אוטומציה של אבטחת מידע בארגונים: יתרונות וחסרונות

אין עוררין על כך שאוטומציה של מערכות מתוחכמות – לרבות אבטחת סייבר – מהווה את הבסיס לדור הבא של מערכות דיגיטליות. ככל שמערכות ה-IT הופכות מורכבות יותר והאיומים נרחבים יותר, כך אתגר ההתמודדות של צוותי ה-IT הופך לקשה יותר עקב עודף מידע, ריבוי פרמטרים, וגידול במספר האיומים שנדרש לעקוב אחריהם. מנתוני מחקר שנערך לאחרונה על ידי חברת המחקר Vanson Bourne בקרב 1,000 מקצוענים ובכירי IT ממגזרים שונים בעולם עולה, כי 90% מבכירי ה-IT בישראל אשר נשאלו רואים באוטומציה המבוססת על בינה מלאכותית (AI) ולמידת מכונה חלק חיוני ויעיל לעתיד הדיגיטלי של הארגונים.

ואוטומציה אכן עובדת. מחקר שנערך באוניברסיטת Carnegie Mellon בארה"ב לפני כמה שנים הראה, כי מערכות ניתוח ביג דטה אוטומטיות חזו ברמת דיוק של 66% לאילו אתרי אינטרנט סיכוי גבוה להיפרץ על ידי האקרים בעתיד, בהתבסס על מספר רב של מאפייני שרתים (סוג תוכנה, מילות מפתח וכו'). עם זאת, על פי מיקרוסופט, "ישנה הערכה כי פריצות למאגרי מידע יכולות לעלות 12-17 מיליון דולר לתקרית, דבר הכרוך בנזק תפעולי רב ובפגיעה ביעילות". אבטחת מידע אוטומטית מהווה כלי חיוני למניעת נזקים אלו, וכפי שהגדירה החברה: "יכולות המבוססות על בינה מלאכותית אוטומטית הופכות את התגובה וההתאוששות מהתקפה למהירות ויעילות יותר". המחקר של Vanson Bourne תומך בגישה זו והראה בנוסף, כי 100% מבכירי ה-IT הישראלים שנשאלו הודו, שהיה עליהם להשקיע כסף בטיפול בפריצות אבטחה לרשת ב-12 החודשים האחרונים.

רבים רואים באוטומציה דרך לשפר יעילות ארגונית (על ידי צמצום פעולות ידניות ושגיאות, לצד חיסכון בכסף וזירוז משימות שגרתיות אך חשובות), אך האמת היא, שהאוטומציה פועלת בצורה הטובה ביותר כאשר היא מופעלת בשילוב עם אנשי צוות מאומנים, המסוגלים להבין את הנתונים שנוצרים על ידי המערכות האוטומטיות.

ואכן, אוטומציה אינה תמיד הפתרון הטוב ביותר לכלל בעיות האבטחה. מערכות אבטחה אוטומטיות מבוססות על אלגוריתמי למידת מכונות AI, ומספקות תוצאות מדויקות יותר כאשר יש להן יותר נתונים לניתוח. אך ייתכן שמערכות אנליטיות מבוססות AI אינן יעילות באותה מידה כאשר האקרים מבצעים התקפות תוך שימוש בווקטורים ובשיטות תקיפה חדשות, שלא נלמדו על ידי המערכות בעבר. דאגו לבחור מערכת חכמה דיה ולשלב אלגוריתמי ML מרובים, אשר נועדו לחפש דפוסים שונים (המוגדרים על ידי אינדיקטורים שונים להתקפה). באופן זה, ניתן לאחד מגוון של מקורות ונתונים (כולל כאלה המבוססים על אינטואיציה אנושית) כדי ליצור את ההקשר העשיר הדרוש לזיהוי יעיל של איומים.

מתוך הפרסומים של סוכנות אבטחת הסייבר והתשתיות (CISA) וה-FBI עולה, כי אותן פגיעויוץ בתוכנה מופיעות שנה אחר שנה. נראה כי למרות פעולות האבטחה והמניעה שמתבצעות בכל פעם שמתגלה חולשה, לצד ריבוי מערכות ההגנה, האקרים עדיין מצליחים להערים על מערכות האבטחה. למעשה, פושעי רשת הם מהמשתמשים הכבדים של AI אוטומטי, וזהו אחד הכלים הטובים ביותר שיש להם כדי לגלות חולשות במערכות המטרה.

