Radiant Security AI Copilot: הפחתת התראות בתשתית Entra ID
נתיבי תקיפה נפוצים כמו זהויות, ענן, תשתית הדואר ותחנות הם משטח תקיפה פורה שמתעצם עם הזמן, ובשטח יש גם הצלחות רבות, הן ברמת הרוחבית של זהויות רבות והן ברמה נקודתית, קרי, משתמש. האחרון ממש מתרחש ברמה שבועית כאשר משתמשים נחדרים, כולל מצבים בהם ישנה הזדהות חזקה (MFA).
כלי בינה מלאכותית יכולים לסייע בהתמודדות היומיומית עם זהויות, תשתית הדואר, מכונות, בפרט ענן ועוד. השאלות שתמיד ניצבות בפנינו הם בין היתר, האם בינה מלאכותית יכולה להביא בשורה בעלת ערך לכלי האבטחה? ובפרט לכלים היושבים על או מול זהויות? האם בהגנה על זהויות ניתן למקסם את הפעולות ביומיום עם בינה מלאכותית? כולל פעולות שאינן חוזרות על עצמן?
המאמר, Radiant Security AI Copilot: הפחתת התראות בתשתית Entra ID מתמקד באפשרויות Copilot של Radiant Security AI והאינטגרציה הייחודית מול Entra ID + Defender XDR והאפשרויות של התראות והורדת הפעולות היומימיות של אנליסטים, מתחקרים, אנשי SOC וכן הלאה.
זהויות והתראות כושלות
היכולות של Entra ID יחד עם Entra ID Protection מביאות בשורה וערך רב כאשר שמים את החומות והבקרות בצורה המיטבית. עם זאת, ישנם מצבים רבים שבהם המערכת תקפיץ התראות כוזבות, תצריך תחקור על ידי אנשי אבטחה בעלי הבנה עמוקה בזהויות ובכלי בפרט. לכן, מצבים כאלה ישאירו לנו פערים בתשתית חשובה וקריטית כמו זהויות. תרחישים ודוגמאות יש למכביר.
דוגמה נפוצה מהשטח היא משתמש שמבצע התחברות מתוך מספר מקורות שונים (רשתות שונות) בטווח קצר, בין אם ההתחברות תהיה מתוך המכונה האישית שלו או שילוב של מכונות נוספות – אלה יחדיו יוצרים התראות חיוביות כוזבות (false positives). במידה ויש ריבוי התראות כוזבות, אנשי אבטחה סוגרים או מתעלמים מהתראות כאלה ולכן המקרה הספציפי הזה יוצר פער וחוסר מענה, שכן, ישנם מצבים שמכאן תתחיל התקרית הבאה מבלי שנדע בצורה ברורה.
בשטח, עקב ריבוי והצפה של התראות כוזבות אנליסטים התעלמו ״על הדרך״ גם מהתחברויות שאינן לגיטימיות מגורם לא מורשה, אלה הובילו לתקרית רחבה יותר בעלת השפעה.
מדדים – בנוסף על כך, המדדים שאנו עובדים לפיהם ב SOC מקבלות מדדים שליליים בעלי זמן תגובה או סגירה ארוכים מאוד, למשל, Mean time to remediate user risk או כל Mean time to שאנו מחויבים אליו.
דוגמה נוספת מהשטח. במצבים אחרים בהם אנו רוצים לנצל את האפשרויות המעולות של הפקדים והתנאים של Entra ID Conditional Access עם User Risk או Session Risk אנו נחסום גישה למשתמשים. הסיבה לכך תהיה, ריבוי פעולות של משתמש, חלקן/רובן לא בעלות אופי התקפי, משם הגישה למשתמש תהיה חסומה באופן אוטומטי בגלל התראה כושלת. החסימה תהיה שלא לצורך בגלל התראה כוזבת.
אז, מהן פעולות של התחברות ולוגין עם סיכון? מתי כדאי לחסום את המשתמש? האם פעולת ההתחברות היא לגיטימית? האם אנו מכירים וסומכים על הכלי שיתייג את הסיכון? האם בעקבות כך אפשר להפעיל אוטומציה? אפילו אוטומציה מינימלית? האם התיוג של Unfamiliar Sign-in הוא נכון? האם ההתראה של Risky Sign-in שקפצה היא תקינה? כמה האנומליות יכולה לסייע? אלה הם רק חלק קטן מתוך השאלות שאנו צריכים לענות עליהם.
