אבטחה מודיעינית – שילוב עולם אבטחת הסייבר עם עולם נתוני העתק
This post is also available in: 
English (אנגלית)
חברת IBM ממזגת שני עולמות תוכן "שכנים" למוצר אחד. עולם "נתוני העתק" (Big Data) ועולם הגנת הסייבר וקוראת לו "אבטחה מודיעינית" (Intelligence Security). פתרון אבטחת המודיעין של IBM לוקח יכולות של איסוף נתונים בכמות אדירה ובזמן קצר על ידי תשתיות "ביג דאטה" כך שניתן לנתח את נתוני ה-IT והסייבר קרוב לזמן אמת ולהציף התראות מעשיות עם אחוז התראות שווא נמוך.
מקרי אבטחה כגון זיהוי תקיפות APT, גילוי הונאות וניתוח איומים פנימיים דורשים סוג חדש של פתרונות על מנת לנתח יותר נתוני תוכן, לאפשר גמישות גבוהה יותר, להשיג תוצאות טובות ביותר בזמן בו ניתן עדיין להגיב.
אבטחת המודיעין של IBM ממזגת את יכולת הקורלציה של נתוני האבטחה בזמן אמת ויכולות זיהוי האנומליה של פלטפורמת הבינה של IBM – "QRadar" עם התאמת יכולות הניתוח והחקירה של נתונים עסקיים בכמויות עצומות הניתנים על ידי מערכות אחרות של IBM – InfoSphere BigInsights. התוצאה היא פתרון משולב המשלב ניטור חכם והתראות עם ספי רגישות לאנליסטים שמנתחים את האיום והסיכון וחוקרים את נתוני האבטחה וה- IT הארגוניים.
הפתרון של IBM מכיל למעשה מערך נרחב של תוכן מודיעין אבטחה המוטען למערכת מראש, החל מטקסונומיה מקיפה של אבטחת מידע וכלה בנורמליזציה אוטומטית של הנתונים, ע"פ כללים שהוגדרו מראש ומסכי ניטור מערכתיים לתוכם כבר מקודדות שיטות עבודה המומלצות.
מר יו הופמן מחברת IBM (Mr. Uwe Hoffman, Security Intelligence, Europe Technical Manager), IBM), במהלך ביקורו בישראל, סיפר ל- i-HLS על מערכת ה- SIEM של IBM (אבטחת מידע וניהול אירועים) הפתרון המבוסס על חברת "Q1-Labs" שנרכשה ע"י IBM באוקטובר 2011. תוכנת ה- SIEM אוספת ומנתחת מידע ממאות מקורות בארגון, כגון הרשת, יישומים, פעילות משתמשים, נקודות קצה ניידות, והתקני אבטחה פיסיות כגון קוראי תג ועוד. תוכנת ה- SIEM גם מסייעת לצוות ה- IT של הארגון לנהל את המעקב אחר אירועי אבטחה ומודלים של הסיכון לארגון טוב יותר כדי להגן על לקוחות, תוך מתן תובנה למנהלים לגבי הסיכון ורמת היציבות של הארגון.
אחד מהיתרונות הגדולים של המערכת היא יכולת ההרחבה (Scaleability), המערכת יכולה לעבוד עם ארגונים קטנים וגם עם מרכזי מידע לאומיים – SOC (Security Operations Center).
המערכת מנטרת את זרימת התנועה ברשת ה- IP הסטנדרטית, כמו גם בשכבה שבע – שכבת היישומים, ולומדת את שיטות העבודה של המשתמשים מול השרתים והלקוחות, גם פיקוח על ה- botnets ועל הקישור שלהם למסדי נתונים בקוד פתוח – ניהול התעבורה והבקרה נותנים את הנתונים כמעט בזמן אמת וההתראות מגיעות כאשר הן עדיין רלוונטיות. המערכת הממוצעת מטפלת ב- 50,000-100,000 אירועים לשנייה (ויש התקנות בהם המערכת אף מטפלת בלמעלה מ- 800,000 אירועים לשניה), ומייצרת התראות אשר מטופלות ע"י מערכות של צד שלישי (לא IBM). המערכת מבוססת על מנוע-חוקים המכיל יותר מ -350 חוקים אשר חריגה מהם או מקומבינציה שלהם יוצרת התראה (תלוי כמובן בספים שמוגדרים מראש). מנוע החוקים מנטר את התנהגות ה-IT של הארגון ומציף התראות על חריגות. המערכת גם מכילה תבניות רבות אחרות (templates) וכלים לאדמיניסטרטור ה-IT של הארגון ומאפשר לו לנהל וליצור כללים משלו. המערכת לומדת עצמאית לזהות אנומליות המתרחשות במערכות ה- IT של הארגון – בשרתים, בצמתי ברשת, במחשבים – כל הדרך עד לניטור היישומים עצמם.
המערכת מנטרת את בזמן אמת גם את זרימת הנתונים וגם את קבצי היומן (לוגים) כדי לחלץ סטטיסטיקות ולקבוע התנהגות הנורמלית של הארגון, כמו גם כדי להתריע על אירועים שמזהים רק תוך התבוננות לאורך ציר הזמן.
מר הופמן נותן גודמא לגבי מפעל רכב בגרמניה, שהכניס מערכת הגנה שגרמה האטה של מספר אלפיות השניה למערכת כולה – בסיכומה של הזנה התגלה כי העיכוב ה"קל" עלה למפעל בייצור של 36 מכוניות פחות לאורך השנה. הפתרון ש- IBM יישמו במפעל למעשה לא מעכב את התהליך וכך לא פוגע בתפוקת הארגון.
השוק למערכות SIEM גדל במהירות ומר הופמן רואה את הדור הבא של מערכות תומכות SIEM מתפתחות וגדלות במהלך השנים הקרובות.
