אודות

Hello,

ID: My name is David, I am 36 years old, i am married and I have 2 children

Work: Cellebrite.LTD

In the line of duty my responsibility is on the global systems of domain-wide society of international communications infrastructure of the company offices and security elements.
The responsibility includes providing professional solutions to all the problems the international connectivity of the offices to the main office in Tel Aviv, escalation for execution tasks and enable remote teams in various branches.
responsible for information security topics at all branches including the main branch in Israel
Additionally, responsible for the top-level Web site of the company from the basic level of infrastructure servers, communication, and connectivity to the level of operations mission
As well responsibility of the role is to keep all systems work without downtime and maintain necessary relevant teams in favor of returning the system to normal in case of a malfunction.

Studies: I completed my certificate of computers and electronics engineer at 2002, in addition
I made a lot of courses and certificate at IT world, for example: RHEL, MCSE, MCITP, CCNA, CCNA Security CIO, MCSA etc...

I decided to build this website to share my knowledge and information of IT world, And to get Your questions and indecision of IT's issue.

So feel free to ask me any questions do you like, about Networking, System, Security and new technologies.

נושאים

CISSP Domain 1 (2)

Linkdin

• My linkdin

עדכונים בתחום הטכנולגי

• geektime

• gadgets

• PC Magazine

• אנשים ומחשבים

CISO zone

• Botnet Discovery

• dnsdumpste

• security-audit

• hybrid-analysis

• pentest-tools

• secure list

• sky boxsecurity

• Useful_Websites_For_Pentesters

Security zone

• Real time monitor

• Discover the world

• owasp

• cyber criminals

• Israel National Cyber

• Wonder How To

• Security cloud - CSA

Threat Hunting

08/01/2019 12:53

David

Threat Hunting

בעידן זה של איומים מתקדמים וממוקדים על הארגון כדוגמת מתקפות APT, אנחנו משקיעים המון בהגנה על הארגון, בכל ערוצי הכניסה אליו וגם מבפנים, משקיעים במקרה הטוב במערכות ההגנה המתקדמות ביותר מפני איומי הסייבר המאתגרים של היום והשקעה כמובן בבקרות והתהליכים הרלוונטיים לכל ארגון. עם זאת, ידוע כי מערכות ההגנה, טובות ככל שיהיו, אינן מספיקות בכדי להדוף יריבים אנושיים מתוחכמים וממוקדים שיודעים היטב כיצד לעקוף את מערכות ההגנה שלנו.

"אנחנו חיים בעולם שבו היריבים יתעקשו להיכנס לסביבה של ארגונים, והם רק צריכים להצליח פעם אחת. בממוצע, חברות נפרצות במשך יותר מ -200 יום לפני שהן מבינות שהן נפגעות" מציין מנכ"ל חברה מובילה בתחום, שמטרתה לפשט את ציד האיומים הקיברנטי האפקטיבי.

רוב היריבים הקברניטים כיום משנים ללא הרף את הטכניקות שלהם, ולכן Threat Hunting, המכונה "ציד האיום" הוא חלק חשוב במבצע אבטחה מודרני לאיתור איומים נסתרים ברשת הארגונית שלנו ובעיקר לצמצום זמן איתור האיומים והטיפול בהם.

האיומים של ימינו דורשים תפקיד פעיל יותר באיתור ובמענה להתקפות מתוחכמות. אמצעי אבטחה מסורתיים כמו חומת אש, IDS, הגנה על נקודות קצה ו- SIEM ואף מוצרי ההגנה המתקדמים ביותר ממשפחות ה - Next Generation או ה -Cutting Edge Technologies הם רק חלק מפאזל האבטחה של הרשת.

ארגונים אינם יכולים להרשות לעצמם להאמין כי אמצעי האבטחה שלהם מושלמים ובלתי חדירים, לא משנה כמה יסודיים אמצעי הזהירות שלהם עשויים להיות. מערכות הגנה מסייעות בצמצום "ההזדמנויות" ליריבים ומאפשרות לאנליסטים לפעול ביעילות רבה יותר.

