מערכת SIEM מודרנית | DnA-IT
  • פתרון מבוסס AI

  • זמן תגובה קצר

  • פתרון SaaS

  • ממשק ניהול אחד

  • איתור אירועים בזמן אמת

  • מענה בטוח למתקפות

זה הזמן להכיר מערכת SIEM חכמה

במציאות של ימינו, בה מפת איומי הסייבר הולכת וגדלה, יש צורך במערכת SIEM שתוכל ללמוד את האיומים בצורה חכמה ואוטומטית.

InsightIDR היא מערכת לאיתור ותגובה לפרצות אבטחה, המבוססת על אנליטיקה חכמה של משתמשי ונקודות הקצה, מספקת נראות ברמת המשתמשים וזיהוי דפוסי הפעולה של התוקף.

בנוסף, המערכת משתמשת בטכניקות של הטעיה, לצד חקירה ויזואלית פשוטה העוקבת באופן כרונולוגי אחר שלבי המתקפה ובכך מקצרת את זמן התגובה פי 20.

ליתרונות של מערכת SIEM חכמה

מערכות SIEM – חשיבותו של הידוע ושל הלא ידוע

רוב כלי ה-SIEM מסוגלים לאתר איומים סטטיים וידועים על בסיס מודיעין איומים כללי, אשר משווה התקפות שנראו בעבר אל מול לוגים במערכת, כדי לאתר קיימות חתימה לאותו איום.

כדי להצליח ביישום תפיסה זו, מערכת ה-SIEM צריכה לכלול אינטליגנציית איומים איכותית עם זיהוי חתימות, לצורך בניית חוקים.
עם זאת, ככל שהארגונים מאבטחים בצורה טובה יותר את התשתית הקריטית שלהם (שרתים) – התוקפים מחפשים אחר נקודות כניסה אחרות לרשת, ופונים לנקודות הקצה והאנשים המשתמשים בהן, כנקודת הפריצה הראשונית לרשת הארגונית.

כמעט כל פריצות אבטחת המידע כרוכות בתחנת קצה כשלב בהתקפה. לא ניתן לאתר סוג זה של חשיפה באמצעות חתימה או על בסיס חוקה.

כיום, תוכנות זדוניות מאפשרות לתוקפים לקבל גישה לרשתות פנימיות, להשתלט על משאבי מחשוב לצורך הפקת רווחים, דוגמת קריפטומיין, או שימוש בהרשאות admin כדי לעבור לרוחב הרשת הארגונית (Lateral Movement) ולסרוק תחנות ושרתים בכדי לאתר מידע רגיש יותר.

מערכת SIEM מודרנית וחזקה לאיתור איומים צריכה לשלב בתוכה:

  • טכנולוגיית גילוי איומי אירועי אבטחה, הכולל צבירה של מידע מאירועים ברשת
  • טכנולוגיית איתור איומים בנקודות הקצה, המסוגלת לספק מידע מפורט על פעילות זדונית
  • התראות ברורות ומידע בהקשר רלוונטי, שיאפשר לאנשי ה IT לנתח במהירות את האירוע ולפעול בהתאם

למערכות SIEM מיושנות אין ROI בנוף האיומים המודרני

אבטחה היא הרבה יותר מעמידה בכללי רגולציה וניהול לוגים. עם זאת, צוותי אבטחת מידע רבים עדיין סומכים על מערכות SIEM מסורתיות וכבדות.

מערכות SIEM מסורתיות אלו צורכות לא מעט משאבים כדי לפרוס ולפעול, צורכות לא מעט מידע כדי לנהל לוגים, כללים, תבניות מידע ובעצם מנהלות סוג של Big Data לאירועי אבטחת מידע וניתוחים.

