אחת הטכנולוגיות המבטיחות בתחום הגנת הסייבר, במיוחד בשלב איסוף המודיעין, זוהי טכנולוגיית ההטעיה (Deception) אשר יכולה לספק ערך רב לאורך שרשרת המתקפה * טכנולוגיה מתקדמת זו מכילה לא רק את הטעיית התוקפים, אלא גם איתור, אספקת נתונים פורנזיים, ואף סיוע במניעת מתקפת סייבר בזמן אמת * ראיון מיוחד עם משה בן סימון, סמנכ"ל ניהול מוצר בחברת פורטינט, על פתרון FortiDeceptor
העידן המודרני של מתקפות הסייבר נהפך למורכב ומאתגר יותר. לאור התרבות משטחי התקיפה, ההאקרים ושאר תוקפי הסייבר הם אלו שבוחרים את הזמן, המקום וצורת המעורבות. ובזמן שהארגונים שצריכים להגן על עצמם מוכרחים לכסות בהצלחה כל חלק משטח התקיפה הפוטנציאלי ולהדוף כל מתקפה בזמן אמת, התוקפים יכולים להקדיש זמן רב עד שהם מוצאים חוליה חלשה אחת שניתן לנצל בשרשרת האבטחה.
המורכבות הגוברת הנוצרת עקב ההתרחבות של שטח התקיפה הדיגיטלי, ההתמודדות של מנהלי ה-IT וה-OT עם מחסור מתמשך במומחי אבטחת סייבר מיומנים, ונוף איומים דינמי ומתפתח – כל אלו דורשים מהארגונים לבצע הערכה קבועה של אסטרטגיות האבטחה שלהם, כדי לוודא כי הם מפחיתים את סיכוני הסייבר עד כמה שאפשר.
דרך אחת להגן על אותו שטח התקיפה היא באמצעות המושג "הגנה פעילה" (Active Defense). בהתייחס לתחום הגנת הסייבר, הדבר יכלול מספר טכניקות, החל מהעברה והפצה של נתונים באופן דינמי כדי להקשות על גניבתם ועד לטכניקות הטעיה אשר מציפות את הרשת עם תעבורה מזויפת ושרתים אשר מפתים את התוקפים להפעיל אזעקות ולהתריע למגינים אודות הנוכחות שלהם. השילוב האסטרטגי בין הגנות אלו ואחרות מאפשר לארגונים לא רק להתמודד עם מתקפות נוכחיות, אלא גם ללמוד עוד אודות התוקפים ולהתכונן בצורה טובה יותר למתקפות עתידיות.
הייחודיות של טכנולוגית ההטעיה
משה בן סימון, סמנכ"ל מוצר בפורטינט, מתאר מהי טכנולוגיית ההטעיה ומה הייחודיות שלה בהשוואה לטכנולוגיות אבטחה אחרות: "טכנולוגיית ההטעיה מתערבת בשלב מוקדם של איסוף המודיעין, בניסיון לפתות ולהטעות את פושעי הסייבר, מה שמספק לארגונים את היכולת לאתר את פעילותם בשלב מוקדם בשרשרת ההתקפה. ההטעיה מרחיקה את התוקפים מנכסי הארגון האמיתיים ומסיטה אותם לעבר פיתיון או מלכודת, לפני שהם יכולים להתקדם בצורה רוחבית במערכת או להצפין נתונים. המלכודת מחקה שרתים, יישומים ונתונים אמיתיים, כך שהתוקף מאמין שהוא הצליח לחדור לארגון וקיבל גישה לנכסים החשובים ביותר שלו, כאשר המציאות שונה לחלוטין. אסטרטגיה זו מיושמת כדי למזער נזק ולהגן על הנכסים האמיתיים של הארגון.
בשונה מאסטרטגיה קלאסית של מלכודת דבש, טכנולוגיית הטעיה מוצלחת תספק מספר שכבות הגנה. הייחודיות היא ביכולת שלה להיכנס לתוך 'המוח של התוקף', כלומר ארגונים יכולים לנתח את פעילות התוקף כדי להתגונן בצורה טובה יותר מפני מתקפות עתידיות.
בן סימון מרחיב: " טכנולוגיית הטעיה טובה צריכה לפעול בשלושה מודלים: הונאה ואיתור; חקירה; ומניעה. ההטעיה מתנהגת כמו מצלמת אבטחה ולוכדת את פעילות התוקף החל מהרגע שהוא יוצר קשר עם הפיתיון. ההטעיה מנתחת את המתקפה בצורה אוטומטית, מייצרת מודיעין איומים ומתארת את כל תהליך המתקפה – נוף, התנהגות, טכניקה ועוד. היא גם מפרטת את המתקפה מבחינת לוח זמנים, כדי לזהות אזורים נגועים אחרים של הרשת בהתבסס על זיהוי ומציאת מידע של התוקף".
