ה- SOC Exprivia החדש: בין טכנולוגיה לטריטוריה

02/09/21

בתקופה זו הדיבור על אבטחת סייבר נפוץ יותר ויותר, גם אם לא תמיד מדברים עליו בידיעה מלאה של העובדות.

הפעם חשבנו לדבר על זה עם דומניקו רגוסאו, בתפקידו כמנהל החדש מרכז מבצע הביטחון (SOC) של מולפטה.

מהו SOC? מדוע פתחת SOC ולאחר מכן מדוע בפוליה?

SOC הוא מרכז לאספקת שירותי אבטחה. SOC עוסק בניטור אירועי אבטחה שבעה ימים בשבוע ו- H24, ניהול תשתיות, פילוח ומיקרו-פילוח, ניהול זהות וממשל, זהויות וגישה מיוחסות וכן הלאה. SOCs מודרניים כוללים גם שירותים יזומים, כגון תוכניות הכשרה ומודעות, בדיקות חדירה והערכה פגיעה (VAPT) והמרכז שלנו מצויד גם ב"צוות תגובת תקריות לאבטחת מחשבים "(CSIRT). למעשה, גם אם ההגנה הטובה ביותר היא מניעה, במקרה של פיגוע, הפיכת כוח אדם מתמחה לזמן קצר עושה את ההבדל בין טרגדיה לנזק שולי.

באופן כללי, ה- SOC ממוקדים בהיקף ה- IT, במקרה שלנו אנו מתמודדים גם עם IoT ומערכות תעשייתיות, SCADA ו- PLC זאת מכיוון שרבים מהלקוחות שלנו שייכים לעולם התעשייתי ועתיד אבטחת הסייבר טמון ב- IoT.

באופן לא מפתיע, אחד ממקרי השימוש בהם אנו משתמשים ביותר קשור לאבטחת הסייבר של מערכות מעקב וידאו. כפי שמקרה Mirai מלמד אותנו, למעשה, עלינו לבדוק שמכשירי IoT אינם משמשים בסיס להתקפות נוספות או תנועות רוחביות.

SOC שלנו משמש גם כמיטת ניסוי, כלומר הוא משמש לבדיקת והצגת הלקוחות את הטכנולוגיות שאנו מייצרים ומשתמשים בהם, כמו גם מקרי שימוש מיוחדים (למשל MIRAI).

אקספריביה מאמינה בתוקף בערך השיתוף, ולכן היא אוספת, מנתחת ולאחר מכן זמינה נתונים פומביים הקשורים להתקפות, תקריות והפרות פרטיות על ידי עריכת דו"ח על איומי סייבר באיטליה אחת לשלושה חודשים.

יש לנו עניין מיוחד בדיגיטציה וחדשנות. עד כמה יכולה למידת מכונה (ML) להיות בהקשר של AI ביחס לאינטליגנציה של איומי סייבר?

אנסה לפשט את התשובה. כולנו יודעים כי המונח האקר משמש לזיהוי אדם שבזכות כישוריו הוא מסוגל לשפר את עמידותה של מערכת דיגיטלית או לתקן את נקודות התורפה שלה באמצעות פעילויות ספציפיות. ההאקר הרע, לעומת זאת, הוא זה שמנסה לנצל את נקודות התורפה של מערכות דיגיטליות לטובתו.

עכשיו, אם התוקפים משתמשים ב- ML, גם הטובים צריכים להשתמש ב- ML. היישומים האפשריים רבים. לדוגמה, ML משמש לזיהוי דפוסי התקפה או מניעת תאונה. ניתן לבצע התקפות במשך חודשים או שנים ולכן חשוב להיות מסוגל לזהות אינדיקטור של פשרה (IOC) הודות לניתוח מהיר של כמויות נתונים עצומות.

תחום שימוש אחד הוא תחום זיהוי האנומליות. לעתים קרובות התוקפים משתמשים במתודולוגיות שונות, כך שהכרה ב- IOC הופכת מסובכת יותר ויותר. הודות ל- ML, קל יותר לזהות התנהגות "רגילה" וכתוצאה מכך להבין התנהגויות חריגות.

הבנה איזו תעבורה היא נורמלית ואיזו אינה אחת השימושים הנפוצים ביותר של למידת מכונה.

בטכנולוגיה תפעולית (OT) ובאינטרנט של דברים (IoT) מקובל מאוד לפנות לטכנולוגיה של זיהוי אנומליות המבוססת על ניתוח התנהגותי (UBA - User Behavior Analitics).

