$
סייבר ואבטחת מידע

כיצד בינה מלאכותית מתקדמת מאפשרת חקירה יעילה של אירועי אבטחה

רועי קתמור, מנהל פעילות פתרונות לנקודות קצה ואודי יאבו, מנהל טכנולוגיות ראשי פתרונות לנקודות קצה, מספרים כיצד פתרון ה-FortiXDR החדש של פורטינט מספק חקירה של אירועי אבטחה בהתבסס על בינה מלאכותית

בשיתוף פורטינט 17:5729.04.21

פתרונות איתור ותגובה מורחבים (XDR) פותחו על מנת לסייע לארגונים לשתף מידע ואירועים בין פתרונות אבטחת המידע המבוזרים שלהם במטרה לזהות ולהגיב בצורה טובה יותר לאיומים פעילים. אומנם XDR הוא מושג טכנולוגי חדש, השורשים שלו נמצאים במערכות איתור ותגובה לנקודות קצה (EDR), אשר תוכננו כדי לנטר באופן רציף את פעילות המערכת, לזהות התנהגות מסוכנת ולאסוף ממצאים לצורך חקירה ותגובה. האתגר טמון בכך כי פתרונות EDR רבים – ופתרונות ה-XDR המרחיבים אותם – עדיין חסרים את יכולות החקירה האוטומטית, מניעה מהירה ותגובה רחבה יותר הדרושות כדי להתמודד עם מפת האיומים העדכנית.

 

פתרון FortiEDR פותח כדי למלא את הפער בין מנוע האבטחה (הנוטה לטעויות) המסופק באמצעות אנטי-וירוס מיושן מבוסס חתימות וגישות חדשות המסופקות על ידי כלי איתור ותגובה לנקודות קצה שונים. החזון שלנו בפורטינט היה לפתח פתרון הגנה, איתור, חקירה ותגובה לנקודות קצה מבוססת-התנהגות, אשר יוכל לא רק לחסום אחוז גבוה יותר של מתקפות באופן מדויק לפני ואחרי ביצוען, אלא גם להמשיך לנתח ולסווג התנהגות חשודה לאורך זמן, תוך הפיכת כל התהליך לאוטומטי. לכן, הרחבנו את סט היכולות לפתרון XDR, כולל השקעה גדולה יותר בשלב הביניים – חקירה – אשר מרבית פתרונות ה-XDR מחזירים את חקירת האירועים לצוותי האבטחה. זוהי הסיבה לכך שיישמנו חקירה ומניעה מבוססי-ענן (cloud-native) על פני מארג האבטחה (Security Fabric) של פורטינט וכלים אחרים של צד שלישי.

הפתרון תוכנן עבור פעולות אבטחה מבוססות בינה מלאכותית הפתרון תוכנן עבור פעולות אבטחה מבוססות בינה מלאכותית צילום: יח"צ פורטינט

לאוטומציה יש תפקיד קריטי באספקה של שירותי איתור, חקירה ותגובה יעילים. כדי להאיץ ולייעל את תהליך האוטומציה, השתמשנו בבינה המלאכותית במטרה לשכפל באופן מלא את תהליך החקירה, אשר באופן מסורתי נוהל על ידי האנליסטים המומחים של צוות ה-SOC. מדובר בתהליך אשר דורש מיומנויות, כלים ומתבצע על ידי מומחים ולעיתים לוקח זמן רב עד למתן מענה יעיל לאיום פעיל. טכנולוגיית הלמידה העמוקה נבחרה עבור פתרון ה-FortiEDR, תוך שימוש בחמישה מודלים נפרדים, אך משולבים, של רשת עצבית עמוקה, כאשר כל אחד מהם מחקה היבט אחר של תהליך החקירה והתגובה.

לאור הצלחת FortiEDR, הוחלט להרחיב את מסגרת עבודת החקירה אשר יועדה לענן כדי לחפש אחר התנהגויות חריגות מעבר לנקודת הקצה ולאפשר איתור ותגובה אוטומטיים על פני כל מארג האבטחה של פורטינט. כדי להשיג זאת, הרחבנו את היכולות של מנוע הלמידה העמוקה ואפשרנו לו לבצע סט מגוון יותר של חקירות ולתאם טווח רחב של תרחישי תגובה אוטומטיים.

מנוע החקירה המתקדם מבוסס הבינה המלאכותית מהווה את הבסיס לפתרון ה-FortiXDR החדש של החברה.

 

דוגמאות לפעולת החקירה של הבינה המלאכותית

לפניכם מספר דוגמאות להתנהגויות חשודות אשר מפעילות חקירה מבוססת בינה מלאכותית. במקרים רבים, מדובר בהתנהגויות אשר היו נחסמות אוטומטית על ידי פתרונות אבטחה קיימים.

