תוקפים משתמשים בשירותי ענן מהימנים ומשנים כל הזמן את הטקטיקה שלהם, כדי להימנע מדפוסי התנהגות ידועים. האם עדיין אפשר לצפות שהגנת איומים מתקדמת תעמוד בקצב מול כוחות כאלה?
הגנת איומים מתקדמת (ATP) מתייחסת לקטגוריה של פתרונות אבטחה מידע שמעניקים הגנה מפני תוכנות זדוניות מתוחכמות או התקפות מבוססות פריצה, המכוונות לנתונים רגישים. פתרונות ATP יכולים להיות זמינים כתוכנה או כשירותים מנוהלים. הם יכולים להיות שונים בגישות וברכיבים, אבל רובם כוללים שילוב כלשהו של סוכני נקודת קצה, התקני רשת, שערי דואר אלקטרוני, מערכות הגנה מפני תוכנות זדוניות ומסוף ניהול מרכזי לתיאום התראות וניהול הגנות.
אבל איך הם פועלים והיכן עלולות להיות חולשות אבטחת מידע?
בעולם שבו רמות האיום משתנות באופן דרמטי ומהיר ובקצב מדאיג, היכן ייתכן שיהיה צורך להתאים אותן כדי להתמודד עם אתגרים עתידיים המתעוררים?
לב הארגון
דואר אלקטרוני הוא השיטה הנפוצה ביותר להעברת איומים – מתקדמים ואחרים – מכיוון שזו אחת הדרכים הבודדות להעביר מתקפה ישר ללב הארגון, דרך אנשיו. מה גם שהגישה המועדפת ביותר להתקפת דואר אלקטרוני היא פישינג כלומר, איסוף פרטי התחברות באמצעות דפי אינטרנט מזויפים של מותגים מהימנים. ברגע שלתוקפים יש את היכולת להתחבר מרחוק לרשת ארגונית, הם יכולים להשיק מסעות הונאה משכנעים ולפקח על הסביבה כדי למצוא את הרגישים ביותר. נתונים לגניבה או את השרתים החשובים ביותר לעסקים שיידבקו בתוכנת כופר. איומי דואר אלקטרוני מתקדמים עדיין מתחמקים מזיהוי והכלה בעיקר כי תוקפים משתמשים בשירותי ענן מהימנים ומשנים כל הזמן את הטקטיקות שלהם וזאת כדי להימנע מדפוסי התנהגות ידועים.
סוכני אבטחה של נקודות קצה יכולים לזהות במהירות מכשיר שנפרץ, אבל זה עלול להיות מאוחר מדי. מניעת אובדן נתונים יכולה לזהות נתונים רגישים כשהם עוזבים את הארגון, אך רק לאחר הפשרה הראשונית. ברור שיש פער ביכולות ההגנה המתקדמות של איומים בין שרת הדואר האלקטרוני למכשיר משתמש הקצה. את הפער הזה קל לראות כאשר מבינים באיזו מידה ארגונים מסתמכים על העובדים כדי לזהות איומים מתקדמים בתיבות הדואר שלהם.
דרך טובה יותר היא פשוט להוסיף שכבה של זיהוי אוטומטי ותגובה לאירועים לתיבות הדואר. כאשר ארגונים מעבירים את שרתי הדואר אלקטרוני שלהם להצעות ענן כמו Office 365, קל יותר לסגור את הפער הזה על ידי שימוש בממשקי API לחיבור ענני הגנה מתקדמים על איומים לעננים של תיבות דואר. שכבת שליטה זו משלימה את מאמצי הזיהוי והבלימה שכבר החלו על ידי ספקי ענן, שערי אבטחת דואר אלקטרוני ארגוניים, זיהוי חדירת רשת וסוכני אבטחת נקודות קצה. זה גם פוטר את המשתמשים מהציפייה שהם יאתרו ויימנעו בצורה מהימנה איומים מתקדמים כמו התחזות בחנית ובהתפשרות באימייל עסקי.
התפתחות הטכנולוגיות
קטגוריית ההגנה המתקדמת של איומים אינה, כמובן, שום דבר חדש במיוחד, אלא התפתחות של טכנולוגיות כולל אנטי-וירוס עם מערכות מניעת חדירות וזיהוי. עם זאת, לא משנה איך קוראים לזה, הטכנולוגיה לבדה לא יכולה להגן מפני כל סוג של איום, הוא מזהיר. פתרונות ATP בדרך כלל לא מנטרים היכן יש נקודות חולשה לארגון שלך. מנקודת מבטם של האקרים ותוקפים, תמיד יש שלב שבו הם ינסו לאתר חולשות. זה יכול להיות שרת VPN שנשכח מזמן, אפליקציה לא מתוקנת או תהליך כניסה של משתמשים שעוצב בצורה גרועה. למעשה, שלב הסיור הזה הוא לעתים קרובות הגורם המכריע עבור התוקפים להרחיב את המאמץ האמיתי לפרוץ פנימה – או למצוא קורבן פתוח יותר. רוב פתרונות ה-ATP אינם מחקים את תהליך הסיור הזה, אז ארגונים צריכים להתמקד תחילה באיתור ותיקון חולשות מבניות, כדי להפוך את עצמם למטרות פחות אטרקטיביות.
