"מודעות מצבית" (Situational Awareness) הוא מושג חדש יחסית בעולם אבטחת המידע. מטרתו העיקרית של תחום מתפתח זה היא לאפשר לארגון להבין מהם האיומים הניצבים מולו בכל רגע נתון, כיצד הם פוגשים אותו ברמת נכסיו ומהו סדר הפעולות שעליו לבצע כדי להפחית את הסיכון ולנטרל פרצות אבטחה. הצורך ב-Situational Awarness התפתח כתוצאה מהמצב הקיים, בו ארגונים חשופים לאין-ספור איומי סייבר, צוותי ה-IT עמוסים בפרויקטים ובניסיונות לסגור את הפערים והחשיפות שמתגלות ונדרש לקבוע סדר עדיפויות לפעולה, המבוסס על רמות האיום והסיכון המשוקף בחיבור לנכסים של הארגון. קביעת התעדוף הנדרש יכולה להיות מאתגרת ולעיתים לא מקבלת את הפוקוס הרצוי.
למצב זה מתווסף אתגר נוסף: בעוד שתחום הסייבר מנוהל על-ידי אנשי אבטחת מידע, עולם התשתיות מנוהל על-ידי אנשי IT. סדר העדיפויות של הראשונים אינו בהכרח זה של השניים, וגם כאשר הוא חופף - נתקלים אנשי ה-IT בקושי לבצע את המשימות שמציבה להם מחלקת האבטחה. בעוד במצב אידיאלי איש הסייבר מזהה בעיה וצוות ה-IT פותר אותה - בפועל זה לא תמיד קורה, בשל לו"ז עמוס ועודף משימות IT יום-יומיות ושוטפות.
לנהל סדרי עדיפויות
כדי לתת מענה למצב בעייתי זה, מציג מרכז הגנת הסייבר של BDO ישראל פתרון מנוהל חדש שיושק בקרוב. בעזרת אנליסטים מתחום הסייבר ואנשי תשתיות, ותוך שימוש בטכנולוגיות מתקדמות, מחברים מקצועני הסייבר של המרכז תמונת מצב מודיעינית חיצונית אל מול תמונת מצב הנכסים של הארגון והפגיעויות הקיימות בהם. כך מקבל הלקוח דו"ח מודיעין מעשי הדרוש לביצוע פעולות הגנה יעילות. העדכניות הזאת מתאפשרת הודות למרכז הניטור והבקרה שמפעיל מרכז הגנת הסייבר של BDO 24/7, המתעדכן ללא הרף באיומים ובמתקפות החדשות האורבות ברשת.
"הלקוח מקבל דו"ח ברור וממוקד לטיפול. לא דו"ח כללי, אלא כזה שמכוון את הלקוח בצורה ממוקדת, למשל, לסגור את פורט X בשרת Y", אומר נועם הנדרוקר, שותף ומנהל ייעוץ הסייבר במרכז הגנת הסייבר של BDO ישראל. "אנחנו מבינים שלארגון יש סדרי עדיפויות משלו, קורים בו הרבה דברים כל הזמן, וצוותי ה-IT עמוסים ולא יודעים מאיפה להתחיל. יש דרישות רבות עליהן יש לענות, פרויקטים שרצים - ולכך מתווספות גם חשיפות סייבר. המטרה שלנו היא להכניס לתוך הבלאגן הזה היררכיית דחיפות ברורה שתעזור ל-IT ליצר סדרי עדיפויות ולטפל בממצאים קונקרטיים בעלי רמת איום ממשית שהונחו על שולחנו, על-פי מידת הקריטיות".
על בסיס מה אתם מגדירים את סדר העדיפויות הזה?
"ישנם שני פרמטרים מרכזיים שעד היום היה קשה לחבר ביניהם. לארגון יש נכסים המוגדרים כ'יהלום שבכתר', אלה שעליהם חשוב לו לשמור יותר מכל. במקביל, במסגרת הפעילות השוטפת והיום-יומית, ישנם הרבה מאוד איומים וסכנות קטנות וגדולות, המשתנות בהתאם למידת החשיפה. המטרה שלנו היא לחבר את האלמנטים האלו ולהגיד לארגון: 'עכשיו נדרש לתקן חשיפה מסוימת בשרת מסוים בדחיפות, כי זה המסלול בו ניתן לחדור לארגון".