לרוב, צוותי האבטחה מוצאים עצמם רודפים אחרי התראות בין כלים שונים, בזמן שתוקפים פוטנציאליים חודרים עוד יותר בקלות לתוך הרשת. מה שגרוע יותר הוא שמערכות SIEM קיימות מדור קודם מתמקדות בפעילות ההיקפית למניעת החדירה (Perimeter) ובכך מפספסת מידע חשוב, אשר עשוי להיות במקורות רשת מודרניים, דוגמת נקודות קצה ומשתמשים, יישומי SaaS, שרתים בענן ועוד.

חוסר היכולת של מערכות מסורתיות ליישם ראייה רחבה ולקבל תמונת מצב רחבה, מביא לא מעט התראות כוזבות (False Positive). הצוותים נותרים טובעים בנתונים ומפספסים את האיומים האמיתיים האורבים במקום אחר אצלם ברשת.

גילוי איומים מודרני דורש גישה דו-ממושכת

זיהוי איומים המבוסס על סט כללים, הנוטים לעמוד בדפוסים מסוימים וצפויים, הם עדיין מרכיב חשוב במערך ה- SOC. בדרך כלל ניתן לזהות היטב התקפות Brute-force למשל או מתחזים (Phishing), ויש לעצור אותם מוקדם בשרשרת התקיפה לפני שהיא הופכת קריטית.

אולם, הרשת המודרנית התפתחה. וכך גם מרחב האיומים.

פחות ופחות התקפות ניתנות לחיזוי על בסיס חוקים. לדוגמא, חיבור בין איומים פנימיים ותוכנות זדוניות, מורכבים יותר לאיתור ועשויים להתחמק ממערכות SIEM מסורתיות.

הכרת האיומים הללו במערכת דורשת שילוב של יכולות זיהוי אנומליה התנהגותית עם ניתוח אנושי, כדי לזהות אירוע ולנקוט בפעולה.

אין טקטיקה אחת בלבד שיכולה להגן מפני כל האיומים – הפתרון הטוב ביותר להגנה בפני מתקפה הוא שילוב של גילויים מבוססי חוקה, גילוי חריג עם תמיכה בחקירה ותהליכים לפעולה מהירה.

רוצים להתנסות ולראות איך זה עובד?

הדרישות ממערכת SIEM מודרנית

אנליטיקה חכמה לאיתור דפוסי פעולה חריגים

מערכת לאיתור ותגובה לפרצות אבטחה המבוססת על אנליטיקה חכמה של משתמשי ונקודות הקצה, נראות ברמת המשתמשים וזיהוי דפוסי הפעולה של התוקף

שימוש בטכניקות מתקדמות לקיצור זמן התגובה

שימוש בטכניקות של הטעיה לצד חקירה ויזואלית פשוטה העוקבת באופן כרונולוגי אחר שלבי המתקפה מקצרת את זמן התגובה פי 20

פתרון SaaS

פתרון SIEM מתקדם כשירות ענן

איחוד המידע המוגן

ממשק אחד לניהול כל אירועי האבטחה, בהתאם למדיניות

איתור פרצות והתנהגויות חריגות בזמן אמת

איתור שימוש בסיסמאות גנובות, רוגלות ופעילות Phishing בזמן אמת

מענה בטוח למתקפות

מענה מהיר ועצירת המתקפות על סמך תצוגה כרונולוגית ויזואלית

InsightIDR – מערכת SIEM עבור איומים מודרניים

InsightIDR היא מערכת ה- SIEM בענן היחידה המגיעה עם נראות מלאה גם ברמת יחידות הקצה כולל אוסף של חוקים, איתור תעבורת רשת וניתוח התנהגות משתמש הפועל מחוץ לקופסה.

המערכת מבוססת ענן ומתחברת למקורות הנתונים הפנימיים בארגון, לפעילות הרשת ולמידע הארגוני ישירות מצד המשתמשים, תוך צמצום הזמן והמאמץ הדרושים לתחזוקה ותפעול.

