בפועל אותו אתגר להגן על הארגון מתקיים ברמה היומית בכל הרובד הניהולי הבכיר בארגון. ללא ספק בליבת העשייה (או בעין הסערה אם תרצו) נמצא
ה-CISO וה-CIO, אך המורכבות באיומי הסייבר לא פוסחת על סמנכ"ל הכספים שצריך להתמודד עם עלייה בהוצאות קפיטליות ותפעוליות הנדרשות לעמידה באותם אתגרים שלא לומר חלילה להתאושש מאירוע וכלה במנהל הסיכון והרגולציה בארגון וכמובן בעל השפעה ישירה על המנכ"ל/CEO שמחויב לזמינות השירותים העסקיים/התוצרת של החברה אותה הוא מנהל ועד לשכבת הדירקטוריון ו/או הבעלים.
אותה החמרה באיומי הסייבר נשענת על הרחבה משמעותית של מישור הפגיעות בארגון וזאת מחד בעקבות אימוץ טכנולוגיות חדשות כגון דיגיטציה של תהליכים ויישומים מתקדמים, ומאידך שינוי במתאר המרחבי הארגוני ובמודל של יישום מערכות המידע ע"י שילוב פלטפורמות ניידות ומיגרציה ליישומי ותשתיות ענן.
השילוב של אותם אתגרים מייצר פרדוקס מורכב בו נדרש לתת מענה לכמות גדולה יותר של אירועי סייבר ולרמת מורכבות גדולה משמעותית של חולשות ארגוניות ונוזקות פוטנציאליות לצד התבססות על צוותי IT מצומצמים, שכן המורכבות בהתגוננות והתאוששות מאירועי סייבר מייצרת עומס משמעותי מעל לשגרת המטלות השגרתית שעדיין מתבקשת בסביבת מרובת משתמשים ותשתיות.
ללא ספק קיים צורך ברור ומידי לאימוץ טכנולוגיות ושיטות שמאפשרות התייעלות והסבת המיקוד של צוותי ההגנה מהשקעה בפעולות סיזיפיות-חוזרות בעלות פוטנציאל הגנה נמוך אל מקומות בהם ניתן למקסם את יכולת ההגנה וההתמודדות עם איומים מורכבים. אבל כל זה נשמע כאוסף סיסמאות אם לא פורטים אותם לטקטיקות וטכנולוגיות ובזה נעסוק.
זה זמן מה שאנחנו בתעשייה מבינים את היכולת המוגבלת של מנגנוני אבטחה לוגיים המבוססים על חוקה סטטית וחתימות לתת מענה הולם לרובד האיומים הבינוני-גבוה.
ללא ספק כל ארגון שלא אימץ קו-הגנה אנליטי חוטא לעצמו ופוגע ביכולת שלו לבלום איומים- אבל המשמעות לייצר שכבת הגנה אינה טריוויאלית.
הדרך שהרבה ארגונים בחרו לשפר את מערך ההגנה נשענת על מודל Means to an End או אם תרצו שיטת "הפלסטר", כל שינוי במשטח האיום או בווקטור איום חדש פוטנציאלי מובילה את הארגון ליישם מערכת נקודתית, וכך ארגונים מוצאים את עצמם עם עשרות מנגנוני אבטחה מיצרנים שונים כאשר ההיתוך והסינרגיה בין המערכות קורה במקרה הטוב במערכת ה SIEM. הכל נראה מתפקד בימים כתיקונם אבל אירוע משמעותי שולח כל CSO "לזגזג" בין עשרות ממשקי ניהול בתסכול לא מבוטל תוך מאמץ בבלימה והכלת האירוע.
זו נקודה מצוינת במאמר לדבר על טכנולוגיות אוטומציה ואני תומך נלהב ביישום פלטפורמות SOAR, אבל אני רוצה להשאיר את הדיון במיקוד ההגנה.
אז איך בכל זאת מיישמים הגנה אנליטית מתקדמת שמאפשרת התמודדות עם איומים מורכבים לצד התייעלות ביישום ההגנה ומקסום המשאבים האנושיים ומתוך הבנה שאיומים ואירועים התרחשו בעבר ויתרחשו בעתיד בכל ארגון?
ואיך אותה הגנה יכולה לתת כלים לבלימת האירוע בציר הזמן, לזיהוי ובלימה של תנועת איומים רוחבית Lateral Movement ולהכלה מהירה ואפקטיבית יותר?
התשובה לשאלות אלו מתבססת על פלטפורמות הגנה שתוכננו ופותחו מהיום הראשון לסביבה עתירת איומים תוך התבססות על מנגנוני הגנה אנליטיים מובנים ושילוב מודיעין סייבר עשיר בניגוד לפלטפורמות שפותחו כמערכות הגנה סטטיות ושופרו במספר אלמנטים מתקדמים.
חשיבות נוספת היא בפריסת מערך נראות (Visibility), שמאפשר יצירת עותק של התעבורה ושילוב טכנולוגיות הגנה וניטור בצמתים הקריטיים ברשת מבלי לבצע שינוי בארכיטקטורת הרשת.
טכנולוגיית Visibility מתקדמות כגון אלו שמיוצרות ע"י חברת IXIA Keysight, מהוות מכפיל כוח ביכולת הארגון להתמודד עם איומים מורכבים ולשילוב מנגנוני הגנה אנליטיים ללא פגיעה או שיבוש פוטנציאלי של הרשת או צורך לבצע שינוי בתצורה הרשתית.
למערכות ה Visibility הנשענות מצד אחד על רכיבי איסוף פסיביים (Taps) ומצד שני על רכזות אגרגציה מתקדמות בטכנולוגיית NPB (Network Packet Broker) השפעה על יכולת אבטחה של תעבורה קריטית ושילוב מערכות אבטחה ושו"ב שונות.
למערכות ה Visibility יכולת לתמוך בתכונות קריטיות לאבטחה אנליטית:
- איסוף עותק אחוד של התעבורה
- יצירת תעבורת Metadata ממקור אחוד
- שידור של עותק תעבורה אמיתי לסביבות בדיקה
- מיסוך מידע "רגיש"
- טיפול בהצפנות SSL ו TLS
- סנכרון לוגים
- אוטומציה של תהליכים ובדיקות.
מערכות אלו כוללות רכיבי איסוף ואגרגציה לכל הסביבות הטכנולוגיות הרלוונטיות לרבות On-Prem, ענן, קונטיינרים וכו'.
מערכות ה Visibility תומכות בהתייעלות משמעותית של מערכות ההגנה בארגון.
