ענן פתוח למען הקהילה

חברת IBM פותחת את ענן יישומי הסייבר לכולם במטרה להקל על שיתוף הפעולה בסייבר

צילום: חברת IBM

חברת IBM מתכוונת להשיק במהלך חודש פברואר הקרוב את פלטפורמת IBM Security Connect שהוכרזה באוקטובר האחרון. השירות מבוסס על הענן של IBM והוא יאפשר להעלות אליו נתונים באמצעות ממשקי API ו-Web Services . עבור החברה מדובר בהתפתחות ענן המוצרים והשירותים לעולם הסייבר. עד היום IBM השיקה את ה-IBM X-Force Exchange ואת הIBM Security App Exchange. שני מוצרים אלו מאפשרים לקהילת המשתמשים של IBM להשתמש בסל פתרונות מגוון של מוצרי הגנה בסייבר לצורך העשרת המוצרים הקיימים. עם זאת, הבינו בחברה שלא מספיק לפתוח את פלטפורמת השיתוף רק למשתמשים קיימים, ועם הקונקט IBM פותחת את הענן גם למשתמשים שאינם משתמשים במוצרי החברה.

לפי תומר צוקר, מנהל תחום אבטחת מידע וסייבר ב-IBM Israel, מדובר בפלטפורמה המאפשרת לארגון עסקי להעלות את הנתונים מכלל מוצרי ההגנה המותקנים ולהריץ עליו ניתוחים ותחקורים מצד כ-200 יישומים שונים בענן של IBM. "הפתרון החדש מאפשר לשותפים ומתחרים לחבור יחד בענן שלנו כדי לספק לארגון תובנות שהוא לא יכול להשיג בדרך אחרת. כמו שהרעים משתפים פעולה, ביבמ מאפשרים לטובים לשתף פעולה כדי להגביר את אפקטיביות ההגנה", אומר צוקר. 

חכמת מומחים

"אנחנו משיקים שירות המיועד ללקוחות IBM וגם כאלו שאינם לקוחות שלנו. ענן היישומים כולל כאלו שפיתחנו לבד וגם כאלו של שותפים עסקיים, חלקם מתחרים. לקוח יוכל למשל להתחבר אלינו כדי לקבל שירות תגובה לאירועים (IR) גם אם אין לו מוצרים שלנו", מסביר צוקר. "הרעיון הוא ליצור פדרציה של פתרונות שיכולים להעשיר את המידע שמייצר הארגון מכלל התקני אבטחת המידע שלו. במציאות, כל ארגון מחזיק עשרות כלי אבטחה שונים שכל אחד מהם עולם תוכן עצמאי. אנחנו יודעים לקחת את כל המידע מכל המערכות, להעלות לענן, לעשות לו נורמליזציה ולהפעיל על המידע שירותים ומוצרים למיצוי מידע. את התובנות לשתף חזרה עם הלקוח".

ב-IBM מסבירים כי כמות המידע מכפילה את עצמה כל שנתיים. בשנת 2020 מחזור הנתונים העולמי צפוי לגדול ל-44 טריליון גיגה בייט. בשנת 2025 הוא יגיע ל- 160 זטא-בייט (ב-1 זטא-בייט יש 21 אפסים). "כיום, אנחנו מסוגלים להפיק תובנות רק מ-1% מתוך המידע הקיים בארגון", אומרים ב-IBM.

בהיבט ההגנה בסייבר, אומרים בחברה כי מרבית מנהלי חדרי המצב (ה-SOC) לא מסוגלים לטפל בכל כמות ההתקפות הקיימת. "לוקח לארגון כ-180 יום בממוצע להבין שהוא תחת מתקפה. חלק גדול מהארגונים מתעלמים מהתראות רבות וחושפים את הארגונים לאיומים. אנליסטים יכולים להתמודד עם פחות מעשירית מהמידע שקשור להתקפות", מסבירים ב-IBM.

עוד נתון מעניין שמביאים בחברה קשור לאפקטיביות מערך ההגנה בארגון. "רק חמישית מיכולות אבטחת המידע הקיימות בארגון מנוצלות בפועל", טוענים ב-IBM. "האתגר אף גדול יותר כשיש מחסור במשאבי כוח אדם מיומן לנהל אותם. ארגונים גדולים עושים שימוש בעשרות מוצרי אבטחה שונים מעשרות יצרנים שונים (לפי נתונים של IBM ארגון ממוצע עושה שימוש בלמעלה מ-80 מוצרי אבטחה שונים מ-40 ספקים שונים). כל אחד מהם צריך להיות מותקן, מוגדר, מנוהל, משודרג. כשמוסיפים למשוואה את הגידול בכמות הנתונים, מבינים כמה יהיה מאתגר לספק הגנה ולנהל סיכונים".

