סייבר: הרשת שלך כבר נפרצה - מה עכשיו? - הנבחרת - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

סייבר: הרשת שלך כבר נפרצה - מה עכשיו?

לעצור את החבר'ה הרעים מלהשתחל לתוך הרשת הארגונית היא משימה כמעט בלתי אפשרית - הגיע הזמן שמנהלי מערכות המידע יתחילו להתמקד בחוליה הבאה בשרשרת ההגנה

3תגובות

נראה כי מתקפות סייבר מופיעות בכל מקום בחדשות, ונדמה שאף אחד לא חסין - אפילו חברות כמו Ebay ,Adobe ,Target ו-Home Depot נפגעו. אז למה מנהלי מערכות מידע עדיין נלחמים בתוקפי הסייבר עם יד אחת קשורה מאוחרי גבם?

באופן מפתיע, רוב החברות מסתמכות על שיטות אבטחה מיושנות, שאפקטיביות רק במידה חלקית, בכדי להגן על מידע רגיש כאשר לרוב ההגנות מתמקדות במניעת מתקפות נכנסות. האמת היא שלעצור את החבר'ה הרעים מלהשתחל לתוך הרשת הארגונית היא משימה כמעט בלתי אפשרית בימים אלו. למעשה, בקרב ארגונים שמנהלים יותר מ-5,000 מחשבים, כ90% מהם נגועים בפירצה פעילה מסוג כלשהו בכל רגע נתון. החלק הנורא בכל העניין הוא שאותם ארגונים כלל לא מודעים לבעיה.

הגיע הזמן שמנהלי מערכות המידע יתחילו להתמקד בחוליה הבאה בשרשרת ההגנה נגד פשעי הסייבר: סגמנט מתפתח, "Breach Detection", המתמקד בזיהוי חדירות לרשת המחשוב לאחר הפריצה עצמה ובמזעור הנזקים שלהן למערכות הארגון. הטכנולוגיה עושה שימוש בעקרונות ניתוח ה-Big Data.

שינויים בקרב: מניעה כבר אינה מספקת

בכדי לשרוד תקיפה של כריש ישנו פתרון יחסית פשוט - כל עוד אתה שוחה מהר יותר מהאדם שלידך, הסיכויים שלך להגיע לחוף בשלום – מצויינים. עד לאחרונה תחום אבטחת המידע פעל תחת רציונל דומה - כל עוד לרשת הארגונית שלך ישנה אבטחה טובה יותר מהממוצע כנראה שהיית בטוח, כיוון שמישהו אחר היה נפגע לפניך.

הסיבה לכך נעוצה בשיטת העבודה של ההאקרים שחיפשו את הפירצות הקלות ביותר ונהגו בגישת "Spray and pray" בכדי למצוא מטרות קלות באופן אופורטוניסטי. באותם ימים, פותחו פתרונות אבטחה מבוססי חתימה (signature-based), המנסים לזהות דפוסי קוד זדוניים ולחסום אותם, אכן פתרון הגיוני.  אם חברה אחת פגשה באיום חדש היא יכלה להפיץ את החתימה הדיגיטלית לאחרות בכדי לסייע להן להתגונן מפני תקיפה דומה.

במעבר חד להיום, בזמן שארגונים חיזקו וביצרו את מנגנוני האבטחה שלהם - גם ההאקרים השתדרגו. מתקפות הסייבר הן הרבה יותר מורכבת ומוכוונות מאשר בעבר. במקום להפיץ תוכנה זדונית גנרית, ההאקרים מתכננים בקפידה כל מתקפה ומתקפה תוך שימוש ב"zero-day attack", שהופכת את שיטות ההגנה בחתימה לחסרות תועלת.

בשנים האחרונות הוקמו מספר חברות, FireEye למשל, בניסיון להלחם גם בסוג זה של מתקפה, אך עם זאת ההאקרים ממשיכים למצוא דרכים יצירתיות בכדי לעקוף את ההגנות הללו.

