טרנדים וסיכונים באבטחת מידע לשנת 2020, ולמה Cloud-Native SIEM?

הטרנספורמציה הדיגיטלית והמעבר לענן שינו את הדרך שבה המשתמשים צורכים את המידע, שינו את הדרך שדרכה אנו מנגישים את המידע ושינו את הפעולות היומיומיות שלנו בעולם הדיגיטלי.

הטרנספורמציה הדיגיטלית והמעבר לענן ילוו אותנו גם בשנה הקרובה עם Workloadים מוכרים וחדשים, בין אם מדובר על כל אותם סביבות מבוססות IaaS, PaaS, SaaS.

עד כה אין חדש סביב הטרנספורמציה הדיגיטלית והמעבר לענן, אך ישנם שינויים באופן שאנו עובדים עם הכלים, בחידושים שנכנסו בתקופה האחרונה ובחדשנות והדינימיות הבלתי פוסקת של הענן וכל מה שנמצא סביבו.

לצד המעבר לענן ניתן לראות בסביבות מחשוב ארגוניות מגמה לא פוסקת של אימוץ מסיבי (או יותר נכון מירוץ חימוש) של מערכות ואפליקציות שונות המתחברות אל התשתיות הקלאסיות ואל תשתיות הענן, וכתוצאה מכך אנו יוצרים חשיפות נוספות בגלל כל אותם מערכות ואפליקציות חדשות והתוצאה הישירה היא בעיות אבטחה שנובעות בגלל Misconfiguration.

בנוסך לכך ישנן בעיות Misconfiguration קשות בתחנות קצה שאנו לא יודעים עליהן כלל ואלה מובילות לבעיות אבטחה קריטיות, למשל, תחנה ארגונית שיוצאת למרחב החיצוני עם RPD פתוח (לא ביודעין) חשופה לסריקות חיצוניות והזדמנויות תקיפה.

תשתיות ארגוניות אינן נמצאות במצב של תשתית מקומית בלבד או במצב של תשתית מקומית עם ספק ענן אחד המוגדר מול אפליקציה ספציפית, כיום תשתיות ארגוניות נמצאות במצב של תשתיות היברידיות עם שני ספקי ענן או יותר, וכתוצאה מכך התשתית הארגונית מקבלת משמעות אחרת בגלל היותה רוחבית.

סביבות מחשוב שנמצאות במצב היברידי הם תשתיות רוחביות שנמתחות על פני ספק ענן אחד ויותר (כיום הממוצע הוא שני ספקי ענן), ולכן במצב כזה פעולות המשתמשים וכן פעולות האדמינים היומיומיות הכפילו ושילשו את עצמם ואולי אף יותר, כלומר המערכות הקיימות סביבנו יוצרות באופן אוטומטי יותר מידע, יותר לוגים ויותר אירועים שצריך לנטר ביומיום.

ולכן לצד החדשנות והדינמיות והיתרונות שמביא איתו הענן צריך לדעת את הסיכונים החדשים ואת הסיכונים המוכרים שהשתפרו.

טרנדים לשנת 2020

במהלך שנת 2019 ובפרט ברבעון האחרון ניתן לראות אינספור חברות אבטחה אשר הוציאו דוחות וטרנדים לקראת שנת 2020, המגמות לא מפתיעות אך ישנם טרנדים מוכרים וחדשים שמחייבים אותנו להתייחס אליהם בכובד ראש.

הסיכונים שליוו אותנו בשנת 2019 ימשיכו ללות אותנו גם בשנה הקרובה (2020) ויתווספו אליהם סיכונים חדשים.

הגנת על סנסורים (Endpoints) > סנסורים הם כל מה ששייך לעולם המשתמש ובמאמר נתמקד לסוגי המכונות, החל מתחנות מבוססות Windows 10, מכונות לינוקס, התקני קצה מבוססים IoT ועד המכשירים חכמים מבוססים אייפון ואנדרואיד.

