יישום מודיעין איומים אפקטיבי במאבק בהתקפות סייבר בארגונים
מאת:
דימה טאטור, 12.8.20, 15:28
על 3 סוגי מודיעין סייבר ( CTI- Cyber Threat Intelligence), על הפער בין מודיעין איומי סייבר ליישום חסימה בפועל (Remediation), האם ההירתמות של ספקי פתרונות אבטחת המידע מספקת, ואיך להגדיל את האפקטיביות של מודיעין האיומים.
בזירת הסייבר, כמו בכל מלחמה,
ידע הוא כוח.
מודיעין איומי סייבר (
CTI-
Cyber Threat Intelligence), שנאסף אודות איומי סייבר רלוונטיים לארגון, יכול עם טיפול ויישום נכון להטות את הארגון מסטטוס של פגיעות לסטטוס של שליטה והגנה.
יחד עם זאת, נתונים אחרונים מעידים, שקיימים עדיין אתגרים רבים ביכולת ליישם את המודיעין בצורה אפקטיבית לכדי חסימה של התקפות בפועל.
סקר, שנערך לאחרונה ע"י מכון
SANS בחסות
ThreatQuotient בקרב 1,006 משיבים מראה, שארגונים השקיעו ב-2020 יותר בתכניות מודיעין סייבר, כאשר 49% מהנשאלים ציינו, שיש להם צוות רשמי ומסור המתמקד ספציפית בכך. המשיבים ציינו את שביעות רצונם מיכולתם לראות בצורה שקופה את האיומים (75%) ולחפש ולדווח על אותם איומים (73%) ומכך, שיש להם נתונים ומידע אודות איומים רלוונטיים (72%).
יחד עם זאת, על פי הסקר, ארגונים מתמודדים עדיין עם חסמים דוגמת פערי מיומנויות, אוטומציה והיעדר דרכים למדידת היעילות של מודיעין הסייבר. 57% מהנשאלים דווחו על היעדר צוות מיומן וכישורים הדרושים למימוש מלא של מודיעין איומים, עם 52% המציינים, שקיימת בעיה בזמן הדרוש כדי ליישם תהליכי מודיעין תקינים בכל הצוות. ארגונים איטיים מידי באימוץ אוטומציה, כאשר רוב המשימות הן ידניות או אוטומטיות למחצה.
הפער בין המודיעין ליישום חסימה בפועל
נתוני הסקר, גם אם מראים עליה במודעות לחשיבות של מודיעין סייבר לאבטחת המידע בארגון, עדיין מדאיגים בכל הקשור ליכולתם של ארגונים ליישם את הנתונים הלכה למעשה לחסימת התקפה (
Remediation) כאשר היא מתרחשת.
בפועל, עדיין קיים פער בין מועד קבלת הנתונים למועד הטיפול בפועל בהתקפה. פער זה, שיכול להגיע לעיתים לטווח של עד 48 שעות, במקרים רבים הופך את המידע, שמתקבל ממודיעין הסייבר, ללא רלוונטי ויעילותו יורדת., שכן זהו חלון רחב מאד המאפשר לתוקפים להתקדם עם הפריצה.
ספקי פתרונות אבטחת המידע נרתמים - האם זה מספיק?
יצרני פתרונות אבטחת המידע הבינו את הפער הקיים בין מועד קבלת מודיעין הסייבר ליישום חסימה בפועל בארגונים וכיום משלבים בפתרונות הסייבר שלהם את היכולת לקבל מודיעין דינמי ממקורות מידע שונים. כך, שהתגובה להתקפות מתבצעת ע"י פתרונות אלה באופן אוטומטי עם חסימה הולמת. פתרונות אלה מצמצמים את הפער מ-48 שעות למספר דקות עד שעות.
חשוב לציין, שקיימים 3 סוגי מודיעין סייבר:
מודיעין גלובלי אודות אינדיקטורים מסכנים (
IoC -
Indicators of Compromise) הקיימים בזירה הבינלאומית או המקומית,
מודיעין סקטוריאלי, שמספק מידע אודות סיכונים לענף בו הארגון פעיל,
מודיעין מטורגט, שמספק מידע, שלא יסולא בפז, אודות כוונות זדוניות לתקוף באופן ספציפי ארגון מסוים.
לא מעט התקפות כופר בוצעו כהתקפות ממוקדות, שכוונו כנגד ארגונים ספציפיים, שנבחרו בקפידה ולא כהתקפות נרחבות. אלו התקפות יותר מסוכנות, משום שלא נעשה בהן שימוש בכלי תקיפה גנריים אלא בכלים, שתוכננו ספציפית לארגון המטורגט בצורה מתוחכמת.