צוות ה-IT יוכל לאתר התקפות ימים לאחר הרכישה, לא שבועות או חודשים. היתרון ב- InsightIDR ביחס למערכות SIEM מסורתיות הוא באיחוד הנתונים מכל מקורות המידע כולל יחידות קצה, תעבורת רשת, לוגים של התראות באמצעות שירות ענן אמיתי – הכל למען זיהוי
כל וקטור התקפה אפשרי.

שילוב זה מעניק לכם נראות וגילוי בזמן אמת עבור תוכנות זדוניות, התקפות חסרות קבצים ושימוש בתעודות גנובות.
למעשה, למעלה מ- 90% מכל הגילויים של InsightIDR מתרחשים הרבה לפני השפעה משמעותית של תוקף.

מערכת InsightIDR משלבת את מלוא העוצמה של זיהוי פלילי של נקודות קצה, חיפוש לוגים ודשבורדים מתוחכמים לפתרון יחיד.

זהו כלי תוכנה המסופק כשירות (SaaS), אשר אוסף נתונים מכל מערכות אבטחת הרשת הרלוונטיות בארגון, לוגים על ביצוע אימות ובקרה על התקני הקצה.
לאחר מכן המערכת צוברת את הנתונים ומעבדת קורלציה אוטומטית לכדי אירוע, במידה ואכן יש הצדקה לכך.

המערכת מריצה ניתוחים על נתונים אלו כדי לתאם בין משתמשים, חשבונות, אימות, התראות והרשאות. הניתוח מספק תובנה לגבי התנהגות המשתמשים תוך חיפוש אחר אינדיקטורים ידועים לחשיפה.

כתפיסה ארגונית, Rapid7 ממליצה גם במערכת InsightIDR לשמור על קולקטורים ייעודיים באופן מקומי כדי לאסוף נתוני אירועים, נתוני יומן ונתוני קצה. לאיסוף נתוני נקודות קצה בזמן אמת, נתקין Agent תובנות על התקני הקצה והשרתים הרלוונטיים.

insight IDR rapid7

מדוע להשתמש ב- InsightIDR?

כאשר מחברים את כל מקורות המידע השונים במערכת InsightIDR, מקבלים את כל הפיצ'רים המובנים הבאים שנעשו עם מחשבה מראש:

  • איחוד הארועים מתוך הלוגים והנתונים לתצוגת אבטחה אחת
  • ניתוח לוגים גולמיים, נתוני קצה ותעבורת רשת
  • קבלת התראות על פעילות חשודה
  • קביעת עדיפות לאירועים
  • חקירת אירועים
  • מעקב אחר פעילויות פעולות אבטחה

 

InsightIDR בפעולה

צוות אבטחת מידע (InfoSec) ארגוני יכול לסמוך ולהשתמש באופן יומיומי ושוטף ב- InsightIDR כדי לשמור על רשת בטוחה.

כדי לשמור על בטיחות הרשת, צוות האבט"מ יכול לבצע:

  • בדיקת התראה ולאשר או לדחות התנהגות חשודה
  • לבדוק את הפרטים והפעילות שנאספו באירוע, כגון זמן, משתמשים, פעילות ונכסים מעורבים
  • לאסוף ראיות ופיקוח על משתמשים ונכסים באמצעות רשימת המעקב או הנכס המוגבל
  • קונטקסטואליזציה (קורלציה בין ארועים) של התנהגות חשודה על ידי חיפוש בלוגים, גלישה דרך פעילות חומת אש או סריקה דרך כתובות IP

 

תגובה לאירוע

למרות שתקריות רבות יכולות להיות אזעקות שווא, InsightIDR מקשרת חיבור עם אירועים זדוניים כך שצוות האבט"מ יכול להגיב כראוי. הם יכולים למחוק נכס, להתקין מחדש מערכת הפעלה נקייה ולהתחיל מחדש.

שנדבר?
השאירו פרטים והמומחים שלנו יחזרו אליכם
שנדבר?
השאירו פרטים והמומחים שלנו יחזרו אליכם