סייבר והכנה לקראת 2019

by · 03/11/2018

2018 כבר נמצאת מעבר לפינה וההכנות לקראת שנת 2019 כבר בעיצומן, בתקופה האחרונה אני יושב לא מעט עם לקוחות לגבי תקציב סייבר לשנת 2019.

השאלה היא על מה להוציא את התקציב, הרי יש כל כך הרבה רובדי אבטחה שצריכים התייחסות, וישנם כל כך הרבה מוצרים ופלטפורמות מעניינות שיכולים לתת את המענה החדש ואולי גם לעשות את החיים קלים.
והשאלה הגדולה היא מאיפה מתחילים ואיך כדאי להתנהל מול התקציב? ישנם מספר דרכים והדרך שיכולה לתת את המענה הנכון, לפי שכבות ותהליך.

תקציב אבטחת מידע מבוסס שכבות

בשנה האחרונה היתה עליה משמעותית של מתקפות בכל הרובדים, החל מגניבת זהויות, דרך פישינג מסיבי (בעיקר בחצי שנה האחרונה) ועד זליגת מידע מתוך הארגון של מידע רגיש.

כאשר מביטים בשנה החולפת על המתקפות שהיו, ארגונים אינם רוצים להיות במקום הזה של מתקפות ובטח שאינם רוצים להיות בכותרות בעקבות כך, ולכן יעשו ככל הנדרש כולל השקעה מסיבית ברובדי הגנה על הארגון.

אני סבור שהשקעה במערכות צריכה להיות באופן הנכון, ולהשקיע 7 ספרות באבטחת מידע לא תמיד מספקת את המענה הנכון ועלולה לגרום לתוצאה הפוכה.

הגישה צריכה להיות לפי תהליך וגישה של שכבות ורובדי הגנה, ולכן התקציב והמאמץ צריך להיות לפי השכבות הבאים.

השכבה הבסיסית – הקטנת סיכונים קיימים

מה ידוע לנו עד כה מהשנה החולפת? בין היתר מתקפות סייבר גדלות בכל שנה, אירועי אבטחה ותקריות גם כן גדלים באופן משמעותי (12x) בכל שנה, סוגי המתקפות מתפתחים בקצב מהיר, חולשות נחשפות באופן קבוע על טכנולוגיות שונות אשר ברשותינו.

לכן לפני שמתחילים לבדוק את הטכנולוגיות החדשות והמוצרים המעניינים יותר שיש כיום צריך לוודא שהרובדים הבסיסיים מכוסים ואנו נותנים את המענה הנדרש.
אם כך למה לא להתוות את התקציב לפי CIS top 20? אין ספק שכל ההמלצות חשובות אך יחד עם זאת כאשר מתאימים או מנסים להתאים את ההמלצות ברשימה, אנו צריכים לוודא שזה נותן מענה לפי התהליך הארגוני ולפי גישת השכבות.

גישת השכבות מונעת פערים בין הרובדים הקיימים כיום, בין הדרישות הבסיסיות שצריך להשלים ובין הדרישות החדשות. ההמלצות הבסיסיות צריכות להיעשות לפי הדגשים הבאים, כאשר המטרה היא לשפר את הקיים:

  • מערכת Email & Web security
  • ביצוע Security Patching (שיפור המנגנון הקיים)
  • מענה להתקני קצה עם Endpoint Protections (ברמת Anti Virus)
  • מענה להצפנות מחוץ לארגון
  • מערכות EMM\MAM – שיפור המערכות הקיימות ושילוב יכולות אבטחה נוספות
  • מערכת לביצוע Incident Response בסיסי
  • מערכת IDS/IPS
  • הדרכות Security לאנשי IT
  • הדרכות Security למשתמשי קצה
  • מערכת להעברצת קבצים מאובטחת
  • מעבר על הגדרות קיימות של מערכות שונות (Security Review)
  • שיפור תהליך וניהול סיכוני אבטחת מידע
  • ניטור פרואקטיבי של מערכות רגישות וקריטיות
  • ביצוע PenTest חציון/שנתי מול מערכות חדשות

בין היתר ישנם המלצות ודגשים חשובים כגון: הקשחות שרתים וזהויות בתוך הסביבה המקומית (מבוסס Active Directory) וסביבת הענן, שיפור נהלי אבטחת מידע וכן הלאה.

