תהליכי מודרניזציה בכלי הגנת הסייבר הארגוני

התמודדות עם איומי סייבר היא אתגר שמעסיק רבות את הארגונים היום. מודרניזציה וטכנולוגיות מתקדמות משנות באופן מהותי את האופן שבו ארגונים פועלים כיום, וניתן לראות שיותר ויותר ארגונים מאפשרים עבודה מרחוק, מנצלים את הגמישות והחוזק של פלטפורמות הענן ומשנים את מבנה מרכזי הנתונים המסורתיים שלהם. כל אלה תורמים רבות לצמיחה וליכולת גמישות עסקית מול דרישות השוק המשתנות.

במקביל, איומי הסייבר מתפתחים גם הם ויוצרים אתגרים חדשים. איומי הכופרה הינם כיום תחום הפשיעה הצומח ביותר בעולם. המידע הארגוני שערכו כנכס הארגוני הגדול ביותר מהווה מוטיבציה מרכזית לגורמים עוינים, שמנסים להשיגו, ובנוסף על כך היטשטשות הגבולות הפיזיים של הארגון על ידי עבודה מרחוק ושימוש במשאבי מחשוב ענניים יוצרים משטחי תקיפה חדשים.

ההתמודדות עם איומי הסייבר המודרניים דורשת מארגונים לעבוד בצורה שונה על מנת להיות מסוגלים להכיל אותם באמצעות הגנה, זיהוי ותגובה. הארגונים מצוידים היום במיטב הטכנולוגיות המסייעות להם להגן על נכסיהם, מערכות להגנת עמדות הקצה, הרשת הארגונית, הנתונים, שרתי הדואר, גלישה באינטרנט וכו', ולכן כשבאים לבחון מתקפות סייבר, רואים יותר מתקפות מורכבות מרובות שלבים, כאשר כל שלב ושלב נראה כפעולה לגיטימית. למעשה, התוקפים מודעים ליכולות ולכלים המסורתיים שברשותם של ארגונים, ולכן פועלים בשרשרת פעולות לגיטימיות, שסך מרכיביה מאפשרים לתוקף ליצור דלת כניסה לארגון ולקבל שליטה מלאה בנכסים הארגוניים. משם התוקף יכול לקחת את ההצלחה למתקפת כופרה, לזליגת מידע ולכל מתקפה אחרת שבה הוא יכול לייצר לעצמו ערך נכס כלכלי או ערכי אחר.

בהגנה מסורתית הארגון אוסף לוגים/נתונים מהשירותים והרכיבים ישירות לשירות מרכזי ומסתכל על דו"חות האבטחה כדי להבין מה התרחש. כאשר כל שורה נראית לגיטימית, קשה לזהות מתקפות רוחביות, וכאשר הנתונים מגיעים ממספר רב של מקורות חיצוניים, או כאשר ישנן מערכות הגנה מיושנות או לא עדכניות, קשה לזהות קשרים סיבתיים ולייצר כללי הגנה ומניעה כדי לחסום אותם.

יצרני כלי הגנה רבים עוברים לספק שירותי הגנה המבוססים הן על התקנה מקומית והן כחלק משירות ענני. יכולת זו מאפשרת למוצרים להישאר עדכניים תמיד, לדעת לנתח התנהגויות לגיטימיות ולתת לכל פעולה ציון סיכון מבוסס למידת מכונה ויכולות חיזוי. על בסיס זה מוצרים אלה מרחיבים את המענה לאירועים מתקדמים ומאפשרים פיתוח של חוקי מניעה בהתאם.

במערכות אבטחה מקומיות. איסוף וניתוח נתונים מורכבים מתחנות הקצה, ובכלל זה פעולות המשתמשים, כגון הזדהות ופתיחת קבצים או פעולות במערכת ההפעלה, גישה למערכות ודפוסי התנהגות, אינה יכולה להתרחש מהר או בזמן אמת על מנת לאפשר לארגונים להבין שהם בעיצומה של מתקפה ולמנוע אותה. לעומת זאת, שירותי אבטחה ענניים מסוגלים לספק מענה מקיף, לזהות התנהגויות שאינן טיפוסית ולהתריע על פגיעה אפשרית. חיבור התנהגויות חשודות יחדיו למעקב תהליכי שלם מאפשר לארגון לזהות דפוסי התנהגות זדוניים ולטפל בהם בשלביהם הראשונים.

כדוגמה, ניתן לקחת את התפתחות קבוצת הכופרה Ryuk, שהחלה את פעולתה בשנת 2018 ופעילה עד היום, והיא בעיקר ממוקדת בארגונים ובחברות גדולות, בארגוני בריאות, פיננסים ותאגידים, המסוגלים לשלם כסף רב עבור מתקפות כופרה מתקדמות, שעלות הביצוע שלהן יקרה ביחס למתקפות כופרה סטנדרטיות. מתקפת כופרה Humen Operated Ransomware המאפיינת את Ryuk מתחילה בפישינג – משתמש ארגוני מקבל מייל שנראה לגיטימי ובווריאציות שונות המתעדכנות בהתאם לארגון ולכלי ההגנה שלו, ולאחר איסוף מידע מקדים ממתקפות קודמות, עוברת התקיפה לממד טרויאני, שבו, בתהליך מהיר ונסתר שגם הוא מותאם נקודתית לתקיפה ולארגון, יורדת לתחנת העבודה שורת פקודות הנראות לגיטימיות, המתחילה את תהליך התבססותה ברשת הארגונים תוך כדי ניצול חולשות IT במערכת הזהויות הארגונית, מתוך כוונה להגיע למשתמש בעל הרשאות גבוהות. התקיפה לוקחת שליטה על שירותי הזהויות בארגון ומשם, על ידי ייצור של משתמשים שנראים לגיטימיים מתקינה את רכיב ההצפנה על כל התחנות והשרתים בארגון, כולל ניסיונות גישה לשירותי הגיבוי בארגון.

כלי הגנה ענניים

פיתוח כלי הגנה ענניים מבוסס על יכולת היצרן לקבל ראייה עולמית על המתרחש בנוף הסייבר העדכני, ולרתום את ממצאיהן של מתקפות בחלק אחד של העולם לטובת כלל הלקוחות בשאר העולם. קבלת תובנות מהמוצרים השונים בסל השירותים שלו וחיבורם יחד למנגנון איומים חכם העומד לרשות לקוחותיו. יכולת נוספת היא לאמן את מנגנוני למידת המכונה והחיזוי על כמות עצומה של נתונים המגיעים ממקורות מידע שונים ומשיתופי פעולה מדינתיים, על מנת לדייק את האלגוריתמים השונים, לצמצם התראות False Positive ולהיות מסוגל לפרש סידרת פעולות לגיטימיות למתקפת סייבר עדכנית ב-Near Realtime, וכן להפעיל את יכולת המניעה הנכונה בצורה אוטומטית על מנת לעצור אותה.

הכותב הוא מנהל אבטחת מידע לאומי, מיקרוסופט ישראל.