ניהול והגנה פרואקטיבית באמצעות Threat & Vulnerability Management

מיסקונפיגורציה, סיכונים, פגיעויות, איומי אבטחה וחולשות הם חלק בלתי נפרד מהתמודדות יומיומית של אבטחת מידע, ובחלק מהמקרים אנו יכולים להיות פרואקטיבים ולהגיב בצורה נכונה שמונעת בעיות אבטחה ובחלק מהמקרים קשה הרבה יותר.

בזיהוי, הערכה ותיקון חולשות בהתקני קצה ישנן גישות רבות אך ברגע שזה מגיע למערכות מסוימות אני מאמץ גישה ספציפית של ניהול והגנה פרואקטיבית המתבססת על הרעיון של מודל לניהול חולשות ואיומים ולפי חלוקה של קטגוריות סופית ואינסופית הבנויה המאפיינים של נכסים, איומים, חולשות והתקפות.

המודל של ניהול ניהול חולשות ואיומים יכול להשתנות בתרחישים מסוימים, ולכן במערכות המתמקדות בהתקני קצה ובפרט תחנות קצה מבוססות Windows 10 אני פועל לפי המודל הבא של סופי ואינסופי:

• Asset – מאפיין בעל ערך כמותי ומדוד
• Threat – מאפיין בעל ערך סופי
• Vulnerabilities – מאפיין העל ערך שאינו נגמר
• Attack – מאפיין בעל ערך אינסופי

למה בסדר הנ"ל? פשוט מאוד, מאפיינים בעלי ערך סופי וערך אינסופי יותק קלים לניהול כאשר יודעים מהם – ומה הכוונה למאפיינים הנ"ל?

Asset – כאשר אני מבצע מיפוי אני יודע מהם הנכסים שיש בארגון ולפי סדר חשיבות מסוים, וחשוב מכל אני יודע שיש לי כמות מסוימת של נכסים שגם אם תגדל היא תהיה בעל ערך מסוים.

חשוב לציין כי נכסים עלולים לגדול עם הזמן אך לא באופן משמעותי.

Threat – איומי אבטחה נחלקים למספר קטגוריות מוכר וידוע כגון, פישינג, APT וכן הלאה. בגלל שאיומי אבטחת מידע ידועים מראש אנו יכולים להערית את האיומים הנ"ל באופן כמותי, ויכול להיות שעם הזמן איומי אבטחה עלולים לגדול אך לא באופן משמעותי.

Vulnerabilities & Attack – התקפות וחולשות אבטחה הן אינסופיות ולכן אי אפשר למדוד אותם בצורה כמותית ובכל יום ישנה חולשה חדשה או סוג התקפה מחודש. בגלל שאין אפשרות למדוד התקפות וחולשות הוא נמצא בקטגוריה של אינסופי.

על יד כל אלה נמצא תת-מאפיין נוסף שהוא חלק ממאפיין Asset ומאותם נכסים ארגונים ומדובר על מאפיין חשוב מאוד – מיסקונפיגורציה.

מיסקונפיגורציה עלול להוביל לבעיות אבטחה רבות ומגוונות ולכן כאשר אנו עושים מיפוי על הנכסים שלנו מאוד חשוב לדעת מהן המערכות שעלול להיות בהן מיסקונפיגורציה או חלולפין לתת מענה ופתרון למיסקונפיגורציה.

הבעיה הגדולה של ניהול והגנה פרואקטיבית הוא בניהול משימות בין הצוותים השונים, כי הצוות אבטחה (SecOps) תפקידו למצוא בעיות וברגע שמוצא בעיות הוא מעביר בקשה ומשימה לצוות IT-Cloud ושם דברים עלולים לקחת זמן כי לא כל עדכון או תיקון לבעית אבטחה יכולה להיסגר באותו רגע.

אזה מהי הדרך הנכונה לנהל חולשות? ישנם המון דרכים והמועדפת עליי היא באמצעות הכלי Threat & Vulnerability Management של Microsoft Defender ATP והשילוב באמצעות MEM.

השילוב של TVM מתוך MDATP יחד עם MEM מאפשר לצוותי SecOps לעבוד יחד עם IT-Cloud ולנהל את המשימות אבטחה בצורה מתקדמת.

מהו Threat & Vulnerability Management

מהו Threat & Vulnerability Management או בקצרה TVM ולמה הוא כלי וחלק מתוך Microsoft Defender ATP

ניהול חולשות, זיהוי פגיעויות ומניעה של בעיות אבטחה הוא חלק מכריע בניהול והגנה פרואקטיבית על תחנות קצה, ולכן ניהול נכון מקטין את שטח התקיפה וסוגר חשיפות של בעיות אבטחה שונות.

בניהול פרואקטיבי יש לנו אפשרות לגלות פגיעויות ותצורות שגויות בזמן אמת, על בסיס סנסורים, ללא צורך בהתקנות Agent או בסריקות תקופתיות וניתן לקבוע עדיפות לפגיעויות על בסיס האיום, איתור בסביבה הארגונית ולפי מידע רגיש בהתקני הקצה.

