הקאמבק של הפלטפורמה האחודה לניהול אירועי סייבר

פעם, לפני יותר משני עשורים, כשהמילה "סייבר" הייתה בחיתוליה וההתקפות נקשרו בדרך כלל לצעיר שאפתן שניסה להחדיר וירוסים לא מתוחכמים במיוחד (בטח בהשוואה למה שקורה כיום), הדיבור בשוק הארגוני היה שקיים צורך בפלטפורמה אחודה לניהול האירועים הלא נעימים האלה. אחר כך פומפם הצורך בביזור מערכות. למה? כי חברות שונות הציעו מוצרים שונים. אלא שבשנה-שנתיים האחרונות, מומחים ומנהלי אבטחה הגיעו למסקנה שריבוי פתרונות יוצר בלאגן שלם באבטחת הסייבר הארגונית – מה שהחזיר את הפלטפורמה האחודה לאופנה.

למה כדאי לארגונים להטמיע מערכת אחודה לניהול אירועי סייבר, ומידע בכלל? אלעזר בירו, מנהל אבטחת סייבר ושירותים מנוהלים בנס טכנולוגיות, נותן את התשובה הפשוטה: "היתרון המרכזי במערכת אחודה הוא שהיא עוזרת לארגונים להסתכל על כל מרכיבי הפאזל, להבין את הסיפור השלם של המתקפה. זה נכון במיוחד בעולמות של מיקרוסופט, אבל לא רק".

בירו דיבר בפאנל שהיווה חלק מכנס Lynx CyberSecurity 2022 של מותג Lynx מבית אנשים ומחשבים, שנערך אתמול (ד') באולם האירועים של הבורסה בתל אביב. לדבריו, "איחוד של ניטור זהויות, תקשורת, תחנות קצה ועוד מאפשר להבין את המתקפה מקצה לקצה. במקום שאנליסט שצריך לחקור מתקפת סייבר יתחבר לכמה מערכות, ישלב את הנתונים שמגיעים מהן וינתח אותם בעצמו, עם מערכת אחודה הוא עושה את זה בפלטפורמה אחת שמחברת את החלקים השונים בסיפור של המתקפה".

"במערכת אחודה, דוגמת זו של מיקרוסופט, למשל כשיש אירוע שכולל תקשורת חשודה וזיהוי אנומליה התנהגותית של המשתמש, באמצעות מנוע ה-UEBA, אנליסט ה-SOC (מרכז תפעול הביצועים) יראה את זה כאינסידנט אחד ובו כלל המידע. זה מספק לו יכולת תגובה מהירה יותר ונכונה יותר, ויכולת להגיע מהר יותר לשורש הבעיה", ציין בירו.

אייל רגב, מנהל בכיר לאבטחת סייבר במיקרוסופט. צילום: ניב קנטור

בין הנושאים הבולטים בפאנל היו האתגרים הנוכחיים של מנהל האבטחה ומבט לעתיד – ל-2023 ומעבר לה. אייל רגב, מנהל בכיר לאבטחת סייבר במיקרוסופט, מנה כמה מהאתגרים הללו: "ראשית, האבטחה הפכה להיות לא דבר חוסם עבור הארגונים, אלא מאפשר – וזה אתגר. עוד אתגר הוא שמירה על הדטה של מי שהמידע שלו נמצא במאגר המידע. מיקרוסופט מספקת כלי אבטחה מודרניים שמכסים את רוב הווקטורים של התקיפה, בדגש על זהות המשתמש ויכולות התחקור של האיומים. זאת, בשילוב אינטגרציה עם מוצרים שקיימים בארגון".

בתשובה לשאלת המנחה – דליה גרינברג זילברשטיין, מנהלת שותפים בכירה במיקרוסופט – איך עוזרים לאנשי ה-SOC (מרכז תפעול הביצועים) לתעדף את ההתראות הרבות שהם מקבלים, השיב רגב כי "הכלי של מיקרוסופט אוסף את כל האלרטים מהחיישנים ומהווקטורים של התקיפה, מתעדף אותם ושולח לאנשי ה-SOC. הכלי הזה עוזר לגורם האנושי לתעדף ולהבין את האירוע שקורה. לצד זה, הכלי מסייע לתיקון הנזק שנוצר לארגון כתוצאה מהמתקפה".

"הנושא המרכזי בהגנת סייבר: זהויות והניהול שלהן"

לדברי רגב, "כדי לבנות הגנת סייבר טובה יותר, הנושא המרכזי שצריך לטפל בו הוא הזהויות והניהול שלהן". הוא התייחס למחשוב הענן ואמר כי "הקלאוד בא לעזרתנו בנושא ההגנה: הוא מאפשר ניתוח הרבה אירועים בזמן קצר. בנוסף, חשוב לבצע אימון של העובדים והמנהלים – לוודא שכולם מאומנים ויודעים מה לעשות כשקורה אירוע סייבר".

"ניהול הזהויות יהיה אחד האלמנטים המרכזיים בהגנת הסייבר גם ב-2023", אמר בירו. "זאת, לצד פישינג, יותר מיסקונפגורציה, יותר ענן ויותר מורכבות. קריטי שעובדי ומנהלי הארגון יהיו מאומנים, מיומנים וחזקים בהגנת סייבר, ושיהיו לו שותפים לדרך, ועל אחת כמה וכמה שותף שמספק כמה פתרונות בפלטפורמה אחודה אחת".