קטיה שרעבי, סמנכ"לית תפעול, See Secure

שירות ניטור אירועי סייבר ואבטחת מידע הפך להיות מבין השירותים המבוקשים  ביותר בתחום אבטחת המידע. מדוע?

1.  העלייה הדרסטית בתקיפות ופירצות לארגונים שכתוצאה גרמו לדליפת מידע עסקי רגיש, דליפת מידע אישי של הלקוחות, פגיעה במוניטין הארגון וכמובן פגיעה כספית. לדוגמא רק לאחרונה נפרץ מאגר המידע של איזיג'ט ומידע של מיליוני נוסעים נחשפו.

2. לקוחות מעוניינים להוסיף מעגל הגנה משמעותי לארגון ע"י ניטור הארגון באמצעות צוות אנליסטים שינטרו את כלל האירועים ברשת התקשורת, ינתחו את האירועים וידווחו על אירוע אבטחתי או פער אבטחתי בארגון. כך בעצם, הם יוכלו להיות מוכנים לכל מתקפה ולצמצם נזקים בזמן אירוע אמת.

3. לקוחות מעוניינים לעמוד בדרישות רגולטוריות שונות כגון תקנות הגנת הפרטיות, PCI DSS,  GDPR ועוד, מה שנותן להם יותר ערך מוסף בשוק

חברת See Secure ו MedOne מציעים פתרון המאפשר ניטור אירועי אבטחת מידע SIEM SOC מנוהל. במאמר זה נספר על הפתרון וסיפורי לקוח של לקוחות שמשתמשים בפתרון וכיצד זה בדיוק עובד.

האתגר שלנו:
הצורך של הארגונים בתחום אבטחת המידע הוא לזהות מתקפות מראש ולפחות בזמן אמת כדי למנוע נזקים ולצמצם אותם ככל הניתן. אם כך, מהם התגרים העומדים לפנינו?

  • איסוף מידע מרכיבי החברה והמערכות הארגוניות על מיליוני אירועים.
  • איסוף נתונים נכונים, שיתנו מידע רלוונטי. בנוסף, יש צורך בנרמול המידע ושילוב מידע ממערכות IT שונות
  • היעדר כוח אדם מקצועי ומיומן בניטור וניתוח האירועי אבטחה.
    – עלויות גבוהות של הקמת הפיתרון (יוקר רישוי המערכת SIEM, אחסון, משאבים, כח האדם)

    הפיתרון שלנו:
  • SOC- מרכז ניטור א"מ הפועל 7\24 ע"י צוות אנליסטים בעלי ידע וניסיון רב
    – צוות מהנדסי מערכת מקצועי עם ניסיון במערכות SIEM הפופולריות בשוק.
  • צוות התערבות לאירועי סייבר ואבטחת מידע
    – הורדת התראות שווא ע"י למידת הלקוח, רכיבים קריטיים, הרשת הארגונית ועוד
    – כתיבת תרחישי תקיפה על בסיס למידת הלקוח והטמעה במערכת הגדרת חוקים, קורלציות והתראות בחומרות שונות

 ממה מורכב הפתרון של See Secure?

SIEM –Security Information Event Management

זוהי תוכנה המאפשרת איסוף נתונים/מידע מכלל רכיבי הרשת בארגון ובומקורות חיצוניים (כגון ענן מידע), ביצוע קורלציה בין אירועים והצגת התראות אבטחה על סמך החוקים שהוגדרו ע"י צוות הניטור.

SOC – Security Operations Center

הSOC הינו מרכז הניטור בו נמצאים האנליסטים אשר הינם בעלי ניסיון רב בחקירות אירועים, צייד איומים ומערכות הגנה השונות מנטרים את האירועים, חוקרים ומדווחים על אירועי סייבר ללקוח.

SOC  שלנו מחולק לשלוש שכבות:

טיר 1 – אנליסטים המבצעים מעקב וניתוח של אירועי אבטחה וביצוע טיפול ראשוני בארועים.
טיר 2 – אנליסטים המספקים חקירה מתקדמת של האירועים ודוחות אירוע ללקוח.
טיר 3 – מומחי אבטחת מידע  – האקרים, חוקרים, מהנדסי מערכת, threat hunters וכמו כן מומחי צוות תגובה לאירועי סייבר ואבטחת מידע.


טופולוגיית שירות הSIEM SOC  ו MedOne

מה מקבלים?

  • ניטור רשת הארגון וניתוח אירועים 7\24
  • התראות ודיווח בזמן אמת
  • דו"ח חקירת אירוע עם המלצות לביצוע
  • תמיכת אנליסטים באירוע אבטחתי
  • צוות התערבות לאירוע סייבר
  • דוחות הנהלה חודשיים עם פערי אבטחה
  • גישה למערכת הSIEM ודשבורדים מותאמים אישית לצרכי לקוח
  • אפשרות לתקופת ניסיון של חודשיים

סיפורי לקוח:

 גופים בטחוניים קריטיים

See-Secureבשיתוף חברת MedOne אחראים לביטחון הסייבר בסביבת האינטרנט של גופים בטחוניים.
הפלטפורמה הדיגיטלית מכילה מאות אתרים, אלפי דפי תוכן ומיליוני פריטי מדיה. ארכיטקטורת מידע ויכולות ניווט קלים לשימוש המאפשרים למשתמשים למצוא מידע שלא ידעו על קיומו.
סביבה זו נבנתה על בסיס איום הייחוס שקבע הרגולטור ומטרתו אספקת מענה בנושא אבטחת סייבר, כולל ההבנה שמרחב הסייבר יש בו גם תחום צבאי וכולל מודעות לאיום במרחב הסייבר. הדבר בא לידי ביטוי גם על ידי בחירת See-Secure כספק ניטור אבטחתי (SIEM SOC), ומייעץ בפתרונות הגנת סייבר עבור סביבת האינטרט על בסיס האילוצים הקיימים.

איומים, התקפות ופתרונות שלנו:

יש מגוון רחב של איומים, פיגועים וצוותי תקיפה שמכוונים לסביבה בטחונית. צוותי ההתקפה נעים בין סייבר טרוריסטים הממומנים בחסות מדינות אויב וכלה בהאקטיביסטים, פושעי סייבר והאקרים מזדמנים. כמו כן ההתקפות והאיומים משתרעים על כל הווקטורים והסוגים האפשריים.

להלן כמה דוגמאות לתקיפות ופתרונות:

DATA EXFILTRATION DETECTION

סינון נתונים קורה כאשר נתונים מועברים באופן לא חוקי מחוץ לארגון.
דרכים ששירות SIEM SOC יכול לסייע במניעת העברת נתונים מחוץ לארגון:

  1. יישומי אינטרנט – מעקב אחר השימוש ביישומי אינטרנט ארגוניים על ידי אנשים חיצוניים, או שימוש פנימי ביישומי אינטרנט חיצוניים, שעשויים לכלול הורדות או גישה לדפדפן למידע רגיש.
  2. פעולות אנוומליות בתוך הארגון – תוקפים המנסים לקבל הרשאות גבוהות או לגשת למערכות IT אחרות, בדרך להשגת הרשאות וגישה למאגרי מידע,באמצעות מערכת ה SIEM האנליסטים של שיא סקיור מזהים פעולות אנומליות בין סביבות שונות בתוך הארגון.
  3. 3. העברת קבצים ואחסון \ אחסון בענן – מעקב אחר מידע המועבר מתוך הרשת החוצה. מידע הכולל קבצים גדולים, סוגי סיומות יוצאי דופן, או מידע המועבר לאתרים לא מורשים או זדוניים.

THREAT HUNTING DETECTION

"ציד אחר איומים" הוא הנוהג של חיפוש פעיל אחר איומי סייבר בארגון או ברשת. ניתן לבצע פעולה זאת על ארועי אבטחת מידע שזוהו במערכת, אך גם באופן יזום, כדי לגלות התקפות או פרצות חדשות ובלתי ידועות.

דרכים בהן שירות SIEM SOC יכול לעזור בתחום זה:

  1.  התראות ממערכות ה SIEM – זיהוי התראות במערכת ועזרה בחקירת ארועים באמצעות מידע הנאסף במערכת.
  2.  חריגות/אנומליות סביבתיות – זיהוי חריגות במערכות IT באמצעות חוקים וקרולציות המוגדרים במערכת.
  3.  זיהוי פגיעויות – באמצעות המערכת ניתן לזהות פגיעויות חדשות (המידע מתקבל ממודיעין סייבר).
  4. טיפים מעמיתים או מהתקשורת – חיפוש נתונים אחר דפוסי התקפה או חתימות הדומות להתקפות ידועות.
  5.  מודיעין סייבר – שילוב מקורות מודיעין סייבר שונים, לגילוי מושכל של התקפות במערכות IT.
  6.  ניתוח סיכונים ואיומים ידועים – אנליסטים במסגרת עבודתם ומידע הנמצא במערכת מנתחים ארועים שקרו בעבר מול ארועים המזוהים בהווה.