אלי שלמה

עוד יום של סייבר בענן

אוטומציה ואתגרי אבטחה

by · 21/12/2022

אוטומציה, בינה מלאכותית וסייבר, מה כבר יכול ללכת לאיבוד בדרך? האם אוטומציה יכולה להיות אוטומטית בצורה מלאה, חצי-אוטומטית, או בכלל כזאת שמשלבת הפעלה ידנית? בקיצור, שיש מעצור בנשק זה עלול לגרום לנזק כבד, ולהיפך, שיש זיהוי של שיגור כושל זה יוצר פאניקה. אוטומציה היא חלום רטוב של כל צוות אבטחה, ועדיין אינה פשוטה כמו שהיינו רוצים.              

האם אוטומציית אבטחה יעילה או שמדובר על עוד משהו שיושב בחצר האחורית? מצד אחד אפשר לומר שללא אוטומציה, צוותי אבטחה יהיו מוצפים ועמוסים, כמו בימים אלה, ואף מעבר לכך בעתיד הקרוב והרחוק.

הדבר היחיד שמובטח בסיטואציות כאלה הוא שאם לא נשים את הכלי המדויק שיוריד עומסים של התראות, או במקרים אחרים יבצע טריאז, וכן יבצע תגובות אוטומטיות לתקריות מסוימות, צוותי אבטחה ימשיכו לפספס פיסות מידע, תקריות פונציאלית או זיהוי תקיפה ממשי וחשוב. 

מצד שני, כמה אנו מנצלים יכולות אוטומטיות באבטחה, והאם אנו עובדים עם הכלי הנכון? יש כזה כלי? עדיין, אוטומציה אינה קסם ויש לה חסרונות ויתרונות כאחד.

כמו בתחומים אחרים גם במקרה הזה של אוטומציית אבטחה החדשנות הטכנולוגית משנה את חוקי המשחק, איך? 

  • המעבר לענן והנוכחות של מספר ספקי ענן בכל סביבה ממוצעת
  • אתגרים טכנולוגיים חדשים ודינמיות אפליקטיבית
  • סיכוני ואיומי סייבר שהולכים ומתעצמים מעת לעת 
  • שחקני אוטומציה חדשים בתחום שמציעים גישה אחרת/מתקדמת

למי שנגעו, מכירים מעט את התחום, או עם מומחיות כלשהיא באוטומציית אבטחה, בין אם ביצעו אוטומציות באמצעות Cortex XDR או דרך Power Automate עם Microsoft Sentinel יודע שמדובר על פעולות שאינן פשוטות ובטח שאין אפשרות להפעיל תבניות AS IS, ויתרה מכך, הבינו שעדיין צריך לבצע התאמות ותפירות לכל סביבה ולכל מקרה, ולכן, עדיין מצריך ידע רב והתנסות. כמו בפתרונות אבטחה אחרים, גם כאן, עדיין הרבה על הנייר, מעט בשטח, ולמרות כל זאת נראה כי המגמה מתחילה להשתנות עם כמה שחקני אוטומציות שנולדו לאחרונה. השאלה המתבקשת, האם נצטרך ידע מתקדם בהתאמת תבניות ובתפירת פלייבוקים? נכון לימים אלה, עדיין נצטרך.

ישנם מספר דוחות ומחקרים שנעשו בשנים האחרונות  וגם התייחסות של גרטנר לגבי אוטומציית אבטחה, כמו גם תריסרי סטארטאפים וחברות שנולדו בעקבות כך, ויצאו עם הכרזות על פתרונות אוטומציה מבוססי Low-Code / No-Code שמביאים בשורה. מחקר אחד שנערך ע"י Carnegie Mellon בארה"ב הראה, כי מערכות ניתוח ביג דאטה אוטומטיות חזו ברמת דיוק של כמעט 70% לאילו נכסים סיכוי גבוה להיפרץ על ידי תוקפים, בהתבסס על מספר רב של מאפיינים. וכאן עולה השאלה, איזה אוטומציה אפשר לעשות כאשר הדיוק הוא רק 70%? האם פלייבוק אוטומטי יהיה מספיק טוב במקרה הזה? 