הערה: לאחר תחקורים רבים של תקריות בתשתית הזהויות בשנים האחרונות, בפרט בענן, בין אם רוחביות או נקודתיות אפשר לומר שזאת נקודת תקיפה שמתעצמת עם הזמן ועדיין מתרחשת באופו שבועי.
מכאן כדאי מאוד לקחת את האפשרויות של בינה מלאכותית ולרתום אותם כי כמויות המידע והנתונים, הסיכונים, האיומים רק מתעצמים אבל הצצות אינו גדל וריבוי הכלים אינו מאפשר גם לצוות טוב ככל שיהיה להבין כל חלק בכלי ואיך להבין מה קורה בערפל ההגנה.
אז איך אפשר לרתום את הכוח של בינה מלאכותית גנרטיבית ואוטומציה כדי לבדוק, לחקור ולתקן ביעילות התראות בתשתית הזהויות? הכלי של Radiant Security AI נבדק חודשים ארוכים בסביבות רבות מול Entra ID ומול Entra ID Protection בכדי להביא ערך ובשורה לשטח.
היומיום של צוותי אבטחה עמוס, אולי עמוס מאוד ויש לנו מטרות חשובות, בין אם זה לבצע את הפעולות והמשימות הרגילות ועד לכדי תגובה לתקרית או למשהו פוטנציאלי. כלומר, אחרי ששמנו את הכלים הנדרשים, הבקרות המפצות והחומות, המטרה שלנו ביומיום היא ״לזהות את הדבר האמיתי בצורה מהירה ככל האפשר״, – המטרה שלנו ביומיום עם כלי האבחה היא לזהות תקריות, להפחית את הרעש ולהבין מהם ההתראות והתקריות החשובות שמתפתחות.
Radiant Security AI
מהו Radiant Security AI? כלי Security Copilot מבוסס בינה מלאכותית עם סייען וירטואלי לאנשי אבטחה, בין אם, אנליסטים, מתחקרים, ציידי איומים, SecOps וכן הלאה. הכלי פשוט מעצים את אנשי האבטחה על ידי רתימת היכולות של בינה מלאכותית במטרה לייעל ולהפוך משימות קריטיות לאוטומטיות, הבנה והפרדה בין התראה כוזבת, בין אם מדובר על התראה אמיתית או בין אם מדובר על תקרית מתפתחת, כגון בדיקת התראות וחקירת תקריות. התוצאה היא עלייה משמעותית ביעילות אנשי האבטחה, בפרט בתשתית הזהויות, שיפור מהותי בזיהוי איומים אמיתיים באמצעות ניתוח אירועים מקיף, והפחתה משמעותית בזמני התגובה.
כלי אבטחה מבוסס בינה מלאכותית באשר הם צריכים לסייע בניתוח תקריות, ניתוח התראות, ניתוח תקריות, העשרה של התקרית, סייען/מנחה שיודע לתת את הפרומפטים הנכונים ובפרט, בסגירת התראות כוזבות, הפחתחת התראות, ניתוח ברמת הבורג של תקרית פוטנציאלית או תקרית בכל שלביה, ולסיום לבצע אוטומציה לתרחישים שונים כאשר מדובר על תקרית.
כמה רעש יש לווקטורים כמו זהויות, דואר, תחנות ורשת? רעש אינסופי שלרוב יהיה רעש סטטי. העניין שברעש סטטי מתחבאת גם התקרית הבאה.
כלי אבטחה מבוסס בינה מלאכותית צריך להוריד את ״הבעיות חסרות ערך״ שתופסים את תשומת הלב ולאפשר לצוותי אבטחה להתעסק בעיקר!
הורדת רעשים על ידי Radiant Security AI מול Entra ID / Defender for Endpoint / Defender for Office ומערכות נוספות שמחוברות אליו.
