כך נראה יום במשרד של מנהל אבטחת מידע ארגוני. יומנו של CISO:
07:30 נכנס ראשון למשרד, שותה קפה, קורא את המיילים שהצטברו בלילה, עובר על התיקייה של התרעות מערכת ה-SIEM. הצטברו 138 מיילים, עובר אחד אחד, כבר במצב של טייס אוטומטי. מכיר, שגרתי, מכיר, שגרתי, עוד False positive.
08:11 מסיים לעבור על כל המיילים, מתחבר לכמה בלוגים לראות מה חדש בעולם, כוס קפה שנייה. אנשים מתחילים להגיע למשרד, בקר SOC, אנליסט סייבר, המגויס החדש שחתם בשבוע שעבר, עוד ילד מוכשר שילמד ויעבור הלאה.
09:00 פגישת צוות שבועית. עוברים על משימות השבוע. שני שדרוגים גדולים מתוכננים, Patch Tuesday, עושים Install policy היום בלילה, ובחמישי מסיימים POC ומקבלים החלטה בנוגע למערכת ה-EDR שבחנו.
10:20 כמה דיווחים על איטיות ברשת, ועידה עם צוות תקשורת וצוות סיסטם, העברת האשמות הדדית, מרים את הכפפה ולוקח אחריות להוביל את החקירה.
10:37 מתקבל דיווח מה-Help desk על משתמשים בסניף בלוד שאינם מצליחים לגשת לאפליקציה. לא רואים כלום במערכת ה-SIEM, עוברים מערכת מערכת ולא מוצאים התרעה מיוחדת.
10:42 עוד דיווח על משתמשים שאינם מצליחים לגשת לרשת ולשיתופי קבצים. שולח טכנאי לשטח לבדוק מה קורה. האנליסט מתחיל לחקור באינטרנט על התקפות חדשות, מרים טלפון לבינת, לבדוק אם שמעו משהו.
11:05 המידע זורם חזרה ל-SOC, התמונה מתבהרת. Zero day ransomware. מעביר דיווח למנמ”ר, חייבים להתחיל פעילות מנע, מפעילים את נוהל Code red, לפחות הכסף ששמנו על ייעוץ להתמודדות עם אסון מתחיל להחזיר את ההשקעה. מחלק אחריות בצוות. אחד מטפל מול יצרן ה-IPS לקבלת חתימה עדכנית, אחד מול יצרן ה-AV, עוברים על ה-FW ומנסים למצוא את הדליפה החוצה, אחד מתחיל לסגור סניפים נגועים ב-NAC, צוות סיסטם מוריד הרשאות משתמשים למינימום כדי לנסות לעצור את ההתפשטות ובו בזמן בודק אם יש עדכוני OS קריטיים שיכולים לסייע.
15:07 ארבע שעות מורטות עצבים ושבע כוסות קפה מאוחר יותר, נראה שהצלחנו לעצור את ההתפשטות. דו”ח מצב: 120 תחנות נעולות, גיבויים תקינים, התקבלו חתימות ל-AV ורואים חסימות אקטיביות. ממתין לשאר היצרנים להוצאת עדכונים.
21:20 סיימנו שחזורים, חוזרים לעבוד כרגיל. כל הפעילויות השבועיות נדחו כרגע, מפרגן לצוות על העבודה המקצועית ויוצאים הביתה.
02:13 מקבל טלפון בהול מההפעלה, שרתים נעולים ולא מצליחים לגשת אליהם, העדכון שפרסנו בארגון הופץ רק לתחנות המשתמשים. לו רק החתימה שקיבלנו היתה מתאימה גם ל-IPS…
אוטומציה ואבטחה
זה היה עוד יום שגרתי. יום של הפתעות בלתי צפויות והתמודדות עם אתגרים. אך האם המצב יכול להשתנות.
המילה אוטומציה, מיוונית, פירושה פועל מעצמו. הכוונה היא לשימוש באביזרים מכניים או אלקטרוניים, על מנת לבצע סדרת פעולות, ברצף מתוכנן, ללא מגע יד אדם. האוטומציה משחררת את האדם, בין היתר, מביצוע מטלות שגרתיות החוזרות על עצמן, על ידי החלפה באמצעים טכנולוגיים עצמאיים. שימוש במכשור אוטומטי הוא לרוב מהיר יותר ומדויק יותר מאשר עבודה אנושית. המכשיר האוטומטי יכול לבצע מדידה, בקרה ומשוב של התהליך המבוצע ושל התוצר המופק בתהליך. בהשוואה לאדם, הזקוק למנוחה, מכשיר אוטומטי יכול להגדיל את התפוקה ולעבוד ללא הפסקה, 24 שעות ביממה, שבעה ימים בשבוע, 365 יום בשנה, למעט הפסקות לעבודות תחזוקה.
