבר נשענת מחד על הרחבה משמעותית של מישור הפגיעות בארגון, בעקבות אימוץ טכנולוגיות חדשות, כגון דיגיטציה של תהליכים ויישומים מתקדמים, ומאידך שינוי במתאר המרחבי הארגוני ובמודל של יישום מערכות המידע על ידי שילוב פלטפורמות ניידות ומיגרציה ליישומי ותשתיות ענן.
השילוב של אותם אתגרים מייצר פרדוקס מורכב בו נדרש לתת מענה לכמות גדולה יותר של אירועי סייבר ולרמת מורכבות גדולה משמעותית של חולשות ארגוניות ונוזקות פוטנציאליות, לצד התבססות על צוותי IT מצומצמים. חשוב לציין שהמורכבות בהתגוננות ובהתאוששות מאירועי סייבר מייצרת עומס משמעותי מעל לשגרת המטלות השגרתית בסביבת מרובת משתמשים ותשתיות.
לאור זאת, קיים צורך ברור ומידי לאימוץ טכנולוגיות ושיטות שמאפשרות התייעלות והסבת המיקוד של צוותי ההגנה מהשקעה בפעולות סיזיפיות חוזרות, בעלות פוטנציאל הגנה נמוך, למקומות שבהם ניתן למקסם את יכולת ההגנה וההתמודדות עם איומים מורכבים.
איך מייצרים שכבת הגנה טובה?
זה זמן מה שאנחנו, בתעשייה, מבינים את היכולת המוגבלת של מנגנוני אבטחה לוגיים המבוססים על חוקה סטטית וחתימות לתת מענה הולם לרובד האיומים הבינוני-גבוה. ללא ספק, כל ארגון שלא אימץ קו הגנה אנליטי חוטא לעצמו ופוגע ביכולתו לבלום איומים. אבל, המשמעות לייצר שכבת הגנה אינה טריוויאלית. הדרך שהרבה ארגונים בחרו לשפר את מערך ההגנה נשענת על מודל Means to an End או, אם תרצו, שיטת "הפלסטר". הכוונה היא לכך שכל שינוי במשטח האיום או קיומו של וקטור איום חדש פוטנציאלי מוביל את הארגון ליישם מערכת נקודתית, וכך ארגונים מוצאים את עצמם עם עשרות מנגנוני אבטחה מיצרנים שונים, כאשר ההיתוך והסינרגיה ביניהן קורה במקרה הטוב במערכת ה-SIEM. הכל נראה מתפקד בימים כתיקונם אבל אירוע משמעותי שולח כל מנהל אבטחת מידע "לזגזג" בין עשרות ממשקי ניהול, תוך מאמץ ניכר בבלימה ובהכלת האירוע.
זו הזדמנות טובה לדבר על טכנולוגיות אוטומציה. אני תומך נלהב ביישום פלטפורמות SOAR, אבל אני רוצה להשאיר את הדיון במיקוד ההגנה. איך בכל זאת מיישמים הגנה אנליטית מתקדמת, שמאפשרת התמודדות עם איומים מורכבים לצד התייעלות ביישום ההגנה ומקסום המשאבים האנושיים, ומתוך הבנה שאיומים ואירועים התרחשו בעבר ויתרחשו בעתיד בכל ארגון? וכיצד אותה הגנה יכולה לתת כלים לבלימת האירוע בציר הזמן, לזיהוי ובלימה של תנועת איומים רוחבית (Lateral Movement) ולהכלה מהירה ואפקטיבית יותר?
התשובה לשאלות אלה מתבססת על פלטפורמות הגנה שתוכננו ופותחו מהיום הראשון לסביבה עתירת איומים, תוך התבססות על מנגנוני הגנה אנליטיים מובנים ושילוב מודיעין סייבר עשיר, בניגוד לפלטפורמות שפותחו כמערכות הגנה סטטיות ושופרו במספר אלמנטים מתקדמים.
מערכת ה-NX של פייראיי
פייראיי היא חלוצה בתחום ההגנה האנליטית, כחברה שהייתה הראשונה להציג את טכנולוגיית ארגז החול (Sandbox), שלימים הפכה לחלק מארגז הכלים של כל חברת סייבר שמכבדת את עצמה. פייראיי הפכה ליצרנית מתקדמת של פלטפורמות הגנה וספקית מובילה של שירותי מודיעין בסייבר.
היתרון של מערכת הגנה רשתית כגון Fireeye Network Security (או, בקיצור, NX) הוא ביכולת לפרוס מנגנוני הגנה ואכיפה אנליטיים ולבצע ניתוח פורנזי, לצד מערכות הגנה קיימות ובסינרגיה מערכתית – וזאת תוך הסתמכות על תכונות מתקדמות, המאפשרות זיהוי איומים מורכבים ומיקוד צוותי ההגנה בארגון למענה בנקודות הקריטיות ביותר.
היתרון המשמעותי של מערכת ה-NX הוא בעובדה שהיא תוכננה כפלטפורמה שלא דורשת את אותה פעילות סיזיפית של עדכון חתימות וחוקים על ידי הפעלה של מספר "מנועי" זיהוי אנליטיים, המאפשרים בלימה של איומים לא מוכרים, לרבות איומים המתבססים על חולשות יום אפס, ונטרול שיטות "חמקניות", המיועדות לעקיפת מנגנוני הגנה סטנדרטיים, לזיהוי אינדיקציה של תנועה זדונית ולמיקוד צוותי ההגנה בציר האירוע.
מערכת ה-NX יכולה להשתלב בארגון לצד המערכות הקיימות, ללא צורך בשינוי ארכיטקטורה וללא השפעה על שרידות הרשת והמשאבים. המערכת מאפשרת התממשקות לשירותי המודיעין של פייראיי כמכפיל כוח משמעותי מאוד בניתוח אינדיקציות ומודיעין קונקרטי מדויק, וכן ביכולת נוספת למיקוד והתייעלות בהגנה.
להרשמה לאירוע לחצו כאן.