מחקר נוסף של מיקרוסופט מעריך כי פריצות למאגרי מידע יכולות לעלות לארגון בסביבות 20 מיליון דולר לתקרית, דבר הכרוך בנזק תפעולי רב ובפגיעה ביעילות. אוטומציית אבטחה מהווה כלי חיוני למניעת נזקים אלו, וכפי שהגדירה "יכולות המבוססות על בינה מלאכותית אוטומטית הופכות את התגובה וההתאוששות מהתקפה למהירות ויעילות יותר".

מחקר נוסף של Reply מציג תמונה נוספת לפיה אוטומציה וכלים מבוססי בינה מלאכותית יהיו חיוניים במאבק במספר ההולך וגדל של סיכוני ואיומי סייבר. הדו"ח מנתח מחקרים בתחום אבטחת הסייבר לצד הראיות של Reply עצמה ומשווה נתונים של מספר מדינות באירופה על סמך מדינות הנמצאות ב Big-5.

ככל שתקיפות הופכות תכופות ומתוחכמות יותר, אימוץ טכניקות אוטומציה והיפר-אוטומציה מדגישות כיצד בינה מלאכותית ולמידת מכונה מציגות פתרונות אפשריים, וניתן ליישם אותן בכל שלב של הגנה – משלב אפליקטיבי לתשתית, מנקודות קצה ועד מחשוב ענן. פרטים נוספים מאותו הדו"ח מראים כי אוטומציית אבטחה תיראה, במיוחד, בארבעה דומיינים שונים:

  • אבטחת יישומים
  • אבטחת נקודות קצה
  • אבטחת נתונים
  • אבטחת IoT

מצב קיים והעתיד

בעוד שפתרון SOAR הוא בהחלט קטגוריה מתבגרת, ספקים מובילים מציעים פתרונות SOAR כבר שנים ארוכות. לכן, כאשר בוחנים את יכולת הביצוע של הפתרון, ספקים מובילים בהחלט הפרידו או ניסו להפריד את עצמם מתוך פתרון כולל. לצד זה, ספקי SOAR מסויימים התפתחו כדי לספק אוטומציית אבטחה עם הבטחות של Low-Code/NoCode המשתרעות מעבר למקרי השימוש המוכרים של צוותי SOC.

העתיד של SOAR טמון בפתרונות אוטומציה של אבטחה המספקים חיבור מהיר, גרנולריות, בנייה מהירה של פלייבוקים, ראאית אבטחה, ומינימום קוד להתאמה מול סביבה קיימת. זה ירחיב את מקרי השימוש מעבר למה שפתרון SIEM או XDR יכולים לספק כיום. כדי לפרוק תובנות אלה, זה עוזר להבין את העבר, ההווה והעתיד של SOAR.

איך SOAR התחיל

כידוע, תעשיית אוטומציית אבטחה החלה את דרכה עם טכנולוגיות SOAR בסיסיות למטרה המפורשת של אוטומציה לתהליכי עבודה של SOC כמו פישינג, מצבי Enrichment וטריאז קלאסי. בעוד אלה ממשיכים להיות מקרי השימוש הנפוצים ביותר באוטומציית אבטחה כיום, פתרונות מסורתיים נוטים לשרת נישה מסויימת של אבטחה. הסיבה העיקרית לכך היא שפתרון SOAR צבר מוניטין של פלייבוקים קשיחים ודורשת משאבי פיתוח וידע רב של יצירה ופיתוח. תכונות אלה הן הסיבות לכך שאימוץ SOAR הוגבל בעיקר לצוותי אבטחה גדולים ובוגרים ביותר או לשירות מנוהל. חשוב להדגיש כי גם בצוותי אבטחה בוגרים מדובר על השקעה לא מבוטלת.

