הגנת סייבר מתחילה בביג דאטה

כולם כבר יודעים - שוק הסייבר העולמי צומח בשנים האחרונות בקצב חסר תקדים. אנליסטים מעריכים שהוא יגיע ל-170 מיליארד דולר עד 2020, וחדשות לבקרים אנו שומעים על תקיפות של תשתיות קריטיות ומאגרי מידע. מאידך, דיווחים על שימוש ב'פצצות סייבר' מצד האמריקאים בלחימה נגד דאע"ש וכן הטענות לפיהן רוסיה השפיעה באמצעות הסייבר על הבחירות בארה"ב, ממחישים את יכולת הסייבר ההתקפית.

המדינות המפותחות לא מוכנות יותר להפקיר את מרחב הסייבר הממשלתי, העסקי והפרטי, שכן הכלכלה תלויה בתפקוד מערכות ובתקשורת ביניהן, ופגיעה בכלכלה שקולה לפגיעה בביטחון, בחסינות וביציבות של כל מדינה.

חברות רבות מתקינות היום רכיבי אבטחת מידע על מנת למנוע התקפות וזליגת מידע, וכדי לעמוד בתקני אבטחה רגולטיביים, ודרישות שמגיעות מחברות ביטוח. בארגון גדול יש מעל ל-50 רכיבי אבטחת מידע של כ-40 יצרנים בממוצע. לכל יצרן יש הוראות הפעלה, קונפיגורציה ולוגים שונים, כמו גם התראות שווא רבות. בחברות מסוימות קיבולת המוצרים נעצרת במספרים נמוכים יותר של רכיבים, וגם גודל מחלקת אבטחת המידע קטן בהתאם.

ביג דאטה לסייבר צילום: שאטרסטוק

כתוצאה מכך, דו"חות המודיעין שמתקבלים בארגון אינם מנותחים כיאות, ולא נגזר מהם שיוך למה שמתרחש בפועל. עקב המעבר לעבודה בענן, חיבור מחשבים ניידים לרשת, וכן עליית השימוש במובייל וברכיבי ה-IoT (אינטרנט הדברים), מתאפשרת פריצה לרשת משטח הפנים גדול ומבוזר יותר של הארגון, שאינו מתכנס לנקודה קריטית אחת אותה ניתן לחסום ולנטר.

הורדת תוכנות ואפליקציות לשימוש ארגוני בצורה בלתי מבוקרת פותחת גם היא פרצות המאפשרות להאקרים גישה מרחוק לרשת הארגונית. חוסר יכולת זו, לגידור אבטחתי שלם מחד ולכינוס תמונת מצב מקיפה על סיכוני אבטחת המידע מאידך, מביא לאי-יכולת של הארגון לזהות ולטפל בצורה יסודית ורציפה בפרצות אבטחת מידע והוא נותר חשוף להתקפות.

כתוצאה מכך השוק משווע למקצועני אבטחה שישמשו כקציני אבטחת מידע - CISO. תפקיד זה דורש רמת הבנה גבוהה במגוון תחומי אבטחת סייבר ובהתקנת מכלול מרכיבים שיצליחו לייצר מערך הגנה אפקטיבי על ידי עיבוד הלוגים וההתראות הרבים, וחסימת הפרצות שהאקרים מקצוענים מנצלים תוך כדי ניתוח דו"חות מודיעין איומי סייבר מתקדמים.

כבר היום קיים מחסור של יותר ממיליון אנשי מקצוע בתחום, והמספר צפוי להכפיל את עצמו בשנים הקרובות. בצד המגן חייבת להיות רציפות אקטואלית ואפקטיבית שתעמוד מול ההתמדה ולמידת היעד מצד התוקפים, ול-CISO צריכה להיות יכולת לעבד את המידע בזמן אמת למסקנות אופרטיביות הקונטקסטואליות לרשת הארגון.

כיום יותר מ-50% מפריצות הסייבר בארגונים משויכות לפעילות עובדים, כאשר מרביתה מוגדרת זדונית והיתר נובעת מטעויות, תקלות וחוסר מודעות לסכנות ברשת. מאידך, אין זה טריוויאלי לזהות פעילות חשודה של עובד בתוך כל סבך הנתונים וההתראות, מה גם שזיהוי כזה חייב להיות משויך להקשר של מעשיו מחוץ לרשת הארגונית.

כך, הופך אתגר אבטחת הסייבר בארגון לבעיית ביג דאטה, או - ניתוח והסקת מסקנות אופרטיביות מסבך של נתונים בזמן אמת. ניתן לראות את הבעיה דווקא בשווקים מפותחים שכבר בקיאים במוצרי אבטחת המידע בשוק, רכשו רבים מהם וכעת נאלצים להתמודד עם כמויות המידע העצומות לניתוח. שווקים אלה מחפשים פתרונות אינטגרטיביים שירכזו תמונת סיכונים כוללת בזמן אמת, המבוססת על הנתונים שנאספו מרכיבי אבטחת המידע שפרוסים בארגון.

לאחר מכן יש צורך בניתוח הנתונים, גזירת מסקנות אופרטיביות קונטקסטואליות, ואף יישום של חלקן באופן אוטומטי - הכל בהתאמה לדו"חות המודיעין ולמידע הגלוי הרלוונטי לאבטחת הסייבר בארגון. אינטגרטיביות כזאת משמעותה קפיצת מדרגה במידת היעילות של אבטחת המידע הארגונית וביכולתה לשלוט בתמונת הסיכונים, ללא צורך בהקצאה נוספת של משאבי אנוש.

נראה כי זוהי שעתן של אינטגרטוריות הסייבר, שיצליחו לספק פתרונות אנליטיים אינטגרטיביים כוללים ולא מוצרי נישה, שכן מטרתו של הארגון כיום היא לחבר אוסף של מרכיבים שיתקשרו אחד עם השני ללא רעש שמהווה לעיתים מיסוך על הפרצות בארגון. תהליך זה גורם להתאגדות הדרגתית של חברות מוצרי הנישה תחת אינטגרטורים, ומשנה לאיטו את פני שוק הסייבר, כמו גם יסייע בסופו של דבר לסמנכ"ל אבטחת המידע להתמקד ולספק אבטחת סייבר אפקטיבית יותר.

הכותב הינו סמנכ"ל מודיעין וסייבר בקבוצת מר