החשיבות של מודיעין איומים ושיתופי פעולה גלובליים
דרק מאנקי ואמיר לחאני, חוקרי אבטחה בכירים במעבדות FortiGuard, גוף המחקר של פורטינט, מספרים אודות עבודת הצוות והחשיבות של שיתופי פעולה בין גופים גלובליים בנושא של מודיעין איומים
דרק, תוכל לתת לנו סקירה קצרה אודות צוות מודיעין האיומים של מעבדות FortiGuard?
דרק: "מעבדות FortiGuard הינו גוף מודיעין האיומים והמחקר של פורטינט. מטרתו היא לספק ללקוחות פורטינט את מודיעין האיומים הטוב ביותר בתעשייה אשר נועד כדי להגן עליהם מפני פעילות זדונית ומתקפות סייבר מתוחכמות. הארגון מורכב מציידי האיומים, חוקרים, אנליסטים, מהנדסים ומדעני הנתונים בעלי הידע הרב ביותר בתעשייה, אשר עובדים במעבדות מחקר ייעודיות בכל רחבי העולם. המומחים של מעבדות FortiGuard מנטרים בקביעות את שטח התקיפה הגלובלי, כאשר הניתוח והעיבוד של המידע מבוצע באמצעות בינה מלאכותית (AI) ולמידת מכונה (ML). מאמצים אלו באים לידי ביטוי במודיעין איומים בעיתוי הנכון ושניתן לפעול לפיו בצורה של עדכון מוצרי האבטחה של פורטינט, מחקר איומים אקטיבי כדי לסייע ללקוחות החברה להבין בצורה טובה יותר את האיומים והתוקפים שהם ניצבים בפניהם ובאמצעות אספקת שירותי ייעוץ מיוחדים אשר יסייעו ללקוחות לזהות ולחזק את יציבת האבטחה שלהם".
כיצד מעבדות FortiGuard פועלות בתחום של חקר איומים?
אמיר: "הטלמטריה שלנו נאספת ממיליוני חיישנים של פורטינט, אשר מסייעים לצוות של מעבדות FortiGuard לזהות את האיומים האמיתיים שעמם מתמודדים הלקוחות שלנו. זה כולל איומים אשר מתגלים ברשת, בנקודות הקצה ובהתקני IoT, בנוסף לאלו אשר מוטמעים במיילים, יישומים ובאינטרנט. כמו כן, למעבדות FortiGuard יש פעילות מחקר ואיתור מוצלחת של מתקפות zero-day. החוקרים שלנו לומדים אודות פושעי הסייבר במטרה להבין את המניעים, הטכניקות והדפוסים שלהם ולהשתמש בידע הזה כדי לסייע להגן על לקוחותינו. החוקרים לומדים את הפרצות והמתקפות המתרחשות בארגונים כדי להבין כיצד התוקפים ניצלו מערכות ויישומים ומכאן, להבין גם את דפוסי ההתקפה שלהם".
נדמה כי שיתופי פעולה הם חלק גדול ממודיעין האיומים היום. מה הפעילות שמתבצעת במעבדות FortiGuard בתחום חשוב זה?
דרק: "שיתופי פעולה מהווים חלק משמעותי מהפעילות שלנו, זאת בנוסף למחקר שאנו מבצעים בעצמנו כדי להוביל, לקיים שיח, לחלוק ולעודד שיתוף של מודיעין איומים שניתן לפעול לפיו. אחת הדוגמאות ליוזמות הרבות שלנו בנושא זוהי העובדה כי פורטינט משמשת כאחת מהחברות המייסדות של ה-Cyber Threat Alliance (CTA). ארגון ה-CTA התחיל עם 4 חברות מייסדות והיום הוא צמח משמעותית והראייה לכך היא שהארגון כולל חוקרי איומים, ספקי אבטחה ושותפים בתעשייה, אשר כולם עובדים יחד כדי לחלוק מידע אודות איומים ולשפר את ההגנות נגד פושעי סייבר מתוחכמים עבור ארגונים רבים והלקוחות שלהם. פורטינט משמשת גם כחברה מייסדת ותומכת במגוון רב של יוזמות של מרכז הסייבר של הפורום הכלכלי העולמי (WEF) והיא מחזיקה באחד מ-2 המושבים הקבועים היחידים במועצה הבינלאומית של הפורום. מרכז הסייבר תוכנן כדי לעצב את עתיד אבטחת הסייבר והאמון הדיגיטלי ברחבי העולם; כדי להגן על החדשנות; להגן על מוסדות, עסקים ואינדיבידואלים; וכדי לאבטח את ההסתמכות הגוברת שלנו על הכלכלה הדיגיטלית. פורטינט מעורבת בפורום באופן פעיל – היא מקבלת וחולקת מודיעין איומים עם למעלה מ-200 שותפים. שותפויות אלו הן המפתח לאספקת נראות מוגברת לפעולות של מעבדות FortiGuard וכוללות שותפי מודיעין איומים, צוותי CERT/CSIRT לאומיים, סוכנויות ממשלתיות, ארגוני אכיפת חוק בינלאומיים כמו NATO והאינטרפול ושותפים משמעותיים נוספים כמו KISA, OASIS ו-MITRE".
