התקפות מודרניות והארגון שלי (Defender ATP)

by · 04/04/2017

איומי הסייבר הנוכחים ואלה שיגיעו בעתיד מציבים את הארגונים של כולנו בחוסר איזון מוחלט לגבי כמות המערכות שאנו מתקינים, קבלת החלטות מול נהלי אבטחת מידע, אכיפת מדיניות על הארגון ועוד. למה בחרתי לקרוא לזה חוסר איזון? מצד אחד סוג של “היסטריה” עם כמות מערכות ומצד שני חוסר מענה לנקודות הקריטיות.
שאני נמצא אצל לקוחות ורואה את כמות המערכות שנמצאות בארגון וחוסר הקורלציה בינהם ישר עולה השאלה (שלרוב גם אין עליה תשובה) האם ישנו תהליך או נוהל כאשר ישנה מתקפה? ואם כן מה עושים במצב כזה? האם המערכות יודעות לדבר בינהם וליידע על האירוע. בשורה התחתונה כאשר ישנה בעיה וגם אם הכי קטנה כגון: כופר, ברוב המקרים אין מענה מהיר, לא יודעים איך להתמודד ושלל בעיות שונות, ולראיה כמות הארגונים שחוטפים כופר ומאבדים מידע חלקם מתוקשרים במדיה וחלקה לא.

האתגר (הלא כל כך חדש) בארגונים הוא מענה לתחנות קצה ומשתמשים שלמעשה מדובר על התמודדות עם איומים מתקדמים ברמת תחנות קצה ואיומים אלה מוגדרים ע”י אנשי אבטחת מידע וסייבר כאיום ארגוני.

הבעיה מול מתקפות מודרניות ומתקדמות

התוקפים כיום נמצאים בעמדה טובה ועדיפה יותר מאשר המותקף ולעיתים בעמדה טובה מכל דרכי ההגנה השונים שעומדים לרשותו, בתקופה האחרונה התפתחו שיטות התקיפה והפכו למתוחכמות יותר, מורכבות יותר והרסניות לארגון. כאשר אנו מדברים על תקיפות מתקדמות ומודרניות ניתן בין היתר להדגיש תקיפות כגון:

  • APT – מתקפות שעושות שימוש במגוון נרחב של אמצעי תקיפה מעבר למתקפות רגילות בהם נבחרים היעדים בקפידה ומדובר על מתקפה רצינית
  • Lateral Movement – מתקפות בהם התוקף נע ברשת ללא הפרעה ויכול לפרוץ ולגשת למידע רגיש
  • credential stealing – החלק הקל בכל המתקפות השונות והוא להגיע לפרטי משתמש מקומיים עד לפרטי אדמין ברמת Active Directory
  • Exploitation – ניצול חולשות על כל סוגיהן החל מהגדרות שגויות או באג במערכת שמאפשר להריץ Payload שונים

כאשר מתקפות אלה מתרחשות ברשת הארגונית מאחורי הקלעים רצות פעולות נוספות, כגון: Reverse Shell, הרצת כלי Hacking שונים, PowerShell Invocation ופעולות נוספות.

image

הטכנולוגיה שמספקת מענה למתקפות מודרניות ומתקדמות הוא Endpoint Detection and Response (בקצרה EDR).

גישת Post-Breach

למה במקרים רבים אני בוחר להדגיש את גישת Post Breach? בגלל מספר סיבות עיקריות:

  • חוסר מודעות – עדיין ישנו חוסר מודעות מוחלט לגבי הנושא, לפחות אצל מחצית מהארגונים
  • קו הגנה אחרון – בהחלט זהו קו ההגנה האחרון שלנו בארגון לפני שאנו מגיעים למצב של התאוששות מאסון
  • מודעות ארגונית ברמת IT – לדעת מה קורה ביומיום עם תחנות הקצה ואיך להתמודד עם התקפות מודרניות

