בעולם הסייבר, נראות (visibility) לנכסים ולפגיעויות של הארגון תמיד עמדה בראש סדר העדיפויות, וצוותי האבטחה שואפים ללא הפסקה לחסל "נקודות עיוורות" ("blind spots") כדי להבין טוב יותר ובצורה מדויקת על מה הם מגנים. עם יותר מכשירי קצה, אפליקציות ותשתיות מחשוב שמתווספים לרשתות, זה נראה באופן אינטואיטיבי שככל שיש יותר נראות, כך המצב טוב יותר, אבל מה קורה כאשר הנראות הזו הופכת לכמעט אין-סופית?
כיום, צוותי אבטחה רבים טובעים במידע ומתקשים להפוך את הנראות הרחבה לתובנות פרקטיות ומשמעותיות. יש להם כל פרט ופרט על הסביבה הדיגיטלית שלהם בהישג יד, אך חסרים להם הכלים הקריטיים, שמשלבים בין המידעים ומאפשרים להם לפעול בצורה החלטית. הנראות, שאמורה הייתה לחזק את הגנות הסייבר, הפכה כעת להצפה, ומשאירה צוותים רבים טובעים בזרם בלתי פוסק של התראות, אירועים ומידע.
ככל שזירת הסייבר הופכת למורכבת יותר, יש להכיר בכך שנראות בלבד אינה מספיקה. צוותי האבטחה זקוקים לכלים שעושים יותר מאשר רק לאסוף נתונים - הם זקוקים לכלים שמכוונים לפעולה. על ידי התמקדות בתובנות פרקטיות ומדורגות לפי עדיפות, צוותי האבטחה יכולים לעמוד בקצב ההתרחבות המהירה של משטח ההתקפה, לנהל שינויים תכופים בתשתית הדיגיטלית שלהם ולהתמודד באופן יזום עם טקטיקות, טכניקות ותהליכים (TTPs) של התוקפים המשתנים בתדירות.
הסכנות שבהצפת נראות
המחקרים והדוחות האחרונים בתחום מצביעים על כך שחברות מתמודדות עם מאות ואפילו אלפי התראות על פגיעויות סייבר (CVEs) בכל יום. התראות אלו, המגיעות ממערכות הגנה, כגון אנטי-וירוסים, חומות אש וכלי ניטור אחרים, אמורות להתריע על חולשות במערך האבטחה של הארגון ולדווח על פרצות אבטחה פוטנציאליות. עם זאת, העומס הרב של ההתראות יוצר אתגר משמעותי: כיצד למיין בין ההתראות ולהתמקד באלו הקריטיות באמת? נתונים של IBM מ-2023 מצביעים על כך שכ-70% מהארגונים הגדולים מתמודדים עם יותר מ-500 התראות ביום, כאשר רק כ-25% מההתראות מטופלות כראוי באותו היום. יתרה מזו, מחקרים של חברות כמו IBM ו-Verizon מראים שרק כ-15% מההתראות שמתקבלות מידי יום מצריכות פעולה מיידית.
יתר ההתראות, מצטברות כ"מטלות פתוחות" המכבידות על מערכות האבטחה ומפחיתות את יכולת הארגון להתמודד עם איומים אמיתיים. התראות רבות מצביעות על פגיעויות חוזרות או מתקפות שהוסרו כבר בעבר, דבר שמוביל לעומס נוסף ולבזבוז זמן יקר.
בעבר, נראות הייתה עיקר המוקד בניהול פגיעויות סייבר. האיומים היו מוגבלים, התשתיות היו פשוטות יותר וניהול הנראות נחשב כקל יחסית. כיום, נראות כוללת מגוון אין-סופי של נכסים דיגיטליים: מכשירים פיזיים, מכונות וירטואליות, שירותי ענן, containers, אפליקציות, מערכות בניהול ספקים ושירותים חיצוניים. עם המעבר הגובר לסביבות היברידיות ורב-ענניות, האקו-סיסטם הדיגיטלי הופך למורכב יותר, וצוותי האבטחה חייבים להיות "עם עיניים בכל מקום" ומעודכנים.
מעבר מנראות לתובנות פרקטיות
כדי להתמודד עם "עומס הנראות", כלי האבטחה צריכים לעשות יותר מאשר להפיק נתונים. במקום זאת, עליהם להציע לצוותי האבטחה "מפת דרכים" שתסייע לנווט בים הנראות בעזרת תובנות פרקטיות. המעבר הזה מחייב דור חדש של פתרונות אבטחה שמתמקדים בשלושה היבטים חיוניים:
1. תעדוף לפי סיכון ונזק עסקי: כלים רבים מזהים פגיעויות, אך אינם מתחשבים בפוטנציאל הניצול שלהן. לכן, צוותי האבטחה עשויים לבזבז זמן על סוגיות בסיכון נמוך ולהחמיץ איומים עם סבירות גבוהה לניצול. כלים חדשים צריכים לתעדף פגיעויות על בסיס היכולת לנצל אותן והחשיבות העסקית של הנכסים הפגיעים.
2. אינטגרציה של מודיעין על TTPs: כלים צריכים לשלב מידע על שיטות תקיפה חדשות כדי לתעדף ולהתמודד עם איומים מתהווים בצורה טובה יותר. במקום לטפל בכל פגיעות כבעיה מבודדת, מודיעין איומים מאפשר לצוותים להתמקד בהגנה מול תרחישי תקיפה ריאליים.
3. מענה לשינויים בזמן אמת: הכלים חייבים להיות מותאמים לסביבות דינמיות, לעדכן באופן אוטומטי הערכות סיכונים, וליישם אמצעי הגנה תוך כדי שינוי המצב התשתיתי.
הנראות אינה מספיקה
לסיכום, בעולם שבו משטח ההתקפה הדיגיטלי מתרחב, הנראות אינה מספיקה. צוותי ומנהלי אבטחת מידע חייבים לעבור לזיהוי וטיפול באיומים הקריטיים ביותר. כלים חדשניים שממוקדים בתובנות פרקטיות יאפשרו להם לפעול בצורה אפקטיבית ולהשתחרר מהצפת המידע. רק כך ניתן להפוך את הנראות, מעומס של נתונים לכלים חזקים שמאפשרים לארגון לעמוד באיומים המשתנים בקצב מסחרר.
הכותב הוא מנכ"ל חברת הסייבר IONIX המפתחת פלטפורמה להגנה על משטחי התקיפה הארגוניים
