אז למה לי מודיעין עכשיו?
כתב: יואל שוורצבורד, מנהל המכירות למגזרים הממשלתי והביטחוני בפייראיי (FireEye) ישראל.
"אז למה לי פוליטיקה עכשיו?", שואל השיר הידוע של משינה. זאת שאלה ראויה, בפרט בימים של בחירות במעצמה הגדולה ביותר בעולם – ארצות הברית, אבל אני מבקש לדון במאמר זה בשאלה אחרת: "אז למה לי מודיעין עכשיו?".
מגפת הקורונה מטלטלת את חיינו לבלי הכר והשפעותיה ייחקרו עוד שנים רבות. המגפה תפסה את רובנו לא מוכנים. אחד השינויים הוא בדפוסי העבודה והצורך לעבוד מהבית. באבחה אחת מצאו את עצמם מקבלי החלטות אל מול מציאות שונה שבה, על מנת לשמר את הרציפות העסקית והכלכלית של הארגון, יש צורך לאפשר לעובדים לעבוד מהבית – דבר שדורש השקעות גדולות בתשתיות, בתקופה שבה ארגונים נדרשים להצטמצם משמעותית.
טרום המגפה, ההשקעות בתשתיות הארגוניות נועדו למקסם אותן. עכשיו, מקבלי ההחלטות נדרשים להשקיע הרבה מאוד כסף, באופן מיידי, ברכש של תשתיות IT ואבטחת מידע, בנוסף להשקעות הקיימות. זאת במטרה אחת בלבד: לאפשר לרציפות העסקית להמשיך להתקיים. ואיך יממש זאת המנמ"ר בזמן אפס? בהכללה גסה, על ידי שעתוק וכיוונון של אותן אבני בניין שבבסיס תשתית ה-IT הפנים ארגונית אל התשתית החדשה, כך שיתאימו לסביבת העבודה החדשה.
ביציאה למהלך הזה קורים מספר דברים ששווה לתת עליהם את הדעת:
- מרחב איום הייחוס משתנה – מרחב שטח התקיפה של התוקף גדל ותוקף שעד עתה מצא את עצמו משקיע משאבים רבים בפריצת מדיניות אבטחת המידע של הארגון מקבל כעת, על "מגש של זהב", גישה לליבת הארגון דרך כל עובד בו שעובד מהבית, בצורה לא מוגנת.
- קרוב לוודאי שאותם אתגרים אבטחתיים שהיו בתשתית הפנים ארגונית הקודמת יתקיימו גם בסביבה החדשה, ובעוצמות גדולות יותר. לא סוד הוא שקבוצות התקיפה מצליחות לדלג על מעגלי אבטחה רבים בדרכן ל-"גביע הקדוש".
- הגדלה של תשתיות מעלה בהכרח את העומס על קבוצות התפעול השונות, שיתמקדו בהטמעה של המוצרים החדשים ובכלי הניטור וההתראה, ומכבידה מאוד על מימוש מדיניות האבטחה. ארגון שמטפל ב-X התראות בחודש מוצא את עצמו במכפיל תפעולי גדול מאוד, כשהקושי האמיתי הוא לברור את המוץ מן התבן.
הגדרה – ויישומה בשטח
על פי האקדמיה ללשון העברית, ההגדרה למונח מודיעין היא שירות למסירת מידע, ומוסד לאיסוף מידע באמצעי בילוש או ריגול לשם שמירה על ביטחון המדינה. בהמשלה לעולם שלנו, שימוש נכון במודיעין יכול לעזור לנו להתמודד טוב יותר עם המתקפה הבאה ואף למנוע אותה. אנחנו חייבים להבין שמודיעין הוא כלי קריטי בקבלת וניתוח החלטות (ראו מקרה מלחמת יום כיפור). ככל שנדע לאסוף בצורה מיטבית ורציפה את המידע שכבר קיים ממילא בארגון למאגר מודיעין אחד, נדע לנתח אותו נכון, עצמאית או על ידי שירות מתקדם יותר של "קמ"ן (קצין מודיעין)", ובהכרח נדע להשתמש בתוצרים אלה בצורה נכונה יותר, וכך נשפר את רמת האבטחה של הארגון לאין שיעור. הייעול והשיפור מתורגמים לכסף ומשאבים שהארגון יכול לתעל לצרכים אחרים.