במהלך השנים, ספקים מייסדים בקטגוריית SOAR הלכו לאחד משני כיוונים – הם חידשו במטרה לענות על הצרכים לעתיד של אוטומציית אבטחה, או שהם נרכשו. למשל, הרכישה של Siemplify על ידי גוגל סימנה את הערך העתידי של אוטומציית אבטחה והרחיבה את ההובלה של Swimlane כספקית אוטומציית האבטחה מובילה, לצד זה גם פאלו-אלטו עשו שינויים באוטומציה עם שיפורים במנגנון Cortex, וכמו גם Microsoft Sentinel יחד עם יכולות XDR והשילוב של Logic Apps.

מהי אוטומציית אבטחה?

אוטומציית אבטחה היא שם נרדף לפתרון SOAR, אבל במציאות, ישנם כמה הבדלים חשובים בין שתי הגישות לאוטומציה. ברוב הנסיבות SOAR הוא שם נרדף למספר קטן של מקרי שימוש המתמקדים אך ורק באנליסטים, לרוב אנליסטים Tier1. מקרי שימוש כמו טריאז של התראות פישינג, או ביצוע בדיקות מוניטין של IOC של התראות SIEM. בעוד שמקרי שימוש אלה הם בעלי ערך וחוסכים לצוותים כמויות משמעותיות של זמן בפעילויות היומיומיות שלהם, הם מוגבלים בהיקפם במי ובכמה הם יכולים לעזור.

לעומת זאת, אוטומציית אבטחה המאמצת את המהות של PPT – אנשים, תהליכים וטכנולוגיה יחד עם פריימוורקים מוכרים של Cyber Kill Chain / MITRE. אלה מפוקסים ומניעים פעולות אבטחה יעילות, אפקטיביות ומדרגיות יותר בחלק נרחב יותר של צוות האבטחה ומטרותיו. היא משיגה זאת על ידי שימוש בטכנולוגיית מועשרות יותר, אפשרויות קידוד שונות ונתונים ובניית פלייבוקים עשירים יותר כדי להרחיב את הישימות של אוטומציה, אורקסטרציה ותגובה כמערכת של רשומות מעבר לאבטחה ופעולות SOC. במצב כזה האוטומציה מאפשרת תמיכה במגוון רחב של בעלי עניין, כמו, DevOps, AppSec, טריט האנטינג וקבוצות אבטחה נוספות.

חשוב לומר כי בעוד שמקרי שימוש נפוצים בפתרון SOAR כמו פישינג וטריאז ממשיכים להיות פופולריים, אוטומציית אבטחה מוסיפה ערך גם ע"י פתרון בעיות סביב עומס נתונים ומחסור בכשרונות עבור צוותים המתמקדים בהונאה, ניהול פגיעויות, פלייבוקים, מקרים משפטיים ותאימות.

הדור הבא של אוטומציית אבטחה

החלק הנוסף הוא העתיד של אוטומציית אבטחה והערך שהוא יספק מעבר לנוכחות הקיימת כיום עם תשתיות SIEM או XDR במטרה תמיכה רחבה, לספק גמישות רבה יותר וגישה אגנוסטית לסביבה.

אוטמציית אבטחה תושג לפי מגמות מתפתחות של:

ביג דאטה דורש אוטומציה גדולה –  מבחינה היסטורית, טכנולוגיות SOAR לא הוערכו על התפוקה או כוח העיבוד שלהן ולא ידעו להסתכל על כלל המידע. זה ישתנה עם המעמד העתידי של פתרונות אוטומציה לאבטחה מכיוון שהסביבות הופכות גדולות יותר ונדרש לעבד כמויות מידע עצומות שמגע אדם אינו יכול להתמודד עימם.

