מתמחים בשירותי MSSP לכל ארגון בישראל

בעידן של האקרים שמפעילים בוט-נטים ומקיימים מתקפות מסביב לשעון, יוני בגן, ראש מרכז הבקרה, הניטור וניהול מתקפות הסייבר (MSSP) מתמודד יום יום בקרב הקיברנטי הזה באמצעות מערך הגנה רב שכבתי, צוות אנליסטים מומחה ופתרונות טכנולוגיים חדישים.

בעידן הנוכחי, אחת המשימות המשמעותיות העומדות בפני כל ארגון היא שמירה על סביבת העבודה הממוחשבת נקייה ממפגעים ועצירת הגורמים שמעוניינים לחדור לליבה הפועמת של החברה: רשת המחשבים. בין אם מדובר בקונצרן היי-טק בינלאומי ובין אם בחברה מקומית, אבטחת רשת היא הבסיס לכל ארגון תאב חיים. גורמים עסקיים מתחרים, האקרים משולהבים שמחפשים לייצר פאניקה, פצחנים שמפעילים תוכנות כופר או כוחות עלומים שמחפשים להרחיב את מאגרי המידע שלהם – זה ממש לא משנה כרגע מי הוא האויב שמחכה לכם בחוץ. הדבר היחיד שחשוב הוא להשאיר אותו שם.

אם נמשיל את הסביבה הווירטואלית לעולם שסביבנו, אז מרכז הסייבר (SOC) כזו משולה למערכת אבטחה ואזעקה או למצלמות במעגל סגור שמותקנות מעל לדלת הכניסה האירגונית. כדי לשמור על האירגון שלכם מוגן, מומלץ לתת לחברת אבטחה בעלת מרכז בקרה 24/7 שתבדוק למה האזעקה התחילה לפעול באמצע הלילה, או בכל תרחיש מעורר חשד.

לצורך כך ניתן להיעזר בספק חיצוני לניהול שירותי אבטחה – או בקיצור: MSSP (Managed Security Service Provider).

"מרכז הבקרה שלנו תמיד מאויש. אנחנו עובדים מסביב לשעון, 24 שעות ביממה, 365 ימים בשנה, כולל יום כיפור, בכל מזג אוויר ובכל מצב בטחוני", מתחייב יוני בגן, האיש שעומד מאחורי הקמת מרכז הבקרה, הניטור וניהול מתקפות הסייבר של בזק בינלאומי. "נמצאים כאן מומחי סייבר וצוותי אבטחת מידע שעוסקים בניטור הדאטה שזורם מהמערכות השונות ובאנליזה של כל תנועה חשודה ברשת. הם בודקים מה קורה מתחת לרדאר, מנסים לאתר אנומליות, דברים שנראים לא טוב, כדי להבין מה המקור של כל בעיית אבטחה. וכמובן, ברגע שיש התראה ממהרים לנתח אותה ובהתאם לצורך מקפיצים צוות טכני שנמצא בכוננות בכל זמן נתון כדי לפתור את הבעיות".

להיות מוגן, שכבה אחר שכבה

במסגרת תפקידו כמנהל מערך בקרת רשת וסייבר לקוחות בבזק בינלאומי, מסביר בגן כי האסטרטגיה שמנחה את החברה בשדה הקרב מול ההאקרים למיניהם מבוססת בראש ובראשונה על יתרון הגודל שהיא מציעה ללקוחותיה – מדובר, אחרי הכל, בחברה המתקדמת בישראל בנושא טכנולוגיית מידע (IT) ומתן פתרונות אבטחה בנושאי מתקפת סייבר.

"בזק בינלאומי מחזיקה במטריה רחבה של פתרונות אבטחת מידע ויודעת לספק הגנה רב שכבתית ללקוח הפרטי ולארגון", אומר בגן. הרב שכבתיות מתחילה בשלב הטמעת הכלים בנקודות הקצה, במטרה לאתר, לתחקר ולטפל בפעילויות חשודות ובבעיות אבטחת מידע בשרתים ובתחנות העבודה (EDR – Endpoint Detection and Response).

לאחר הטיפול הממוקד בנקודות הקצה עוברים להגנה רוחבית באמצעות רכיבי הגנה לארגון – כמו אנטי וירוס ושלל תוכנות אחרות. שכבת ההגנה הבאה תהיה רשתית והיא מוטמעת על רשת בינלאומית ומנצלת את יכולות התשתית הייחודיות שרק בזק בינלאומי מספקת בישראל, ובכלל זה גם כבל תת ימי בעל קיבולת של 12.2TB (40% מתשתית האינטרנט של ישראל).

