התמודדות עם איומים מתקדמים ומענה עם Defender ATP

האתגר החדש של ארגונים הוא התמודדות עם איומים מתקדמים ברמת תחנות קצה ולמעשה זהו אתגר עולה שלאחרונה מוגדר ע”י אנשי אבטחת מידע וסייבר כאיום ארגוני.
באחד המחקרים של גרטנר נמצא כי למעלה מ-80% אנשי אבטחת מידע וסייבר מגדירים את האיומים המתקדמים על תחנות קצה כאיום ממשי ומתגבר והינו החלק החלש והפגיע ביותר בארגון ולכן נמצא בראש סדר העדיפויות הארגוני.
עוד באותו מחקר נמצא שכיום למעלה מ50% מהארגונים אינם בטוחים שהמערכות הקיימות בארגון מסוגלות להגן על המידע ותחנות הקצה בארגון ולתת מעטפת אבטחת מידע שתוכל למנוע איומים ומתקפות חדשות, הסיבה לדאגה הגוברת נובעת בגלל כמה סיבות:

• סוגי האיומים ומתקפות מתחוכמות
• השפעה עסקית על הארגון
• כמות הארגונים שחווים מתקפות

הכלים, האפליקציות והמערכות הקיימות כיום נאבקות ביומיום בחסימה של תוכנות זדוניות, וירוסים, טרויאנים וסוגים חדשים של מתקפות ואין יום שעובר מבלי שנשמע על חברה או מדינה שחוותה מתקפת סייבר, כגון: כופר למינהם, Stuxnet, , depriz, Regin ועוד רבים.
רק לאחרונה שמענו על מספר מקרי סייבר שהגדול בינהם היה מתקפת סייבר על ארגונים רבים באזור שלנו ע”י Malware מסוגDepriz שהמטרה העיקרית של המתקפה היא למחוק תחנות קצה ולמנוע מהם אפשרות של Boot מחדש.
גל המתקפות ילווה אותנו עוד זמן רב ולכן הכלים, האפליקציות והמערכות הקיימות אינם יוכלו להתמודד עם חלק גדול מאותם מתקפות מתוחכמות. הסיבה לכך היא שבמקרים רבים התוקפים אינם משתמשים עם הכלים הרגילים בכדי לבצע מתקפות אלא עושים שימוש ביכולות מגוונות, כגון: שימוש באמצעות רשתות חברתיות, דרכים שונות של social engineering או באמצעות מתקפות Zero-Day. המתקפות האלה מציבות את הכלים והתוכנות שנמצאים ברשותינו לאמצעים שאינם רלוונטיים ואינם יכולים לבצע את הזיהוי והגילוי הנדרש.

באותו מחקר של גרטנר ישנו נתון נוסף ומוכר והוא שלוקח לצוותי אבטחת מידע למעלה מ200 יום לבצע זיהוי וגילוי של מתקפה ברשת ומנגד המתקפה בוצעה ע”י האקר פחות מ15 דקות.

ניתן לסכם שמערכות Pre-Breach כגון: אנטי-וירוס, אנטי-Malware ודומיהם משמשים לצורכי חסימה של קבצים זדוניים וחסימת תוכן נגוע ולכן המערכות הנ”ל אינם יכולות למנוע את המתקפה הבאה.

בגלל כל אותם סיבות, דאגות ואיומים נדרשת גישה חדשנית יותר שתוכל להתמודד עם האיומים והמתקפות החדשות.

גישת Post-Breach

מערכות Post-Breach  מביאות עמן גישה חדשנית ושונה ממה שהכרנו עד כה והיא הרגע שלאחר המתקפה, כלומר מענה בסגנון של חקירה של זירת הפשע או ניתוח מידע מתוך קופסה שחורה.
מערכות Post-Breach מנטרות אירועי אבטחת מידע וסייבר בתחנות קצה ובמקביל מבצעת פעולות שונות, כגון: ניתוח מידע, אנליטיקה, אנומליות, קורלציה על כל המידע ובהתאם לכך יודע לזהות ולגלות מתפקות מתקדמות.
מכיוון שבפריצה מתקדמת התוקף מבצע פעולות רבות, כגון:  העברה או שינוי שמות קבצים, הפעלת תהליכים (exe) חדשים, מסתובב ברשת הארגונית, מוציא מידע מתוך הארגון ומבצע פעולות נוספות מערכת Post-Breach מספקת מידע רב ומפורט לגבי כל פעולה שנעשתה וכלים להתמודדות עם הבעיה ואמצעים שונים לתחקור הבעיה.
מערכת Post-Breach נותנת בנוסף מענה למערכות Prevention ע”י כך שמספק מידע רב ועושה שימוש ביכולות מתקמדות לזיהוי וגילוי מתקפות חכמות.

הפתרון של Microsoft לPost-Breach הוא Windows Defender Advanced Threat Protection (בקצרה ATP) שהגיע אלינו לאחר עדכון Anniversary Update של Windows 10.
הפתרון מבוסס על תחנות קצה מבוססות Windows 10 ומערכת SaaS שמספקות יחדיו יכולות זיהוי, גילוי ותגובה למתקפות חכמות.
ATP מבוסס על מספר מנגנונים שמאפשרים יכולות מתקדמות לכל אותם מתקפות:

• זיהוי מתקפות מתקדמות – שימוש ביכולות של ניתוח התנהגות ואנומליות על סמך תחנות הקצה שמונות מעל למיליארד התקנים מאפשרים לATP לבצע אנליטיקות על כל המידע.
• תחקור אירועים – ממשק הניהול מספק אפשרויות לתחקור האירוע, פרוקטיביות על סוגי מתקפות, ביצוע זיהוי פורנזי על תחנות קצה ומעקב אחר פעולות התוקף ברשת החל מרגע המתקפה.
• מענה לאיומים – המידע הרב שנאסף מול תחנות קצה, צוותי סייבר פנימיים ושותפים מאפשרים גילוי מתקדם של מתפקות טכניקות מתחוכמות לפריצה שמשתכללות כל הזמן.
• חיישנים – חיישנים שאוספים מידע לגבי תהליכים והתנהגות ברמת מערכת הפעלה מאפשרים לזהות מתקפות לפי סוגים וקטגוריות שונות.
• אינטגרציה – ATP יאפשר בגרסאות הבאות אינטגרציה עם מערכות, כגון: Office ATP וע”י כך לקבל תמונה כוללת של מתקפה שהגיע מתוך המייל והמשיכה מול Defender ATP.

לסיכום

הגישה חדשה של Post-Breach עם ATP מאפשרת מענה למספר לאיומים ומתקפות מתוחכמות:

• מענה לאתגר חדש של איומים מול תחנות קצה
• הפתרון מספק
  • זיהוי וגילוי של מתקפות חכמות
  • תחקור ותגובה למענה ואיומים
  • מנגנון חכם לניתוח התנהגות ואנומליות
• פתרון לתחנות קצה מבוססות Windows 10