IT מגזין ירחון המחשוב העסקי של ישראל 14

SAS: במלחמת הסייבר מנצחים הכלים

האינטליגנטים יותר

הגישה חייבת להיות מערכתית;

פתרון סייבר אפקטיבי חייב

לשלב מספר גדול של טכנולוגיות

במארג צפוף המכסה את כל האספקטים

האופרטיביים - ניטור, התראה, בידוד, השמדה

ותיקון נזקים

אתגרים של אבטחת מידע אינם תופעה חדשה. האירוע המתועד הראשון של פריצת מערכת האבטחה וזליגת מידע התרחש בגן עדן, כאשר האקר זדוני )“הנחש”( לימד את חווה איך לקטוף את פרי עץ הדעת ולהעביר את המידע הסודי לאדם. מאז המאבק על שליטה במידע, נגישות ושימוש במערכות מידע קיבל אופי פחות מיתולוגי, אך לא פחות קריטי. מאז מלחמת טרויה, הרבה מערכות צבאיות הוכרעו ב”מלחמת המוחות”, שבעבר נחשבה כשעשוע אינטלקטואלי של מתמטיקאים בשירות המודיעין )ע”ע אלן טיורינג( ולאחרונה זכתה למיתוג אופנתי, Cyber War. המומחים עדיין חלוקים בנוגע להגדרת הקו המפריד בין אבטחת מערכות מידע קלאסית - כזאת שמבוססת על חומות אש, תוכנות אנטי-וירוס, זיהוי חדירות והשמדת מרגלים דיגיטליים - לבין הטריטוריה של “סייבר”. מדובר בהבדלים של כמות אבל גם של איכות, ובמיוחד כאשר מגששים אחר Looking For The Unknown Enemy In( האיום הבלתי נודע The Dark Net(, או מחפשים קשרים מחשידים, רמזים לחיזוי תופעות לפני שהתרחשו, או מנסים לזהות התנהגויות “לא

נורמליות”.

האיום שאינו פוסק: Persistent Threat Environment

בראיון שערכתי עם מנהל פעילות אבטחת הסייבר באחת מחברות התעשייה הבטחונית הגדולות בישראל, הוצג בפני ההבדל האיכותי המשמעותי מבחינת סוג הפגיעה: ההבדל בין פגיעה מקומית במערכת לא קריטית מבחינת הביטחון הלאומי, שאז מדובר באבטחת מידע רגילה, לבין פגיעה קטלנית במערכת תשתית אסטרטגית, ששיבוש פעולתה עלול לגרור תוצאות חמורות ככל שגל ההלם מתפשט ומרסק משאבים לאומיים נוספים. לדוגמה, פגיעה בתשתיות החשמל או התקשורת, המים או פעולת הרמזורים, ואפילו שיבוש של מערכת שאינה בשליטת המשתמשים המקומיים, כמו GPS, שהביטחון הלאומי משתמש בשירותיה. “שדה הקרב המודרני, המרושת והדיגיטלי, נזקק לתשתיות דיגיטליות עבור תקשורת, ניווט, הנחיית חימוש חכם, פיקוד, תיאום וסינכרון בין יחידות, מודיעין ואיסוף מידע בזמן אמת - ועוד אלפי מערכות מידע שלכל אחת מהן נקודות חולשה ופגיעות במלחמת סייבר”, אומר מנהל תוכנית הסייבר. “אם בעבר היה צורך לפגוע פיזית בטנק או במטוס כדי לנטרל את ערכו כנכס קרבי, עכשיו מספיק לשבש משהו באחת מהמערכות האלקטרוניות שמבצעות את פונקציות השליטה והבקרה בכלי או בחימוש שהוא משגר. ואם בעבר היה אפשר להכין מראש אמצעי נגד כדי להגן על הנכס מפני איומים ידועים, עכשיו מדובר על מלחמה באויב בלתי נראה, התוקף בכלי נשק שקיומם ותכונותיהם לא מתפרסמים בקטלוג