האקרים מסוימים מרחיקים לכת ואף רוכשים את כל מנגנוני האבטחה שבהם משתמשת החברה אליה הם מנסים לחדור. זאת בכדי שיוכלו להתאמן ולתכנן את המתקפה שלהם תחת סביבה אבטחה דומה, דבר שכמעט ומבטיח להם הצלחה.

רוב הנזק מתרחש אחרי הפריצה הראשונית

החדירה הראשונית בתרחיש פריצה טיפוסי נמשכת בין מספר דקות לשעות בודדות - ואף ימים במקרים נדירים. עם זאת, מירב הנזק מתרחש רק לאחר שנפרצו קווי ההגנה הראשוניים (כמו Firewalls). לאחר שנכנס הפורץ לרשת אותה תכנן לחדור, מאגרי המידע הם כמכרה זהב עבורו ועל כן לזיהוי התקיפה בשלב זה חשיבות מכרעת.

הפורצים לומדים את הרשת הפנימית של קורבנם ומרחיבים בזהירות את דריסת הרגל שלהם וגישתם למידע. לאחר מכן מתרחשת כריית מידע של נתונים יקרי ערך במשך חודשים ואף שנים לפני שהם מתגלים - לרוב רק במקרה.

Mandiant, חברת ייעוץ בתחום אבטחת מידע, דיווחה לאחרונה כי APT1, אחת מיחידות הסייבר של סין, תקפה 141 חברות השייכות ל-20 תעשיות שונות וגנבה אלפי ג'יגות של נתונים דחוסים בהתקפות חזרות ונשנות. ההתקפה הארוכה ביותר ארכה יותר מ-4 שנים. החלק המדאיג ביותר בכל העניין הוא כי רק חלק קטן מהארגונים משתמש בטכנולוגיות אשר מיועדות לזיהוי פריצות, ולכן רובם אינם יכולים לאבחן התקפות אלו בעצמם.

חברת Target למשל, לא גילתה את הפריצה האחרונה לשרתיה למרות התראות רבות, אלא לאחר שמשרד המשפטים האמריקאי הודיע לחברה באמצע דצמבר שחוקריו גילו את העניין. בפריצה זו נגנבו 40 מליון מספרי אשראי. על פי דו"ח שפרסמה חברת Verizon בשנה שעברה, המצב היינו שכיח - רק 13% מפריצות האבטחה מתגלות באופן פנים- ארגוני.

זיהוי פריצות - קו ההגנה האחרון

כל הגורמים הללו מצביעים על הצורך במערכת חזקה לגילוי פריצות בכדי לספק את קו ההגנה האחרון נגד התקיפות המתמשכות, במקום להתרכז רק בחסימת גל החדירות הראשוני. בעוד עקרון הזיהוי "לאחר מעשה" אינו חדש, הדור הקודם של כלים לזיהוי חדירה (IDS) , אבטחת מידע וטכנולוגיות לניהול אירועים (SIEM), לוקה לרוב בחסר בסביבה הטכנולוגית של ימינו המבוססת מרכזי נתונים (data centers). מדוע?

■ הם מסתמכים על כללים / חתימות שהוגדרו מראש בכדי לזהות פרצות. בעולם של מתקפות מותאמות אישית, פתרונות מסוג זה יפספסו לרוב את ההתראות הרלוונטיות ביותר.

■ קושי באיתור האותות הרלוונטים מבין הרעשים. דמיין מצב שבו מערכת ההתראות שלך מוצפת במאות ואף אלפי התראות ביום - כל אחת מייצגת פריצה פוטנציאלית לרשת הארגונית ולמידע הרגיש ביותר שלך. לכן אין זה מפתיע שחברת Target, כמו רבות אחרות, פספסה את סימני ההתראה המוקדמים של המתקפה.

