על העיוורון: תהליך נראות נכסים הוא קריטי עבור כל ארגון
הסביבה הסייבר-פיזית בארגונים עלולה להיות נקודת חולשה מהותית ולהוות דלת פתוחה להאקרים. מה זה תהליך נראות נכסים ואיך עושים אותו?
מקור: Pixabay
מאת שרון בריזינוב
בואו נתחיל בעובדות: כל נכס בסביבת המערכות הסייבר-פיזיות בארגון (CPS) הוא פוטנציאל לפגיעה, וללא נראות מלאה של כל הנכסים הארגון פועל בחשיכה, תוך שהוא מותיר פערי אבטחה פוטנציאליים ללא השגחה ומגדיל משמעותית את סיכוני החשיפה למתקפות סייבר ופרצות נתונים. בשל העובדות האלה, 43% מהארגונים מתכננים במהלך 2024 להשקיע בניהול החשיפות שלהם לאיומי סייבר וכבר הופכים לפרואקטיביים יותר באיתור, בניטור ובהפחתת סיכונים במערכות שלהם. אך לא ניתן ליישם בהצלחה גישה מניעתית זו מבלי לוודא נראות מלאה לגבי כל נכס, פערי האבטחה הפוטנציאליים שלו ואופן השימוש בו.
להגיע לאיומים לפני שהם מסלימים
נראות הנכסים כוללת מספר שיטות לזיהוי של כל הציוד ברשת הארגונית ולהקמת מלאי מקיף של כל הנכסים הסייבר-פיזיים. היא עוזרת לארגון לעקוב אחר מחזור החיים המלא של המערכות שברשותו, כולל המיקום שלהן, מצבן, אופן השימוש בהן והאופן שבו הן מקיימות אינטראקציה ביניהן. אמנם לא כל שיטות הנראות מציעות את אותה רמת מידע לאבטחת נכסי IoT ו- OT (טכנולוגיה תפעולית), אך רמת נראות אופטימלית תחשוף תכונות זיהוי מרכזיות כגון דגם הנכס, גרסת הקושחה ומידע על התצורה, ומידע מעמיק זה עוזר לזהות את כל הפגיעויות הנסתרות ברחבי הרשת.
כדי להשיג נראות מלאה של הנכסים, מנהל אבטחת המידע אמור להיות מסוגל לזהות ולנטר מגוון רחב של מכשירים, כולל IT, OT IoT, IoMT וכן ספקטרום מלא של מכשירי XIoT. הנראות גם משחקת תפקיד משמעותי בחשיפת נכסים לא ידועים ונכסים שסיימו את חייהם, שהם בדרך כלל מיושנים ועלולים לכלול חולשות אבטחה. לחולשות אלה עשויות להיות השלכות רבות ומדאיגות, החל מבפרטיות נתונים וכלה בבטיחות פיזית.
נוסף על זיהוי נכסים, הנראות משפרת את היגיינת אבטחת הסייבר הכוללת. כלומר, היא מחזקת את מצב האבטחה בארגון ומאפשרת להגיב לאיומים במהירות לפני שהם מסלימים להתקפות בקנה מידה מלא. במילים אחרות: ללא נראות נכסים לא ניתן לדעת באופן מלא אילו מכשירים זקוקים להגנה, מה שמקל על התוקפים לחמוק דרך הפערים או לנצל נקודות תורפה במכשירים שאין מודעות לקיומם.
נראות ולא ניהול
יש הבדל משמעותי בין נראות נכסים ובין ניהול נכסים. נראות נכסים מתייחסת לגילוי של כל נכס ברשת כדי להציע הגנה מפני איומי סייבר, ואיסוף מידע על נכסים אלה מאפשר להבין טוב יותר כיצד להגן עליהם. ניהול נכסים הוא השלב ההגיוני הבא, לאחר הנראות, הכולל פעולה על סמך המידע שנאסף מהגילוי כדי לאבטח את הנכסים: מניהול חשיפה נכון ועד לצעדים חיוניים כמו ניקוד סיכונים.
כיצד פועל ארגון אחרי תהליך נראות נכסים?
זיהוי איומים טוב יותר – כדי להתעדכן באיומים או חולשות במערכות ברשת, על ה-CISO להיות מסוגל לנטר את הנכסים של הארגון באופן רציף. נראות היא הצעד הראשון המאפשר ניהול נכסים כולל.
יעילות תפעולית – נראות הנכסים מובילה לרמת הגנה גבוהה יותר, כלומר פחות וירוסים או תוכנות זדוניות שעלולים להוביל להשבתה. כאשר כל המכשירים מזוהים ברשת, יש לארגון יותר בטחון במצב האבטחה וביעילות הכוללת שלו.
תאימות – ניטור וניהול כל המכשירים ברשת הוא קריטי כדי לעמוד בכל תקנות התעשייה ולהימנע מקנסות. לדוגמה, תאימות ל-HIPAA מחייבת את כל ארגוני הבריאות לנהל באופן מאובטח נכסים המכילים מידע רפואי של מטופלים (PHI).
ניהול חשיפות – על ידי מיפוי נתיבי תקשורת ושימוש בפרוטוקולים ניתן לנטר איומים וליצור דירוגי סיכון ייחודיים בהתבסס על יכולת הניצול של המערכות. זאת, כדי להבטיח שניתן יהיה לזהות, להעריך ולטפל בחשיפות.
מקור: pexels
אז כיצד משיגים נראות?
