זירת הסייבר עוברת למתקפות יזומות

על רקע מתקפות הסייבר הבינלאומיות שהתרחשו בחודש שעבר וזו המתנהלת בימים אלה, מאמין עמית קליין כי יש לשנות את הגישה המסורתית של חברות הסייבר להגנה ולעבור מזיהוי ומניעה לגישה פרו-אקטיבית הבוחנת מראש את מוכנות הארגון. מאמר מיוחד

(אילוסטרציה: bigstock) IsraelDefense

זיהוי ו/או מניעה (detection ו/או prevention ) -של מתקפות סייבר הייתה הגישה המסורתית של חברות הסייבר מאז ומעולם. על פי גישה זו, מוצרי האבטחה והארגון שמתקין ומשתמש בהם אמורים להיות מסוגלים להתמודד עם איומים בזמן אמת, קרי, בזמן שהם מנסים לחדור לארגון, להתפשט בו ולבצע את זממם. אולם לגישה זו ישנן לא מעט מגרעות, שניתן להתגבר עליהן על ידי אימוץ של גישה חדשנית ופרו-אקטיבית שבוחנת מראש את מוכנות הארגון לאיומי הסייבר.  

היות והאיומים על הארגון מתממשים כשרשרת של פעולות זדוניות, הכוללות בין היתר איסוף מודיעין על הארגון, חדירה ראשונית, הקמת ראש גשר, התפשטות למחשבים ורשתות ערכיים, איסוף המידע והזלגתו, או לחילופין, השמדתו ו/או תביעת כופר עבורו - הרי שהפתרונות כנגד האיומים השונים מתרכזים בניסיון לאתר או להדוף את התקיפה באחת או יותר מהשלבים הנ"ל. כמובן שבארגונים גדולים ורגישים בהם יש מודעות גבוהה ואבטחת המידע מתוקצבת היטב, יהיו פתרונות אבטחה מרובים המגנים מפני התקפות במספר שלבים (הגנה רב שכבתית).

לגישה המסורתית יש מקום של כבוד בחליפת ההגנה לארגון. עם זאת, גישה זו סובלת מכמה מגרעות בולטות, אם היא מהווה את הגישה היחידה בה נוקט הארגון.

מגרעה אחת של הגישה המסורתית היא בכך שגישה זו מובילה לריבוי מוצרי ההגנה על מערכות הארגון, שלאו דווקא מתאימים לו כיום. מורכבות הרשתות הארגוניות והדינמיות של הרשתות ותחנות הקצה גורמים לכך שמוצרי האבטחה עלולים להחמיץ איומים רבים, פשוט משום שהמוצרים אינם מותקנים כראוי מלכתחילה, או שהם מותאמים למצב הארגון (מבנה הרשתות, זהות השרתים ותחנות הקצה) שהיה נכון בזמן התקנתם, אך מצב זה כבר אינו בר תוקף עקב שינויים שהתרחשו בארגון.

מגרעה נוספת של הגישה המסורתית הדוגלת בהגנת סייבר על ידי זיהוי ו/או מניעה נובעת מהרעיון שלפיו הפעם הראשונה שבה ארגון נתקל באיום ומתמודד איתו (בעזרת מוצרי ההגנה המסורתיים, כמובן)  - הוא בזמן אמת, קרי, כשאיום ממשי תוקף אותו. זוהי גישה בעייתית שמנוגדת לניסיון האנושי מתחומים רבים אחרים. הדבר דומה לצבא שקונה את מיטב כלי הנשק וההגנה (מטנק ורובה ועד אפוד מגן וקסדה), אך לא מאמן את חייליו בשימוש בהם, מתוך הנחה שבקרב החיילים ינצחו בזכות הנשק האיכותי שנקנה עבורם. זה פשוט לא עובד ככה.

מגרעה שלישית שקיימת בליבת הגישה המסורתית מתקיימת כאשר לארגון אין נראות לגבי אילו מוצרי אבטחה המותקנים בו אכן "יעשו את העבודה" ברגע האמת, ואילו יהיו פחות אפקטיביים. אם יש, למשל, מוצרי אבטחה שכנראה כמעט אף פעם לא יתריעו על אירוע, בעוד שאחרים יצליחו לאתר את הרוב הגדול של ההתקפות, ניתן להסיט את התקציב ולקנות יותר מוצרי אבטחה מהסוג האפקטיבי. ומאידך, אם מוצר מסוים אמנם מאתר מעט התקפות על הארגון, אבל כאלו שאף מוצר אחר לא מאתר, אז יש צידוק להמשיך לתקצב אותו.

מספיק להיזכר לרגע במתקפת הכופר האינטרנטית שהכתה במרבית המדינות ברחבי העולם ביום שישי, ה-12 במאי, על מנת להבין שככל שהנוכחות של חברות ברשת תמשיך ותגדל, המתקפות עליהן יתעצמו וילכו - והצורך בהתגוננות מפני איומי סייבר רק ייהפך קריטי יותר.

הגישה החדשנית להגנת סייבר נקראת גישת ה-breach and attack (פריצה והתקפה). זוהי גישה משלימה לגישה המסורתית, אשר נותנת מענה למגרעות שצוינו.  על פי גישה זו, הארגון מבצע בדיקת אבטחת מידע מתמשכת, באופן אוטומטי, כך שבכל רגע נתון, סמנכ"ל אבטחת המידע הארגוני יכול לענות על השאלות הבאות: האם אני בטוח מפני מתקפה X? ואילו פערי אבטחת מידע עלי לסגור על מנת לשפר באופן מיטבי את אבטחת המידע בארגון?

גישת ה-breach and attack נותנת מענה לשלוש המגרעות העיקריות של שיטת ההגנה המסורתית באופן הבא:

באמצעות בדיקת אבטחת המידע המתמשכת, מצביעה מערכת ה-breach and attack באופן יומיומי על פערי אבטחת מידע בהתאם למצב הרשת נכון להיום. כלומר, אם השתנתה טופולוגיית הרשת כך שנוצר "חור" מבחינת אבטחת המידע - המערכת תמצא את החור במהלך הבדיקה השוטפת, בדרך כלל תוך שעות בודדות. 

בנוסף, בדיקות אבטחת המידע המתמשכות הן חומר גלם מצוין לצוות ה-SOC הארגוני להתאמן בתרחישי אבטחת מידע שונים, לתרגל טיפול בהתראות ולפתח "תורת לחימה" המבוססת על ניסיון מעשי.

מענה חשוב נוסף שמספקת גישה זו קשור לכך שניתוח הדוחות של בדיקות אבטחת המידע לפי תרחישים שונים, יכולה לחשוף את מידת האפקטיביות של מוצרי אבטחה שונים בשכבות אבטחה שונות בהתמודדות מול איומים שונים, ובכך לשפר את הנראות של הביצועים ביחס לעלותם של מוצרי האבטחה בארגון.

אין ספק שאיומי הסייבר ההולכים וגוברים ברחבי העולם והמערכות הארגוניות שנעשות מורכבות יותר וחשופות יותר לפעילות אינטרנטית אינטנסיבית, מחייבות את הארגונים השונים, מקטן ועד גדול, להגביר באופן רציף ואקטיבי את תהליכי ההכנה שלהם להגנה מפני מתקפות הסייבר השונות, על מנת שלא ימצאו עצמם מופתעים לרעה ברגע האמת. אימוץ של הגישה החדשנית להגנת סייבר היא כבר לא רק המלצה -אלא חובה.   

***

עמית קליין, סמנכ"ל אבטחת מידע בחברת הסייבר Safebreach