מודיעין איומים כגורם מרכזי המסייע לאבטחת סייבר יזומה
זמינות ואיכות מודיעין איומים חיוניים ליישום אסטרטגיית אבטחה יעילה
עמי רוחקס דומבה
| 02/12/2020
דרק מאנקי. צילום: פורטינט
זמינות ואיכות של מודיעין איומים אמין שניתן לפעול לפיו חיונית כדי ליישם אסטרטגיית אבטחה יעילה. לצד איסוף של מודיעין איומים ממקומות שונים ברשת שבהם הם פרוסים, כלי האבטחה צריכים גם להיות מסוגלים לשתף ולתאם את המודיעין הזה לאורך ובין כל התקני האבטחה האחרים הפרוסים בכל רחבי הרשת. פתרונות משולבים יכולים לראות, לחלוק ולתאם נתונים אודות איומים בזמן אמת ולאפשר נראות רחבה לאורך הרשת הדרושה למערכות אבטחה במטרה לאתר ולהגיב לאיומים בצורה יעילה.
אך זהו רק חלק אחד של המשוואה. יש לבצע הערכה רחבה יותר של מודיעין איומים אשר נאסף באופן מקומי ולקשר אותו לאיומים גלובליים ומגמות התקפה שונות. דבר זה דורש הרשמה למקורות מידע חיצוניים של מודיעין איומים. ספקי אבטחה רבים מספקים מקורות מידע חיצוניים של אבטחה, כמו גם קבוצות הקשורות לארגון כלשהו ומרכזי שיתוף וניתוח מידע (ISACs) אשר הוקמו סביב תעשיות או מגזרים. משאבים משניים, כמו דוחות ועדכונים אודות איומים, גם מהווים משאבים חשובים.
בנוסף לכך, פושעי הסייבר הופכים למתוחכמים יותר, הם משתמשים בלמידת מכונה ובינה מלאכותית כדי לנצל את שטח התקיפה המתרחב ולעקוף את אמצעי ההגנה המסורתיים. בעודם מתמודדים עם כמויות גוברות של התראות ושטף של נתונים אשר נאספים מנקודות קצה, מהתקני רשת ו-IoT, מסביבות ענן ומאזורים אחרים, ארגונים נאבקים לעמוד בקצב ולהיות צעד אחד לפני האיומים. המאמץ בהפיכת מודיעין האיומים לכזה אשר ניתן לפעול לפיו מערב לרוב אינטראקציה אנושית, כאשר לא תמיד יש צורך בה. למעשה, הדבר יכול אף להצביע על כך כי המודיעין לא תמיד מיושם כהלכה אל התקני האבטחה במהירות הדרושה, בעוד פושעי הסייבר נעים בקצב מהיר אף יותר וחושפים סיכונים נוספים במערכות.
מודיעין איומים מתחיל עם שיתופי פעולה חזקים
כדי להשתמש בפתרונות אבטחה גמישים ומהירים כמו הרשתות שעליהן הם צריכים להגן – ופושעי הסייבר שהם צריכים להגן מפניהם – הם זקוקים לעדכונים מתוזמנים אשר ניתן לפעול לפיהם כדי לעמוד בקצב עם נוף האיומים המשתנה. משמעות הדבר היא כי אפילו פתרונות האבטחה המהירים והמותאמים ביותר יהיו יעילים באותה המידה כמו תשתית מודיעין האיומים והחוקרים אשר תומכים בהם.
תמיכה זו יכולה לנוע החל ממודיעין איומים ועדכונים ועד לתמיכה מותאמת אישית ממומחי אבטחת סייבר מיומנים כדי לסייע ולזהות פערי אבטחה או להחזיר את הרשת למצב תקין בעקבות מתקפות סייבר. אך אחד האספקטים הקריטיים ביותר של מודיעין איומים כזה זוהי היכולת להשתמש בו ישירות כדי לחפש אחר איומים ולמנוע אותם. מאפיינים המצביעים על פרצה (IOCs), תיאום האיומים לקטגוריות של MITRE ומידע דומה – כל אלו מסייעים להאיץ את היכולת של צוותי האבטחה לצרוך מודיעין איומים במהירות וביעילות.
חוקרי איומים צריכים לתמוך במאמצים חוצי-תעשיות
מודיעין איומים אשר מפותח על ידי קבוצות של חוקרים בעלי מחויבות לעבודה משותפת שימושי ואמין יותר מאשר מודיעין איומים חד-פעמי. זוהי הסיבה לכך שספקי מודיעין איומים צריכים לשמור על יחסי עבודה טובים עם גורמים אחרים בתעשייה. קבוצות אלו כוללות מרכזי שיתוף וניתוח מידע (ISACs), צוותי חירום לטיפול באירועי מחשב (CERTs), רשויות אכיפת חוק וארגונים אחרים המתמקדים באבטחת סייבר.
