חדשות היום
Latest News
- דצמבר 7, 2014

מחקר של אינטל סקיוריטי חושף את הגורמים הקריטיים במניעת פרצות אבטחה

הגורמים הקריטיים בבלימה פעילה של איומים: תגובה בזמן אמת, מודיעין משולב ומודעות ל-8 אינדיקאטורים של מתקפה

מקאפי, כיום חלק מאינטל סקיוריטי, פרסמה תוצאות מחקר חדש When Minutes Count שבוחן את היכולות של ארגונים לזהות ולהדוף מתקפות מכוונות. המחקר חושף את 8 האינדיקאטורים הקריטיים המעידים על מתקפה ובוחן את הפעולות היזומות הטובות ביותר כתגובה לכל אירוע. המחקר ממחיש עד כמה ארגונים יכולים להיות אפקטיביים יותר כשהם מבצעים ניתוח רב ממדי ובזמן אמת של תקיפות סמויות ומשקללים את גורם הזמן ומודיעין על תקיפות לקביעת רמות הסיכון וסדרי עדיפויות לתגובה על כל אירוע.

סקר שהוזמן על ידי אינטל סקיוריטי ובוצע על ידי Evaluserve, במקביל למחקר, קובע שברוב החברות קיים חוסר אמון ביכולתן לזהות מתקפות מכוונות במועד. אפילו חברות שמוכנות בצורה מיטבית להתמודדות עם תקיפות מכוונות, מקדישות זמן רב מאוד לחקירת מצבור רב של אירועים, דבר התורם לתחושת הדחיפות והצורך בהתמקדות ויצירתיות ארגונית בזיהוי מוקדם ותגובה אפקטיבית יותר.

הממצאים המרכזיים כוללים:

  • 74% מהנשאלים ציינו כי מתקפות מכוונות הן סוגיה מדאיגה מרכזית בארגוניהם
  • 58% מהארגונים שנסקרו חוו 10 מתקפות או יותר בשנה החולפת
  • רק 24% מהחברות מאמינות ביכולת שלהן לזהות מתקפה תוך דקות וכמחצית מהן ציינו כי ייקח להן ימים, שבועות, או אפילו חודשים להבחין בהתנהגות חשודה.
  • ל-74% מאלה שמסוגלים לזהות מתקפות תוך דקות יש מערכת פעילה לאבטחת מידע ולניהול אירועים בזמן אמת – SIEM (Security Information and Event Management)
  • מחצית החברות שנסקרו ציינו שיש להן כלים וטכנולוגיות לתגובה מהירה יותר לאירועים אך לעתים אינדיקאטורים קריטיים אינם מבודדים ממצבור ההתראות הכללי, דבר המטיל עומס על מנהלי ה-IT שנדרשים לנפות התראות ונתונים בהיקף רחב.

משה אסרף, מנהל הפעילות העסקית, מקאפי ישראל: “הדרך היחידה לגבור על התוקפים היא להתמודד עם אתגר משך הזמן הנדרש לגילוי. כדי להגיע להבנה מהירה ועמוקה יותר של אירועים רלבנטיים ולנקוט בצעדי בלימה מהירים יותר, יש לפשט את תהליך הסינון של ים התראות והאינדיקאטורים – וליישם כלי מודיעין ואנאליזה בזמן אמת”.

“טכנולוגיות  כגון SIEM, שהן Intelligence Aware, מצמצמות למינימום את זמן הגילוי ומניעת הפרצות באופן אקטיבי. זאת בהתבסס על מיצוב האינדיקאטורים בהקשר רחב המתבצע תוך כדי תהליך הזיהוי והתגובות האוטומאטיות המבוססות על מדיניות שנקבעה. היכולת להאיץ את הזיהוי, התגובה והלימוד מאירועים מאפשרת לארגונים לשנות מהיסוד את מצב האבטחה ולהפוך מניצודים לציידים”, מסכם אסרף.

המחקר של אינטל סקיוריטי מציג את 8 פעילויות המתקפה הנפוצות ביותר שארגונים בעלי יכולת  מסוגלים לעקוב אחריהן ולהדוף מתקפות מכוונות:

1. שרתי אירוח פנימיים שמתקשרים עם יעדים שידועים כבעיתיים או עם ארץ זרה שהארגון אינו מקיים בה קשרים עסקיים.

2.  שרתי אירוח פנימיים שמתקשרים עם שרתי אירוח חיצוניים תוך שימוש בכניסות (ports) לא סטנדרטיים  או בפרוטוקולים/כניסות לא תואמים, כמו שליחת SSH במקום תעבורת HTTP דרך כניסה 80 – שהוא ברירת המחדל של כניסת אינטרנט.

3. שרתי אירוח נגישים לציבור או מתחמים לא מוגנים (DMZ – Demilitarized Zone) שמתקשרים עם שרתי אירוח פנימיים. הדבר מאפשר קפיצות מבחוץ פנימה ובחזרה החוצה. כך מתאפשרת זליגת נתונים וגישה מרחוק לנכסים באופן שמנטרל את הערך של DMZ.

4. זיהוי נוזקות בשעות שחורגות מיום העסקים. התרעות שמופיעות אחרי שעות הפעילות העסקית הסטנדרטית (או בלילות או בסופי שבוע) עשויות להעיד על שרת שנפרץ.

5. סריקות רשת על ידי שרתי אירוח פנימיים המתקשרים עם מספר גדול של שרתי אירוח בטווח זמן קצר עשויות להעיד על פורץ שנע בתוך הרשת. לעתים רחוקות מערכות הגנה לרשת כמו פיירוול או IPS מוגדרות לתצורה של ניטור תעבורת הרשת הפנימית (אך ניתן לעשות זאת)

6. אירועים רבים של אזעקה משרת אירוח בודד או אירועי אזעקה משוכפלים ממכונות רבות באותה תת רשת במשך 24 שעות, כמו כישלונות אימות שחוזרים על עצמם.

7. אחרי תהליך ניקוי, המערכת נדבקת שנית בנוזקה תוך 5 דקות. הידבקות חוזרת מעידה  על נוכחות של Rootkit או על פריצה עמוקה.

8. חשבון משתמש שמנסה להתחבר למשאבים רבים תוך דקות ספורות מ/אל אזורים שונים – הדבר מעיד כי נתוני האימות של המשתמש נגנבו או שהוא עומד לבצע פעולה עוינת.

 בתמונה: משה  אסרף

מערכת ניו-טק

כתבות קשורות

תגובות סגורות