מאמרים:

זיהוי ותגובה לאיומי סייבר

02 יולי 2019

אופיר זילביגר , מנהל מרכז הגנת הסייבר, BDO ישראל |
דורי פישר , מנהל תחום שירותי סייבר מנוהלים |

בשנים האחרונות עובר העולם שינוי תפיסה ונע מהתמקדות במניעת התקפות ופרצות אבטחת סייבר להתמקדות בחוסן הארגון  (resilience) המבוסס על ההנחה לפיה ניתן לעצור חלק מהאיומים חלק מהזמן אבל לא את כל האיומים כול הזמן. אי לכך, יש לנקוט בגישה הוליסטית השואפת לעמידות הארגון למתקפות תוך יצירת מוכנות המבוססת על זיהוי ותגובה מושכלים להתראות ואיומים. מגמת הגדלת ההשקעה בשיפור יכולות הזיהוי והתגובה דווחה בין השאר גם על ידי אנלסטים מובילים וההערכה כי ההשקעה בזיהוי ותגובה צפויה לגדול משמעותית בשנים הקרובות.

במקביל לשינוי בתפיסת האבטחה משתנה ההגדרה מהתפיסה הבינארית הממוקדת במניעת האירוע להגדרה המניחה תוקף פעיל ברשת וכוללת גם את משך הזמן של שהות התוקף ברשת או במילים אחרות, הזמן משלב החדירה לתשתית ועד הזיהוי והתגובה, כאשר מניעת תקיפה מוצלחת היא כזו שאותרה בזמן קצר יחסית, למשל 72 שעות לזיהוי תוקף מרגע שחדר לרשת הוא משך מצויין היות על פי סקרים וניתוח אירועי עבר במגוון רב של ארגונים מכול העולם, מרבית הארגונים מזהים את ההפרה רק לאחר 200 ימים ולעיתים מתארכת התקופה עד לזיהוי הפרת האבטחה למשך שנים. תגובה על הפרת אבטחה מתחילה לאחר איתור יעיל ווידוא שאכן קרתה, ולכן, הצעד הראשון כדי לסגור את הפרת האבטחה הוא לזהות אותה בהקדם האפשרי. 

 

אנליטים מנוסים

יצירת התראה לאירוע שנראה כמו אירוע סייבר הינה רק חלק מהאתגר. כמות ההתראות לעולם תעלה על כמות האנליסטים וכוח האדם לטיפול וחקירה. ולכן, יש לפעול לצמצום מושכל של ההתראות לרמה ניתנת לניהול. הבנה של ההתראות מהמוצרים השונים וקיום חקירה מהירה ויעילה היא משימה שרוב הארגונים אינם מסוגלים לטפל בה בכוח האדם הקיים בארגון. אי לכך רבים פונים לשירותים מנוהלים סביב זיהוי ותגובה לאיומים, הכוללים את האנשים, התהליכים והטכנולוגיות לזיהוי ותגובה יעילים. אלו יכללו בדר"כ מערכות לניהול איומים, ניתוח מידע ואוטומציה, עם פעילות חמ"ל מבוסס כוח אדם יעודי ומתודולוגיות תגובה מתועדות.

ארגונים רבים, בעידוד נלהב של היצרנים פונים לפלטפורמות אבטחה המשתמשות בלמידת מכונה כדי לקבוע קשר סטטיסטי לצד דפוסים ויחסים שונים בין איומים. האתגר שנותר לאחר זיהוי דפוס חריג הינו פרשנות של הדפוסים שנמצאו, זו בדרך כלל תחייב מעורבות של אנליסטים מנוסים. לדוגמה: המערכת מצאה קשר בין גישה מתוך הארגון ליעד אינטרנט זדוני לבין תהליך מסוים הפעיל במחשבים שבצעו את הפניה, כעת ידרשו אנליסטים מנוסים על מנת לנתח ולהבין את הקשר, אם קיים. כלומר, התאמה בין איומים אינה סיבתיות. והוכחת סיבתיות דורשת מומחיות גבוהה.

 

ניתוח איומי סייבר

ארגונים עם עשרות או מאות עובדים עושים בדרך כלל שימוש במספר פתרונות אבטחה וביניהם חומת אש, אנטי וירוס, פתרון גישה מרחוק, הזדהות וכד. כמות שורות הלוג המיוצרות על ידי פתרונות האבטחה, וכמות יומני הדיווח לניתוח הינה פונקציה של רמת הבקרה שהופעלה במוצרים השונים, מדיניות הארגון וסוגי המוצרים שחלקם מדווחים באופן גרנולארי יותר מאחרים. אלו מסתכמים במליוני שורות ביום בארגונים קטנים ועשרות מליונים בארגונים של מאות או אלפי עובדים. הסתמכות על התראה ממוצר אבטחה אינה יעילה היות ודיווח על כניסה מוצלחת לתשתית יכול במקרים רבים להיות רלוונטי יותר מדיווח על כשלון שבדרך כלל יהווה בסיס להתראה.

