כיצד תהליכי תגובה אוטומטיים יכולים לעזור בהגנה על מערכות הארגון?

כתב: גבי נזרי, מנכ"ל אייהו (Ayehu)

אחד האתגרים הגדולים באבטחת מידע, הוא המחסור במשאבים הנדרשים על מנת להגן על מערכות הארגונים. הדוגמה המפורסמת ביותר היא פירצת האבטחה החמורה שהתגלתה בטרגט (Target) ב-2013. חברת הענק השקיעה סכומים רבים באבטחת המידע. לצערם, כל המדדים, ההתראות, אנטי-וירוס וחומות-האש, לא הספיקו כדי להגן על 70 מליון הלקוחות שפרטיהם נחשפו (40 מיליון מהם כולל פרטי כרטיס אשראי). בדיוק כאן, אוטומציה יכולה להיות יעילה. איך? מיד אסביר.

אחרי אירוע סייבר נערך מחקר וניתוח שנועד לקבוע היכן הייתה הנקודה התורפה וכיצד נוצלה. הסתבר, שנקודת הפריצה הייתה הכניסה של מסופי נקודות מכירה, שבכולן, במקרה – הייתה מותקנת תוכנה זדונית. למעשה, מערכת הניטור הצליחה לזהות את הפירצה כאשר היא קרתה, אך לא בוצעה שום פעולת תגובה. למה? בגלל שהכמות האדירה של האיומים וההתראות שנכנסו, הייתה יותר מדי עבור היכולת של עובדי מרכז השו"ב להגיב לאירועים.

לפי דו"ח של וריזון (Verizon) שפורסם ב-2016, Data Breach Investigations Report, ל36% מפרצות האבטחה עדיין לוקח כמה ימים להחשף. ל27% לוקח שבועות ואף חודשים. דמיינו את הנזק שיכול לקרות בזמן הזה (40 מיליון כרטיסי אשראי שנחשפו, כבר אמרנו?)

מנהלי אבטחת מידע רבים נאבקים למצוא דרך להפחית את הזמן בין גילוי אירוע הסייבר לבין הטיפול בו. תהליכים אוטומטיים כתגובה לאירועים, במרכזי שליטה ובקרה (SOC) יכולים להפחית דרמטית את זמן התגובה ולמגר נזקים פוטנציאליים. הדרך שבה תהליכים אוטומטיים עובדים היא די פשוטה, ועם זאת יעילה. במרכז שליטה ובקרה ממוצע, כאשר מפעיל מקבל התראה הוא צריך ליזום את צעדי הטיפול באירוע באופן ידני. גם אם המפעיל מיומן מאוד והוא יודע במיידי מה התגובה הרצויה, יכול לקחת לו מספר דקות במקרה האופטימי.

אז מה עלול לקרות במספר דקות עד שהמפעיל מגיב לאירוע? ואם הבחירה של המפעיל הייתה מוטעית? ומה אם האירוע קורה באמצע הלילה והמפעילים מנומנמים? לא הייתי ממליץ לכם לנסות, אבל אתם מוזמנים לשאול את eBay.

כאשר פעולות התגובה מתבצעות בצורה אוטומטית, התהליך משמעותית מהיר יותר ומדויק. עם 0% של טעויות אנוש, התגובה לאירוע תתבצע במיידי, עם מינימום של התערבות אנושית ובכך תפחית נזקים.

עכשיו תגידו שלא הכל אפשר וכדאי לעשות בצורה אוטומטית, ולפעמים צריך שיקול דעת של אדם מקצועי – ואתם צודקים. הבסיס לתהליך תגובה לאירוע בנוי מהשלבים הבאים:

משום שבשלב הזיהוי עלולת לקרות טעויות של זיהוי אירוע אמת (False Positive) – שלב ההחלטה, הוא שלב קריטי המצריך שיקול דעת. כאן אציג לכם את eyeShare. פלטפורמה לתכנון, בניה וביצוע תהליכים אוטומטיים שבעזרתה, תוכלו לבחור באיזה שלב בתהליך לערב החלטה אנושית (בעזרת ערוצי תקשורת כמו מייל, שיחת טלפון או SMS). בהתאם להחלטת גורם מקצועי, התהליך ימשיך בצורה אוטומטית. כך ביצעתם תהליך של תגובה לאירוע ב-95% מהיר יותר מאשר ניהול ידני.

מה אם הייתם יכולים לתעד כל האירוע מתחילתו, ולפתוח Ticket, לנהל תקשורת ואסקלציות, ולתת פתרון בזמן קצר ללא צורך במשאבים נוספים?

בניית התהליכים ב-eyeShare מתבצעת בממשק Drag & Drop Workflow נוח וידידותי, המאפשר ליצור תהליכים ללא צורך בכתיבת שורת קוד אחת. הפלטפורמה מכילה מעל ל-500 פעולות מובנות, ועוד כ-120 תבניות לתהליכים. eyeShare מגיע עם מגוון אינטגרציות למספר רב של פלטפורמות ITSM ומערכות שו"ב המובילות בשוק, כמו לדוגמה: SolarWinds ,ServiceNow ,HP ArcSight AWS ,Active Directory ,IBM QRADAR ,JIRA ,Intel McAfee SIEM ,Splunk ועוד.

eyeShare נמצאת בשימוש כבר בחברות רבות בארץ ובעולם, ביניהן אמדוקס, וודאפון (Vodafone), ג'נרל אלקטריק (GE ), לקסיס נקסיס (LexisNexis), בזק בינלאומי, אל-על, רשות שדות התעופה, שירותי בריאות כללית, בנק לאומי, פלאפון ועוד. המוצר פותח על ידי אייהו טכנולוגיות תוכנה, סטארט-אפ ישראלי שבימים אלה פותח את משרדו השלישי, בעמק הסיליקון בקליפורניה.

ונסכם באימרה, שאין הגנה שהיא ב-100% וגם לא תהיה. מה שכן אפשר, זה להגיב מהר יותר, מדויק יותר, ובכך למזער נזקים ולחסוך משאבים כלכליים ואנושיים לארגון.