צילום: rand.org
מיומנו של CTO: כיצד ליישם אסטרטגיית אבטחה מוצלחת באמצעות מודיעין איומים
מאת: מייקל קסי, מייסד, נשיא ו-CTO, פורטינט
כל מי שחשוף לחדשות באופן קבוע, בוודאי שם לב כי איומי סייבר הופכים להיות מתוחכמים ומזיקים יותר בכל יום שחולף. ההתמודדות עם האיומים הללו היא אתגר רציני עבור מיליוני עסקים אשר נמצאים תחת מתקפה מידי יום.
בהינתן כי כבר יש לכם את המומחים, המדיניות והתהליכים הדרושים לניהול האבטחה, טכנולוגיות אבטחת סייבר מודרניות הן בגדר חובה, אך הארגונים הפורסים אותן צריכים להתבונן מעבר לקופסאות.
המרכיב המשמעותי התומך ביישומי האבטחה הללו הוא בלתי נראה, אך משחק תפקיד חשוב ומבטיח כי הקופסאות חוסמות את האיומים המסכנים את העסק שלכם. זהו מודיעין האיומים – או ליתר דיוק, היכולת של יישומי האבטחה להכיר את נוף האיומים המתפתח מכל צדדיו ולהגיב בהתאם. מודיעין האיומים הוא הדלק המניע את הגנת הסייבר שלכם.
השגת מודיעין איומים מתוזמן, מדויק ובעל יכולת חיזוי זוהי אינה משימה קלה. הדבר דורש הקמת מחקר ופיתוח חזקים, הכוללים מספר מרכיבים:
1. הפרד ומשול –צוותים גדולים משמעם תפוקות גבוהות. אך כאשר מנסים להערים על פושעי סייבר בעלי מוטיבציה גבוהה, השימוש בחוכמה קונבנציונלית עובד לעיתים נדירות. מניסיוני, ארגון מחקר איומים יעיל צריך להיות מורכב מהרבה צוותים קטנים, כאשר כל צוות עוסק בסוג איום אחר. יצירת מוקדי מחקר כאלו ממקדת ומעצימה את ההתמחות והיכולת של כל צוות – דבר המוביל לגילוי מהיר יותר של איומים ולזיהוי איומים חדשים – ובה בעת מקצר את זמן התגובה של הלקוח לתקריות.
2. הישארו מחוברים לקרקע – צוותי חקר איומים חייבים להיות זריזים. נוף האיומים דינמי מאוד, משתנה בכל יום, שעה ואף דקה. הצוותים חייבים להיות מסוגלים להתאים את סדרי העדיפויות שלהם ולהתמקד כל פעם מחדש תוך כדי תנועה. בפורטינט, לדוגמה, אנו מעדכנים את תכניות המחקר בהתבסס על התחזיות שלנו לגבי הנראות וההתפתחות של נוף האיומים. כאשר יש זיהוי של כיוונים חדשים, החוקרים בעלי הכישורים המתאימים ביותר מאחדים כוחות במטרה לחקור לעומק את האיומים הללו.
3. תראו את התמונה הגדולה – חייבים לעודד חוקרים לחשוב בגדול ולרדוף אחרי תחומי העניין שלהם, אפילו אם התחומים הללו לא קשורים באופן ישיר למוצרים של החברה. מחקר על נקודות תורפה בתחום ה-IoT, לדוגמה, יכול להעמיק את הבנתו של ספק האבטחה של הארגון לגבי נוף האיומים.
4. חדדו את האינסטינקטים שלכם – ראשי צוותי מחקר חייבים לאמן את הצוותים שלהם לפתח את הפיקחות לזהות איומים חשובים לפני שהעובדה הזאת הופכת להיות ברורה לכל. חוקרי איומים טובים הזהירו במשך שנים כי נקודות תורפה של IoT הן האיום הגדול הבא – עוד לפי הופעתו של בוטנט ה-IoTMirai, אשר הפך את העניין לידוע לכל העולם. האיומים צצים ומתפתחים במהירות רבה. אם ספק אבטחה לא ממהר לבצע מחקר ולהגיב באיומים בזריזות, הלקוחות שלו לא יקבלו את ההגנה המתאימה בזמן.
5. צברו נתונים – ככל שלצוות חקר האיומים יש גישה לנתונים רבים יותר, כך קיים פוטנציאל רב יותר של תוצאות המחקר. ארגוני מחקר חכמים חולקים – לא שומרים לעצמם – מידע. בפורטינט, למשל, לא רק שאנו מחוברים למעל מ-3 מיליון חיישנים הפרושים מסביב לעולם, אנו משתפים באופן פעיל מודיעין איומים עם ארגונים כגון האינטרפול, נאט"ו, KISA וספקי טכנולוגיות אבטחה נוספים באמצעות ברית איומי הסייבר (CTA). בחודשים האחרונים צירפנו ישויות ממשלתיות וספקים נוספים מכל רחבי העולם. מדובר בהתפתחות חיובית, המסייעת לכל הצדדים לבנות מאגר מידע גדול יותר, העוזר לנטר, לחסום ולאתר נוזקות עד למקור שלהן.
6. השקיעו בטכנולוגיה המסייעת למחקר – הימים בהם ניתחנו באופן ידני מידע אודות איומים מזמן מאחורינו. צוותי מחקר יעילים זקוקים לכלים מתקדמים על מנת לפרש ולתאם בין הררי הנתונים המגיעים אליהם מידי רגע. בעוד שכיום עומדות לרשותנו שפות לזיהוי דפוסים בתכנים (CPRL),המסייעות לזהות גרסאות נוכחיות ועתידיות של ווירוסים בעלי חתימה אחת, העתיד שייך לטכנולוגיות כמו ניתוח ביג דאטה ובינה מלאכותית (AI). בקרוב, AI באבטחת מידע תסתגל באופן קבוע לשטח התקיפה ההולך וגדל. כיום, בני האדם מבצעים את המשימות המורכבות-יחסית של חיבור הנקודות, חלוקת נתונים ויישום נתונים למערכות. בעתיד, מערכת AI מפותחת תוכל לבצע את רוב ההחלטות המורכבות הללו בעצמה בצורה אוטומטית.
תגובה אחת לכתיבת תגובה