Persist Security

Call now:

03-5278778

הבנת אתגרי אבטחת סייבר: התראות והקשר

#Viewing Cyber Security Events in Context: Understanding the Bigger Picture

כמנכ”ל Persist Security, אני רואה חשיבות רבה בהבנת האתגרים המורכבים בתחום אבטחת הסייבר, ובפרט בתופעת ההתראות הרבות שמגיעות ממערכות אוטומטיות. ככל שאנו מתקדמים לעבר עתיד בו השימוש בטכנולוגיות מתקדמות הולך וגובר, כך גם הצורך שלנו להבטיח שהן לא יהפכו לחרב פיפיות.

## **האתגרים של הצפת התראות**

בעידן הדיגיטלי המודרני, הארגונים מתמודדים עם כמות עצומה של נתונים, בהם התראות ממערכות אבטחת סייבר אוטומטיות. התראות אלו נועדו לספק מידע חיוני על איומים פוטנציאליים, אך כאשר הן מצטברות למספרים גבוהים, הן עלולות גם ליצור תסכול בקרב צוותי האבטחה. כאשר כל דוא”ל פישינג או התראה לא ברורה יכולים לגרום לעומס, קשה מאוד לחקור את כל המקרים.

במחקר שנעשה בשנת 2022, נמצא כי למעלה מ-80% מהצוותים האבטחתיים דיווחו על “עייפות התראות”, מצב שבו המגיבים לא מצליחים לאתר איומים אמיתיים בשל העומס המידע. מהמחקר עלה כי כ-70% מהתראות האבטחה לא נבדקות כלל, מה שמעיד על בעיה חמורה באסטרטגיות האבטחה הנוכחיות.

## **הצורך במחשבת תוקף**

כפי שהזכרתי קודם, חשוב שמגיבים לאבטחה יפתחו “מחשבת תוקף” ויפעלו בהתאם. מדובר בגישה שמשלבת הבנה עמוקה של האיומים הקיימים עם יכולת לחשוב כמו תוקף. זהו תהליך שמחייב הכשרה מעמיקה, הכרת הכלים והטקטיקות שבהן משתמשים התוקפים.

במהלך שנותיי בתחום, אני עד לכך שהכלים האוטומטיים לאבטחת מידע הם כלי יקר ערך בניהול הנפח העצום של ההתראות שמגיעות מרשתות מודרניות. עם זאת, ישנה סכנה שהמגיבים לאבטחה יפתחו תחושת רוגע יתרה ויתנו לכלים הללו לטפל בכל דבר. זה יכול להוביל להחמצת הזדמנויות ללכוד מתקפות מתקדמות.

## **תרגילים של צוותי האדום**

צוותי האדום, שאני חלק מהם, מבצעים תרגילים חיוניים המעמידים את המגיבים שלנו במבחן. במהלך סימולציות אלו, אנחנו מנסים לחדור לתוך המערכות של הארגונים שלנו, והמשוב שאנו מקבלים מסייע לנו לשפר את האסטרטגיות ההגנתיות שלנו. בשיחות שלאחר התרגילים, אני נדהם לגלות כמה פעמים התראות לא נלקחו בחשבון, פשוט כי ההנחה הייתה שהבקרות האבטחתיות כבר חסמו את האיום.

למשל, במהלך תרגיל אחד, העלינו מסמך מזויף שנחסם על ידי מערכת האבטחה, ולמרות התראה שנשלחה לצוות האבטחה, הגרסה המתקדמת יותר של ה-payload הצליחה לעבור מבלי לעורר חשד. זה מדגיש פער קריטי בתהליך האבטחה, שבו המערכת רואה את האיום כהיסטוריה ולא כממשק חי ומתקדם.

## **הקשר בין אירועים**

היכולת שלנו לחשוב כמו תוקף היא קריטית בהבנת הקשרים בין אירועים שונים ובניתוחם בהקשר רחב יותר. כאשר אנו מנתחים אירועים בהקשר רחב, אנו יכולים לגלות תוכניות מתקפה שמתפתחות לאורך זמן, ולא רק את האיומים המיידיים.

למשל, אם נבחן התראה על ניסיון חדירה לארגון, נוכל גם לבדוק אם ישנם ניסי חדירה דומים באירגונים אחרים באותו תחום או גאוגרפיה. זה מביא אותנו למסקנה כי ישנם קשרים לא תמיד ברורים בין אירועים שונים, והבנתם יכולה לספק תובנות חשובות עבור המגיבים.

## **אסטרטגיות למניעת עייפות התראות**

כדי להתמודד עם בעיית העומס על צוותי האבטחה, יש לפתח אסטרטגיות שיביאו להפחתת העומס על המגיבים:

1. **סינון והעדפה**: יש לפתח כלי סינון שיהיו מסוגלים לזהות התראות חשובות על פני פחות רלוונטיות. זה כולל אלגוריתמים של למידת מכונה שיכולים לזהות דפוסים ולהתמקד בהתראות שמגיעות ממקורות מהימנים.

2. **הכשרה מתמשכת**: חשוב לספק הכשרה מתמשכת למגיבים בתחום אבטחת הסייבר. הכשרה זו יכולה לכלול תרגולים מעשיים, סדנאות ומפגשים עם מומחים בתחום.

3. **שיתוף פעולה עם צוותי האדום**: התקשורת והעבודה המשותפת עם צוותי האדום יכולים לסייע בשיפור הידע והבנת האיומים הקיימים. תרגולים משותפים יכולים לספק תובנות לגבי איך לחשוב כמו תוקף ואילו התראות כדאי לשים לב אליהן.

4. **שימוש בטכנולוגיות מתקדמות**: טכנולוגיות כמו בינה מלאכותית וניתוח נתונים גדולים יכולות לסייע בניהול ההתראות, ולמקד את תשומת הלב רק באיומים הפוטנציאליים.

## **סיכום**

לסיכום, אני מאמין שהאימונים והתרגילים של צוותי האדום הם לא רק כלי לבדוק את מערכות האבטחה. הם גם מספקים הזדמנות לשפר את המחשבה וההבנה של המגיבים, כך שיוכלו לחשוב כמו תוקפים ולזהות איומים בצורה מדויקת יותר. זהו צעד הכרחי במעבר שלנו מעמדה מגיבה לעמדה אסטרטגית ופרואקטיבית יותר.

כפי שאנו ממשיכים להתפתח בעידן הדיגיטלי, עלינו להכיר במורכבות האיומים ולהתכונן להתמודד איתם בצורה חכמה יותר. רק כך נוכל להבטיח שהטכנולוגיות שאנו משתמשים בהן לא יהפכו לחרב פיפיות, אלא כלי חיוני במאבק שלנו נגד האיומים המתקדמים של המאה ה-21.

Picture of פז שורץ

פז שורץ

מנכ״ל פרסיסט סקיורטי