מה צריך המנמ"ר לעשות כדי להתגונן מפני איומי הסייבר?

כדי להתמודד עם אתגר איום הסייבר המשתכלל ומתחדש, המנמ"ר ביחד עם אנשי המקצוע הרלוונטיים בארגון צריכים להבין כי יש לבצע מספר פעולות בסיסית.

ראשית יש לחלק את מפת האיומים לשלושה סוגים עיקריים:

● איומים ידועים – התקפות, וירוסים, נוזקות, כופרות שכבר נראו במרחב הסייבר, וכבר יש עבורן חתימות והגנות למרבית היצרנים בתחום.
● איומים לא ידועים שטרם נראו במרחב הסייבר – אין עבורן חתימות והגנות לאף יצרן, והן יהיו ברוב המקרים חלק מ-Targeted Attacks.
● התקפות שכבר התחילו ועדיין לא אותרו על ידי הארגון – האיומים האלו הם בגדר התקפה ממוקדת שהתחילה ועדיין אין לארגון אינדיקציה לגביה.

נושא אחר שיש לשים אליו לב, הוא  שמספר הממשקים שדרכם ניתן לתקשר עם הארגון הוא הרבה יותר גדול מאשר בעבר, וזה מרחיב את תחום האיומים שהארגון חשוף אליו.

בעבר הארגון חולק לאזור של שרתים, אזור של משתמשים, אזור מפורז ומה שמחוץ לארגון ומערכות האבטחה יושמו כחיץ בין האזורים השונים. היום המצב שונה לגמרי, משטח התקיפה הפך לרב-אזורים ורב-מימדים.

אז מה המנמ"ר אמור לעשות?

היום המשתמשים מביאים את הממשקים וההתקנים, והם עובדים מכל מקום בעולם. מעבר לכך יש לנו וירטואליזציה בחוות השרתים, ספקי תשתית בענן ושירותי תוכנה כשירות בענן שמרחיבים את ה-IT של הארגון לממדים חדשים. תוסיפו לזה את האינטנרט של הדברים, ומכאן המצב רק מסתבך יותר ויותר. כל התקן כזה מתחבר לרשת ויכול לשמש תוקפים כתשתית להדבקה של הארגון, ומאוד קשה לאבטח את ההתקנים האלו.

נושא אחר שצריך לשים אליו לב, הוא ריבוי התראות שנובעות ממערכות התראה שמוצבות בארגונים.הארגון מוצא את עצמו מתמודד עם כמות בלתי מתקבלת על הדעת של התראות.

המציאות המורכבת היום מכתיבה צורך גדל במומחים בעלי ידע מולטי-דיציפלינרי ברמה גבוהה בתשתיות מגוונות. זה אולי האתגר הקשה ביותר – לאתר ולשמר את האנשים הטובים, שבזמן אירוע אמת יבינו מה קורה, ולא יפספסו את התראת הזהב מתוך אלפי התראות.

אז מה המנמ"ר אמור לעשות? על המנמ"ר לשאול את עצמו האם חשוב לתת לארגון שלו את האפשרות להתמודד עם התקפות ממוקדות, Targeted attacks.

זו שאלה די רטורית, אבל אם התשובה היא כן, המנמ"ר צריך להבין שאבטחה צריכה להיות קונסיסטנטית. האמירה הזו מחייבת ביצוע של הערכת מצב של תשתיות הארגון בכלל ותשתיות האבטחה בפרט, הבנת הפערים (ויהיו פערים) ובניית תכנית לסגירת הפער במהירות האפשרית.

ללא התערבות אדם

פאלו אלטו גדלה בקצב של עשרות אחוזים. היא מציעה פלטפורמה לאבטחת ארגונים שנבנתה מהיסוד כפלטפורמה. אנחנו נותנים מענה להגנת סייבר ברשת, בתחנות הקצה, בעולם השרתים והווירטואליזציה ובענן. על ידי כך מאפשרים למשתמשים להשתמש באופן בטוח ביישומים בכל מימדי הרשת, על כל התעבורה ומכל התקן.

החלק המשמעותי הוא החיבור בין העולמות השונים; הרשת, המחשב והענן והיכולת של הפלטפורמה להתאים את עצמה לאיומים חדשים באופן אוטומטי.

ברגע שהמערכת מזהה באחד האזורים קובץ לא ידוע, היא מתחקרת אותו – ואם היא מוצאת אותו כפגען, היא מגדירה את כל החלקים האחרים שלה (וגם את הלקוחות האחרים שלנו בעולם) באופן אוטומטי ללא התערבות אדם.

כך אנחנו עוזרים לארגון להתמודד עם האיומים הידועים וגם עם הלא-ידועים, לצמצם את משטח התקיפה למינימום כזה שיהפוך את ההתקפה ללא משתלמת לתוקפים ואת המרדף אחרי ההתראות לפשוט יותר בזכות יכולות האוטומציה שלה.

הכותב הינו מנהל מכירות בפאלו אלטו נטוורקס (Palo Alto Networks)