- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

"ה-IT יהיה מאובטח ויעיל יותר עם אנליטיקה של שכבות"

"ל-IT יש משימה אחת: לבנות ולהוציא שירותים מאובטחים ובעלות הגיונית, שיתמכו בביזנס הארגוני. אם אנשי ה-IT לא עושים את זה – אין משמעות למה שהם עושים, אין סיבה לקיומם בארגון. אם הם מבצעים את זה לא טוב – הארגון מוציא את הפעילות הזו למיקור-חוץ או סוגר אותה כליל, מה שייצור כאוס. אחת הדרכים לעשות זאת טוב יותר היא באמצעות אנליטיקה של שכבות", כך אמר מייקל מיצ'לזק, מנהל מוצר ארקסייט (ArcSight) מבית מיקרו פוקוס.

מיצ'לזק דיבר באירוע של החברה שנערך אתמול (א') במשרדיה ביהוד ובו הוצגו ההתפתחויות במוצר הוותיק בפני נציגי לקוחותיה. הוא אמר כי "ה-SIEM (ניהול אירועי אבטחת מידע – י"ה) קיים רק מסיבה אחת: לקחת את הנתונים מכל השכבות של ההגנה בניסיון לסנתז אותם למידע בעל משמעות ושניתן לבצע עליו אנליטיקה, כדי להגיב לאיומים בצורה טובה יותר".

[1]

צילום ועריכת וידיאו: ליאור רובינשטיין

"ארקסייט זה לא רק ESM"

כפיר הומרי, מנהל הפריסייל בישראל למוצרי האבטחה של מיקרו פוקוס, אמר כי "בניגוד למה שרבים בתעשייה חושבים, ארקסייט זה לא רק ESM (ניהול האבטחה הארגונית – י"ה), אלא מספר מוצרים שמטרתם לספק פתרון לכל לקוח".

הוא ציין כי הארקסייט מסתייע בחלוקה לשכבות לביצוע ההגנה: למטה נמצאים מערכות ומשתמשי הקצה; מעליהם השכבה של ניהול המידע, העשרתו והנורמליזציה שלו; ומרכז ניהול והאב של העברת המידע. בהקשר זה הוא אמר כי "אפליקציית ההעברה שכלולה במוצר יודעת לנתב את המידע להיכן שמחליטים. בנוסף, במקרים של השבתה, הארקסייט צובר את המידע עד 72 שעות וברגע שהמערכת חוזרת לאוויר – הוא משלים את המידע שחסר".

מעל לזה יש את ה-ESM עצמו, שמספק ניטור והגנה על המידע 24/7; ולוגר – מוצר ללקוחות שרוצים לחקור את המידע, את הלוגים, שיכול ליצור דו"ח בתוך כמה שניות, על בסיס מידע שנצבר, במקרה הצורך, לאורך הרבה מאוד זמן.

עוד שכבה היא Investigate, שכשמה, מאפשרת "ציד" של מידע רב (ביג דטה) וחקירה שלו. בשכבה העליונה, אמר, נמצא פתרון ה-UEBA של אינטרסט – חברה שמיקרו פוקוס רכשה לפני מספר חודשים. הומרי הסביר כי הפתרון מבוסס על לימודי מכונה משני סוגים – מפוקחים (Supervised) ולא מפוקחים (Unsupervised). "בלימודי מכונה לא מפוקחים", אמר הומרי, "הכוונה היא לכך שאני לא מלמד אותה שום דבר, היא 'רצה' על המידע עם השיטות שיש לה ויודעת למצוא את האנומליות במשתמשים, מכונות, כתובות IP וקבצים שהיא סורקת. היא מריצה מאות אנומליות שכל אחת מהן מתורגמת לסיכון, והסיכונים מוצגים בזמן אמת, כשהמסוכנות נמדדת בציון שבין 0 ל-100".

כפיר הומרי, מנהל הפריסייל בישראל למוצרי האבטחה של מיקרו פוקוס. צילום: ניב קנטור

כפיר הומרי, מנהל הפריסייל בישראל למוצרי האבטחה של מיקרו פוקוס. צילום: ניב קנטור

מפת הדרכים של ארקסייט

מיצ'לזק הציג בדבריו את מפת הדרכים של ארקסייט ל-18-22 החודשים הבאים. "במובנים מסוימים, המוצר הזה איבד את הפוקוס שלו, ואנחנו עושים לו פיקוס מחדש", אמר. הוא ציין כי "החזון שלנו הוא לספק את פלטפורמת אנליטיקת השכבות הראשונה ולבנות מחדש את ארקסייט כמוצר שכל האחרים ילכו לאורו".

מפת הדרכים כוללת מה שמיצ'לזק מכנה ארבעה "סלים": יותר פשטות, אינטליגנציה, פתיחות ו-Converge. לדבריו, "אנחנו מביאים ליותר פשטות באמצעות הורדה של ה-Deployment, אפשור של פרישת הפתרון באון פרימס, כפתרון היברידי וכתוכנה כשירות (SaaS), הורדת הנטל שבכמות הידע (Knowledge Burden), ושיפור ממשק המשתמש וחוויית המשתמש הכוללת, שהם בין הדברים החשובים ביותר בזמן האחרון, והם הולכים ותופשים יותר ויותר חשיבות".

מיצ'לזק נשאל על אסטרטגיית הענן של מיקרו פוקוס. הוא ציין שארקסייט רץ על העננים של AWS ו-Azure של מיקרוסופט, מנטר ואוסף את המידע מהפלטפורמה ומגן עליה. עם זאת, הוא ציין ש-"ארקסייט לא יעבור למודל של ענן מלא. תמיד יהיה לנו און פרמיס, כי יש לנו הרבה לקוחות שלא יכולים לחלום על לשים משהו בענן, ואנחנו לא נשכנע אותם לעשות זאת".

הוא נשאל גם לגבי ARCMC – מרכז הניהול של ארקסייט – ואמר כי הוא "אחת התשתיות הקריטיות שעליהן בנוי המוצר, וזה ילך ויעמיק. ה-ARCMC יהפוך להרבה יותר חשוב ממה שהיה".