<
יום שני , דצמבר 18 2017
מבזקים
דף הבית > כללי > SAS: במלחמת הסייבר מנצחים הכלים האינטליגנטיים יותר

SAS: במלחמת הסייבר מנצחים הכלים האינטליגנטיים יותר

מוטי סדובסקי, מנהל המכירות למגזר הבטחון ב-SAS ישראל

מוטי סדובסקי, מנהל המכירות למגזר הבטחון ב-SAS ישראל

אתגרים של אבטחת מידע אינם תופעה חדשה. האירוע המתועד הראשון של פריצת מערכת האבטחה וזליגת מידע התרחש בגן עדן, כאשר האקר זדוני ("הנחש") לימד את חווה איך לקטוף את פרי עץ הדעת ולהעביר את המידע הסודי לאדם.מאז המאבק על שליטה במידע, נגישות ושימוש במערכות מידע קיבל אופי פחות מיתולוגי, אך לא פחות קריטי. הרבה מערכות צבאיות הוכרעו ב"מלחמת המוחות", שבעבר נחשבה כשעשוע אינטלקטואלי של מתמטיקאים בשירות המודיעין (ע"ע אלן טיורינג) ולאחרונה זכתה למיתוג אופנתי, Cyber War. המומחים עדיין חלוקים בנוגע להגדרת הקו המפריד בין אבטחת מערכות מידע קלאסית – כזאת שמבוססת על חומות אש, תוכנות אנטי-וירוס, זיהוי חדירות והשמדת מרגלים דיגיטליים – לבין הטריטוריה של "סייבר".  מדובר בהבדלים של כמות אבל גם של איכות, ובמיוחד כאשר מגששים אחר האיום הבלתי נודע (Looking For The Unknown Enemy In The Dark Net), או מחפשים קשרים מחשידים, רמזים לחיזוי תופעות לפני שהתרחשו, או מנסים לזהות התנהגויות "לא נורמליות".

האיום שאינו פוסק:   Persistent Threat Environment

אורן (שתפקידו לא מאפשר זיהוי מלא), מנהל פעילות אבטחת הסייבר באחת מחברות התעשייה הבטחונית הגדולות בישראל, רואה הבדל איכותי משמעותי מבחינת סוג הפגיעה: ההבדל בין פגיעה מקומית במערכת לא קריטית מבחינת הביטחון הלאומי, שאז מדובר באבטחת מידע רגילה, לבין פגיעה קטלנית במערכת תשתית אסטרטגית, ששיבוש פעולתה עלול לגרור לתוצאות חמורות ככל שגל ההלם מתפשט ומרסק משאבים לאומיים נוספים. לדוגמה, פגיעה בתשתיות החשמל או התקשורת, או המים או פעולת הרמזורים, ואפילו שיבוש של מערכת שאינה בשליטת המשתמשים המקומיים, כמו GPS, שהביטחון הלאומי משתמש בשירותיה. "שדה הקרב המודרני, המרושת והדיגיטלי, נזקק לתשתיות דיגיטליות עבור תקשורת, ניווט, הנחיית חימוש חכם, פיקוד, תיאום וסינכרון בין יחידות, מודיעין ואיסוף מידע בזמן אמת – ועוד אלפי מערכות מידע שלכל אחת מהן נקודות חולשה ופגיעות במלחמת סייבר", הוא אומר. "אם בעבר היה צורך לפגוע פיזית בטנק או במטוס כדי לנטרל את ערכו כנכס קרבי, עכשיו מספיק לשבש משהו באחת מהמערכות האלקטרוניות שמבצעות את פונקציות השליטה והבקרה בכלי או בחימוש שהוא משגר. ואם בעבר היה אפשר להכין מראש אמצעי נגד כדי להגן על הנכס מפני איומים ידועים, עכשיו מדובר על מלחמה באויב בלתי נראה, התוקף בכלי נשק שקיומם ותכונותיהם לא מתפרסמים קטלוג של Janes מטרות שלא תמיד נחשבות "צבאיות".