של Janes, מטרות שלא תמיד נחשבות “צבאיות”. ולמרות החמקמקות של שדה הקרב הדיגיטלי, עדיין יש צורך לא מסופק בכלים זמינים להדיפת מתקפת פתע. במלחמה שלא מספקת התראות מוקדמות, באמצעות תנועות צבא ופעילות אלחוטית מוגברת, הפתעה טקטית מתרחשת כרעם ביום בהיר ועלינו להגיב עליה בזמן אפסי, לפני שהנזק נעשה בלתי הפיך. “מלחמת סייבר דורשת חשיבה שונה מהמתודות המסורתיות של אבטחת מידע קלאסית, שם הנחת המוצא היא שההאקר מוגבל - הן באמצעיו והן ביעדיו. עכשיו מדברים על מלחמה טוטלית ממש, בלי “לקחת שבויים” ובלי להגביל את הנזק לאספקטים שמביאים רווח כספי לתוקף. מלחמת הסייבר מתחוללת כבר ,Internet of Things ,’היום במרחבי רשת ‘האינטרנט של חפציםמימד חדש של קישוריות בו צריך להגן על מיליארדי מכשירים מקוונים, Connected Devices. אלה “משוחחים” ברשת כדי לסנכרן מידע ביניהם וכאשר תפקודם משתבש כתוצאה מחדירה

עויינת, יש בכך להשפיע על חיינו בצורה הרת גורל!"

כאן נכנסת לתמונה האנליטיקה המתקדמת. אינכם יכולים להתגונן בהצלחה מבלי שיעמדו לרשותכם כלים חזקים מאוד לזיהוי האיום, להתמקדות מיידית על נקודות החולשה שנחשפו ולגידור הנזק שנגרם. “הגישה חייבת להיות מערכתית; פתרון סייבר אפקטיבי חייב לשלב מספר גדול של טכנולוגיות במארג צפוף המכסה את כל האספקטים האופרטיביים - ניטור, התראה, בידוד, השמדה ותיקון נזקים. אך ללא תלות בכלים הספציפיים שתבחרו ליישום הפתרון, בלב הפתרון תמיד ידרש מנוע אנליטי רב עוצמה, המאפשר מהירות תגובה על-אנושית. עוצמת המנוע נגזרת מכך שעליו לפעול בזריזות ובאמינות “בים של מידע”, בו אין הרבה נקודות ייחוס מובהקות עליהן ניתן להתביית בקלות. גם בשגרה מדובר בעומס אירועים פנטסטי, שלא פוסק 24x365, באויב נחוש שמשתמש בכלי תקיפה סייבריים המתחדשים יומיומית, ובהגנה על מטרות שאמינותן חייבת להיות מוחלטת ללא פשרות. מערכת אנליטית המשלבת תחכום - לפחות צעד אחד לפני התוקפים - עם עוצמה וביצועי “כמעט זמן אמת”,

היא תנאי הכרחי להצלחה”.

Big Data-זיהוי תבניות באחד הפיתוחים העתידיים המתוכננים הוא מערכת אנליטית רב-שכבתית מתוצרת SAS, שמסוגלת לטפל בכמויות דמיוניות ,”Big Data כמעט של נתונים. “זהו נושא מובהק של ניתוח

מוטי סדובסקי, מנהל המכירות למגזר הבטחון ב-SAS ישראל

15 ירחון המחשוב העסקי של ישראל IT מגזין

SAS

אנו מספקים את פלטפורמת התוכנה האנליטית, המובילה בשוק על פי גופי המחקר המקצועיים, כחבילה של פתרון סייבר אינטגרטיבי הכולל, בנוסף למנוע אנליטי, הנחיות Best Practicesוכלים להתאמת היישום לפי צרכי הארגון

