הערך של זיהוי ותגובה מורחבים

(של מרקו רוטיני)
05 / 01 / 22

In אבטחת סייבר, מה זה אומר זיהוי ותגובה מורחבים (XDR)? אילו תכונות יש למערכת XDR? איך זה יכול לעזור למי שנפגע מהתקפה?

La אבטחת סייבר זה דורש הוליזם

אחת האמונות שלי בנושא של אבטחת סייבר הוא שההתקפות מבוצעות על נקודת סיום; או, לפחות, שנקודת המגע בין העולם הדיגיטלי למשתמש היא אינסטרומנטלית ובסיסית להתקפה.

זה למעשה הנקודת סיום המקום בו המשתמש - שתמיד היה החוליה החלשה ביותר בשרשרת ההגנה - מקיים אינטראקציה עם פסוק הסייבר, נחשף ברשת, אשר נפגע מניסיון תקיפה.

בזמנים מודרניים אלה של ריחוק דיגיטלי ושימוש מסיבי בענן, התפשטות השפעותיה של תקיפה מאופיינת בוויראליות מרשימה ובהתפשטות.

כל זה מעמיד מבחן חמור ליכולתן של חברות לזהות ולהגיב בזמנים נאותים כדי למתן את ההשפעה, כמו גם השלכות מזיקות מאוד מבחינת מוניטין, המשכיות פיננסית ועסקית.

בנוסף לדוגמאות המיידיות ביותר, האמיתות של הנאמר נשארת גם בתרחישים המורכבים ביותר: משתמש ניגש לסביבת פיתוח עם צורה חזקה של אימות, ואחראי לתצורה של מערכת משאבי ענן; במהלך התהליך של טרפורמינג (מונח המשמש בדרך כלל להגדרת שלב התצורה) שוכח הוראה לצמצום רשימת כתובות ה-IP שיכולות לגשת למופע האחסון המוגדר. כאן נוצרים - שוב הודות לאינטראקציה בין המשתמש לבין פסוק הסייבר באמצעות א נקודת סיום - התנאים האידיאליים להתקפה של דליפת נתונים in ענן.

מקרה נוסף יכול להיות ארכיטקטורה של של Active Directory תצורה שגויה, כאשר מערכות השייכות לתחום אינן סטנדרטיות ורבות מהן ללא תמיכה. במקרה של התקפה, הופך להיות חשוב לתמוך בחוסן של המערכת האקולוגית, שתנוחת האבטחה שלה כמובן אינה אופטימלית, תוך מתאם אינדיקטורים של חריגות עם מידע מניהול הנכסים.

לכן עולות שתי שאלות חשובות:

  1. איך לזהות את האירועים החריגים הללו בצורה הכי הוליסטית שאפשר, תוך חיבור כל הנקודות כדי להגביר את הבנת ההקשר והדחיפות על מנת לתעדף את ההתערבות?
  2. איך לעשות את הזיהוי הזה כמה שיותר מהר, כדי לזרז תגובה ותיקון?

Il זמן להתעכב

באופן כללי יותר, הבעיה עתיקת היומין היא במזעור זמן השהייה: זהו שם הזמן שחולף בין התפשרות של מערכת אקולוגית לבין הרגע שבו מתגלה הפשרה.

על פי דיווח של מנדיאנט בשנת 2021, מספר ימי השהייה הממוצע בשנת 2020 ב-EMEA גדל ל-66 ימים, מ-54 בשנת 2019. לא רק שנתון זה מהווה סימן להחמרה ממוצעת, אלא שהרחבת הנתון הממוצע אנו מוצאים מצב מדאיג מאוד1, שעליו אני מדווח באיור הבא - לקוח מהדוח.

הנתונים שאמורים לגרום לנו לחשוב נוגעים ל זמן להתעכב המתייחסים להתקפות חיצוניות, כלומר כאלה שבהן הארגון מקבל הודעה מבחוץ על הפשרה כיוון שאינו מסוגל לזהות את הפשרה בזמן באמצעות משאביו.

תוך 225 ימים, כוכב הלכת נוגה משלים מעגל שלם סביב השמש! תארו לעצמכם את רמת הנזק שתוקף בעל מוטיבציה יכול לעשות לארגון שהוא הצליח להתפשר. כדי לקבל תמונה מדויקת יותר של הנזקים והעלויות הנובעים מהתקפות אלו, בהן הקביעות מציעה לתוקף כל הזמן לבצע כל סוג של פעולה במערכות האקולוגיות שנפגעו, ניתן להתייחס ל- דוח חקירת הפרת נתונים מאת Verizon.

פתור את הבעיה: מ-EDR ל-XDR, דרך MDR

כדי להפחית בעיה זו על ידי שיפור היכולות הנדרשות, פתרונות של איתור נקודות תגובה ותגובה.

העזרה המוחשית של EDR היא בשני מישורים:

  1. זיהוי וחסימה מונעת של ניסיון פשרה, עם פעולות אקטיביות הדומות לאלו של אנטי וירוס מתוחכם.
  2. זיהוי ההקשר שלאחר הפשרה, על מנת לפשט את זיהוי החריגות שנמלטו ממניעה ולאפשר פעולות תגובה לצמצום הנזק: למשל הסגר קבצים, הפסקת תהליכים רצים, בידוד מבוקר של המכונה הנגועה ברשת.

כלים חזקים ויעילים מאוד אלה אינם מנוצלים לרוב על ידי חברות בשל מחסור או חוסר יכולת של משאבים פנימיים. מצב זה עורר את הבקשה והלידה של שירותים ספציפיים שיאפשרו יתרונות לגודל במיומנויות ובמשאבים הדרושים להפעלת מערכות זיהוי ותגובה ביעילות מטעם צדדים שלישיים.

שירותים אלו נקראים בשם איתור מנוהל ותגובה או MDR.

עם זאת, נאמר בתחילת הדרך כיצד המורכבות ההולכת וגוברת של המגוון הביולוגי הדיגיטלי, המאפיינת כל ארגון מודרני, טומנת בחובה בעיה של נראות של כל אקוסיסטם ה-IT. ראות לקויה המייצגת מגבלה עצומה לפעילויות הזיהוי והתגובה החשובות כל כך ליציבה נכונה של אבטחת סייבר.

צורך הוליסטי זה קבע את התפתחות תפיסת ה-EDR לקראת זיהוי ותגובה מורחבים לכיסוי כל הנוף הדיגיטלי של ארגון: ומכאן ראשי התיבות XDR, זיהוי ותגובה מורחבים.

מערכת XDR מאפשרת לך להתמקד בהתנהגות החריגה האופיינית לאסטרטגיית תקיפה, תוך התחשבות באותות של המערכת האקולוגית כולה המנורמלים ומתואמים כראוי להיות ניתנים לצריכה על ידי בני אדם.

לכן, לא רק הטלמטריה הנראית ב-נקודת סיום, המורכב מקבצים, תהליכים ותקשורת רשת שהתקבלה ויזומה כלפי חוץ; אלא מידע מהסביבה הסובבת על האינטראקציה שנקודת סיום היו לו עם אותן ועם ישויות דומות, ולכן אחרות נקודת סיום, או מכשירי IoT, נתבים, חומות אש, פרוקסי, מערכות ניהול זהויות, משאבי ענן ועוד ועוד.

ההיגיון הזה מסביר מדוע XDR נחשב על ידי CISOs רבים כפתרון לבעיות ארוכות שנים שעדיין משפיעות על האפקטיביות והיעילות של אבטחת סייבר הֲגַנָתִי.

