בכל הנוגע להגנה על הארגון שלך מפני מתקפות סייבר, זיהוי איומים יכול לשחק תפקיד קריטי באסטרטגיית ההגנה הכוללת שלך. זה בעיקר מכיוון שככל שתוכל לזהות איום מוקדם יותר, כך תוכל להקטין אותו גם מוקדם יותר ולהפסיק אותו להפוך להתקפה. יכולת זיהוי איומים המבוצעת היטב יכולה גם להקדים את ההתקפות לפני שהן מתרחשות על סמך יומן רשת אחת.
עם זאת, בעבודה של היום יום, שבו צוותי אבטחת IT רבים ויש הרבה 'רעש' מאיומים ויריבים פוטנציאליים, זה יכול להיות מסובך לדעת מהו האיום בפועל שיכול להוביל לסייבר – התקפה ומה יוצא דופן, אך עדיין לגיטימי של בסיס העובדים. כנקודת מוצא לפשט זאת, פירוק זיהוי האיומים למרכיביו היסודיים יכול להביא בהירות והייתי ממליץ להגדיר כל יכולת זיהוי איומים בסדר הרשום:
1. מודיעין איום
אינטליגנציה של איום היא שיתוף ידע מבוסס עדויות על יריבים, המתקבל בדרך כלל על ידי ניתוח התקפות שזוהו בעבר. רוב הכנופיות הפושעות ומדינות הלאום עושות דברים בכל פעם באופן זהה או דומה מאוד. לכן היכולת לזהות פעולה ולקשר זאת למידע ידוע על התקפות קודמות, מציעה דרך מהירה ואמינה מאוד לאתר איום.
בדרך כלל, מודיעין האיום מתקבל ממקורות רבים ברחבי העולם כגון סוכנויות ממשלתיות, ספקי אנטי וירוס, חברות טכנולוגיה מובילות וארגונים בין-לאומיים אחרים. כשלעצמו זהו הסיוע היחיד הגדול ביותר לגילוי איומים. שקול תרחיש טיפוסי של מיקום אינטרנט ידוע המשמש להתקפות נגד עסקים. אם מיקום זה נכלל במסד הנתונים של מודיעין האיומים שלך, ברגע שרק חיבור אחד נוצר מהמיקום הזה, יכולות הניטור שלך יכולות להתריע בפניך על החיבור ותוכל לחפש אותו כדי לחסום אותו מהרשת שלך לפני שתתרחש התקפה. רק העובדה שמדובר במארח זדוני ידוע מספיק כדי להניע פעולת תגובה.
תעשיית אבטחת הסייבר מתקדמת לאט אבל בטוח לעבר יכולות מוגברות לשיתוף איומים וכמה מאגרי מידע חינמיים המונעים על ידי קהילה, כגון Exchange Threat Exchange (OTX), מנוצלים על ידי ספקים נוספים. ענפי תעשייה גדולים, כגון חינוך, מגדירים גם יכולות מודיעין איומים משלהם כדי לחלוק את הידע שלהם.
כל השינויים הללו חיוביים מאוד ומשמעותם היא שיש להם יכולת מודיעינית, שבעבר הייתה שמורה לבעלי כיסים עמוקים, מאפשרת לכל מוצא בגדלים רבים לבנות יכולת מודיעינית שתעזור להם לקבל החלטות מושכלות יותר. הוא גם מאפשר ליותר ספקי שירותי אבטחה מנוהלים (MSSP) להציע איום מודיעיני כחלק מחבילת השירותים המנוהלים שלהם, שם ניתן לפצל את העלות בין לקוחות רבים כדי להפוך אותה לזולה בהרבה.
2. ניתוח התנהגות
User and Entity Behavior Analytics (UEBA) מתמקד בפעילות משתמשים ומכשירים, כגון מתי משתמש בדרך כלל נכנס ומתנתק, מאיפה הוא מתחבר, מאילו אפליקציות הוא משתמש, כמה נתונים הוא מוריד ועוד החלק "ישות" מתייחס לניתוח דומה הממוקד בהתקנים, שרתי נקודות קצה וכו'.
