איך להתגבר על "הפצצות" של התראות ואיומים ב-SOC – מרכז תפעול האבטחה?

"מהיום שהקמנו את דמיסטו דיברנו על האופן שבו מרכז תפעול האבטחה, ה-SOC, צריך להתנהל. האנליסטים במרכז מופצצים בהתראות ובאיומים בכמויות שאי אפשר לנהל. מה שהופך את המצב לחמור עוד יותר הוא, שהם אמורים לעבוד עם מספר רב מאוד של כלים, שלא מדברים זה עם זה, כי כל אחד מהכלים פותר בעיה בנפרד. אבל כשיש מתקפה, היא מגיעה לאזורים רבים וצריך לעבוד עם כלים שונים בכל מקום", אמר גיא רינת, סמנכ"ל הנדסה, פאלו אלטו.

בפברואר 2019 רכשה פאלו אלטו את דמיסטו ב-560 מיליוני דולרים. דמיסטו הוקמה ב-2015 על ידי סלביק מרקוביץ', דן שראל, רישי בהרגבה ורינת. היא פיתחה טכנולוגיית הגנת סייבר, המספקת אוטומציה של תגובות לאירועי אבטחה, SOAR. זו מאפשרת לתפעל בצורה מתוזמרת את מערכות אבטחת המידע והגנת הסייבר השונות – באמצעות מרכז תפעול אבטחה, SOC – אחד.

הצורך בפתרון, הסביר רינת, "נולד על רקע המחסור הכרוני בכוח אדם מקצועי בתחום הגנת הסייבר, לצד הגידול בהיקף וברמה של המתקפות, כמו גם ריבוי של הכלים שאמורים לטפל בהן. אנו מסייעים למערך אנשי אבטחת המידע בארגון לאתר את הבעיה, לאפיין את התגובה הנדרשת, להגיב למתקפות מהר ובאופן אוטומטי ככל האפשר – ואז לבחון את מידת הנזק. אנו עורכים הבחנה בין סוגי המתקפות, גודלן, מידת האיום הטמונה בהן, ועוד – ועושים זאת על בסיס תרחישים שהוכנו מבעוד מועד, הכוללים אלפי פעולות, והמטפלים בתרחישי מתקפה שונים".

"נדרש לבצע את החיבור של מודיעין האיומים וההתראות מכלי האבטחה", אמר רינת, "יש המון מידע, מכלי האבטחה ומכלי ה-IT. מנהל האבטחה צריך לדעת האם עובד, החשוף למידע פיננסי רגיש, או תוכניתן, או סמנכ"ל הכספים – הותקפו, כי כל אחד דורש מענה הגנתי אחר. האנליסט צריך לעבור תהליך חקירה מורכב, סיזיפי, וכזה החוזר על עצמו".

"כשבונים SOC בארגון", ציין רינת, "יש לוודא, שכל הכלים יודעים לעבוד יחד ואז לעשות אוטומציה של תהליכים אלה. יש למפות היכן נמצא המשתמש שהותקף, לברר מאיזו כתובת הגיעה המתקפה. בעבר היה נדרש להתחבר לכל אחד מכלי האבטחה. עם הפתרון שלנו, שכיום נקרא Cortex XSOAR  – אנו מחברים את כל כלי האבטחה ב-Hub, וכל הפעולות שעשה האנליסט במשך ימים נעשות בתוך שניות".

כך, אמר רינת, "נוצרים שלושה תהליכים: כל הכלים מדברים יחד, התהליכים עברו מיכון, ויש שיתוף במודיעין האיומים. כל האירועים מנוהלים ממקום אחד, ניתן לבחון את האירועים בחתכים ובפילוחים שונים והאנליסט יכול לקבוע SLA לאירוע. והחשוב ביותר הוא השיתוף: כל אנליסט יכול לראות מה האחרים עושים, והם יכולים לעבוד יחד על אותו אירוע, כשהכל משותף אוטומטית עבורם".

"משבר הקורונה", סיכם רינת, "שלח את האנליסטים ואת אנשי האבטחה הביתה, בעוד ההאקרים ניצלו את הכאוס וראו במצב החדש הזדמנות לתקוף בעוד משטח תקיפה. ה-SOC שלנו בפאלו אלטו מגן על מערכות ועל עובדי החברה. בתוך יום אחד הוא עבר למצב של עבודה מהבית, כשדבר לא השתנה בצורת העבודה של אנשי המרכז. הפעלנו את ה-SOCs שלנו, שאנו מנהלים עבור לקוחותינו – מרחוק. כל פעילות הניטור אחר מערכות החברה, מודיעין איומי הסייבר, הטיפול במתקפות וניהול התגובות – נעשית מאתר שאינו נמצא באתר החברה. זאת, תוך שימוש במערכת של דמיסטו שיש לה גם אפליקציית מובייל, המאפשרת התחברות מכל מקום. כך הארגונים יכולים היו להבטיח המשכיות עסקית גם במצב חירום".