הסטארטאפCloudLock מציג מודל חדשני לבידוד איומי סייבר אמיתיים מתוך מיליארדי אירועים חשודים
מאת:
מערכת Telecom News, 18.5.16, 12:44
דו"ח חדש מעלה, שרק 1 מכל 5,000 אירועים בארגון מייצג התנהגות חשודה ורק חלק קטן מאירועים חשודים אלה הוא אירוע תקיפת סייבר אמיתי. המחקר מבוסס על ניתוח התנהגות של 10 מיליון משתמשים, מיליארד קבצי מידע ו-140,000 יישומים מבוססי ענן. כיצד פועלת המתודולוגיה של המודל?
מתי התרעת אבטחה היא למעשה התרעת שווא? במציאות בה תקיפות סייבר על ארגונים הפכו כבר לעניין שבשגרה, צוותי
IT ואבטחת המידע מתמודדים עם עומסים אדירים של אירועים חשודים ודפוסי פעולה חריגים מצד משתמשים ומתקשים לבודד ולהתמקד באותם איומים אמיתיים.
הערכה זו מתחזקת על רקע נתונים העולים ממחקר חדש, שמפרסם
CloudLock CyberLab, זרוע המחקר של הסטארטאפ
CloudLock, שנוסד ב-2011, תחת הכותרת "
The Cloud Threat Funnel". המחקר, שמבוסס על ניתוח התנהגות של 10 מיליון משתמשים, מיליארד קבצי מידע ו-140,000 יישומים מבוססי ענן, חושף דפוסי התנהגות מובהקים של משתמשים בארגון בכל הקשור לגישה שלהם למערכות המידע הארגוני בענן. לאור ניתוח דפוסים אלה, ניתן, עפ"י המחקר, לבסס מודל חדש המאפשר לבודד את איומי הסייבר האמיתיים מתוך "רעשי הרקע" (
False positive) הכוללים "סתם" התנהגות חריגה או לא שגרתית של משתמשים בארגון.
כדוגמה, המחקר מצביע על כך, ש-99.6% מהמשתמשים בארגון מתחברים לפלטפורמת הענן הארגונית ממדינה אחת או שתיים בשבוע נתון. בהתבסס על דפוס זה, אנשי אבטחת המידע יכולים לבודד את אותן פעולות חריגות מתוך ה-
Long tail של המשתמשים.
לדוגמא, משתמש אחד מתוך 20,000 משתמשים מתחבר לענן הארגוני מ-6 מדינות או יותר בשבוע מסוים .כלומר, היכולת לאתר דפוס פעולה זה, משולה למציאת מחט בערימת שחת. באמצעות המודל החדש, הצליחו אנשי החברה לבצע קורלציה בין התנהגות לא שגרתית זו לבין פעולות חשודות המוגדרות בסיכון גבוה ולבודד חשבונות משתמשים, שנפרצו ועלולים לסכן את הארגון.
מממצאי המחקר:
0.02% (יחס של אחד ל-5,000 מקרים) מכלל האירועים בארגון מייצגים התנהגות חשודה.
קיימים הבדלים מהותיים בהיקף הפעילות החשודה בין משתמשים שונים בארגון
, כאשר עובדים הממוקמים בראש הרשימה של פעולות הנחשבות חשודות מבצעים פי 227 פעולות חריגות מאשר המשתמש הממוצע
.
בארגון ממוצע נרשמים
5,732 אירועים חשודים מדי חודש כאשר מתוכם 58% הם אירועים חריגים במיוחד.
כ- 8% מכלל הניסיונות לכניסה של משתמשים (
login) נכשלים או נתקלים במנגנוני אבטחה נוספים, כגון
login challenge. מתוכם, 1.3% הם ניסיונות כניסה ממדינות המסומנות ברמת סיכון גבוהה.
מתוך כלל האירועים, שהארגון מגדיר כ כ"חשודים"
, 11% הם תוצאה של פעולות הנעשות ע"י מנהלים
(Admin ).
כיצד פועלת מתודולוגיית ה-
Cloud Threat Funnel?
התהליך מתחיל בניתוח התנהגות המשתמש הנשען על איסוף וניתוח מעמיק של מידע מדויק ממגוון רחב של מקורות. נתונים אלו מועשרים במקורות מידע מודיעיני חיצוניים, ועוברים תהליך אלגוריתמי לזיהוי חריגות (
Anomaly Detection) כדי להפחית את הסיכוי למקרי
false-positive.
השלב הבא מתמקד בפעילות החריגות שזוהו, שאינן מתיישבות עם דפוסי הפעילות הנורמליים, כמו למשל קפיצה פתאומית בהיקפי פעילות. את הפעילות החריגה מזקקים ומבודדים לכדי פעילויות חשודות, ע"י הצלבה עם פעילויות של גישה למידע ויישומים רגישים והפעלה של חוקים מיוחדים לזיהוי פעילות חשודה. מודל זה מפחית משמעותית את מספר מקרי התרעות השווא, מוריד את היחס בין הסיגנל לרעש וכך מאפשר למומחי אבטחת מידע למקד מאמץ רק באיומים אמיתיים.
קישור למחקר המלא:
https://go.cloudlock.com/ebook-cloud-threat-funnel-report.html