סכנות הסייבר הרבות האורבות כיום לארגונים מייצרות לרבים מהם את הצורך להשתמש בשורה ארוכה של אמצעי אבטחה, המגנים על הרשת, מנטרים אותה, סורקים אותה ומנסים לזהות חדירות אליה. פעמים רבות המשמעות היא עול גדול הנופל על כתפי הארגון: הצורך להתקין ולהשמיש תוכנות הגנה ולהעסיק צוות שידע לתפעל את כולן ולהתמודד עם ההתרעות השונות שאלו שולחות, שהן הרבה פעמים False Positive - התרעת שווא על אירוע שאינו באמת פריצה.
אחד מנדבכיה המרכזיים של אבטחת המידע ברשת הארגונית כיום הוא ה-SIEMה(Security information and event management) - אותו סט כלים ושירותים המספק מבט מקיף על כל נושא אבטחת המידע בארגון. מוצר SIEM טוב אמור לרכז את דיווחי כל כלי אבטחת המידע המותקנים ברשת, לנתח אותם ולרכז במקום אחד את המידע שהם מציפים. כך אמורה המערכת לזהות איומים, להציף אותם ולאפשר לאחראים לטפל בהם.
"מדובר במשימה מורכבת של הוצאת המוץ מהתבן", אומר ליאור בן עמי, מנכ"ל SpikeIT, מפיצה מובילה של כלי אבטחת מידע. "ישנו מידע רב שצריך לזקק מתוכו רק את מה שרלוונטי. מכיוון שבדרך כלל תקיפת סייבר אינה מגיעה רק ממקום אחד - זהו יער גדול מאוד שלמנהל האבטחה קשה לפעול בו. קיימת סכנה לחוסר זיהוי של אירועי אמת וטרדה בזיהוי אירועי False Positive, שכלים רבים חוטאים בהם".
"כמפיצי כלי אבטחה במשך זמן רב תהינו איזה כלי SIEM מסוגל לתפקד בצורה אופטימלית", מוסיף שרון חי-מתן, ראש מחלקת השירותים המקצועיים ב-SpikeIT. "התפקיד של ה-SIEM הוא לקחת ולעכל את כל הדאטה שמערכות הארגון אספו, לזהות אותו, לבצע אנליטיקה לגבי מה יכול להיות מסוכן, לספק התרעה ובסוף גם לתת פתרון. שאפנו לספק לארגונים כלי אמין, שמבצע היטב את כל זה וגם כזה שהם יוכלו להרשות לעצמם תקציבית".
הפתרון שנמצא היא מערכת insight IDR שלRapid7 . זוהי מערכת SIEM מבוססת ענן, שאינה מצריכה התקנה מקומית על שרתי הארגון. בכוחה של המערכת לזקק את האירועים האמיתיים המתרחשים ברשת, לנתח אותם ולייצר דיווח לגבי הטיפול הדרוש - כל זאת ב-SOC וירטואלי שהיא מספקת, המייתר כמעט לחלוטין - ברמה של 90% - את הצורך בשימוש ב-SOC אנושי. היכולת של Rapid7 SIEM לזקק את אירועי האמת מספקת שקט במערכת ולא מקפיצה את כל מחלקת האבטחה בכל פעם שמתרחש אירוע ברשת שאינו מהווה איום אמיתי.
משלמים לפי מספר המשתמשים ולא מספר האירועים
גדולתה של מערכת ה- Rapid7 SIEM היא במספר מנועיה: ה-User Behaviour Analytics מיטיב לזהות אנומליות ולהתריע עליהן (למשל, אם מישהו מתחבר לרשת ממקום ממנו הוא לא נוהג להתחבר) ; מנוע ה-Attack Behaviour מסוגל לזהות סדרה של אירועים שביחד מייצרים התקפה ; ומנוע ה-Incident Detection Response, מסוגל להגיב מייד לאירוע התקיפה ולנטרלו. מסביר חי-מתן: "המערכת מציגה למשתמש את האירוע ומאפשרת לו לחסלו בלחיצת כפתור. המוצר מזהה את כל הפעילויות בזמן אמת, מתריע מייד ומתחבר למערכות SOAR לניהול אבטחה, במטרה לחסום את האירועים. העבודה האוטומטית שלו היא יתרון מרכזי. לא צריך צוות גדול ותחזוקה שוטפת, מה שחוסך לארגון כסף רב".
