איך יכולים ארגונים להתמודד עם עייפות התרעות?
על רקע עלייה במתקפות כופרה וסייבר אשר חלה בעקבות המלחמה נגד ארגונים בישראל - כיצד ניתן להתמודד עם הזרם המתמיד של התרעות על איומים פוטנציאליים? נדרשת גישה הוליסטית
דו"ח של מערך הסייבר הלאומי שפורסם לאחרונה מתריע מפני עלייה בתקיפות הסייבר כנגד ארגונים במרחב הסייבר הישראלי. "במהלך המלחמה נראה שדרוג משמעותי בפעילות התקיפה, לאורך זמן ובאופן הדרגתי", צוין בדו"ח, שהצביע על עלייה בשכיחות מקרי הכופרה בארץ. "הבחירה בכופרה ככלי התקפי אינה מפתיעה, ואף טבעית בעת הזו, בה לוחמת התודעה היא נדבך משמעותי במערכה", נאמר בדו"ח, שכותביו הוסיפו וציינו כי "אפקט ההרתעה והכאוס שמתחולל לאחר מתקפת כופרה משיג את יעדיו. מדובר בנוזקות פשוטות לתפעול, נגישות למשתמש הממוצע, ולא מצריכות ידע טכנולוגי רב למימושן".
מנהלי מערכת IT עלולים להיות מופגזים בהתרעות לגבי בעיות שרתים, מה שמקשה על סדר עדיפויות ולטפל בבעיות הדחופות ביותר. כך, פערי אבטחה קריטיים עלולים בטעות לחמוק, ולאפשר לתוקפים הזדמנות לנצל נקודות תורפה למטרות זדוניות
באמצעות הכנסת קוד זדוני (Malicious code), התוקפים מנסים להשיג גישה לא מורשית למערכת מחשב או לרשת. פעולות כאלו יכולות להתבצע דרך הפצת אימיילים פוגעניים, הורדת תוכנה זדונית (Malware), שימוש בפרצות תוכנה, או על ידי פגיעה במערכות שאינן מתוקנות באופן הולם. אלה יכולים לסלול לתוקפים את הדרך למתקפת כופר הרסנית.
מהי עייפות התרעות?
אחת התוצאות האפשריות של עלייה בתקיפות סייבר היא עייפות התרעות (Alert Fatigue) – מצב בו הרגישות להתרעות והתגובות להן מתרופפות, בגלל קבלת מספר גדול מדי של התרעות. הנפח העצום של ההתרעות מהווה אתגר משמעותי עבור אנשי אבטחת הסייבר, שנאלצים להבחין בין נקודות תורפה קריטיות שעלולות לסכן את הארגון, לבין אוקיינוס של נושאים פחות אקוטיים. אנליסטים בתחום אבטחת הסייבר יכולים לקבל זרם מתמיד של התרעות על איומים פוטנציאליים, מה שיוביל אותם להתעלם מהתקפות אמיתיות.
קחו לדוגמה סביבת בית חולים, בה הצפצופים וההתרעות התמידיים ממכשירי הרפואה הופכים לחלק בלתי נפרד מהיומיום. בהתחלה הצוות הרפואי מגיב מיד לכל התרעה, אך ככל שהן ממשיכות ולא נעצרות, מתפתחת המודעות לשגיאות בזרם ההתרעות הבלתי פוסק, דבר שעלול להוביל לחוסר רגישות ואף לאסון. תרחיש דומה מאפיין את האתגר שניצב כיום בפני צוותי ה-IT ואבטחת הסייבר, העסוקים בזרם אינסופי של התרעות פוטנציאליות על פגיעות מגוונות, בעידן המתפתח של אבטחת המידע והסייבר. מנהלי מערכת IT עלולים להיות מופגזים בהתרעות לגבי בעיות שרתים, מה שמקשה על סדר עדיפויות ולטפל בבעיות הדחופות ביותר. כך, פערי אבטחה קריטיים עלולים בטעות לחמוק, ולאפשר לתוקפים הזדמנות לנצל נקודות תורפה למטרות זדוניות.
הרגישות להתרעות והתגובות להן מתרופפות. עייפות התרעות (Alert Fatigue). צילום: אילוסטרציה. שאטרסטוק
ב-2021, למשל, קולוניאל פייפליין (Colonial Pipeline), חברת הזיקוק הגדולה בארה"ב, עצרה את כל הפעילות שלה לאחר שנפלה קורבן להתקפת סייבר. מתקפה זו הדגישה נקודות תורפה קריטיות הנובעות מתוכנה מיושנת וחולשות של מערכת IT ללא תיקון.