תוכל לתת דוגמה לדרך שבה חלק משיתופי הפעולה הללו פועלים?
דרק: "אנחנו שייכים לקבוצת המומחים הגלובלית ICGEG של האינטרפול ועובדים בקביעות עם ארגונים כמו NATO ו-FBI כדי לסייע להיאבק בפשיעת סייבר וטרור סייבר. לדוגמה, פורטינט היא אחת ממספר חברות פרטיות אשר סיפקה תמיכה לפעולה בהובלה של האינטרפול אשר התמקדה בפשיעת סייבר לאורך אזור ה-ASEAN (איגוד מדינות דרום-מזרח אסיה), כאשר התוצאה הייתה זיהוי של קרוב ל-9,000 שרתי שליטה ובקרה (C&C), יחד עם מאות אתרים אשר נפרצו, כולל פורטלים ממשלתיים. סייענו גם בחקירת סייבר בתיאום עם האינטרפול, כאשר סיפקנו מודיעין איומים וניתוח כדי לסייע לחשוף קבוצת פושעים אשר פעלה באופן מקוון ועמדה מאחורי הונאת ה-BEC (פריצה לדוא"ל העסקי), אשר הסתכמה במעל ל-60 מיליון דולר שנגנבו וכללה מאות קורבנות ברחבי העולם".
כיצד שיתופי הפעולה ושיתוף המידע משפיעים על מודיעין האיומים?
אמיר: "כיום יש כמות עצומה של אתגרי אבטחה אשר החוקרים צריכים להיות מודעים אליהם ולהתמחות בהם כדי להגן מפני מתקפות. גורמי איום שונים מתמחים במתקפות רשת, מתקפות תוכנה, מתקפות מבוססות-ענן, מתקפות נגד תשתיות קריטיות, התקני IoT וסוגי איומים רבים נוספים. בעוד כי התוקפים צריכים להתמחות באיום אחד בלבד, צוותי האבטחה צריכים להבין מגוון רחב של שטחי תקיפה. הגנה יעילה נגד מתקפות סייבר דורשת כיום מצוותי האבטחה לעבוד בצורה חכמה יותר ולא בצורה קשה יותר.
צוותי אבטחה זקוקים לשילוב של ידע, ניסיון, כלים, אסטרטגיה, אוטומציה ומומחים מיומנים כדי לנטר את כל שרשרת ההתקפה ולהפוך כמה שיותר מהתהליך לאוטומטי כדי שהמשאבים האנושיים יהיו ממוקדים בדברים חשובים יותר כמו ניתוח ותגובה לאיומים. שיתוף מודיעין איומים מספק לחוקרים ולצוותי האבטחה הזדמנות להבין בצורה טובה יותר את כל שרשרת ההתקפה וכיצד נקודות תורפה בכל אחת מנקודות החיבור שלה יכולות לפגוע באבטחת הרשת".
האבטחה היא העבודה של כולם, לא רק של מנהלי אבטחת המידע וצוות האבטחה. כל העובדים בחברה צריכים להיות מודעים לאיומים השונים ולהבין מדוע עליהם לפעול תמיד באופן זהיר ושקול. גורמים שאינם בקיאים באבטחה רואים אותה לפעמים כמשהו מעכב כאשר הם חושבים על הנושא. העלאת מודעות וחינוך אנשים יכול להיות הבידול המהותי לדרך שבה אנשים חושבים על אבטחה. חשוב לתת עדיפות לאבטחה כבר מההתחלה.
למדו עוד אודות חקר האיומים של מעבדות FortiGuard ועל פורטפוליו המינויים ושירותי האבטחה של גוף המחקר. הירשמו לתדריך האיומים השבועי של מעבדות FortiGuard.