חוקרי איומים צריכים לפתח ולתמוך בסטנדרטים של התעשייה
השתייכות לקבוצות של חוקרי איומים לא מספיקה. ארגונים המחויבים לחקר איומים צריכים להיות מעורבים באופן פעיל בפיתוח של סטנדרטים בתעשייה. למשל, מעבדות FortiGuard, גוף המחקר של פורטינט, בשיתוף פעולה עם ארגונים נוספים, תרמו משמעותית לפיתוח פרוטוקולי ה-STIX/TAXII ופלטפורמת ה-MISP – שניהם נמצאים כעת בשימוש גלובלי כדי לאפשר לארגונים, בין אם מדובר בלקוחות החברה ובין אם לא, לחלוק מידע אודות איומים ומודיעין איומים שניתן לפעול לפיו. מעבדות FortiGuard מעסיקות חוקרי איומים מובילים, אשר תפקידם הוא לזהות ולדווח אודות איומי zero-day.
מודיעין איומים מתחיל עם בניית מערכות יחסים מקצועיות
הגנות סייבר טובות כמו מודיעין האיומים אשר מזין אותן, כאשר התהליך הזה מתחיל עם בנייה ושמירה על מערכות יחסים טובות עם לקוחות, שותפים וספקים. חלק עיקרי במשוואה הוא גם ליצור שיתופי פעולה פתוחים עם רשויות אכיפת החוק כדי לסייע למגר את פשיעת הסייבר. חשוב לעודד שיתוף מודיעין עם רשויות אכיפת החוק וארגוני אבטחה גלובליים אחרים עבור המטרה המשותפת של הפלת ארגוני פשיעת סייבר בצורה יעילה.
מדובר בשיתוף פעולה חשוב אשר נועד כדי להקשות על פעילותם של פושעי הסייבר וזוהי הדרך הטובה ביותר לסיים את מעגל הפשיעה. לפשיעת סייבר אין גבולות ולכן, אם אנו משתפים פעולה עם רשויות אכיפת החוק ועובדים קשה כדי להציב אתגר לא פשוט עבור פושעי הסייבר בבואם להוציא לפועל את המתקפות שלהם, כולנו נוכל להרוויח מכך.
מאת: דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים בפורטינט.
זמינות ואיכות מודיעין איומים חיוניים ליישום אסטרטגיית אבטחה יעילה
דרק מאנקי. צילום: פורטינט
זמינות ואיכות של מודיעין איומים אמין שניתן לפעול לפיו חיונית כדי ליישם אסטרטגיית אבטחה יעילה. לצד איסוף של מודיעין איומים ממקומות שונים ברשת שבהם הם פרוסים, כלי האבטחה צריכים גם להיות מסוגלים לשתף ולתאם את המודיעין הזה לאורך ובין כל התקני האבטחה האחרים הפרוסים בכל רחבי הרשת. פתרונות משולבים יכולים לראות, לחלוק ולתאם נתונים אודות איומים בזמן אמת ולאפשר נראות רחבה לאורך הרשת הדרושה למערכות אבטחה במטרה לאתר ולהגיב לאיומים בצורה יעילה.
אך זהו רק חלק אחד של המשוואה. יש לבצע הערכה רחבה יותר של מודיעין איומים אשר נאסף באופן מקומי ולקשר אותו לאיומים גלובליים ומגמות התקפה שונות. דבר זה דורש הרשמה למקורות מידע חיצוניים של מודיעין איומים. ספקי אבטחה רבים מספקים מקורות מידע חיצוניים של אבטחה, כמו גם קבוצות הקשורות לארגון כלשהו ומרכזי שיתוף וניתוח מידע (ISACs) אשר הוקמו סביב תעשיות או מגזרים. משאבים משניים, כמו דוחות ועדכונים אודות איומים, גם מהווים משאבים חשובים.
בנוסף לכך, פושעי הסייבר הופכים למתוחכמים יותר, הם משתמשים בלמידת מכונה ובינה מלאכותית כדי לנצל את שטח התקיפה המתרחב ולעקוף את אמצעי ההגנה המסורתיים. בעודם מתמודדים עם כמויות גוברות של התראות ושטף של נתונים אשר נאספים מנקודות קצה, מהתקני רשת ו-IoT, מסביבות ענן ומאזורים אחרים, ארגונים נאבקים לעמוד בקצב ולהיות צעד אחד לפני האיומים. המאמץ בהפיכת מודיעין האיומים לכזה אשר ניתן לפעול לפיו מערב לרוב אינטראקציה אנושית, כאשר לא תמיד יש צורך בה. למעשה, הדבר יכול אף להצביע על כך כי המודיעין לא תמיד מיושם כהלכה אל התקני האבטחה במהירות הדרושה, בעוד פושעי הסייבר נעים בקצב מהיר אף יותר וחושפים סיכונים נוספים במערכות.