מדדי זיהוי, תגובה וסגירה של התראות ותקריות הוא דבר חשוב שאכדאי מאוד לעבוד לפיו בין אם זה לאנליסטים ב SOC, או לצוותי IR שלוקחים חלק בעניין וכן הלאה. האפשרויות של Radiant Security AI בניתוח כל התראה או תקרית הן דינמיות ולא סטטיות, ולכן היכולת הזאת מאפשרת להבין דינמיות תקיפה, הבדלים מול משתמש רגיל ותריסרים רבים של בדיקות סטטויות ובפרט דינמיות. אלה יובילו אותנו להורדת מדדים.
השילוב של Radiant Security AI מול Entra ID
איך נראה השילוב של Radiant Security AI יחד עם Entra ID + Entra ID Protection. שילוב מעניין שמיבא תובנות רבות, מפחית בהתראות כוזבות ומאפשר לנו לצוותי אבטחה להתעסק בעיקר. מצרף כאן מספר נקודות שנותנות מבט על האינטגרציה והיכולות.
טריאז להתראות באופן אוטונומי
Radiant Security AI מבצע מאחורי הקלעים פעולות רבות לטובת טריאז להתראות של כניסות, ניסיונות, פוטנציאל והתחברויות חשודות באופן אוטונומי. מנוע הטריאז מופעל על ידי בינה מלאכותית כדי לנתח כל התראת זהות באשר היא, מבצע למידה של דפוסי פעולה של תשתית הזהויות, לומד בכל עת את הנתונים שמגיעים ממקורות אבטחה מגוונים – כל אלה נועדו לקבוע את רמת החומרה והפוטנציאל של התראה.
- קיבולת בלתי מוגבלת – המנוע מבצע בדיקה באופן אוטונומי של כל התראה על ידי הבנה האם ההתנהגות תקינה, כיצד היא עשויה להיות מחוברת לפעילות אחרת בסביבה, ויצירת אינטראקציה אוטומטית עם משתמשי קצה שעלולים להיות מושפעים.
- ניתוח דינמי – המנוע מבצע בחינה מעמיקה באופן אוטונומי של התראות אבטחה, פעילות זהות ונתוני התנהגות. בהתבסס על הממצאים הוא מבצע מאות/אלפי בדיקות נוספות כדי לקבוע במדויק את החומרה והפוטנציאל של ההתחברות.
חשיפה מקיפה של תקריות
איומים בתשתית זהויות כמו קרדס שנפגעו חייבים להיות מזוהים במהירות ובאופן מקיף כדי למנוע פגיעה נוספת או הרחבת של התקרית מאותו חשבון שנפגע. Radiant Security AI מזהה אוטומטית את סיבת השורש ואת כל היקף הפעולות, פעולות משנה (ברמות עומק) והתקריות עבור כל ההתראות בעלי אופי התקפי או כאלה שהם חלק מהתקרית, הניתוח מתבצע לפי סריות רבות של פרמטרים על אותה התראה, בין אם זה באותו רגע וגם לאחור.
- נראות של כל שלבי ההתקפה – הפלטפורמה מחוברת למספר מקורות (למשל סביבות ענן, תשתית דואר, נקודות קצה, רשת ועוד) כדי לעקוב אחר הסיבות שהובילו לתקרית בין אם מדובר על סוגי תקיפות, מאפיינים, הבדלים, נתונים לאחור, נתונים מתוך השטח (מודיעין) – אלה יחדיו מיועדים לתת נראות מלאה על מנת לא לפספס חלקים בהתקפה, ויישארו ללא מענה.
- להבין את סיבת השורש – אנו צריכים להשיג ניתוח מקיף של השפעה וסיבות עבור כל השתלטות על זהות, כולל היקפו המלא של האירוע, וכל פעילות שבוצעה עם הקרדס שנפגעו.
טיפול חכם בבעיות אבטחה של זהויות
Radiant Security AI מבצע אוטומציה של בלימה ותיקון של איומים שנחשפו כדי לעצור במהירות את התפשטות ההתקפות ולשחזר את בריאות המערכת. פעולות התגובה מותאמות לטיפול בבעיות הספציפיות שנחשפו בניתוח ההשפעה. לדוגמה, אם התרחשה חטיפת זהות אז יתבצעו פעולות אוטומטיות, כגון, איפוס סיסמה, איפוס סוג האוטנטיקציה, הריגת הטוקן ולאחר מכן איפוס דירוג המשתמש.
