The SOC of the Future – מרכז לבקרה וניהול אירועי סייבר שישנה לכם את העתיד

במציאות שבה האקרים מפוצצים בסיסי טילים בטהרן, אי אפשר להסתפק בתוכנת פיירוול פשוטה שתגן על הרשת הארגונית * אז מה עושים כדי להתאים היום את אבטחת הרשת לטכנולוגיה של המחר? * גל עופרי מבזק בינלאומי ממפה את ארבעת העקרונות שצריך לכסות כדי שתוכלו לישון בשקט בזמן שהעובדים שלכם מתחברים לעבודה ממחשבים לא מאובטחים

בשנה האחרונה אירע מקרה יוצא דופן – פיצוץ עז הרעיד את טהרן ושלח כדור אש ענקי לשמיים. הממשל באיראן טען כי דליפת גז היא שהובילה לפיצוץ, אולם בתוך שעות החלו לצוץ דיווחים על כך שמדובר בחבלה מכוונת בבסיס הטילים פארצ'ין. על פי מקורות זרים, מאחורי הפיצוץ  עמדו לוחמי סייבר ישראליים שהשתלטו מרחוק על רשת המחשבים הצבאית ויזמו תקלה מרחוק.

זה אולי נשמע כמו עוד פרק בסדרת הלהיט "טהרן", אולם במקרה הזה לא מדובר בתסריט דמיוני. לֹוחָמַת הסייבר, שבמשך שנים נחשבה ל"נשק של העתיד", הפכה לחלק מהותי ממערך ההתקפה הצבאי של כל מדינה מתקדמת – ומה שעובד טוב בצבא מחלחל כמובן גם לאזרחות.

אם בעבר החשש המרכזי של חברות עסקיות היה מפני ריגול תעשייתי, הרי שכיום נוסף לכך ממד חדש ומאיים: מתקפת סייבר. בין אם מדובר בקונצרנים בינלאומיים ובין אם בעסקים קטנים – המשמעות זהה. ברגע שהעובדים בארגון שלכם מתחברים לרשת, קיים פוטנציאל חשיפה לגורמים עוינים. הם יכולים לגנוב סודות מסחריים, לעשות שימוש במידע פנימי, למחוק נתונים, לפגוע בשגרת הפעילות וכן, הם יכולים אפילו לשבש מערכות ולהביא לפיצוץ מתקנים סודיים שנהנים מהגנה של מאבטחים חמושים.

מתקפות הסייבר עולות – זה הזמן לשינוי בתפיסה

לפי דוח של חברת Fortinet אשר פורסם בחודש יולי האחרון, במחצית הראשונה של 2021 חלה עלייה משמעותית בנפח ההתקפות המתמקדות באנשים פרטיים, ארגונים ותשתיות קריטיות.
דוח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה, מראה עלייה משמעותית בנפח המתקפות המתמקדות באנשים פרטיים, ארגונים ותשתיות קריטיות. שטח התקיפה המתרחב, הכולל את העובדים המרוחקים והתלמידים הנמצאים בתוך הרשת, ממשיך להוות מטרה לאיומי סייבר. 
המטרה של מתקפות הכופר היא לא רק כספית: לפי נתוני הדוח, הפעילות הממוצעת של מתקפות הכופר בחודש יוני 2021 הייתה גבוהה פי 10 מאשר באותו פרק זמן בשנה שעברה. עובדה זו ממחישה את העלייה העקבית בפעילות לאורך שנה. מתקפות הכופר גרמו לנזק לשרשראות אספקה של ארגונים רבים והשפיעו על חיי היום-יום, הייצור והמסחר יותר מאשר אי פעם.

אז מה בכל זאת אפשר לעשות? נערכים לקרב ומשפרים את מערכת אבטחת המידע  כדי שיתאימו כבר היום לטכנולוגיה של המחר.
"המלחמה שלנו היא מול מכונות", אומר גל עופרי, CTO  ומנהל אגף מכירות ענן ושירותים מנוהלים בבזק בינלאומי, המתמחה בפתרונות סייבר לארגונים ולעסקים. "ההאקרים מפעילים ציוד שעובד 24/7, הווירוסים שהם מייצרים לא מתעייפים, לא יוצאים להפסקת אוכל ולא בודקים הודעות בווטסאפ. מול איום שלא נח אנחנו צריכים לשנות את התפיסה ולדעת להגיב מסביב לשעון".

