פלטפורמת סייבר Defender XDR ושילוב Azure Sentinel
להגן, לזהות, לתחקר, להכיל. באירוע אבטחה כל רגע נתון הוא יקר
ולכן צריך להגיב באופן המהיר ביותר עם פלטפורמת אבטחה
לפי תחזיות שונות בשנת 2021 הנזק המשוער לאירועי אבטחה יגיע לעלות אסטרונומית של 6 טריליון דולר, ועד 2025 התחזית המשוערת היא שהזנק יגיע לעלויות של 10 טריליון דולר בשנה. וניתן לראות זאת בנתונים סטטיסטיים אשר מתפרסמים מעת לעת כולל דוחות של חברות אבטחה שונות, כדוגמת Verizon, או Cybersecurity Ventures וכמובן של Microsoft.
ישנם אינפסור תחזיות, מגמות וטנרדים אך מבין כל אותם תחזיות ניתן לראות כי התחזית הברורה ביותר היא התמקדות והרחבה מסיבית של שטח התקיפה הגלובלי (Nation-State) ע”י תוקפים, ובמספרים ישנה הערכה על עליה של מאות אחוזים בתקיפות, אירועי אבטחה והפרות נתונים.
אם אני לוקח את הנקודות המרכזיות מתוך כלל הדוחות וההערכות הקיימות של 2020 וכן מגמות שהיו בתחילת 2021 אז אפשר לב כי לצד בעיות מרכזיות ישנו שינוי במגמות וטרנדים, כמה נקודות מעניינות מלכל אותן תחזיות (הקישורים בסוף המאמר):
- העלויות הישירות לאבטחת מידע והגנת סייבר מוערכות בסכומים של 133.7 מיליארד דולר בשנת 2022 (גרטנר).
- 68% מכלל המנהלים בכירים מעידים כי סיכוני האבטחה בארגון גדלים באופן תדיר (גרטנר).
- הפרות נתונים חשפו מעל 5 מיליארד רשומות בשנת 2020 וזאת על סמך אירועים שדווחו (RiskBased)
- 71% מהפרות הנתונים היו במגזר הפיננסי (Verizon)
- 25% הפרות נתונים הגיעו מתוך מוטיבציה של ריגול ארגוני (Verizon)
- 52% מאירועי האבטחה הגיעו דרך וקטור ישיר (Verizon)
- 28% מהאירועים שילבו תוכן זדוני (Verizon)
- 32% הגיע דרך הנדסה חברתית (Verizon)
- הווקטורים המובילים לאירועי אבטחה והפרות נתונים הם: זהויות, הנדסה חברתית, הרשאות גבוהות, סיכון פנימי, מיסקונפיגורציה, אפליקציות.
- מנהלי אבטחה מודעים לחוסר שליטה ובעיות אבטחה רבות בסביבות היברידיות ומרובות עננים (Multi Hybric Cloud)
- אבטחת מידע בענן תהיה חלק מהותי באימוץ הענן אך מרבית מנהלי האבטחה לא יידעו כיצד להתמודד עם האתגרים
- כבר עתה ניתן לראות כי הטרנד שמתגבר הוא סביב אירועים הקושרים לשרשרת אספקה
- כבר עכשיו אפשר לראות כי כופר ימשיך להיות הגורם והסיכון הראשי
- זמן זיהוי אירוע עדיין סביב 200 ימים
- 73 ימים זה הזמן שלוקח להכיל אירוע שאינו קריטי
- נוכחות של צוות IR בארגון או פתרון IR מוריד את העלויות של בעיות אבטחה ב 2$ בשנה
הנקודות המוזכרות מעלה הם רק חלק קטן מתוך אותן בעיות אבטחה מרכזיות שהיו בשנה החולפת של 2020 ואותן בעיות ימשיכו ללוות אותנו בשנה הקרובה לצד בעיות אבטחה חדשות.
