פרצות האבטחה הקורות בארגונים מחייבות אותן לחשוב על אסטרטגיית התגוננות שתכלול יכולות לתחקור פריצות סייבר שהתרחשו, זיהוי מהותן ועוצמתן. מרכיב ה-Incident Response נועד לשם כך, כדי לבלום את השפעתן מוקדם ככל האפשר.
עדות לחשיבות היכולות הללו ניתן למצוא בנתונים על צמיחת ענף זה: שוק ה-Incident Response צמח מהיקף של 11 מיליארד דולר בשנת 2017 להיקף צפוי של כ-34 מיליארד דולר בשנת 2023. קצב הצמיחה השנתי הממוצע הגיע ל-20.3% וזה הוא ללא ספק אחד הסגמנטים הצומחים בעולם הסייבר.
אין ספק שהגידול בהיקף ותחכום המתקפות של מתקפות הסייבר והנזקים הכלכליים הגדלים שלהן תרמו להתפתחות השוק. במישור הטכני, רשתות ארגוניות מורכבות כיום ממגוון של מכשירים ורכיבים שצריכים לתקשר האחד עם השני ללא הפרעה. זו הסיבה ששורה של טקטיקות, טכניקות, שגרות פעולה (TTPs) ודפוסי עבודה מנוצלים לפריצות - על אף העובדה שהם אינם מוגדרים כמתקפות יום אפס (zero-day) או כשרשרות מתקפה לא מוכרות.
הסיבה השנייה לצמיחת השוק היא המחסור האדיר במומחי סייבר מנוסים ברמה גבוהה הנאמד בכ-4 עד 5 מיליון איש ברחבי העולם. במקביל, הנגישות של כל משתמש גדלה לנוזקות שניתן לרכוש באינטרנט כמו כל שירות SaaS אחר שמגדיל את היקף המתקפות בקצב מסחרר.
שוק ה-Incident Response צמח מהיקף של 11 מיליארד דולר בשנת 2017 להיקף צפוי של כ-34 מיליארד דולר בשנת 2023. קצב הצמיחה השנתי הממוצע הגיע ל-20.3%
מגפת הקורונה שינתה את פניו של ענף ה- IR: אם בעבר צוותי החוקרים היו מגיעים פיזית לאתרי הלקוחות שנפגעו, הרי שעקב סגירת התנועה האווירית בשנות הקורונה חל מעבר מאסיבי בתעשייה מטיפול בפריצות באתר הלקוח (on site) לטיפול מרחוק על ידי חברות צד ג'.
התוצאה היא: קיצור טווחי זמן מימים שנדרשו לחוקרי סייבר כדי להגיע לאתר החברה לתגובה בזמן אמת, כולל בידוד מכונות מהרשת. כל זאת באמצעות לחיצה על כפתור בממשק שבולמת פריצות עוד לפני שהתרחשו. המגפה האיצה את המעבר לענן והאיצה את המעבר של תחום ה-Incident Response לענן. ספקיות רבות של שירותי Incident Response עדיין שולחות חוקרים לאתרי לקוחות אך השירות שלהן מוגבל לטריטוריה קרובה.
טכנולוגיות ML הולידו שוק ענק של פתרונות אוטונומיים המעצימים ומייעלים את היכולות לחקור ולהגיב לאירועים. ביניהם: פתרונות SOAR - Security Orchestration, Automation and Responseׁׂ ו-XDR Extended Detection and Response. פתרון XDR לדוגמא, שולח 'סוכנים' שמסוגלים לזהות ולבודד מהרשת נקודות קצה שנפגעו ומספק פתרון IR שלם כשירות ענן.
כלי למידת המכונה מסוגלים לקשור בין התראות שונות הקשורות לאירוע מסויים, לזהות ברמת וודאות גבוהה שמדובר במתקפת סייבר, לבלום אותה בזמן אמת ולהקטין את היקף התראות השווא.
המכונות משתכללות, מעצימות את מומחי הסייבר אך עברייני הסייבר עוברים תהליך דומה. בשורה התחתונה, הביקוש למומחי סייבר ולפתרונות צומח כל העת ואנו ניצבים כל העת בפני עולמות חדשים של איומים והזדמנויות המחייבים את כולנו להיות גמישים מאוד כדי להצליח
היכולות הללו מוצעות כיום כשירות ענן נגיש ונוח כלכלית הפותר במידה משמעותית את מצוקת כוח האדם של מומחי סייבר. הן חשובות במיוחד לעסקים שתקציב הסייבר שלהן דל, צוותי הסייבר שלהן קטנים והן מתקשות לגייס מומחים מהשורה הראשונה. לראשונה יש להן יכולות סייבר דומות לאלה של ארגונים גדולים, עתירי כוח אדם ותקציב. פעמים רבות אני נשאל האם פתרונות אוטונומיים מבוססי למידת מכונה יחליפו את אנליסט הסייבר? כלים אוטונומיים מאפשרים לנו לסייע ללקוחות בלי להזעיק את צוות של אנשי האבטחה מהמיטה באמצע הלילה.
עם זאת, ברגעים הקריטיים של מתקפת סייבר נדרשת מומחיות אנושית כדי לקבל החלטה סופית מושכלת המבוססת על מיפוי מדויק של המצב. המכונות משתכללות, מעצימות את מומחי הסייבר אך עברייני הסייבר עוברים תהליך דומה. בשורה התחתונה, הביקוש למומחי סייבר ולפתרונות צומח כל העת ואנו ניצבים כל העת בפני עולמות חדשים של איומים והזדמנויות המחייבים את כולנו להיות גמישים מאוד כדי להצליח.
הכותב הוא: שירן גרינברג, מנהל המחקר וחמ"ל הסייבר של חברת Cynet המתמחה בפתרונות XDR