רק זיהוי ותגובה יכולים להשלים את תמונת אבטחת המידע שמתחילה בשלב המניעה

מאת : ג'ושוע גולדפרב, סגן נשיא, CTO Emerging Technologies FireEye,

כאשר פרצות אבטחת מידע עולות לכותרות כמעט מדי שבוע, אנשים רבים החלו לשאול שאלה פשוטה: למה זה ממשיך לקרות כל הזמן?

במשך עשרות שנים, אבטחת המידע התמקדה, באופן גורף, במניעה. מניעה לעולם לא יכולה להיות יעילה ב-100%. שינוי הפרדיגמה מהתמקדות בלעדית במניעה לפוקוס משותף הן על מניעה והן על זיהוי/תגובה כבר מזמן יצא לדרך. המניעה היא תנאי הכרחי, אך לא מספיק, עבור תוכנית אבטחה חזקה ובוגרת. רק זיהוי ותגובה יכולים להשלים את תמונת האבטחה שמתחילה במניעה.

כדי להמחיש את חשיבות הזיהוי קבלו את 10 הסיבות המובילות מדוע זיהוי פרצות הוא הגל הבא של עתיד עולם אבטחת המידע.

10. האם תהמר על זה? אני לא טיפוס שמהמר, אבל אם הייתי, לא הייתי מהמר רק על מניעה. האם מישהו מהאנשים במחנה התומך במניעה יסכים להמר על משכורת של שנה שמניעה בלבד עוצרת 100% מכלל פריצות אבטחת המידע? אני לא חושב כך.

9. להיות בעד זיהוי משמעו להיות גם בעד מניעה מניעה היא דבר טוב כאשר היא משולבת עם זיהוי. אך הסתמכות אך ורק על מניעה יכולה להיות מהלך מסוכן מאוד. התוקפים הראו לנו פעם אחר פעם כי הם ימצאו את הדרך לתוך הארגונים שלנו. לכן הן המניעה והן זיהוי/תגובה נדרשים שניהם כחלקים הכרחיים של תוכנית אבטחת מידע מוצלחת.

8. התיאוריה טובה בתיאוריה, אך לא בפועל. אני ריאליסט ופרגמטיסט. מדוע? מכיוון שאני מגיע מרקע מבצעי, אני יודע שטוב יותר לא לשים את כל הביצים שלי בסל אחד. בין אם זה טכנולוגיה, מתודולוגיה, או פילוסופיה, מה שנשמע מושלם בתיאוריה עובד במציאות רק לעתים רחוקות.

7. לא כל חדירה לארגון מערבת תוכנות זדוניות. כאשר שמים בצד את כל הטיעונים האחרים, האמת הפשוטה היא ש-100% מניעה זהו דבר בלתי אפשרי בגלל העובדה הפשוטה שלא כל החדירות מערבות תוכנות זדוניות. לכן, פילוסופיה המתמקדת במניעת תוכנות זדוניות, גם אם היא 100% יעילה (עד כמה בלתי סביר שזה נשמע), יכולה למנוע רק שבריר של חדירות ופריצות.

6. נקודות כניסה רבות. טביעת הרגל האלקטרונית של רוב הארגונים, אפילו אלה שהם בסדר גודל צנוע, היא גדולה ומורכבת. אסטרטגיית אבטחה המתמקדת אך ורק במניעה דורשת מניעת חדירה ללא רבב בכל נתיב תקשורת לתוך הארגון והחוצה ממנו ב-100% מהזמן. לעומת זאת, התוקף צריך להיות על הדרך הנכונה רק פעם אחת. זה לא נראה כמו משחק שבו אני ארצה לשחק.

5. החיים דורשים איזון. כולנו מאמינים בהיגיינה טובה. אבל אף אחד לא באמת מצפה כי שטיפות ידיים שגרתיות תהיינה יעילות ב-100% במלחמה נגד הצטננות. זו הסיבה שיש לנו ממחטות וימי מחלה. אבטחת מידע היא די דומה לכך. היגיינה היא דבר טוב, אבל זה לא אומר שאף פעם לא יהיה זיהום.

4. אין פתרון קסם. היופי של פתרון הזיהוי הוא שהוא מרחיב את יכולות המניעה ומאזן את אסטרטגיית הפחתת הסיכונים של הארגון. אם חדירה מאותרת על ידי אמצעי המניעה, אנחנו יכולים להשתמש בזיהוי כשכבה נוספת של הגנה. הסתמכות אך ורק על מניעה יוצרת נקודת כשל יחידה, וזה בדרך כלל אינו רעיון טוב.

3. מניעת חדירה היא מטרה חלקית. מניעה לרוב ממוקדת על המטרה הלא הנכונה. המטרה של התוקף היא לא להגיע למערכות בתוך ארגון. זהו רק האמצעי להשגת המטרה. המטרה של התוקף היא לגנוב את המידע היקר ביותר של הארגון, ויש דרכים רבות שבהן התוקף יכול לממש מטרה זו. את חלקן ניתן למנוע, אך רבות מהן לא ניתן. הזיהוי נותן לנו כלי נוסף שיש בו כדי להפחית את הסיכון.

2. אבטחת מידע היא בעצם הפחתת סיכונים. אם ניקח צעד אחורה ונתמקד בשאלה מהי אבטחת מידע ברמת הבנה גבוהה יותר, מדובר על הפחתת סיכונים. מניעה מתמקדת במניעת פריצות למערכות הארגון. אבל האם זה באמת הסיכון שצריך להיות מופחת בתוך ארגון? לא באמת. גם אם הארגון שלנו ראה 100 מערכות נפגעות בשבוע, אם זיהינו את התקיפות הללו והגבנו אליהן לפני שהתוקפים יכלו לגנוב מידע כלשהו, אז הפחתנו בהצלחה את הסיכון הזה. מניעה מתמקדת בסימפטומים של המחלה, ואילו הזיהוי חותר להגיע לשורש הבעיה.

1. זרוק לפח את המרכז הישן שלך לניטור, שליטה ובקרה לאירועי אבטחת מידע (SOC). אם מניעה היא אכן אסטרטגיה אמינה ובטוחה, מדוע יש לכם בכלל מרכז לניטור, שליטה ובקרה לאירועי אבטחת מידע (SOC), מרכז תגובות לתקריות אבטחת מידע (IRC), ו/או מרכז הגנה מפני מתקפות סייבר (CDC)? אחרי הכול, אם אנחנו כל כך בטוחים שאנחנו יכולים למנוע הכול, מדוע לטרוח על תרגול ניטור אבטחה רציף ולהתכונן לתגובה לאירועים? ברור הדבר שאם רוב הארגונים מגבירים את פעולות האבטחה שלהם ומתכוננים לתגובה לאירועים, פילוסופיה ממוקדת-מניעה לא תסתמן כמגמה הרווחת.