הרבה תוקפים ברמה המדינתית (צפון קוריאה, איראן, סין ורוסיה) משתמשים בכלים המדינתיים שלהם (ולא רק) על מנת לפרוץ לארגונים מסחריים ולעשות בהם שמות. אנחנו נוטים לשכוח שבצד השני של המקלדת יושבים אנשים בשר ודם כמונו, שלפני שהם תוקפים הם לומדים את הנתקף היטב, ורק אז יוצאים לפעולה. ככל שנבין מי הן קבוצות התקיפה, מה האינטרסים שלהן, באילו כלים הן משתמשות ובאילו מגזרים הן פועלות, כך נבין את גודל האיום שעומד לפנינו.
איך משתמשים במודיעין ככלי עבודה מרכזי?
כדי להביא למימוש המודיעין ככלי עבודה מרכזי יש כמה דרכי פעולה אפשריות:
שימוש בפורטל המודיעין Mandiant Advantage. מדובר בכלי קריטי במאמץ להבין מי הם התוקפים הפוטנציאלים של הארגון, באילו כלים הם משתמשים והאם מתקיים סחר במידע של הארגון בדארקנט. כמו כן , חשוב לזכור שלרוב תוקפים מדינתיים לא פועלים באזור אחד, ולכן הרבה פעמים נוכל לנצל את המידע שמופיע בפורטל ולממש אותו במערכות האבטחה של הארגון בכמה אזורים, וכך למנוע את התקפה הבאה. כאן אתם יכולים להתנסות בפורטל זה, ללא התחייבות.
הגדלת הנראות ברשת (Visibility) בהכרח תרחיב את מאגר המודיעין של הארגון ותציף פיסות מידע חשובות.
לכל ארגון יש בין 30-ל 70 מערכות אבטחה שונות בממוצע. מערכות אלה אוספות, מנתחות ומציגות את מה שביקשנו מהן לבצע. לא פעם אנחנו רואים שהן כושלות בהבנת הקשר, מתן התראה בזמן, ניתוח ההקשרים השונים או גרוע מכך, לא מתריעות כלל על אירוע תקיפה שמתקיים. הסיבות לכך רבות – החל מכך שאנחנו לא תמיד יודעים את הקשרים בין המערכות השונות, רמת המקצועיות של ההון האנושי (עומס המשימות וכוח אדם מצומצם שלא מאפשר לאנשי המקצוע להתמקצע לעומק בטכנולוגיה במערכות אלה) והקשרים שביניהם. מערכת דוגמת Manidait Security Validation תאפשר לכם לוודא את יחסי הכוחות הטכנולוגיים, ההון האנושי וכמה הארגון עמיד בפני תוקף מדינתי, וזאת על ידי ביצוע של מבחני חדירות 24/7, שמאתגרים את המערך הארגוני בסימולציות בבדיקות חיות (Red Team) ולא רק עבור חידוש ביטוח הסייבר של הארגון.
שימוש בקמ"ן (אנליסט מודיעין), שביכולתו לקחת את פיסות המידע שנחבאות בהר הנתונים וההתראות, ולחבר אותן לתמונת מודיעין אחת, שתאפשר הבנה טובה יותר של איום הייחוס ותמקד טוב יותר את המשאבים של הארגון בהתמודדות מול התוקפים והמתקפה הבאה.
לסיום, העולם משתנה לנגד עינינו. התקפות הסייבר הופכות למתוחכמות יותר, נועזות יותר וקשות יותר למיגור. הדרך להתמודד היא לא להוסיף עוד מאותו הדבר ולהגיד יהיה בסדר, אלא לעמוד אל מול האיום האמיתי בצורה רצינית ויצירתית, להבין מי הם התוקפים, האם אנחנו ערוכים היום למתקפה של מחר ואיך אנחנו עומדים איתן מול העתיד. וזו, בהקשר שלנו, התשובה לשאלה "אז למה לי מודיעין עכשיו?".
להרשמה לאירוע לחצו כאן.
