מהפכת הסייבר סקיוריטי – It's Time to Detect

חדשות רעות להאקרים: הזמן הממוצע שלוקח למערכות לוחמת הסייבר החדישות לזהות תוכנת ריגול או לאתר וירוס הצטמצם באלפי אחוזים ועומד על 15 שעות בלבד * גל עופרי, CTO ומנהל הפיתוח העסקי בחטיבה העסקית של בזק בינלאומי, מספר על השינוי בגישה והתמורות הטכנולוגיות בעולם אבטחת המידע * טקסט חובה על המהלך שעשוי להציל את הארגון שלכם מקריסה.

213 ימים. זהו פרק הזמן, בממוצע, שלוקח למערכת ממוחשבת המצוידת במערכות אבטחת מידע מתקדמות לזהות נוזקה (Malware) שהוחדרה לסיסטם. המשמעות: מרגע שהאקר הצליח לאתר אצלכם פרצת אבטחה ועד לרגע שבו תצליחו לאתר את תוכנת הריגול (או התולעת/סוס טרויאני/וירוס) שהושתלה אצלכם במערכת, יעברו משהו כמו שבעה חודשים. מדובר, מן הסתם, בנצח מבחינה עסקית – תקופה שבה כל מאגרי המידע של הארגון עלולים להיות חשופים למתחרים, שישמחו לאמץ אליהם את הדאטה שלכם ולדעת מה הצעד הבא שאתם מתכננים.

ולחדשות הטובות: שינוי בסיסי בגישת האבטחה ומעבר למוד של לוחמת סייבר יכול לקצר את מועד איתור הנוזקה בשיעור פנומנלי. אימוץ מנגנוני סייבר סקיוריטי צפוי לקצר את זמן האיתור (Time to Detect) מרגע החדרת התוכנה הזדונית ועד לרגע שבו מערכת אבטחת המידע החלה בחיסול ממוקד שלה ל-15 שעות בלבד – 0.03% מזמן האיתור בגישה הישנה.

"ההבדל המרכזי בין 'סקיוריטי' לבין 'סייבר' הוא הפער בין 'ידוע' ל'לא ידוע'", אומר גל עופרי, CTO ומנהל הפיתוח העסקי בחטיבה העסקית של בזק בינלאומי, החברה המתקדמת בישראל בנושא טכנולוגיית מידע (IT) ומתן פתרונות אבטחה בנושאי מתקפת סייבר. "הגישה שאנחנו מאמצים כיום בכל הנוגע לאבטחת מידע היא גישה של Zero Trust – אפס אמון בכל קובץ ובכל משתמש שקיימים אצלנו במערכת, כדי להפוך את ה'לא ידוע' ל'ידוע'".

זה שאתה פרנואיד לא אומר שלא רודפים אחריך

גישת חוסר האמון הזו מאפיינת את התמורות הטכנולוגיות והשינויים בהרגלי המשתמש בעידן הנוכחי, שבו גבולות ופרטיות הפכו למונחים היסטוריים. אם בעבר ניתן היה לדבר על הפרדה מוחלטת בין שימושים מקצועיים במערכות ממוחשבות במקומות העבודה לבין גלישה פרטית של המשתמשים השונים, כיום החשבונות הפרטיים של העובדים בארגון מסונכרנים עם היוזר המקצועי ורשתות חברתיות נמצאות בכל מקום ואתר.

גם במקרים נדירים שבהם מצליחים לייצר מערכת מחשב ארגונית שמשמשת לעשייה מקצועית נטו, הסיכונים קיימים בכל התחברות, משום שרובנו המכריע עושה שימוש במחשבים ניידים הנודדים בין רשתות ובמכשירים סלולריים החשופים לשלל אפליקציות זרות. במצב כזה יש לתת דגש מיוחד על בקרת גישה לרשת (Network Access Control, או בקיצור NAC), כשהמטרה היא לא רק מניעת גישה מגורמים עוינים אלא גם מניעת נזק שנעשה בשוגג על ידי אנשים מתוך המערכת שנחשפו לתוכנות זדוניות מבלי ידיעתם.

