"ה-IT הולך לשירותים מנוהלים – ובישראל לא עושים דבר"

"העולם הולך לשירותים מנוהלים במיקור-חוץ וארגונים צריכים להבין את זה. כולם מדברים על זה ואף אחד בארץ לא עושה שום דבר, ודאי שלא בארגוני האנטרפרייז בישראל. באירופה ובארצות הברית עברו אותנו בכך – ובגדול", כך אמר אריה גליקמן, מנכ"ל Long Sight מקבוצת SECOZ.

לדבריו, "הפתרון הרצוי לניהול האבטחה בארגונים הוא שירותים מנוהלים. מעבר אליהם מביא לייעול תפעולי משמעותי בארגון, יכולות תחקור מתקדמות, קיצור מהותי של זמן התגובה והקטנה מהותית של עלויות הפתרון",

גליקמן דיבר במפגש של פורום CSC מבית אנשים ומחשבים, שנערך באחרונה ב-yes Planet בראשון לציון. הרצאתו עסקה בעיקר במערכות SIEM לניהול אבטחת מידע וב-SOC – המרכז לתפעול האבטחה הארגוני.

הוא ציין כי "אחרי מימוש מערכת SIEM נדרש לארגונים כוח אדם יקר לניתוח האירועים, שקשה לתחזק לאורך זמן. בנוסף, צצה הבעיה היותר גדולה: הרבה אירועים הם ללא הקשר, לא יודעים על מי בארגון ועל אילו תהליכים עסקיים בו הם משפיעים".

"ארגונים צריכים לשאול את עצמם עד כמה ה-SIEM עזר להם באירועי אבטחה", הוסיף גליקמן. "להעלות את השאלה: בשביל מה השקענו בזה כל כך הרבה כסף? האם המערכת קיצרה את זמן התגובה לאירועים? והאם היא מחזירה את הארגון למצב פעילות תקין כמה שיותר מהר?"

בהמשך עסק גליקמן בשאלה: איך צריך להיראות SOC? הוא אמר כי הדרך לאופטימיזציה של ה-SOC עוברת ב-"הורדה מהותית של עלויות כוח האדם, שימוש בכוח אדם איכותי, שימוש בכלים איכותיים לניטור וניתוח אירועים, ואוטומציה".

לדבריו, "הכוונה בהורדה מהותית של עלויות כוח האדם היא לאו דווקא לפיטורים אלא לייעול התהליך. למשל, להפוך את התהליך למובנה – דבר שעדיין לא משתמשים בו בעולמות הסייבר ואבטחת המידע".

"אמצעי ההתמודדות לייעול ה-SOC הם הפעלת שירותים על בסיס הצרכים המשתנים, הפעלת כוח אדם איכותי בזמן אמת וביצוע סימולציות, ושילוב כלים המאפשרים ניתוח מתקדם, כגון איסוף מידע, ניתוח אירוע ואיסוף מודיעין", הוסיף.

אור כהן, המנהל הטכנולוגי הראשי של חטיבת האבטחה בווי-אנקור. צילום: ניב קנטור

לסיכום אמר גליקמן כי "הפתרון הרצוי הוא שירות מנוהל, כולל ניטור משאבי תשתיות, BSM וחוויית משתמש, ומענה לצרכים רגולטוריים. יש צורך בבניית מספר מודלים לקבלת השירות: ניטור סביבת לקוח קיימת, ניטור משאבים, אפליקציות ואבטחת המידע של הלקוח מרחוק, ושעות פעילות – כל הזמן, ממומש לפי צרכי הלקוח".

מערכות SIEM – מה לעשות ומה לא לעשות?

אור כהן, המנהל הטכנולוגי הראשי של חטיבת האבטחה בווי-אנקור, דיבר אף הוא על מערכות SIEM, אולם הוא שם דגש על חשיבותן לארגון, ועל מה לעשות ומה לא לעשות איתן.

בתחילה הוא ניתח את השאלה: מה מביא את הארגון להטמיע מערכת SIEM ומה היא מבצעת בארגון? התשובה לכך, אמר, היא "דרישות רגולטוריות, מטריקות, הפקת דו"חות, הפיכת מיליוני או מיליארדי שורות קוד לאירוע בר טיפול, זיהוי מגמות ואנומליות בארגון, ניהול אירועים עד סגירת הטיפול והמעקב, למידת ההיסטוריה והכנת תגובות אוטומטיות לאירועים שהוגדרו".

"ככל שהארגון קטן – רמת הנצילות נמוכה יותר, בגלל מחסור בתקציב, עובדים מיומנים ותהליכי עבודה רלוונטיים. עם זאת, ארגונים רבים בארץ מגיעים לנצילות גבוהה מאוד", אמר.

בהמשך ציין כהן מספר שגיאות נפוצות, לדבריו, בהטמעת SIEM: "אי הגדרה של מטרות ברורות או ריאליות לארגון; אין קשר לניהול הסיכונים הארגוני; אין אחראי על כך בארגון; אין כוח אדם זמין לטובת הנושא; מושם דגש רב מדי על טכנולוגיה על חשבון האנשים והתהליכים; ועבודה ללא בקרים ובקרה עצמית".

הפתרון לכך, ציין, מתחיל בתשובה לשאלה האם מדובר בפרויקט שאינו נגמר. "אם עובדים עם מטרות ברורות לטווחים הקצר והארוך – מדובר בפרויקט שיש לו יעדים ברורים, שאפשר להגיע אליהם. לאחר מכן צריך לבקש את האישור של ההנהלה ואת תמיכתה. בהמשך יש לבחור את המודל המתאים – לבצע את הדברים בארגון עצמו או במיקור-חוץ, בשירות מנוהל, ויש לבצע תיאום ציפיות. צריך לעשות את העבודה בשלבים ברורים, תוך התחשבות בבשלות הארגונית ובכוח האדם הזמין".

כהן אף דיבר על יצירת נהלי תגובה מסודרים לאירועים. "נוהל תגובה מותאם לארגון ולאופי העבודה", אמר. "יש להגדיר רמת חומרה ודחיפות לכל אירוע; לנתב את האירועים השונים מראש ובאופן נכון; להתחשב בקהל היעד וליצור שפה אחידה וברורה; להקים צוות תגובה ארגוני, לא רק של ה-IT; ולבצע הכשרה, תרגול, בקרה ושיפור".