ניטור אבטחה לעסקים: מה זיהוי איומים מסביב לשעון באמת נותן

רוב העסקים הקטנים קונים כלי אבטחה ומניחים בשקט שהעבודה נגמרה. חומת אש בארון התקשורת, הגנת קצה על המחשבים הניידים, אימות דו-שלבי על המייל. הכול הגיוני, הכול נחוץ, והכול מייצר זרם קבוע של התראות שאף אחד לא קורא. דווקא החלק האחרון הוא הפער. ניטור אבטחה הוא העבודה של מעקב אחרי ההתראות האלה, הפרדה בין האמיתיות לרעש, ופעולה לפני שאירוע קטן הופך לשבוע גרוע. לעסק בישראל בלי צוות אבטחה משלו, זה לעיתים קרובות ההבדל בין לתפוס פורץ בלילה הראשון לבין לשמוע על הפריצה שלושה שבועות אחר כך מלקוח.

מה ניטור באמת אומר

כל מוצר אבטחה שיש לכם מייצר תיעוד של מה שהוא רואה. חומת האש מתעדת את התעבורה שהיא מתירה וחוסמת. הגנת הקצה מרימה דגל כשתוכנה מתנהגת בצורה מוזרה. Microsoft 365 שומר יומן של כל התחברות, כולל אלה שנכשלו ואלה שהגיעו ממקומות חריגים. ניטור הוא העבודה של לאסוף את האותות האלה יחד, לקרוא אותם, להחליט מה חשוב, ולהגיב למה שכן. הכלים הם גלאי העשן. הניטור הוא האדם ששומע אותם ובודק אם המטבח באמת בוער, במקום להשאיר את האזעקה מצפצפת בבניין ריק.

להחזיק את הכלים זה לא אותו דבר כמו להיות מוגן

זו הנקודה הלא נוחה שמאחורי הרבה אבטחה של עסקים קטנים. חומת אש מ-FortiGate או Check Point, סוכן EDR טוב על כל מחשב נייד, ו-Microsoft 365 מוגדר כראוי, כולם יזהו לא מעט. אבל לזהות זה לא לעצור. התראת EDR בשתיים בלילה שמסמנת מחשב נייד שמצפין קבצים שווה משהו רק אם מישהו רואה אותה ומבודד את המכשיר לפני שההצפנה מסתיימת. כשקונים ועוזבים, גם כלים חזקים הופכים לתיעוד יקר של התקפה שלא שמתם לב אליה בזמן. הזיהוי קרה. התגובה מעולם לא.

השעות שתוקפים מעדיפים

תוקפים לא עובדים בשעות משרד. הם מעדיפים לילות, סופי שבוע, והחגים הארוכים שבהם המשרד ריק והתגובה הכי איטית. כופרה שנוחתת ביום חמישי בערב לפני סוף שבוע ארוך מקבלת ימים להתפשט לפני שמישהו מתחבר ביום ראשון בבוקר. זה הטיעון הכי ברור לטובת ניטור רציף. ההגנה שאתם צריכים היא לא זו שעובדת בשעות העבודה, כשממילא אולי תשימו לב למשהו בעצמכם. היא הכיסוי לשעות השקטות שבהן אף אחד לא מסתכל, וזה בדיוק הזמן שבו האירועים הרציניים נוטים להתחיל.

בעיית הרעש

יש סיבה שרוב העסקים הקטנים אף פעם לא קוראים את היומנים של עצמם: הכמות מציפה וכמעט כולה לא מזיקה. חומת אש חוסמת אלפי סריקות אוטומטיות ביום. כלי EDR מסמן תוכנה חריגה אבל לגמרי לגיטימית. קבורים בתוך הרעש הזה נמצאים אותם אותות בודדים שבאמת משנים, ולמצוא אותם דורש גם כלים וגם ניסיון. לסנן את האזעקות השווא בלי להשתיק את האזהרות האמיתיות זה מיומנות בפני עצמה. מסך מלא בהתראות אדומות שאף אחד לא סומך עליהן כמעט חסר תועלת כמו אפס התראות, כי התגובה האנושית לאזעקות שווא מתמשכות היא להפסיק להסתכל.

SOC ו-MDR במילים פשוטות

שני ראשי תיבות חוזרים כאן כל הזמן, ושניהם פשוטים יותר ממה שהם נשמעים. SOC, מרכז תפעול אבטחה, הוא השילוב של אנשים, תהליך וכלים ששומר על האבטחה של ארגון מסביב לשעון. חברות גדולות בונות אחד משלהן. לעסק קטן זה לא ריאלי וגם לא הכרחי. MDR, זיהוי ותגובה מנוהלים, הוא השירות שנותן לכם את התוצאה של SOC בלי לבנות אחד: ספק עוקב אחרי ההתראות שלכם, חוקר את אלה שחשובות, ונכנס לפעולה כדי לבלום איום, הכול בעלות חודשית צפויה. הוא קיים בדיוק כדי לסגור את פער הניטור שכמעט לכל עסק קטן יש.

