משה בן סימון | יח"צ
הטעיה כאסטרטגיה משולבת של הגנה פעילה
משה בן סימון, סגן נשיא לתחום מוצר בפורטינט, מסביר מהי הגנה פעילה בתחום של אבטחת סייבר וכיצד היא יכולה לסייע לארגונים להתכונן למתקפות עתידיות
מאמצע המאה ה-5 ועד לתחילת המאה ה-13, קונסטנטינופול הייתה העיר הגדולה והעשירה ביותר באירופה והיא ייצגה את האימפריה הרומית כעיר המאובטחת והעוצמתית ביותר בעולם. ארכיטקטורת האבטחה שלה הייתה מהמודרניות ביותר שהעולם ראה לאותה תקופה, עם שכבות הגנה רבות של חומות, תעלות מים ועוד. 23 הניסיונות לפרוץ אל העיר במשך מאות שנים נכשלו כולם ואפילו הצבא העות'מאני התקשה לחדור את ההגנות הפעילות שלה. בסופו של דבר, כל מה שנדרש הוא לחשוב מחוץ לקופסה כדי למצוא פרצה אחת שניתן לנצל אותה. וכך קרה.
הסיפור הזה מלמד אותנו כי לתוקפים תמיד היה יתרון מובהק על פני המגינים. בהשוואה לעולם המודרני, אפשר לראות כי לפושעי הסייבר גם יש יתרונות מסוימים, כאשר הם אלו שבוחרים את הזמן, המקום וצורת המעורבות. ובזמן שהמגינים מוכרחים לכסות בהצלחה כל חלק משטח התקיפה הפוטנציאלי ולהדוף כל מתקפה, התוקפים יכולים להקדיש את הזמן עד שהם מוצאים חוליה חלשה אחת שניתן לנצל בשרשרת האבטחה.
ערכה של ההגנה הפעילה
דרך אחת להשוות את שטח התקיפה היא באמצעות המושג "הגנה פעילה" (Active Defense). בהתייחס לתחום אבטחת הסייבר, הדבר יכלול מספר טכניקות, החל מהעברה והפצה של נתונים באופן דינמי כדי להקשות על גניבתם ועד לטכניקות הטעיה אשר מציפות את הרשת עם תעבורה מזויפת ושרתים אשר מפתים את התוקפים להפעיל אזעקות ולהתריע למגינים אודות הנוכחות שלהם. השילוב האסטרטגי בין הגנות אלו ואחרות מאפשר לארגונים לא רק להתמודד עם מתקפות נוכחיות, אלא גם ללמוד עוד אודות התוקפים ולהתכונן בצורה טובה יותר למתקפות עתידיות.
כדי לסייע עם גישה אסטרטגית זו לאבטחה, תאגיד MITRE – מרכז מחקר ופיתוח ללא מטרות רווח המתמקד בהתמודדות עם אתגרי אבטחת סייבר לצרכי ביטחון, יציבות ורווחת המדינה – שחרר לאחרונה מאגר ידע של הגנות פעילות הנקרא MITRE Shield. מדובר במאגר שנאסף במשך למעלה מעשר שנים של יישום הגנה פעילה וניסיון במעורבות עם גורמים עוינים, אשר מטרתו היא לספק הדרכה ברורה לארגונים אשר מחפשים לאמץ טכניקות של הגנה פעילה. המידע במאגר כולל מגוון רחב של מומחי אבטחת סייבר, שיקולים בדבר הזדמנויות ומטרות של מנהלי אבטחת מידע ודיונים בנושאים טכניים המיועדים למגינים.
המידע במאגר של MITRE Shield בנושא של הגנה פעילה כולל יכולות הגנת סייבר בסיסיות להטעיית התוקפים ופעולות מעורבות עם גורמים עוינים. מדובר באבן דרך משמעותית באסטרטגיות הגנת סייבר, אשר מספקת הכרה בערכה של טכנולוגיית ההטעיה. כמו כן, המאגר מתעד את האימוץ המהיר של טכנולוגיה זו על ידי ארגונים ברחבי העולם – החל מארגונים גדולים ועד לארגונים קטנים ובינוניים – כדי לשפר את איתור האיומים על ידי זיהוי השיטות, הטכניקות וההליכים (TTP's) הנמצאים בשימוש פושעי הסייבר.
מומלץ לארגונים לבדוק את המטריצה של MITRE Shield, במטרה לקבל מידע אודות הטקטיקות שהוגדרו בה באמצעות שימוש בטכנולוגיית הטעיה, כמו מערכות הטעיה, רשתות הטעיה, תוכן הטעיה, תהליכי הטעיה, תמרון של הרשת ועוד. בשוק קיימות כיום מספר טכנולוגיות הטעיה, כאשר אחת מהן זהו פתרון ה-FortiDeceptor, בעל היכולת ליצור רשת מפוברקת של פיתיונות על פני מקטעי ה-IT וה-OT. דבר זה מאפשר לאתר גורמי איום חיצוניים ופנימיים כל פני שטח רחב, כך שניתן לכסות חלק גדול מהשיטות והטכניקות של MITRE Shield.
השילוב בין ה-FortiDecepter לבין מארג האבטחה (Security Fabric) של פורטינט מאפשר לו להשתלב בצורה מלאה לתוך פלטפורמת אבטחה מקיפה אשר תוכננה כדי לספק מניעה, איתור ותגובה אוטומטית על פני הרשת המבוזרת. התממשקות רחבה זו מאפשרת לא רק לאתר את האיומים, אלא גם להפעיל אוטומטית מדיניות פעולה עם בקרות אבטחה רציפות, כך שעצירת האיום מתבצעת כחלק מרצף הזיהוי והתגובה של האיום ומבטיחה כיסוי מלא של הטכניקות והשיטות של MITRE Shield.
היתרונות של שימוש בהטעיה ברמה גבוהה ומתקדמת בהקשר של אתגרי איתור האיומים כיום כוללים:
• הפקת מודיעין איומים מותאם אישית לסיכונים הייחודיים של הארגון.
• הימנעות מהתראות כוזבות כיוון ששום דבר לא צריך לגשת אל הרשת המדומה ללא סיבה.
• סגירת הפערים במערכת ההגנה שלכם על ידי מניעה של סיכוני מערכת ספציפיים במקומות שבהם בקרות מסורתיות לרוב נכשלות (OT, IoT, IIoT, M&A ועוד).
פתרון ה-FortiDecepter משחק תפקיד מרכזי בכל אסטרטגיה של מארג אבטחה. הפתרון לא מתפקד רק כפתרון עצמאי, כמו מרבית טכנולוגיות ההטעיה, אלא הוא משתלב ישירות עם פתרונות אבטחה מתקדמים כמו FortiSIEM, FortiSOAR, FortiNAC, FortiAnalyzer, FortiGate וכלי אבטחה של צד שלישי כדי לשפר את איתור האיומים ולספק תגובה אוטומטית אליהם. דבר זה מבטיח כי אסטרטגיית ההגנה לא משתרעת רק בין קצות הרשת, אלא גם מספקת אבטחה קבועה בכל שלב בשרשרת המתקפה.
למדו כיצד פורטינט משלבת יכולות בינה מלאכותית ולמידת מכונה על פני מארג האבטחה כדי לאתר, לזהות ולהגיב לאיומים במהירות של מכונה.