ואיך אתם מגיעים למידע הזה?
"מידע הסייבר שאנו מגבשים מבוסס על כל העולם המודיעיני בתחום, מהרשת הגלויה עד הדארק ווב. השירות מפותח ע"י מרכז הגנת הסייבר של BDO ישראל יחד עם מרכזי BDO באנגליה, גרמניה ואירלנד. כתוצאה מהפיתוח המשותף של המרכזים השונים, הפתרון מתבסס על ידע גלובלי רב. בארגון עצמו אנו מבצעים סריקה של פגיעויות על-ידי התקנת כלים ברשת של הארגון. אנו סורקים אותה, את התקשורת ואת הטכנולוגיות והתשתיות הקיימות. לאחר שיחות עם הלקוח והבנה מלאה של הארגון, אנו מגדירים את הנכסים הקריטיים. במהלך הסריקות אנו מזהים את הנכסים הפגיעים יותר ומבינים מהן הפגיעויות הקיימות בהם.
"לאחר שיצרנו את הפרמטרים של חשיבות הנכס ורמת הסיכון, אנחנו מייצרים את סדר העדיפויות לטיפול. האנליסטים שלנו מבינים מה בעייתי ואת רמות הסיכון, ובהתבסס על כך אנו מפיקים עבור הלקוח דו"ח המגדיר עבורו את הפגיעויות, מה צריך לתקן ואת סדרי העדיפויות הנדרשים. התהליך הזה הוא תהליך קבוע ומתמשך. אנו סורקים את מערכות הארגון כל הזמן ומחפשים חשיפות, שנוצרות כל הזמן. הארגון דינמי, כל הזמן מבוצעת עבודה על ידי אנשי התשתיות והביזנס בארגון, ובכל אחת מהן יש פוטנציאל לסכנת סייבר. למשל, אם איש IT קיבל דרישה להרים שרת בענן, אבל לא איבטח אותו - נוצר פתח כניסה לארגון. כל הזמן קורים דברים כאלה, ותמיד יש מי שמחפש לנצל את הפרצות".
שירות מנוהל ולא מוצר
ב-מרכז הגנת הסייבר של BDO מגדירים את ה-Situational Awarness כשירות מנוהל שמטפל ב"כאב הראש" ומעביר את העומס למרכז הגנת הסייבר במקום על הלקוח, ולכן רואים בו מנוע צמיחה מרכזי. הנדרוקר מאמין שלשוק ייקח זמן "להתבשל על זה", כהגדרתו, ושבעוד כשנתיים המודעות לשירות תהיה במקום אחר לחלוטין. "כל עולם ניהול הסיכונים התפתח מאוד בשנים האחרונות. טכנולוגיות לסריקת פגיעויות קיימות כבר שנים רבות, אך הן פחות מתוחכמות ולא יודעות לתעדף את הסיכונים. הבשורה החדשה היא חיבור כל הטכנולוגיות ומתן פתרון הוליסטי ללקוח. מדובר בשירות מנוהל ולא במוצר יחיד, אלא באוסף של טכנולוגיות, אנשים וידע מתודולוגי רב שנצבר ונותן ערך מוסף מיידי ללקוחות".
השירות מצביע על הבעיות אך לא פותר אותן, אלא מטיל על משימת הפתרון על הלקוח. מה עם שירות שסוגר פרצות אוטומטית?
"קיימת טכנולוגיה המאפשרת לסגור פערים בצורה אוטומטית, אבל רוב הארגונים עדיין לא מוכנים להשתמש בה. היא עדיין לא בשלה מספיק, ואי-אפשר להתבסס על הטכנולוגיה שתבצע סגירת פערים אוטומטית. מערכת כזאת עשויה לסגור, למשל, ערוץ גישה בעייתי לשרת מסוים - ואז לחסום גם הגישה העסקית של הלקוחות הניגשים לאותו שרת, וכך ייגרם נזק עסקי רב. זה סיכון שאי-אפשר לקחת, ולכן צריך איש מקצוע שינתח את ההשלכות של כל פעולה. כך שעדיין טוב שההגה נמצא בידיים של בן אדם - ורצוי שהבן אדם הזה יהיה מומחה סייבר של מרכז הגנת הסייבר של BDO ישראל.
בשיתוף מרכז הגנת הסייבר של BDO ישראל