גם בבדיקת פגיעות ובדיקת חדירה אפשר להשתמש בבינה מלאכותית: למשל, ישנם כלים המלמדים כיצד להשתמש בטכניקות הזרקת SQL, המשמשות לתקיפת יישומים המנהלים נתונים באמצעות מאגרי מידע יחסיים באמצעות שפת SQL.

בנוסף, ישנם כלי ML המסוגלים לזהות את הפגיעויות הסבירות ביותר לניצול בהתאם לתוכנה.

עם זאת, אסור לשכוח את אבטחת הסייבר של מערכות בינה מלאכותית: במקרה זה אנו מדברים על בינה מלאכותית נגדית. למעשה, אם מערכות AI מונעות על ידי נתונים שגויים איננו יכולים להיות בטוחים כי AI מתנהג כפי שאנו רוצים.

האם תוכל להסביר לנו את השימוש ברשתות של מצלמות או אובייקטים אחרים לביצוע התקפות מסוגים מסוימים, כגון מיראי?

בואו נדבר רגע על IoT ואז נגיע למיראי. השוק מתקרב לסוגיית ה- IoT באמצעות מחשבה על המכשיר שנפגע. אם יש לי רשת מצלמות, למשל, אני חושב שהשירות שניתן עשוי להיפגע. למען האמת זהו רק היבט אחד של הבעיה.

יש מכשירים מכל הסוגים ברשת, החל ממצלמות ועד שעונים, ממכונות כביסה למקררים כולל ביגוד חכם. המשמעות היא שמספר רב של אובייקטים משמשים פוטנציאליים לביצוע התקפות לא ישירות על השירות שניתן על ידי האובייקטים עצמם. ישנם גם כלים שעוזרים למצוא מידע על אובייקטים ברשת ללא עלויות מופרזות וזה מקל על התוקפים.

דוגמה לכך הן מצלמות מעקב וידאו. מתקפת מיראי משתמשת במצלמות שנפגעו (שבינתיים ממשיכות לתפקד כראוי) אך מכוונת לשירותים אחרים שאינם קשורים לתפקוד המצלמות. הבוטים המותקנים במצלמות משמשים לביצוע דברים אחרים, מבלי לשים לב לנזק האמיתי. הבעיה עם ה- IoT היא שיש אלפי אובייקטים עם אבטחה נמוכה מאוד, למשל, במקרה של Mirai, ניתן להשתמש בהם כדי לבצע התקפת DENOS Of Distributed Denial Of Service לעבר מטרות שונות.

זה בהחלט נכון שישנן סכנות וסכנות סייבר הקשורות למודל החברה שלנו, אבל זה גם נכון שאלו משמשים לעתים קרובות כתירוץ.

אני מרבה לדבר על אבטחת סייבר עם אנשים מכל הסוגים.

לפעמים זה קורה שנעשות טעויות, פעמים אחרות אתה עומד מול מישהו טוב יותר. לפעמים ההבדל בין שני המצבים קל מאוד ולכן עדיף לחכות ולהבין.

כשזה מגיע לאבטחת IoT, לעומת זאת, צריך לטפל בשני אזורי מאקרו.

הראשון הוא ממשל ה- IoT. לעתים קרובות בעיית האבטחה תלויה בחלוקת האחריות הגרועה בתוך הארגון. לקיחת אחריות על אבטחת המצלמה, למשל, כרוכה בתשלום; לכן מישהו חייב לא רק לקחת אחריות, אלא גם לשאת בנטל העלות. אין אבטחה ללא עלות.

הנקודה השנייה נוגעת לשוק. אם מכשירים כגון מקררים המחוברים לאינטרנט נמכרים לצרכן הכללי, לא ניתן לצפות מהמשתמש להבין דבר על סייבר. חברת הייצור צריכה לקחת אחריות על הבטיחות וההסמכה של מוצרים אלה. סביר להניח שזה יעלה את עלות המוצר אבל אני לא חושב שאפשר להסתדר בלי.

נושא נוסף שאכפת לנו מאוד ממנו קשור למחקר והכשרה. מהם היחסים בין ה- SOC שלך לאוניברסיטאות, בתי ספר ומרכזי מחקר?