מערכות Post-Breach  מביאות עמם גישה חדשנית ושונה ממה שהכרנו עד כה והיא הרגע שלאחר המתקפה, כלומר מענה בסגנון של חקירה של זירת הפשע או ניתוח מידע מתוך קופסה שחורה.
מערכות Post-Breach מנטרות אירועי אבטחת מידע וסייבר בתחנות קצה ובמקביל מבצעת פעולות שונות, כגון: ניתוח מידע, אנליטיקה, אנומליות, קורלציה על כל המידע ובהתאם לכך יודע לזהות ולגלות מתפקות מתקדמות.
מכיוון שבפריצה מתקדמת התוקף מבצע פעולות רבות, כגון:  העברה או שינוי שמות קבצים, הפעלת תהליכים (exe) חדשים, מסתובב ברשת הארגונית, מוציא מידע מתוך הארגון ומבצע פעולות נוספות מערכת Post-Breach מספקת מידע רב ומפורט לגבי כל פעולה שנעשתה וכלים להתמודדות עם הבעיה ואמצעים שונים לתחקור הבעיה.
מערכת Post-Breach נותנת בנוסף מענה למערכות Prevention ע”י כך שמספק מידע רב ועושה שימוש ביכולות מתקמדות לזיהוי וגילוי מתקפות חכמות.

הפתרון של Microsoft לPost-Breach הוא Windows Defender Advanced Threat Protection (בקצרה ATP) שהגיע אלינו לאחר עדכון Anniversary Update של Windows 10.
הפתרון מבוסס על תחנות קצה מבוססות Windows 10 ומערכת SaaS שמספקות יחדיו יכולות זיהוי, גילוי ותגובה למתקפות חכמות.
ATP מבוסס על מספר מנגנונים שמאפשרים יכולות מתקדמות לכל אותם מתקפות:

  • זיהוי מתקפות מתקדמות – שימוש ביכולות של ניתוח התנהגות ואנומליות על סמך תחנות הקצה שמונות מעל למיליארד התקנים מאפשרים לATP לבצע אנליטיקות על כל המידע.
  • תחקור אירועים – ממשק הניהול מספק אפשרויות לתחקור האירוע, פרוקטיביות על סוגי מתקפות, ביצוע זיהוי פורנזי על תחנות קצה ומעקב אחר פעולות התוקף ברשת החל מרגע המתקפה.
  • מענה לאיומים – המידע הרב שנאסף מול תחנות קצה, צוותי סייבר פנימיים ושותפים מאפשרים גילוי מתקדם של מתפקות טכניקות מתחוכמות לפריצה שמשתכללות כל הזמן.
  • חיישנים – חיישנים שאוספים מידע לגבי תהליכים והתנהגות ברמת מערכת הפעלה מאפשרים לזהות מתקפות לפי סוגים וקטגוריות שונות.
  • אינטגרציה – ATP מאפשר אינטגרציה עם מערכות, כגון: Office ATP וע”י כך לקבל תמונה כוללת של מתקפה שהגיע מתוך המייל והמשיכה מול Defender ATP.

בקצרה Defender ATP הוא שירות המאפשר לארגונים לבצע זיהוי, מחקר ותגובה באופן מעמיק מול תחנות הקצה ברשת הארגונית באמצעות ממשק ניהול מרכזי פשוט אך עם מידע רב המאפשר ירידה לפרטים.

בצד תחנות הקצה Defender ATP מגיעה ברמת מערכת הפעלה Built-In עם WIndows 10 ואינו מצריך התקנות כלשהן.
הרכיבים ברמת מערכת ההפעלה שעליהן מבוסס Defender ATP הם:

  • Behavioral Sensors – איסוף נתונים והתנהגות שונות או מזרות ברמת מערכת הפעלה החל מגישה לקבצים, ערכי רישום, תקשורת ותהליכים אשר רצים ברקע.
  • Analytics – עבודה מול מערכות שמבצעות Machine Learning, באמצעות Big Data (איסוף של מיליארד תחנות קצה ביום)
  • Threat intelligence – צוותים ייעודים של Microsoft ושל ספקי אבטחת מידע שונים המאפשרים יצירת בסיסי נתונים גדולים אשר מנתחים שינויים, פעולות והתנהגויות מכל נקודת קצה בעולם

image

לסיכום

הגישה חדשה של Post-Breach עם ATP מאפשרת מענה למספר לאיומים ומתקפות מתוחכמות:

  • מענה לאתגר חדש של איומים מול תחנות קצה
  • הפתרון מספק
  • זיהוי וגילוי של מתקפות חכמות
  • תחקור ותגובה למענה ואיומים
  • מנגנון חכם לניתוח התנהגות ואנומליות

Tags:

השאר תגובה

error: Content is protected !!