הסנסורים כיום הם הנקודה הרגישה ביותר שיש בארגון, אם נקח לדוגמה IoT, מדובר על מספר בעיות קריטיות:

• מיליוני התקפות וסיכונים ללא מענה מצד התקני IoT
• שטח המתקפה של IoT הינו גדול יותר מאשר שטח המתקפה של פלטפורמות אחרות
• לטכנולוגיות IoT יש נגישות גבוהה יותר לתקיפות (ערים חכמות, רכבים וכן הלאה)
• טכנולוגיה בעלת נקודות קצה שמחירן נמוך עם תקציב אבטחה נמוך עוד יותר
• גישה האבטחה סביב IoT אינה מספקת ולכן ניתן לראות יותר "דברים" מותקפים

בנוסף לכך ישנם את המכשירים החכמים, שם ישנם בעיות אבטחה קשות ומידי יום נחשפות חולשות קריטיות הן במערכות iOS והן במערכות Android. במערכות אלה קשה מאוד לבצע הגנה ברמת המכשיר שכן קל מאוד לעקוף את מנגנוני ההגנה.

הגנה על סנסורים יכולה להיות הגנה פרואקטיבית, יכולה להיות הגנה מבוססת קונפיגורציה ויכולה להיות הגנה עם ניטור סביב השעון.

הגנה על המידע > המידע שלנו כיום יקר יותר מהרבה נכסים אחרים (דלק ונדל"ן), והבעיה הגדולה שרוב הארגונים אינם יודעים היכן מסתובב המידע!!!

הבעיה הנ"ל נמצאת בתשתיות מקומיות כמו שנמצאת בענן ולכן אין הבדל, כי ברגע שמידע מונגש למכשיר חיצוני כאן איבדנו את המעקב אחר המידע, ובמצב כזה כל משתמש יכול להוציא מידע ולשתף לגורמים אחרים, וזאת ללא ידיעה.

ישנם דרכים מגוונות להגן על המידע, בין אם הגנה באמצעות מנגנון DLP מוכר, או באמצעות מנגנון שיודע לסווג מסמכים או באמצעות מנגנון שיודע לעקוב אחר פעולות חשודות ומסמכים רגישים.

סיכונים מבוססים AI > התפתחות תחום הבינה המלאכותית מסייע בצד אחד לקדם פתרונות טכנולוגיים, אך מצד שני חושף סיכונים שלא הכרנו עד כה.

בתקופה האחרונה נוכחנו לדעת כי פשוט יותר לבנות כלים ומערכות תקיפה בופרט מבוססות AI מאשר בניית מערכות הגנה, וזאת לאור העובדה שאלגוריתם מבוסס Machine Learning הוא כבר חלק בלתי נפרד משגרת היומיום.

ניתן לחלק סיכונים מבוססי AI לשלושה סוגים עיקריים שמטתרם העיקרית היא לנצל חולשה על גבי Neural Network שאומנו מול מאגרי תמונות, הסיכונים הם: התקפות מבוססות גרדיאנט, התקפות מבוססות על אוגמנטציה מרחבית והתקפות חיזוי (ניבוי).

כיום הפיתוח של בינה מלאכותית נעשה באופן כזה שישנו כמויות מידע ובאופן כזה שלא עלול להיות משהו זדוני שיכול להכשיל, ולכן מדובר על פעולות פשוטות יחסית שניתן לבצע במטרה להכשיל או לגרום לפעולות זדוניות, ולכן קשה מאוד לבנות הגנה אשר יכולה להסתגל לסוגים שונים של מתקפות.

דוגמה שהופיעה לאחרונה היא שימוש בכלי ייעודי להתחזות קולית של

באחרונה מזהים בעולם תוקפים שעושים שימוש בתוכנה ייעודית, מבוססת בינה מלאכותית, שבאמצעותה מבצעים שיחות התחזות קוליות לבכירים בחברה ונותנים פקודות לעובדי החברה לבצע פעולות עבורם, כגון העברת כסף

איך מבצעים הגנה? במאמר הבא נתמקד בנושא.

הגנה על מחזור הפיתוח (SDLC) > רמת הבשלות של אבטחה במחזור הפיתוח (SDLC) נותרה הרבה מאחור ולא חסר סיבות: לו"ז, תקציב, כלים ופערי ידע.
הדרכים ליישום אבטחה בתהליך פיתוח מחולק לנושאים כמו מדיניות ותאימות, חינוך והנחייה, הערכת סיכונים, ארכיטקטורה מאובטחת ונוספים.