עד לא מזמן, התרחישים הבאים נשמעו כמו חלום. תרחיש ראשון, שימוש בכל יכולות הסייבר האיכותיות שהטמענו בארגון והגדרת תהליכי עבודה וממשקים בין המערכות, כדי לראות אותן חוסמות לבד מתקפה, תוך שילוב כלים שונים. תרחיש שני, עדכונים שמתבצעים אוטומטית במערכות ואם מזוהה תקלה המערכת יודעת לשחזר, ללמוד מהטעות ולבצע את התהליך מחדש בצורה מוצלחת. תרחיש שלישי, שרתים ומשתמשים חדשים בארגון מקבלים בצורה אוטומטית את הפוליסי המתאים להם Cross organization – הרשאות מחשב, חוקי חומת אש, גישה לאפליקציות. המטרה של האוטומציה אינה להחליף את כוח האדם האיכותי שגייסנו והכשרנו במהלך השנים, אלא לאפשר לנו להשקיע יותר זמן בלמידה, בפיתוח, בתכנון ובחשיבה כיצד נגן על הארגון בזמן אמת, כיצד נוכל לתמוך בעסק ולא רק בתפעול.
היתרון הגדול של אוטומציה בעולמות הסייבר אינו רק שיפור של תהליכי עבודה, אלא סגירת פערי האבטחה הנוצרים בין מערכות שונות. פעמים רבות, כדי לצמצם את הפער בין מערכות אנו רוכשים מערכות נוספות, אך כמות כוח האדם המקצועי אינה עולה בצורה ליניארית עם כמות מוצרי האבטחה המצטברים עם השנים, ואנו נשארים לנהל ערב רב של פתרונות עם כמות כוח אדם מצומצם (ראו איור 1).
האוטומציה היא לא פחות ממהפכה, ולשם שינוי, הפעם המהפכה היא שלנו. מהפכת האוטומציה תאפשר לנו לצמצם את הפערים בין האופן שבו אנו רוצים לנהל מערך אבטחת מידע וסייבר בארגון שלנו ובין האופן שבו אנו נאלצים לנהל אותו. בכל אחת מהמהפכות האחרונות בעולמות ה-IT, דוגמת וירטואליזציה, ענן או דיגיטל, התאמנו עצמנו למצב החדש, הכנסנו עוד פתרונות, התאמנו את שיטות העבודה, בנינו מודלים חדשים וכל זה תוך כדי שמירה על המצב הקיים.
השאלות החשובות הן איך נוכל לעשות יותר אבטחה בפחות זמן; איך נוכל לתת מענה ליותר איומים עם פחות מערכות; ואיך נוכל לפנות יותר זמן להכשרת הצוות מבלי להגדיל את מצבת כוח האדם. הפתרון טמון בתחום האוטומציה של האבטחה, Security Automation. פתרון שמעניק יותר, בעזרת פחות אמצעים.
קפיצת מדרגה מהפכנית
בשנים האחרונות התפתחו כלים רבים בתחום Security Automation, כלים שמסייעים לנו לבנות חוקים בצורה אוטומטית, כלים שמשלבים לוגיקה עסקית עם לוגיקה רשתית, כלי עדכון, הפצה ו-Remediation.
בשנתיים האחרונות, אנו עדים לקפיצת מדרגה אמיתית מצד היצרנים המובילים ועם פתיחת API’s מגיעים יותר פתרונות אשר מאפשרים אוטומציה אמיתית בין מערכות שונות. שני פתרונות מובילים הקיימים כיום הם Cisco PXGrid ו-McAfee DXL. בשני המקרים מדובר ב-Fabric אשר מאפשר החלפת מידע בין מוצרי החברה השונים, שבעבר לא ידעו לדבר זה עם זה. אך ההתקדמות המשמעותית היא שיתוף הפעולה עם ספקים שהם צד שלישי, אשר יכולים לשתף את המידע תחת אותו Fabric. ברוקר מרכזי מקבל את המידע, ועל פי סט חוקים יודע להפיץ אותו בין פתרונות שונים של יצרנים שונים. בעבור אנשי אבטחת המידע זוהי מהפכה אמיתית, שתשנה את ניהול מערך הסייבר.
כך תיראה, אם כן, גרסה חלופית ליומו של ה-CISO שלנו:
07:30 נכנס ראשון למשרד, שותה קפה, קורא את המיילים שהצטברו בלילה, עובר על התיקייה של התראות מערכת ה-SIEM. מייל בודד במערכת: “One critical event was automatically blocked by the Secure fabric solution, for details press here”.
07:35 מתרווח לאחור, לוגם עוד מהקפה המצוין, מביט החוצה לשמים הכחולים, מתמתח ומתחיל לזמזם: Is this the real life? Is this just fantasy? Caught in a landslide, no escape from reality. Open your eyes, look up to the skies and see.
kfirm@bynet.co.il