מסימני המעבר להגנת סייבר המבוססת על מידע מודיעיני
This post is also available in: 
English (אנגלית)
שתי הדקות הראשונות של מתקפת סייבר הן קריטיות. בזמן הזה התוקף שם את הקלפים שלו על השולחן, מתקין נוזקות נוספות ומבסס את האחיזה שלו על רשת המחשבים של הקורבן. טכנולוגיות מסורתיות של איתור נוזקה בדרך כלל לא מסוגלות להתמודד עם לוח הזמנים הצפוף הזה, ומערכות האבטחה של הרשת לא מתואמות מספיק עם מערכות האבטחה של נקודת הקצה (endpoint).
ארגונים רבים אפילו לא מודעים לזה שהרשת שלהם הותקפה, והם מגלים את התקיפה רק חודשים ואפילו שנים אחרי שהתרחשה. המידע הזה נחשף בדו"ח אבטחת המידע החדש של Verizon, שגילה כי קרוב ל-70% מהארגונים לא ידעו שהותקפו עד שצד שלישי חשף את הענין. חלק מספקי האבטחה נוקטים בגישה אחרת ומשפרים את היכולת של נקודת הקצה – בדרך כלל המטרה הראשונית של המתקפה – לאתר מתקפות ולמנוע נזק. מדובר במתקפות כמו בוטים (bots), גניבת מידע או נוזקות, כשברקע ישנה תמיד הידיעה שבמציאות של ימינו אי אפשר למנוע מתקפות לחלוטין.
האינטגרציה בין תוכנת האבטחה לנקודות קצה של Bit9 לבין פתרונות הסייבר של FireEye ו Palo Alto Networks היא דוגמא לכך שנקודה הקצה הופכת לחלק עיקרי בהגנה, כך לפי הדיווח של קלי ג'קסון היגינס (Kelly Jackson Higgins) ב Security Dark Reading. חברת Palo Alto Networks חתמה על עסקה דומה עם Mandiant מוקדם יותר השנה, וחברת CounterTack הוציאה כבר בפברואר פתרון אבטחה חדש לנקודות קצה, שמטרתו לאתר מתקפות סייבר ולהפיק מהן כמה שיותר מידע מודיעיני.
מומחי אבטחה אמרו שאבטחת מחשבים היתה תחום מבודד יותר מדי זמן, וכל שיתוף פעולה או אינטגרציה בין ספקיות אבטחה יכולים לעזור – שיתוף מידע בין פתרונות אבטחה לרשת ופתרונות אבטחה לנקודות קצה, למשל. בנוסף, אומרים המומחים, גופים גדולים היו עסוקים מדי בכיבוי שריפות במקום בלנסות ולהבין מה בדיוק התוקפים רוצים.
"אם יש לך את כלי ההגנה המתוחכמים האלה על הרשת, והם לא מסוגלים לפעול על נקודת הקצה, שום דבר לא יכול לזהות את המטרה", אמר סקוט קרופורד, בכיר ב Enterprise Management Associates. “למה לא להשתמש במה שיש לנו על נקודת הקצה?”, הוסיף.
ה Connector החדש של Bit9 עבור FireEye ו Palo Alto בא לאחר שלקוחות חשובים, שהשתמשו במוצרים של כל שלושת החברות, ביקשו לשפר את האינטגרציה בין פתרונות האבטחה השונים ולקבל מידע מודיעיני איכותי יותר בנוגע לנסיונות תקיפה נגדם.
iHLS – Israel Homeland Security
התוקפים ניצלו היטב את העובדה שמערכות האבטחה לרשת ואלו של נקודות הקצה פעלו באופן מסורתי בנפרד. “המציאות היא כזו שהגענו לנקודה בה הגנות רשת והגנות נקודות קצה חייבות להתפתח ביחד", כך לדברי וייד וויליאמסון, בכיר ב Palo Alto Networks. “גם אם יש לנו הבנה מושלמת של מה שמתרחש ברשת, אנחנו עדיין חייבים להיות מתואמים עם מה שמתרחש בנקודת הקצה", הוסיף.
ארגונים גדולים, בינתיים, עוברים לאט לאט משימוש בהגנות פעילות לשימוש בהגנות מבוססות מידע מודיעיני. ענקית הביטוח AIG, למשל, מפעילה את מערכת האבטחה CounterTack Scout לנקודות קצה במרכזי המידע שלה בארצות הברית. פול דה גראף, לשעבר מנהל אבטחת המידע הבינלאומי של AIG, אמר שעד לפני שנה וחצי אבטחה מבוססת מודיעין היתה מושג זר לגמרי, ואבטחה התבססה כולה על SIEM.
ב AIG חיפשו דרכים לשפר את יכולות איתור האיומים ואת מערכת האבטחה שלהם. “אחרי המשבר הכלכלי התחלנו לבחון את תשתיות טכנולוגיית המידע שלנו, וראינו שאנחנו לא מודעים מספיק למה שמתרחש", אמר דה גראף, והוסיף "ולא מדובר רק במתקפות ספציפיות, אלא בכמות גדולה של איומים כלליים".
ב AIG יכולים עכשיו לנתח דגימה מתוך נוזקה שפוגעת בנקודת קצה ולהבין ממנה מה התוקפים רוצים, כך לדברי דה גראף. “המטרה היא לעשות את הכל מהר מאוד. אנחנו מנסים לסגור על התוקפים ולמנוע מהם להמשיך בהתקפה", הוסיף.
מה שהכריע את הכף עבור החברה, אמר דה גראף, היתה העובדה שבעזרת מידע מודיעיני כזה אפשר להשקיע בצורה נכונה יותר באבטחה בהתאם לרמת הסיכון. עד עכשיו, לדבריו, האיום המרכזי שחשפה החברה בעזרת מערכת ה CounterTack לנקודות קצה הוא תוקפים שמנסים להגיע לפרטים של הלקוחות. עם זאת, הוסיף גראף, AIG תהיה בסופו של דבר מטרה גם לריגול סייבר, כמו הרבה חברות גדולות אחרות.
מנכ"ל CounterTack ניל קרייטון (Neal Creighton) אמר שאי אפשר למנוע פריצה למערכת, ומהרגע שהתוקפים נכנסים יש להם הרבה מאוד אפשרויות פעולה. התוקפים, לדבריו, עושים את העבודה הקשה ב-120 השניות הראשונות למתקפה, כך שהפתרון האידיאלי יהיה לעצור אותם במסגרת הזמן הזה וכך למנוע נזק וגניבת מידע.