בן עמי: "דבר נוסף שחוסך לארגון כסף רב הוא המחיר הנמוך יחסית של מערכת Rapid7 SIEM. מודל התשלום הוא לפי מספר משתמשים ולא לפי מספר האירועים בהם מטפלת המערכת, כך שאין כאן צ'ק פתוח לספק, כשהארגון לא יודע כמה יצטרך לשלם בסוף החודש. העובדה שחברות רבות מסוגלות להרשות לעצמן לשלם את עלותו של פתרון האבטחה הזה מביאה לכך שלא מעט חברות בגודל קטן ובינוני, משהו בין 150 ל-1,500 עובדים, בוחרות ב-Rapid7 ככלי ה-SIEM שלהן. עם זאת, המוצר מתאים לחברה בכל סדר גודל - כולל כאלו הגדולות מכך משמעותית".
תארו את דרך עבודתו של Rapid7 SIEM.
חי-מתן: "המוצר עובד קצת כמו מציל בבריכה, שיושב ורואה הרבה ילדים שוחים מולו. הוא צריך לשים לב לילד שנמצא בסכנת טביעה, לא לכל אלו ששוחים כראוי. Rapid7 SIEM יודע להסתכל ולומר: 'הנה ילד שיש לו סיכוי לטבוע, הנה אחד שעומד לטבוע, הנה אחד שטובע' - ואז, אם להמשיך את הדימוי, הוא קופץ למים ומציל אותם מבעוד מועד. המערכת ממרכזת את מידע האבטחה. היא מסוגלת לבצע חיפוש ולייצר וויזואליזציה של כל הדאטה בנושא, בדשבורד ברור, פשוט וקל לשימוש ולהבנה. המשתמש מקבל משהו מרוכז מאוד, שעובד על כל מערכותיו ומייצר מהן תמונה כוללת אחת, תמונה שעוברת חקירה מקיפה. המערכת מגיעה עם חוקי אבטחה כתובים וכך חוסכת למשתמש את הצורך בכתיבת חוקים ספציפיים".
בן עמי: "לחברת Rapid7 יש צוותי אבטחת מידע מקצועיים ובקיאים, שמטפלים בכל האירועים בהם נתקלת המערכת. הם אלו שמדרגים את רמות הסיכון ומחליטים למה יש לתת את הדעת. הם יכולים לזהות, למשל, הכנסת משתמשים חדשים למערכת, שינוי הרשאות של משתמשים קיימים, כתובות IP חשודות ולהגיע למסקנה אם מדובר בהליך תקין או בניסיון פריצה. במקרה השני המערכת יכולה לייצר פעולות הגנה אקטיביות, עד כדי השבתת המחשבים הנמצאים בסכנה. ומכיוון שהמערכת עובדת בענן של היצרן ולא של הארגון שמשתמש בה - האקרים לא יכולים להתעסק איתה ולנסות לנטרל אותה. הייתי אומר שהיתרון הכי גדול של המוצר הוא בניתוח מקיף של כל התשתיות, בזיהוי מדויק, במעט מאוד False Positive וביכולת ללמוד סיכונים חדשים, הודות לשימוש בטכנולוגיות בינה מלאכותית".
ממשק פשוט לכ-150 פתרונות אבטחה
לאחר שהפכה להצלחה עולמית עם אלפי לקוחות - ביניהם שמות עולמיים כקימברלי-קלרק ורבלון - ולאחר שזכתה בין השאר בתואר "פתרון אבטחה מוביל" של חברת המחקר "גרטנר", מושקת כעת Rapid7 SIEM גם בישראל. ב-SpikeIT מאפיינים את הלקוחות המקומיים של המוצר כחברות המתקדמות לעבודה הנסמכת יותר ויותר על ענן המחשוב, אך מדגישים שהפתרון הולם ומתאים לרוב החברות במשק "מלבד אלו שמבחינה רגולטורית ועקרונית אינן יכולות לעבוד מהענן". בחברה מבטיחים תמיכה ושירות מקומיים, נגישים וזמינים.
מכיוון שמדובר במערכת שנמצאת בענן אין צורך בהתקנה וההטמעה פשוטה מאוד ולוקחת מספר ימים לכל היותר. לדברי בן-עמי, הלקוח מקבל שם משתמש וסיסמה לענן ומוריד רכיב תוכנה שדרכו נאספים נתוני הארגון. המידע נאסף, עובר נורמליזציה, הופך לדאטה שמועלה לענן של Rapid7 בצורה מאובטחת ושם, בענן, המערכת מבצעת פעולות זיהוי, מגיעה למסקנות בעזרת טכנולוגיות ביג דאטה ובינה מלאכותית ומספקת את יכולת התגובה. גם הממשוק לכלי האבטחה השונים הוא פשוט ביותר. "ל-Rapid7 SIEM יש מערכת API המסוגלת להתממשק לכ-150 פתרונות אבטחה", הוא מוסיף. "כמעט כל מוצר אבטחה בולט בעולם יכול לעבוד איתה. המוצר נבנה ותוכנן מתוך הסתכלות על מוצרי אבטחה מובילים, על צורת עבודתם של צוותי אבטחת מידע ועל ידע והבנה של מכשירי פריצה".
