!We הקימה מערכת לניהול אירועי אבטחת מידע בתהיל"ה ובמרכב"ה בפרויקט של מיליוני שקלים
המערכת, ArcSight, מספקת לצוותי אבטחת המידע ולמנהלים בתהיל"ה ובמרכב"ה, נקודת מבט מרכזית על אירועי האבטחה ואת היכולת לנטר ולקבל התראות בזמן אמת על אירועי אבטחת מידע ● אילן יום-טוב, מנהל ממשל זמין בפועל: "ריבוי האירועים והמערכות בארגון, בד בבד עם הדרישות הרגולטריות, מחייבים מערכת מרכזית אחת"
!We הקימה מערכת לניהול אירועי אבטחת מידע בתהיל"ה ובמרכב"ה. מערכת ה-SIEM (ר"ת Security Information & Event Management), מבוססת על טכנולוגיה של ArcSight. הפרויקט החל לפני כמה חודשים וצפוי להסתיים במחצית השנה הנוכחית. היקפו הכספי נאמד במיליוני שקלים.
מערכת ה-ArcSight מספקת לצוותי אבטחת המידע ולמנהלים שלהם בתהיל"ה ובמרכב"ה, נקודת מבט מרכזית על אירועי האבטחה ומסייעת להתגונן מפני איומים פנימיים וחיצוניים. זאת, תוך התאמה מלאה לדרישות הרגולטור. המערכת מאפשרת בשני הארגונים לנטר ולקבל דיווח והתראות בזמן אמת על אירועי אבטחת מידע.
המערכת של ArcSight, המיוצגת בארץ על ידי !We מזה שש שנים, אוספת אירועים ממערכות ה-IT השונות בארגון, ללא צורך בהתקנת סוכנים. המערכת משלבת ניתוח סטטיסטי וניתוחי קורלציה, ומאפשרת תיעדוף וזיהוי אירועים על בסיס מקורות מידע שונים. המערכת מכילה ממשקי תצוגה לחיווי בזמן אמת, וכן ממשק דו"חות מובנה. למערכת יכולות ניהול אירוע כולל מסגרת העבודה ותהליכי זרימה הארגוניים הנדרשים, החל משלב קבלת ההתראה ועד שלב סגירת האירוע.
יצוין, כי בתהיל"ה יש מוקד אבטחת מידע (SOC, ר"ת Security Operation Center), ובימים אלה שוקדים אנשי מרכב"ה על הקמת מוקד דומה. מוקדים אלה מהווים ישות מרכזית לניהול ולבקרה של אבטחת המידע של הארגון. ה-SOC מורכב מארבעה היבטים: טכנולוגיות (מערכות ה-IT השונות), היבטים פיזיים (מיקום המוקד, הגנתו, ריהוטו ועוד), האנשים העובדים בארגון וכן – הנהלים. אנשי האבטחה היושבים במכרזי התפעול של אבטחת המידע במרכב"ה ובתהיל"ה, הם הצרכנים של המערכת לניהול אירועים ואבטחת מידע.
בעזרת המערכת, ניתן לאפיין את תהליך העבודה של אנשי המוקד, באמצעות הגדרת נהלי תגובה לתרחישים המזוהים במערכת. נהלים אלה מגדירים את תהליכי התחקור והאסקלציה שיש לבצע בהתאם לתוכן התרחיש. כך, יכולה המערכת, לדוגמה, לנטר, לדווח ולטפל במקרים של הונאות מקוונות שנעשו באמצעות שרת התשלומים הממשלתי, או לאתר קודים זדוניים שחדרו לרשת המיחשוב והתקשורת הממשלתית – אשר לא אותרו על ידי מערכות האנטי-וירוס השונות.
המערכת עלתה לאוויר בתצורתה הבסיסית לפני חודשיים, ומאז אנשי !We בשילוב אנשי ה-IT במרכב"ה ובממשל זמין מוסיפים לה עוד חוקים ונהלי פעילות.
אילן יום-טוב, מנהל בפועל של ממשל זמין, אמר לאנשים ומחשבים, כי "ריבוי האירועים והמערכות בארגון, בד בבד עם הדרישות הרגולטריות, מחייבים מערכת מרכזית אחת. זו מאפשרת למקד את הגורמים הרלוונטיים באירועים המשמעותיים לארגון ולייעל את הטיפול בהם. הטמעת המערכת תביא לנו נקודת מבט מרכזית על אירועי האבטחה ותעזור לנו להתגונן מפני שלל האיומים מולם אנו ניצבים – פנימיים וחיצוניים".
בראיון לאנשים ומחשבים אמר דורי פישר, CTO תחום אבטחת מידע, !We, כי "מה שנדרש מאנשי האבטחה בשני הגופים הממשלתיים, הוא להתמודד עם מאות ועשרות מיליוני אירועים ביום. בתוך אותה כמות עצומה של אירועים, עליהם להחליט מהו אירוע אבטחה, האם יש הצטברות של כמה אירועים חשודים שהיא מהווה אירוע אבטחה, ולאחר מכן עליהם לטפל באותן בעיות אבטחת מידע. הדגש הוא על ניהול יעיל של כלל האירועים, תוך הבדלה בין אירועי IT 'סתם', למה שהם אירועי אבטחה".
פישר הוסיף, כי בשלב מאוחר יותר, ישקלו אנשי מרכב"ה ותהיל"ה חיבור של המערכת למערכות השו"ב הקיימות, או לחילופין – העמדת מערכת ה-ArcSight לכשעצמה.
תגובות
(0)