למי יש יותר…
שכבות, רובדים, כלים, פתרונות ומערכות הגנה הם חלק בלתי נפרד מארכיטקטורת אבטחת המידע בארגון, אך האם ריבוי כלים ומערכות יכולים לעשות את העבודה, ממש לא, להיפך! ריבוי כלים ומערכות הגנה גורמות לבעיות אבטחה אחרות ואינם בהכרח מאפשרות לבצע פעולות אבטחה פשוטות ועל אחת כמה וכמה מקשה על זיהוי אירועי אבטחה, ויתרה מכך אינם מאפשרים להכיל אירוע בצורה מסודרת.
אחת הבעיות המרכזיות של ריבוי כלי אבטחה ומערכות הגנה שהם אינם יודעים לדבר אחד עם השני ואינם מותאמים ברמת API בסיסי – מכאן יש לנו תהום ענקית החל מבעיות נראות, יישום והטמעה, תחקור ואוטומציה בסיסית בין מערכות האבטחה.
המגמה כיום וזאת שתקח אותנו עד לשנת 2022 היא לעבוד בתצורה של פלטפורמה בין הכלים והמערכות ולממש אפשרויות כמו תחקור Cross-Platoform, הכלה של אירוע מתוך ממשק אחד (בשאיפה) וכן אוטומציה בין הכלים והמערכות (דוגמה שפוטה היא להזין אינדיטורים בין כלל המערכות בלחית כפתור). לזה אני רואה Cybersecurity Platform.
נקודות נוספות ומרכזיות בבנייה ותחזוקה של ארכיטקורת אבטחה היא לוודא שאין ריבוי כלים, לוודא שהמערכות יודעות לדבר אחת עם השניה, לוודא שהתראות FP יהיו נמוכות ככל האפשר ולוודא שיודעים מה קיים ומה חסר וליצור Cybersecurity platform בין כלל המערכות.
נקודות מרכזיות שחייבים לדעת על כלים ומערכות הגנה ומימושם בארגונים כחלק מארכיקטורת אבטחת מידע והגנת סייבר:
53% מהארגונים אינם יודעים בוודאות האם כלי האבטחה שלהם עובדים
63% מהארגונים דווחו כי בשעת אמת מערכות הגנה כשלו בזיהוי והגנה מפני אירוע
רק 39% דיווחו כי יש להם ערך בסיסי מתוך הכלים והמערכות הקיימות בארגון
ישנם בממוצע 47-75 כלים ומערכות ולעיתים חפיפה גבוהה בין מערכות (הממוצע שונה בין הדוחות)
56% דיווחו כי עדיין ישנה בעיה של נראות מול מערכות הגנה בארגון
בכדי לדעת האם הכלים והמערכות משקפות את הצורך הארגוני אפשר לפעול לפי מספר שיטות, למשל לסקור את מערך ההגנה ולקבל תמונת מצב ומשם לפעול, למשל:
- לדעת מהו שטח התקיפה הנוכחי והאם ישנו חיכוך מול תוקף פוטנציאלי
- לזהות מערכות רגישות, נתונים בעלי ערך ונקודות חלשות בארכיקטורת רשת/IT
- להבין מהו מצב הכלים והמערכות הגנה וכן תקינותם בהיבט אבטחה
- לחלק את מערך ההגנה לפי תחומים: מאגרי נתונים, תשתיות, חשבונות בעלי הרשאות, ציודי קצה וכו’
- לוודא האם כלי האבטחה בנויים בצורה אינטגרלית ומאפשרים נראות, תחקור והכלה של אירועי אבטחה
טיפ: ריבוי כלים ומערכות הגנה מקשה על זיהוי בעיות גם כאשר ישנו SIEM SOC בארגון (מנוהל או עצמאי) ויכולים להעביר מידע כפול וכן העברת התראות FP.
האתגר של Cybersecurity Platform
המטרה של שילוב כלי אבטחה ומערכות הגנה הם לתת ערכים בהגנה על הארגון, למשל, להגדיל את החיכוך עם התוקף, להקטין את שטח תקיפה, לקבל נראות מירבית על מערכות הארגון, לקבל תמונת KillChain על אירועי אבטחה, להגביר אכיפה על נקודות חלשות וכן הלאה.