TVM הוא כלי מובנה וחלק מתוך Microsoft Defender ATP שעובד בכל רגע נתון ובזמן אמת על תחנות הקצה ומתבסס על מידע מתוך הפלטפורמות האבטחה השונות, כדוגמת, Microsoft Graph או MISA וניתוחים נוספים בזמן אמת של קבוצת מכנה ותגובה לאירועים.

הפתרון של TVM מצמצם את התהליך ואת הפער בין צוות IT-Cloud לבין SecOps ע"י יצורת משימות אבטחה ע"י צוות SecOps מול צוות It-Cloud המלשבים בינהם את המערכות של MDATP ושל MEM.

היכולות המוגנות מספקות אפשרויות שונות, בין היתר:

• תובנות ומידע מתוך נקודות קצה בזמן אמת של EDR של MDATP או פתרונות MTP צד שלישי
• נתונים לגבי חולשות ופגיעויות והערכה לבעיות אבטחה ולפי גילוי וחשיפה
• תהליך לתגובה וסידור בעיות אבטחה שונות עם ממצאים והמלצות

היכולות של TVM נחלקות למספר מגוון של מאיפיינים אל השלושה המאפיינים המרכזיים הם:

גילוי בזמן אמת

כדי לגלות איומים, פגיעויות ותצורה שגויה בתחנות קלה, אנו צריכים לבצע ניהול פרואקטיבי והמטרה בניהול פרואקטיבי היא לנהל את האיומים והפגיעות תוך כדי הפחתה של סריקות רשת יזומות ומסורבלות .

• סנסור קיים בתחנות קצה אשר מדווחים ודוחפים נתונים ומידע בזמן אמת על כל בעיות האבטחה הקיימות של Windows 10.
• נראות של בעיות האבטחה בא לידי ביטוי בממשק TVM על כלל התחנות המוגדרות בזמן אמת.
• המידע והנתונים אודות בעיות האבטחה מקושרים אל כל תחנה וחשיפה גלובאלית אשר קשורה למידע הספציפי שמתגלה.
• זיהוי תצורות שגויות או ליתר דיוק מיסקונפיגורציה בתחנות Windows 10.

תעדוף בעיות

ניהול סיכונים ואיומי אבטחה מאפשרות להתמקד בבעיות אבטחה שונות, כמו חולשות המהוות סיכון קריטי לתחנות הקצה. ניהול הסיכונים מאפשר להתמקד במה שחשוב ולא בממצאים של הערכת סיכונים רגילה לפי דירוג שלא בהכרח תואם את הבעיות הקיימות בתחנות הקצה.

המידע של  TVM מגיעה מתוך הסנסורים של Microsoft Defender ATP ולכן ניתן לראות את הבעיות בזמן אמת ולפי תעדוף ודירוג הסיכונים בהתאם למספר מאפיינים, למשל:

• חשיפת סיכונים מתפתחים המגיעים מתוך פלטפורמת Security Inglligent Graph וצוות מענה ותגובה של Microsoft, המאפשרים יחדיו לתת המלצות ולעדכן בנוגע לבעיות אבטחה.
• איתור בעיות אבטחה אקטיביות באמצעות Microsoft Defender ATP אשר מתאם בין ניהול האיומים והפגיעויות ותובנות EDR בכדי לספק את היכולת הייחודית לתעדף פגיעויות הפעילות או מופרות בארגון.
• הגנה על נכסים בעלי ערך חשוב יחד עם האינטגרציה של Microsoft Defender ATP כולל מידע מתוך Azure המאפשרים לנהל בעיות אבטחה ולזהות את התחנות החשופות עם יישומים קריטיים בארגון, או נתונים חסויים ואו משתמשים בעלי ערך רב.

מענה אקטיבי

ניהול האיומים והפגיעויות של Microsoft Defender ATP מאפשר לצוות SecOps ולצוות IT-Cloud לשתף פעולה בצורה חלקה בכדי לתקן בעיות.

• בקשות לתיקון מול צוות IT-Cloud באמצעות שילוב של Microsoft Defender ATP יחד עם Microsoft Intune ואם צריך גם Microsoft Endpoint Configuration Manager, מנהלי אבטחה יכולים ליצור משימת אבטחה לתוך ממשק Microsoft Intune על סמך המלצות האבטחה.
• ניהול איום ופגיעות מספק תובנות לגבי הפחתות נוספות, כגון שינויים בתצורה שיכולים להפחית את הסיכון הקשור לפגיעות תוכנה.
• Microsoft Defender ATP מספק מעקב בזמן אמת אחר המצב וההתקדמות של פעילויות התיקון ברחבי הארגון.

אפשרויות בממשק Threat & Vulnerability Management – מכיוון שממשק TVM הוא חלק מתוך Microsoft Defender ATP נוכל לגשת אליו רק לאחר הפעלה והגדרה ונוכל לעבוד עם הממשק ולהתחיל לנהל בעיות אבטחה ולסגור חולשות ותחנות חשופות.

מהם הדרישות? איך להגדיר TVM? איך לנהל בעיות אבטחה ועוד מלא טיפים במאמר הבא.