image
פתרון נראות רשת: הדרך היעילה והחסכונית לאבטחת מידע
התפיסה העדכנית בעולם אבטחת המידע גורסת שבמקום להשקיע בשורה ארוכה של כלי אבטחה שונים - יעיל יותר להטמיע תשתית ניטור רשת המאפשרת סינון תעבורה חכם.

אחד מביטוייה הבולטים של מהפכת המידע הדיגיטלי הוא כמויות המידע העצומות, העולות בקצב אקספוננציאלי. כולם מייצרים מידע כל הזמן ובנפחים עולים. במטרה לעמוד בקצבי גידול המידע הללו מתמודדים ארגונים עם דרישות רשת הולכות וגדלות. השרתים צריכים להיות חזקים יותר ונפח התעבורה ההולך וגדל מצריך רוחב פס גבוה.
אזור נוסף בו משפיע הגידול בכמות הדטה הוא תחום אבטחת המידע. תחום זה גם כך עובר מהפכה בשנים האחרונות והמגוון הרחב של דרכי פריצה גורם לדרישות האבטחה לעלות כל הזמן. תקנים בינלאומיים הדורשים אבטחה ברמה גבוהה מארגונים המעוניינים להתהדר בהם מאלצים גם הם להעלות את הרף. בנוסף לכך, המעבר לעבודה בענן ושימוש בתשתיות וירטואליות מביאים גם כן סיכונים חדשים, כאשר מידע רגיש עובר משרתי החברה למחשבים חיצוניים ומרוחקים.
בהתאם, גם כלי האבטחה נעשים רבים ומגוונים. הצמד המוכר, האנטי-וירוס והפיירוול, כבר לא מספיק כדי להשתלט על כל משימות האבטחה השונות בארגון. מנהלי IT יכולים להיפגש בשנה עם נציגים של יותר ממאה חברות סייבר, שכל אחת מהן מציעה מוצר משלה. רבים מהם מגיעים עם זווית ייחודית, כזאת שעוסקת בתחום אבטחה אחד ספציפי. ואם בעבר היו מוצרי האבטחה מבוססים על חתימות - השתכללותם של ההאקרים הביאה לשינוי גישה. כיום מבוססים כלי אבטחה רבים על ניתוח של המידע, זיהוי אנומליות במערכת ולמידת מכונה. כך הם נותנים תשובה יעילה למצב בו לא רק כמות הדטה שעוברת ברשת עולה, אלא גם מורכבותו.
סינון מוקדם
בין כלי האבטחה המודרניים שאמורים לתת כיום מענה הולם לארגונים מרובי מידע ניתן למצוא תכופות תשתית ניטור תעבורת רשת. תשתית כזאת מאפשרת להעביר את כל המידע שרץ ברשת דרך מערכת אחת שתדע לזהות את מה שחשוד בתעבורה, לבודד ולבדוק אותו. המערכת מזהה את אותן חריגות, חוסמת אותן ומרימה דגל אדום למנהל הרשת. זהו מוצר יעיל, אך גם כזה שמסוגל לבדוק כמות מוגבלת של מידע בו-זמנית ועלותו מתבססת על כמות המידע שעוברת בפועל. לעתים בגלל שכמות המידע גדולה במיוחד וכלי האבטחה צרים מלהכיל את כולה - כדי לחסוך עומס על הכלים נאלץ הארגון לוותר על העברת חלק מהמידע לניטור. ומי יודע אם דווקא שם מסתתרת מתקפת סייבר?