איכות האינטגרציה – פתרון SOAR בימינו צריכים לכסות את רוב הכלים הנפוצים המשמשים צוותי SecOps, מספר זה עולה בקלות על 100 תשתיות, כלים ומערכות. עם זאת, בעת הערכת פתרון SOAR, צריך להסתכל מעבר לכמות האינטגרציות וגם להעריך את איכותן. אינטגרציות יכולות להשתנות מאוד מבחינת עומק, יציבות ותיעוד, ולכן לא מדובר רק על החיבור עצמו אלא על העומק והאיכות שהחיבור יכול להגיע אליו.

חיבור מול כל תשתית ופתרון – ככל שמשטח התקיפה ממשיך להתרחב, צוותי אבטחה צריכים להשתלב עם מערכות וכלים שאינם משולבים באופן מסורתי מנקודת מבט של SecOps – כגון סביבות מולטי ענניות, אפליקציות נייטיב וכן הלאה. כמו שאנו מכירים, אינטגרציה מובנית בקליק כמו שהענן מאפשר זאת הנקודה הראשונה כאשר בוחנים פתרון או כלי דינמי, משם זה מתקדם לעושר ואיכות האפשרויות והמידע של פעולות אוטומטיות.

דמוקרטיזציה – לאוטומציית אבטחה יש פוטנציאל לפתור מספר עצום של בעיות, אך היא לעולם לא תגיע למלוא הפוטנציאל אם תמשיך להיות פתרון אשר נגיש רק למומחי האבטחה המיומנים ביותר. אוטומציית אבטחה אשר מבוססת על Low-Code/No-Code משנה זאת וע"י הנגשה של פתרונות שאינם מצריכים יכולות פיתוח מתקדמות תהפוך את אוטומציית אבטחה לנגישה יותר.

שלושת המוסקטרים – פתרון SOAR הוא למעשה התכנסות של מספר טכנולוגיות ובא לסייע במקרים כמו:

  • פלטפורמות תגובה לתקריות, הכוללות ניהול אירועים (IR).
  • תמיכה וחיבור לתשתיות SIEM שהיא חלק מה SOC.
  • פלטפורמה לבינת איומים (TIM).

מאפיינים אלה צריכים להיות מוצעים כחלק מהפתרון או כזה שיודע להשתלב עם מערכות וכלים אחרים.

למידת מכונה – היא לעתים קרובות מוגזמת בתיאורה ורחוקה מביצועי שטח, אבל למידת מכונה יכולה לספק ערך בפעולות אבטחה. פלטפורמות SOAR עם חשיבה מתקדמת ממנפות למידת מכונה כדי להיות חכמות יותר עם כל אינטראקציה ולספק תובנות והמלצות מעשיות לאנליסטים, וצוותי SOC.

ענן – בחצי העשור שבו SOAR קיים, הענן שינה את פעולות האבטחה. זה נכון הן מבחינת האימוץ של כלי SecOps מודרניים מבוססי ענן, והן מבחינת הצורך לאבטח יישומים ותשתיות מבוססי ענן. פלטפורמות SOAR עם חשיבה קדימה בנויות לאמץ במהירות את הענן, החל מחיבור ופריסה בענן ועד למקרי שימוש ופלייבוקים ספציפיים לענן.

היפר אוטומציה

לצד אוטומציית אבטחה נולד גם היפר-אוטומציה. 

אוטומציה והיפר-אוטומציה נחתכות מאותו בד, וכל פתרון נותן לארגונים בדיוק את מה שהם חושקים בו: טכנולוגיה שמניבה תהליכים מהירים, מדוייקים, ונטולי טעויות. עם זאת, היפר-אוטומציה לוקחת את האוטומציה צעד אחד קדימה, והיא מציעה שכבות נוספות של טכנולוגיות מתקדמות המטפחות תהליכי אוטומציה מקצה לקצה, מייעלות תהליכי עבודה ומאפשרות לצוותים להסיר משימות יומיומיות מייגעות.

