The Marker - חזרה לעמוד הבית
חיפוש

האנליסט שבטנק ינצח

אלי שאבי, CTO ב-SYSEC והאיש האמון על הפעלת ה-SOC שמעניק בקרת סייבר לארגונים הגדולים בישראל, מציג זווית ראייה חדשה על הגורם האנושי בעולם הסייבר, ההולך ומתמלא באוטומציות ו-AI. בתוך כך הוא מסביר כיצד צריך לבחון את ביצועי ה-SOC ולקבוע את רמת המקצועיות של הגורם האנושי במכלול הגנות הסייבר של הארגון

שיתוף בוואטסאפ

הדפסת כתבה זמינה למנויים בלבד

ללא פרסומות ותמונות, ובהגשה נוחה להדפסה

לרכישת מינוי
תגובות:

קריאת זן זמינה למנויים בלבד

ללא פרסומות ובהגשה נוחה לקריאה

לרכישת מינוי
אלי שאבי | צילום: יהב דיגיטל
אלי שאבי | צילום: יהב דיגיטל
אלי שאבי | צילום: יהב דיגיטל
אלי שאבי | צילום: יהב דיגיטל
איתי בן-גל, בשיתוף SYSEC
תוכן שיווקי

"אנו חיים בעולם שעובר תהליכי טרנספורמציה דיגיטלית (Digital Transformation), תהליך אשר עיקרו הוא אימוץ והטמעה של טכנולוגיות דיגיטליות חדשות ומתקדמות, במטרה לשפר ולפתח את האופן שבו פועל הארגון על מנת לייצר ערך ללקוחות, ולהתמודד עם אתגרים עסקיים. זה תהליך שרק הולך וגדל עם השנים", אומר אלי שאבי, ה-CTO ב-SYSEC והאיש האמון על הפעלת ה-SOC, שמעניק בקרת סייבר לארגונים הגדולים בישראל, כשהוא מתאר את תחום הסייבר בישראל.

"כל שינוי שכזה מביא עימו אתגרים חדשים בעולם הגנת הסייבר ונוצר מרוץ חימוש בלתי פוסק, במטרה לתת מענה לאתגרים אלו", הוא מוסיף. "בהיעדר קו סיום במרוץ החימוש בתחום אבטחת מידע, ההצלחה נמדדת בהתמדה ובקדמה מתמשכת. אלו שנותרים מאחור, תוך התעלמות מהאיומים ומתנהלים בעצימת עיניים, צפויים לחוות פגיעה קשה כאשר התקפת סייבר, שהיא רק עניין של זמן, תתרחש".

מהסתכלות על מרוצי חימוש שונים בהיסטוריה, ניכר שזה עניין של הקצאת משאבים, לא?
"בניגוד לדעה הרווחת על מרוץ חימוש קלאסי, בו לטכנולוגיה ולתקציב תפקיד עיקרי במיקומך על הלוח, אני מאמין כי כשמדובר במרוץ חימוש בעולם אבטחת הסייבר, הגורם העיקרי שיקבע האם תישאר במשחק הוא האם אתה עם אצבע על הדופק בכל הקשור לנושא. וליתר דיוק - האם הארגון מייחס חשיבות לנושא ומגדיר את השיפור המתמיד בהגנת הסייבר שלו כיעד מרכזי. שכן, במרוץ ללא קו סיום, צריך לרוץ למרחקים ארוכים, ולכן, לצד פיתוחים טכנולוגיים לטובת הצרכים המסחריים של הארגון, חשוב לבנות תרבות של מודעות, הדרכה וחניכה המתייחסת להיבט הסייבר בעת פיתוח מערכות ושירותים. בכך ניתן לטפח את הדורות הבאים לתשומת לב, התבוננות והתנהלות שיסייעו לארגון להתגונן לאורך זמן ולטווח הארוך".

אז ראיה קדימה בנוסף לפיתוחים טכנולוגיים?
"רבים מהארגונים מתמודדים עם השאלה - עד כמה הם מוגנים מפני איומי הסייבר העומדים בפניהם. שאלה זו מטרידה הנהלות רבות, ונעשים ניסיונות רבים לפתח מדדי ביצוע מרכזיים (KPIs), שיסייעו להבין היכן הארגון נמצא ביחס לערכים הרצויים. ההבנה היא שמדידה היא הכרחית על מנת לדעת היכן אנו נמצאים ביחס לרצוי. זהו הבסיס לגישה שתסייע לנו להישאר מובילים במרוץ.