מודיעין איומים מתחיל עם שיתופי פעולה חזקים
כדי להשתמש בפתרונות אבטחה גמישים ומהירים כמו הרשתות שעליהן הם צריכים להגן – ופושעי הסייבר שהם צריכים להגן מפניהם – הם זקוקים לעדכונים מתוזמנים אשר ניתן לפעול לפיהם כדי לעמוד בקצב עם נוף האיומים המשתנה. משמעות הדבר היא כי אפילו פתרונות האבטחה המהירים והמותאמים ביותר יהיו יעילים באותה המידה כמו תשתית מודיעין האיומים והחוקרים אשר תומכים בהם.
תמיכה זו יכולה לנוע החל ממודיעין איומים ועדכונים ועד לתמיכה מותאמת אישית ממומחי אבטחת סייבר מיומנים כדי לסייע ולזהות פערי אבטחה או להחזיר את הרשת למצב תקין בעקבות מתקפות סייבר. אך אחד האספקטים הקריטיים ביותר של מודיעין איומים כזה זוהי היכולת להשתמש בו ישירות כדי לחפש אחר איומים ולמנוע אותם. מאפיינים המצביעים על פרצה (IOCs), תיאום האיומים לקטגוריות של MITRE ומידע דומה – כל אלו מסייעים להאיץ את היכולת של צוותי האבטחה לצרוך מודיעין איומים במהירות וביעילות.
חוקרי איומים צריכים לתמוך במאמצים חוצי-תעשיות
מודיעין איומים אשר מפותח על ידי קבוצות של חוקרים בעלי מחויבות לעבודה משותפת שימושי ואמין יותר מאשר מודיעין איומים חד-פעמי. זוהי הסיבה לכך שספקי מודיעין איומים צריכים לשמור על יחסי עבודה טובים עם גורמים אחרים בתעשייה. קבוצות אלו כוללות מרכזי שיתוף וניתוח מידע (ISACs), צוותי חירום לטיפול באירועי מחשב (CERTs), רשויות אכיפת חוק וארגונים אחרים המתמקדים באבטחת סייבר.
חוקרי איומים צריכים לפתח ולתמוך בסטנדרטים של התעשייה
השתייכות לקבוצות של חוקרי איומים לא מספיקה. ארגונים המחויבים לחקר איומים צריכים להיות מעורבים באופן פעיל בפיתוח של סטנדרטים בתעשייה. למשל, מעבדות FortiGuard, גוף המחקר של פורטינט, בשיתוף פעולה עם ארגונים נוספים, תרמו משמעותית לפיתוח פרוטוקולי ה-STIX/TAXII ופלטפורמת ה-MISP – שניהם נמצאים כעת בשימוש גלובלי כדי לאפשר לארגונים, בין אם מדובר בלקוחות החברה ובין אם לא, לחלוק מידע אודות איומים ומודיעין איומים שניתן לפעול לפיו. מעבדות FortiGuard מעסיקות חוקרי איומים מובילים, אשר תפקידם הוא לזהות ולדווח אודות איומי zero-day.
מודיעין איומים מתחיל עם בניית מערכות יחסים מקצועיות
הגנות סייבר טובות כמו מודיעין האיומים אשר מזין אותן, כאשר התהליך הזה מתחיל עם בנייה ושמירה על מערכות יחסים טובות עם לקוחות, שותפים וספקים. חלק עיקרי במשוואה הוא גם ליצור שיתופי פעולה פתוחים עם רשויות אכיפת החוק כדי לסייע למגר את פשיעת הסייבר. חשוב לעודד שיתוף מודיעין עם רשויות אכיפת החוק וארגוני אבטחה גלובליים אחרים עבור המטרה המשותפת של הפלת ארגוני פשיעת סייבר בצורה יעילה.
מדובר בשיתוף פעולה חשוב אשר נועד כדי להקשות על פעילותם של פושעי הסייבר וזוהי הדרך הטובה ביותר לסיים את מעגל הפשיעה. לפשיעת סייבר אין גבולות ולכן, אם אנו משתפים פעולה עם רשויות אכיפת החוק ועובדים קשה כדי להציב אתגר לא פשוט עבור פושעי הסייבר בבואם להוציא לפועל את המתקפות שלהם, כולנו נוכל להרוויח מכך.
מאת: דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים בפורטינט.
