מערכות הגנת הסייבר של ארכיב 1 קלאוד
מאת: רונן כהן צמח מנכ"ל קבוצת ארכיביון ומומחה בתחום אבטחת המידע.
מתוך ילקוט מאמרים: מאמר מספר 18
חלק משכבת ההגנה בהם משתמשת מערכת ארכיב 1 קלאוד היא המוצר "פלקון" של חברת אבטחת הסייבר קראודסטרייק. בסקירה שהכנתי תוכלו לקרוא על החברה, המוצר ומדוע בחרנו במערכת זו כדי לשמש כאחת משכבות ההגנה אותם אנו מספקים לצורך שמירה על הנתונים בענן.
מאחר ולא ניתן תמיד להגן רק באמצעות מערכת אחת או ספק אחד, חשוב מאוד לייצר סביבה שנותנת תמיכה מלאה לכמה שיותר סוגי איומים. וזאת בכמה שכבות הגנה מקבילות וחופפות כאחד.
בחרנו כאמור בחברת קראודסטרייק בגלל המוצר המחקר והפיתוח וכן מדיניות ההתחדשות שלהם בכל עת, ומתוך הכרה שהחברה רואה את הלקוח וההגנה עליו כמשימה העליונה שלהם.
רמת הידע והמקצועיות של הצוות המלווה את המוצר הביאו אותנו למסקנה שיש לשלב לפחות שכבת הגנה אחת שתתבסס על מערכת הפלקון.
על החברה:
חברת קראודסטרייק היא חברה אמריקאית מובילה בתחום אבטחת הסייבר, שהוקמה בשנת 2011 ופועלת באוסטין טקסס.
החברה מעסיקה למעלה מ-10,000 עובדים ופועלת ביותר מ-170 מדינות.
החברה מתרחבת באמצעות רכישת חברות קצה המשלימות את המוצרים של החברה ואת פלטפורמת הגנת הסייבר שלה. מהלכים אילו של החברה מעידים על המחויבות שלה לחדשנות והובלת השוק.
החברה ממוצבת כשחקנית חזקה בתחום אבטחת נקודות קצה עם שיעור שביעות רצון לקוחות של 98 אחוזים. החברה מצהירה שהיא משקיעה 20% מהתקציב שלה במחקר ופיתוח ומראה כל הזמן חידושים בתחום תוך שימוש בבינה מלאכותית, מודיעין איומים מתחוכם וצוות מנוסה וותיק.
על המוצר:
הפלקון הינו מוצר הדגל של החברה, המערכת הינה מערכת אבטחה מודולרית מבוססת ענן ובינה מלאכותית שנועדה להגן על תחנות קצה, שרתים ועומסי עבודה בענן במסגרת ארכיטקטורה מקיפה .
הפלטפורמה בנויה על סוכן המותקן כאמור בכל תחנות קצה ופועל בשילוב של חיישנים לצורך ניתוח ניתור ואיתור מתקדם של איומים.
הסוכן תוכנן כך שהוא מקבל את ההתראות כולן מהענן ולכן אין צורך לאתחל אותו כל פעם והוא צורך משאבי אנרגיה מעטים, בנוסף ההטמעה מהירה בהיקף רחב וללא השבתת המערכת לצורך ההתקנה או העדכונים השוטפים.
סוכן הפלקון תומך במערכות הפעלה שונות וגם בטלפונים ניידים כך שההגנה יכולה להיפרס בכל הארגון לרבות מחשבים, מדפסות, סורקים, האבים, לפטופים, ניידים ועוד.
המערכת מודולרית באופן המאפשר שליטה בקרה והפעלה דרך בקר מרכזי אחד. המערכת יודעת לזהות ניתוח התנהגותי, באמצעות למידת מכונה ואם רואים אנומליה שאינה מתאימה להתנהגות השוטפת של המשתמש המערכת תחסום ותתריע מיידית.
המערכת מזהה וחוסמת תוכנות זדוניות ואיומים ידועים וחדשים ופועלת במצב מקוון וגם לא מקוון ומסוגלת לעצור התקפות עוד בטרם נגרם נזק לליבת המערכת או לקבצים על סמך אינדיקטורים להתקפה.
מתקיים תיעוד מתמשך לפעילות תחנות הקצה, התיעוד מאפשר יכולת תגובה קצרה כאמור.
המודול מאפשר לאנשי הסיסטם ואבטחת המידע שלנו לחקור גם לאחור שרשראות התקפה לעומקן לקבל התראות על התנהגות חשודה במערכות ולבצע פעולות תגובה כמו בידוד מכונה או נטרול תהליכים ישירות דרך הבקרה הראשית של המערכת.
הנתונים כאמור נאספים מהסוכנים השונים ומוזרמים לענן, מנותחים בגרף איומים גלובלי וזאת כדי להשוות אנומליות ודפוסי תקיפה שונים.
סוכן נוסף במערכת הינו מזהה איומים המופעל על ידי מומחי סייבר של המערכת שסורק באופן אקטיבי אירועי אבטחה וטלמטריה של כלל הלקוחות כדי לזהות חדירות מתקדמות ושקטות שלא התגלו אוטומטית על ידי המערכת.
חיישן נוסף הינו סוכן מודיעין איומים המספק קשר רב מימדי לאירועי אבטחה בכל העולם ומתעדכן באופן רציף בענן.
המודיעין המתקבל במקום אחר בעולם בגלל מאות אלפי המשתתפים מצליח להגן על שאר חלקי המערכת במידה ואכן מתבצעת תקיפה.
יכולת נוספת היא זיהוי חולשות תוכנה והתראה כדי לתעדף את הטיפול לפני שתהיה תקיפה, ובנוסף יכולת שליטה על התקנים והתקשרויות וכן חסימה של התקני קצה המורידים את הסיכון לחדירה באמצעות שימוש בתשתיות קיימות.
המערכת מפעילה גם סוכן של זהויות והגנה מפני ניצול לרעה של התוכנה, וכן זיהוי של ניסיונות גישה חריגים , פריצה לחשבונות כדי למנוע מתקפה מידית. מודול זה משתלב ביכולות של ניטור מצב סטטי, איתור שגיאות תצורה, וכן מניעה של דלף מידע מהמערכת וכן הגנה על נתונים רגישים, המערכת מזהה ניסיונות של גניבת נתונים, ומסוגלת לחסום או להצפין מידע.
כאמור הייחודיות של המוצר הוא בעובדה שהיא מנוהלת ממקום מרכזי אחד. בזמן אמת קונסולת הניהול בה המערכת עושה שימוש מציגה תמונת מצב תוך שימוש בטריליוני זטות של מידע ואירועי אבטחת מידע מכל העולם.
נוחות השימוש למומחי אבטחת הסייבר מאפשרת להם ניטור ונטרול איום מיידי. תיקון והחזרת מצב הנתונים, שחזור וחסימה של גניבת נתונים במהירות.
על היכולות של מערכת הפלקון
פלטפורמת פלקון מצטיינת ביכולתה למנוע חדירות, לגלות מתקפות מורכבות בזמן אמת, ולהגיב לאירועי אבטחה במהירות, תוך שימוש נרחב בבינה מלאכותית ובאוטומציה.
מנגנון מניעת ההתקפות נועד לנתח התנהגות של קבצים ותהליכים המערכת בכך לזהות נוזקות שלא נראו מעולם, וזאת מבלי להסתמך בלעדית על חתימות סטטיות המגיעות מאנטי- וירוסים מסורתיים הנמצאים בשימוש במערכות רבות., המנגנון מאפשר לעצור וירוסים ותולעים ולאבחן zerodayמנגנון מניעת התקפת "יום אפס"
דפוסי פעולה חריגים.