הפתרון המוביל בתחום ההטעיה – FortiDeceptor
שרון עזרא, מנהל אגף לקוחות אסטרטגים בבזק בינלאומי, מתאר את היתרונות של פתרון ה Deceptor של חברת פורטינט: "אחד ממנועי הצמיחה מרכזיים של בזק בינלאומי בהפיכה לחברת ICT מובילה הוא תחום הגנת הסייבר. אנחנו נמצאים בקשר מתמיד עם הלקוחות שלנו, שואלים אותם מה הם צריכים כדי לשפר את מערך ההגנה הארגוני שלהם ואיך אנחנו כחברה יכולים לספק להם את הפתרונות המתקדמים ביותר כדי לתת מענה לצרכים אלו ולייצר ערך מוסף לנו כאינטגרטור. לאחר בדיקה של פתרונות רבים גילינו שפתרון ה FortiDeceptor מייצר את אותו ערך ללקוחות שלנו".
ואכן, בשוק קיימות כיום מספר טכנולוגיות הטעיה, כאשר המובילה בהן הוא פתרון ה- FortiDeceptor , בעל היכולת ליצור רשת מפוברקת של פיתיונות על פני מקטעי ה IT והOT . דבר זה מאפשר לאתר גורמי איום חיצוניים ופנימיים על פני שטח רחב, כך שניתן לכסות חלק גדול מהשיטות והטכניקות של MITRE Shield – מאגר ידע של הגנות פעילות אשר הוקם ע"י תאגיד MITRE שהוא מרכז מחקר ופיתוח ללא מטרות רווח המתמקד בהתמודדות עם אתגרי אבטחת סייבר לצרכי ביטחון, יציבות ורווחת המדינה.
השילוב בין ה-FortiDecepter לבין מארג האבטחה (Security Fabric) של פורטינט מאפשר לו להשתלב בצורה מלאה לתוך פלטפורמת אבטחה מקיפה אשר תוכננה כדי לספק מניעה, איתור ותגובה אוטומטית על פני הרשת המבוזרת. התממשקות רחבה זו מאפשרת לא רק לאתר את האיומים, אלא גם להפעיל אוטומטית מדיניות פעולה עם בקרות אבטחה רציפות, כך שעצירת האיום מתבצעת כחלק מרצף הזיהוי והתגובה של האיום ומבטיחה כיסוי מלא של הטכניקות והשיטות של MITRE Shield.
היתרונות של שימוש בהטעיה ברמה גבוהה ומתקדמת בהקשר של אתגרי איתור האיומים כיום כוללים:
• הפקת מודיעין איומים מותאם אישית לסיכונים הייחודיים של הארגון.
• הימנעות מהתראות כוזבות כיוון ששום דבר לא צריך לגשת אל הרשת המדומה ללא סיבה.
• סגירת הפערים במערכת ההגנה שלכם על ידי מניעה של סיכוני מערכת ספציפיים במקומות שבהם בקרות מסורתיות לרוב נכשלות.
הבחירה של המנמ"רים המובילים
משה בן סימון מתאר את הערכים העצומים שמספק פתרון ה FortiDeceptor למנהלי ה IT ואבטחת המידע בארגונים: " פתרון ה Deceptor שלנו הוא כלי מעולה לאיתור מתקפות כופר. על ידי הזנה של תוכנות הכופר בקבצים מזויפים, ועל ידי מתן האפשרות להצפין את אותם קבצים, ניתן לזהות את תוכנת הכופר, לא משנה עד כמה היא מתוחכמת."
בן סימון ממשיך: "בנוסף לכך, טכנולוגיית ההטעיה יכולה להפחית את תדירות ה-false positives ולאפשר לצוותי ה-IT להתמקד בתנועות התוקף, מה שחשוב מאוד בהקשר של מתקפות כופר. היא יכולה גם להפחית את כמות ההתרעות שעלולות לנבוע ממוצרים נקודתיים מרובים המשמשים בסביבה מסוימת ומגבירה משמעותית את היכולת לבצע תגובת מנע. המניעה מבודדת נכס נגוע לפני שמוציאים אותו לחלוטין מהרשת, וטכנולוגיית הטעיה טובה כמו של פתרון ה Deceptor יכולה להוציא במהירות תוכנת כופר מהרשת, כדי למנוע פגיעה בקבצים אמיתיים".
שרון עזרא מסכם: "היכרות של המומחים של בזק בינלאומי הסביבה של הלקוחות חיונית להגדרת טכנולוגיית ההטעיה של ה FortiDeceptor , כאשר פריסת הפתרון מתבצעת בצורה אוטומטית. בהתבסס על מלאי נכסי הרשת, הפלטפורמה תבנה את מרכיבי ההטעיה אוטומטית, וגם תנתח ותפרוס את המלכודות כדי לחקות את הסביבה. מעבר מכך, ההטעיה יכולה לספק לצוותי האבטחה ניראות של משאבי הארגון והבנה האם הפריסה מספקת כיסוי טוב שלהם, כך שארגונים בגדלים שונים יכולים להרוויח מהניראות המשופרת שמעניק פתרון זה".
רוצים לשמוע עוד?
אנחנו כאן בשבילכם – דניאלה אורגד, מנהלת שיווק סייבר בבזק בינלאומי daniellao@bezeqint.co.il