SIEM ו-EDR: מה כל אחד עושה

תשמעו גם SIEM ו-EDR, והם לא אותו דבר. EDR, זיהוי ותגובה בקצה, יושב על כל מחשב נייד ושרת ועוקב אחרי איך התוכנות מתנהגות על המכונה הזו. SIEM, ניהול מידע ואירועי אבטחה, הוא המערכת המרכזית שאוספת יומנים מהרבה מקורות בבת אחת, חומת האש, סביבת ה-Microsoft 365, השרתים, ומחפשת דפוסים בכולם יחד. התחברות מתל אביב ואחריה, שמונה דקות לאחר מכן, התחברות ממדינה אחרת היא משהו ש-SIEM יכול לתפוס, כי הוא רואה את כל התמונה ולא מכשיר בודד. ניטור טוב לרוב משלב את שניהם, עם אנשים מנוסים שקוראים את מה שהם מעלים.

זיהוי הוא רק חצי מהעבודה

למצוא איום לא משיג כלום אם שום דבר לא קורה אחר כך. חצי התגובה של הניטור הוא המקום שבו הנזק באמת נמנע: לבודד מחשב נגוע מהרשת כדי שלא יתפשט, להשבית חשבון Microsoft 365 שנפרץ לפני שהתוקף קורא את התיבה, לחסום כתובת זדונית בחומת האש. המהירות היא הכול, כי הפער בין הזיהוי לתגובה הוא החלון שבו התוקף עושה נזק אמיתי. בגלל זה הביטוי הוא זיהוי ותגובה, לא זיהוי לבד. התראה שיושבת בלי שנקראה עד יום שני בבוקר כבר נכשלה, כמה שלא יהיה חכם הכלי שהרים אותה.

מה לנטר קודם

אם אתם מתחילים מאפס, כמה מקורות נותנים לכם את רוב הערך. יומני ההתחברות של Microsoft 365 חושפים ניסיונות השתלטות על חשבון: התחברויות ממדינות לא צפויות, בקשות MFA חוזרות שמשתמש מעולם לא יזם, וכללי העברת דואר חדשים שמעתיקים בשקט תיבה לגורם חיצוני. התראות EDR על התחנות תופסות התנהגות של נוזקה וכופרה בזמן שהיא עוד פעילה. יומני חומת האש מראים סריקות והתחברויות לכתובות מוכרות כזדוניות. ושניים שקטים ששווה לעקוב אחריהם היטב: יצירת חשבונות אדמין חדשים, וגיבויים שהתחילו להיכשל. שני האחרונים הם לעיתים קרובות הסימן הגלוי הראשון שמשהו כבר השתבש.

לבנות בעצמכם או לקנות

לעסק קטן, התשובה הכנה כמעט תמיד היא לקנות. ניטור מסביב לשעון אומר אנשים זמינים בשלוש לפנות בוקר, את הכלים לאסוף ולקשר יומנים, ואת הניסיון להבחין בין התקפה אמיתית לאזעקת שווא רועשת. להעסיק אפילו אנליסט אבטחה מוסמך אחד עולה יותר ממה שהרבה עסקים קטנים מוציאים על כל תקציב ה-IT שלהם, וממילא אדם אחד לא יכול לכסות לילות וסופי שבוע. שירות מנוהל מפזר את העלות הזו על הרבה לקוחות, וזה מה שהופך ניטור רציף אמיתי לבר השגה בכלל לחברה של עשרה או חמישים איש. החלופה, בפועל, היא אפס ניטור ולא SOC משלכם.

איך זה נראה למשרד קטן

דמיינו משרד רואי חשבון של עשרים איש שמריץ Microsoft 365, חומת אש של FortiGate או Check Point, ו-EDR על כל מכונה. ערב אחד עובד נופל לדיוג ותוקף מתחבר עם הסיסמה הגנובה. ההתחברות ממקום לא מוכר מפעילה התראה. תגובה מנוטרת משביתה את החשבון, מאלצת איפוס סיסמה, ובודקת אם התוקף הוסיף בשקט כללי דואר, הכול תוך דקות והרבה לפני שהמשרד נפתח שוב. בלי ניטור, אותה התחברות יושבת בלי שמישהו שם לב עד שהתוקף קרא חודשים של מיילים והכין תשלום במרמה. אותם כלים, אותו משרד, תוצאה שונה לגמרי.

להפוך את הכלים שלכם להגנה אמיתית

לקנות מוצרי אבטחה זה החלק הקל. לוודא שמישהו עוקב אחרי מה שהם מדווחים, יום ולילה, זה מה שהופך אותם להגנה. NetFortress מספקת IT מנוהל עם אבטחה כעיקרון מוביל לעסקים בישראל, כולל EDR מנוטר, פיקוח על חומת האש ועל Microsoft 365, ותגובה אמיתית כשנמצא משהו אמיתי, הכול בעלות חודשית צפויה ולא בלחץ של משבר. אם אתם לא בטוחים אם מישהו באמת קורא את התראות האבטחה שלכם, בקשו מאיתנו בדיקה ותקבלו תמונה ברורה וישרה של מה מנוטר ומה לא.