משה זריהן, Thrustnet: "חייבים לשדרג את הרמה של לוחמי אבטחת המידע"

"כל הארגונים, קטנים כגדולים, חייבים לשדרג את הרמה המקצועית של הצוותים המתמודדים עם אירועי אבטחת המידע. ארגון שרוצה לשמור על המערכות שלו צריך לשאול את עצמו האם הצוות והמשאבים שהוא יכול להצמיד לאתגרים יכולים לעמוד בהם", כך אמר משה זריהן, סמנכ"ל הטכנולוגיות של חברת Thrustnet. לדבריו, "אין כיום משמעות לגודל החברה. כל חברה היא יעד למתקפה".

זריהן דיבר בכנס Infosec 2014 של אנשים ומחשבים, שהתקיים ביום ה' האחרון במרכז הכנסים אבניו בקריית שדה התעופה, בהשתתפות מאות מומחים בתחום ובהנחיית פלי הנמר, יזם ומנהיג אנשים ומחשבים.

בדבריו מנה זריהן את הכישורים נדרשים ללוחמי סייבר, אנשי אבטחת מידע ומומחי אבטחה בצוות CIRT. "עליהם להבין היטב בתקשורת, כדי לנסות לזהות חריגות. הם גם חייבים להבין משהו בסיסטם, כי במקרה של פופ אפ 'תמים' לכאורה שקפץ אצל אחד העובדים, עליו לזהות שמדובר בהתראת פריצה. תחומים נוספים בהם הוא חייב להבין הם מודיעין – טכנולוגי ולא טכנולוגי – וקוד, כדי לבצע ניתוח והנדסה לאחור של קוד שהמערכת מגלה ושלחברות האנטי וירוס אין עדיין חתימה שלו".

"עליו להיות בעל הבנה באבטחת מידע ויכולת ראייה מרחבית, ולהבין מהו התחום העסקי של הארגון", הוסיף זריהן. "קשה למצוא אנשים שיש להם את הידע המעמיק הזה. צריך לשאוף להקפיץ את כולנו לשם".

הוא אמר כי "ניתן לעשות זאת באמצעות שימוש במשאבים פנימיים – דבר שמחייב לשדרג את צוות התגובה, או באמצעות חברות חיצוניות, בכפוף לאפשרות הרגולטורית. בנוסף, יש כיום שירותי CIRT בענן, שגם השימוש בהם כפוף לאישורים הרגולטוריים בענף שבו פועל הארגון".

לדבריו, "יש כיום שירותים רבים המזהים האקרים מוכרים וטכנולוגיות, כמו SandBox, שמריצים את הקובץ באזור מוגן כדי לאתר קוד עוין. השאלה היא האם לאחר התקנת השירותים הללו, יש מי שיידע להפיק את התועלות מהמערכות המתוחכמות".

זהירות – משתמשים פריבילגיים
ירון מזור, מנהל פרויקטים אסטרטגיים בישראל ובמזרח אירופה ב-CyberArk, הזהיר מפני משתמשים שיש להם רשות להיכנס לכל מערכות התוכנה ואמר כי "הם יעד לתוקפים, וכאשר תוקף נכנס בסיסמה של משתמש כזה קשה מאוד לעצור אותו".

"ב-CyberArk הגדרנו את המשתמשים האלה, שקרויים משתמשים פריבילגיים, כאתגר האבטחה הגדול ביותר. לשם כך עלינו תחילה לזהות את אלה שעלולים להוות דלת אחורית למערכות המיחשוב של הארגון, לשמר אותם – כלומר, לדאוג להחליף להם סיסמה באופן סדיר, ולנהל אותם נכון כדי להשיב את השליטה לאנשי התשתיות", הוסיף.

מזור דיבר בנוסף על התהליך לאיתור השימוש לרעה בסמכויות של משתמשים פריבילגיים. "יש לכך מספר שלבים: ראשית – בידוד מלא בין המחשב של המשתמש לבין המערכת באמצעות שרת פרוקסי. השלב השני – הקלטת כל הפעילויות – מסכי כניסה למערכת, הודעות והתראות, ובשלב השלישי – שימוש במערכת פרו אקטיבית לזיהוי איומים ולזיהוי אנומליות בשימוש".

"דוגמה לאנומליות כאלה היא שעות כניסה שאינן שעות העבודה הרגילות במערכת; פעילות חוצת משמרות; משתמש שניגש פתאום למערכות רבות יותר מאשר מספר המערכות שהוא נכנס בשימוש השוטף שלו, גם אם מותר לו להיכנס לכל המערכות הללו, ועוד. כל האנומליות נכנסות למערכת הבקרה וכל אנומליה כזו מקבלת ניקוד".

מערכת שמנטרת פעילות משתמש באמצעות וידיאו
אריק קשה, מנהל מכירות אזורי ב-ObserveIT, תיאר מערכת המנטרת את פעילות המשתמש באמצעות וידיאו. היא מאפשרת ניתוח מהיר של אירועים, בצורה קלה להבנה הרבה יותר מאשר שימוש בלוגים.

"יש למערכת שלנו יכולות הקלטה, ניטור וחיפוש. מאחר שיש בה גם את אפשרות ההקלטה בווידיאו וגם את המטה-נתונים (מי נכנס, מתי ולאן), מנהל אבטחת המידע יכול לראות בדיוק מה קרה באותו סשן", הוסיף.

"ההקלטה בווידיאו חכם מאפשרת לדעת שלב אחרי שלב מה נעשה", ציין קשה. "מכיוון שאנחנו לא רק מקליטים זמן המתנה אלא רק מצלמים את המסך כל פעם שהמשתמש מקליק על המקלדת או העכבר. הווידיאו צורך מעט מקום. שנית, אנחנו מאנדקסים כל פעולה כדי שנדע לזהות אותה בהמשך. כך נוכל לזהות כל שלב בפעילות המשתמש ואם היא לא מתאימה לדפוס שלו, המערכת מתריעה וניתן בקלות לנתח את הפעילויות".

"גם המערכת של ObserveIT עוקבת אחרי משתמשים פריבילגיים, ואחת ההנחיות שלה היא לדרוש מהם להיכנס בסיסמה פרטית ולא בחשבון אדמין", אמר.