‍Proactive SOC כי אסור לחכות לארוע הבא!

לא מזמן כולנו שמענו על הפריצה לאוניברסיטת בר אילן, בה מידע נמחק ומוצפן, ועל מתקפות למערכות בתי החולים בדובאי, ואפילו לרשת T-Mobile, הרשת הסלולרית המובילה בארה"ב. בהתקפות האלה חדרו למערכות, "גנבו" נתונים וגרמו לנזקים במערכות תומכות נוספות. חברות אחרות שנפגעו כללו חברות קמעונאות, חברות תשתית וחברות השכרת רכב. הכופר שההאקרים דורשים עומד לפעמים על סכומים של מאות אלפי דולרים!

כמובן שאסור להמעיט בפגיעה של התקפות כאלו. ועם זאת, הבעיה היא לא האם יתקפו אלא מה לעשות עוד לפני, בשלב הזיהוי, וכן איך להתנהג מרגע הזיהוי והלאה. ובשביל זה צריך תפיסה פרואקטיבית.

תפיסה פרואקטיבית בעניין אבטחת מידע אומרת שצריך לחשוב כמו האקרים, רק ככה אפשרי גם להתכונן לקראת מתקפה. לטענת דימה טאטור, מנהל אגף אבטחת המידע ב - Commit, צריך מישהו עם הפטיש שיעצור את האירוע כשהוא קורה, למנוע ממנו להתפשט במערכות, או לפחות לצמצם את אחיזת התוקפים במערכות החברה.

"אנחנו חושבים על זה בתור טיפול עזרה ראשונה," הוא מסביר. "קוראים לזה First Aid Remediation. בעזרה ראשונה חושבים קודם על עצירת הדימום,ואז על ההשפעה על שאר המערכות, והחובש צריך להיות מוכן לפגיעה בכל חלק בגוף – כוויה ביד, כאב ראש, שפשוף ברגל, בחילה או הכשת נחש."

השיטה שהוא פיתח ב - Commit משלבת גם תגובות לאירועים, גם נהלי ביקורת אבטחה והתאמות לתקינה, גם מבחני חדירה (penetration testing)וגם שילוב בחשיבה על הביזנס. כששאלנו מה זה אומר, הוא אמר "רוב הארגונים חושבים על אבטחה בתור רשימת כלים שאפשר לנצל. אנחנו חושבים שכל ארגון הוא שונה, מבחינת הביזנס שלו – וצריך להתאים את האבטחה לזה. בארגון אחד זה יהיה שרידות האפליקציה, בשני זה בסיס נתונים מסוים, ובשלישי זה בכלל מערך התקשורת. צריך שמערכת ההתרעות וההגנות תתמקד במה שחשוב לביזנס יותר, ומשם לטפל בשאר החלקים. אם האתר השיווקי שלך לא הכי חשוב לך – אז לא נורא אם הוא ירד לשעה. אבל אם האתר הוא ה - core של הפעילות שלך, אז אתה חייב תפיסה והגנות שמונעות מהאתר לרדת אפילו לשניה."

לגבי התפתחויות בענן, טאטור אמר כי "חייבים לחשוב על זה שיותר מערכות פועלות בשיטה של micro-services, עם תשתיות ענן. אין באמת שרתים פיזיים עליהם הכל יושב. אז נכון, יותר קשה לתקוף מה שלא נמצא במקום פיזי – אבל גם יותר קשה להתגונן כשאין לך חומות מסביב."

הוא הוסיף ואמר כי "ועם זאת שיש התקפות חדשות שמכוונות לסביבות ענן ושכולם נערכים לזה, צריך לחשוב גם על מערכות ואפליקציות היברידיות שמשלבות גם רכיבים on-prem וגם רכיבים בענן. ההתקפות נגד מערכות כאלה יהיו עוד יותר מתוחכמות ואולי יותר קשות לזיהוי. זו בדיוק הסיבה שצריך לחשוב כמו האקר. ההאקר ינסה להגיע מהאחד לשני, ולנצל את החולשות הקיימות בין הסביבות."

לסיום ביקשנו עצה למי שמחפש חסינות ככל האפשר. "דבר ראשון לעשות חשיבה מחדש על הצרכים. ברור שצריך SOC - צריך מרכז אחד שיגן עליך. בין אם זה in-house ובין אם קונים את השירות. אבל צריך להבין ש - SOC זה לא רק שירות – זו תפיסה. זה לא רק אבטחת מידע במובן הישן. מדובר במשהו שהוא חלק אינטגרלי מהביזנס שלך, ולכן נדרשת תפיסה פרואקטיבית, שלא רק מתריעה או עושה dispatching ,אלא גם עוצרת אירועים בזמן אמת –ושתהיה מכוונת לפי הלוגיקה והאסטרטגיה העסקית."

‍

‍