ולמרות החמקמקות של שדה הקרב הדיגיטלי, עדיין יש צורך לא מסופק בכלים זמינים להדיפת התקפת פתע. במלחמה שלא מספקת התראות מוקדמות, באמצעות תנועות צבא ופעילות אלחוטית מוגברת, הפתעה טקטית מתרחשת כרעם ביום בהיר ועלינו להגיב עליה בזמן אפסי לפני שהנזק נעשה בלתי הפיך. "מלחמת סייבר דורשת חשיבה שונה מהמתודות המסורתיות של אבטחת מידע קלאסית, שם הנחת המוצא היא שההאקר מוגבל הן באמצעיו והן ביעדיו," אומר אורן. "עכשיו מדברים על מלחמה טוטלית ממש, בלי לקחת שבויים ובלי להגביל את הנזק לאספקטים שמביאים רווח כספי לתוקף. מלחמת הסייבר מתחוללת כבר היום במרחבי רשת האינטרנט של חפצים, Internet of Things, ממד חדש של קישוריות בו צריך להגן על מיליארדי מכשירים מקוונים, Connected Devices. אלה "משוחחים" ברשת כדי לסנכרן מידע וכאשר תפקודם משתבש כתוצאה מחדירה עויינת יש בכך להשפיע על חיינו במידע שקשה להגזים בקריטיות שלה. כאן נכנסת לתמונה האנליטיקה המתקדמת."

אתם לא יכולים להתגונן בהצלחה בלי שיעמדו לרשותכם כלים חזקים מאוד לזיהוי האיום, להתמקדות מיידית על נקודות החולשה שנחשפו ולגידור הנזק שנגרם. "הגישה חייבת להיות מערכתית; פתרון סייבר אפקטיבי חייב לשלב מספר גדול של טכנולוגיות במארג צפוף המכסה את כל האספקטים האופרטיביים – ניטור, התראה, בידוד, השמדה ותיקון נזקים. אך ללא תלות בכלים הספציפיים שתבחרו ליישום הפתרון, בלב הפתרון תמיד ידרש מנוע אנליטי רב עוצמה, המאפשר מהירות תגובה על-אנושית. עוצמת המנוע נגזרת מכך שעליו לפעול בזריזות ובאמינות "בים של מידע", בו אין הרבה נקודות ייחוס מובהקות עליהן ניתן להתביית בקלות. גם בשגרה מדובר בעומס אירועים פנטסטי, שלא פוסק 24×365, באויב נחוש שמשתמש בכלי תקיפה סייבריים המתחדשים יומיומית, ובהגנה על מטרות שאמינותן חייבת להיות מוחלטת ללא פשרות. מערכת אנליטית המשלבת תחכום – לפחות צעד אחד לפני התוקפים – עם עוצמה וביצועי "כמעט זמן אמת", היא תנאי הכרחי להצלחה".

זיהוי תבניות ב-Big Data

המנוע שנמצא על ידי אורן וחבריו לצוות הסייבר הוא מערכת אנליטית רב-שכבתית מתוצרת SAS, שמסוגלת לטפל בכמויות דמיוניות כמעט של נתונים. "זה נושא מובהק של ניתוח Big Data", אומר מוטי סדובסקי, מנהל המכירות למגזר הבטחון ב-SAS ישראל. "כאשר אתם מתגוננים מפני התקפה שאינכם מכירים מראש את מאפייניה ותיזמונה, השיטה האפקטיבית היא לזהות תבניות חריגות של אירועים תוך כדי התהוותם. החריגות יכולה להתאפיין בסממנים צפויים או לא צפויים – ובעיקר על ידי קומבינציה נדירה של מאפיינים. למשל, העברת מידע בין שתי מערכות, שבאופן נורמלי מסתנכרות רק בתאריכים ובשעות מסוימות, כאשר באירוע מעורר החשד הקשר נוצר בזמן חריג. הבעיה היא שאנו לא יודעים מראש איפה לחפש את החריגה ולכן עלינו לבודד תבנית א-נורמלית מתוך ניתוח רב-ממדי של כל זרם הנתונים (כל התכנים האופרטיביים) כולל רובד המטא-נתונים (נתונים על הנסיבות בהן נעשה שימוש בנתונים). אלה כמויות עצומות של מידע, שצריך לנתח במהירות ולהפיק מהן תובנות אופרטיביות תוך דקות, אם לא שניות."