כלי אבטחה וגנת סייבר צריכים לספק ביצועי אבטחה גבוהים ככל האפשרת ולתת ערך מהותי בתמונת KillChain הן בראיית תוקף והן בראיית מגן (סטייל צוות אדום וצוות כחול), ויחד עם המטרות של צוותי האבטחה בארגון, למנוע, לאתר, לחקור ולהגיב לאירועי אבטחה וניסיונות תקיפה. לצד זה, פעולות אבטחה המתמקדות בהגנת סייבר או בטקטיקות של בלו טימס זקוקות למספר כלים בכדי להשיג את מטרתן בהצלחה, והכלים מחייבים פריסת מסגרת אבטחה וכן מודל אבטחה בארגון עם לטובת סביבת מחשוב קלאסית ומודרנית הבנויה על סביבה מקומית , סביבה היברדית וסביבת מרובת עננים. מדובר על אתגר קשוח אך ישים עם הכלים הנכונים.
הכלים חייבים להביא בשורה ברמת נראות ויכולת למנוע, לזהות, לחקור ולהגיב ולצד זאת ליכולת להיות מסוגלים לקבל תצוגה אחת, ניתוח, אחידות והתראה בזמן אמת על פעילויות בכל הטכנולוגיה והפלטפורמות, ולא רק במכשירי אבטחה, אלא לסביבת המחשוב הרוחבית.
בנוסף הכלים צריכים לאפשר תגובה בזמן אמת לאיומים ולהתרעות לחקור ולהכיל או לשבש פעילות שעלולה להפריע ולבסוף, מאפשרים חלק מפעילויות האבטחה לפעולות אוטומטיות וזאת בכדי להפחית את זמני התגובה והרעש. הבעיה הגדולה היא שהכלים הנוכחיים לא ממש מאפשרים לזה לקרות ביעילות, אם בכלל.
לכלי אבטחה רבים ומערכות הגנה שונות יש ממשקי API דלים וגם אלה שזמינים אינם מדברים עם כלים אחרים, ולחלק מהוונדורי אבטחה יש כיום כלים לתזמון אבטחה, אוטומציה ותגובה (SOAR) שמתייעדים להיות אינגטרליים בין וונדורי אבטחה שונים. לא כך המצב בשטח וזה רחוק שנות אור מיישום.
לדוגמה, במצב זה סביבה המצריכה כלי אבטחה ומערכות הגנה לרובדים של זהויות, הגנה על הדואר, זיהוי נגיעה בתחנות, ניסיונות להוצאת מידע וכו’ אנו יכולים לראות כי אנו חייבים מספר כלים ובכל מסלול התקיפה אנו חייבים לדעת מה התרחש במערכת שלפניה ובמערכת שאחריה.
התרחיש מעלה הוא תרחיש תקיפה בסיסי שמתרחש מידי יום, ואם נסתכל עליו בראייה כללית אפשר להבין כי בתקיפה זאת, משתמש פותח פריט דואר המכיל תוכן זדוני אשר מוביל לתנועה רוחבית ולהסלמה וכן להוצאת נתונים מוצלחת. שרשרת התקיפה מכוסה בטכנולוגיות שונות הבנויה על שישה כלי אבטחה של וונדורים שונים שאינם חולקים מידע או אינם קושרים ברמת התקיפה בכל אחד מהם בשרשרת התקיפה.
במצב כזה, המורכבות וחוסר האחידות גורמים לעיכוב בזמן האיתור ולחוסר תגובה אוטומטית, ובנוסף לכך הצורך לבצע תחקורים ומניפלציות על המידע הוא ידני ולכן גוזל זמן והכי חשוב, הוא ממשיך להזיק עד בהכלת האירוע.
