Adaptive Protection Symantec: פרק חדש באבטחת המידע בתחנות הקצה
כתב: צחי כהנוביץ', מנהל פעילות סימנטק בנס טכנולוגיות*.
מרבית הארגונים ברחבי העולם משקיעים באבטחת נקודות הקצה (Endpoints) כחלק מאמצעי ההגנה שלהם. למרות הזמן והכסף המושקעים, מתרחשות היום יותר פריצות מאי פעם, שכן התוקפים מחפשים "שטחים מתים" אותם הם מנצלים בכדי לתקוף ואף לחדור לארגון.
על מנת להתמודד עם אתגרים אלו, צוותי אבטחת המידע צריכים לעשות יותר מאשר לסתום כמה חורים. עליהם לשקול גישה חדשנית להעלאת רמת ההגנה על נקודות קצה, ולמקסם את האבטחה הכוללת. אנחנו קוראים לזה Adaptive Protection.
אצלנו בסימנטק מבינים שכל סביבה ארגונית היא ייחודית מבחינת תצורה וצרכים, ובפועל רואים שרוב טכנולוגיות האבטחה מוטמעות בצורה דיפולטיבית. Default Configuration היא התקנה של המוצר כפי שהוא מגיע, עם מינימום שינויים והקשחות, וזאת בכדי להימנע מפגיעה בפעילות התקינה של הארגון והאפליקציות השונות בהן משתמשים, ולמזער התרעות False Positive.
סימנטק מתמקדת בהגנה שהיא מניעתית, גמישה ואוטומטית. המרכיב העיקרי הוא Machine Learning, אשר בנויה על עשרות שנות הניסיון של סימנטק עם ארגונים גדולים, הפועלים לביצוע אוטומציה בהגדרה של תצורת ההגנה ואספקת הרמה הגבוהה ביותר של הגנה מותאמת, ללא השפעה על התפקוד הארגוני.
הגנה חזקה יותר הופכת את הזיהוי ליעיל יותר, ומאפשרת ל-SOC להתמקד רק בהתראות אמת, ללא צורך לעסוק בהתרעות ובעיות שההגנה הייתה עוצרת, ויכולה לעצור.
יישום יכולות ה-Adaptive Protection מביא להפחתה אוטומטית ורציפה של משטח התקיפה (AttackSurface) על נקודות הקצה. התוקפים כבר לא יכולים ליצור תקיפה בודדת שפועלת בכל מקום.
היכולת מותאמת לכל ארגון ומתאימה את עצמה כשמתרחשים שינויים בארגון בו היא מותקנת.
דבר זה מאלץ את התוקפים לבצע התאמות במחיר עצום עבורם, או פשוט לדלג לארגון הבא, שכן מדוע שהתוקף יבזבז זמן על התאמות, כשהוא יכול לפרוץ בקלות רבה יותר לארגון אחר שיש לו פתרון אבטחת נקודות קצה "במבנה סטנדרטי"?
בסימנטק מבינים שהתוקפים מנצלים כלים ושירותים מקומיים שכבר מותקנים במערכות היעד, כגון PowerShell ו-WMI (ר"ת Windows Management Instrumentation), אשר מאפשרים לתוקפים להשתמש בשירותים אלה ואחרים כדי להתחבא מאחוריהם. זה המקום בו Symantec Adaptive Protection מצטיינת, ומהווה פרק חדש באבטחת המידע.
המערכת לומדת עד רמת הפונקציונאליות של אפליקציה או כלי, כך שאם ניקח לדוגמה את PowerShell, המערכת יודעת לזהות אם מישהו בארגון עושה שימוש לאורך זמן ב-PowerShell Launching WS script או ב-PowerShell Launching CS script (שהיו חלק מההתקפות הגדולות שאירעו לאחרונה).
שימושים אלו מאוד לא נפוצים, שכן כמעט שאין סיבה לגיטימית להריץ אותם בארגון. במידה שהמערכת רואה שאכן אין בהם שימוש, היא מיד חוסמת אותם בכל התחנות בארגון, מבלי כמובן לחסום ולפגוע בפונקציונאליות של PowerShell.
לספקי אבטחת המידע של נקודות הקצה יש אפשרות לבחור. הם יכולים להתעלם מהתנהגות שעלולה להיות לא לגיטימית, ובכך לאפשר לגורמים זדוניים לחיות בסביבה, או שהם יכולים לחסום את השימוש הלגיטימי בכלים, דבר שיביא להתרעות שגויות.
היתרון של היכולת שמביאה סימנטק עם Adaptive Protection הינו שהמערכת מתבוננת בכלים הללו, בעלי השימוש הכפול, לומדת את השימוש בהם, מקשיחה את נקודות הקצה וחוסמת התנהגות חשודה – הכל באופן אוטומטי ותוך כדי עבודה. המשמעות היא פחות התרעות False Positive ש-SOCs יצטרכו "לרדוף" אחריהן, ואי השפעה על תפוקת העובדים.
יכולת ה-Adaptive Protection התווספה לפתרון ה-Endpoint SES Complete, והיא זמינה לשימוש ללא תוספת תשלום.
מידע נוסף ניתן לראות כאן.
לפרטים נוספים, צרו קשר ונשמח לסייע – דוא"ל: [email protected]
*מוצרי חטיבת סימנטק ב-Broadcom משווקים בישראל על ידי נספרו, קבוצת מוצרי התוכנה של נס