• עברית
  • עברית

סייבקאסט בלוג

התייעלות ואפקטיביות בהגנת סייבר

תומר נורי , מנכ"ל The Cyber Edge – Strategic Cyber Services

במיתולוגיה היוונית מופיע סיזיפוס כמייסדה ומלכה המרושע של עיר הנמל קורינתוס, לאחר מותו
(ולאחר הסתבכות עם זאוס) נגזר עליו עונש לגלגל סלע ענק לראש ההר רק כדי להגיע לפסגה
ולראות אותו נופל חזרה למטה, מפעולה זו נגזר השימוש בביטוי "עבודה סיזיפית".
אף אחד היום לא מצפה מה- CISO הארגוני לגלגל סלעים במעלה ההר,
אך ההסלמה באיומי הסייבר על המרחב הארגוני מייצרת אתגר משמעותי ולא מעט "עבודה סיזיפית" לצד תסכול לצוותי ההגנה בארגון.

TOMER
Share on twitter
Share on email
Share on facebook
Share on whatsapp

 

בפועל אותו אתגר להגן על הארגון מתקיים ברמה היומית בכל הרובד הניהולי הבכיר בארגון. ללא ספק בליבת העשייה (או בעין הסערה אם תרצו) נמצא
ה-CISO וה-CIO, אך המורכבות באיומי הסייבר לא פוסחת על סמנכ"ל הכספים שצריך להתמודד עם עלייה בהוצאות קפיטליות ותפעוליות הנדרשות לעמידה באותם אתגרים שלא לומר חלילה להתאושש מאירוע וכלה במנהל הסיכון והרגולציה בארגון וכמובן בעל השפעה ישירה על המנכ"ל/CEO שמחויב לזמינות השירותים העסקיים/התוצרת של החברה אותה הוא מנהל ועד לשכבת הדירקטוריון ו/או הבעלים.

אותה החמרה באיומי הסייבר נשענת על הרחבה משמעותית של מישור הפגיעות בארגון וזאת מחד בעקבות אימוץ טכנולוגיות חדשות כגון דיגיטציה של תהליכים ויישומים מתקדמים, ומאידך שינוי במתאר המרחבי הארגוני ובמודל של יישום מערכות המידע ע"י שילוב פלטפורמות ניידות ומיגרציה ליישומי ותשתיות ענן.

השילוב של אותם אתגרים מייצר פרדוקס מורכב בו נדרש לתת מענה לכמות גדולה יותר של אירועי סייבר ולרמת מורכבות גדולה משמעותית של חולשות ארגוניות ונוזקות פוטנציאליות לצד התבססות על צוותי IT מצומצמים, שכן המורכבות בהתגוננות והתאוששות מאירועי סייבר מייצרת עומס משמעותי מעל לשגרת המטלות השגרתית שעדיין מתבקשת בסביבת מרובת משתמשים ותשתיות.

ללא ספק קיים צורך ברור ומידי לאימוץ טכנולוגיות ושיטות שמאפשרות התייעלות והסבת המיקוד של צוותי ההגנה מהשקעה בפעולות סיזיפיות-חוזרות בעלות פוטנציאל הגנה נמוך אל מקומות בהם ניתן למקסם את יכולת ההגנה וההתמודדות עם איומים מורכבים. אבל כל זה נשמע כאוסף סיסמאות אם לא פורטים אותם לטקטיקות וטכנולוגיות ובזה נעסוק.

זה זמן מה שאנחנו בתעשייה מבינים את היכולת המוגבלת של מנגנוני אבטחה לוגיים המבוססים על חוקה סטטית וחתימות לתת מענה הולם לרובד האיומים הבינוני-גבוה.
ללא ספק כל ארגון שלא אימץ קו-הגנה אנליטי חוטא לעצמו ופוגע ביכולת שלו לבלום איומים-  אבל המשמעות לייצר שכבת הגנה אינה טריוויאלית.
הדרך שהרבה ארגונים בחרו לשפר את מערך ההגנה נשענת על מודל Means to an End  או אם תרצו שיטת "הפלסטר", כל שינוי במשטח האיום או בווקטור איום חדש פוטנציאלי מובילה את הארגון ליישם מערכת נקודתית, וכך ארגונים מוצאים את עצמם עם עשרות מנגנוני אבטחה מיצרנים שונים כאשר ההיתוך והסינרגיה בין המערכות קורה במקרה הטוב במערכת ה SIEM. הכל נראה מתפקד בימים כתיקונם אבל אירוע משמעותי שולח כל CSO "לזגזג" בין עשרות ממשקי ניהול בתסכול לא מבוטל תוך מאמץ בבלימה והכלת האירוע. 