למרות שכלל פעולות האכיפה נדרשות עדיין הם לא מחוברות למציאות (לא חסר סיבות) ולכן הדרך היעילה היא לערב כלי שדוגם את תהליך הפיתוח בצורה שקטה ומציג ממצאים ודרכים לפתרון. (וכן עדיין צריך מדיניות).

ישנם כלים רבים שנוגעים בתהליך אך אינם מפריעים בכתיבת הקוד, ולכן לצד הבדיקות השקטות ניתן להתנות את התהליך ופרסום הקוד על סמך התיקונים.

הגנה על שירותי ענן וסביבות מרובות > הגנה על שירותי הענן לא חדשה כלל, אך הראייה השתנתה והיא צריכה להיות שונה, והיא מבט מול סביבה היברידית מרובת עננים ( Multi Hybrid Cloud).

בסביבה כזאת הסביבה היא רוחבית מאוד וכולל אינספור תשתיות ורכיבים שצריכים הגנה אחידה לרוב עם אותם כלים שיאפשרו הגנה לכלל הסביבות בכל שכבה ספציפית.

שירותי הענן יעמדו במרכז ויהוו מטרה לגורמי תקיפה בעיקר מול תשתיות דואר, תשתיות מבוססות API וניצול בעיות קונפיגורציה.

לסיכום החלק הנוכחי, נראה כי רוב הטרנדים שהוזכרו עד כה הם טרנדים מוכרים פרט להתקפות מבוססות AI שם נראה במחצית השניה התגברות של התקפות מבוססות AI כדוגמת התחזות קולית, שינויים במידע וגרימת חיזוי שגוי, אוגמנטציה מרחבית ואחרים.

סיכונים קיימים

לצד כל הטרנדים והסיכונים המרכזיים שחלקם חדשים ומתחדשים, ישנם סיכונים מוכרים שליוו אותנו בשנת 2019 וימשיכו ללות אותנו ולהשתפר גם בשנה הקרובה – 2020.

התקפות מול תשתית הדואר >  בשנה האחרונה וכך גם לקראת 2020 תשתית הדואר תמשיך להיות שכבה בעייתית שתצריך משאבים ותקורת ניהול במטרה לבצע הגנה על בעיות פישינג, התחזות והונאות דואר (BEC) ובעיות דואר נוספות.

לצד מגמת השיפור בהגנה על שכבת הדואר והורדת כמות הבעיות (ע"י כלים שונים ומודעות משתמש), ניתן לראות כי ישנה עליה בהתקפות מול תשתית הדואר באופן עקבי.

דוח לדוגמה של חברת Agari בנושא וישנם דוחות נוספים של חברות אבטחה אשר יצאו לאחרונה.

התקפות Ransomware > באמצע שנת 2018 היה נראה כי מתקפות כופר כבר מאחורינו , אך לקראת 2019 נרשמה עליה בכמות וסוגי מתקפות כופר, ולראיה מתקפת הכופר החדשה של Tflower.

כופר מבוסס Tflower היווה תפנית דרך בגלל הצורה שבה הוא עובד והיא ללא שינוי סיומת קבצים ובהצפנה מהירה מאוד של תכנים (עשרות ג'יגות תוך דקות בודדות), ויחד איתה הגיעה גם מתקפת הכופר של GandCrab, שהפכה לזמינה בגרסת RaaS.

גם בשנת 2020 נמשיך לראות התקפות כופר משופרות לצד חדשות.

סיכונים פנימיים > "המפתחות לממלכה" נמצאות בסיכונים הפנימיים וכיום 40% מהארגונים חשופים באופן ישיר לסיכוניים פנימיים, לפי דוח Insider Threat Survey Report: RSA 2019.

סיכונים פנימיים נעים מתוך חולשות של מערכות שונות, חוסר מענה במחשוב תעשייתי, במצבים של חוסר בשיהוי בעיות אבטחה ונוספים.

ארגונים ממוקדים בניטור זהויות אך משאירים מאחור מכונות, חשבונות בעלי הרשות וכן הלאה.