הפלקון מאפשרת שקיפות מלאה לתחנות והשרתים, בגילוי מתקפות על כלל הארגון, בכל תחנה בה מותקן הסוכן המקומי יש דיווח שוטף לענן אודות אירועים חשודים כגון, הרצת קובץ בלתי מוכר, שינוי רישום של כתובת, ניסיון לשדר מכתובת סגורה , תעבורת רשת בעייתית שאינה ידועה כל אילו מוזנים לבסיס מסד הנתונים העולמי של קראודסטרייק.
במידה ותוקף מסוים זוהה בסביבה אחת, המידע ינוצל מיידית כדי לאתרו באופן אוטומטי ובטווח עצום, תוך פרק זמן של מספר שניות ולבצע חסימה גם בסביבות אחרות אצל לקוחות אחרים ברחבי הגלובוס.
מערכת קראודסטרייק מאפשרת צפייה באופן גרפי בכל שלבי המעקב אחר זיהוי תוקף, איתור שלו במערכות של לקוחות אחרים , ניתוח המתקפה, נטרול התוקף, והודעה לכל הלקוחות לשים לב שהתקפה נוטרלה מבעוד מועד או בזמן התקפה עצמה.
הפלקון מאפשרת גם זיהוי מתקפות ללא זיהוי בקובץ, רק מזיהוי דפוסי פעולה של תוקפים שמנסים לחדור לרשת הלקוח.
המערכת מאפשרת את הניטור ובלימת נזק באופן אוטומטי כגון : חסימת כתובות, בידוד תחנת קצה הנגועה מהרשת, הפעלת סקריפטים לתיקון מרחוק וטיפול בנוזקה, תיקון והשבת המערכת לפעולה.
צוות החברה יכול לבצע חקירה פורנזית , לשלוף קבצי לוג, לאתר לאחור עקבות של תוקפים, וניקוי בזמן אמת.
אפשרות זו גורמת לכך שזמן התגובה מתקצר , וזמן ההשבתה של הארגון הוא קצר מאוד לעומת תקיפות ארגוניות אחרות הקיימות הכוללות מחיקת קבצים, נעילת קבצים, או חסימת גישה.
למה בחרנו בפלקון של קראודסטרייק
ראשית, בבדיקה של הפתרונות בשוק גילינו שהמערכת מסייעת במניעת פריצות ועל כן מפחיתה סיכון באופן משמעותי – דבר שקשה לכימות מדויק אך בא לידי ביטוי בהגנה על מוניטין החברה וחיסכון פוטנציאלי בעלויות השבתה ונזקי סייבר.
כמו כן זיהינו כי לקוחות של פלקון שדיווחו על שימוש במערכת
דיווחו על עליה של 96% בזיהוי איומים פוטנציאליים, ובמחצית מהזמן שנדרש להם בשימוש עם מערכות אחרות להם קודם לכן, וכי צוותי האבטחה שלהם עובדים ביעילות כפולה בזכות קיצור זמן הבדיקה של הפריצה.
הפלקון גם מחזקת את אבטחת המידע תוך צמצום של עומס ההתראות מייעלת תהליכים וחוסכת בעלויות התפעול.
הפלקון מאחדת פתרונות שונים בפלטפורמה אחת כמו אנטי וירוס, בדיקה וניהול פגיעויות, בדיקת נקודות קצה, כלי מודיעין ואיומים שונים. צמצום המערכות מפחית את מורכבות הניהול וגורם לחוויית משתמש טובה יותר לצוות ניהול האבטחה שלנו.
ניתן לקבל תמונת מצב של האבטחה בארגון במסך אחד מרכזי, ולהתמקד במה שחשוב. הפריסה של המערכת ההתקנה והתחזוקה פשוטות יותר. עדכוני גירסא מתקיימים ללא השבתה של משתמשי הקצה.
אין איטיות במערכת בזמן אתחול, ואין איטיות שדווחה בתחנות הקצה, ולכן חווית המשתמש טובה יותר.
כאמור , האיתור המתקדם והפריסה הרחבה, האפקטיביות המירבית בהגנה , איכות השרות והתמיכה וכן רוחב הפתרונות נותן לנו למעשה מענה הוליסטי ולכן בחרנו בפלקון של קראודסטרייק.
