תחילת עידן ה-EDR – האם זה סופו של האנטי וירוס?
בתקופה שבה אנחנו שומעים על מתקפות סייבר חדשות לבקרים, יכולות משולבות של מניעה, זיהוי ותגובה הופכות להיות הסטנדרט החדש ● ככל שתזהו איומים מוקדם יותר, כך הסיכוי שלכם למנוע את המתקפה גבוה יותר
שנת הקורונה הייתה השנה שבה הגבולות הפיזיים של המשרד הפכו להיות וירטואליים והתרחבו בן לילה מרשת ארגונית לרשת רחבה, הכוללת גם עמדות קצה בבתי העובדים. עבודה מרחוק/מהבית הפכה להיות השגרה החדשה, והמצב החדש יצר לא מעט הזדמנויות לתוקפים לנסות לחדור לארגונים.
על פי דיווח של ה-FBI האמריקני, בשנת 2020 חלה עלייה דרמטית של 400% בכמות התלונות שמתקבלות בחטיבת הסייבר של הארגון בהשוואה לתקופה המקבילה טרום הקורונה. ועל פי נתונים מדו"ח לשנת 2020 של מערך הסייבר – חל זינוק של 50% בהתקפות הסייבר בהשוואה ל-2019 על כ-1,400 ארגונים ישראליים.
השנה האחרונה האיצה את ההסתכלות על אירועי סייבר. לא עוד מיקוד במניעה וחסימה של מתקפות, אלא גם זיהוי איומים כביכול תמימים שחודרים לרשת, אך מבססים את עצמם וממתינים לשעת כושר.
היערכות מקדימה וניהול אירועי האבטחה תלויים בזיהוי מוקדם של התראות ואירועים, ניטור ותגובה מותאמים. כל אלה קריטיים ביכולת של ארגונים לצלוח משברים של אבטחת מידע.
האם ידעתם שהזמן משלב החדירה לתשתית ועד הזיהוי והתגובה אורך בממוצע כ-197 ימים? זהו נתון לא יאומן. בכל רגע נתון יכול להיות שתוקפים מבססים את עצמם ברשת הארגון – ומנהלי אבטחה כלל לא מודעים לכך.
הצעד הראשון לסגירת הפרת האבטחה הוא לזהות אותה בהקדם האפשרי.
האם די באנטי וירוס?
אנטי וירוס מונע מגוון איומים ומזיקים, אך חדירות או מתקפות בארגונים לא בהכרח חודרות לארגון כאיום או מזיק. בשלב הראשון החדירה לא בהכרח תסווג כאיום, כי היא באמת לא איום בשלב זה. התוקפים מעוניינים קודם כל לחדור לארגון ולאחר שיתבססו ברשת הארגון וילמדו אותה, הם ימתינו לשעת הכושר המתאימה מבחינתם לתקיפה בפועל – ואז זה כבר מאוחר מדי.
בנוסף, תוכנות האנטי וירוס ימנעו את המתקפה על הארגון, אבל לא יספקו נראות מאיפה המתקפה הגיעה ואיך היא התפשטה ברשת הארגונית.
אנטי וירוס חזק ויציב, כזה שפועל ברקע ולא מפריע לפעילות השוטפת הוא הגנה הכרחית שאי אפשר לוותר עליה. ואולם בנוסף לאנטי וירוס יש לדאוג לכמה שכבות הגנה נוספות בהתאם לצורכי הארגון ולתקציב שלו, ובמקביל חשוב מאוד, כמובן, להגביר את מודעות עובדים לאבטחת המידע בארגון, שכן לא מעט מהחדירות לארגון נעשות בשל הגורם האנושי.
עיניים ברשת הארגונית, או במילים אחרות EDR
EDR (ר"ת Endpoint Detect and Respond) משקף תפיסה של הסתכלות מ"מבט על" על הרשת הארגונית – לא רק מניעת מתקפות, אלא ניטור אירועי אבטחה מבעוד מועד, יכולת לתחקר אותם לעומק ולהגיב עליהם.
במילים פשוטות, EDR הוא העיניים של מנהלי האבטחה. פתרון EDR מספק נראות של הרשת, איך המתקפה חדרה לארגון ומה קרה מהרגע שהיא חדרה לארגון. באמצעות פתרון זה אפשר לזהות מתקפות שטרם נצפו בעבר (Zero-Day) מתקפות APT, מתקפות fileless וכו'.
פתרון ה-EDR של ESET מכיל שלושה רכיבים עיקריים:
זיהוי – מנוע זיהוי מבוסס למידת מכונה ובינה מלאכותית על מנת לזהות אנומליות ופעולות חשודות.
נראות – המאפשרת תחקור מעמיק של תחנות הקצה המושפעות, האם הפעילות החשודה היא עוינת או לגיטימית? מה מקור האיום, מתי חדר לארגון, איך חדר? וכו'.
תגובה – יכולת להגיב לאירועים בזמן אמת על ידי חסימה של האירוע, אפשרות לבודד וכו'.
האם EDR הוא פתרון אוטומטי?
פתרונות EDR לרוב הם שילוב של אוטומציה וניהול אנושי. אין 100% אוטומציה, שכן מהות הפתרון היא לנטר אירועים. איש מקצוע נדרש להסתכל על האירועים לסווג אותם ולנהל אותם על פי מתודות עבודה מתאימות לארגון. לב ליבו של פתרון ה-EDR הוא בהתראות על אירועים והיכולת לנהל ולנטר אותן.
הסתכלות 360 על אבטחת הארגון
ניהול אבטחת הארגון הוא משימה מורכבת, ועל מנת להצליח לשמור על הארגון מפני תוקפים נדרשת הסתכלות 360 על הארגון. יש מגוון כלים המאפשרים חיזוי, מניעה, זיהוי ותגובה. החשיבות היא בשילוב של הפתרונות, כך שלמנהל אבטחת המידע תהיה מוטת שליטה רחבה ככל האפשר.
חשוב להשתמש בפתרונות המתמחים במניעה ובלימה של האיומים, כמו Endpoint Protection ופתרונות משלימים עם שכבות הגנה נוספות על מנת לצמצם את הסיכונים.
וכמובן חשוב לשלב יכולות EDR זיהוי, תחקור ותגובה, שיספקו עיניים ברשת למנהלי אבטחת המידע, כדי שיהיה ניתן לנטר אירועים עוד לפני שסווגו כאיומים ולהציל את הארגון מפני מתקפה פוטנציאלית.