בכל זאת, הוויכוח הוא לא תמיד על אוטומציה מול היפר-אוטומציה. הרכיבים הייחודיים שלהם מאפשרים להם לבנות אחד את השני, וכל אחד בפני עצמו יכול להיות הקריאה הנכונה למאמצי מיטוב התהליכים בארגון. מערכות הבינה המלאכותית של הדור הבא משולבות כיום כמעט בכל קטגוריה – וספקים רבים מאמינים שניתן להפוך לאוטומטיות עוד יותר. היפר-אוטומציה תהפוך למגמה גלובלית, אם לא הכרחית, ובאבטחת סייבר, היפר-אוטומציה יכולה להיות הדבר שהופך את העייפות המתמדת של התראות ואירועי סייבר לניתנות לניהול.

הודות לריבוי המהיר של כלי פיתוח עם יכולות קידוד ותהליכי DevOps זריזים, ארגונים רבים כבר הפכו כל משימה שגרתית ולא שגרתית לאוטומטית. היפר-אוטומציה לוקחת אוטומציה רובוטית ואבטחת איכות לשלב הבא, ומשלבת טכנולוגיית ML/AI על גבי נתונים עצומים כדי לשכפל את תהליך קבלת ההחלטות האנושי.

בנקודת זמן עתידית נוכל לתאר עולם ללא לגאסי שמערכות חכמות מקבלות החלטות מהירות להפליא המבוססות על ערכות נתונים מורכבות באופן בלתי אפשרי – זוהי היפר-אוטומציה. בחזרה לנקודת הזמן הזאת, ניתן להשתמש בהיפר-אוטומציה כדי לשפר את ניהול התהליכים העסקיים, פתרונות iPaaS ומערכות אבטחה (באופן קריטי). 

היתרונות העיקריים של היפר-אוטומציה:

  • מייעל ומשפר את האוטומציה של עבודה ותהליכים.
  • משפר את הזריזות העסקית ואת אסטרטגיות הפיתוח.
  • מגביר את האבטחה עם אוטומציה מבוססת  קידוד, קרי Low-Code/No-Code.

החסרונות העיקריים של היפר-אוטומציה:

  • דורש תשתית טכנולוגית מהדור הבא וללא טכנולוגיות לגאסי.

מה ההבדל בין היפר-אוטומציה לאוטומציה?

  אוטומציה היפר-אוטומציה
מבנה כלי אוטומציה, נתונים למידת מכונה, כלי היפר-אוטומציה, כמויות מידע
היקף פלטפורמה יחידה ריבוי פלטפורמות
מורכבות מבוסס משימות מבוסס תהליכים ומבוסס נהלים

היפר-אוטומציה עדיין בנויה על בסיס של אוטומציה, ומשלבת בינה מלאכותית עם כלי אוטומציה, כדי לענות על כמויות, היקף ומורכבות.

כמה שימושים אפשריים של היפר-אוטומציה באבטחה כוללים:

  • מערכת בינה מלאכותית שסוקרת הודעות מייל עם יכולות עיבוד כדי לזהות ניסיונות פישינג.
  • קריאת מסמכים באמצעות תווים אופטים כדי לזהות מידע המאפשר זיהוי אישי.
  • זיהוי הונאות עסקאות.
  • זיהוי תוכנות זדוניות מבוססות קבצים.
  • ניתוח התנהגות תהליכים.
  • זיהוי התנהגות חריגה של המערכת.
  • מיטוב מלאי נכסים ומיפוי תלות.
  • סגירת שטחי תקיפה חיצוניים. 
  • זיהוי וסגירה של חשיפות ענניות ומיסקונפיגורציה.

בעבר, מערכות אוטומטיות היו מוגבלות למשימות שגרתיות. היפר-אוטומציה ממנף את קבלת ההחלטות של ML לפעולות מורכבות יותר, ובתשתיות SaaS, ניתן להשתמש בהיפר-אוטומציה כדי לבצע בדיקות תצורה שגרתיות, ואף, יכולות לבדוק אם קיימות בעיות מורכבות יותר.