אז הזכרנו שפלטפורמת אבטחה בנויה על גבי מספר כלי אבטחה ומערכות הגנה, בכל מצב בסיסי מדובר על לפחות 6-7 כלי אבטחה ומערכות הגנה אשר צריכים לדבר אחד עם השני ללא תנאים וללא המטעות ארוכות טווח. איך בונים דבר כזה ואיך גורמים לזה לקרות כאשר ישנם עשרות כלי אבטחה ומערכות הגנה.
בכל פגישה, סשן, דיון עם CIO ומנהלי אבטחה על כלים, פתרון וארכיטקרטות אבטחה עולה הסוגיה של “לשים את כל הביצים בסל אחד” או “לאפשר בצורה מקסימלית את היתרונות של פיזור כלי אבטחה בכדי לשמור על כללים חשובים”. יש לזה תשובות ברורות של אחידות במערך הגנה, תמונת מצב אחידה בשרשרת התקיפה ויתרה מכך אוטומציה בין הכלים.
במצב של שעה ושמונה כלי אבטחה אשר צריכים לדבר אחד עם השני אין אפשרות לקבל בשום מצב ובשום דרך תמונת מצב אחידה, ולכם הפתרון הוא להתבסס על וונדור אחד שמספק שושה או ארבעה כלים אך נותן את האפשרות לאינטגרציה מול כלים צד שלישי בכדי לתת אחידות ויתרונות נוספים.
היתרון של ארכיטקטורה של ספק אחד הוא שבדרך כלל כל ה”תפרים” נעשים ומגיעים מוכנים על גבי API, מה שמקטין את התקורה לניהול ופיתוח. שימוש בפחות או וונדור וזה מאפשר חיסכון נוסף בעלויות באמצעות איחוד כלים ומערכות.
אז מה אם הייתם מצליחים להשיג את הכלים והיכולות שניתן לתפור אותם בקלות, לספק את היכולת למנוע ולהגיב לאיומים, ובכיסוי רחב יותר של זיהוי ותגובה מורחבים (XDR) ללא עלות רישיון נוספת? ובכן, זה מה שמיקרוסופט מציעה עם פלטפורמת האבטחה של Microsoft Defender XDR במסגרת רישוי Microsoft 365.
מהו Defender XDR
Microsoft XDR או בשמו Microsoft Defender XDR היא פלטפורמת אבטחת מידע והגנת סייבר מאוחדת שמספקת מענה רוחבי ומעמיק לארכיטקטורת אבטחה ארגונית ונוגעת ברובדים שונים. הפלטפורמה מספקת מענה אבטחה עם מספר כלי אבטחה ומערכות הגנה שהן שוות ערך לכ 40 אבטחה.
הפלטפורמה כוללת את כל האלמנטים הנדרשים לאבטחה מדורנית לסביבות היברידית וסביבות מרובות עננים עם כלים ומערכות למענה של זהויות, נראות, הגנה על Active Directory, הצפנה והגנה על המידע, הגנ על תחנות קצה, אבטחה בענן ונוספים.
הכלים המרכזיים שמרכיבים את Microsoft XDR הם הכלים הבאים:
Microsoft 365 Defender
– Azure Active Directory
– Microsoft Cloud App Security
– Microsoft Defender for Endpoints
– Microsoft Defender for Identity
– Microsoft Defender for Office 365
– Microsoft Endpoint Manager
Azure Defender
– Azure Defender for Servers
– Azure Defender for IoT
– Azure Defender for SQL
רבים מהמוזכרים מעלה הם כלים מובילים וכלים אשר מוכרים כמובילים על ידי גרטנר, כאשר חמישה מהפתרונות מופיעים כפתרון מוביל של גרטנר בשנת 2020.
מערך כלי האבטחה ומערכות הגנה תומכים בתשתיות מקומיות, תשתיות היברידיות וכן בתשתיות ענן או מרובות עננים המאפשרים לקבל עקביות אבטחה, ללא קשר לעומס העבודה או למיקום הטכנולוגי. למעשה, באמצעות שירותים כמו Azure Arc, אפשר לנהל ארטיפקטים בכל מקום, כולל סביבות ענן כמו AWS או GCP, ולספק מעקב, ניטור, נראות והכלה של אירוע וכל זאת מתוך Azure Defender.