ואז מגיעה השכבה הרביעית: "את כל הרכיבים הללו אנחנו מנטרים 24/7 ממרכז ה-MSSP שלנו", אומר בגן. "תוך הישענות על התשתיות של בזק בינלאומי, שהיא גם ספקית אינטרנט מרכזית בשוק הישראלי וגם מתמחה בסינרגיה מלאה בין פתרונות תקשורת ו-IT, מה שנותן לה יתרון על פני מתחרים בשוק כשנדרשים לתת מענה לניטור ותגובה באירועי סייבר".

שדה הקרב העתידי כבר כאן

"המרחב הקיברנטי הוא שדה הקרב המודרני", אומר בגן, כשהוא מתייחס למציאות היומיומית שמחכה לו בעבודה – ולמעשה, משותפת גם לכל אחד מאיתנו, בין אם אנו מודעים לכך או לא. "זה שדה קרב בלי גבולות, בלי מגבלות פיזיות, בלי חשבון לקודים התנהגותיים מהעבר. כל אחד יכול להיכנס לרשת, לרכוש כלים ייעודיים ולפתוח במתקפה. היעדים יכולים להיות מטרות צבאיות ומודיעיניות או מטרות פיננסיות בינלאומיות אבל גם חברות מסחריות ועסקים פרטיים, ובעצם זה יכול להיות כל אחד בכל מקום".

ואם אתם עדיין חושבים שלכם זה לא יקרה, בגן יכול לתאר לכם אינספור מקרים שבהם הוא וחבורת האנליסטים שלו התערבו בזמן כדי להציל מערכות תקשורת שלמות מקריסה – ומקרים שבהם הם נקראו בדיעבד, כדי לנסות ולהציל רשת שנפרצה במקומות שהאמינו שאצלם להאקרים אין מה לחפש: "נוטים להתייחס ללוחמת סייבר כמשהו שרלוונטי רק לארגוני היי-טק, או למערכות צבאיות. זה כמובן קיים גם שם, אבל זה בהחלט משהו שמאוד רלוונטי גם ב LOW-TECH. היו מקרים בו מרכז הסייבר של בזק בינלאומי נדרש לסייע למפעלי LOW-TECH, חברות מדיה וחברות הייטק לאחר שנחשפו להתקפות נוזקה במערכות הארגון שלהן. כי מה זה מערכת מחשוב? זה הכל – ממשכורות לעובדים ועד לפס הייצור והאריזה, משירות לקוחות ועד לתפעול אתר להזמנות. שום דבר לא עבד במשך כמה ימים וכשמדובר במפעל זה נזק שיכול להגיע לחלק מאוד מכובד מהמחזור החודשי שנשרף. יש ארגונים שיכולים לפשוט רגל בגלל דבר כזה".

העולם שייך לרובוטים הצעירים

מתקפת ההאקרים יכולה לתפוס אתכם באימייל, בתוכנת פישינג כזו או אחרת, באתר לא מאובטח שגלשתם אליו או בכל פרצה אחרת שהרשת שלכם מציעה בפני ההאקר חובב האתגרים. ומה שהכי מפחיד – ההאקר הזה אף פעם לא מתעייף מלנסות שוב: "חלק ניכר ממתקפות הסייבר כיום מבוצעות בידי בוט-נט. רובוט שאף פעם לא מתעייף, לעולם לא צריך לעצור כדי לאכול או לנוח. הוא ממשיך לחפור עוד ועוד עד שהוא מאתר פרצה כלשהי".

המשמעות היא אינספור התראות והתמודדות עם מידע בלתי פוסק שמוטל על מערכת האבטחה של הרשת שלכם. ואם אתם חושבים שאיש המחשבים של הארגון שלכם יוכל להתמודד עם זה בכוחות עצמו – קחו בחשבון שאתם זורקים עליו אחריות מוגזמת. הוא אולי מומחה בתחומו, אבל כשמדובר בלוחמת סייבר צריך צוות שלא עוצר לרגע עם מערכות ניטור ואוטומציה שיוכלו להתמודד מול הרובוטים הזדוניים. וזו בדיוק הסיבה שבמרבית הארגונים הגדולים כבר לא מסתפקים כיום במרכז אבטחה פנים ארגוני  (Security Operation Center, או בקיצור SOC) ובוחרים לגבות את שירותי האבטחה שלהם בחברה חיצונית שמעניק שירותי MSSP.