אין ספק שכל הדגשים הבסיסיים המוזכרים מעלה חייבים להתבצע באופן קבוע במהלך כל השנה, אך לצד זה מצריכות שיפורים מפני שהמתקפות גם כן מתפתחות.

השכבה המתקדמת (Blind Spots)

ברגע שמכסים את השכבה הבסיסית אנו צריכים להתקדם לשכבה המתקדמת ובשכבה זאת ישנם רובדי הגנה שמצריכים כיסוי על אזורים שונים, בגלל תצורת עבודה היברידית, בגלל ניידות של התקני קצה ומוביילים בארגון, בגלל הצורך בהנגשת המידע מכל מקום באופן מאובטח, בגלל גישה למשאבים שונים בתוך הארגון ושיתוף מידע עם גורמים חיצוניים.

אין ספק שהענן שהביא עימו שינוי מצריך מאתנו לחשוב על רובדי הגנה באבטחת מידע באופן שונה ממה שהכרנו עד כה ובאופן דינמי ומהיר. ולכן ההמלצות המתקדמות צריכות להיעשות לפי הדגשים הבאים:

  • Phishing – טכנולוגית לזיהוי, ניטור ונטרול מתקפות פישינג
  • Identity – טכנולוגיה ומענה מתקדם לזהויות תוך כדי שימוש ביכולות Adaptive\Password Less
  • EDR – הגנה על התקני קצה ומענה וביצוע Respond אוטומטי
  • הגנה על מובייל – מערכת לניהול לשליטה להתקני מובייל המאפשרת זיהוי וביצוע Respond אוטומטי
  • ניהול והערכת סיכונים אחת לחציון/רבעון של סביבה מקומית ובעיקר סביבת ענן
  • מערכת לניהול Vulnerability
  • מערכת לניהול פעולות, תחקור וביצוע פורנזיקה (יכול להבתצע מתוך מערכות EDR השונות)
  • נראות ושליטה – מערכות CASB שנותנות נראות ושליטה בענן, תוך כדי מענה לתחנות קצה אשר יוצאות מחוץ לארגון. בתרחישים מסוימים ניתן לשלב שתי מערכות CASB.
  • מערכת לביצוע Application whitelisting
  • ביצוע תהליך פורמלי של ISO 27001, NIST, HITRUST

אין ספק שהשכבה המתקדמת מכילה מערכות נוספות שבחלקן אינן בראש סדר העדיפויות, אבל אם השכבה הבסיסית קיימת אפשר להתקדם הלאה לשכבה הבסיסית וליישם את הרובדים הנדרשים לארגון.

*ישנם ארגונים אשר בשנה החולפת כבר יישמו רובדי הגנה מסוימים של השכבה המתקדמת ולכן מומלץ באותם ארגונים להתקדם לרובדים נוספים או לרובדי הגנה חדשים המבוססים על בינה מלאכותית.

טכניקות בינה מלאכותית יכולות לשפר רובדי הגנה שונים ואת ביצועי אבטחת המידע, למשל במערכות אבטחה קונבנציונליות שעלולות להיות איטיות ובלתי מספקות. ע"י טכניקות אלה ניתן לספק הגנה טובה יותר מפני איומי סייבר מתוחכמים.

CIS top 20

בתחילת המאמר הוזכרו דגשים שניתנים לביצוע על סמך המלצות CIS, ולכן אפשר למצוא בדגשים אלה את כל אותם רובדים שהוזכרו וכן רובדים נוספים.

Screenshot_2018-11-03 CIS ControlsScreenshot_2018-11-03 CIS Controls(1)Screenshot_2018-11-03 CIS Controls(2)

לסיכום

שנת 2019 הולכת להיות מעניינת וכבר כיום אנליסטים וחברות אבטחה מתחילות לפרסם דוחות שונים על הטרנדים שילוו אותנו בשנת 2019, בעקבות כך מומלץ לעשות חשיבה נוספת על רובדי ההגנה הנדרשים בארגון.
*במידה והענן הולך להיות בשנה הקרובה חלק מהתשתית הקיימת, צריך לקחת בתכנון רובדי הגנה מול הענן.

*ההמלצות והדגשים במאמר הם חלק מסוים מתוך תהליך ושכבות מוצעות בתקצוב סייבר.

Tags:

1 Response

  1. יועד דביר הגיב:
    12/11/2018 בשעה 13:07

    מצויין תודה.

    הגב

השאר תגובה

error: Content is protected !!
%d בלוגרים אהבו את זה: