טכנולוגיית הטעיית סייבר: הגנה יזומה כדי להביס את התוקפים
משה בן סימון, סמנכ"ל ניהול מוצר בפורטינט, מספר אודות הערך של טכנולוגיית ההטעיה בסיוע למנהלי אבטחת המידע להפחית את סיכוני הסייבר בסביבות OT ו-IT
המורכבות הגוברת הנוצרת עקב ההתרחבות של שטח התקיפה הדיגיטלי, ההתמודדות של מנהלי ה-IT וה-OT עם מחסור מתמשך במומחי אבטחת סייבר מיומנים, ונוף איומים דינמי ומתפתח – כל אלו דורשים מהארגונים לבצע הערכה קבועה של אסטרטגיות האבטחה שלהם, כדי לוודא כי הם מפחיתים את סיכוני הסייבר עד כמה שאפשר.
אחת הטכנולוגיות המבטיחות בתחום, במיוחד בשלב איסוף המודיעין, זוהי טכנולוגיית ההטעיה (Deception), אשר יכולה לספק ערך לאורך שרשרת המתקפה, לא רק על ידי הטעיית התוקפים, אלא גם על ידי איתור, אספקת נתונים פורנזיים, ואף סיוע במניעת המתקפה בזמן אמת.
שוחחנו עם משה בן סימון, סמנכ"ל ניהול מוצר בפורטינט, על הנושא.
מהי טכנולוגיית ההטעיה ומה הייחודיות שלה בהשוואה לטכנולוגיות אבטחה אחרות?
"טכנולוגיית ההטעיה מתערבת בשלב מוקדם של איסוף המודיעין, בניסיון לפתות ולהטעות את פושעי הסייבר, מה שמספק לארגונים את היכולת לאתר את פעילותם בשלב מוקדם בשרשרת ההתקפה. ההטעיה מרחיקה את התוקפים מנכסי הארגון האמיתיים ומסיטה אותם לעבר פיתיון או מלכודת, לפני שהם יכולים להתקדם בצורה רוחבית במערכת או להצפין נתונים. המלכודת מחקה שרתים, יישומים ונתונים אמיתיים, כך שהתוקף מאמין שהוא הצליח לחדור לארגון וקיבל גישה לנכסים החשובים ביותר שלו, כאשר המציאות שונה לחלוטין. אסטרטגיה זו מיושמת כדי למזער נזק ולהגן על הנכסים האמיתיים של הארגון.
בשונה מאסטרטגיה קלאסית של מלכודת דבש, טכנולוגיית הטעיה מוצלחת תספק מספר שכבות הגנה. הייחודיות היא ביכולת שלה להיכנס לתוך 'המוח של התוקף'. ארגונים יכולים לנתח את פעילות התוקף כדי להתגונן בצורה טובה יותר מפני מתקפות עתידיות. מדובר בגישת הגנה יזומה, המוכרת על ידי MITRE באמצעות MITRE Engage".
אילו ערכים ההטעיה מספקת עבור המנמ"רים?
"טכנולוגיית ההטעיה היא כלי מעולה לאיתור מתקפות כופר. על ידי הזנה של תוכנות הכופר בקבצים מזויפים, ועל ידי מתן האפשרות להצפין את אותם קבצים, ניתן לזהות את תוכנת הכופר, לא משנה עד כמה היא מתוחכמת.
בנוסף לכך, טכנולוגיית ההטעיה יכולה להפחית את תדירות ה-false positives ולאפשר לצוותי ה-IT להתמקד בתנועות התוקף, מה שחשוב מאוד בהקשר של מתקפות כופר. היא יכולה גם להפחית את כמות ההתרעות שעלולות לנבוע ממוצרים נקודתיים מרובים המשמשים בסביבה מסוימת.
ייתכן שאחד מהערכים שלא מובנים כהלכה זוהי היכולת לבצע תגובת מנע. המניעה מבודדת נכס נגוע לפני שמוציאים אותו לחלוטין מהרשת. טכנולוגיית הטעיה טובה יכולה להוציא במהירות תוכנת כופר מהרשת, כדי למנוע פגיעה בקבצים אמיתיים".
כיצד מטמיעים את הטכנולוגיה והאם היא מיועדת רק עבור ארגונים גדולים?
"היכרות עם הסביבה שלכם, וניראות לתוך נכסי מפתח, חיוניים להגדרת טכנולוגיית ההטעיה. ההטעיה מסתמכת על וירטואליזציה, מה שמאפשר לה להפוך את הפריסה לאוטומטית. טכנולוגיית הטעיה טובה תייצר מלאי של נכסי רשת בצורה אוטומטית. בהתבסס על המלאי, הפלטפורמה תבנה את מרכיבי ההטעיה אוטומטית, וגם תנתח ותפרוס את המלכודות כדי לחקות את הסביבה. מעבר מכך, ההטעיה יכולה לספק לצוותי האבטחה ניראות של משאבי הארגון והבנה האם הפריסה מספקת כיסוי טוב שלהם.
ניתן להטמיע את טכנולוגיית ההטעיה גם בארגונים קטנים יותר, שאין ברשותם תקציב או צוות הדרושים להטמעת כלים מורכבים יותר, או העסקה של צוות אבטחה מקיף. ארגונים בגדלים שונים יכולים להרוויח מהניראות המשופרת שמעניקה ההטעיה".
כיצד הטעיה יכולה לסייע לארגונים להפוך לחכמים יותר בנוגע לשיטות של פושעי הסייבר ויציבת הסיכון שלהם?
"טכנולוגיית הטעיה טובה צריכה לפעול בשלושה מודלים: הונאה ואיתור; חקירה; ומניעה. ההטעיה מתנהגת כמו מצלמת אבטחה ולוכדת את פעילות התוקף החל מהרגע שהוא יוצר קשר עם הפיתיון. ההטעיה מנתחת את המתקפה בצורה אוטומטית, מייצרת מודיעין איומים ומתארת את כל תהליך המתקפה – נוף, התנהגות, טכניקה ועוד. היא גם מפרטת את המתקפה מבחינת לוח זמנים, כדי לזהות אזורים נגועים אחרים של הרשת בהתבסס על זיהוי ומציאת מידע של התוקף".
למדו עוד אודות היעילות של טכנולוגיית הטעיית הסייבר לאיתור ומניעה של איומי סייבר מתקדמים.