הפרדוקס של אבטחת המידע
"האתגרים העומדים בפני CISOs ומנהלים של מערכי SOC הם אדירים. האתגר המרכזי הוא שהאנשים שעומדים בקו ההגנה של הארגון צריכים לעבוד עם מספר רב של מערכות וכלים, ולהתמודד עם מספר רב, הולך וגדל, של סוגי התראות", כך אמר שי עוזרי, מנהל פתרונות הגנת סייבר ב-NessPRO, קבוצת מוצרי התוכנה של נס, בהרצאה שנשא בכנס Infosec שנערך אתמול (ב') באולמי LAGO בראשון לציון.
עוזרי ציין כי "הדרישה מאנשי ה-SOC לעבוד עם כלים רבים מקשה על הטיפול באירועים, ומאטה אותו מאוד. קיימת כאן הרבה מאוד עבודה ידנית, איטית, שיכולה להביא לטעויות. פעמים רבות המידע מוצג ללא קשר בין התראות, דבר ההופך את הקישור בתוך פרק זמן סביר בין כל נקודות המידע הרבות לכמעט בלתי אפשרי".
עוזרי אמר כי הטיפול באירועים נעשה על בסיס נהלי עבודה המתועדים במסמכים אשר שמורים במערכות נפרדות. פעמים רבות המסמכים לא מעודכנים, או שהאנליסטים פועלים על בסיס ידע וניסיון לא מתועד ושלא עולה תמיד בקנה אחד עם נהלי הארגון.
"זהו למעשה הפרדוקס של אבטחת המידע", הדגיש עוזרי. "העובדה שלארגון יש יותר כלים אין פירושה בהכרח שרמת האבטחה גבוהה יותר. במצב כזה, מערך הגנת סייבר מנצח הוא זה שמנצל בצורה טובה את כלל המערכות הקיימות ולאו דווקא שמוסיף עוד פתרונות נקודתיים".
עוזרי הוסיף כי אתגרים אלו הובילו להתפתחות תחום ה-SOAR (ראשי תיבות של Security Orchestration, Automation and Response). מדובר בתחום שגופי מחקר מובילים, כמו גרטנר (Gartner), פורסטר (Forrester) ו-ESG, זיהו ומתארים במחקרים שלהם.
שתי היכולות המרכזיות של התחום הן Orchestration ו-Automation. אורקסטרציה, או תזמור, היא היכולת לתאם את תהליך קבלת ההחלטות של כלים ומערכות, בין אם מערכות אבטחת מידע או מערכות IT כלליות, לעשות זאת באופן מושכל ולהגיב באופן אוטומטי. אוטומציה היא היכולת ללמד את המכונות לעבוד יחדיו ולבצע משימות שבדרך כלל נעשות על ידי אנשים. אוטומציה מאפשרת לנהלי העבודה (playbooks) לבצע מספר משימות כחלק מתהליכי אבטחת המידע. ניתן לבנות תהליכים מורכבים בעזרת אוטומציה על מנת לשפר את הדיוק והמהירות של התגובה.
להתמקד באירועי אמת ולנקות את הרעש הלבן
חטיבת הסייבר ב-NessPRO לקחה חלק בהקמת מערך ה-Incident Response אצל אחד מלקוחותיה הגדולים. בבסיס הפתרון היתה מערכת Siemplify ThreatNexus אשר מספקת את יכולת הליבה של מערך ה-SOC ומשמשת כמערכת המרכזית לניהול ותגובה לאירועי אבטחת מידע. כחלק מהפרויקט, מערכת Siemplify ThreatNexus קושרה למספר רב של מערכות טכנולוגיה ארגוניות כגון ציוד אבטחת מידע תשתיתי ואפליקטיבי, מסדי נתונים, Big Data, ניהול זהויות ומערכות ניטור וניהול אירועי IT.
החיבור למערכות בוצע בצורה דינאמית המאפשרת שליטה ותזמור של פונקציות המוגדרות במערכות אלו. יכולת זו מאפשרת שליטה מלאה ותגובה מהירה בצורה אוטומטית מתוך מערכת אחת, חיבור אירועים לסיפור אירוע מלא ויצירה של מהלכי תגובה מסודרים ומדויקים לאירועי אבטחת המידע השונים תוך תמיכה בכל שלבי האירוע – זיהוי והערכה, חקירה ראשונית, ניהול האירוע\תקרית, תגובה, פורנזיקה, מחקר והסקת מסקנות לשיפור.
השימוש במערכת בתצורה זו מאפשר לארגון להתמקד באירועי אמת ולנקות את הרעש הלבן, לחסוך בזמן עבודה רב של בקרים ולקצר את תהליכי החקירה והתגובה שלהם בצורה משמעותית.
NessPRO תקיים בסוף יוני כנס מיוחד, יחד עם אנשים ומחשבים, שיוקדש ל-SOAR. הכנס, ששמו Cyber for C-Level יתקיים ב-25 ביוני באולם האירועים East בתל-אביב.