 מה הופך אירוע (שורת דיווח) ראויה לאיסוף וניתוח?  הצעד הראשון כדי לאפשר איתור ותגובה אפקטיבית הוא להחליט מה הופך שורת לוג, התראה, חיבור רשת או דוא"ל  לאירוע שיש לחקור. במקרים רבים של ניתוח איום סייבר בדיעבד, נמצא  כי כל הנתונים היו זמינים אך לא ניתן היה להתייחס עקב יחס בלתי הולם בין כמות ההתראות לכוח האדם שיכל לנתחן.

 

שתי גישות לטיפול בהתראות

ישנן 2 גישות עיקריות להתמודד עם יצירת סדר עדיפויות של התראות, top-down או bottom-up.  הגישה מלמעלה למטה מבטיחה שההתראות שחמ"ל הסייבר מטפל בהן תואמות את הסיכונים ואת מטרות הארגון, היא כוללת ניתוח סיכונים, זיהוי תהליכים קריטיים ובנייה של תרחישים שיכולים לגרום לפגיעה בתהליכים הללו ומימוש הסיכונים, גישה זו מנווטת באופן יעיל את ההשקעה העתידית בתשתיות סייבר היות והיא חושפת חוסרים ברכיבים הנדרשים לזיהוי תרחישי האיום. הסיכונים בדר"כ כרוכים באובדן של : סודיות, זמינות, אמינות ו\ או בטיחות. אחד האתגרים הגדולים ביותר לאיתור ותגובה אפקטיביים הוא לעבור משלב זיהוי הסיכון לפרטי היישום הטכני ומימושו על ידי חמ"ל הסייבר. שאלה נפוצה בבנית התרחישים הינה שההתיחסות היא לתרחישים המבוססים על הכרות של המיישם ונסיון העבר ולכן אינם כוללים את כול התרחישים האפשריים. חלק מהתשובה הוא שבניטור של תוצאת התרחיש ולא הטכניקה, ניתן לאתר איומים שלא נצפו מראש. לדוגמא: אם נוצלה חולשה שאינה מתועדת ולא התקבלה לגביה התראה, עדיין יהיה אפשרי לזהות מהלכי תוקף נוספים כגון ניסיון גישה במשתמש פריבילגי או תנועה לא צפויה ברשת.

גישה המתחילה מלמעלה תיקח זמן משמעותי ליישום ותדרוש שיתוף פעולה עם ההנהלה והגורמים העסקיים על מנת להבין ולתעד את התהליכים הקריטיים והסיכונים. גישה זו תדרוש התאמה משמעותית היות והניטור יכלול בהכרח מערכות אפליקטיביות שיתכן וידרשו גם פיתוחים יעודיים על מנת לייצר את הדיווחים הנדרשים ליצירת התראות אפקטיביות.

ההליך היעוצי והטכני בניתוח הסיכונים ותרגומם לבקרות טכנולוגיות מתמשך חודשים ואף לעיתים שנים.

בניגוד לגישת הניטור שמתחילה בניתוח הסיכונים, הטכניקה בגישה מלמטה למעלה דוגלת בשימוש בידע שכבר נצבר בפרוייקטי ניטור,  הכולל תרחישים, מערכות מנוטרות, חוקים, דוחות ותצוגות. מערכות ניטור ותגובה קיימות קרוב לשני עשורים ונצבר הרבה ידע בנושא.

שתי המתדולוגיות כוללות גם שימוש מודיעין סייבר המתאר דרכי פעולה של תוקפים, תשתיות תקיפה, מתקפות חדשות וטכניקות עדכניות לניצול חולשות, זיהוי באמצעות מודיעין מתרחש בשלושה אופנים עקריים:

  1. שילוב כאינדיקטורים להצלבה בזמן אמת עם איומים ממערכות הארגון
  2. חיפוש אינדיקטורים על איומים היסטוריים
  3. צייד של איומים דרך הבנה של טכניקות וניסיון איתורן באיומים היסטוריים

  ניתן לחלק מודיעין סייבר לשני סוגים עקריים:

  1. מודיעין טקטי – כולל אינדיקטורים טכניים לשילוב אוטומטי או חיפוש הסטורי
  2. מודיעין אסטרטגי – מכוון להבנה של מגמות ותמונת מצב

 

לצמצם את כמות ההחלטות

שימוש במודיעין, כמו גם חוקים ולמידת מכונה, מייצרים התראות או דפוסים הדורשים חקירה וניתוח לאחר זיהוי, המגמה כיום הינה לעשות שימוש באוטומציה ועצי החלטות כדי לצמצם את כמות ההחלטות והחקירות הנדרשות לחמ"ל הסייבר בעת זיהוי איום תוך נרמול זמני ואיכות התגובה לכאלו שיוכלו לעמוד בסטנדרטים בינלאומיים.

לדעתנו, התואמת לזו של אנליסטים בתחום, אוטומציה, למידת מכונה ובינה מלאכותית יחליפו מקצועות רבים וגם יצמצמו משמעותית פעילות של אנליסטים רמה 1 האחראים על ניתוח ראשוני של איום. טכנולוגיות אלו, בד בבד עם המחסור בכוח אדם מיומן בתחומי הסייבר, יביאו את השוק לצריכה של שירותים מנוהלים המממשים טכנולוגיה לזיהוי ותגובה ואוטומציה עם אנליסטים מתקדמים ומתודולוגיה סדורה.