פתרון הסייבר האנליטי של SAS כולל הגדרת תצורות מומלצות עבור לקוחות בוורטיקלים שונים, שנזקקים לרמות שונות של הגנה, ולעומסי עבודה שונים. לדוגמה, מערכת שניבנתה בארה"ב להפגנת יכולות הצליחה למיין, לסווג, לקטלג ולנתח 800 מיליון אירועים בעלי משמעות אבטחתית בפחות מחצי שעה! במילים אחרות, זו מערכת אנליטית המסוגלת לאתר ולהדוף מאות התקפות סייבר בשנייה בהתבססות על מחסן נתונים ענקי של Hadoop בגודל של 20 פטה-בייט! "SAS לא מספקת פתרונות Turnkey, כי אין פתרונות אחידים שמתאימים לכולם. לכל ארגון מפת איומים וצרכי הגנה שנגזרים מתפקידיו, סביבת העבודה שלו והקריטיות של השבתתו," אומר מוטי סדובסקי. "אנו מספקים את פלטפורמת התוכנה האנליטית, המובילה בשוק על פי גופי המחקר המקצועיים, כחבילה של פתרון סייבר אינטגרטיבי הכולל, בנוסף למנוע אנליטי, הנחיות Best Practices וכלים להתאמת היישום לפי צרכי הארגון. אנו עובדים עם כל יצרני החומרה החשובים בהגדרת התצורה המומלצת. הפתרון של SAS לא מכתיב שימוש במוצרים של יצרן מסויים וניתן גם להתאימו לסביבה הטרוגנית, כולל תצורות ענן פרטי או היברידי."

מפות של צבירי אירועים

איומי הסייבר קפצו מדרגה, בכמות ובקריטיות, כתוצאה מהמגמה המתמשכת של IoT, "אינטרנט של חפצים". אם בעבר חדירה לרשת דרשה "הנדסת אנוש", כלומר לשכנע משתמש תמים לבצע פעולה שהוא היה אמור להמנע ממנה, עכשיו ההאקרים מנצלים את יחסי האמון המוטמעים כבררת המחדל בתקשורת מכונה-למכונה. אם דיברנו על 3 מיליארד משתמשים ב-Web שמספקים מיסוך להאקרים, עכשיו אלה כבר יותר מ-50 מיליארד מכשירים שחולקים מידע באופן אוטונומי. ואם בעבר איומים התממשו בזריזות של אצבעות על המקלדת, עכשיו הם זורמים בקצב של גיגהרצים. "ניתוח סטטיסטי חכם, רב משתנים, שמופעל על מסד Hadoop, הוא הדרך היחידה למיין את האירועים ולסנן את אלה שדורשים תשומת לב ממוקדת," אומר מוטי. "הניתוח יוצר תבניות אופייניות אותן התוכנה האנליטית ממפה במרחב רב-ממדי. תבניות התנהגות נורמליות, מדרך הטבע, נופלות ב"צבירים" (Clusters), כלומר מספר גדול של אירועים מתקבצים סביב נקודה במרחב, שמציינת וקטור של ערכים ממוצעים לסוג מסוים של פעילות. תבניות "לא נורמליות" מופיעות על המפה כאירועים מבודדים (Outliers), שחריגתם מהצבירים היא התראה ויזואלית לחשדנות בה צריך לטפל בהם. הגישה הזאת היא היחידה שמסוגלת לטפל ביעילות באיומים לא ידועים, כמו Zero Day Vulnerability. המערכת לומדת בצורה אוטונומית, צוברת נתונים מהניסיון תוך כדי ריצה וקובעת מניתוח הנתונים מהן תבניות ההתנהגות הנורמלית של משתמשי הארגון. ומכאן היא גוזרת בשיטות אנליטיות מתוחכמות כיצד ניתן לאפיין, לאתר, לזהות ולנטרל משתמשים שפעולתם איננה בגדר הנורמלי (לדוגמה, הדפסות בכמות חריגה, כניסה לבסיסי נתונים אסורים, העתקות מידע בכמות חריגה, וכו')".