"מרכז הבקרה שלנו בבזק בינלאומי מתבסס על מערכת ניהול אבטחת מידע ואירועים (SIEM) מהמתקדמות בעולם, של חברת מקאפי, שיודעת לבצע קורלציות ולקודד מהם נתונים רלוונטיים גם כשמתמודדים עם מערכות ענק ועשרות אלפי לוגים .יש לנו את הכלים הטכנולוגיים המתקדמים ביותר בשוק שמאפשרים לנו להתמודד עם Big Data ולבצע חיתוכי מידע ואנליזות שיאפשרו לנו לזקק את האינפורמציה שמועבר לצוות המקצועי".

וגולת הכותרת של הכלים הללו היא מערכת SOAR (Security Orchestration, Automation and Response) מהמתקדמות בעולם, שפועלת במקביל בכמה מישורים: תזמור – דהיינו, יכולת לתאם את תהליך קבלת ההחלטות של

" בזק בינלאומי החלה לבחון מספר מערכות SOAR על מנת להטמיע יכולות מתקדמות ומשמעותיות בזמן מענה לאירוע סייבר. משמעות הכנסת מערכת SOAR מתקדמת היא ש-80% מההתראות שמגיעות למערכת נבדקות אוטומטית, מתויגות כלא רלוונטיות ומונחות בצד, מאפשרות לצוות האנליסטים והבקרים להתמודד עם חמישית מהעומס בלבד", אומר בגן, "קחו לדוגמה אירוע שגרתי כמו קבלת מייל לארגון, דבר שקורה באלפים בכל יום ובלא מעט מקרים האנטי וירוס מזהה בו חתימה בעייתית. מערכת ה-SIEM מתריעה על אירועי אבטחת מידע ומעבירה את הטיפול ישירות למערכת ה-SOAR שתפעיל PLAYBOOK אוטומטי, לבדוק את מאגרי הנתונים בענן ולקבוע האם באמת יש חשש לקובץ נגוע או שאפשר להתקדם. במקרה כזה, רק אם יש חשש הדבר יעבור לבדיקה של מומחה SOC. זה מאפשר לנו תגובה מיידית לכל אירוע ומעלה את רמת האפקטיביות שלנו בשיעור מטורף, ומעבר לזה שזה מצמצם זמן תגובה המערכת מאפשרת לנו לקיים תיעוד מושלם של הנתונים וניהול אירועים. אני לא מכיר עוד MSSP בארץ שיש לו כלי כזה שמאפשר לו לצמצם מראש את כמות ההתראות ב-80% ובעידן של בוט-נטים וריבוי התקפות, זה כלי שיכול לעשות את ההבדל בין ניסיון פריצה למערכת שנגמר בסיכול מוקדם לבין נזק שאחר כך צריך ללכת ולתקן".באמת יש חשש לקובץ נגוע או שאפשר להתקדם. במקרה כזה, רק אם יש חשש הדבר יעבור לבדיקה של מומחה SOC. זה מאפשר לנו תגובה מיידית לכל אירוע ומעלה את רמת האפקטיביות שלנו בשיעור מטורף, ומעבר לזה שזה מצמצם זמן תגובה המערכת מאפשרת לנו לקיים תיעוד מושלם של הנתונים וניהול אירועים. אני לא מכיר עוד MSSP בארץ שיש לו כלי כזה שמאפשר לו לצמצם מראש את כמות ההתראות ב-80% ובעידן של בוט-נטים וריבוי התקפות, זה כלי שיכול לעשות את ההבדל בין ניסיון פריצה למערכת שנגמר בסיכול מוקדם לבין נזק שאחר כך צריך ללכת ולתקן".

  • המידע בחסות בזק בינלאומי, חברת התקשורת הגדולה בישראל המספקת פתרונות IT מקצה לקצה ומתמחה באבטחת סייבר

רוצים לשמוע עוד ?

אנחנו כאן בשבילכם –

קובי מזרחי, מנהל מוצר שיווק עסקי  בבזק בינלאומי – kobimi@bezeqint.co.il

 

 

 

כתיבת תגובה