מערך של ניטור ותגובה לאירועי סייבר
השאלה הבאה, לדברי שאבי, היא אילו מדדים לבחור וכיצד למדוד אותם. "אנו מאמינים שמדידת הביצועים צריכה להתמקד ב-SOC, הגוף האחראי לזיהוי וטיפול באירועים מכלל המערכות ותשתיות הגנת הסייבר ומשקף למעשה את מצב הארגון בתחום זה. אך צריך לזכור כי הטכנולוגיה המצויה ב-SOC, משוכללת ככל שתהיה, היא בסך הכל הכלי, היא הטנק, וכמו שאמר טליק ז"ל (אלוף ישראל טל) כששאלו אותו איזה מן הטנקים הקיימים עדיף על כולם וינצח בשדה הקרב, הוא ענה שהטנק שבו הצוות הטוב ביותר הוא אשר ינצח. במקרה שלנו זהו צוות ה-SOC, שעושה את ההבדל, ומבחינתנו - האנליסט שבטנק ינצח.

"כפרקטיקה עליך להבין מה ה-SOC אמור לספק מלכתחילה וכיצד למדוד את ביצועיו. משביססנו את חשיבות הגורם האנושי, עלינו להבין מהי התנהלות נכונה וכיצד למדוד אותה. שכן, כל תהליך של התפתחות מתחיל בהצבת יעדים ומטרות ובקביעת המצב שלך ביחס אליהם. לשם כך, עליך לבנות מדדים רלוונטיים, שיסייעו לך לקבוע האם ביצועיך עומדים בסטנדרטים הדרושים והאם הצוות שלך הוא במגמה של שיפור".

אם כן, מה אמור לספק ה-SOC לארגון?
"הייתי מחלק את המטרות של ה-SOC לארבעה תחומים עיקריים:

1. איתור ותגובה של איומים: הבטחת גילוי, חקירה ותגובה בזמן לאירועי אבטחה פוטנציאליים, לרבות ציד איומים יזום - Threat Hunting.

2. פתרון תקריות והפחתתם: צמצום הזמן הממוצע לזיהוי (MTTD) והזמן הממוצע לפתרון (MTTR) עבור אירועי אבטחה, צמצום השפעתם ומניעת הישנותם בעתיד.

3. הפחתת סיכונים: ניטור וניהול סיכוני אבטחה על ידי זיהוי נקודות תורפה, הטמעת בקרות מתאימות ומתן תובנות ניתנות לפעולה להפחתת סיכונים.

4. יעילות תפעולית: אופטימיזציה של פעולות ה-SOC, ייעול תהליכים, הפחתת תוצאות שגויות ושיפור האוטומציה".

אז יש בסיס ומטרות. איך מודדים את ביצועי ה-SOC?
"לאחר שהגדרנו מהן מטרות ה-SOC, עלינו להבין באילו נסיבות הוא פועל ומה תהליך העבודה שלו. שכן, כמערך של ניטור ותגובה לאירועי סייבר, לא ניתן לנתק את יעילותו ותרומתו מהנסיבות בהן פעל ויש לבחון אותן בטרם נוכל לבחון את המדדים. ללא בחינה של הנסיבות - המדד הכמותי לא ישקף בבירור את התנהלות ה-SOC. על מנת להבין את חשיבות הנסיבות, ניתן לבחון חלק ממחזור החיים של Incident אשר מזוהה ומטופל על ידי ה-SOC ביחס לשני מדדים עיקריים: זמן הזיהוי MTTD וזמן הפתרון MTTR של Incident.

"זיהוי מהיר אינו חזות הכל. הבנה מעמיקה של תהליך הזיהוי חשובה, שכן זיהוי מהיר של אירועים לא משמעותיים אינו מבטיח תפקוד תקין של ה-SOC. כדוגמה, נתייחס לזיהוי חוקים לא רלוונטיים הקיימים בחלקם במערכת SIEM, בין אם נוצרו על ידי אדם או סופקו על ידי יצרן המערכת, שאינו תורם ערך ואף עלול להפריע לזיהוי אירועים חשובים יותר, כמו אירועי התנהגות חשודים המזוהים על ידי מערכת XDR.