גל עופרי, CTO ומנהל אגף מכירות ענן ושירותים מנוהלים, בזק בינלאומי

עקרון ראשון: אוטומציה

מערך הגנת הסייבר העתידי נדרש לספק מענה טכנולוגי רב-מערכתי, המשלב רבדים שונים של מיגון, שיענו לאתגרים המעמיקים של עולם הלוחמה האלקטרונית. העקרון הראשון שאותו נדרש כל מערך אבטחת הסייבר לכסות הוא היכולת לספק מענה בזמן אמת למתקפה חיצונית.

בהקשר זה מסביר גל עופרי כי מנגנוני אבטחת המידע כיום נסמכים במידה רבה על זיהוי "חתימות" אלקטרוניות: תוכנות ההגנה שמגלות וירוס במחשב כלשהו בעולם מעבירות את תעודת הזהות שלו למאגר נתונים עולמי (Global Intelligence Cloud), הפיד הזה מעודכן בשרתים והמידע מועבר לכל משתמש שנעזר באותה התוכנה. וכך, כל מי שמעדכן את המנוי שלו למאגרי המידע יכול לזהות את הווירוסים החדשים שנוספו למאגרים ולחסום אותם. נשמע טוב? חשבו שנית.

"ברגע שאנחנו מחכים לבנאדם שיבצע עדכון תוכנה – הפסדנו", אומר עופרי. "אני צריך להיות מחובר כל הזמן, לעדכן את כל מערך אבטחת המידע שלי, A-Z, באופן מידי. השאיפה שלנו היא לעבור למודל שמבוסס על אוטומציה בצורה הכי נרחבת שאפשרית, אחרת אין לי סיכוי לעמוד מול איומי הסייבר".

ואמנם, החברות המובילות בעולם עובדות כיום על שינויים יישומיים שיחסכו את תהליכי הביניים. קובץ נגוע שמעודכן בשרת כלשהו בעולם יעודכן באופן אוטומטי לדאטה סנטר שבענן והמידע יהיה נגיש לכל משתמש תוכנה מבלי להידרש לפעולה נוספת. היישום הזה אמור להיכנס לפעילות בעתיד הקרוב. בינתיים ההגנה הטובה ביותר היא ביצוע עדכוני גרסאות למערכות ההגנה שלכם – או לחלופין, הסתמכות על שירותים של ספק אינטרנט מוביל שידאג לבצע עדכונים על עקרון מקצועי שוטף.

אוטומציה של תהליכים

עקרון שני: נראות

"אלמנט מרכזי שצריך לקחת בחשבון בתחום הגנת הסייבר הוא השינוי בהרגלי הצריכה שעובר העולם", אומר עופרי, "תקופת הקורונה הביאה למיקסום של תהליך שאנחנו מכירים כבר זמן ארוך והוא שכיום אין כמעט גורם שיוכל להמשיך לעבוד מבלי לאפשר גישה מרוחקת לרשת הארגונית שלו. ולכן, כל מערך הגנה שתבנה לארגון שלך יצטרך בראש ובראשונה לתת מענה לבעיה הזו. אני צריך לספק הגנה שתעבוד באופן יעיל באותה מידה אם עובד שלך מתחבר מהמחשב במשרד, מהלפטופ בבית, מהטלפון הנייד או ממחשב קיוסק שהוא נכנס אליו בזמן חופשה בקופנגאן".

על רקע הדברים הללו נדרשת מערכת ההגנה הארגונית לשנות פאזה בהצבת הגנות נדרשות: "העקרון השני שאנחנו נרצה לכסות הוא סנסור ויזיבליטי (נראות) – היכולת שלי לראות פעילות חשודה מכל מקום ומכל אתר, גם אם מדובר במחשב לא מאובטח שזר לרשת הארגונית שלי, כי כיום אני יוצא מנקודת הנחה שאין דרך להימנע מחיבורים כאלה", מסביר עופרי.

מערך ההגנה העתידי (זאת אומרת – זה שאתם הייתם חייבים להתקין אצלכם ברשת כבר אתמול) צריך לספק מענה בזמן אמת ולזהות התנהגות חשודה בכל מקום על הרשת, ממשתמש הקצה ועד לאפליקציה של הרשת הארגונית שבה נעשה השימוש.

"למשל", ממחיש עופרי, "אם אני רואה שמישהו מנסה להוריד דוח מכירות ממחשב לא מוכר זה משהו שבעידן הנוכחי לא אמור להדליק נורה אדומה, אבל אם אני רואה 20 ניסיונות בשנייה להורדת דוח כזה, כנראה שאני חווה פריצה או באג במערכת. וזה משהו שאני צריך לדעת לאתר בזמן אמת ולא משנה מי משתמש הקצה שלי".