רוב היצרנים התמקדו עד לאחרונה במודיעין גלובלי ופחות במודיעין סקטוריאלי ומטורגט בפתרונות הסייבר שלהם. אולם, לאחרונה חל שינוי במגמה ויצרני פתרונות אבטחת המידע החלו להטמיע בפתרונות שלהם גם מודיעין סקטוריאלי ומטורגט.
יחד עם זאת, מתברר שלא די בכך. כדי ליישם חסימה אפקטיבית של התקפות, יש לדעת כיצד לבנות את תפיסת ההגנה בצורה נכונה, ליישם מנגנונים בתוך פתרונות אבטחת המידע ולייצר הגנה אוטומטית ויעילה על בסיס מודיעין דינמי. יישום אפקטיבי ברמת האחיזה של התוקף מצמצם למינימום את מספר האירועים, שאליהם נחשף הארגון.
כיצד להגדיל את האפקטיביות של מודיעין האיומים?
- בנו תפיסת אבטחה מבוססת על מודיעין סייבר מטורגט וסקטוריאלי: חשוב להטמיע בתפיסת אבטחת המידע בארגון את ההבנה, שבהתקפה הבאה הארגון לא יהיה אחד מתוך אלפים שנפגע. הארגון יכול להיות הארגון היחיד, שנפגע בצורה ממוקדת ומתוחכמת מאין כמוה. האקרים מחפשים את הקורבנות הבאים שלהם בדפי החדשות, בין אם מדובר בחברה הנמצאת לפני גיוס כסף או חברה, שהמניה שלה מזנקת, וזאת כדי למצוא מנוף ללחוץ עליהן ולסחוט אותן.
- שדרגו גרסאות של פתרונות הסייבר: בגרסאות האחרונות, כפי שציינתי, מוטמעת יכולת אינטגרציה ותגובה אוטומטית לתוצרי מודיעין סייבר וכ"כ יכולות אוטומציה מתקדמות לחסימת התקפות. רוב היצרנים החלו להטמיע יכולות אלו בשנה וחצי האחרונות. אם אתם עדיין עובדים עם גרסאות ישנות, קחו בחשבון, שלא דרוש מכם פרויקט הטמעה מסובך כדי לעשות זאת ולא השקעה ניכרת.
- קבלו מודיעין סקטוריאלי או מטורגט (או לכל הפחות מודיעין גלובלי): שתפו פעולה עם חברות המספקות מודיעין סקטוריאלי ומטורגט כשירות. הללו יודעות לקחת מודיעין מצד שלישי וליישם את ההגנה הדרושה. הן ממפות את הנכסים של הארגון (אימיילים של אנשי מפתח, לוגואים, שמות מסחריים ונכסים רבים אחרים) ומחפשות אותם ברשת האפלה. בין היתר, כדי לזהות אם יש התארגנות או ניסיון בפועל לתקוף את החברה ובאיזה אופן.
- הדרכות לצוותי הסייבר וליווי מקצועי: חשוב להשקיע בהדרכות הצוות ובליווי תהליך הטמעת פתרונות הסייבר. היישום מצריך הבנה בטכנולוגיות סייבר, אך גם בתפיסת ההגנה. בחרו שותף בעל ניסיון וידע בפיתוח ואינטגרציה של ממשקי חסימה אוטומטיים למודיעין סייבר חיצוני. וודאו, שהשותף שלכם מדריך את הארגון ומטמיע ידע מקצועי בקרב אנשי הצוות. כך, שניתן יהיה להמשיך באופן עצמאי לפעול גם לאחר תהליך ההטמעה.
מודיעין איומי סייבר כבר זוכה למקום של כבוד בארגונים בכל רחבי העולם ככלי ממדרגה ראשונה להגנה מפני התקפות סייבר, אך חשוב לדעת כיצד ליישם אותו כדי להנות מהיתרונות שלו. חשוב לבנות תפיסת אבטחת מידע המבוססת על מודיעין איומים, להקפיד על הטמעת פתרונות מתקדמים ועל קבלת מודיעין איכותי ולהיעזר באנשי מקצועי מיומנים ובעלי ניסיון, שיידעו ליישם את כל הכלים בצורה מתוזמרת.
מאת:
דימה טאטור, אוגוסט 2020.
מוביל תחום אבטחת מידע וסייבר ב-
Comm-IT