אז איך לוקחים את כל האירוע הזה של Microsoft XDR למבט על ואפשרויות תחקור וניהול אירועים על ארכיטקורת אבטלת המידע בארגון? כאן נכנס לתמונה Azure Sentinel.
רגע לפני Azure Sentinel חשוב מאוד להדגיש כי האקוסיסטם של Microsoft ושל Azure עם כלי אבטחה ומערכות הגנה מאפשרות לחבר כלים של וונדורים שונים בצורה אינטגרלית ועדיין להנות מפלטפורמת אבטחה מתקדמת, למשל, חיבור פתרון ZSCALER מול Microsoft Cloud App Security מספק נראות על כלל התחנות ואכיפה מדיניות על גישה לאפליקציות, קבצים ואתרים – הפתרון נקרא CASB Endpoint.
כמו ZSCALER ישנם כלים צד שלישי שמאפשרים חיבור אינטגרלי ולמעשה לספק מודל אבטחה מבוסס פלטפורמה אחידה לכלי אבטחה ומערכות הגנה, ושוב הכל על גבי ממשק אחד.
על Azure Sentinel
מערכת Azure Sentinel הינה מערכת SIEM מבוססת ענן המושתת בין היתר על מערכות ענן קיימות וכן תשתית ענן חדשה, Azure Sentinel הינה מערכת SIEM מהדור החדש המאפשרת לחבר את כלל מערכות האבטחה בארגון, בין אם מדובר על מערכת Microsoft או מערכות אבטחה צד שלישי וע”י כך לקבל תמונה כולל של מערך האבטחה בארגון.
בנוסף לכך Azure Sentinel מאפשר לבצע מעקב אחר כל מערכת באופן פרטני במיוחד, מאפשר לבצע תחקור מעמיק על כל אירוע וכן ומענה אוטומטי לפי workflow ייעודי. מכיוון שמערכת Azure Sentinel מבוססת על רכיבים של Azure כדוגמת Playbook וכן Log Analytics או יכולים לקסטם את המערכת בצורה חכמה יותר ולאפשר אוטומציה מקצה לקצה.
מידע נוסף לגבי Azure Sentinel במאמר הבא הקמה והגדרת Azure Sentinel
בנוסף לכך Azure Sentinel משלב יכולות שונות כמו SOAR ומדובר על כלי מובנה, ובאמצעות SOAR ניתן להפוך את התוכן והמידע לאירועים עם תגובות אוטומטיות, להודיע לאנליסטים על אירועים באמצעות Microsoft Teams, מערכת לפתיחת קריאות וכמובן באמצעות דואר אלקטרוני, כולל שילוב של SMS ושל ITMS. מעבר לזה, ניתן לבצע פעולות אוטומטיות בכדי להגיב להתראות כמעט בזמן אמת, וכל זה ללא קשר למקור המידע וכלי האבטחה הזקוק לתגובה. מכאן זה פשוט יותר כאשר הכלים והמערכות משולבים בפלטפורמה של Microsoft XDR וכן Defender XDR.
באמצעות יכולת ניהול האירועים בתוך Azure Sentinel, האנליסטים יכולים לחקור, לתעד, לציין, להגיב ולסגור אירועים ישירות בתוך הכלי, ומספקים כלי לניהול אירועי אבטחה מיידי וזאת בכדי להניע מדידת ביצועים. ניתן לעקוב אחר KPI כגון זמן ממוצע של אירוע ולהגיב בתוך Azure Sentinel, כך שניתן להמשיך ולמדוד את הביצועים ואת השיפורים של פעולת האבטחה לאורך זמן.
אינטגרציה, זיהוי ותגובה
אחרי שהבנו את הצורך בפלטפורמת אבטחה, ומהו Microsoft XDR וכן Azure Sentinel ואת בעיות האבטחה והסיכונים הקיימים אנו יכולים לקחת את כל הכלים והמערכות ולקחת תרחיש בסיסי (כמו זה שהוצג למעלה) ולקבל תמונת של שרשרת תקיפה.