רשתות 5G > אומנם נראה רחוק מאיתנו אך לאחרונה נמצאו חולשות רבות המאפשרות לבצע מעקב אחר המיקום בזמן אמת של המשתמש, לזייף התראות חירום ולנתק טלפון מאותה רשת 5G. 

מערכות שאינן מוקשחות > הקשחת מערכות לא השתנתה ובין אם מדובר בסביבה מקומית או סביבת ענן, מערכות חייבות להיות מוקשחות ולעבור בדיקות אבטחה שונות על מנת לצמצם את שטח התקיפה.

עדכונים > בעיה ישנה וחדשה שעולה בכל פעם מחדש, עדכוני אבטחה קריטיים חייבים להיות חלק מתוך שדרות חודשיות של כל צוות אבטחה וזאת לאור הבעיות אבטחה אשר מתגלות מידי שבוע.

צוות אבטחה מידע בארגון חייב להיות קשוב למודיעין סייבר כחלק אינטגרלי מתוך העבודה השבועית.

לסיכום הסיכונים הקיימים, לצד הסיכונים המרכזיים או החדשים ישנם את אותם סיכונים מוכרים שאנו חייבים לתת להם מענה ולא להזניח. חוסר מענה וטיפול לקוי סיכונים הנ"ל עלולים לגרום לחשיפה.

תשתית Cloud-Native SIEM

המעבר לענן מצריך מגורמי אבטחת המידע בארגון להתמודד עם סיכונים חדשים ועם מערכות חדשות שאינן מוכרות, וכתוצאה מכך ניתן לראות יותר אירועי אבטחה, וזאת בגלל הגנה לא נכונה על הענן והסביבה ההיברידית.

למה זה קורה? הסיבה פשוטה, לאבטח סביבת ענן זה ממש לא כמו המופע של אבטחת מידע בסביבה מקומית!!!

חשוב מאוד להדגיש כי הענן מביא איתו יתרונות עצומים בכל היבט של אבטחת מידע, אך צריך לוודא שאבטחת מידע היא חלק אינטגרלי בתהליך ולא משהו על הדרך.

כמו שהוזכר קודם לכן, הסביבות הקיימות הם סביבות היברידיות, רוחביות ונמתחות על פני ספק ענן אחד או יותר, ולכן אנו צריכים לדעת מה קורה בכל רגע נתון, וכאן עולה השאלה איך מתמודדים עם כמויות עצומות של מידע וכמויות של אירועים, וחשוב מכל איך יודעים להתמודד עם אירועי אבטחה אמיתיים?

כאן נכנס לתמונה תשתית SIEM מבוססת ענן או יותר נכון Cloud-Native SIEM. תשתית Cloud-Native SIEM יודעת להכיל כמויות עצומות של מידע ולאפשר ניתוח מידע באופן אוטומטי, ולצד זה תשתית Cloud-Native SIEM מאפשרת חיבור לכלל מערכת וכזאת שיודעת לקרוא לוגים שונים ולהביא אוטומציה לכל אירוע ובמידת הצורך להגיב אוטומטית.

ישנם המון אתגרים ושאלות כאשר מתכננים תשתית SIEM ובפרט תשתית Cloud-Native SIEM:

• מה עדיף תשתית SIEM מנוהלת על ידי גורם צד שלישי?
• תשתית SIEM מנוהלת על ידי צוות פנים-ארגוני?
• מה עושים במקרה של אירוע?
• מהו המענה והתגובה? כלומר ידני או אוטומטי?
• מי אחראי להגיב? האם צריך אישור בכל תגובה
• האם כדאי לתחם את המידע שעובר מתוך המערכות אל התשתית SIEM?
• האם כדאי לעבוד לפי תרחישים מסוימים?
• מה עם אוטומציה?

השאלות הנ"ל הינם שאלות בודדות בלבד מתוך סוגיות רבות אשר קיימות בבחירת תשתית SIEM בין אם מנוהלת על ידי גורם צד שלישי או בין אם מנוהלת על ידי צוות פנים ארגוני, ועל רובן ניתן לתת מענה ע"י תשתית Cloud-Native SIEM.

