הרצאות מפי אור כהן:
-
אירוע InfoSec 2015, חמישי, 21 במאי 2015, 12:15
בארגונים של היום יש מגוון רחב של מערכות אבטחה והגנה שתפקידן לזהות ולמנוע מתקפות ואיומים. מערכות אלה מפיקות מידע רב ומגוון אודות מצב אבטחת המידע בארגון ושולחות התרעות במידה ומתגלות חריגות שיש לתת עליהן את הדעת. כמו כן, תודות לפרסום הרב של נושא הסייבר בתקשורת העולמית, אנו עדים לעלייה במודעות העובדים ואף להתרעות אודות אירועים פוטנציאליים שמגיעות ישירות מהעובדים עצמם. כלל ההתרעות שמופקות בערוצים השונים מגיעות לפתחו של גוף אבטחת המידע או ה-IT הארגוני לטיפול ובדיקה. בחינת ההתרעות המתקבלות מראה כי אחוז ניכר מהן חוזרות על עצמן מספר רב של פעמים באופן תבניתי ומתייחסות במקרים רבים לחשיפות או פגיעויות מוכרות וידועות. הליך הטיפול שמבוצע בפועל דומה מאוד בין ההתרעות והינו פשוט באופן יחסי – אך מבוצע לרוב באופן ידני ודורש השקעת זמן מצד העובדים שאחראיים על טיפול בהתרעות. התרעות מסוימות אף "זוכות" להתעלמות או ביטול כאשר ישנן כמויות גדולות של התרעות שדורשות בדיקה או טיפול באופן יומיומי. גישה זו נובעת לרוב ממחסור בזמן, בידע, בכוח אדם זמין, בנגישות, בכלים או ביכולת ניהול מסודרת של אירועים ותהליכים. בחינה נוספת של הנושא מלמדת כי גופי אבטחת המידע וה-IT בארגונים השונים מבינים היטב את הסביבה בה הם פועלים, מכירים את המערכות והמידע הזמין להם ומכירים את האירועים הנפוצים בסביבתם, אך למרות זאת לא מייצרים נהלי תגובה מסודרים להתרעות מוכרות ולא מיישמים מנגנונים של הפקת לקחים ולמידה מאירועי עבר. בסופו של דבר ארגונים נשארים חשופים ופגיעים דווקא במקומות בהם אין קושי טכני במיגור החשיפה, ונפגעים שוב ושוב מאיומים או כלים פשוטים ומוכרים ולא מאיומי "סייבר" מתקדמים שנכתבו במיוחד כדי לפגוע בארגון ספציפי. אם מוסיפים לכך את העובדה שארגונים רבים לא משקיעים מחשבה בשנייה שלאחר גילוי האירוע באמצעות נהלי תגובה, מגיעים למצב בו ארגונים נמצאים לרוב במצב של כיבוי שריפות במקום למסד תהליך מסודר להתמודדות עם איומים פשוטים יחסית. המטרה צריכה להיות התמודדות אוטומטית לחלוטין עם התרעות מוכרות שחוזרות על עצמן. באמצעות מיסודה של שיטה זו ניתן להגיב לכל התרעה משמעותית מהר יותר, לצמצם התרעות שווא, להיות עקביים בטיפול בהתרעות, לוודא סגירה של טיפול בהתרעות, לשפר בצורה ניכרת את סטאטוס חשיפת הארגון, וחשוב מכל – לפנות את המשאב הנדיר ביותר בתחום, מומחי אבטחת המידע, להתמודד עם מקרים מורכבים שלא ניתן לפתור באופן אוטומטי. הטכנולוגיות הנדרשות לטובת מיסוד התהליכים האוטומטיים כבר זמינות וקיימות במרבית הארגונים, רק נדרש לשנות כיוון חשיבה לגבי אופי השימוש בהם. מערכות רבות מגיעות עם API, אך נדיר שישנן מערכות שמדברות בניהן בצורה דו-כיוונית לטובת התמודדות עם איומי אבטחת מידע. התוצר הוא איים שלא מסוגלים לתקשר, ופוגעים ביכולת ליצר מערך הגנתי יעיל. בארגונים מסוימים ניתן אף לראות כלי שמאפשר אוטומציה של תהליכים וניהול Workflow (Orchestrator), אך כלל פעולותיו מבוצעות במסגרת של System/IT ולא באבטחת מידע. שימוש בכלי זה לטובת ניהול תהליכי תגובה להתרעות אבטחה יאפשר שימוש גם במערכות שאין להן יכולת לקבל פקודות ממקור חיצוני. אנו ב-We Ankor מיישמים לוגיקה לפיה מכירת מוצר או שירות טוב זה פשוט לא מספיק. המטרה היא לייצר אינטגרציה מלאה ואוטומטית בין המוצרים והכלים כך שיתנו כיסוי מלא כאשר נדרש להגיב להתרעה בזמן אמת, ובכך להרים משמעותית את רמת האבטחה בארגון ולאפשר התמודדות אמיתית עם איומי העתיד.
דוברים נוספים באירוע InfoSec 2015
-
פלי הנמר
יזם ומנהיגאנשים ומחשבים -
אופיר זילביגר
Global Cyber Leader - BDO
Head of Cyber - BDO Isr -
Dan Solomon
Director -
ישי ורטהיימר
שותף, ראש מחלקת אבטחת מידעסומך חייקין KMPG -
צביקה קליין
Senior Product ManagerAkamai -
Knut Vatnestrom
Regional DirectorF-Secure -
רועי בסר
מנהל טכני לאזור EMEA ו- APACAllot Communications -
אלי כהן
מנכ"ל, Experis Cyber -
אריק קשה
דירקטור מכירות אזוריObserveIT -
מתן שרף
Founder & CEO -
גדי גילאון
CDOחברת לובינסקי -
משה פרבר
מנהלCSA ISRAEL -
דן פסטור
ראש מחלקת מודיעיןCytegic -
מני מלר
יועץ טכנולוגיאורקל ישראל -
Boris Gorin
Head of Security EngineeringFirelayers -
ניר נעמן
ארכיטקט אבטחת מידעCheck Point -
לביא ליזורביץ
Cyber Security ResearcherCyber-Ark