מקום מצוין להתחיל בו הוא שימוש במסגרת אבטחת סייבר כמו מסגרת MITER ATT&CK – כלים חינמיים כמו הנווט ATT&CK מאפשרים לך למפות את הדרכים הסבירות לניצול ולאחר מכן לברר היכן יש לך הגנות נאותות ותהליכים מומלצים – לעומת אזורים שבהם חסר לך. זו משימה שאתה יכול לעשות באופן פנימי או, אם יש לך משאבים מוגבלים, באמצעות צד שלישי מומחה מהימן. כך או כך, זה ייתן לך עמדת התחלה טובה יותר לתקן בעיות כלשהן מאשר רק פריסת המון פתרונות ספקים באופן אד-הוק.
אינטגרציה היא גם מפתח, לא סביר שלכל ארגון תהיה ערימה שלמה של מוצרי אבטחת סייבר מספק יחיד. וככאלה, פתרונות אבטחה שונים פועלים לעתים קרובות בממגורות קטנות, בלי לשתף את אבטחת המידע היקר כדי להקל על זיהוי פריצות מוקדם. אז זהו נושא חיוני שארגונים יצטרכו גם לבסס את מה שמשולב – ובמקרים מסוימים, הדבר עשוי לדרוש שכבת אינטגרציה ייעודית כמו פלטפורמת SIEM או SOAR. זה לא תמיד אומר הוצאת יותר תקציב, שכן במקרים מסוימים, SIEM יכול לאפשר לך להפחית את כמות כלי האבטחה החופפים ולהתמקד בניצול טוב יותר של מערך קטן יותר של טכנולוגיות.
אחת מבעיות האבטחה הגדולות ביותר כעת, היא כמה מהר פושעי סייבר יכולים להסלים פריצה קלה לניסיון סחיטה מלא של גניבה של נתונים רגישים. לפעמים, הסימנים המאירים מזוהים על ידי מערכות אבטחת סייבר, אבל ההחלטה לסגור מחשבים אישיים, שרתים או פונקציות רשת מחייבת פעולה ידנית. עיכוב אישור זה יכול להיות ההבדל בין הגנה מוצלחת לבין פרצה כואבת. ככזה, ארגונים צריכים להתחיל לסמוך קצת יותר על תגובה אוטומטית – גם אם זה אומר שאזעקת שווא מדי פעם משפיעה על העסק.
כדי להתמודד עם הדור הבא של איומים מתקדמים, מערכות APT חייבות לקבל את החופש להתחיל בהקלה מהר יותר ממפעיל אנושי טיפוסי.
שירותי אבטחת סייבר מומלצים:
לראות את התמונה הגדולה
אסטרטגיות מסורתיות למניעת איומי אבטחה נשענות על גישה יחידה, לפיה לכל כלי/רכיב אבטחה ייחודי בארסנל ההגנה של הארגון יש תפקיד אחד וסומך עליו במידה רבה עבור התפקיד הזה. עם זאת, מניעת איומים מתקדמת נוקטת בגישה רב-צדדית לפיה יכולות הזיהוי של כלי/רכיבי אבטחה מרובים בארסנל ההגנה של ארגון משולבות כדי לספק "תמונה רחבה" אפשרית.
לדוגמה, שילוב של סוכני EDR (Endpoint, Detection and Response), סוכני ניטור רשת, שערי דואר אלקטרוני, פתרונות הרשאות משתמש/ניטור חשבון ופתרונות ניטור ענן, כולם שולחים את ההתראות שלהם לכלי ניהול מרכזי שמתאם אותם ומתריע לצוות אבטחה בזמן אמת.
עם זאת, אין גישה אחת שהיא מתאימה לכולם, מבחינת הגנה מתקדמת על איומים. הפתרונות צריכים להיות ניתנים להרחבה, גמישים וחכמים ולאפשר לארגונים לחזק את ההגנות שעובדות היטב ויכולות להתפתח כדי לעמוד בסביבת האיומים המשתנה ללא הרף. עסקים צריכים לכסות את כל הבסיסים עם מערכות שנועדו לנהל, לזהות ולהגיב (MDR), לנטר, למתן/למנוע, ובמידת הצורך, לתקן עם תגובה לאירועים (IR). בנוסף לאוטומציה במידת האפשר, וחיזוק כולל של עמדת האבטחה, המפתח להגנת איומים מתקדמת הוא שכבות, הוא מוסיף – להבטיח שמערכות ההפעלה והיישומים שלך מעודכנים; המשתמשים שלך משכילים; ויש לך פתרונות אבטחה עדכניים במקום.
העתיד של הגנת איומים מתקדמת מסתכם בכך שספק השירות המתאים יספק גישה לפי דרישה למומחי אבטחת מידע סייבר מיומנים ביותר שיכולים לספק תמיכת חירום עבור כל איום סייבר, כולל הדרכה יזומה בנושא תכנון MDR ו-IR, וחדשים ו איומים מתפתחים. צוות האבטחה אמור להיות מסוגל גם להגיב באופן מידי, בזמן אמת, באמצעות ספרי הפעלה אוטומטיים של תגובה לאירועים שנבנו מראש.
