בשנים האחרונות מתחולל שינוי עמוק בעולם הסייבר. המציאות הוכיחה שגם ריבוי מנגנוני ההגנה אינו מונע מהתוקפים לאתר נתיבי חדירה חלופיים, וכי על רקע המורכבות הגוברת של ההתקפות, תגובה מאוחרת מספקת תועלת מוגבלת בלבד. בעקבות זאת, חברות אבטחת מידע עברו ממודלים שמתמקדים בזיהוי התקיפה רק לאחר שהחלה, תוך כיבוי שריפות ואבטחה תגובתית, למודלים פרואקטיביים עם יכולות ניבוי שמקדימים את ההתקפה הבאה במקום להמתין לה. סביב השינוי התפיסתי הזה, נפגשנו עם מיכאל קונדרשין, ארכיטקט פתרונות סייבר בטרנד מיקרו, לשיחה מרתקת על השינוי שעובר עולם אבטחת המידע בארגונים.
מיכאל, מדוע הגישה התגובתית כבר לא מספיקה?
"העולם עבר טלטלה. ארגונים שהסתפקו במדיניות תגובתית, זיהוי וטיפול רק אחרי שהתקיפה כבר החלה, מבינים שזה משחק חתול ועכבר אין-סופי. ההתקפות הפכו מהירות, מורכבות וגדולות יותר. היעילות של תגובה מאוחרת צנחה בהתאם. לכן, עוברים היום לגישה פרואקטיבית ולעיתים אף מנבאת. זה אומר לבצע סימולציות, לחזות תרחישים ולהיערך מראש לסוגים שונים של מתקפות. המעבר הזה נוגע לא רק לכלים וטכנולוגיות. הוא דורש שינוי תפיסתי ארוך טווח, תרבות של למידה רציפה ושילוב האבטחה כחלק אינטגרלי מהאסטרטגיה העסקית".
שינוי תרבותי זה יפה כסיסמה. איך זה עובד בפועל בארגון?
"מתחילים בשיתוף פעולה הדוק בין צוותי האבטחה למנהלים עסקיים, ובהשקעה ביכולות ניתוח נתונים ובכלי בינה אג'נטית, Agentic AI, שמזהים דפוסים, מתריעים בזמן אמת ומריצים תרחישים מבוקרים 'לפי דרישה', כך שהעומס על כוח האדם יורד. במקום ריבוי בדיקות ידניות, מבצעים סימולציות חכמות המותאמות לאופי הארגון ולסיכונים הייחודיים שלו, דבר שמאפשר לצמצם את זמן התגובה ואת ההפסדים הפוטנציאליים. לצד זה, יש אתגרים אותם צריך לקחת בחשבון: הסתמכות על אוטומציה המחייבת בקרה, עלויות ראשוניות, צורך בהדרכות, וגיוס אנשי מקצוע מיומנים".
לנפות רעשים ולהפחית עומסי עבודה
מהו Agentic SIEM שטרנד מיקרו הציגה ומה מייחד אותו לעומת SIEM מסורתי?
"SIEM (Security Information and Event Management) קיים כבר עשרות שנים, אבל הוא סבל לאורך זמן מעלויות גבוהות, מורכבות, עומס התראות ומאגרי מידע פאסיביים. מערכות SIEM מסורתיות מסתמכות על תצורה ידנית, שאינה יכולה לעמוד בקצב או במגוון מקורות הנתונים המודרניים. Agentic SIEM נבנה מהיסוד כדי לענות על האתגרים האלה. הוא משתמש בדור הבא של טכנולוגיות AI כדי לחשוב, ללמוד ולפעול באופן יזום ואוטונומי, לנפות רעשים ולהפחית עומסי עבודה על צוותי SecOps. מה שבעבר דרש שבועות של הגדרות והתקנות, מבוצע היום אוטומטית. המערכת לומדת, ממפה וממטבת בזמן אמת. מאז ההשקה שלנו באוגוסט היא תומכת ביותר מ־900 מקורות נתונים, כדי לשפר נראות, הקשר וזיהוי איומים. בנוסף, משולבות בה יכולות XDR מוכחות עם שישה חיישני אבטחה מובנים לנקודות קצה, ענן, דואר אלקטרוני, רשתות, שרתים וזהויות; ואליהן מצטרפת טלמטריה מצד שלישי לקבלת תמונת מצב מלאה. לצורך תמיכה ברגולציה, שמורים נתוני ארכיון עד שבע שנים, ונתוני אנליטיקה עד שנתיים".
