| Threat Hunting |
| בעידן זה של איומים מתקדמים וממוקדים על הארגון כדוגמת מתקפות APT, אנחנו משקיעים המון בהגנה על הארגון, בכל ערוצי הכניסה אליו וגם מבפנים, משקיעים במקרה הטוב במערכות ההגנה המתקדמות ביותר מפני איומי הסייבר המאתגרים של היום והשקעה כמובן בבקרות והתהליכים הרלוונטיים לכל ארגון. עם זאת, ידוע כי מערכות ההגנה, טובות ככל שיהיו, אינן מספיקות בכדי להדוף יריבים אנושיים מתוחכמים וממוקדים שיודעים היטב כיצד לעקוף את מערכות ההגנה שלנו. "אנחנו חיים בעולם שבו היריבים יתעקשו להיכנס לסביבה של ארגונים, והם רק צריכים להצליח פעם אחת. בממוצע, חברות נפרצות במשך יותר מ -200 יום לפני שהן מבינות שהן נפגעות" מציין מנכ"ל חברה מובילה בתחום, שמטרתה לפשט את ציד האיומים הקיברנטי האפקטיבי.
רוב היריבים הקברניטים כיום משנים ללא הרף את הטכניקות שלהם, ולכן Threat Hunting , המכונה "ציד האיום" הוא חלק חשוב במבצע אבטחה מודרני לאיתור איומים נסתרים ברשת הארגונית שלנו ובעיקר לצמצום זמן איתור האיומים והטיפול בהם.
האיומים של ימינו דורשים תפקיד פעיל יותר באיתור ובמענה להתקפות מתוחכמות. אמצעי אבטחה מסורתיים כמו חומת אש, IDS, הגנה על נקודות קצה ו- SIEM ואף מוצרי ההגנה המתקדמים ביותר ממשפחות ה - Next Generation או ה -Cutting Edge Technologies הם רק חלק מפאזל האבטחה של הרשת.
ארגונים אינם יכולים להרשות לעצמם להאמין כי אמצעי האבטחה שלהם מושלמים ובלתי חדירים, לא משנה כמה יסודיים אמצעי הזהירות שלהם עשויים להיות. מערכות הגנה מסייעות בצמצום "ההזדמנויות" ליריבים ומאפשרות לאנליסטים לפעול ביעילות רבה יותר.
ציד האיום נכלל בקטגוריית ההגנה הפעילה . ארגונים רבים נוהגים לעשות היום "ציד איומי סייבר", בין אם באופן פורמלי או לא פורמלי ומחפשים בדרכם ראיות של פעילות האיום.
אנו יכולים להגדיר Cyber Threat Hunting כגישה ממוקדת ואיטרטיבית לחיפוש, באמצעות רשתות ומערכי נתונים כדי לזהות איומים ומטרתו למצוא את הטקטיקות, טכניקות ונהלים (TTPs) של יריבים מתקדמים.
ציידי האיום מתמקדים באיומים. וכדי שיהיה איום, ליריב חייבים להיות 3 פרמטרים: הכוונה, היכולת והזדמנות לעשות נזק . הם מתמקדים בחיפוש שלהם על יריבים שיש להם שלושת מאפיינים אלה והם כבר פועלים בתוך הרשתות והמערכות של הארגון, היכן שיש להם סמכות לאסוף נתונים ולפרוס אמצעי נגד.
ציד האיום דורש מספר מיומנויות אנליטיות ספציפיות, כגון היכרות עם הארגון והיכולת ליצור ולחקור את ההיפותזות וככל שהיתרונות של האנליסטים באמצעות אוטומציה לבצע באופן מהיר יותר, קל יותר, תכוף יותר ומדויק יותר, הרי שעולים הסיכויים למצוא את האיום שכבר נמצא ברשת הארגונית.
האיומים מזוהים לעיתים קרובות כאיומים מתמשכים, מתקדמים וממוקדים (APT) לא רק בגלל יכולות התוקפים, אלא גם בגלל יכולת ליזום ולתחזק פעולות ארוכות טווח נגד מטרות.
אם תוקף פועל באופן ממוקד וממומן, ציידי האיום לא מספיקים להגיב על התראות (במידה ואכן מתקבלות ממערכות ההגנה) או ל - IOCs.
הם נדרשים לחפש איומים באופן פעיל ומתמשך כדי למנוע או למזער את הנזק.
ציד האיומים כבר מתרחש ברמות רבות בארגונים – בעיקר Ad Hoc, מבוסס על "תחושות" של אנליסטים "המכירים" את הסביבה. האתגר עבור ארגונים רבים הוא להפוך את האיום לציד אפשרי ויעיל. הבאת ציד איומים לבגרות דורשת עמדת סייבר בארגון, הכוללת את הכלים, אנשים, תהליכים ותמיכה ממקבלי ההחלטות שמאפשרים למגינים לצוד.
על הארגון לקבוע כללי יסוד בנוגע לתפקידים, לאחריות ולדרך שבו ייעשה שימוש בציד איומים. לדוגמה, צוות הציד לא צריך להיראות כמו one-stop shop לטפל בכל בעיה ברשת. מסיבה זו, הארגון חייב לעשות ציד איומים חלק מאסטרטגיית הסייבר הכוללת שלו, לחוקק אותו ולהבין אותו מלמעלה למטה. במילים פשוטות, ציד איומים נגיש לכל, אבל ארגון חייב להיות בוגר מספיק כדי לקבל החזר ראוי על ההשקעה ממנו ולהפוך אותו לתהליך עקבי.
קיימים מספר מודלים זמינים שיכולים לעזור לארגונים להעריך את רמת הבגרות שלהם בנושא זה. מבין המודלים השונים אליהם נחשפתי בשנים האחרונות, התחברתי מאוד למודל אשר מתמקד מצד אחד בשלושה מושגי מדידה חשובים: איכות, כלים וכישורים.
|
| ככל שתהיה עליה בשלושת הגדרות המדידה, תהיה עליה ברמת הבשלות בסולם הקטגוריות. ארגונים צריכים לנסות למקסם את איסוף הנתונים שלהם, לנתח את הנתונים ביעילות ולאחר מכן למנף את האנליסטים שלהם כראוי. ארגונים המבצעים פעולות אבטחה כבר צדים היום (בדרך כלל באופן לא רשמי), ללא תלות במקום שבו הם נמצאים ברמת הבגרות המבצעית. עם זאת, ככל שמבצעים השקעות הולמות כגון תשתית ניטור - כדי לאפשר פעולות הגנה אקטיביות, צוות הציד מייצר פלט משמעותי יותר.
כל מי שהיה מעורב אי פעם בתגובה לאירוע, יודע כי ללא ראיות , כמו בפלילי, הוא לא יכול לעשות הרבה. כנ"ל לגבי ציד איומים. ציידים זקוקים לנתונים שיאפשרו להם להעביר מפיסות בודדות של נתונים, לקורלציות שבסופו של דבר חושפות את האיום. אין כמות של כוח אדם מיומן או כלים יקרים אשר יכולים לפצות על חוסר נתונים שנאספו. לציידי האיומים היעילים ביותר ישנה גישה ל - Machine Learning וניתוח עם תצוגות חזותיות כדי למיין את המידע הזה ולעזור לענות על השאלות שלהם על התנהגויות חריגות. תכונות מתקדמות בכלים שונים, כגון ניתוח הקישור החזותי יכולים לעזור לאנליסטים לזהות טוב יותר את האיום הארגון. ציידים הם אנליסטים חדשניים שמבינים את נוף האיום שלהם ואת הארגון שלהם היטב מספיק כדי לשאול את השאלות הנכונות ולמצוא את התשובות. במובנים רבים, כלים אוטומטיים צריכים לשקף התנהגות זו אצל ציידי האיומים האנושיים, לשכפל אותה ולהפוך אותה לאוטומטית כסוכן מטעם הצייד האיום מאחורי המקלדת.
ציידים צריכים לגלם שילוב של מיומנויות הגנה אקטיביות ומלאכת מודיעין של אינטליגנציה.
לסיכום,
|
| Threat Hunting |
| בעידן זה של איומים מתקדמים וממוקדים על הארגון כדוגמת מתקפות APT, אנחנו משקיעים המון בהגנה על הארגון, בכל ערוצי הכניסה אליו וגם מבפנים, משקיעים במקרה הטוב במערכות ההגנה המתקדמות ביותר מפני איומי הסייבר המאתגרים של היום והשקעה כמובן בבקרות והתהליכים הרלוונטיים לכל ארגון. עם זאת, ידוע כי מערכות ההגנה, טובות ככל שיהיו, אינן מספיקות בכדי להדוף יריבים אנושיים מתוחכמים וממוקדים שיודעים היטב כיצד לעקוף את מערכות ההגנה שלנו. "אנחנו חיים בעולם שבו היריבים יתעקשו להיכנס לסביבה של ארגונים, והם רק צריכים להצליח פעם אחת. בממוצע, חברות נפרצות במשך יותר מ -200 יום לפני שהן מבינות שהן נפגעות" מציין מנכ"ל חברה מובילה בתחום, שמטרתה לפשט את ציד האיומים הקיברנטי האפקטיבי.
רוב היריבים הקברניטים כיום משנים ללא הרף את הטכניקות שלהם, ולכן Threat Hunting , המכונה "ציד האיום" הוא חלק חשוב במבצע אבטחה מודרני לאיתור איומים נסתרים ברשת הארגונית שלנו ובעיקר לצמצום זמן איתור האיומים והטיפול בהם.
האיומים של ימינו דורשים תפקיד פעיל יותר באיתור ובמענה להתקפות מתוחכמות. אמצעי אבטחה מסורתיים כמו חומת אש, IDS, הגנה על נקודות קצה ו- SIEM ואף מוצרי ההגנה המתקדמים ביותר ממשפחות ה - Next Generation או ה -Cutting Edge Technologies הם רק חלק מפאזל האבטחה של הרשת.
ארגונים אינם יכולים להרשות לעצמם להאמין כי אמצעי האבטחה שלהם מושלמים ובלתי חדירים, לא משנה כמה יסודיים אמצעי הזהירות שלהם עשויים להיות. מערכות הגנה מסייעות בצמצום "ההזדמנויות" ליריבים ומאפשרות לאנליסטים לפעול ביעילות רבה יותר.
ציד האיום נכלל בקטגוריית ההגנה הפעילה . ארגונים רבים נוהגים לעשות היום "ציד איומי סייבר", בין אם באופן פורמלי או לא פורמלי ומחפשים בדרכם ראיות של פעילות האיום.
אנו יכולים להגדיר Cyber Threat Hunting כגישה ממוקדת ואיטרטיבית לחיפוש, באמצעות רשתות ומערכי נתונים כדי לזהות איומים ומטרתו למצוא את הטקטיקות, טכניקות ונהלים (TTPs) של יריבים מתקדמים.
ציידי האיום מתמקדים באיומים. וכדי שיהיה איום, ליריב חייבים להיות 3 פרמטרים: הכוונה, היכולת והזדמנות לעשות נזק . הם מתמקדים בחיפוש שלהם על יריבים שיש להם שלושת מאפיינים אלה והם כבר פועלים בתוך הרשתות והמערכות של הארגון, היכן שיש להם סמכות לאסוף נתונים ולפרוס אמצעי נגד.
ציד האיום דורש מספר מיומנויות אנליטיות ספציפיות, כגון היכרות עם הארגון והיכולת ליצור ולחקור את ההיפותזות וככל שהיתרונות של האנליסטים באמצעות אוטומציה לבצע באופן מהיר יותר, קל יותר, תכוף יותר ומדויק יותר, הרי שעולים הסיכויים למצוא את האיום שכבר נמצא ברשת הארגונית.
האיומים מזוהים לעיתים קרובות כאיומים מתמשכים, מתקדמים וממוקדים (APT) לא רק בגלל יכולות התוקפים, אלא גם בגלל יכולת ליזום ולתחזק פעולות ארוכות טווח נגד מטרות.
אם תוקף פועל באופן ממוקד וממומן, ציידי האיום לא מספיקים להגיב על התראות (במידה ואכן מתקבלות ממערכות ההגנה) או ל - IOCs.
הם נדרשים לחפש איומים באופן פעיל ומתמשך כדי למנוע או למזער את הנזק.
ציד האיומים כבר מתרחש ברמות רבות בארגונים – בעיקר Ad Hoc, מבוסס על "תחושות" של אנליסטים "המכירים" את הסביבה. האתגר עבור ארגונים רבים הוא להפוך את האיום לציד אפשרי ויעיל. הבאת ציד איומים לבגרות דורשת עמדת סייבר בארגון, הכוללת את הכלים, אנשים, תהליכים ותמיכה ממקבלי ההחלטות שמאפשרים למגינים לצוד.
על הארגון לקבוע כללי יסוד בנוגע לתפקידים, לאחריות ולדרך שבו ייעשה שימוש בציד איומים. לדוגמה, צוות הציד לא צריך להיראות כמו one-stop shop לטפל בכל בעיה ברשת. מסיבה זו, הארגון חייב לעשות ציד איומים חלק מאסטרטגיית הסייבר הכוללת שלו, לחוקק אותו ולהבין אותו מלמעלה למטה. במילים פשוטות, ציד איומים נגיש לכל, אבל ארגון חייב להיות בוגר מספיק כדי לקבל החזר ראוי על ההשקעה ממנו ולהפוך אותו לתהליך עקבי.
קיימים מספר מודלים זמינים שיכולים לעזור לארגונים להעריך את רמת הבגרות שלהם בנושא זה. מבין המודלים השונים אליהם נחשפתי בשנים האחרונות, התחברתי מאוד למודל אשר מתמקד מצד אחד בשלושה מושגי מדידה חשובים: איכות, כלים וכישורים.
|
| ככל שתהיה עליה בשלושת הגדרות המדידה, תהיה עליה ברמת הבשלות בסולם הקטגוריות. ארגונים צריכים לנסות למקסם את איסוף הנתונים שלהם, לנתח את הנתונים ביעילות ולאחר מכן למנף את האנליסטים שלהם כראוי. ארגונים המבצעים פעולות אבטחה כבר צדים היום (בדרך כלל באופן לא רשמי), ללא תלות במקום שבו הם נמצאים ברמת הבגרות המבצעית. עם זאת, ככל שמבצעים השקעות הולמות כגון תשתית ניטור - כדי לאפשר פעולות הגנה אקטיביות, צוות הציד מייצר פלט משמעותי יותר.
כל מי שהיה מעורב אי פעם בתגובה לאירוע, יודע כי ללא ראיות , כמו בפלילי, הוא לא יכול לעשות הרבה. כנ"ל לגבי ציד איומים. ציידים זקוקים לנתונים שיאפשרו להם להעביר מפיסות בודדות של נתונים, לקורלציות שבסופו של דבר חושפות את האיום. אין כמות של כוח אדם מיומן או כלים יקרים אשר יכולים לפצות על חוסר נתונים שנאספו. לציידי האיומים היעילים ביותר ישנה גישה ל - Machine Learning וניתוח עם תצוגות חזותיות כדי למיין את המידע הזה ולעזור לענות על השאלות שלהם על התנהגויות חריגות. תכונות מתקדמות בכלים שונים, כגון ניתוח הקישור החזותי יכולים לעזור לאנליסטים לזהות טוב יותר את האיום הארגון. ציידים הם אנליסטים חדשניים שמבינים את נוף האיום שלהם ואת הארגון שלהם היטב מספיק כדי לשאול את השאלות הנכונות ולמצוא את התשובות. במובנים רבים, כלים אוטומטיים צריכים לשקף התנהגות זו אצל ציידי האיומים האנושיים, לשכפל אותה ולהפוך אותה לאוטומטית כסוכן מטעם הצייד האיום מאחורי המקלדת.
ציידים צריכים לגלם שילוב של מיומנויות הגנה אקטיביות ומלאכת מודיעין של אינטליגנציה.
לסיכום,
|