"וכמוהו גם מדידת הזמן למציאת הפתרון. יש להגדיר מה ייחשב פתרון מספק, הן מבחינת תוכן התגובה והן מבחינת הפעולות הננקטות. לדוגמה, SOC כשירות מנוהל צריך לספק מידע נוסף רלוונטי, שיאפשר לנמען להימנע מחקירה נוספת. חשוב לוודא שהפעולות שננקטות הן נכונות ומתאימות לאירוע, ושהן לא יגרמו לנזק בהמשך, כדוגמת החרגה במערכת שיכולה להיות נכונה, אך כזו שגם תגרום נזק בהמשך. זמן קצר לפתרון אינו חזות הכל וחשוב לוודא שהאירוע טופל באופן יסודי ומקצועי".

מדידה נכונה כמנוע צמיחה
שאבי מסיק מכאן, שציון חיובי בכל מדד כשלעצמו אינו ערובה לתפקוד תקין של ה-SOC ואינו מעיד על רמת ההגנה של הארגון, זאת ללא הבנה ובקרה על כלל הנסיבות הכרוכות בו.

ומהם המדדים שצריך לבחון?
המדדים הנפוצים הם:

• זמן ממוצע לזיהוי Mean Time to Detection (MTTD)

• זמן ממוצע לפתרון Mean Time to Resolution (MTTR)

• זמן ממוצע עד לבלימה Mean Time to Containment (MTTC)

• זמן ממוצע עד לתיקון Mean Time to Remediation (MTTR)

• שיעור חיובי כוזב False Positive Rate (FPR)

ומדידה שלהם ביחס לנסיבות תבטיח את אבטחת המידע בארגון?
"לפני הכל, הבנת הנסיבות ובחינה של המדדים הללו תאפשר לך למדוד כראוי את ביצועי ה-SOC ולהימנע ממצגי שווא של נתונים, שלא מעידים על טיב העבודה. כמו כן, מעצם המדידה שלהם – אתה נשאר ממוקד בבחינת הגורם האנושי ובהתייעלות מתמדת, כשאתה מפנה מהדרך התראות לא מאיימות ומקבל תמונה ברורה יותר שרק הולכת ומתחדדת. וכערך מוסף - יישום עקבי של ההתייעלות הזו יפנה לך בהמשך המון משאבים שתוכל להפנות להגנה נוספת והטמעת טכנולוגיות מתקדמות. כך שבין אם מדובר ב-SOC פנימי של הארגון ובין אם מדובר בנותן שירות חיצוני - מדידה נכונה של ביצועי הגורם האנושי בהתאם לנסיבות היא מנוע הצמיחה שמאפשר שגשוג אמיתי במרוץ החימוש של הגנת הסייבר".

לאתר>>>
בשיתוף SYSEC

חזרה למדור

Labels

תוכן שיווקי

    כתבות שאולי פספסתם

    דוכן של מיסטרל בתערוכת נשק בוושינגטון. החברה משמשת כקבלן ראשי בחוזים של משרד ההגנה האמריקאי

    אקזיט לאייל בנאי: אונדס קונה את מיסטרל בעסקת מניות בשווי 175 מיליון ד'

    חגי עמית
    בורסת סיאול, היום. לאיראן יש דרך לשבש את המכונה הכלכלית העולמית

    הזינוק בנפט והמפולת בשווקים הם הניצחון של איראן על טראמפ

    דפנה מאור
    יהודה הלוי 123, לאחר פגיעות ההדף. הבניין אוכלס מחדש ב-2019 - אבל ההליך המשפטי עדיין מתנהל

    הבניין עבר התחדשות ללא תוספת ממ"דים עקב מגבלות השימור – ואז פגע הטיל

    שלומית צור
    תרגיל מערכת נגד טילים

    מערכות ההגנה האווירית שלנו יחידות במינן? המלחמה חשפה את המתחרה הגדולה

    חגי עמית
    Iran Strait of Hormuz What to Know

    השווקים במלחמה: הדפוס ההיסטורי מצביע על הזדמנות קנייה, אך הסיכון אמיתי

    יגאל נוימן
    עו"ד אודי ברזלי

    הסכסוך עם סוחר הנשים חשף את "הבנק המחתרתי" של עורך הדין הבכיר