"מניעה בלבד, בלי זיהוי ותגובה, תביא לנפילת מערך ההגנה"
"זיהוי ותגובה מנוהלים (MDR) מהווים רכיב קריטי באבטחת ארגונים, והופך לנושא בעל חשיבות לאומית", אמר אופיר זילביגר, מנהל מרכז הגנת הסייבר של BDO ● לדבריו, "ארגון ללא יכולות ניטור ותגובה דומה לכזה שמחזיק שומר שעלותו יקרה, הניצב בשער, אך לא עומד ליד דלת הפלדלת - שאותה יפרצו"
"ב-20 השנים האחרונות, ארגונים השקיעו באבטחת מידע בעיקר בממד המניעה. נדרש לתקן עיוות היסטורי זה ולהשקיע השקעה משמעותית גם בממדי הזיהוי והתגובה. מניעה בלבד לא עובדת. מניעה בלי זיהוי ותגובה תביא לכך שמערך ההגנה ייפול", כך אמר אופיר זילביגר, שותף ב-BDO ומנהל מרכז הגנת הסייבר של החברה.
זילביגר הסביר כי "תחום השירותים המנוהלים צמח בסוף שנות ה-90', ובתוכו MSSP (ר"ת Managed Security Service Provider) – שירותי אבטחה מנוהלים. לפני כשנתיים, גרטנר יצאה עם הגדרת תחום חדש, המדבר על כך שבתוך שירותי אבטחת מידע מנוהלים יש להתמקד בממדי הזיהוי והתגובה לאירוע סייבר, ולא רק בממד המניעה. כך נולד המינוח MDR (ר"ת Managed Detection and Response ) – ניהול הזיהוי והתגובה. כלומר, לא מדובר על איסוף לוגים וניהול פיירוולים, אלא על יכולת ממוקדת לזיהוי ותגובה לאירוע הסייבר".
הוא הוסיף כי "MDR, המהווה רכיב קריטי באבטחת ארגונים, הופך לנושא בעל חשיבות לאומית. על מנת לתת מענה לאומי אפקטיבי, דרוש שיתוף פעולה של הגופים הממשלתיים, נותני השירות והמגזר העסקי. במחיר של ויתור מסוים על פרטיות וחשיפת מידע, גופי אבטחת מידע במגזר העסקי יקבלו ביטחון רגולטורי. זוהי עסקה משתלמת בעידן בו קיים חשש מהותי לפרטיות וזליגת מידע. כל ארגוני האנטרפרייז נדרשים ליכולות הללו של ניטור ותגובה. בלא יכולות אלו, הדבר נדמה לארגון המחזיק שומר שעלותו יקרה, הניצב בשער אך לא עומד ליד דלת הפלדלת – שאותה יפרצו".
"מעט מאוד ארגונים יכולים לבנות SOC פנימי"
"כל המחקרים מדברים על כך שמשך השהייה של התוקף שחדר לארגון בטרם התגלה עומד על בין 170 ל-270 ימים, ולאחר הגילוי יש ריפוי שאורך בין 70 ל-80 ימים. אלה פרקי זמן ארוכים מאוד, ומטרת ה-MDR היא לקצר אותם ולספק זיהוי מהיר ותגובה מהירה לאירוע הסייבר", ציין זילביגר.
"יש בארץ מעט מאוד ארגונים שמסוגלים לבנות לעצמם, באופן פנימי, יכולות SOC שכוללות את כלל המרכיבים – של זיהוי ותגובה, לצד המניעה. מדובר בהשקעה לא טריוויאלית ויקרה, עם אתגר המחסור בכוח אדם מקצועי ואיכותי. יש כ-15 ארגונים שכן יכולים לעשות זאת, כשכל השאר מקבלים את היכולות הללו במיקור-חוץ", אמר.
זילביגר הוסיף ש-"במסגרת שבוע הסייבר שהתקיים באחרונה באוניברסיטת תל אביב היה מפגש שנשא את הכותרת Detection and Response (זיהוי ותגובה). באירוע ציין מערך הסייבר הלאומי את השקפתו לגבי תחום חשוב זה, וההזדמנות הגדולה שיש למדינה ולארגונים רבים לעסוק בו. במסגרת הדיון המקצועי בפאנלים שנערכו, נדונו סוגיות חשובות בנושא זיהוי ותגובה לאירועי סייבר, ועלו באופן ברור היתרונות שיש לתחום זה לתעשיית הסייבר הישראלית ולמשק כולו. במהלך המפגש התקיים פאנל שאותו הובלתי, שעסק בניהול אפקטיבי של איתור ותגובה לאירועי סייבר. הסיבה לקיומו של הפאנל הזה הייתה היותם של יכולת זיהוי ותגובה והצורה המנוהלת של יכולת זו מרכיבים קריטיים בתכנית ההגנה של כל ארגון, כל מגזר מדינתי ושל המדינה כולה. הם חייבים לקבל את המיקוד המתאים בדיון במסגרת המקצועית, הרגולטורית והאקדמית. ה-MDR מאפשר לגופים שאין ביכולתם לבנות יכולת זאת בעצמם לקבל זאת בתצורת מיקור-חוץ".
מעבר מהעולם הישן לזה החדש – באבטחה
"מדובר", הסביר זילביגר, "במעבר, בשינוי מהעולם הישן, שבו ארגונים היו מנוטרים למטרות מענה על רגולציות, אולם לא לטובת זיהוי ותגובה. במצב הקיים כיום, ה-SOC-ים, בתור שירות מנוהל, לא אפקטיביים. המיקוד של MDR הוא זיהוי ותגובה אפקטיביים. המעבר מהעולם הישן לעולם החדש מתאפיין בהוספת יכולות אלה. גם המדינה רוצה שלארגונים החשובים לה יהיו יכולות שכאלה".
לסיכום אמר זילביגר כי "BDO מחזיקה מרכז MDR שיושב בישראל ומספק שירות ללקוחות בכל העולם. צוות של 25 מקצועני אבטחת מידע והגנת הסייבר מעורבים בפעילות זו, שמוביל גוף הסייבר של החברה, שמונה 70 איש ולו עשרות לקוחות בישראל ומחוצה לה. התחלנו את הפעילות החדשה בשנה שעברה ושנת הפריצה הגדולה תהיה 2020".
האם במסגרת ה MDR יש התייחסות להתאוששות ממתקפות, בעיקר כאלו שפוגעות במידע? האם יש התייחסות למתודלוגיות של התאוששות במקרה כזה (לרוב לא יודעים מייד את רגע תחילת האירוע. ייתכן והמידע החל להינזק כבר לפני מספר ימים). איך משלבים יכולת התאוששות מהירה עם עותקי מידע מאובטחים ומוגנים מפני מתקפות?