העשרת מערכות אבטחה קיימות

פלטפורמת IBM Security Connect אמורה לטפל גם בפערי האיוש של כוח אדם מיומן בחברות בתחום הסייבר. "הפלטפורמה תנגיש כלים, ידע ומומחיות אנושית, ללא צורך בהשקעות באינטגרציה ובהתאמה מצד הארגונים", אומר צוקר. "היא מעניקה לאנשי אבטחת המידע נראות גבוהה המובילה לאפקטיביות תפעולית. מאחר והיא מבוססת על סטנדרטים פתוחים, כל ארגון יוכל לבנות ולפתח שירותים מיוחדים עבור מערכות אבטחה הקיימות".

IBM Security Connect תאפשר למשתמשים ליישם גם למידה ממוחשבת, כולל Watson for Cyber Security, כדי לסייע לארגונים לזהות איומים או סיכונים ולשפר את היעילות של הזיהוי והתגובה לאיומים. הפלטפורמה תאפשר גם תובנות מצטברות מעמיתים כולל המלצות מותאמות אישית המבוססות על מגזר התעשייה של הארגון.

שירותי מפתח כוללים: שירותי אינטגרציה לשירותי נתונים פתוחים לשיתוף ונורמליזציה של מודיעין איומים, חיפוש נתונים מאוחד על פני מאגר נתונים היברידי של הארגון בחוות שרתים מקומית בענן ושיתוף בזמן אמת של התראות אבטחה / אירועים ותובנות שניתן למנף בכל אפליקציה או פתרון משולב עם הפלטפורמה. לאחר השקתה, IBM Security Connect תרכז את היכולות של Exchange Security App וכל יישומי האבטחה של החברה שנבנו על בסיס IBM Cloud, אך תואמים לחלוטין לספקי ענן אחרים.

המטרה: פתיחות

חברת IBM תחתור על בסיס הפלטפורמה ליצירת סטנדרטים פתוחים חדשים בתחומים מתפתחים כגון שיתוף של דפוסי תגובה לאירועי סייבר (playbooks) ודפוסי ניתוח של אירועים. החברה גם תשקיע בפיתוח פרויקטים קוד פתוח חדשים התואמים מאמצים אלה. שיתוף הנתונים יתמוך ויתבצע על בסיס סטנדרטים כמו  STIX ו-TAXII.

אחד הפתרונות הראשונים שנבדקו על ידי לקוחות בפלטפורמה, בשלבי הניסוי מאז ההכרזה באוקטובר האחרון, הוא תהליך ניהול זרימת נתוני האיומים (Threat Operations Workflow). פתרון זה נועד להעצים את האנליסטים בתחום האבטחה במטרה לזהות מראש, לחקור ולהגיב לאיומים הקריטיים ביותר שלהם מפתרון אחד מבוסס ענן. הפתרון מתממשק למערכות SIEM של יבמ או של יצרנים אחרים. כמו כן, באמצעות SDK פתוח אפשר לחבר את התהליך לבריכות מידע מבוססות Hadoop ולאפשר לארגון לייצר תצוגה מאוחדת של איומים המבוססים גם על מוצרים קיימים שבעבר לא נעשה בהם שימוש לצורך זה.  

בחברה מסבירים כי הצטרפות ל-IBM Security Connect אפשרית לכל ארגון בישראל שיכול לבנות מוצרים על בסיס ענן החברה. עבור ארגונים גדולים יש צוות בחברה האחראי לזיהוי וגיוס שותפים לפלטפורמה. הצוות היה בישראל מספר פעמים בעבר. פתרונות שנוספים בדרך זו עוברים מסלול אימות ובדיקה טכנית על ידי החברה טרם ההוספה לפלטפורמה. לצד הליך זה יש מסלול קהילתי. היות ומדובר בפלטפורמה פתוחה, כל מפתח או חברת הזנק שרוצים יוכלו לפתח ולפרסם יישומים בענן של IBM לשימוש שאר חברי הקהילה.

***

בתמונה: תומר צוקר, צילום: יעל צור