המנוע האנליטי של SAS משלב ארבע גישות במתודת Multi Layer Cyber Analytics, כדי לסגור את כל הפינות של חזית הסייבר:

  • מנוע חוקים – שיודע לסנן תבניות התנהגויות ידועות על פי מאפיינים מוכרים וחתימות מתועדות.
  • זיהוי אנומליות – מנגנון לזיהוי התנהגות חריגה, על פי תבניות סטטיסטיות שנלמדות אוטומטית.
  • חיזוי אירועים – מודל שעושה שימוש בסדרות זמן לצורך חיזוי התקפות עוד לפני שיצאו לפועל.
  • ניתוח רשתות חברתיות – ניתוח קשרים וזיהוי תבניות חשודות ברשתות חברתיות במתאם עם אירועים אבטחתיים שונים (למשל, פעולות טרור).

לתת למתגוננים יתרון טכנולוגי

"זיהוי החריגים, שלא נופלים בתוך צבירים מוגדרים, נעשה באופן אוטומטי, בתהליך ש-SAS קוראת לו Unsupervised Analysis", אומר מוטי סדובסקי. "התוכנה יודעת לאתר חריג על פי התנהגות שונה משל אחרים, סטיות מההתנהגות ההיסטורית המתועדת, אבחנה בנפילת ביצועים, אפיון גיאוגרפי ושייכות ל-Eco System ספציפי, התרחשות בתאריכים לא צפויים וסטיה מרצפי אירועים מקובלים. גם תוקף שינסה להקשות על ההגנה באמצעות חוסר עקיבות בהתנהגותו סופו שיפעיל את ההתראות – מעצם יצירת תבנית לא שכיחה של שינויים. מנגנון סיכול ההתקפה יכול להיות מופעל אוטומטית, או תוך שילוב מפעיל אנושי בלולאת הבקרה. לשם כך SAS מספקת ממשק ויזואלי שמציג את החריגות בגרפיקה בולטת (ה-Dashboard ניתן להתאמה אישית), אינטואיטיבית להבנה. במרוץ החימוש בין תוקפי הסייבר למערכות ההגנה, זו האסטרטגיה היחידה שנותנת למתגוננים את היתרון הטכנולוגי. לא לחינם הציבו המומחים של גרטנר את SAS במקום הגבוה ביותר בין פלטפורמות האנליטיקה לשנת 2014, כפי שעשו האנליסטים של Forrester ב-2013. כי בשורה התחתונה, במלחמת הסייבר מנצח מי שנעזר בכלים הכי אינטליגנטיים לניתוח סיכונים."

אודות יהודה אלידע

עורך ראשי. במהלך חצי יובל השנים האחרונות ביסס יהודה אלידע את מעמדו המוביל בין העורכים והפרשנים של טכנולוגיות מידע בישראל, הודות לרקע מדעי (MSc בפיזיקה ממכון ויצמן), ניסיון ניהולי (15 שנה בשיווק וניהול חברות בישראל ובחו"ל), גישה אנליטית ומחויבות לעיתונאות אחראית. יהודה אלידע ייסד, ניהל וערך את המהדורה הישראלית של PC Magazine ואת NET Magazine וב-12 השנים האחרונות הוא העורך הראשי של IT מגזין, מוסף המחשבים של גלובס, בנוסף לאחריותו על התכנים המקצועיים של פורטל IT News.
נגישות