"בעבר", מסביר עופרי, "התייחסנו אל המערכת הסגורה שלנו כאל אזור בטוח ויצאנו מנקודת הנחה שמה שקיים בתוך המערכת יהיה נקי מגורמים עוינים. בגישה המסורתית של אבטחת המידע, הסתפקנו במנגנוני אבטחה שיחצצו בין המערכת שלנו לבין מה שקורה בחוץ, עם תוכנות כמו פיירוול או אנטי וירוס. כיום אנחנו לא יכולים להרשות לעצמנו להסתמך רק על זה".

לפי הגישה הזו, כל מה שעובר ברשת – נבדק. המשמעות האופרטיבית היא שכיום כבר לא מחכים לרגע שבו הנוזקה תעלה על המכ"ם (מה שעשוי לקחת כמה חודשים, כאמור) אלא בוחנים מקרוב התנהגויות של כל מה שעובר דרך המערכת – מבפנים ומבחוץ.

"בעבר היה הגיוני לאפשר לאנטי וירוס לחסום ניסיונות חדירה ולחכות שהמערכת תזהה קבצים נגועים, עם חתימה שמזוהה כגורם עוין, ובהם היינו נלחמים", אומר עופרי. "כיום, התפיסה שונה לגמרי. אנחנו לא נותנים אמון בשום דבר ומריצים בדיקות מקיפות על כל תוכנה, כל אפליקציה וכל קובץ קיימים. אם בדור הישן של אבטחת המידע חיפשנו חתימה, כיום אנחנו פועלים כדי לזהות דפוסי התנהגות. וזה הבדל של שמים וארץ".

הניסיון מצטבר מהגנה על 40% מתעבורת התקשורת בישראל

תפיסת האבטחה שאותה מייצג עופרי מנחה את בזק בינלאומי, המגנה על כ-40% מתעבורת האינטרנט של מדינת ישראל ובכלל זה על אלפי חברות עסקיות וכמה מהארגונים הגדולים בישראל, מקומות שבהם נושא של אבטחת מידע הוא עניין אלמנטרי שבלעדיו הארגון עלול לקרוס.

"כשאנחנו ניגשים לתכנן מערך אבטחה אנחנו מתחילים בלשבת עם הלקוח ולהבין ממנו מה הדרישות של המערכת שלו, איזה וקטורים פעילים אצלו, מה האזורים שחשופים אצלו לפגיעה ומאיפה צריך לתקוף", מתאר עופרי את שלב הבסיס בתכנון האסטרטגי של מהלך הגנת הסייבר של הארגון, המבוסס על עבודה במודל השכבות – אינטגרציה של מספר פתרונות אבטחת מידע במטרה להשיג כיסוי מרבי. "אצל אחד אנחנו מזהים שעיקר החשיפה מתבצעת באמצעות מערכת המיילים, אצל אחר הבעיה ממוקדת בזיהוי משתמשים. יש ארגונים שבהם צריך לספק מערך תגובה לתקיפות סייבר מ-A ל-Z, יש כאלה שאצלם חשוב להתמקד ב-NAC או בווקטורים ספציפיים אחרים".

ובהקשר זה, אומר עופרי, ברור שבמרבית הארגונים המענה שנידרש לתת לבעיות אבטחת סייבר מגיע אחרי שבארגון כבר השקיעו לא מעט באבטחת מידע ובתוכנות הגנה: "אנחנו תופרים לכל אחד חליפה שמתאימה לו על בסיס הצרכים הארגוניים ובהתאם למערכות ההגנה שכבר קיימות אצלו. ברור לנו שאף ארגון לא מגיע חשוף לגמרי, התפקיד שלנו הוא לזהות איפה הפרצה ולהציע את המערכת המתאימה שתסייע לסגור אותה".