SOC שלנו נפתח במטה Exprivia במולפטה, אך הצוות שלנו מופץ בכל רחבי העולם. הזדמנות לשתף פעולה עם אוניברסיטאות, הן לפעילויות מחקר. שניהם בבחירת הכישרונות, הוא אחד מסדרי העדיפויות שלנו.

לתעשייה תמיד יש את הבעיה העצובה של להיות תחת איום של החזר השקעה, ולכן בהתחשב בכך שתוקפים משקיעים במחקר ופיתוח, עלינו גם אנו.

אנו משתתפים גם בפרויקטים שונים עם אוניברסיטאות, כולל ECHO, פרויקט של האיחוד האירופי שמטרתו להגדיל את יכולת החוסן הסייבר של המדינות החברות. כל זה עוזר לנו לצמצם את הפער בין התוקפים למגנים.

Exprivia השיקה גם אקדמיה המאפשרת לנו מצד אחד להעביר צוות עם כישורים חדשים שימושיים לשהייה בשוק העבודה, ומצד שני להכשיר עובדים חדשים.

עם הכנסת הבינה המלאכותית, זמני ההתקפה וזיהוי אסטרטגיית ההגנה הולכים ומתקצרים. איך אתה יכול להשתמש ב- AI כדי להגן על עצמך?

AI משמש בעיקר לזיהוי התקפה והצעת הצעדים הטובים ביותר להגיב. AI יכול לעזור אבל היום הכל תלוי גם בטכנולוגיה המשמשת את המערכות, באנשים ובהכנתם ובאלמנטים רבים אחרים.

אולם באופן כללי עלינו לדבר על תאונה ולא על פיגוע.

כאשר יש תאונה, לאחר ניתוח ראשון כבר ניתן להבין אם מתקפה מתקיימת וה- AI יכול לסייע הן בניתוח והן בניתוח אמצעי נגד נאותים בזמן הקצר ביותר.

עם זאת, עלינו לזכור שבאופן כללי, אין סוג הגנה תקף תמיד ולכל סוג התקפה, כך שלא כדאי לטעות ולחשוב ש- AI הוא הפתרון לכל סוגי ההתקפות. אולם למרבה המזל, ישנם כלים המשתמשים בבינה מלאכותית בדרכים שונות.

באופן כללי, אבטחת הסייבר מורכבת מאוד ותלויה בהרבה גורמים; בינה מלאכותית יכולה לעזור, אך היא יכולה גם להיות חסרת תועלת או מסוכנת. הרבה עדיין תלוי ביכולת של אנשים.

מהם פתרונות אבטחת הסייבר החדשים?

כיום מדברים הרבה על מיקרו-פילוח, טכנולוגיה שימושית מאוד שבזכותה שני משתמשים יכולים לדבר רק בערוצים ספציפיים, על שירותים מסוימים או על נושאים מסוימים, לא על הכל.

מעבר לענן הוא גם אחד הנושאים שעדיין דנים בהם הרבה, אך לרוב אינם מובנים היטב; הענן בהחלט יכול לסייע בשיפור האבטחה, אך החשוב הוא שהוא משמש נכון.

דומניקו, עשית סקירה טובה על SOC ועל הטכנולוגיות שניתן להשתמש בהן, אך עדיין יש לנו סקרנות, אז כדי לסגור, נחזור לשאלה הראשונה: מדוע בפוליה?

החברה Exprivia, שהוקמה על ידי נשיאה הנוכחי דומניקו פאבוצי, הרשומה בבורסה ועם כ -2400 עובדים, ממוקמת ב פוליה.

אז הדבר הסביר ביותר נראה לנו לפתוח את ה- SOC באזור זה גם כדי לתרום לפיתוח השטח. ברור שאנו מספקים שירותים בכל מקום, באיטליה ומחוצה לה; הרבה עובדים הם מפוליה, אבל אנשי המקצוע שעובדים איתנו מגיעים מאזורים שונים, גם עובדים מרחוק ולא עם לקוחות איטלקים וזרים.

אלסנדרו רוגולו, מאוריציו ד'אמאטו, סימון דומיני

מידע נוסף:

- אקספריוויה - עתיד. מושלם. פָּשׁוּט

- דו"ח מודיעין על איום Exprivia 2Q 2021

- אבטחת סייבר: מהו SOC? - הגנה מקוונת

- רשת ECHO

- מהי מערכת SCADA? - יסודות SCADA - כלי מכשירים

- מהו PLC? בקר לוגי לתכנות - Unitronics (unitronicsplc.com)