SAS-אומר מוטי סדובסקי, מנהל המכירות למגזר הבטחון בישראל. “כאשר אתם מתגוננים מפני התקפה שאינכם מכירים מראש את מאפייניה ותיזמונה, השיטה האפקטיבית היא לזהות תבניות חריגות של אירועים תוך כדי התהוותם. החריגות יכולה להתאפיין בסממנים צפויים או לא צפויים - ובעיקר על ידי קומבינציה נדירה של מאפיינים. למשל, העברת מידע בין שתי מערכות, שבאופן נורמלי מסתנכרנות רק בתאריכים ובשעות מסוימות, כאשר באירוע מעורר החשד הקשר נוצר בזמן חריג. הבעיה היא שאנו לא יודעים מראש איפה לחפש את החריגה ולכן עלינו לבודד תבנית א-נורמלית מתוך ניתוח רב-ממדי של כל זרם הנתונים )כל התכנים האופרטיביים( כולל רובד המטא-נתונים )נתונים על הנסיבות בהן נעשה שימוש בנתונים(. אלה כמויות עצומות של מידע, שצריך לנתח במהירות ולהפיק מהן תובנות אופרטיביות תוך דקות, אם לא שניות.” SAS כולל הגדרת תצורות פתרון הסייבר האנליטי של מומלצות עבור לקוחות בתחומים שונים, שנזקקים לרמות שונות של הגנה, ולעומסי עבודה שונים. לדוגמה, מערכת שניבנתה בארה”ב להפגנת יכולות הצליחה למיין, לסווג, לקטלג ולנתח 800 מיליון אירועים בעלי משמעות אבטחתית בפחות מחצי שעה! במילים אחרות, זו מערכת אנליטית המסוגלת לאתר ולהדוף מאות התקפות סייבר בשנייה בהתבססות על מחסן

נתונים ענקי של Hadoop בסדר גודל של כ- 20 פטה-בייט!“SAS לא מספקת פתרונות Turnkey, כי אין פתרונות אחידים שמתאימים לכולם. לכל ארגון מפת איומים וצרכי הגנה שנגזרים מתפקידיו, סביבת העבודה שלו והקריטיות של השבתתו,” אומר מוטי סדובסקי. “אנו מספקים את פלטפורמת התוכנה האנליטית, המובילה בשוק על פי גופי המחקר המקצועיים, כחבילה של פתרון סייבר אינטגרטיבי הכולל, בנוסף למנוע אנליטי, הנחיות Best Practices וכלים להתאמת היישום לפי צרכי הארגון. אנו עובדים עם כל יצרני החומרה החשובים SAS לא מכתיב בהגדרת התצורה המומלצת. הפתרון של שימוש במוצרים של יצרן מסויים וניתן גם להתאימו לסביבה

הטרוגנית, כולל תצורות ענן פרטי או היברידי.”

מפות של צבירי אירועיםאיומי הסייבר קפצו מדרגה, בכמות ובקריטיות, כתוצאה IoT, “אינטרנט של חפצים”. אם מהמגמה המתמשכת של בעבר חדירה לרשת דרשה “הנדסת אנוש”, כלומר לשכנע משתמש תמים לבצע פעולה שהוא היה אמור להמנע ממנה, עכשיו ההאקרים מנצלים את יחסי האמון המוטמעים כברירת המחדל בתקשורת מכונה-למכונה. אם דיברנו על 3 מיליארד משתמשים ב-Web שמספקים מיסוך להאקרים, עכשיו אלה כבר יותר מ-50 מיליארד מכשירים שחולקים מידע באופן אוטונומי. אם בעבר איומים התממשו בזריזות של אצבעות על המקלדת, עכשיו הם זורמים בקצב של ג’יגהרצים. “ניתוח סטטיסטי חכם, רב משתנים, שמופעל על מסד Hadoop הפועל BigData, הוא הדרך היחידה למיין את האירועים כסביבת ולסנן את אלה שדורשים תשומת לב ממוקדת”, אומר מוטי. יוצר תבניות אופייניות אותן התוכנה האנליטית “הניתוח

