הנשק האולטימטיבי כנגד מתקפות סייבר: יירוט מהיר והתאוששות מיידית

לעסק המודרני, המבוסס על פעילות דיגיטלית עננית, אין כיום את הפריבילגיה להיות מושבת לטווחי זמן ארוכים. אי מתן שירות משמעו אובדן לקוחות ופגיעה חמורה בהכנסות ובמוניטין, שכן הלקוח הממוצע יכול בקלות רבה, ובלחיצת כפתור, לרכוש מוצרים ושירותים בחברה המתחרה. הדרך היחידה להילחם בתוקפים ולשרוד מול התחרות בשוק, היא על ידי יירוט מהיר של האירוע, התאוששות מיידית וחזרה לשגרה.

המודל המסורתי להתמודדות עם איומים – רלוונטי?

ארגונים רבים עדיין פועלים בעת התקפת סייבר תחת המודל המסורתי של התמודדות עם איומים, שמכתיב התמודדות איטית, הכוללת השבתה מלאה של המערכות עד לביצוע מחקר מעמיק, לאחריו מפיקים תובנות, מסיקים מסקנות ופועלים. בעוד שלמודל זה קיימים יתרונות משלו (אולי לארגוני אנטרפרייז מסורתיים), הוא עלול להתברר כאסון לעסק הדינמי המבוסס ענן, המחויב חוזית לזמן פעילות (Uptime) של קרוב ל-100%, ונמצא תחת הלחץ להקדים את התחרות.

ארגון שנמצא תחת מתקפת כופרה שבוי בידי התוקף, אשר מצפין את המידע שלו תמורת כופר. היכולת להשתחרר מכבלי ההצפנה ולחזור לפעילות במהירות היא בפני עצמה ניצחון בשדה הקרב מול התוקפים. לעומת זאת, התמודדות איטית ומהוססת מאפשרת לתוקף להפעיל לחץ על העסק, דבר שלעיתים מסתיים בתשלום כופר. עסקים רבים נכנעים ומשלמים את הכופר, דבר שאינו מומלץ כלל, שכן תוקף שקיבל פעם אחת כופר – יחזור לסחוט את העסק שוב.

הפתרון – הדור הבא של שירותי הסייבר המנוהלים

ארגונים רבים בוחרים לשכור שירותי MSSP (ר"ת Managed Security Service Provider) במקום לבנות ולתחזק מרכז SOC פנים ארגוני, שדורש צוות מיומן ומשאבים טכנולוגיים. עם זאת, ישנו הבדל בין שירותי MSSP לסביבות אנטרפרייז, לשירותים אלו לסביבות ייצור בענן, שדורשות יכולת תגובה מהירה.

הדור הבא של שירותי MSSP מאפשר תגובה מהירה ומדויקת לאירועי סייבר בסביבות ענן. הוא דורש רמת מיומנות גבוהה של צוות ה-SOC, הבנה מלאה של הפרמטרים בפלטפורמות מגוונות, ידע לגבי טכנולוגיות מבוססות ענן, סוג המידע, ממשקים ואינטראקציות עם פתרונות צד ג', סוגי ההתראות והאירועים המתקבלים ואופן התגובה אליהם.

הנה מספר יכולות חיוניות במסגרת הדור הבא של ה-MSSP:

• עזרה ראשונה ביירוט אירועי סייבר – "First Aid Remediation Response" – הדור הבא של ה-MSSP מכיר לעומק את התשתיות וסביבת הלקוח, ולכן מעניק טיפול מהיר על סמך playbooks ותופר פתרונות ייחודיים לדרישותיו. בניגוד לשירות SOC מסורתי, שלרוב רק מדווח על אירוע תקיפה, הדור הבא של ה-MSSP מגיב בפועל ומיירט את האירוע במהירות וביעילות.
• צוות מומחים מולטידיסיפלינרי – חברות רבות לא יכולות להעסיק צוות מגוון של מומחים דוגמת מומחי דטה בייס, תשתית עננית, אבטחת GRC, אבטחת סיסטם, ארכיטקטים או אנשי תקשורת בעלי ידע באבטחת רשת, הנחוצים בעת תקיפת סייבר – ולכן הטיפול באירוע משתהה. הארגון נאלץ לשכור ספקים חיצוניים שמשלימים את הידע, דבר שמוסיף מורכבות להתנהלות בזמן האירוע. שירות הדור הבא של ה-MSSP מחזיק בכלל הדיציפלינות הדרושות, כך שהשירות ניתן באופן מלא עד ליירוט של האירוע.
• SecOps – שירותים אלו מסייעים בניהול עדכוני אבטחה לכלל המערכות ובדרך כלל מתבצעים על ידי הארגון עצמו או על ידי ספקים חיצוניים. עם זאת, MSSP שמספק שירות זה מאפשר ניהול הוליסטי של אבטחת המידע, שכן ניהול תקין של עדכוני האבטחה הוא בבחינת "רפואה מונעת". MSSP שמספק פעולות מנע, מספק אחריות יום יום על אבטחת הסביבה.
• CISO as a Service – מנהל אבטחת מידע כשרות מאפשר אופטימיזציה של עלויות וניהול מקצועי של יחידת הסייבר על ענפיה ועל הדיסציפלינות השונות שבה. אחד האתגרים של מנהלי אבטחת מידע פנים-ארגוניים הוא פערי ידע, שנובעים לעיתים מניסיון צר בוורטיקל מסוים. מנהל אבטחת מידע של הדור הבא של ה-MSSP  מביא עימו צבא של מומחים המתעדכנים מדי יום במגוון של תחומים, טכנולוגיות ותעשיות.
• ניהול משבר – בעת אירוע יש צורך בתגבור כוחות בצורה מהירה. ניהול המשבר מתחלק בין מספר בעלי תפקידים: מנהל המשבר, מנהל המשא ומתן עם התוקף, מנהל המשבר מול הלקוחות, מנהל המשבר מול כלי התקשורת, מנהל האירוע בפן הטכנולוגי ומנהל החקירה. מרכזי ה-SOC מעסיקים חוקר שינהל חקירה נקודתית, אך לא תמיד את הצוות המלא שיבצע את הטיפול בסביבה, הכולל חסימה, הקשחות פריסת אבטחת נקודות קצה ועוד. פעולות אלו נופלות חזרה לידיו של הארגון, שנאלץ לגייס אנשים מכל תחום. הדור הבא של ה-MSSP יודע לספק את השירות המלא של ניהול המשבר, מקצה לקצה.

הכותב הוא מנהל תחום אבטחת מידע וסייבר של Comm-IT