תגובה דינמיות – Radiant Security AI מבדיל את עצמו מכלי אבטחה אחרים על ידי ביטול פלייבוקים קלאסים או חסרי ערך, בעיקר סטטים או מוגדרים מראש. במקום זאת, הבינה המלאכותית בוחרת ומבצעת באופן דינמי פעולות מתקנות על סמך ממצאי ניתוח ההשפעה.
אפשרויות אוטומציה גמישות – Radiant Security AI מציעה הנחיות לאנשי אבטחה בכדי לבצע פעולות ידניות באמצעות הכלים שלך, לקחת את הפעולות ברזולוציה במינימום פעולות, או בחירה בתגובה אוטומטית מלאה.
הורדת תקריות
טיפול בהיקף המלא של התקריות כרוך לעתים קרובות בבקשות אישור של גורם שאינו טכני, למשל, גורם עסקי למשימות טיפול ותיקון הכרחיות, כגון נעילת זהות, סיום פעילות תגובה נדרשות ברמת סיסמה, אוטנטיקציה.
כידוע, פעולות מתקנות ישירות בזמן אמת בתוך תהליכי העבודה של התגובה של Radiant מאפשר לצוות האבטחה לטפל מיידית באיומים פוטנציאליים ביעילות.
אוטומציה של תקשורת והתראה
תקשורת אוטומטית ופידבקים ממלאת תפקיד חיוני בחקירה יעילה ובתגובה לאיומי זהות. ולכן Radiant Security AI מאפשר חילופי מידע בזמן בין מחזיקי עניין, דבר המאפשר שיתוף פעולה יעיל וקבלת החלטות מהירה כדי להפחית סיכונים ביעילות.
תבניות תגובה מותאמות אישית – בנוסף לכך ישנה אפשרות להשתמש בתבניות הניתנות להתאמה אישית כחלק מתהליך עבודה מפורט של תגובה, מתן עדכונים על סטטוס, תוצאות ופעולות מתקנות שננקטו.
שילוב כלי פרודוקטיביות – יכולת נוספת המאפשרת אינטראקציה בין הצוותים באמצעות הכלים שיש בשטח, בין אם זה Slack, Teams ועוד.
שיפור החוסן
יישום אמצעי הגנה בתוך הסביבה הארגונית הוא חיוני כדי למזער את הסיכוי להישנות עתידית. לאחר סיום תקרית, מוצעים צעדים שניתן לנקוט כדי לשפר את החוסן הסביבתי, כגון חסימת ספקי רשת מסוימים, השבתת MFA מבוסס טקסט או רישום משתמשים ועוד.
זיהוי, ניתוח ותגובה
איך נראה תהליך של זיהוי, ניתוח ותגובה בתשתית זהויות? פעמים רבות אין אפשרות לתחקר את ההתראה או הפוטנציאל בצורה מהירה כי הראיות נסיבתיות ובמצב כזה אין אפשרות להרשיע, ברוב הפעמים הניסיון מהשטח והבנת הסביבה יחד עם הפוטנציאל ילמד כי ניתן לסגור את ההתראה כהתאה כוזבת. ישנם מצבים שבהם ניתן להרשיע בצורה מהירה את הפוטנציאל לאותה זהות ולהפעיל תגובה. השאלה כאן, האם הפעלת תגובה של איפוס סיסמה, איפוס צורת הזדהות והריגת הטוקן יכולה להיעשות בבטחה? לא תמיד אנליסטים TIER 1/2, מתחקר או SecOps יכולים לענות על מקרים כאלה בצורה מהירה.
זיהוי וניתוח התראות
מכיוון ש Radiant Security AI מספק זיהוי מול הכלים שאליהם הוא מחובר, בפרט מול ה API ויתר דיוק מספר פלטפורמות API שונות, הזיהוי יהיה מהיר יותר, במקרים רבים יופיע בממשק של Radiant Security AI לפני שיופיע בממשקי הדפנדר, או Entra ואף Microsoft Sentinel.
מכאן הוא ימשיך אל ניתוח מלא של כל התראה והתראה ומציין תקריות (Incidents) שצריך לטפל בהם, לרוב יהיו מקרי אמת ותקריות שיצטרכו תחקור ותגובה. איך נראה הממשק של Radiant Security AI? ואיך נראה ניתוח התראה? ניתוח תקרית? ומתי אפשר להפעיל תגובה ידנית, חצי אוטומטית או אוטומטי מלא? יש לך סדר ואת כל המידע ניתן לקבל מתוך הכלי שעליו יושב Radiant Security AI, במקרה הזה הכלים של Entra ID + Entra ID Protection וגם Defender for Identity.
