אלי בניטה, ווי-אנקור: "היעילות של מרכזי SOC בארץ – נמוכה"

"הורדת כמות ההתראות שמקבל הבקר האנושי תשפר את פעילות ה-SOC", אמר בניטה, ראש צוות ומנהל פרויקטים בחברה

אלי בניטה, ראש צוות ומנהל פרויקטים בווי-אנקור

"היעילות של מרכזי SOC (מרכזי בקרה לאבטחת מידע) רבים בארץ נמוכה. זאת, מאחר שנכנסת לבקרים כמות התראות גדולה מאוד והם לא מגיעים לטפל בכולם; פרוצדורה ארוכה ומורכבת עבור כל סוג של אירוע; וחוסר אחידות באופן הטיפול באירוע על ידי הבקרים השונים. הורדת כמות ההתראות שמקבל הבקר תשפר את פעילות ה-SOC", כך אמר אלי בניטה, ראש צוות ומנהל פרויקטים בווי-אנקור.

בניטה דיבר במסלול הפתרונות הטכנולוגיים שנערך כחלק מכנס InfoSec 2016. הכנס התקיים באחרונה, בהפקת אנשים ומחשבים, באולם האירועים LAGO בראשון לציון.

הוא ציין בדבריו כי "SOC מבוסס על שיתוף פעולה הדוק בין שני גורמים – מערכת האבטחה הממוחשבת והבקרים האנושיים. אלה מהווים צוואר בקבוק בנקודת הכניסה של האירועים ובטיפול בהם".

לדבריו, "טיפול באירוע בודד יכול להתארך ועלול לגרום לאובדן זמן יקר, שיכול היה ללכת לטיפול באירועים אחרים, חשובים יותר. יש גם מצבים בהם יש לצוות יכולת תגובה מוגבלת לאירועים".

"התראות ניתן לייצר ללא הגבלה והשאיפה היא לטפל בכמה שיותר מהן", אמר בניטה. "הגדלת כמות ההתראות מעבר לקיבולת הנוכחית מצדיקה בקשה להגדלת מצבת כוח האדם או, לחילופין, בהינתן כוח אדם קיים יש להקטין את זמן הטיפול באירוע על מנת להגדיל את כמות האירועים המטופלים".

"הדרך לעשות זאת היא באמצעות הורדת כמות ההתראות, טיפול ישיר של בעלי עניין בהתראה ודילוג שלב הבקר, הצגת מידע רב ככל האפשר", ציין.

גיל פרי, מנהל ערוצים בצ'ק פוינט. צילום: קובי קנטור

גיל פרי, מנהל ערוצים בצ'ק פוינט. צילום: קובי קנטור

עוד הוא אמר כי "הורדת כמות ההתראות מאפשרת את התאמת הכמות שלהן לכוח האדם הקיים. ניתן להגיע להורדה משמעותית במספר ההתראות באמצעות העלאת הסף, טיוב תמידי של הרשימה הלבנה והימנעות שליחת 'התראות הכנה' להתראות משמעותית. המבחן לכך הוא פשוט: האם זו התראה שמטפלים בה באופן מיידי או מתעלמים ממנה ברגע שהיא מגיעה?"

חדש מצ'ק פוינט

גיל פרי, מנהל ערוצים בצ'ק פוינט (Check Point), תיאר את סל הפתרונות החדשים של החברה נגד מתקפות מתקדמות. הוא ציין ש-"מדובר במתקפות כגון תוכנות כופר, שהן משפחה של מתקפות שנעשות על ידי בוטים. אלה קבצים לכאורה תמימים שמכילים בתוכם קוד עוין".

"יש מנגנונים נגד מתקפות רובוטים", אמר פרי. "הנפוץ שבהם הוא ארגז חול, שפותח את הקובץ ובודק מה הוא עושה במכונה וירטואלית המנותקת מהמערכת העיקרית של הארגון. התוכנה מנתחת אילו פעולות הקובץ מבקש לעשות ואז מחליטה אם לאפשר לו לעבור או לא".

אולם, לדבריו, "מדובר בפתרון בעייתי, עקב המשאבים הרבים שנדרשים להפעלת ארגז החול".

הוא ציין כי "צ'ק פוינט רכשה את HyperWise, שפיתחה פתרונות שמנצלים את האפשרות שאינטל (Intel) מספקת לבצע Debuging ברמת המעבד, והטמיעה אותם בתוך המנגנון שלה. המערכת גם יכולה לשמש כפתרון לתחנות קצה, למשל להגנה על מחשבי העובדים כאשר הם עובדים מבתי קפה או מחו"ל".

"ולא רק מחשבים", אמר פרי. "כמעט כולם, בפרט משתמשים ארגוניים, קוראים מיילים בטלפונים החכמים, החשופים לפגיעויות ואף להשתלטויות באמצעות הרשת, האפליקציות ומערכת ההפעלה. המערכת החדשה עונה גם לסוגיה זו".

פרי הפתיע בציינו כי מכשירי ה-iPhone פגיעים פי שלושה ממכשירי האנדרואיד (Android).

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים