$
סייבר ואבטחת מידע

CyberArk: יכולות חדשות לגילוי איומים מבפנים משפרות את התגובה לאירועי אבטחה

יכולות חדשות שפיתחה החברה מזהות ומתריעות על פעילות חשודה שמבצעים גורמים בעלי הרשאות פריבילגיות בזמן התחברות למערכות הארגון. היכולות החדשות מסייעות לצוותי האבטחה לתעדף ולשפר את התגובה לאיומים

בשיתוף סייברארק 10:0820.02.17
חברת CyberArk, המגנה על ארגונים מפני התקפות סייבר שחדרו אל תוך הרשת הארגונית, הכריזה על יכולות חדשות ומתקדמות לזיהוי איומי סייבר הנובעים מפעילות של גורמים בתוך הארגון. היכולות החדשות משולבות בפתרון CyberArk Privileged Account Security Solution, והן מאפשרות לזהות ולהתריע אוטומטית על פעילויות חשודות בחשבונות פריבילגיים. האיתור וההתראה מבוצעים במהלך התחברות של המשתמש עם המערכת, ומאפשרים תגובה מהירה להתקפות בבזמן אמת.

 

מדובר באינטגרציה חדשה המאפשרת לקבל תמונה עמוקה יותר של הפעילות הפריבילגית בכל רחבי הארגון. התהליך מבוסס על העברת נתונים מה-CyberArk Privileged Session Manager ל-CyberArk Privileged Threat Analytics (שניהם חלק מפתרון ה-CyberArk Privileged Account Security ), ומאפשר לצוותי האבטחה לקבל התראות על התחברויות למערכת הדורשות בדיקה. ההתראות מבוססות על פרמטרים הניתנים להתאמה לפי מדיניות הלקוח, והן מתועדפות לצורך החלטה על המשך טיפול. ההתראות כוללות מידע מפורט על הפעילות החשודה, מאפשרות לצפות בהתחברויות חשודות תוך כדי ביצוען, וכן להפסיק התחברויות זדוניות כדי לסכל התקפות פוטנציאליות. כל הפעולות הללו מתבצעות מתוך פלטפורמה אחת. תעדוף תהליך הצפיה בתעוד החיבורים למערכות הארגון מייעל את תהליך הביקורת של מערכות המחשוב, ומפחית עלויות.  

 

ניתוח פעילות חשודה של גורמים בעלי הרשאה גבוהה, במטרה לעצור התקפות מבפנים

גורם פנים (insider)אשר השיג הרשאה פריבילגית יכול להיכנס למערכות ולבצע פעולות שלכאורה נראות לגיטימיות, אך בפועל לבצע פעולה זדונית. אם לארגון אין יכולות לזהות ולהתריע בזמן אמת על פעילויות חשודות של גורמים בעלי הרשאות הפריבליגיות, ההתקפות של אותם גורמי פנים יכולות להתבצע מבלי להתגלות.

 

על-פי מחקר של מכון SANS Institute, רק 9% מהארגונים שנסקרו דרגו את השיטה המיושמת אצלם למניעת איומים מגורמי פנים כ"יעילה מאד". רוב הארגונים לא מסוגלים להתמודד עם מספרן הרב של ההתראות המתקבלות, כש-93 אחוזים מהארגונים אינם מסוגלים למיין ולזהות את האיומים הרלוונטיים מתוך כלל ההתראות.

 

הפתרון של CyberArk משפר את יכולתם של צוותי האבטחה בארגונים להגיב לאיומים של גורמים חיצונים, וגם לאיומים הנובעים מגורמים זדוניים מתוך הארגון, ומרחיב את היכולת שלהם מעבר למעקב אחר ההתחברויות ראשוניות למערכת. פתרון CyberArk מאפשר לצוותי האבטחה להגדיר את רמות הסיכון הרלוונטיות ביותר לארגון שלהם, לנטר ולנתח התנהגות המתקיימת בפועל במהלך התחברות מערכת של בעל חשבון פריבילגי, לזהות פעילות או פקודות שעלולות להצביע על התקפה, ולתעדף את התגובה לאיום בהתבסס על חומרת ההתראה.

 

ייעול תהליכים וחיסכון

מניסיונה של CyberArk בעבודה עם לקוחות, מדי יום מתבצעות במערכות המחשוב של תאגידים גדולים אלפי התחברויות של משתמשים פריבילגיים. במערכות נוצרת כמות עצומה של נתוני אבטחה ותיעוד של התחברויות מוקלטות שצריך לעבור עליהן כדי למצוא אירועים מסוכנים. לאור כמות המידע, כמעט בלתי-אפשרי שצוותי הביקורת וה-compliance יזהו פעילות מסוכנת או חשודה. בנוסף, כדי לעמוד ברגולציה הנהוגה במדינות רבות בעולם, יש צורך בעשרות אנשי ביקורת במשרה מלאה העוסקים אך ורק במטלה זו, ולעיתים קרובות הם נדרשים לעבור ידנית על אחוז מסוים של כל ההתחברויות שמבצעים משתמשים בעלי הרשאות פריבילגיות.

 צוות  סייברארק בתערוכת RSA שם הוצגו היכולות החדשות צוות סייברארק בתערוכת RSA שם הוצגו היכולות החדשות צילום: סייברארק

 

חברת CyberArk מאפשרת לצוותים אלה לבצע את תעדוף ההתראות בצורה אוטומטית. הפתרון של CyberArk משתמש בדירוגי סיכון המבוססים על המדיניות שמגדיר הלקוח, ומיישם אותם על ההתחברויות תוך כדי או לאחר ביצוען. הדבר מאפשר לצוותי הביקורת לתעדף את המידע על התחברויות אלו, ולהתמקד באלו שזוכות לעדיפות גבוהה. בכך הצוותים עובדים בצורה יעילה יותר, ומספקים לארגון ערך מוסף עסקי גבוה יותר. בנוסף, הפתרון מאפשר לקצר את משך הזמן המוקדש למחזור הביקורת, ובכך מפחית את עלויות ביקורת מערכות המחשוב. כמו כן, הפתרון יוצר סטנדרטיזציה בטיפול בסיכונים הקשורים בפעילות משתמשים פריבילגיים.

 

"אנו מספקים פתרון משולב לאיתור איומים המבוסס על בדיקת התחברויות משתמשים עם הרשאות פריבילגיות. בכך אנו מסייעים לזהות פעילות זדונית שמסתתרת בתוך ים של נתונים לגיטימיים, ומאפשרים תגובה מהירה לאיומים," אמר רועי אדר, סמנכ"ל ניהול מוצר ב-CyberArk. "בנוסף, ארגונים יכולים לחסוך אלפי שעות אדם שמושקעות כיום בבדיקה ידנית של תיעוד התחברויות למערכות. החיסכון בזמן ובעלויות חשוב במיוחד בהקשר לדרישות הרגולציה כמו תקנות ניהול הסיכונים בטכנולוגיה (TRM) של הרגולטור הפיננסי בסינגפור (MAS), ותקנות דומות נוספות ברחבי העולם."

 

כחלק מהכרזה זו, מומחי אבטחת הסייבר של CyberArk Labs וצוותי האבטחה של לקוחות פרסמו כמה דוגמאות לפקודות שמשמשות פעמים רבות לביצוע התקפות זדוניות. בין הפקודות הרגישות שמנוצלות לרעה בשכיחות גבוהה ניתן לציין את "mmc.exe, Active Directory Users and Computers" במערכות Windows, וכן פקודות המכילות את הביטוי "authorized_keys" ו-"sudoers" במערכות *nix.

 

לפרטים נוספים, ניתן לקרוא את הבלוג באתר CyberArk: "זיהוי איומים מגורמי פנים: 10 דיברות המשמשות לעיתים קרובות בהתקפות סייבר".

 

סרטון וידאו להמחשה: CyberArk Brief: Detecting & Responding to Insider Threats

בטל שלח
    לכל התגובות
    x