סקירת מוצר: פלטפורמת Netwitness

מזל טוב ל RSA, חטיבת אבטחת המידע של EMC , על רכישת Netwitness. פיתרון "יום הדין" לאבטחת מידע בעידן התקפות הסייבר השוטף אותנו.

ביום שלישי שעבר, 5 ביולי, הוזמנתי להשתתף בכנס שערך הסניף המקומי של RSA כדי ללמוד על עולם האיומים החדש באינטרנט ולהציג בפני הקהל הישראלי את הפיתרון החדש בארסנל של החברה.

מה קנו?

Netwitness היא חברה שמייסדה, עמית יורן, ייעץ בעברו ל CIA ועמד בראש גופים אמריקאים הקשורים לעולם הלוחמה הקיברנטית. החברה הזו פיתחה מכונה מפלצתית שחרטה על דיגלה את הסלוגן המחייב: Know everything, answer anything.

מה זה יודע לעשות?

מדובר באפלייאנס (רכיב חומרה) אשר "מאזין" ברשת הארגון לתעבורה, מקליט אותה, מעביר לבסיס נתונים ייעודי ומאפשר תיחקור מלא שלה. למכונה הזו יש ייעוד פשוט להגדרה אך מסובך למימוש: לאסוף ולנתח כל פיסת מידע שניתן להעלות על הדעת: תעבורת קבצים, כתובות IP, תעבורת SNMP , תמונות (JPEG ואחרים), תעבורת IM, תעבורה מוצפנת (באישור כמובן) וכל מידע אחר שמעניין את מנהליה. הניתוח יכול להעשות בזמן אמת על ידי צוות של אנליסטים אשר יכולים להסיק מסקנות לגבי הארועים אותם הם מנתחים או בדיעבד במקרה הצורך.

בארגונים בהם קיימות מספר סביבות ומספר צמתים רשתיים אשר מעניינים את צוות אבטחת המידע, ניתן לפזר רכיבי איסוף קטנים (Decoders) אשר מדווחים למרכז לצמתי איסוף (Concentrators) ומשם לקונסול הניהול של המערכת (Broker).

בגלל אופי הפעילות ויכולת האיסוף המדהימה, כלי זה מאפשר למנהליו לאפיין דפוסי התנהגות לא נורמליים ברשת הארגון ולחשוף בזמן אמת פעילות חשודה. כך למשל ניתן לראות ולהציף ארוע בודד כמו יציאה של קובץ כלשהו לכתובת IP חיצונית מחוץ לשעות העבודה, או פניות חוזרות ונישנות לכתובת IP מסויימת בארגון מ ISP בסין. לכלי קיימים הרבה מאוד חוקים מובנים וניתן להגדיר בו הרבה מאוד חוקים על פי הצרכים הספציפיים של הלקוח. חוזקה חשובה נוספת של הכלי היא בזיהוי התקנים פיסיים שמחוברים לרשת הארגונית כמו ציודי תקשורת, שעוני נוכחות וכל אמצעי המתקשר בפרוטוקול תקשורת סטנדרטי. כלי זה יכול גם לאפיין וללמוד על התנהגות של אפליקציות ארגוניות ועל מאפייני השימוש בהן. תכונה זו מאפשרת לכלי לזהות חריגות מההתנהגות הנורמלית ולהציף זאת למנהלי המערכת.

כמו בפתרונות אבטחת מידע מובילים אחרים, גם כאן פונה החברה לעזרת קהילת המשתמשים כדי להגדיל את בסיס הידע שלה בכל הקשור לפגיעויות לא מוכרות. לצורך כך נפתח פורום מיוחד באתר החברה בשם Spectrum. בפורום מוצגים ומנותחים קבצי EXE לא מוכרים, מפורסמות מקורות להתקפות אפשריות ומוחלף ידע בין חברי הקהילה לגבי מגמות ותחומי עניין משותפים אחרים. בפורום ניתנים ציונים לממצאים שהתגלו על פי חומרתם ונפיצותם. את המידע שנאגר ניתן לנסות לאתר בכל ארגון בו מותקן הכלי וכך לעצור התקפות לא מוכרות לפני שהן מתפשטות.

בארוע בשבוע שעבר הוזכר כי כלי זה מותקן כבר יותר משנה ב RSA וכי הוא סייע לחברה רבות באיתור ומעקב אחרי המתקפה שהחברה חוותה במרץ האחרון. הכלי ידע לאתר את כיווני המתקפה ואת עוצמתה (אם כי עושה רושם שהוא לא הצליח לסייע במיגורה לפני שגרמה נזק רב לארגון).

למי הפיתרון מתאים?

הערך האמיתי של הכלי יהיה בניתוח הרשת קרוב לזמן אמת. במצב כזה ניתן יהיה להעזר בפיתרון למניעת התפשטות של התקפות ברשת. במידה ואין מישהו "שיושב על הלוגים" כל הזמן, הערך של הכלי הוא בעיקר לתיחקור ארועים בדיעבד.

רוב רובם של הארגונים בארץ יכולים רק לחלום על שימוש בכלי כזה שמחירו מתחיל הרבה מעבר ל 100,000$. פיתרון זה יתאים לארגונים מוסדיים מהתחום הביטחוני\ממשלתי בדר"כ ולשם הוא מכוון.

יתכן, כי פיתרון כזה יכול להיות טוב כחלק מסוויטה של שירותים מנוהלים, בהם יש מרכז שליטה משותף של RSA או ספק אחר ובו מסתכלים ומנתחים בזמן אמת את הארועים של הלקוחות. הבעיה העיקרית כאן חוץ מהרתיעה של חלק מהארגונים להוצאת לוגים החוצה, היא כמובן ההתאמה האישית שיש לבצע לפעילות הכלי כדי שיתאים לנתונים ולמבנה ומערכות של כל ארגון נסרק.

לסיכום:

מפלצת סקרנית ורבת יכולות, שנותנת המון אבל דורשת לא פחות בתמורה. במלים אחרות: כלי מליגת ה NBA (או במקרה שלנו NSA J).