זו נקודה מצוינת במאמר לדבר על טכנולוגיות אוטומציה ואני תומך נלהב ביישום פלטפורמות SOAR, אבל אני רוצה להשאיר את הדיון במיקוד ההגנה.
אז איך בכל זאת מיישמים הגנה אנליטית מתקדמת שמאפשרת התמודדות עם איומים מורכבים לצד התייעלות ביישום ההגנה ומקסום המשאבים האנושיים ומתוך הבנה שאיומים ואירועים התרחשו בעבר ויתרחשו בעתיד בכל ארגון?
ואיך אותה הגנה יכולה לתת כלים לבלימת האירוע בציר הזמן, לזיהוי ובלימה של תנועת איומים  רוחבית Lateral Movement ולהכלה מהירה ואפקטיבית יותר?

התשובה לשאלות אלו מתבססת על פלטפורמות הגנה שתוכננו ופותחו מהיום הראשון לסביבה עתירת איומים תוך התבססות על מנגנוני הגנה אנליטיים מובנים ושילוב מודיעין סייבר עשיר בניגוד לפלטפורמות שפותחו כמערכות הגנה סטטיות ושופרו במספר אלמנטים מתקדמים.

חשיבות נוספת היא בפריסת מערך נראות (Visibility), שמאפשר יצירת עותק של התעבורה ושילוב טכנולוגיות הגנה וניטור בצמתים הקריטיים ברשת מבלי לבצע שינוי בארכיטקטורת הרשת.

טכנולוגיית Visibility מתקדמות כגון אלו שמיוצרות ע"י חברת  IXIA Keysight, מהוות מכפיל כוח ביכולת הארגון להתמודד עם איומים מורכבים ולשילוב מנגנוני הגנה אנליטיים ללא פגיעה או שיבוש פוטנציאלי של הרשת או צורך לבצע שינוי בתצורה הרשתית.

למערכות ה Visibility הנשענות מצד אחד על רכיבי איסוף פסיביים (Taps) ומצד שני על רכזות אגרגציה מתקדמות בטכנולוגיית NPB (Network Packet Broker) השפעה על יכולת אבטחה של תעבורה קריטית ושילוב מערכות אבטחה ושו"ב שונות.

למערכות ה Visibility יכולת לתמוך בתכונות קריטיות לאבטחה אנליטית:

  • איסוף עותק אחוד של התעבורה
  •  יצירת תעבורת Metadata ממקור אחוד
  • שידור של עותק תעבורה אמיתי לסביבות בדיקה
  •  מיסוך מידע "רגיש"
  • טיפול בהצפנות SSL  ו TLS
  • סנכרון לוגים
  • אוטומציה של תהליכים ובדיקות.

מערכות אלו כוללות רכיבי איסוף ואגרגציה לכל הסביבות הטכנולוגיות הרלוונטיות לרבות On-Prem, ענן, קונטיינרים וכו'.
מערכות ה Visibility תומכות בהתייעלות משמעותית של מערכות ההגנה בארגון.

Related Posts

צופן פיפיות-על האתגרים בזיהוי איומים בעידן של קריפטוגרפיה הוליסטית

 הצפנות היוו מאז ומעולם קו ההגנה הראשון בפני חשיפה וזליגת מידע והשיטה הטכנולוגית הנפוצה ביותר לשיתוף מידע פרטי בסביבה ציבורית, למידור מידע, לצד הבטחת אמינות המידע והמסרים. בעשור האחרון החשש המצוי מחולשות המידע בזמן "תנועה" (Data in Transit) הובילו לפיתוחים משמעותיים בתחום ההצפנה ולטכנולוגיות המאפשרות הצפנה רציפה, החל מהצפנה פוטונית

Breaking Point

מוצר הBreakingPoint  מדמה תעבורת אינטרנט ריאליסטית כדוגמת (Facebook, Twitter) ובנוסף מגוון רחב של התקפות (Exploit, Malware, Fuzzing, Botnet) הגורמות לחידלון שירותים. BreakingPoint בוחן ומאמת את רמת תשתיות אבטחת המידע האירגוניות ומקטין את רמת הפגיעות בשיעור של 80% ובנוסף מסייע ברמת מוכנות הארגונים להתמודד טוב יותר עם התקפות בזמן אמת בשיעור

Threat Simulator

 Threat Simulator היא פלטפורמת סימולציה של פריצה והתקפה (BAS), הבנויה על 20+ שנות מנהיגות בבדיקות אבטחת רשת. על ידי הדמית ה Kill Chain של התקפות הסייבר ברשתות הייצור שלהם, צוותי SecOps יכולים למדוד את יעילות האבטחה, לזהות פערים בכיסוי ולתקן פגיעות אפשריות לפני שתוקפים יכולים לנצל אותם. בעזרת Threat Simulator

דילוג לתוכן