לארגונים יש כיום נראות טובה מאי פעם לתשתית הטכנולוגית. כמעט בכל ארגון בינוני עד גדול בוצעה עד כה השקעה משמעותית בתשתית אבטחת המידע, עם מערכות SIEM לאיסוף, נרמול וקורלציה של לוגים ואירועי אבטחה ממערכות שונות בארגון; מערכות EDR להגנה, ניטור ותגובה ברמת תחנות קצה ושרתים; מערכות UEBA המבצעות אנליטיקה התנהגותית למשתמשים וישויות;מערכות NDR לזיהוי פעילות חריגה בתעבורת הרשת; דשבורדים המספקים נראות למשטח התקיפה; פלייבוקים הכוללים נהלי תגובה מוגדרים מראש לאירועי אבטחה; וזו רשימה חלקית.
למרות זאת, כמעט כל תחקיר של אירוע מגלה את אותה תובנה מטרידה: הסימנים היו שם, אך לא חוברו בזמן. הפער הזה אינו נובע מכשל טכנולוגי נקודתי, אלא מחוסר התאמה עמוק בין האופן שבו מערכות אבטחה תוכננו "לראות", לבין האופן שבו תוקפים פועלים בפועל.
קושי בזיהוי
רוב מערכות האבטחה מתוכננות לזהות אינדיקציות לחריגות, חתימות ואנומליות. הן עובדות היטב כשמשהו "נראה לא תקין". תוקפים מתקדמים, לעומת זאת, בונים "קמפיינים", רצפים ארוכים של פעולות לגיטימיות לכאורה: גישה ראשונית שקטה, שימוש בהרשאות קיימות, תנועה רוחבית איטית, והמתנה לחלון זמן נוח.
כל שלב כזה בנפרד עשוי ליפול מתחת לסף ההתראה. רק החיבור ביניהם יוצר את הסיפור המלא, אלא שחיבור כזה לרוב אינו קורה בזמן אמת. זאת נקודת עיוורון (blind spot) קלאסית, כאשר המערכת רואה נקודות ואילו התוקף עובד על וקטורים.
בשטח, רוב התקיפות המתקדמות אינן מתבססות על כלים זדוניים "רועשים". הן משתמשות בכלים ותהליכים לגיטימיים שכבר קיימים בארגון: PowerShell, כלי ניהול, סקריפטים פנימיים, חשבונות שירות והרשאות רחבות מדי. המונח המקצועי לטכניקה הזאת הוא Living off the Land והוא אינו יוצא דופן. קשה לזהות את הטכניקה, כי אין שימוש ב-Malware קלאסי, אז מבחינת המערכת הפעילות היא תקינה ומבחינת התוקף יש מסלול בטוח לחדירה. זו נקודת עיוורון נוספת, תפיסתית באופייה - ההנחה שמשהו מסוכן ייראה חריג, כי בפועל, תוקפים טובים משתדלים מאוד להיראות נורמליים.
הרעש התפעולי שנוצר מעודף התראות, הקיים כמעט בכל ארגון, אינו רק בעיית עומס, הוא מהווה כיסוי לפעולת התוקף. כאשר SOC מתמודד עם אלפי אירועים ביום, תשומת הלב מופנית למה שחריג סטטיסטית, לא למה שמסוכן אסטרטגית. לכן, תוקף שפועל לאט, בקצב נמוך, ויודע להישאר מתחת לרדאר, נהנה מסביבה רועשת שמטשטשת אותו. בדיעבד, לא פעם מתברר שהסימנים היו קיימים, אך לא זוהו כקשורים זה לזה.
לאמץ חשיבה התקפית כמתודולוגיה
קיימות גם נקודות עיוורון שמקורן בארכיטקטורה, כאשר חלק מהפערים אינם תפעוליים אלא מבניים. דהיינו, נכסים קריטיים שאינם מנוטרים באותה רמה, סביבות היברידיות עם נראות חלקית וזהויות עם הרשאות רוחביות שנצברו לאורך זמן. כאשר ההגנה בנויה סביב רכיבים ולא סביב תרחישים, נוצר מצב שבו "הכול מנוטר", אבל אף אחד לא רואה איך תרחיש קצה באמת נראה מקצה לקצה.
בדיקות תקופתיות כמו בדיקות חדירות (Pen Test), סריקת חולשות ופעילות צוותים אדומים (Red Teaming) הן חשובות, אך לא סוגרות את הפער כי לרוב הן בוחנות רגע בזמן. תוקפים, לעומת זאת, מנצלים דינמיקה של שינויים ארגוניים, עומסים, תהליכים זמניים ועייפות אנושית. נקודות העיוורון כאן הם הזמן וההקשר. מה שהיה לגיטימי אתמול הופך לנקודת תורפה היום - לא בגלל CVE חדש, אלא בגלל שינוי תפעולי.
אז איך בפועל מצמצמים את כל אותן נקודות עיוורון?
צמצום הפער אינו מתחיל בעוד כלי, אלא בשינוי פרספקטיבה: חיבור אירועים לתרחישים ולא רק להתראות, תיעדוף לפי מידת ההשפעה העסקית ולא לפי חומרת האינדיקציה, תוך בחינה רציפה של מסלולי תקיפה אפשריים, לא רק של חולשות ידועות.
בנוסף, חשוב ואף קריטי לאמץ חשיבה התקפית כמתודולוגיה. לחשוב ולפעול כמו תוקף ולנצל תהליכים לגיטימיים, זהויות והרגלים ארגוניים. חשיבה התקפית אינה תחליף להגנה, אלא הדרך לבדוק אם ההגנה רואה את מה שבאמת צריך לראות. הבעיה המרכזית אינה שמערכות האבטחה עיוורות, אלא שהן רואות בדיוק את מה שהוגדר להן לראות.
CISO's שמצליחים לצמצם נקודות עיוורון אינם אלו שמוסיפים עוד שכבת נראות, אלא אלו שמאלצים את הארגון להסתכל על עצמו דרך עיני תוקף, באופן רציף וביקורתי, גם כשלא נוח לעשות את זה. בין נראות להבנה יש פער ושם בדיוק תוקפים פועלים, ולכן שם בדיוק צריך למקד את המאמץ.
הכותב הוא מנהל מכירות גלובלי, Armory Defense
