מאמר מאת שרון רוסו, Services Account Executive ב-Dell Technologies
חוסן סייבר - חמשת מרכיבי הליבה לתוכנית בשלה להתאוששות ממתקפת סייבר
חוסן סייבר ארגוני הוא תוצאה של חיבור בין עסקים, אבטחה ו-IT במטרה לפתח אסטרטגיה ומפת דרכים משולבת שמיישרת בין אבטחת סייבר וההמשכיות העסקית. מטרתה לשנות את הציפיות העסקיות ולהבטיח השפעה פחותה על הארגון כתוצאה ממתקפת סייבר.
על מנת להשיג זאת, ארגונים צריכים להשקיע בפיתוח והבשלת תוכנית התאוששות שניתן להשתמש בה באופן מהימן במטרה להחזיר את הארגון לתפקוד במקרה של מתקפת סייבר.
חמשת האלמנטים של תוכנית בשלה להתאוששות ממתקפת סייבר והשגת תוצאות מצטברות
- טכנולוגיה ייעודית - ארגונים צריכים להשתמש בטכנולוגיה שנועדה להתאוששות ממתקפת סייבר. טכנולוגיות השחזור העדכניות נועדו לספק מענה לוקטורי איומים נפוצים וליצירת כספת סייבר יעילה להגנה על נתונים ארגוניים באמצעות בידוד והקשחה נוספים, כגון air-gapping ואחסון בלתי משתנה, לצד אוטומציה לשמירה על שלמות התהליך והתערבות מינימלית מצד המשתמש.
- ניתוח אבטחה מבוסס AI\ML - תוכנות זדוניות מודרניות הן אתגר מרכזי לארגונים בשל האופי המתוחכם שלהן והכוונה שלא להתבלט, מה שמאפשר להאקרים להישאר באפילה עד שהם מוכנים להכות בכוח ולגרום לנזק נרחב. ידוע שהם ממנפים חולשות zero-day על מנת לגשת ולהפיץ את הקוד הזדוני, מכיוון שהחתימה שלו לא ידועה, ויכול לעקוף בקלות את הגנות האבטחה המסורתיות. ניתוח נתונים רציף וניתוח דפוסי התנהגות באמצעות כלי ניתוח אבטחה מבוססי AI/ML מגדיל את הסבירות לאיתור אינדיקטורים ולנקיטת פעולה יזומה לניטרול הקוד הזדוני טרם הפעלת מתקפה.
- פיתוח תכנית התאוששות - פיתוח תהליכי התאוששות הוא מרכיב קריטי בהפעלת טכנולוגיות שחזור סייבר ומוכנות יעילה למאמץ ההתאוששות. תהליך זה מחייב קשר הדוק לשחזור הנתונים הקריטיים ביותר ויש לתעד אותו בספרי הפעלה על מנת להבטיח חזרות. ללא תכנון מדוקדק וספרי הפעלה, רוב הארגונים עשויים שלא לשרוד מתקפה שתייצר הפרעה גדולה לתפעול הארגון, ללא קשר למידת בשלות ההטמעות הטכנולוגיות. פיתוח ספרי הפעלה לשחזור פועל גם כפונקציה המאלצת זיהוי פערים בתהליך ההתאוששות הנוכחי, האנשים והמיומנויות.
- שילוב אסטרטגיית אוטומציה - על מנת לאפשר התאוששות עסקית במהירות ובקנה מידה, הכרחי להבשיל את תוכנית שחזור הסייבר הארגונית, תוך התאמה הדוקה של הליכי השחזור עם הקריטיות של תהליכים עסקיים ספציפיים או יישום לפעילות עסקית רגילה. זה מאפשר לפונקציות הליבה העסקיות לחזור לפעול במהירות האפשרית. בדרך כלל מדובר במאמץ מאתגר מאחר והוא מסתמך על הבנה עמוקה יותר של תלות הדדית בין יישומים ונתונים בהתאמה, ניהול תצורה וזמינות משאבי תשתית. בעוד שחזור יישומים בודדים ניתן להשגה באמצעות ספרי הפעלה, אנו מוצאים ששילוב אסטרטגיית אוטומציה הוא קריטי לשחזור המוני. במקרה של מתקפת סייבר זה חשוב במיוחד בשל האופי החזרתי של השחזור, הכולל שחזור ראשוני, ביצוע זיהוי פורנזי, בקרת נזקים ושיקום לפני שניתן להחזיר נתונים לייצור.
- מאמץ משותף חוצה ארגון להפעלה מלאה של יכולות השחזור משתלבת עוד יותר עם תוכניות תגובה לאירועים כלל-ארגוניים ומבטיחה אימוץ מלא ומוכנות לביצוע שחזור. אבטחה והמשכיות עסקית הם אחריות משותפת ובמהלך מתקפת סייבר נרחבת שבה יישומים, רשת, נתוני מערכות נפגעים, מאמצי השחזור מצריכים מהארגון השתתפות של פונקציות מרובות ומגוונות.
אנו נתקלים בלקוחות רבים המעוניינים בכך שחלק מיוזמות חוסן הסייבר ינוהלו עבורם על מנת להפחית סיכונים ולשפר את תפעול האבטחה. תפעול אבטחה מרכזי מייעל את שירותי המודיעין, האיתור והתגובה. בנוסף לאספקת פעולות 24×7, ל-MSSP יש מבט רחב יותר על נוף איומי הסייבר העולמי והוא מספק תובנות ייחודיות. ארגונים יכולים להפנות את המשאבים בעלי ידע מוסדי עמוק לפעולות שחזור עסקיות בעלות ערך גבוה, בעוד שהספק יכול לעזור בתגובה לאירועים, תיאום ושיחזור תשתית.
שילוב טכנולוגיות ותהליכים קריטיים אלו מאפשרים לארגונים לבנות את חוסן הסייבר בידיעה שיש להם "קו הגנה אחרון" והם יכולים להתאושש במקרה ויפלו קורבן להתקפה.
אסטרטגיית שחזור סייבר- איך מתחילים?
ישנן כמה פעילויות שהן מקומות מצויינים להתחיל בבניית אסטרטגיית ההתאוששות שלכם. הראשונה היא עריכת ניתוח מצב עדכני על מנת לקבוע קו בסיסי ואזורים להשקעה. ישנן מספר דרכים להשיג זאת, הכוללות ניתוח בשלות התוכנית או ניתוח השפעה עסקית. שניהם מספקים ניתוחים שונים אך יסייעו לכם בזיהוי פעילויות ספציפיות לתיעדוף.
מקום מעולה נוסף להתחיל בו הוא במסגרת מוכרת בתעשייה במטרה להבטיח הערכה ותכנון ראויים לתוכניות התאוששות הסייבר. מסגרת אבטחת הסייבר NIST היא בדיוק כזאת, היא נבחרה על ידי ארגונים רבים בגלל ההשקפה ההוליסטית וההמלצות המעמיקות שלה.