שת"פ עולמי: מאגר מידע ענן אחד של נתוני סייבר ….בשביל כולם 

בשלב הבא נעשה שימוש במרכז האבטחה, הניטור והבקרה (SOC) של בזק בינלאומי, המתמחה בלוחמת סייבר. מרכז האבטחה נשען על פלטפורמת התשתית שרק בזק בינלאומי מסוגלת לייצר בישראל – הכוללת שיתוף פעולה עם חברות ענק המובילות בתחום לוחמת הסייבר ברחבי העולם ומוצרים של ענקיות תוכנה כמו CheckPoint, Fortinet, Cisco, PaloAlto, Juniper,HPE, McAfee ואחרים.

"נושא של אבטחת מידע הוא משחק תופסת בלתי נגמר, כשלהאקרים יש יתרון ברור על פנינו – הם תמיד מקדימים ואנחנו תמיד רודפים", מודה עופרי, "אבל בשנתיים האחרונות, עם שינוי הגישה ואימוץ מדיניות של Zero Trust אפשר לראות איך הפערים האלה הולכים ומצטמצמים בצורה דרמטית. אם בעבר האקרים היו חולקים ביניהם מידע בדארקנט בזמן שאצל הכוחות שנלחמים בהם כל אחד עמד ברשות עצמו כיום יש שיתוף פעולה מלא בין מערכות ההגנה וזה הקפיץ אותנו למקום אחר בקרב הזה".

שיתוף הפעולה שעליו מדבר עופרי בא לביטוי בענן מידע בינלאומי המשמש למאגר נתוני סייבר מכל רחבי העולם, על ידי מערכות ההגנה של ענקיות הטכנולוגיה השונות: "אם, למשל, אני מתקין אצלך מערכת של Fortinet, היא עוברת על כל הקבצים שנכנסים אליך למערכת וברגע שהיא מזהה קובץ שעשוי להיראות כחשוד היא אוטומטית מתחברת למאגר הנתונים בענן ומחפשת אם יש זיהוי דומה לו ממקום אחר בעולם. אם, נניח, מישהו בספרד, איתר וירוס כזה אז הוא מיד מתעדכן שמדובר בבעיה והמערכת מחסלת אותו. אם לא – אתה יכול להמשיך הלאה. הקובץ החשוד ייכנס למערכת כדי לא לתקוע את העבודה התקינה, אבל המערכת תסמן אותו".

גישת האמון המוגבל תוביל את המערכת לעקוב מקרוב אחר ההתנהגות של הקובץ החשוד, בניסיון לאתר אנומליה – פעילות לא אופיינית שעלולה להעיד על כך שמדובר בתוכנה זדונית שהושתלה למערכת: "הרעיון הוא לזהות את ה-Unknown. ברגע שאתה מאתר את האנומליה הזו בקובץ שנכנס למערכת אתה תדע שאתה צריך להתגונן מפניו וזה משהו שכיום ייקח לנו עד 15 שעות לעשות, בזכות ההיערכות המחודשת בכל נושא לוחמת הסייבר. השילוב של גישת ה-Zero Trust, מיקוד הצרכים המדויק לכל ארגון, הטכנולוגיה המשופרת של מערכות האבטחה החדישות והענן שמאפשר להתעדכן בזמן אמת בכל התפתחות חריגה ברחבי העולם העמידו אותנו במקום שבו הלקוחות שבוחרים לעבוד עם בזק בינלאומי נהנים מרמת אבטחה שרק לפני שנתיים הייתה נשמעת דמיונית".

 

  • המידע בחסות בזק בינלאומי Business, חברת התקשורת והאינטגרציה המספקת פתרונות IT מקצה לקצה ומתמחה באבטחת סייבר
  • מעוניינים לשמוע עוד פרטים? אתם מוזמנים ליצור איתנו קשר באמצעות תיבת הדוא"ל :קובי מזרחי, מנהל מוצר שיווק עסקי בבזק בינלאומי  – kobimi@bezeqint.co.il