ציד האיום נכלל בקטגוריית ההגנה הפעילה. ארגונים רבים נוהגים לעשות היום "ציד איומי סייבר", בין אם באופן פורמלי או לא פורמלי ומחפשים בדרכם ראיות של פעילות האיום.

אנו יכולים להגדיר Cyber Threat Hunting כגישה ממוקדת ואיטרטיבית לחיפוש, באמצעות רשתות ומערכי נתונים כדי לזהות איומים ומטרתו למצוא את הטקטיקות, טכניקות ונהלים (TTPs) של יריבים מתקדמים.

ציידי האיום מתמקדים באיומים. וכדי שיהיה איום, ליריב חייבים להיות 3 פרמטרים: הכוונה, היכולת והזדמנות לעשות נזק. הם מתמקדים בחיפוש שלהם על יריבים שיש להם שלושת מאפיינים אלה והם כבר פועלים בתוך הרשתות והמערכות של הארגון, היכן שיש להם סמכות לאסוף נתונים ולפרוס אמצעי נגד.

ציד האיום דורש מספר מיומנויות אנליטיות ספציפיות, כגון היכרות עם הארגון והיכולת ליצור ולחקור את ההיפותזות וככל שהיתרונות של האנליסטים באמצעות אוטומציה לבצע באופן מהיר יותר, קל יותר, תכוף יותר ומדויק יותר, הרי שעולים הסיכויים למצוא את האיום שכבר נמצא ברשת הארגונית.

האיומים מזוהים לעיתים קרובות כאיומים מתמשכים, מתקדמים וממוקדים (APT) לא רק בגלל יכולות התוקפים, אלא גם בגלל יכולת ליזום ולתחזק פעולות ארוכות טווח נגד מטרות.

אם תוקף פועל באופן ממוקד וממומן, ציידי האיום לא מספיקים להגיב על התראות (במידה ואכן מתקבלות ממערכות ההגנה) או ל - IOCs.

הם נדרשים לחפש איומים באופן פעיל ומתמשך כדי למנוע או למזער את הנזק.

ציד האיומים כבר מתרחש ברמות רבות בארגונים – בעיקר Ad Hoc, מבוסס על "תחושות" של אנליסטים "המכירים" את הסביבה. האתגר עבור ארגונים רבים הוא להפוך את האיום לציד אפשרי ויעיל. הבאת ציד איומים לבגרות דורשת עמדת סייבר בארגון, הכוללת את הכלים, אנשים, תהליכים ותמיכה ממקבלי ההחלטות שמאפשרים למגינים לצוד.

על הארגון לקבוע כללי יסוד בנוגע לתפקידים, לאחריות ולדרך שבו ייעשה שימוש בציד איומים. לדוגמה, צוות הציד לא צריך להיראות כמו one-stop shop לטפל בכל בעיה ברשת. מסיבה זו, הארגון חייב לעשות ציד איומים חלק מאסטרטגיית הסייבר הכוללת שלו, לחוקק אותו ולהבין אותו מלמעלה למטה. במילים פשוטות, ציד איומים נגיש לכל, אבל ארגון חייב להיות בוגר מספיק כדי לקבל החזר ראוי על ההשקעה ממנו ולהפוך אותו לתהליך עקבי.

קיימים מספר מודלים זמינים שיכולים לעזור לארגונים להעריך את רמת הבגרות שלהם בנושא זה. מבין המודלים השונים אליהם נחשפתי בשנים האחרונות, התחברתי מאוד למודל אשר מתמקד מצד אחד בשלושה מושגי מדידה חשובים: איכות, כלים וכישורים.

ארגונים צריכים להיות מודעים לאיכות הנתונים שהם אוספים
כלים המשמשים כדי לגשת ולנתח את נתונים
הכישורים של האנליסטים שעושים את הציד

ומצד שני חמש קטגוריות שונות של יכולת (רמת בשלות) הציד של הארגון:

ראשוני
מינימלי
פרוצדורלי
חדשני
מוביל

ככל שתהיה עליה בשלושת הגדרות המדידה, תהיה עליה ברמת הבשלות בסולם הקטגוריות.