■ ראות מוגבלת בשל יישום המערכות בקו ההגנה הראשוני ההיקפי או בשל ההסתמכות על קבצי יומן (log files). ללא גישה לערכת נתונים עשירה, המתרחבת מעבר לרצועת האבטחה ההיקפית,  והכללת כל המידע הגולמי (בניגוד לקובץ יומן, שהוא נגזרת שלו), ספק אם כלים אלו יוכלו לזהות ולהגן מפני איומים באופן מיטבי.

הדור הבא של מערכות זיהוי הפריצה פותרות במהותן בעיה קלאסית בתחום ה-Big Data - כדי להיות יעילים הכלים הללו צריכים לנתח נתונים בנפח גבוה ובמהירות רבה מאוד, בכדי לאתר חדירות פוטנציאליות. וחשוב מכל, הכלים חייבים להיות מדויקים; יותר מדי אזעקות שווא והמערכת תזכה להתעלמות במהירות רבה, בדיוק כמו הילד שצעק זאב זאב.

דור חדש של סטארטאפים מנסה לפתור בדיוק את הבעיה הזו, חברות כמו -Aorato  Bit9, Cybereason, Exabeam, Fortscale, LightCyber, Seculert, Vectra Networks  מנצלות טכניקות ב-Big Data כמו Machine Learning במקום להסתמך על גילוי חתימות ידועות.יחד עם זאת, הן משלבות מומחיות באבטחת סייבר בכדי ליצור פרופילים ולהבין דפוסי שימוש והתנהגות של המשתמש והמערכת.

שיטות אלו מאפשרות להן לזהות זן חדש של התקפות ולהימנע מהצפת מומחי האבטחה בים של התראות שווא חסרות תועלת. חברות אלו מנסות לצמצם את מספר ההתראות ולספק ממשק משתמש עשיר, המאפשר חיפוש וחקירה אינטראקטיביים.

בכדי להמחיש כיצד הטכנולוגיות האלו פועלות, חשבו על כל "שביל פירורי הלחם" המקוונים שהתוקף משאיר אחריו באופן בלתי נמנע בכל שלב של התקפה. למשל, הוא יוצר חיבורי רשת לשרתי פיקוד ושליטה. הוא נע על גבי הרשת הארגונית בדרך שונה אפילו במעט מזו הנורמלית; הוא ינסה לעשות שימוש בכל אמצעי זיהוי דיגיטלי שיוכל להשיג בכדי לנסות לגשת למשאבי מידע רגישים (לדוגמה, ינסה לגשת לקטעי קוד יחודיים המהווים קניין רוחני אשר נמצאים על גבי שרתי הפיתוח באמצעות סיסמת התחברות של מנהל המכירות).

הדור החדש של סטארטאפים אלו יכול לחוש במיקרו תזוזות ושינויים בתוך המערכת, ובשילוב עם הבנה מעמיקה של דרכי הפעולה של ההאקרים הם יכולים להרכיב את חלקי הפאזל בזמן אמת לפני שנגרם נזק משמעותי.

הרבה מונח על כף המאזניים כאן. בסופו של דבר, פתרונות שמסוגלים באופן אפקטיבי לסנן את הרעש ולהציף רק קומץ של התראות רלוונטיות ביותר, יהפכו כנראה לקו ההגנה האחרון החשוב ביותר ולמרכיב מרכזי בחבילת האבטחה הארגונית של הדור הבא.

פז אשל ושירן שלו, הם חלק מצוות ההשקעות של קרן ההון סיכון באטרי ונצ'רס. הקרן הינה קרן גלובלית הפועלת בישראל ובארה"ב, ומשקיעה בחברות בשלבים שונים ובמגוון תעשיות החל משלב ה-Seed. פז ושירן משקיעים בעיקר בחברות טכנולוגיה והשקיעו בין היתר גם במספר חברות סייבר ישראליות בינהן Cyvera אשר נמכרה לחברת Palo Alto Networks, GuardiCore ו-LightCyber. לרשימה המלאה של החברות בהן השקיעה החברה לחצו כאן.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#