כאמור, מניעת התקפות הינה אתגר בעדיפות גבוהה עבור צוותי ה-IT, אשר לא יוכלו לבצע את המשימה לבדם. לרשות פושעי הרשת פרצות רבות שהם יכולים לתקוף – וכל הדרוש זו טעות אחת של צוותי ה-IT בתפעול או בהגדרת המערכות, שתאפשר להם להשיג את מטרתם. בנוסף, האקרים עלולים לנצל את מנגנוני ההגנה מבוססי AI כדי להערים על מערכות האבטחה, כך שגם אותן מערכות שאנשי האבטחה סומכים עליהן במקרה של בעיה יכולות להיות תחת מתקפה.

הגישה ההיברידית

לכן, מכונות לבדן לא יכולות להיות 100% אפקטיביות בהגנה על המערכות – אך גם בני האדם לא יכולים לבצע את המשימות לבדם. הדרך הטובה ביותר להתמודד עם אבטחת מידע אוטומטית היא בגישה היברידית – צוות ניהול אנושי, השולט במערכות אבטחת המידע האוטומטיות ומוודא שהן עושות עבודה טובה בהגנה על המערכת.

מערכות אוטומטיות יכולות לכלול AI ולמידת מכונה הפועלות להגנתן, אך לא תהיה להן אינטואיציה אנושית – יכולת בעלת ערך חיוני ברגעי התקפה מתוחכמת, המשתמשת בחולשות 0-day. לדוגמה, צוותי אבטחת המידע יכולים לזהות תבנית בדפוסי הדו"חות של המערכות האוטומטיות על בסיס תחושת "דז'ה וו", או דפוסי התנהגות שהם מזהים מתקיפות קודמות. מכיוון שחריגות כאלו יהיו חדשות למערכת האוטומטית, זו עלולה להחמיץ את ההתקפה, בעוד אנליסט אבטחה מיומן יזהה זאת.

מיזוג מערכות אוטומטיות עם צוותים אנושיים גם יקל על החשש של עובדי ה-IT הדואגים שהם עצמם יוחלפו במכונות. מערכות אוטומטיות הנשלטות ומכוונות על ידי צוותי IT יוכלו לבצע את פעולתן בצורה הטובה ביותר – לעבד נתונים ולהתריע בפני מומחי אבטחה כי יש צורך בפעולה מיידית.

צוות אוטומטי-אנושי היברידי יכול להועיל לארגון בכך שהוא מבטיח שצוותי ה-IT ירכזו מאמץ בסוגיות האבטחה ברמה הגבוהה יותר, שמולן הם יכולים להתמודד בהצלחה רבה יותר מאשר מערכת אוטומטית, שמותאמת יותר לעיבוד כמויות נתונים ענקיות והבלטת הדפוסים שיכולים להצביע על איום. למעשה, על פי סקר Ponemon, מספר גדל והולך של מנהלים סבורים כי אוטומציה אינה כשירה למשימות מסוימות הנעשות על ידי אנשי אבטחת ה-IT, ויותר ממחציתם אומרים, כי אוטומציה לעולם לא תחליף את האינטואיציה והניסיון הטכנולוגי האנושי.

כמו בכל כך הרבה דברים אחרים, גם התשובה לשאלה "האם אוטומציה של אבטחה טובה או רעה?" אינה שחור או לבן. ללא אוטומציה, צוותי אבטחת ה-IT יהיו מוצפים ועמוסים, וכמעט מובטח שיחמיצו פיסת מידע או זיהוי התקפה חשוב, שעלול לעלות לחברה שלהם מיליונים. אך אוטומציה אינה תרופת פלא, ויש לה חסרונות ויתרונות כאחד. לפיכך ארגונים צריכים לפתח בזהירות מדיניות, שתבטיח את הפקת המיטב מכל משאבי האבטחה שלהם – בין אם אנושיים או מבוססי AI.

הכותב הוא מנכ"ל ג'וניפר נטוורקס בישראל.