"הפרדוקס בעולם ההגנה: יותר כלים לא מבטיחים יותר אבטחה"

"מספר אירועי הסייבר הולך וגדל, הן בהיקף, והן ברמת התחכום של המתקפות. באופן טבעי, ארגונים מטמיעים עוד ועוד כלי אבטחת מידע והגנת הסייבר. אלא שפה טמון הפרדוקס: העובדה שמערך אבטחה בארגון מטמיע עוד כלי הגנה, לא מבטיחה לארגון שהוא יהיה מוגן יותר. מה שנדרש הוא למצות את יכולות האבטחה מהכלים הקיימים", כך אמר שי עוזרי, מנהל מכירות פתרונות סייבר, NessPRO.

עוזרי דיבר בכנס Cyber for C-Level 2018, אותו ערכה NessPRO, חטיבת מוצרי התוכנה של נס. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ב'), באולם האירועים East בתל אביב, בהשתתפות יותר ממאה מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה דוד ביסמוט, מנהל תחום שו"ב וסייבר ב-NessPRO.

לדברי עוזרי, "ריבוי האירועים ובעקבותיהם, הטמעת כלי אבטחה נוספים, יוצרים סרבול ומקשים על הניהול שלהם. זה דורש ממקצועני האבטחה בארגון עוד יכולות, עוד התמחויות, וכן לעבור מקונסולה אחת לשנייה. בנוסף, זה מביא לכך שחלק מהעבודה נעשה באופן ידני, מקשה על חיבור כלל הנקודות באירוע, ומקשה על הבנה כוללת של מצב האבטחה וראייה של מכלול אירוע אבטחת המידע".

אתגר נוסף, ציין עוזרי, "הוא התגובה לאירוע: חלק מהארגונים לא פיתחו נהלי תגובה לאירוע אבטחה, חלקם עשו זאת, אולם מדובר בפיסת נייד שמאופסנת בקלסר כלשהו, ואיש אינו יודע היכן היא".

מערך סייבר אופטימלי יאפשר טיפול בפי 5 אירועים

"דמיינו לכם", אמר עוזרי, "מערך סייבר בארגון אשר עובד בצורה אופטימלית. הכל עובד, והכל נעשה בצורה אוטומטית וסדורה. מצב אידיאלי זה היה מוביל לכך שאנשי האבטחה בארגון היו מסוגלים לטפל בכמות גדולה פי 5 של אירועי סייבר מאשר כיום – ולעשות זאת בלא תוספת כלי אבטחה ובלא תוספת כוח אדם מקצועי".

מצב זה, אמר עוזרי, "יכול להיות מציאות ארגונית, אם מממשים תפיסת אבטחה כוללת, עם מיקוד בתחומי ה-SOAR (ר"ת Security Orchestration, Automation and Response) – מיכון אירועי האבטחה, תזמור הכלים ובניית תגובה. בדרך זו ארגונים יכולים להגן על עצמם בצורה טובה יותר".

האתגרים של מנהלי האבטחה בארגונים, אמר עוזרי, "הם ריבוי כלים, חוסר יכולת לנהל אותם בצורה פשוטה, העדר נראות, ריבוי אירועי הסייבר, עבודה ידנית, קושי להבנה כוללת של האירוע".

"מערך הגנת סייבר ארגוני מנצח", אמר עוזרי, "הוא כזה שיעשה שימוש מיטבי בכלים הקיימים. התזמור יסייע לאנשי האבטחה לקבוע מה יש לעשות, ובאיזה סדר לתעדף את הפעולות. לצד התזמור, יש מיכון – היכולת 'ללמד' את הכלים לעבוד יחד, באופן ממוקד. המטרה היא להעשיר את המידע המגיע מהמערכות והכלים הנוספים – מעבר להתראה – בטרם הפעלת התגובה".

"מימוש תפיסת ה-SOAR יסייע לארגונים"  

"יש לנו מעבדת סייבר", ציין עוזרי, "בה אנחנו עושים שימוש על מנת לחקור אירועי סייבר, להבין לעומק תהליכי תקיפה ובהתאם – להעניק פתרונות הגנה. המעבדה מהווה עבורנו גם כלי עבודה לבדיקתן של טכנולוגיות הגנה וליישומן במערכות IT ארגוניות".

"אנו מאמינים", סיכם עוזרי, "כי מימוש תפיסת ה-SOAR תסייע לארגונים בהתמודדות עם אתגרי אבטחת המידע והגנת הסייבר. שיטפון האירועים לא מאפשר להתמודד עימם באופן ידני. אנו בוחרים בטכנולוגיות המסייעות לקחת את אותן יכולות הגנה נפרדות – ולחברן יחד, לכדי תהליך אחד, בו כל הכלים עובדים כפתרון אחד, עם בניית תגובה מקצה לקצה בארגון, עם ניקוי הרעשים הלבנים המפריעים באיתור הבעיות האמיתיות. אנו מעניקים את ארגז הכלים המשוכלל, כדי לענות על אתגר הגנת הסייבר, שהפך להיות חלק משגרת חיינו ומחיי הארגון. הגישה שלנו לתזמור כלי אבטחת המידע, מניבה חיסכון בזמן, כסף ומשאבים".