ביסוס נראות הרשת: כדי לקבל נראות של כל נכס ברשת שלך, חיוני לוודא תחילה ניראות מלאה של הרשת. כלי ניטור רשת עוזרים להבין כיצד הנתונים זורמים בין המערכות וכך אפשר לאסוף תובנות רלוונטיות. עם זאת, אין פתרון אחד שמתאים לכולם וייתכן שחלק מהכלים לא יהיו מתקדמים מספיק כדי לפקח על מערכות בקרה תעשייתיות מורכבות (ICS) ומערכות טכנולוגיות תפעוליות (OT). שימוש בכלים ובשיטות מיוחדות לניטור רשת יאפשר ללכוד את הפרוטוקולים המתאימים, להימנע מהשהיית העברת נתונים ולהמשיך לפעול ביעילות.
פריסת כלי ניתוח תעבורת רשת: תעבורת הרשת כוללת אותות מכל מכשיר ברשת. מכשירים מסוימים יתרמו יותר תנועה מאחרים, אבל זה לא אומר שהם קריטיים. על ידי ניתוח תעבורת רשת, ארגונים יכולים לזהות התנהגות חריגה, כגון ניסיונות גישה לא מורשים והעברות נתונים חריגות ולזהות פגיעויות אבטחה בתצורה שגויה, שעלולה להיות מנוצלת לרעה. כלי ניתוח חייבים להיות מסוגלים להבין כל פרוטוקול שמגיע דרך הרשת. פריסת כלים שיכולים לזהות במדויק את מאות הפרוטוקולים הקנייניים, המשתרעים על פני כל נכסי ה-OT, BMS, IoT ונכסי XIoT אחרים, היא הכרחית לשמירה על נראות מלאה ולניהול השוטף של הנכסים. חשוב גם לנטר יומני פעילות של משתמשים כדי להבין את השימוש בנכסים ולזהות איומים פוטנציאליים. לאחר מכן ניתן להוסיף את אמצעי בקרת הגישה הרלוונטיים למדיניות אבטחת ה-IT הרחבה יותר בארגון, ולהבטיח שלמשתמשים יהיו רק ההרשאות הדרושות להם לביצוע המשימות שלהם.
יישום זיהוי ותגובה של נקודות קצה (EDR): אבטחת הרשת מתמקדת בהגנה על תשתית הרשת באמצעות כלי ניטור מיוחדים, חומות אש ופרוטוקולי הצפנה. כלים אלה מנתחים בעיקר את זרימת הנתונים בתוך הרשת כדי לזהות פעילות חשודה. מצד שני, פתרונות אבטחה לנקודות קצה נועדו להגן על מכשירים או נקודות קצה ספציפיים, כגון מכשירי IoT ושרתים. יש לשלב את שתי הגישות ולהשתמש בכלי זיהוי ותגובה של נקודות קצה (EDR) כדי להגן עליהן.
גילוי וסיווג נכסים: רשתות והתקנים אינם סטטיים, ולכן גילוי נכסי OT צריך להיות רציף. יש לסרוק את הרשת באופן שיטתי כדי לזהות את כל ההתקנים המחוברים ולוודא שהם מוגנים. יש לוודא שנעשה שימוש בשיטות גילוי נכסים שונות כגון סגמנטציה, גילוי אקטיבי ופסיבי וטכניקות ספציפיות ל-OT. בנוגע לסיווג, יש לדעת בדיוק אילו מכשירים פעילים ברשת, המודל שלהם ופרטים מזהים אחרים אשר יעזרו לקבוע את הפרוטוקולים המתאימים לשימוש איתם. כך גם תשתפר יעילות המשאבים, מכיוון שאז נדע אילו מכשירים לתעדף.
סגמנטציה: פילוח הרשת כרוך בחלוקת הרשת למקטעים נפרדים ומבודדים בהתבסס על גורמים כגון קריטיות נכסים, פונקציה או דרישות אבטחה. פילוח נכסים שונים יכול להקל את המעקב אחר המכשירים שיכולים לתקשר זה עם זה, לעקוב אחר מספר המכשירים ברשת ולשלוט בתעבורה הכוללת.
שיטות גילוי נכסים פסיביות: סריקה פסיבית היא דרך לקחת נתונים מהרשת התעשייתית ולעבד אותם בהעברה פסיבית וחד-כיוונית, המציעה נראות ללא כל סיכוי להפרעה. זמן השבתה או הפרעה הנגרמים כתוצאה מפריסה לא נכונה של שיטות אקטיביות מהווים סיכון לרשת, בעוד ששיטות פסיביות מבטיחות נראות מלאה ללא סיכון לנזק.
כלי תיאום נראות: האופי הייחודי והתקשורת המורכבת לעתים קרובות של CPS הופכים אותם למאתגרים לגילוי באמצעים פסיביים בלבד. כלי תיאום נראות מבטיחים פריסה של טכניקות הנראות הנכונות עבור הסביבה הייחודית שלהם.
איומי הסייבר רק הולכים וגדלים ככל שהמורכבות של סביבות CPS גדלה ושיפור נראות הנכסים הוא קריטי לזיהוי יזום של איומים בנכסי IT ו-OT. השלבים המוצעים פה הם כמה מבין רבים שנועדו לאבטח את נכסי הארגון באופן מלא, אך יש לעשות אותם בד בבד עם תוכנית מקיפה להגנה על מכשירים לאחר זיהוי וגילוי ראשוניים.
הכותב הוא מנהל צוות מחקר, Team8, קלארוטי
