שינוי רדיקלי באסטרטגיית אבטחת הסייבר

שינוי רדיקלי באסטרטגיית אבטחת הסייבר

cybersecurity

This post is also available in: enEnglish (אנגלית)

הסוכנות האמריקאית לביטחון לאומי, ה-NSA, מעוניינת להפוך את אבטחת הסייבר ליותר כדאית בהשוואה להתקפות הסייבר. לדברי ניל זירינג, המנהל הטכני של מינהל היכולות של ה-NSA, "אני רוצה להגיע לנקודה בה האקר יאמר, 'כדאי שאחשוב בזהירות איפה אני רוצה לשתול את התוכנה הזדונית הזו, משום שלא אוכל לקבל ניסיונות חוזרים'. כיום אין להאקרים את הדאגה הזו", זירינג אמר.

על מנת למנוע מעברייני סייבר להשיג החזר על השקעה (RoI) על פיתוח כלים ואמצעים לתקיפה, זירינג קורא לסוכנויות ממשלתיות, חברות וקהילת הביטחון לשנות באופן קיצוני את אופן התגובה שלהם למתקפות סייבר. הוא ציין שקהילת הסייבר צריכה לפעול בשיתוף פעולה על מנת להעניק מענה קולקטיבי להתקפות באותה הרוח שחולקים מודיעין. הוא הסביר ל-threatpost.com כי פעולה באופן זה תנטרל עבור האקרים את היכולת להשתמש  באותם כלים מספר פעמים ותרושש אותם כלכלית.

"העתיד של אבטחת הסייבר הוא יצירת תגובה משותפת ומתואמת", זירינג אמר. "אנחנו צריכים לצאת מאופן החשיבה היזמי הרווח כיום, בו כל אדם עובד עבור עצמו". סוג המסגרת המבוקשת, שאותה מתאר זירינג, אינה קיימת היום, אך יש שתי מסגרות מעט דומות, STIX  ו-TAXII, אשר עוסקות בשיתוף נתונים לפני תקיפה. אולם אף אחת מהן לא מתייחסת למרכיב שזירינג ממליץ עליו, יצירת מסגרת פרטית-ציבורית שתייצר מעין מערכת רחבה של חסינות עצמית.

"אין סיבה טכנולוגית שדבר זה לא יוכל לעבוד. יש רק מכשולים פרקטיים כמו הצורך ליצור תקנים לעבודה משותפת, שיאפשרו לנו לפעול בסביבה ההטרוגנית הקיימת. זה החלק שאנחנו מנסים לפתור כיום עם STIX ו-OpenC2" הוא אמר.

OpenC2, אשר נמצאת בשלב פיתוח מוקדם, היא שפה שתאפשר את התיאום והביצוע של פעולות אבטחה בתחום הפיקוד והשליטה בין דומיינים ובתוך דומיינים. תמיכה אוניברסלית במסגרת כזו תהיה כרוכה בשינוי מהותי בתפיסה של אנשי התעשייה. זירינג אמר שהתעשייה אינה זקוקה לרגולציה חדשה כדי להגיע לשקיפות בנושא הפריצות. היתרון בשיתוף מידע מהווה את הגזר שהוא מקווה שימשוך חברות, מגזרים וקהילות להיות חלק ממסגרת השיתוף. הוא ציין כי כבר קיימים מספר מגזרים גדולים שמחוייבים לדווח על פריצות למחלקה לביטחון המולדת.

"יהיה טוב יותר אם לא נהיה צריכים ליצור עוד רגולציות. יש לחכות ולראות את הגישה לעת עתה", הוא אמר.

כיום, סוג המסגרת שזירינג מתאר נדירה מאוד. במגזר הכלכלי, משתפים מידע על חדירות ופריצה למאגרי נתונים בין חברי הFS-ISAC (מרכז לניתוח ושיתוף מידע). כאשר אצל אחד החברים מתבצעת פריצה, כל החברים מקבלים התראה ויכולים להתגונן מפני תקיפות דומות לפני שהן מתרחשות. באותו הזמן, חשוב לציין כי היקף המתקפות הולך ועולה נוכח הרחבת שירותי הענן והאינטרנט של הדברים. זירינג אמר שההגנות הנוכחיות לא ניתנות להרחבה מאחר והן לא מתאימות לטבע המתפתח של מתקפות הסייבר.

זירינג, שמשתמש ב-FS-ISAC כמודל לחיקוי, צופה עתיד בו קהילות מבוססות תעשייה משתפות זו את זו במידע על איומים. כאשר מתרחשת תקיפה, גורמים בכירים בקהילות הללו ינתחו את האיום וישלחו אמצעי מנע לחברי הקהילה שיוכלו להתגונן תוך שניות או דקות מהתקפות דומות. "לא סביר לדרוש מעסק קטן להיות מוכן להתגונן בכוחות עצמו מפני התקפה על כל ארה"ב" הוא אמר.