במצבים בהם עובדים עם תשתיות היברידיות ועם מספר ספקי ענן אנו צריכים לקחת בחשבון מספר דגשים בבחירת ויישום של תשתית Cloud-Native SIEM:

הכלת כמויות המידע > האם תשתית SIEM יכולה להכיל כמויות עצומות של מידע ולאפשר ניתוח של המידע תוך זמן קצר.

סוגי נתונים וניתוח מידע > עבודה עם סוגי נתונים שונים וחיבור התקנים ומערכות המאפשרות שמירת המידע לפרקי זמן ארוכים תוך כדי שמירה על ביצוע חיפוש וניתוח מהיר.

סיווג המידע > סיווג המידע לפי נתונים מובנים ונתונים שאינם מובנים לביצוע פעולות NLP, וזאת בכי לקבל מידע המסווג לפי קבוצות שונות, למשל, המסווגות לפי טכניקות של MITRE והיתרון במצב כזה הוא תחקור ברמת דיוק גבוהה  יותר.

ניתוח התנגהות > שימוש ברכיבים המבצעים NTA או UEBA יחד עם קריאה של סיגנלים וזאת בכדי שיוכלו לבצע קורלציה של מידע ולהוריד מצבים של False Positive.

תחקור אוטומטי > יכול להיות חלק ממנגנון SOAR שמטרתו לבצע תחקור אוטומטי עם מנגנון המבצע תעדוף ואנליטקיות של כל סיכון ועל סמך פרמטרים כדוגמת כתובות IP, כתובת דואר, אובייקטים שונים וכן הלאה.

מיטיגציה אוטומטית > מופע לא קל אבל אפשרי, ביצוע מיטיגציה אוטומציה בנויה על סוגי תרחישים אשר יודעים להתחבר על גבי API למערכות מגוונות, ומטרתה היא לאפשר תגובה אוטומטית במקרים מסוימים.

ישנם דגשים נוספים כאשר מיישמים תשתית Cloud-Native SIEM, אך אלה הם הבסיסיים שצריכים לקחת בחשבון.

אילו תחומים מכוסים כיום על ידי פתרון Cloud-Native SIEM?

ארגונים הגיעו למסקנות שמומלץ להשתמש במערכת בתחומים נוספים מלבד אבטחת תשתיות, כלומר התחומים שהיום מכוסים בארגונים על ידי המערכת בין היתר: זיהוי ומניעת הונאות, בקרת תשתיות הנדסה, תגובה וניתוח אירועי אבטחת מידע, בקרה על תהליכים עסקיים ואחרים.

איזה ארגונים נדרשים ליישם Cloud-Native SIEM?

כל ארגון שיש לו מידע שהוא מעוניין להגן עליו ועושה זאת יותר מאשר מוצר אחד, במצב כזה מומלץ לעבוד עם תשתית Cloud-Native SIEM, ובנוסף לכך לקוחות שמעוניינים לעמוד בתקן PCI וכן לקוחות אשר מעוניינים לבקר ולנטר פעולות עסקיות במערכות קריטיות.

למה דווא תשתית Cloud-Native SIEM, ולמה עכשיו?

החדשנות, המעבר לענן והתרחבות הכלים בארגון יוצרת כמויות עצומות של מידע ודורשת מאיתנו לנהל את כל המידע ממקום אחד שיכול לבצע ניתוחים ולספק יכולות תחקור מהירות.

בנוסף נכנסות לתמונה ארגונים המחויביםלבצע ניטור אירועי אבטחת מידע ומעקב אחר פעולות המשתמשים.

לסיכום

אבטחת מידע בשנת 2020 אינה תהיה קלה יותר, אלא להיפך תהיה קשה הרבה יותר מאשר בשנים קודמות וזאת בגלל סיבות רבות, בין היתר, סביבות רוחביות, ריבוי מערכות ואפליקציות, טרנדים חדשים וכאלה שהשתפרו ועומס על צוותי אבטחה מידע.

לצד כל זה אנו עובדים עם המון מערכות אבטחה והרבה יותר מערכות אבטחה מאשר עבדנו איתם בעבר, ובמצב כזה צוות אבטחה מיומן ככל שיהיה אינו יכול לעמוד בעומס האירועים ולתת תגובה לכל אירוע.