האינטגרציה בין כלי האבטחה ומערכות ההגנה של Azure Defender ושל Microsoft XDR מאפשר את האמינות של כל התראה ומעשיר את אירוע האבטחה שנוצר בתוך המערכות ויתרה מכך בממשקים של Azure Sentinel. במצב כזה ניתן לראות את שרשרת התקיפה מתחילתו ועד סופו ולהכיל את האירוע מתוך ממשק אחד.
מכאן נוכל לשלב את היכולת של SOAR בכדי להפוך תכובות לאוטומטיות המופעלת תוך שניות ודקות ולא תוך שעות, התגובות יכולות לשבש פעילויות על ידי איפוס והשבתה של זהויות מותקפות, הסרת מיילים זדוניים מתיבות דואר נכנס, וחסימת תנועה במכונות קצה, וכל זאת ללא התערבות.
הערך של Defender XDR
כאשר עוברים תרחיש תקיפה ומקבלים תמונה של שרשרת תקיפה ניתן להבין את היעילות של פלטפורמת אבטחה עם כלי אבטחה ומערכות הגנה שמדברים אחד עם השני, פלטפרומת אבטחה שיכולה להכיל אירוע מתחילתו ועד סופו ולתת אפשרויות של הכלת אירוע מתוך ממשק אחד.
כמו שהוזכר, העלות הממוצעת של הפרה היא 3.86 מיליון דולר ובממוצע מעל 200 ימים לאיתור והכלה של אירוע אבטחה ולכן הערך של אימוץ פלטפורמת אבטחה משולבת מקצרת את המדדים.
מנקודת מבט ביצועית, אנו יכולים לעבור להגיב תוך דקות באופן אוטומטי, או להפעיל התראות שאנליסטים יגיבו תוך זמן קצר. ולצד זה,ניתן למדוד ולפקח על ביצועי אבטחה לאורך זמן.
איפה שלא נמצאים בתהליך אימוץ הכלים והמערכות של M365 E5 המצב הוא כזה שניתן למנף את הכלים והמערכות של Defender XDR בעלות מינימלית או ללא עלות (בהתאם לרישוי).במציאות, עלייה מרישוי E3 לאבטחת סביב M365 E5 היא ההמלצה המינימלית, אם כי, אפשר לעבור לרישוי של כלים ומערכות בודדות של Microsoft 365 Defender בעלות מצטברת נמוכה יותר.
המפתח כאן יהיה לבדוק את הוונדורים הקיימים שלך ואת הכלים והמערכות החופפיות, ומשם להבין מה העלות שלהם בכדי להתחיל דיון על החזר השקעה וזאת בכדי לתמוך במעבר לפלטפורמת האבטחה של Miucrosoft & Azure.
בבדיקת החזר על השקעה של Azure Sentinel, פורסטר מודד החזר ROI לשלוש שנים של 201% והחזר תוך חצי שנה. רוב העלות הזו מגיעה בצורה של שירותי פריסה והמשאב והמיומנויות הדרושים בכדי לאמץ את הכלים והצערכות ובכדי לתחזק את הפתרון. הערך הברור של עבודה במסגרת הסכם שירות מנוהל מגדיל החזר ROI ביותר מ 20%.
בשטח המצב הוא כזה שניתן לחסוך עד 60% בעלויות מול כלים ומערכות הגנה זהות.
קישורים לדוחות והערכות אבטחה
Cybercrime To Cost The World $10.5 Trillion Annually By 2025 (cybersecurityventures.com)
The Emerging Era of Cyber Defense and Cybercrime – Microsoft Security
Information Security Spending to Exceed $124B 2019 | Gartner
2020 Data Breach Investigations Report: Official | Verizon Enterprise Solutions
29 Must-know Cybersecurity Statistics for 2020 – Cyber Observer (cyber-observer.com)
Companies Have Too Many Security Tools. Here’s How We’re Solving That. – Armor