עם הזמן, בדרך כלל לאחר 3 חודשים, הוא מבסס התנהגות רגילה ולאחר מכן מפעיל התראה אם מתגלה התנהגות חריגה. דוגמה לכך יכולה להיות כניסה ממדינה אחרת, או אם משתמש מוריד פתאום ג'יגה-בייט של קבצים. כאשר מתרחשת התנהגות שאינה מהנורמה, אפשר לסמן אותה לבדיקת צוות האבטחה שלך, כדי לזהות אם קיים איום.
שחקני איומים יכולים להישאר בלתי מזוהים לפרקי זמן ארוכים כאשר הם מקבלים גישה לרשת ואז שוכבים עד שהם מוכנים לתקוף, אך ניתוחי התנהגות יכולים לסייע באיתור חריגות חסרות משמעות אחרת ולגלות פשרה מהר יותר.
דוגמה של מנהל דומיין שמתחבר לשרת בשעה 14:00 אחר הצהריים של יום שבת – גם אם האישורים שהשתמשו בהם תקפים (ולכן אי אפשר לסמן אותם כהתראה), רק העובדה שמעולם לא השתמשו בחשבון ביום שבת. זה מספיק כדי להפעיל ולהתריע על חקירה, מה שיכול להיות ההבדל בסיכול התקפה מתוכננת היטב, או שתוקפים לא ישימו לב עד שהם מוכנים. ללא פונקציית UEBA, זה הופך להיות הרבה יותר קשה לזהות חריגות בתנועה ולפעולות של רשת שנראית אחרת לגיטימית.
שירותי סייבר שתוכלו לקבל ב Cybersafe:
3. ציד איומים
ציד איומים הוא גישה פרואקטיבית לחיפוש אקטיבי ברשת שלך וכל מה שיש בה כדי לאתר איומי אבטחה. המטרה היא ללכת ולחפש באופן יזום הוכחות לאיומים בכל הרשת שלך שעלולים אחרת להתחמק מפתרונות אבטחה או להתגלות רק ברגע שמתקפה מתבצעת.
ציידי איומים מיומנים יכולים להוסיף ממד חדש ורב עוצמה לכל תוכנית אבטחה, ולעזור לאסוף רבים מהאיומים שמצליחים לחמוק. דוגמה עשויה להיות חיפוש אחר נוכחותם של קבצים זדוניים מסוימים, תצורות או גרסאות של תוכנות הידועות כפגיעות. זה יכול להיות פרואקטיבי וגם תגובתי; לשקול פגיעות המתפרסמת עבור גרסה מסוימת של תוכנה.
סריקת ציד איומים יכולה לספר לך בכל מקום שהתוכנה המדויקת הזו מותקנת כדי לאפשר לך לתכנן במהירות תיקון או אם אתה מוצא שינוי חשוד בתצורה של מארח, תוכל להריץ סריקה כדי לראות אם היא בוצעה במקום אחר, אשר עשוי להצביע על תכנון פיגוע. התמורות לכך הן אין-סופיות. אני חושב על זה כשירות ארגונים לעתים קרובות חושבים שהם לא צריכים, אבל ברגע שיש להם את זה, הם תוהים איך הם הצליחו להסתדר בלעדיו.
לסיכום,
זה יכול להיות דבר מרתיע ליישם יכולת איתור איומים, אך ככל שהטכנולוגיה הפכה לנפוצה יותר, היא הייתה להיות זולה יותר, עם יותר ספקים המציעים חלק או את כל מרכיביה. כל אחד משלושת האזורים שלעיל יביא אותך למקום טוב יותר כדי למנוע התקפה פרואקטיבית ובאמת זו התוצאה הטובה ביותר שאנו יכולים להשיג – לעצור את ההתקפות לפני שאפשר לבצע אותן, או לפני שיגרמו נזק רב מדי.
