בעידן בו מתקפות סייבר הופכות למורכבות ונפוצות יותר, מחקרים ודוחות עדכניים בתחום מצביעים על מאות ואפילו אלפי התראות על פגיעויות סייבר (CVEs) שחברות מתמודדות איתן בכל יום. התראות אלו, המגיעות ממערכות הגנה כגון אנטי-וירוסים, חומות אש וכלי ניטור אחרים, אמורות להתריע על חולשות במערך האבטחה של הארגון ולדווח על פרצות אבטחה פוטנציאליות. עם זאת, העומס הרב של ההתראות יוצר אתגר משמעותי: כיצד למיין בין ההתראות ולהתמקד באלו הקריטיות באמת.
לפי דוחות של חברות אבטחת מידע מהשנים האחרונות, ארגונים מדווחים על עלייה משמעותית במספר ההתראות היומיות המתקבלות במערכותיהם. נתונים של IBM מ-2023 מצביעים על כך שכ-70% מהארגונים הגדולים מתמודדים עם יותר מ-500 התראות ביום, כאשר רק כ-25% מההתראות מקבלות טיפול ראוי באותו היום. הנתונים מראים עוד כי התראות רבות מצביעות על פגיעויות חוזרות או על מתקפות שהוסרו כבר בעבר, דבר שמוביל לעומס נוסף ולבזבוז זמן יקר.
מחקרים של ארגונים כמו IBM ו-Verizon מצביעים על כך שרק 15% מההתראות שמתקבלות מדי יום מצריכות פעולה מיידית. יתר ההתראות, מצטברות כ"מטלות פתוחות" המכבידות על מערכות האבטחה ופוגעות ביכולת הארגון להתמודד עם איומים אמיתיים.
מתי וכיצד לטפל בהתראה?
אחד האתגרים המרכזיים בניהול התראות הוא ההבנה אילו התראות מצריכות טיפול מיידי ואילו ניתנות לדחייה או אפילו להתעלמות. מחקרים מראים כי כאשר ארגון נכשל בזיהוי התראות קריטיות במועד, נגרמות תקלות אבטחה חמורות שעלולות להביא לפגיעה משמעותית בפעילותן העסקית. אחד הגורמים לכך הוא המחסור בכוח אדם מקצועי המסוגל לטפל בכל ההתראות בזמן אמת, בעיה שגורמת לעיתים לתגובת יתר - מצב בו מתקנים גם התראות שאינן חיוניות.
לצד האתגרים, קיימים מגוון פתרונות טכנולוגיים וארגוניים שמסייעים בניהול טוב יותר של התראות CVE, ומאפשרים לצוותי האבטחה להתמקד בהתראות החשובות באמת:
1. אוטומציה וסיווג התראות
אחד מהכלים המובילים לניהול עומס ההתראות הוא שימוש במערכות אוטומציה ובינה מלאכותית לסיווג התראות לפי רמת הסיכון. מערכות אלו מסוגלות לנתח אותן ולהעניק לכל אחת מהן ציון סיכון, אשר מאפשר לצוותי האבטחה לתעדף, להתמקד באיומים הממשיים ולא בבזבוז זמן על התראות חסרות ערך. השימוש באוטומציה מצמצם גם את הזמן הדרוש לסיווג התראות ומפחית את עומס העבודה של הצוותים.
2. התמקדות בחולשות נפוצות ורלוונטיות
במקום לטפל בכל התראות ה-CVE, ארגונים יכולים להתמקד בחולשות הפגיעות ביותר עבורם. על ידי ניתוח הסביבה הארגונית, ניתן לזהות את החולשות הקריטיות ביותר ולתעדף את הטיפול בהן. דוגמאות לכך הן חולשות המתועדות באופן נרחב ומוכרות כקריטיות (למשל CVE בעל דירוג גבוה ב-CVSS) או חולשות המכוונות כלפי מערכות הליבה בארגון.
3. אימוץ מערכת Incident Response מבוסס תרחישים
מערכת תגובה לאירועים שמבוססת על תרחישים ספציפיים יכולה לסייע במענה מהיר להתראות. כך, במקום להגיב לכל התראה בצורה כללית, ניתן לבנות תהליך מותאם לכל סוג של התראה לפי סוג האיום ורמתו. גישה זו מסייעת במיקוד המאמץ ומבטיחה תגובה יעילה כאשר נדרש.
4. שיפור התקשורת בין מחלקות
אחד האתגרים שמחמירים את העומס בטיפול בהתראות הוא חוסר תיאום בין מחלקות בארגון. ארגונים רבים מגלים כי שיתוף מידע בין מחלקות IT לאבטחת מידע תורם לפתרון מהיר של התראות ומונע כפילויות. לדוגמה, מחלקת ה-IT יכולה לעדכן את מחלקת האבטחה במצבים של תחזוקה מתוכננת, כך שתיווצר פחות בהלה סביב התראות שקשורות לשינויים במערכת.
איך לייעל את ההתמודדות עם התראות סייבר בעתיד?
על מנת לשמור על יעילות בתחום זה, ארגונים חייבים לאמץ גישה הוליסטית לניהול התראות, המשלבת בין טכנולוגיה חדשנית ופרקטיקות ניהוליות מתקדמות. שילוב מערכות אוטומציה, ניתוח סיכונים ואימוץ של מתודולוגיות לניהול אירועים יכול להביא לשיפור משמעותי במוכנות להתמודדות עם מתקפות סייבר מורכבות.
בנוסף, מומלץ לארגונים לבחון ולהטמיע כלי Threat Exposure Management) TEM), שמאפשרים להם לזהות את רמות החשיפה של המערכות שלהם למגוון איומים ולהפחית את משטח התקיפה בצורה מושכלת. מערכות TEM מבצעות סקירה שוטפת של כלל רכיבי הארגון והחולשות שבהם, ומעניקות תובנות שמאפשרות מיקוד משאבים וניהול סיכונים יעיל יותר.
התמודדות עם מאות התראות סייבר ביום היא אתגר עצום, אך בעזרת כלים מתקדמים וניהול מושכל ניתן לצמצם את העומס ולהבטיח מענה איכותי לאיומים הקריטיים ביותר. ארגונים שמאמצים את הגישות המוצעות כאן משפרים את מערך האבטחה שלהם ואת יכולתם להתמודד עם מתקפות סייבר בצורה חכמה וממוקדת יותר.
מרק גפן הוא מנכ"ל חברת הסייבר IONIX המפתחת פלטפורמה להגנה על משטחי התקיפה הארגוניים