את המגבלות של כלים אלו פותר כלי אחר, המתחבר אליהם: כלי נראות רשת. חשבו על אירוע אליו מגיעים 100,000 אנשים. בדיקת אבטחה לכולם תהיה תהליך ארוך, מסורבל ומייגע. לעומת זאת, אם המאבטחים יגדירו מראש אנליזה המבוססת על ידע קיים - למשל: אנשים שמגיעים ברגל נוטים להיות פחות מסוכנים מאנשים שמגיעים ברכב - תהליך הבדיקה יהיה מצומצם, פשוט ומהיר יותר. זה מה שעושים כלי נראות רשת. הם מהווים מעין פילטר בין המידע שעובר ברשת הארגונית לבין כלי הניטור ומספקים עיניים חכמות המבצעות סינון מוקדם. הדטה שעובר את הסינון המוקדם של כלי נראות הרשת לא ממשיך הלאה, לכלי הניטור. הדטה שמצריך בדיקה מדוקדקת יותר - כן. כלי נראות הרשת יודע לסנן מידע לא רלוונטי או כפילויות, למסך ולחתוך מידע, ולייצר ממנו ערכים רלוונטיים עבור מערכות ה-SIEM המציגות התרעות. הוא מזהה פרוטוקולים שונים ואפליקציות שונות שרצות ברשת ומאפשר העברה סלקטיבית של המידע לפי מה שהוגדר לו. חברה יכולה להגדיר בדיקה של תעבורת גלישה בלבד או של תעבורה פנימית שכוללת קבצים, למשל. כלי נראות הרשת יבדוק את מה שהוגדר מראש, יבצע זום-אאוט על מה שאינו חשוד וזום-אין על מה שמסתמן כבעל פוטנציאל לחשד ויעביר הלאה רק את המידע הזה. כך יורדת משמעותית כמות הדטה עמה צריכה להתמודד מערכת הניטור והיא נותרת רק עם מה שבאמת חשוד. זה מה שהופך את תשתית הנראות לתשתית אסטרטגית של ממש בארגון. בלעדיה - למנהלי התשתיות לא תהיה גמישות פעולה והם יבזבזו זמן רב בתיחזוק כלי האבטחה. איתה - נחסך מהם הצורך להיות עסוקים בהגדלת נפח מערכות הניטור. סוף סוף הם יכולים להבין בדיוק מה מגיע מאיפה, היכן הסכנות ומה האיומים. הם הופכים לבעלי שליטה אמיתית ולבעלי הבנה עמוקה יותר של המידע העובר ברשת עליה הם אחראים. מומחי מידע של ממש.
חיסכון כספי עצום
יתרון נוסף של כלי נראות רשת הוא שחלקם יודעים להתמודד עם מידע מוצפן. הצפנת מידע מקשה על כלי ניטור רשת לזהות אם מדובר בדטה שיש לבדוק לעומק או לא. כלי נראות הרשת יודע לבצע את פתיחת ההצפנה של המידע, תכונה קריטית בעידן בו מעל ל-80% מתעבורת הרשת היא מוצפנת.
החיסכון הכספי כאן יכול להיות עצום, מכיוון שהוא חותך עלויות בשני מקומות. כלי נראות הרשת מעביר פחות מידע לכלי ניטור הרשת, ולכן העלות השוטפת של האחרון, המתומחר לפי נפח המידע העובר דרכו, יורדת. בנוסף הוא גם מאפשר ללקוח לצמצם את השימוש במערכות ניטור. כך לדוגמה, חסך תאגיד טכנולוגי ישראלי גדול יותר מ-50% מעלות פרויקט האבטחה שלו. כלי הניטור של התאגיד לא יכל להתמודד עם כמות תעבורה גבוהה כל-כך ולכן תוכנן להתקין מספר כלי ניטור נוספים, שכל אחד מהם יסרוק סגמנט אחר של הרשת. התקנת כלי נראות הרשת צמצמה משמעותית את נפח המידע שעובר לכלי הניטור, וכך ייתרה את הצורך בעותקים נוספים שלו, שכן כלי אחד הספיק כדי להכיל את כמות הדטה המצומצמת המגיעה אליו. חברת היי-טק אחרת עמדה לרכוש שטח אחסון נוסף כדי לענות על הצורך שהגדירה לעצמה: לשמור עותק של כל המידע הרשתי העובר בארגון חודש אחורה. לאחר שהתקינה את כלי נראות הרשת - לא הייתה צריכה שטח אחסון נוסף מעבר לשטח הקיים שלה. ה-ROI אצל רוב הלקוחות הוא בסביבות חצי שנה. אצל לקוחות עם נפח פעילות גדול במיוחד הוא יכול לקחת אפילו פחות זמן. לכן משתמשים בפתרון זה לקוחות מהמגזרים הבולטים ביותר, בארץ ובעולם: המגזר הממשלתי, הביטחוני, הפיננסי, הבריאותי, טלקום, היי-טק. רוב החברות ברשימת ה Fortune 100 עובדות בשיטה הזאת. כל אלו מבינים שכלי ניטור רשת הוא כלי האבטחה הרלוונטי ביותר כיום ושכלי נראות רשת הוא ה"חסכם" על ברז הדטה שזורם אליו.
 
נכתב ע"י: 
זיו רוקח, מנהל איזורי ב'גיגמון' ישראל ואגן הים התיכון
יוסי עטיה- מנהל צוות הנדסה אזורי ב'גיגמון' 
image