XDR מאופיין בשלוש תכונות הבחנה חשובות:

- היכולת להשתלב עם אלמנטים מסביב בצורה דו-כיוונית: כלומר, על ידי קבלת זרמי מידע על האירועים שמעקבים אחריהם, אך גם על ידי שליחת הנחיות על תגובות שניתן לבצע רק על ידי גורמים אלו. דוגמה למערכת פרוקסי תהיה חסימת ניווט לאתר ספציפי כמקור להורדות זדוניות.

- היכולת לנתח טלמטריה שנקלטה ומזוהה: כלומר לנרמל ולתאם כמויות עצומות של נתונים כמעט בזמן אמת, באמצעות צורות של בינה מלאכותית (AI) המאפשרות למצוא אותות, נתיבים של פירורי לחם שהשאיר התוקף, באמצע חופים ענקיים דומים מאוד גרגרי חול ביניהם. פעולה זו בהחלט לא תהיה בהישג יד של אף צוות תפעול אבטחה, והיא מואצלת בדרך כלל לתשתיות ענן בשל קיבולת החישוב והאחסון הגבוהה שהיא דורשת.

שימו לב שבינה מלאכותית חייבת להיות טיפולוגיה בפיקוח, כלומר להפיק תועלת מחינוך מקדים המאפשר לזהות את המרושע מהחריג והנורמלי. כדי ללמוד עוד על הסוגים השונים של AI, אני מתייחס לסוג המעניין מאמר שפרסם אורציו דנילו רוסו יולי האחרון.

- היכולת להגיב בצורה אקטיבית, באמצעות ממשקי תקשורת הנקראים API (Application Programming Interface), באמצעות הטכנולוגיות איתן הוא משתלב. בדרך כלל פעולה זו מתרחשת בעקבות נהלים מקודדים מראש הנקראים Playbooks, המתארים את רצפי הפעולות השונים על מנת לזרז ולהפוך את התגובה לאוטומטית ככל האפשר.

מובן מאליו שהיכולת ההוליסטית שנפרסת על ידי מערכת XDR המשולבת היטב עם מערכת ה-IT שלה משפרת מאוד משאבים מיוחדים, הן אלה בתוך הארגון והן אלה המופעלים בסופו של דבר באמצעות שירות MDR.

השאלה בסוף מאמר זה יכולה להיות אם כן: כיצד אוכל למדוד את היעילות של מערכת XDR?

התשובה שברצוני להציע בנויה בשני תחומים: הערכה איכותית ומדדים.

מנקודת מבט איכותית ה-XDR אמור לשפר שלושה תחומים:

- ניתוח אבטחה, כלומר, סט הנתונים המצטברים, מתואמים ומעובדים התומכים בתהליך הניטור של תנוחת האבטחה וזיהוי בזמן של איומים על עמדה זו.

- ציד איומים יזום, כלומר, פעילות של זיהוי יזום של איומים החל מחריגות או מאותות קלושים, ולמעשה מחסום את רעשי הרקע העצומים. כמה קל יותר לחבר את הנקודות כדי להבין - אולי באמצעות מזהה ייחודי לכל אירוע - מה קרה בדיעבד, כדי לתכנן את המשך הפעילות?

- תגובה אוטומטית לאירועים, כלומר הגדלת קצב התגובה בתגובה לאירוע עד להקלה או תיקון.

מנקודת מבט כמותית, אימוץ פתרון XDR אמור לאפשר להתחיל לפתח מדדים על זמן זיהוי תקיפה ממוצע (MTD, מ זמן ממוצע לזיהוי) וממוצע זמן תגובה/תיקון (MTR, da זמן ממוצע לתגובה / תיקון).

או לחדד את הצעדים שכבר הופעלו לאור היכולות החדשות, לאמת את תקינות ההשקעה ולאזן טוב יותר מודלים היברידיים הכרוכים בשימוש בשירותים חיצוניים ובמשאבים פנימיים משולבים.

1 דוח Mandiant M-Trends 2021: https://www.mandiant.com/resources/m-trends-2021

צילום: web / Mandiant