שיפור הנראות

עקרון שלישי: התנהגות

עקרון נוסף של הגנת הסייבר מבוסס על בינה מלאכותית (AI) ועוסק בזיהוי בזמן אמת של שינויי התנהגות בתוך הרשת הארגונית. "כדי לצמצם את סכנת החשיפה כבר אין אפשרות להסתפק רק בזיהוי 'חתימות' של גורמים עוינים שמושתלים במערכת", אומר עופרי. "אנחנו חייבים לספק מענה בזמן אמת גם לתהליכים אחרים שקורים אצלי ואחת הדרכים היא Machine Learning – לאפשר למחשבים עצמם ללמוד התנהגות רשתית ולאתר שינויים שקורים באופן מידי. ברגע שאני מזהה בתוך הרשת תהליכים יוצאי דופן, נניח תהליך שדורש כוח עיבוד לא שגרתי, הנורה האדומה אצלי נדלקת".   

עקרון רביעי: ניהוליות פרו אקטיבית

כדי שהרשת הארגונית שלכם תפיק את המקסימום משלושת הסעיפים הראשונים, היא חייבת לעבוד באופן מסונכרן – וזה דורש ניהוליות. "כדי שארגון לא יהיה חשוף במרווחים שבין הממשקים צריך ניהול צמוד, ולשם כך צריך ISP (ספק אינטרנט) שמנהל לך את כל מערך ההגנה, רואה בצורה הוליסטית את מה שעובר על המערכת, נעזר בטכנולוגיה מתקדמת ומייצר ניתוח מושכל ומתעדכן של הבעיות. מערך סייבר סקיוריטי בעידן הזה לא יכול להסתפק בכיבוי שריפות, אלא לנקוט בגישה פרו אקטיבית לאיתור תקלות לפני שהן יוצרות נזקים, תוך ניצול מלא של הבינה המלאכותית של המערכת".

Pro-Active AI & Machine learning

העתיד נמצא בשירותים מנוהלים בענן

בהקשר זה בוחר עופרי לתת דגש מסכם על השינוי המתבקש בגישת האבטחה, שתתאים את הארגון שלכם לעידן של לוחמת הסייבר: "הדבר הבסיסי שאני ממליץ לכל מי שמעוניין לאבטח את המידע הארגוני שלו הוא בראש ובראשונה לעלות לענן. אני יודע שלכאורה זה נשמע מוזר: כשאני רוצה להגן על הרכוש שלי האינסטינקט הוא לשמור אותו קרוב אליי, אבל עברו הזמנים שבהם בנינו חדרי תקשורת והעמסנו פיירוולים על התשתית בארגון. במציאות שבה תשתיות התקשורת מבוססות על התחברות מאתרים מרוחקים, הדרך הנכונה להישאר בשליטה היא להעלות את הכול לשרתים מאובטחים ולהפקיד את העבודה בידי מקצוענים, וזה בדיוק מה שאנחנו בבזק בינלאומי מציעים – ניהול ובקרה 24/7  מתוך מרכז ה SOC שלנו על הרשת הארגונית שלכם כדי למנוע, לאתר ולהגיב לכל ניסיון פריצה למערכות שלכם".
מרכז הבקרה והניהול של בזק בינלאומי  SIEM-SOC הוא השירות הכי מתקדם שיש כיום בשוק לאיתור וניהול אירועי סייבר. מרכז הבקרה המנוהל מאויש על ידי אנליסטים ובקרי אבטחת מידע 24/7, ומאפשר ניטור הסביבה הארגונית בעזרת מגוון כלים מתקדמים המאתרים אירועים חריגים ומתקפות סייבר בארגון. השרות כולל: זיהוי מהיר, הכלה של האירוע, ביצוע חקירות המסייעות בטיפול ומתן מענה לשלל אירועי אבטחת מידע – כל זאת כדי לשמור על הארגון שלכם מוגן 24/7.

מרכז SIEM/SOC, ניהול ובקרת אירועי סייבר, בזק בינלאומי

רוצים לשמוע עוד על מרכז ה SOC של בזק בינלאומי?

אנחנו כאן בשבילכם – גיא מזרחי, מנהל מחלקת Cyber Security  בבזק בינלאומי GuyMi@bezeqint.co.il

השאירו פרטים וניצור קשר בהקדם