ממפה במרחב רב-ממדי. תבניות התנהגות נורמליות, מדרך הטבע, נופלות ב”צבירים” )Clusters(, כלומר מספר גדול של אירועים מתקבצים סביב נקודה במרחב, שמציינת וקטור של ערכים ממוצעים לסוג מסוים של פעילות. תבניות “לא ,)Outliers( נורמליות” מופיעות על המפה כאירועים מבודדיםויזואלית לחשדנות בה שחריגתם מהצבירים היא התראה צריך לטפל בהם. הגישה הזאת היא היחידה שמסוגלת לטפל .Zero Day Vulnerability ביעילות באיומים לא ידועים, כמו המערכת לומדת בצורה אוטונומית, צוברת נתונים מהניסיון תוך כדי ריצה וקובעת מניתוח הנתונים מהן תבניות ההתנהגות גוזרת בשיטות הנורמלית של משתמשי הארגון. מכאן היא אנליטיות מתוחכמות כיצד ניתן לאפיין, לאתר, לזהות ולנטרל משתמשים שפעולתם איננה בגדר הנורמלי )לדוגמה, הדפסות בכמות חריגה, כניסה לבסיסי נתונים אסורים, העתקות מידע

בכמות חריגה, וכו’(”.גישות במתודת SAS משלב ארבע המנוע האנליטי של Multi Layer Cyber Analytics, כדי לסגור את כל הפינות של

חזית הסייבר:מנוע חוקים - שיודע לסנן תבניות התנהגויות ידועות על

פי מאפיינים מוכרים וחתימות מתועדות.זיהוי אנומליות - מנגנון לזיהוי התנהגות חריגה, על פי

תבניות סטטיסטיות שנלמדות אוטומטית.חיזוי אירועים – מודל שעושה שימוש בסדרות זמן לצורך

חיזוי התקפות עוד לפני שיצאו לפועל.וזיהוי תבניות ניתוח רשתות חברתיות - ניתוח קשרים

חשודות ברשתות חברתיות במתאם עם אירועים אבטחתיים שונים )למשל, פעולות טרור(.

לתת למתגוננים יתרון טכנולוגי )Clusters( נופלים בתוך צבירים “זיהוי החריגים, שלא מוגדרים, נעשה באופן אוטומטי, בתהליך ש-SAS קוראת לו Unsupervised Analysis”, אומר מוטי סדובסקי. “התוכנה יודעת לאתר חריג על פי התנהגות שונה משל אחרים, סטיות מההתנהגות ההיסטורית המתועדת, אבחנה בנפילת ביצועים, אפיון גיאוגרפי ושייכות ל-Eco System ספציפי, התרחשות בתאריכים לא צפויים וסטיה מרצפי אירועים מקובלים. גם תוקף שינסה להקשות על ההגנה באמצעות חוסר עקביות בהתנהגותו סופו שיפעיל את ההתראות - מעצם יצירת תבנית לא שכיחה של שינויים. מנגנון סיכול ההתקפה יכול להיות מופעל אוטומטית, או תוך שילוב SAS מספקת ממשק מפעיל אנושי בלולאת הבקרה. לשם כך Dashboard-ויזואלי שמציג את החריגות בגרפיקה בולטת )הניתן להתאמה אישית(, אינטואיטיבית להבנה. במרוץ החימוש בין תוקפי הסייבר למערכות ההגנה בסייבר, זו האסטרטגיה

היחידה שנותנת למתגוננים את היתרון הטכנולוגי. SAS במקום לא לחינם הציבו המומחים של גרטנר את 2014, כפי הגבוה ביותר בין פלטפורמות האנליטיקה לשנת שעשו האנליסטים של Forrester ב-2013. כי בשורה התחתונה, במלחמת הסייבר מנצח מי שנעזר בכלים הכי אינטליגנטיים

/ חכמים / מבריקים לניתוח סיכונים.”