הממשק מחולק לתובנות, התראות, תקריות פעולות ואוטומציה. בחלק של התראות נקבל את כלל ההתראות והתקריות, התקריות יהיו מסומנות באדום, במקרה הזה נוכל להבין מהן התראות שנסגרו ע״י המערכת ומהן התראות שהפכו לתקריות ונסגרו ע״י גורם אנושי.
החלק בממשק של התראות הוא מעניין כי שם אפשר לראות התראות כוזבות שהיו צריכות להיות מתוחקרות ומטופלות על ידי גורם אנושי ומשם גם נוכל להבין את הזמן שנחסך לאותו גורם. כאשר מדובר על ארגון בינוני-גדול (1500 משתמשים) החסכון יהיה מאות שעות עבודה בחודש, כי כל אותן התראות היו צריכות להיות מתוחקרות ומטופלות על ידי גורם אנושי.
כאשר צוללים להתראה, במקרה הזה מדובר על התראה כוזבת של לוגין מתוך כתובת חדשה מתוך מכונה שאינה מוכרת. הטריאז שנעשה באופן אוטונומי יספק לנו מידע על על אופן הניתוח, סוגי הבדיקות (במקרה הזה עשרות בדיקות), ארקטיפקטים, ממצאים, ובפרט אופי הטריאז שנעשה להתראה.
מכיוון ש Radiant Security AI עובד נייטיב מול הכלים של Entra + Defender + Microsoft 365 + Azure אנו מקבלים מידע מדויק להפליא שמגיע מתוך ממשקי API שונים (לרק רק Graph API) של מיקרוסופט. בנוסף לכך, Radiant Security AI מקבל נתונים מתוך מקורות נוספים של כתובות, סוגי תקיפות, ונתונים מתוך מקורות שונים שמספקי ניתוח של כל התראה ומאפשרים למערכת לסגור התראות כוזבות במהירות שיא.
אופי איסוף המידע וניתוחו מאפשר לקבל את כל השלבים שהמערכת מבצעת וכן את מידע בכל שלב ושלב. אלה מספקים ניתוח כירורגי של ההתראה ומסקנות ברורות על סגירתה. במקרה הזה לאחר סט בדיקות Identity Solution – Radiant Security הבין שמדובר על התראה כוזבת ולכן סגר אותה.
אנשי אבטחה (מתחקרים, אנליסטים וכו) יכולים תמיד לחזור לכל התראה ולצלול לתוכה בכדי להבין את המשמעויות. מכיוון שהתראות כוזבות אינן חלק מעניין אנו לא נצלול לתוכן ביומיום, עם זאת, נרצה להבין ולקבל מהמערכת סיכום חודשי של סוגי התראות, אופי הסגירה ועוד.
בממשק ישנה אפשרות להיכנס לכל ממצא, אקרטיפקט ויישות על ידי כך לקבל תובנות נוספות – זה לוקח את החקירה למקום מתקדם יותר שכמעט ואינו מצריך בדיקה בממשק אחר בזמן החקירה.
במקרה כזה של התראה כוזבת היא תקבל סגירה אוטומטית, ביצוע פעולות ניתוח אוטנומיות ורישום במערכות Entra ID + Entra ID Protection + Defender for Identity של התראה שנסגרה כ False-Positive.
ומה לגבי תגובה? במקרה הזה מדובר על התראה כוזבת, אך אם היה מדובר על תקרית היינו יכולים להריץ פעולות ותגובה מתוך הממשק בכדי להגיב לתקרית. מה אפשרי לבצע כאשר ישנו תקרית לזהויות? חסימה אוטומטת של כתובות נגועות שמהן הוא מגיע, איפוס סיסמה, איפוס סוג אוטונטיקציה, הריגת טוקן, דיבול המשתמש, חסימת אפליקציה ועוד – הפעולות יכולות להיות פעולות תגובה פרטניות או סט פעולות.
מאמרים נוספים בנושאי סייבר ובינה מלאכותית
