"המענה לריבוי הפגיעויות: גישה ממוקדת איומים"

"הפגיעויות הולכות ומתרבות, ונדרש לשפר את היכולות להתמודד עם מצב זה. המענה לכך הוא התבססות על גישה ממוקדת איומים", כך אמרה סיון ניר, ראשת צוות מודיעין איומים בסקייבוקס סקיוריטי.

ניר דיברה בפתח מפגש של פורום הסייבר ואבטחת המידע CSC מבית אנשים ומחשבים, שנערך היום (ד') ביס פלאנט בראשון לציון ושעסק במודיעין סייבר. מנחה המפגש היה גיא מזרחי, סמנכ"ל לתחום הסייבר ב-רייזון, שעומד בראש הפורום.

ניר מנהלת צוות חוקרים, שאוסף מידע ומנסה לסייע לבצע תעדוף בעבודת תיקון הפגיעויות. "הדרך היחידה לקבל 100% אבטחה היא לכבות את כלל המכשירים", אמרה. "ובנימה רצינית: שטף הפגיעויות הולך וגדל, על אף שבמחצית השנייה של 2018 חלה ירידה בכמות ה-CVE (ר"ת Common Vulnerabilities and Exposures ). מספר פגיעויות ה-CVE החדשות בכלל השנה החולפת עמד על 16,400, אולם ניתן היה להתמקד במספר קטן של פגיעויות, שמכסה הגנה נרחבת".

"2018", אמרה ניר, "הייתה שנת הקריפטו. המניע של ההאקרים לנצל מחשבי משתמשים בלא ידיעתם היה כלכלי. מגמה נוספת הייתה פגיעויות המשפיעות על הרבה ספקים, למשל פגיעות במעבד, שמביאה לנזק רוחבי בתעשייה. עוד אציין את הגידול בעולם ה-OT (הטכנולוגיות התפעוליות – י"ה), כאשר סימנס היו בראש טבלת המפרסמים את האיומים לתחום. המגמה הרביעית היא ההגירות לענן, שגוררות אתן גידול בבעיות אבטחה".

"צריך לנהל תעדוף איומים מבוסס סיכון"

על מנת להתמודד טוב יותר עם הפגיעויות, ציינה ניר, "נדרש לאמץ תפיסה ממוקדת איומים. יש להביט על כל חלקי הרשת, לקבל נראות ולתעד את המידע שעל בסיסו אפשר יהיה לנתחו ולקבל יכולת חיקור. לאחר מכן, יש לערוך תעדוף מבוסס נדבכי מידע. השלב הבא הוא ריפוי, ואותו יש לעשות תוך מיקוד בפגיעויות שנחשפו. השלב הרביעי הוא לוודא שהתהליך אכן קרה, שבוצע תעדוף על בסיס מידע ונתונים, שהתחלנו לבצע הטלאות והשלמנו את התהליך. יש לעשות זאת ממקום מרכזי, עם כמה שיותר אוטומציות. צריך לנהל תעדוף איומים מבוסס סיכון".

ניר הציגה את סקייבוקס סקיוריטי: "פעילות ניהול הסיכונים ברשת שלנו נעשית באמצעות מודל אנליטי של הרשת, שמאפשר לבצע סימולציות של מתקפות והשלכותיהן. החוכמה היא לבצע ניהול סיכונים אפקטיבי ולהשקיע אנרגיה במקומות הנכונים. הגישה הנכונה היא לזהות אילו שרתים קריטיים, למשל עם נתונים פיננסיים ונתוני לקוחות, ואילו תחנות קצה חשופות ומהוות סיכון, אם בגלל חיבורים לא מאובטחים לאינטרנט או בשל חולשה למתקפות, דוגמת WannaCry, שסקייבוקס התריעה עליה מראש ללקוחותיה – ולהתמקד בהגנה עליהם. כל זה נכנס למודל שלנו כדי לחשב סיכונים, למדל את המתקפות, ולהמליץ על מדיניות ניהול האבטחה והטיפול בסיכוני הרשת. יש לנו יכול להתחבר למוצרי האבטחה השונים. אנחנו מסייעים לייעל ולתעדף את עבודת ההטלאות".

לסיכום היא אמרה כי "הקבוע היחידי הוא שינוי – ונוף האיומים משתנה בלא הרף. אנחנו מאפשרים ללקוחות להכיר את הרשת שלהם לפרטיה ואת המתקפות שבהן נוקט היריב, וכך להגיע מוכנים לאיום הבא".