בתוך שלל התרעות אבטחה, החברה התמודדה עם עייפות ההתרעות ולא הצליחה לתעדף את האיומים הדחופים ביותר. התוקפים חדרו לרשת הבקרה שלה והשביתו את מערכות ההפעלה באמצעות תוכנה זדונית ששיתקה את צינור הדלק הגדול ביותר בארה"ב למשך ימים.
מתקפת הסייבר הזו הביאה להפסדים כספיים אדירים, שעלו לקולוניאל פייפליין מיליונים בתשלום כופר, ולהפרעה נרחבת בשרשרת אספקת הדלק.
בינה מלאכותית יכולה לשפר משמעותית את מערכת ההתרעות
כיצד אם כך ניתן למזער את עייפות ההתרעה בקרב ארגונים ולסייע בזיהוי יעיל של איומים הנובעים מקוד זדוני? כלי בינה מלאכותית יכולים לשפר משמעותית את מערכת ההתרעות, זאת על ידי למידת דפוסים מנתונים היסטוריים, הבחנה בין איומים משמעותיים להתרעות שאינן חשובות, והפחתת מספר ההתרעות הלא חיוניות.
השימוש בבינה מלאכותית יכול לאפשר אוטומציה של משימות רגילות, מה שמאפשר לצוותי האבטחה להתמקד בניתוח וטיפול יעיל באיומים אמיתיים. בנוסף, אלגוריתמי למידת מכונה (ML) מצטיינים בזיהוי וסיווג דפוסים זדוניים בתוך קוד או תעבורת רשת. הם יכולים ללמוד ללא הרף מנתונים חדשים, להתעדכן באיומים המתעוררים ולזהות במדויק פעילויות חשודות שעלולות להיעלם ממערכות מסורתיות מבוססות כללים. מודלים של ML יכולים לזהות חריגות, לזהות התנהגות תוכנות זדוניות ולספק תגובות בזמן אמת, כדי להפחית סיכונים פוטנציאליים.
כמו כן, חשוב למנף כלי אבטחה של מידע וניהול אירועים (SIEM), המאפשרים תעדוף התרעות המבוססות על חומרה והקשר, מה שמאפשר לאנליסטים לאפס נקודות תורפה קריטיות במהירות.
אמצעי פרואקטיבי נוסף הוא בדיקות חדירה שמדמות התקפות בעולם האמיתי ומסייעות לזהות נקודות תורפה לפני שיריבים מנצלים אותן, תוך חיזוק הגנות מפני הפרות פוטנציאליות.
בנוסף, חשוב להגביר את המודעות בקרב העובדים והעובדות בארגון לאבטחת סייבר, ולהכשיר אותם להבחין בניסיונות דיוג, קישורים חשודים וטקטיקות הנדסה חברתית, המשמשות להפצת קוד זדוני ומחזקות את האלמנט האנושי של ההגנה.
לסיכום, אבטחת סייבר משתרעת הרבה מעבר לתחום של חיזוק התשתית הטכנולוגית. היא פועלת על בסיס רב-גוני של מודעות מוגברת, תעדוף קפדני ואמצעים יזומים. גישה הוליסטית זו מכירה בכך שאבטחת סייבר יעילה אינה נוגעת רק לפריסת כלי האבטחה או הטכנולוגיות העדכניות ביותר; היא כרוכה בהבנה מעמיקה יותר של האיזון העדין בין אלמנטים שונים כמו עייפות התרעה, פגיעויות, והאיום הממשמש ובא של קוד זדוני.
המסע לעבר אבטחה עמידה הוא מאמץ מתמשך ותמידי, הדורש מחויבות וערנות מתמשכים, נכונות להסתגלות מהירה לאיומים, אימוץ מתודולוגיות חדשות, ועמדה פרואקטיבית. גישה פרואקטיבית זו אינה תגובתית אלא מקדימה, במטרה לצמצם סיכונים, ולהגיב לפני ולא לאחר התרחשות תקרית.
ארגונים חייבים לפתח ללא הרף את האסטרטגיות שלהם, להישאר מעודכנים לגבי איומים מתעוררים, ולטפח תרבות של תודעת אבטחה בכל פן של פעילותם, על מנת לשמור על המידע והנתונים ועל פעילות תקינה.
ארגונים ישיגו יתרון מכריע מול תוקפים אם הם יבצעו השקעות מושכלות ואסטרטגיות באמצעי אבטחה. לא מדובר בצבירת כלים בלבד, אלא בהשקעה נבונה בכלים הנכונים, בטיפוח תוכניות הכשרה מקיפות וקבלת החלטות קריטיות המחזקות את ההגנות מפני נוף האיומים המתפתח כל הזמן.
הכותב הוא מהנדס פריסייל בחטיבת אבטחת מידע וסייבר של בינת תקשורת מחשבים
תגובות
(0)