"יש באבטחה יותר מדי כלים, ספקיות ושפות"

"יש בעולם כ-7,000 שפות שאנשים משתמשים בהן. ועדיין, נדרשת שפה משותפת, היברידית, שתגשר בין האנשים, דוגמת השפה האנגלית. כך המצב גם בעולם אבטחת המידע והגנת הסייבר: בין שלל האתגרים והבעיות, האבטחה מתאפיינת בריבוי משימות, ריבוי כלים וספקיות. מה שנדרש הוא לחבר ביניהם", כך אמר ריצ'רד פודלאס, ארכיטקט טכנולוגיות אבטחת למגזר הציבורי ביבמ.

פודלאס דיבר במסגרת כנס InfoSec 22 של אנשים ומחשבים, שנערך שלשום (א') במרכז האירועים והכנסים לאגו בראשון לציון. בכנס השתתפו מאות מקצועני אבטחת מידע והגנת סייבר, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי פודלאס, "האבטחה המסורתית לא יכולה להימשך, כי היא מספקת מענה חלקי לריבוי האיומים והאתגרים". הוא ציין בהקשר זה כמה נתונים: "ב-2021, חמישית ממתקפות הסייבר היו מסוג כופרה; 41% מהן החלו במשלוח פישינג; ובראשונה, באותה השנה גדל היקף המתקפות על חברות פיננסיות. העלות הממוצעת של פריצה עמדה על 401 מיליון דולר".

בין 25 ל-50 מוצרי אבטחה בארגון אחד

"מספר הספקיות ומוצרי אבטחת המידע והגנת הסייבר גדל כל העת", אמר פודלאס. "בממוצע, ארגונים מטמיעים בין 25 ל-50 מוצרי אבטחה שונים, שמגיעים מיותר מ-10 ספקיות אבטחה. בישראל, הנתונים עומדים בממוצע על 40 מוצרי אבטחה בארגון, שבאים מ-15-20 ספקיות אבטחה שונות. מצב זה פוגע ביכולות התפעול של מוצרי האבטחה ובאפשרות לניצול מלא שלהם. הוא פוגם בשליטה ובנראות של מנהלי האבטחה בארגונים, ובסופו של דבר פוגע ביכולת ההגנה שלהם".

"נדרש לחבר את כלל עולמות האבטחה", הוסיף, "ולאגד את הפתרונות עם שפה אחידה ופתוחה. יש ללמד את האנליסטים רק שפה אחת, ולשאוף שב-SOC הארגוני יהיה רק מוצר הגנה אחד".

פודלאס דיבר על מערכת QRadar XDR של יבמ, ש-"הופכת את מרכז תפעול האבטחה בארגון לאוטומטי ומייעלת את תהליכי ההגנה עליו. היא מסייעת לניתוח אבטחה חכם, עם גישה מוכללת לאורך כל מחזור חיי האיומים. המערכת אף מביאה לגילוי של איומים נסתרים ולזיהוי מוקדם שלהם, ומספקת תובנות המניעות לפעולה ולתגובה מהירה אל מול האיומים הקריטיים ביותר, במטרה למזער את השיבושים מאירועי הסייבר".

"המערכת", הסביר הדובר, "מהווה מסגרת עבודה, שמניעה את צוותי העבודה לפעול בצורה מושכלת ומסודרת: עריכת הקשרים, חיקור, תגובה וביצוע מיכון. היא מספקת נראות עם חוכמה, לצד יכולות חיקור וניטור מתקדמות". לדבריו, "בבסיס המערכת נמצא הרעיון שלפיו יש לערוך את כלל החקירות על כלל האיומים ממקום אחד, בעזרת שפה אחת, וכל זאת בלי להזיז את המידע, ובהתאם – להגיב, עם מענה מושכל".

אנשים, תהליכים וטכנולוגיה

פודלאס ציין את המשולש PPT – אנשים (People), תהליכים (Processes) וטכנולוגיה (Technology) – ואמר שהוא מביא איתו כמה אתגרים: "בהיבט התהליכים – אלה לא תמיד נבנים באופן חכם, בהיבט האנושי – קיים מחסור תמידי וגדל של אנשי מקצוע בתחום, ובהיבט הטכנולוגי – יש ריבוי של טכנולוגיות. בעזרת הפתרון שלנו ניתן להוריד את עליות התפעול של האבטחה ולקבל תהליך סדור, המנוהל באופן יעיל, ברמות העסקית והרגולטורית, לרבות יכולת לביצוע פעולות ושינוי שלהן תוך כדי תנועה. אנחנו עושים זאת, בין השאר, עם פלטפורמת Ansible מבית רד האט, שמספקת מעטפת מלאה לכלל השכבות – האבטחתית, הרישות, מערכות ההפעלה והאפליקציות".

הוא דיבר בהמשך על ברית האבטחה הפתוחה OCA (ר"ת Open Cybersecurity Alliance), שיבמ ייסדה יחד עם מק'אפי. "במסגרת זו בנינו שותפויות עם ספקיות אבטחה, כדי לקדם את תפיסת השיתופיות הפתוחה ולמנוע מצבים של 'נעילת' לקוחות ארגוניים", אמר פודלאס. "הברית פועלת תחת הסטנדרטים הפתוחים וקבוצת הקוד הפתוח של הארגון לקידום תקני מידע מובנים – האואזיס. בין היתר, החברות שנמצאות בברית הן קראודסטרייק ופורטינט, והחברות הישראליות סייברארק וסייבריזן. המשימה של OCA היא פשוטה: לערוך אינטגרציה פעם אחת ולעשות בה שימוש חוזר בכל מקום. הברית מתמקדת בהחלפת מידע לאורך כל מחזור חיי האיומים, לרבות ציד איומים, ניטור ומעקב אחריהם, ניתוח, תפעול ותגובות. כשהתחלנו היו בברית 16 חברות, וכיום הנתון עומד על 27".