בעקבות אירוע - אני יודע מה עשית בשרת שלי בקיץ האחרון (ואתמול גם)

בעולם של הפוליטיקה, אומרים כי "זה לא הפשע, זה הטיוח". בעולם של אבטחת טכנולוגיית המידע, היינו יכולים לומר כי "זו לא הפריצה, זו התגובה". אם למדנו משהו מאירועי האבטחה הרציניים של השנים האחרונות הוא שאין ישות חסינה – לא ממשלתית, לא חברות גלובאליות ולא עסקים קטנים. זה לא נועד להפחיד אותך, נהפוך הוא. יש גורם אחד בפרט – מלבד זמן התגובה – המבדיל ארגון מסוים מן השאר. אתם יודעים מהו? נראות.

בשנה שעברה, דו"ח החקירה של הפריצה לנתונים של Verizon מצא כי ל-85% מן הפריצות לקח שבועות או חודשים כדי להתגלות. מתוך תקריות אלה, 64% התגלו על ידי מישהו מחוץ לארגון. והנה ה"שוס" האמיתי: במרבית הזמן, הגילוי הוצא לאור על ידי ההאקרים עצמם... כמובן, כמעט בכל מחלקת IT יש לפחות מידת מה של נראות לגבי הפעילות של המשתמשים והאורחים. כאשר הפריצות לעיל התגלו (חודשים לאחר מכן), רוב הסיכויים שמחלקת ה-IT יכולה הייתה לחזור ולבדוק את התאריך המדויק והמקור. אבל במה זה עוזר להם עכשיו?
אז כדי להבהיר, זו לא רק נראות שנדרשת. זה נראות בזמן אמת ונראות עם הקשר שעושה את כל ההבדל.

אז למה בדיוק אנחנו מתכוונים בנראות עם הקשר בזמן אמת? להלן כמה דוגמאות:

• התראות בזמן אמת על התנהגות משתמש חשודה: ישנה סיבה חשובה לכך שבחרנו את המילה "חשודה" ולא "זדונית" בנקודה זו. כפי שלמדנו להכיר, טעות אנוש יכולה להיות מזיקה באותה מידה כמו מכוונת. אתם צריכים מנגנון המספק סימני אזהרה מוקדמים לגבי שני סוגי הפעילויות עבור כל סוגי המשתמשים, בין אם הם עובדים, ספקים, פושעים או כל הנ"ל.
• דוחות: רוב יומני ומעקבי ביקורת (Logs) מסובכים מאוד ודורשים מידה רבה של זמן ומומחיות לפענוח. אם רוצים להשיג נראות בזמן אמת, ההתראות שהוזכרו לעיל חייבות להיות קלות להבנה – כקובץ טקסט רגיל/ אקסל או באופן אידיאלי - כהקלטת וידאו. ולא רק למען מחלקת ה-IT הפנימית שלך, אלא גם עבור Auditors.
• גישה נוחה: בכדי שנוכל לחקור פריצה, היא צריכה קודם כל להיות אפשרית למציאה. אם מחלקת ה-IT מסתמכת על תהליך ידני וארוך לחקירת הפריצה, אתה בצרות. במקום זאת, אתה צריך את היכולת לאתר     במהירות את פרטי הפריצה דרך פריטים כגון:
  • שמות של אפליקציות שפעלו
  • כותרות של החלונות שנפתחו
  • כתובות URL שנגשו אליהן
  • טקסט שהוקלד, נערך, הודבק, נבחר וכו'.
  • פקודות וקבצי סקריפט שהופעלו
  • תיבות סימון שנלחצו

שוב, אנחנו מקבלים כאן תזכורת כי הנראות ללא ההקשר ורכיב זמן אמת היא כמעט גרועה כמו ללא נראות בכלל.

• גישה מרחוק:  חששות האבטחה הנוגעים למחשוב ענן – או "cloudphobia" כפי שאנו אוהבים לקרוא לזה – אולי קצת מנופחים, אבל הם מבוססים גם על ניסיון חיים אמיתי. כעת זה אפשרי להשיג את אותה רמת נראות בענן כפי שזה עם מערכת מקומית. חברה יכולה לשפר את האבטחה על-ידי ניטור של ספק הענן באופן דומה לזה שבו הם עוקבים אחר פעילותם של משתמשים וספקים. כדי לעשות זאת, תצטרכו כמובן את היכולת לקבל התראות בזמן אמת בהתבסס על קריטריונים כמו שמות, כתובות IP ויישומים שהופעלו.
• נראות חשובה: במילים אחרות, זה יכול להיות ההבדל בין חולשה המנוצלת פעם אחת עם נזק מוגבל ובין אחת שמנוצלת שוב ושוב במשך תקופה ארוכה, וכתוצאה מכך להסתכם בהפסדים של מיליוני דולרים ופגיעה במוניטין.

למרבה הצער, אנחנו עדיין לא חיים בעולם בטוח מפני האקרים וטעויות אנוש. עד שהיום הזה יגיע, הטוב ביותר שאנחנו יכולים לעשות הוא להיות מוכנים לכל פריצה – כדי לעשות זאת, עלינו להיות מסוגלים לומר למשתמשים שלנו: "אני יודע מה עשית בשרת שלי בקיץ האחרון (ואתמול גם)".

הפתרון של ObserveIT פשוט ואלגנטי, אנו מקליטים בוידאו את ה-Sessions שפועלים בארגון, לא משנה האם הם מבחוץ, משתמשים רגילים או Admin, איזה סוג שרת ו/או אפליקציה והרבה יותר חשוב – כל פעולה מאונדקסת וניתנת לחיפוש הכולל קישור לוידאו הרלוונטי. מהרגע שמתקינים ObserveIT - הכל נעשה ויזואלי ועם גישה מהירה לתיקון טעויות אנוש או "טעויות" שגורמות לדליפת/גניבת מידע, חבלה או אף גניבת כספים מהארגון.

נכתב ע"י אריק קשה, מנהל מכירות לאזור EMEA ב-ObserveIT

לפירסום המקורי

חזרה למאמרים נוספים