כמה זמן אורך תהליך ההטמעה?
"תהליך ההטמעה לסוגי לוגים חדשים עומד על שלושה ימים, עם יעד לשלוש שעות עד 2026".
איפה נכנס מודל "תאומים דיגיטליים" שהצגתם לאחרונה?
"השילוב בין Agentic SIEM לבין טכנולוגיית ה-Digital Twin שלנו הוא מהפכני. טכנולוגיית ה- Digital Twin שפיתחה טרנד מיקרו מאפשרת לארגונים לדמות איומי סייבר אמיתיים, לבדוק את ההגנות הקיימות, ולהתאים מדיניות בזמן אמת בסביבות דיגיטליות מגוונות ומורכבות. מדובר ביצירת סימולציה מדויקת ביותר של תשתיות הארגון המתעדכנת באופן שוטף, ומאפשרת לצוותי אבטחה להמחיש סיכונים, לבדוק תרחישים ולבצע החלטות מהירות על בסיס נתונים מבלי לסכן את הסביבה האמיתית. אפשר לנהל באופן פרואקטיבי סיכוני אבטחה שמשפיעים על מודלים וירטואליים של הסביבות הארגוניות, להציג מודיעין משופר, לחזק חוסן ולעמוד ברגולציה, במיוחד בעולמות רגישים כמו שירותי בריאות, אבטחת שרשרת אספקה, תחזוקה וניהול מבנים חכמים. כך מחליפים הערכות תקופתיות בדינמיקה רציפה של ניסוי וטעיה מבוקרים, בלי לשבש את הפרודקשן".
כיצד מקבלים בשוק את המודל הזה?
"ההשקה מסמנת נקודת ציון מרכזית עבור טרנד מיקרו כמובילה עולמית בחדשנות הסייבר. Agentic SIEM הוא אבן דרך משמעותית לחזון ארוך הטווח שלנו ל-SecOps מבוססי בינה מלאכותית. זהו עתיד שבו לצוותי אבטחה יהיה זמן רב יותר לעסוק במשימות אסטרטגיות, מתוך ידיעה שיכולות ה-Agentic AI שלנו עומדות מאחוריהם".
ירידה בעומס ההתראות ופעולות מעשיות
לדברי קונדרשין, בעקבות שילוב טכנולוגיות Agentic AI ב- SIEM ותאומים דיגיטליים, מנהלים יתחילו להרגיש מהר מאוד את השינוי. "קודם כל, ירידה בעומס ההתראות והמרה של 'סיגנלים' לפעולות מעשיות. צוותי SOC יקבלו זיהוי חריגות, תיעדוף וצעדי תגובה אוטונומיים שמקצרים את זמני התגובה. החקירה תתבסס על מתאם נתונים אוטומטי ממקורות מרובים במקום איסוף ידני, ותמיכה ברגולציה תהפוך קלה יותר בזכות שמירת נתונים ארוכת טווח. זה משחרר זמן לאסטרטגיה ולא רק לתפעול".
מה הצעד הבא שלכם ומהו המסר לארגונים שיושבים על הגדר?
"המשך הרחבת האינטגרציות, קיצור זמני הטמעת לוגים לשעות בודדות, והעמקת השילוב של בינה מלאכותית, סוכני AI אוטונומיים ומודלים של Digital Twin, הכל מתוך מטרה אחת: לתת לצוותי SecOps זמן, הקשר ודיוק. לארגונים הייתי אומר, אתם נדרשים להפוך למערכת שמנבאת את הבלתי נודע ולא רק מגיבה אליו, אלא מונעת איומים מראש, אחרת תמצאו את עצמכם חשופים. זוהי הדרך היחידה להבטיח יציבות והמשכיות עסקית".
למידע נוסף על Agentic SIEM בפלטפורמתTrend Vision One -https://www.trendmicro.com
/en_us/business/products/security-operations.html
בשיתוף טרנד מיקרו