ארגונים צריכים לנסות למקסם את איסוף הנתונים שלהם, לנתח את הנתונים ביעילות ולאחר מכן למנף את האנליסטים שלהם כראוי. ארגונים המבצעים פעולות אבטחה כבר צדים היום (בדרך כלל באופן לא רשמי), ללא תלות במקום שבו הם נמצאים ברמת הבגרות המבצעית. עם זאת, ככל שמבצעים השקעות הולמות כגון תשתית ניטור - כדי לאפשר פעולות הגנה אקטיביות, צוות הציד מייצר פלט משמעותי יותר.

כל מי שהיה מעורב אי פעם בתגובה לאירוע, יודע כי ללא ראיות, כמו בפלילי, הוא לא יכול לעשות הרבה. כנ"ל לגבי ציד איומים. ציידים זקוקים לנתונים שיאפשרו להם להעביר מפיסות בודדות של נתונים, לקורלציות שבסופו של דבר חושפות את האיום.

אין כמות של כוח אדם מיומן או כלים יקרים אשר יכולים לפצות על חוסר נתונים שנאספו.

לציידי האיומים היעילים ביותר ישנה גישה ל - Machine Learning וניתוח עם תצוגות חזותיות כדי למיין את המידע הזה ולעזור לענות על השאלות שלהם על התנהגויות חריגות.

תכונות מתקדמות בכלים שונים, כגון ניתוח הקישור החזותי יכולים לעזור לאנליסטים לזהות טוב יותר את האיום הארגון.

ציידים הם אנליסטים חדשניים שמבינים את נוף האיום שלהם ואת הארגון שלהם היטב מספיק כדי לשאול את השאלות הנכונות ולמצוא את התשובות. במובנים רבים, כלים אוטומטיים צריכים לשקף התנהגות זו אצל ציידי האיומים האנושיים, לשכפל אותה ולהפוך אותה לאוטומטית כסוכן מטעם הצייד האיום מאחורי המקלדת.

ציידים צריכים לגלם שילוב של מיומנויות הגנה אקטיביות ומלאכת מודיעין של אינטליגנציה.

לסיכום,

Threat Hunting הינה פרקטיקת אבטחה מתקדמת שנראית רק בארגונים היושבים בשיא פעילות למאמצי האבטחה. היא מייצגת נשק יעיל נגד איומים קיברנטיים מתקדמים.
ארגונים רבים מבינים היטב את הצורך בביצוע Threat Hunting, בין אם ע"י פתרונות מתקדמים On Premise הניזונים בעיקר ממוצרי ה SIEM ומערכות ההגנה, בשילוב טכניקות Machine Learning מתקדמות ובין אם בביצוע Threat Hunting אצל ספקים שונים המחוברים לארגון באופן כזה או אחר, לצמצום פוטנציאל הדבקות בזדון/בשוגג מספקי הארגון המחוברים אליו בכל צורת תשתיתית.
מדובר על גישה פרואקטיבית לזיהוי אויבים ולא תגובה להתראה שיוצאת.
הבנה של בגרות ציד של ארגונים, תסייע להנחות ארגונים שצריכים לפתח את היכולות הללו.
ארגונים צריכים להעצים את האנליסטים יחד עם אימון ופלטפורמות תומכות חזקות ל - Threat Hunting בעולם הסייבר. ליזום ולחפש איומים בארגון טרם קבלת התראה מוקדמת על פוטנציאל לאירוע סייבר (במקרה הטוב) או אירוע סייבר שכבר גרם לנזק (במקרה הפחות טוב).
מדובר על תהליך נדרש בכל ארגון שחושב על השלב הבא באיתור איומים ומתקפות ברשת, תהליך פעיל ומתמשך שאינו חד פעמי, שבא לצמצם או למנוע נזק לארגון ולצמצם משמעותית את זמן האיתור והתחקור, לכן ראוי כי יתבצע לפי שיטות מקובלות וטכנולוגיות מתקדמות בתחום זה בעולם הסייבר.