ארגונים שמאמצים היפר-אוטומציה יכולים להפחית את עלויות התפעול שלהם באחוזים מסויימים, בעיקר באמצעות אוטומציה של תהליכים עסקיים. עם זאת, החסכון בעלויות של אוטומציה של בעיות אבטחה – והקלה על תשתיות רחבות היקף, מורכבות ומרובות עננים – עשוי להיות משמעותי אף יותר.

עבור אנשי אבטחה, הנוף אינו משתנה באופן משמעותי. היפר-אוטומציה כבר נכללת בפתרונות רבים מהדור הבא, התומכים בבינה מלאכותית. אבל הבנת העקרונות של היפר-אוטומציה עשויה להפוך בקרוב לחשובה לא פחות מהבנת העקרונות של אוטומציה ובדיקות של תהליכים רובוטיים. רוב פתרונות האבטחה כבר משלבים בינה מלאכותית מהדור הבא; הם צריכים.

צוותי אבטחה אינם יכולים לעמוד בקצב של כמויות המידע וערימות הטכנולוגיה הארגוניות הגדלות במהירות. היפר-אוטומציה מגדילה את התועלת של מערכות מונחות בינה מלאכותית אלה, ומעניקה להן את היכולת לקבל החלטות אנושיות. יתר על כן, תוקפים מתחילים להתמצא באופן שבו פתרונות אבטחת סייבר של AI/ML עובדים. מערכות היפר-אוטומציה מתקדמות יקבלו החלטות מתוחכמות יותר מהר יותר, ובכך יגדילו את המורכבות של אסטרטגיות ההגנה של הארגון. פתרונות AI/ML מתקדמים יותר הם מטבעם פחות צפויים ויותר ניתנים להגנה.

כידוע, בני דור ה Z, שנולדו בין 1997 ל-2012, רק התחילו את הקריירה שלהם, ובעוד 10 שנים הם יהיו מנהלי שרשרת אספקה. הדור הזה גדל כיום עם טכנולוגיות דיגיטליות וחדשות, מצופה מהם להיות חדשנים וכאלה שמאיצים את הדיגיטיזציה של שרשרת האספקה וסוללים את הדרך להיפר-אוטומציה. דור ה Z נוטה יותר לאמץ טכנולוגיות חדשות, ולכן היפר-אוטומציה היא טכנולוגייה מעניינת – מכאן עשויה להיות גם השפעה דורית, כי הםא אינם מתחברים לטכנולוגיות קלאסיות, ויתרה מכך מאמצמים טכנולוגיות קלות לחיבור.

לסיכום

מערכות אוטומטיות ישנו את האבטחה מהר יותר ממה שאנו חושבים – רוב אנשי המקצוע בתעשייה כבר מודעים לכך שהאוטומציה תופסת תאוצה במהירות לצד החסרונות הטמונים בה. שילוב של טכנולוגיות חדשות, לחצים כלכליים ומחסור בכישרונות נגישים ובמחיר סביר הניעו חדשנות בכל תעשיית האוטומציה. היפר-אוטומציה – המבוססת על תהליכים אוטומטיים וממוטבים הנעה על גבי כמויות מידע עצומות עם קבלת החלטות חזקה יותר בזמן אמת – היא השלב הטבעי הבא.

עבור מומחי אבטחה, היפר-אוטומציה שם את הדגש על פיתוח ארכיטקטורות עמידות עם התמונה הגדולה כדי להישאר מעודכן באיומים בלתי נגמרים. בחזרה לכלים החדשים שמוצעים היום ומתבססים על קידוד ובנייה מהירה של פלייבוקים על סמך כמויות מידע. הכלים החדשים מביאים פשטות, חדשנות וחיבור פשוט מול אינספור מערכות צד שלישי, אבל, חלקם חוטא באופן ברור בראיית אבטחה, ולכן האפשרויות והתבניות המובנות שמובטחות לנו יהיו צריכות להיבנות מחדש.  

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *