מאת: ברייס היין, סמנכ"ל שיווק, ExtraHop
לעסקים מודרניים יש בעיה. המורכבות של ה- IT יצרה פער עצום של שקיפות בתוך הארגון. פער שמנהלי ה- IT הם אלה שצריכים להבין איך לסגור אותו. הם יודעים שחלפו הימים של אסטרטגיה המשלבת הגנה היקפית והגנה על הליבה בלבד – אנו חיים בעולם בו ארגונים הם חסרי גבולות ברורים ומישור ההתקפה נראה אינסופי. לכן, נדרשת גישה חדשה לטיפול בפער האבטחה, כזו המטפלת במשימה באופן הוליסטי.
את האור בקצה המנהרה אפשר למצוא בקטגוריה הצומחת שנועדה למלא את הפער: אנליטיקה של תעבורת רשת.
בפברואר 2019, גרטנר פרסמה את סקירת השוק הראשונה שלה לגבי תחום אנליטיקה של תעבורת הרשת (NTA), אשר כוללת הערכות לגבי הקטגוריה וסקירה של 17 ספקים במגזר שוק זה.
בואו נצלול אל תוך 5 מסקנות מרכזיות שניתן ללמוד ממדריך השוק של גרטנר, ולגבי המשמעות שלהם עבור מקצועני אבטחת מידע, מובילים עסקיים ותעשיית ה- IT בכללה.
ל- NTA צפוי תפקיד מרכזי ב- SOC המודרני
במילים פשוטות, ה- NTA הפך למרכיב חיוני מכיוון שהוא מעניק לצוותי אבטחה את האפשרות לקבל שקיפות אמיתית, לצד היכולת לזהות ולחקור מישורי התקפה שאינם מטופלים כראוי, גם בארגון ההיברידי. ה- NTA בוחן את תעבורת הרשת ומנתח פעולות מקצה לקצה על מנת לזהות "סממנים לפגיעה" (IoC) – גם במכשירים או אפליקציות שקשה לשלוט בהם בהיקפים גדולים וגם בשירותים שלא ניתן תמיד להיכנס אליהם. כפי שנראה בהמשך, פתרונות NTA גם מפענחים תעבורת SSL/TLS כדי לספק שקיפות אל "מטענים זדוניים" מוצפנים.
באזור "המלצות השוק" בדוח של גרטנר, נכתב: "ארגונים צריכים לשקול ברצינות הפעלת NTA כדי להשלים שיטות זיהוי מבוססות חתימות וארגזי חול. לקוחות רבים של גרטנר דיווחו כי כלי NTA זיהו תעבורת רשת חשודה שכלי אבטחה היקפיים אחרים החמיצו"
משיחות שאנו מקיימים עם לקחות ארגוניים, לקוחות פוטנציאליים ושותפים, אנו מסכימים מאוד עם ההערכה הזאת. כותבי הדוח של גרטנר לא פירטו לגבי אילו דברים NTA זיהה וכלים אחרים החמיצו, אבל אנו יודעים מהניסיון ומהתקשורת עם משתמשי הקצה מהם המקומות בהם NTA מצליח במקום בו כלים מסורתיים נכשלים.
NTA ממוקד בניתוח התנהגות – מרכיב חיוני בהגנה
אחת מהדרישות של גרטנר כדי להופיע בדוח ה- NTA היא "טכניקות התנהגות (זיהוי שאינו מבוסס חתימה), כגון לימוד מכונה או אנליטיקה מתקדמת, לזיהוי פעילות חריגה ברשת".
אנו מאמינים כי זיהוי מבוסס התנהגות הוא העתיד של פעילות האבטחה.
התחכום של גורמי איום מודרניים עולה במהירות על היכולות של הגנות ההיקפיות שמבוססות על חתימות. אבל בעוד טכניקות של זיהוי התנהגות הן חשובות, לדעתנו, לא כולן נוצרו שוות. רק יכולות המובססות על לימוד מכונה מסוגלות להבין ולזהות חריגות התנהגות בהיקפים גדולים, ולבצע התאמות מהירות לשינויים בתנאים של הרשת הארגונית.
עבודה בהיקפים גדולים חייבת להיות חלק מרשימת השיקולים
תוך פחות מעשור, המהירויות של מרכזי הנתונים גדלו פי 100. והמהירות הופכת לחשובה מתמיד, בעיקר כאשר 400GbE נמצא באופק, עם ההתרחבות לענן וההגירה הצפויה לרשתות 5G אשר צפויה להתחיל במהלך השנה וחצי הקרובות.
בסקירת שוק ה- NTA של גרטנר, סקלאביליות היא אחת משלושה שיקולים לבחינת פתרונות. מחברי הדוח ממליצים שהקונים יבצעו הערכה זהירה האם לפתרון יש את נפחי העבודה הנדרשים כדי לנתח את כל התעבורה בסביבה שלהם.
בדיוק כמו במקרה של תעבורה מוצפנת, אתה לא יכול להגן על מה שאתה לא רואה. אנו מאמינים כי הדגש שגרטנר מעניקה להקפים גדולים הוא נקודת מוצא חשובה לדרך בה ארגונים מתחילים להבדיל בין היצע שונה של פתרונות NTA.
יכולות התגובה והחקירה חשובות בדיוק כמו זיהוי
אחת מההבחנות המרכזיות שגרטנר עושה בדוח ה- NTA היא בין תגובה אוטומטית לידנית.
ההבדל בין תגובה ידנית לאוטומטית בא לידי ביטוי לא רק בצד התפעולי, אלא גם מבחינת סוגי האיומים שמתאפשר ללטפל בהם. בדוח נכתב כי "תגובה להתקפות מורכבות צריכה להתמקד גם בחקירת האיום ובציד אחריו. פתרונות NTA צריכים לפתח יכולות בתחומים אלה".
אנו מסכימים עם גרטנר כי
יכולות חקירה וציד של איומים הן שיקול חיוני בבחירה של פתרון ניתוח תעבורת רשת.
היכולות הנקודתיות שגרטנר מזהה כחשובות הן:
– היכולת לבצע חיפוש במטה דאטה,
– חיפוש מורחב לאחור של Packet לצורך פורנזיקה
– מאפייני ציד איומים מתקדמים
– ניתוח קונטקסטואלי
כל אלה כלים חשובים עבור ה- SOC המודרני.
ככל שה- NTA מבשיל, אנו צופים לדרישה מוגברת לתהליכי
עבודה, קליקים, ולהעשרה קונטקסטואלית שיהפכו את האנליסטים ב- Tier 1 בארגון ליעילים יותר.
הצפנה עושה את ההבדל
על פי מחקר שמוזכר בדוח זה מ- Enterprise Management Associates, ההערכה היא כי היקף ההצפנה נע בין 50 אחוזים בתעבורת הרשת הגלובלית ועד ל- 80 אחוזים בתעבורה בארה"ב. על אף שמדובר בחדשות טובות לגבי פרטיות ואבטחה, החדשות הרעות הן שהשחקנים הזדוניים אינם ממתינים בצד. התעבורה הזדונית המוצפנת ברשת גדלה גם היא פי 3 מאז 2017, לרמה של 70%.
בעוד גרטנר אינה דורשת במדויק מהספקים המופיעים בדוח ה- NTA לבצע פיענוח של תעבורת SSL/TLS או TLS 1.3, סקירת השוק מציינת יכולות פיענוח הצפנה אצל 16 מ- 17 הספקים שמופיעים בדוח. בעוד גרטנר לא ציינה האם היא מתכוונת להפוך זאת לדרישת סף, לדעתנו יש היגיון רב בלהכניס זאת כשיקול לבחירת פתרון.