אבטחת מידע היא בעית ביג דאטה

התמודדות עם התקפות סייבר מחייבת כלים יעילים שיתבססו על כל סוג מידע, כולל לוגים (בדומה למערכות SIEM ), תעבורת הרשת בארגון, מידע מקהיליית אבטחת המידע הבינלאומית ומיצוי מידע של ספקי תוכן ייעודיים

ציון זטלאוי, יועץ טכנולוגי של NetWitness ב-RSA ישראל, חטיבת האבטחה של EMC

יותר מתמיד, מנהל אבטחת מידע חייב להתמודד עם שני אתגרים עיקריים - התקפות סייבר מתקדמות, והתמודדות עם כמויות מידע אדירות שמייצרים מערכי אבטחת המידע המודרניים. בהקשר זה, מרוץ החימוש בין האקרים וחוקרי אבטחת מידע נעשה קשה יותר עם הזמן, כשהיתרון נמצא באופן טבעי בצד התוקפים. הכלים העומדים לרשות פושעי סייבר מתוחכמים יותר, יעילים יותר, ובעיקר - זמינים יותר. 

כלי האבטחה בהם נעזר מנהל אבטחת המידע מבוססים במקרים רבים על עשרות מוצרים, ומורכבות תשתיות המחשוב בכלל, ותשתיות האבטחה בפרט, מקשה על יצירת תמונת מצב מרכזית, מדויקת, ועדכנית. התרחבות תשתיות אלו גרמה לעלייה עצומה בכמויות המידע עמן נאלצים מערכי האבטחה להתמודד מדי יום, ללא כלים יעילים המאפשרים איסוף וניתוח בזמן אמת.

הבעיה: פתרון נקודתי

התפיסה הראשונה של אבטחת מידע הייתה מבוססת על פתרונות נקודתיים - כל מוצר אבטחה התמקד בפתרון בעיה ספציפית, ללא תלות בפתרונות אחרים. תפיסה זו דרשה יצירת מערך אבטחה אשר ייאגד את כל המידע מכלל המוצרים והפלטפורמות למקום אחד מרכזי, בפורמט אחיד המאפשר ניתוח אוטומאטי של המידע, כמו גם מתן אפשרות ליצירת דוחות ותצוגה מרכזית (Dashboard ) . 

מוצרי SIEM (Security Incident and Event Management ) נתנו לכך מענה ראשוני, ומשמשים עד היום כמרכיב בסיסי והכרחי בכלים העומדים לרשות מנהלי אבטחת מידע. פתרונות SIEM מספקים ראייה רחבה של תמונת אבטחת המידע בארגון, אשר מבוססת על מידע הקיים בלוגים של מערכות, תשתיות קריטיות, ואפליקציות. על אף היכולות המתקדמות של מוצרים אלו, לא ניתן לספק באמצעותם תמונת מצב מלאה, כיוון שהיא מתבססת על מידע שנכתב לתעוד (Log ) בלבד. בנוסף, הם אינם מקנים את האפשרות לבצע תחקור מעמיק - הכולל שחזור מלא של אירועים ברשת הארגון, מאחר ומידע זה אינו זמין להם. המוצרים פשוט משקפים את המידע שנכתב על ידי מוצרים אחרים לשורות לוג, ומאפשרים תחקור של המידע רק כפי שמופיע באותם לוגים. 

כדי להתגבר על אתגרים אלה בצורה יעילה, מנהלי אבטחת מידע חייבים לאמץ גישה שונה, המבוססת על הנחות עבודה חדשות. ראשית, מומלץ כי ההשקעה העיקרית תהיה ביכולות איתור מתקפות, ולא בניסיונות (לא יעילים במיוחד) לחסום אותן. כלים אלה צריכים לספק יכולות מתקדמות לתחקור ושחזור של אירועים. כך למשל,, יכולות האיתור לא יתבססו על חתימות, שכן למתקפות סייבר מודרניות (מסוג Zero-Day , Targeted Malware או APT ) אין חתימות. 

כלים יעילים יהיו כאלו שיתבססו על כל סוג מידע, כולל לוגים (בדומה למערכות SIEM ), תעבורת הרשת בארגון, מידע מקהיליית אבטחת המידע הבינלאומית ומיצוי מידע של ספקי תוכן ייעודיים. כלי אבטחת מידע מודרניים אמורים להיות מסוגלים להתמודד עם כמויות גדולות יותר של מידע, ולאפשר ישום שלו באמצעים יעילים ומהירים. במילים אחרות , גם אבטחת מידע היא "בעיית ה-Big Data ". 

שיתוף פעולה בלחימה קיברנטית

פתרון NetWitness מבית RSA הינו פתרון המבוסס על הנחות עבודה אלו, המספק יכולת מתקדמת להתמודד עם הצרכים והסיכונים העומדים בפני מנהל אבטחת מידע בעידן הסייבר. הפתרון מאפשר איתור של מתקפות סייבר (ללא שימוש בחתימות), ניתוח יעיל של תעבורת הרשת, ומידע המבוסס על לוגים תוך מינוף מידע מספקי תוכן שונים, כמו גם מידע ספציפי הקיים בארגון. 

הפתרון מקליט את תעבורת הרשת באופן שמשחזר בדיוק מלא את התעבורה, בכל נקודה בזמן. השחזור מציג את כל המידע ( שכבות 2 עד 7 של מודל OSI ) , ומאפשר לאנליסט לצפות בהעתק מדויק שלו . בנוסף, NetWitness מייצר שכבה של אינדקס (Meta-Data ) על המידע המוקלט, וכך מייצר ניתוח מהיר ויעיל של תעבורת הרשת, כמו גם ניווט מהיר בין מיליוני רשומות. במקביל, פתרון זה מיישם בדיקה מעמיקה של התעבורה כדי לאתר מתקפות או קוד זדוני. 

התמודדות עם מתקפות סייבר מתקדמות ואתגרי אבטחה דורשת שילוב יכולות טכנולוגיות, אשר אינו קיים באופן מובנה בפלטפורמה טכנולוגית אחת או בקרב יצרן בודד. לכן, מייצרת RSA אינטגרציה מובנית בין מוצריה שונים,וכן עם מוצרים של חברות מובילות אחרות במטרה לייצר תשתית ניהול המשלבת את כלל היכולות לכדי פתרון מקיף, המספק מענה הולם לסיכוני סייבר. 

הכותב הואיועץ טכנולוגי שלNetWitness ב-RSA ישראל, חטיבת האבטחה של EMC

You might be interested also