 

ניסיונות התחברות כושלים פעמים רבות, משתמשים שוכחים או מקלידים באופן שגוי את פרטי ההתחברות שלהם, מה שהופך את ניסיונות ההתחברות הכושלים למצב שכיח. יחד עם זאת, ניסיונות התחברות חוזרים יכולים להיות קשורים גם למתקפות brute force ודורשים חקירה נוספת. פתרון FortiXDR משתמש ביכולת למידה מתקדמת ומבחין בניסיונות התחברות כושלים המדווחים על ידי FortiGate, כלי אימות או נקודות קצה מפוקחות. הפתרון בודק את המספר והמאפיינים המקושרים לכישלונות הללו, יחד עם כתובות ה-IP המקוריות ומתאם בין החיבורים המוצלחים נגד שירותי זיהוי כמו Active Directory כדי לאתר חריגות כמו מיקום המשתמש (סתירות הקשורות לאזורי זמן). בהתבסס על תיאום זה, אם יש סיבה לחשוד כי גורם איום זיהה בהצלחה את הפרטים האישיים שלכם, תופעל תגובה המוגדרת מראש – החל מעדכון פשוט ועד לפקיעה של הפרטים המזהים, כפיית התנתקות מהחשבון ואיפוס המשתמש.

 

מתקפת פישינג (Phishing) – הדואר האלקטרוני מהווה את גורם התקיפה המרכזי, כאשר מתקפות מבוססות-אינטרנט נמצאות רק צעד אחד מאחור. מתקפת מוצלחת אחת יכולה להשפיע משמעותית על הארגון. באופן מושלם, צוותי האבטחה צריכים לבדוק כל מתקפת מיילים (כולל אלו שנחסמו), אך לרוב הם לא יכולים לעשות זאת, בהתחשב בנפח של המתקפות שהארגון מקבל מידי יום. פתרון ה-FortiXDR מבצע ניתוח מורחב לכל מייל ולתיעוד של כתובות אינטרנט כדי לזהות את אלו המכילים יעדים זדוניים. לאחר מכן, המערכת עוקבת אחר הכתובות, מנתחת את הקבצים הנמצאים על האתר, עוקבת אחריהם לעמודים מקושרים, מזהה היבטים נוספים או פעילות סייבר המתמקדת בעובדים ואז מחלצת ממצאים כמו hash, כתובת IP ועוד. באמצעות מידע זה, FortiXDR מחפש אחר סימנים כי היבט כלשהו של הפעילות השפיע על הארגון. פעולות תגובה מוגדרות מראש כוללות בידוד של התקנים אשר התקינו קבצים זדוניים או ביצעו תקשורת עם אתרים זדוניים, עדכון מודיעין איומים עבור קבצים ואתרי אינטרנט זדוניים ועוד.

 

איתור התקנים מסוכנים – גורם מתקפה שכיח נוסף המשמש את גורמי האיום הוא חדירה לקצה של התקן IoT. פתרון FortiXDR מספק נראות עמוקה לתוך התקני ה-IoT של הארגון ומתאם בין נתונים רלוונטיים שמקורם במארג האבטחה של פורטינט. המידע משמש כדי לאתר התקני IoT שאולי נפרצו ולתאם תגובה מתאימה, תוך שימוש בכלים של מארג האבטחה או כלים של צד שלישי. תיאום נוסף עם הנתונים של FortiGate יכול לחשוף התקן חשוד או כתובת IP מרוחקת הניגשת להתקן IoT. באמצעות שימוש ב-FortiNAC, ה-FortiXDR יכול לבודד בצורה אוטומטית את התקן ה-IoT מהרשת ולהוציא התרעה מקיפה.

 

לא כל פתרונות ה-XDR דומים. יש צורך בחקירה מבוססת בינה מלאכותית

הקונספט של XDR הוא מסעיר, אך מרבית הפתרונות מספקים רק איתור מורחב לצד הלקוח – תיאום, העשרה וניתוח של מידע אבטחה. אלמנטים חיוניים אלו לא מספיקים, בהינתן המסחור באנליסטים מיומנים של אבטחת סייבר המסוגלים לספק את שלב החקירה. יחד עם זאת, מערכת בינה מלאכותית מתאימה יכולה לחשוף ולהתמודד עם תקריות מהר ומדויק יותר – כאשר היא לא רק משפרת את יציבת האבטחה והפעולות של הארגון, אלא גם מאפשרת למומחי האבטחה להתמקד במטלות חשובות יותר. אילו איומי סייבר מהווים את הסיכון הגדול ביותר? מהן הנקודות הפגיעות ביותר בארגון? כיצד תוכלו לשפר את התנהגות העובדים? אילו חקירות יחזקו בצורה היעילה ביותר את יציבת האבטחה שלכם?

 

אנו מאמינים כי הגיע הזמן כי מומחי האבטחה שלכם יפסיקו לרדוף אחר תקריות אבטחה ויתחילו לבצע שינויים יזומים ביציבת האבטחה והאסטרטגיות של הארגון. פתרון ה-FortiXDR יכול לסייע בכך.

 

למדו עוד אודות פתרון ה-XDR מבוסס הבינה המלאכותית של פורטינט – FortiXDR.

x