ינואר 2024: גורם צד שלישי בלתי מורשה השיג גישה לנתונים אישיים רגישים של כ-16.6 מיליון לקוחות LoanDepot. אוגוסט 2025: חברת Allianz Life נפגעה ממתקפת סייבר שגרמה לדליפת נתונים אישיים של יותר ממיליון לקוחות. פברואר 2026: מתקפת כופרה על BridgePay Network Solutions גרמה לשיתוק פורטל החיובים המקוון של העיר פאלם ביי בפלורידה.
מתגלה דפוס ברור, שכן מוסדות פיננסיים הפכו ליעד בעל ערך רב עבור התוקפים.
פעולות אלה מבוצעות לרוב על ידי ארגוני פשיעה מקוונת מאורגנים או גורמים הנתמכים על ידי מדינות, המבקשים להשיג רווח כספי משמעותי או לשבש את השוק. אם אתם עובדים בתחום הפיננסי ומניחים שאתם חסינים מפני סיכונים, אתם לא שמים לב.
נקודת הכניסה כמעט אף פעם אינה מתוחכמת. במקרים רבים, הכל מתחיל במייל פישינג. משם, התוקפים מתקדמים לרוחב, מנווטים במערכות הפנימיות, מרחיבים את הרשאות הגישה שלהם ומתקרבים אל המטרה המקורית שלהם: תשתית תשלומים, פלטפורמות מסחר ונתוני לקוחות.
זה המקום שבו ארגונים פיננסיים רבים מאבדים את השליטה בסיפור: אם הנראות ברשת מוגבלת, תנועה כזו עלולה להישאר בלתי נראית עד שיהיה מאוחר מדי; הזמן הממוצע לזיהוי עלול להגיע עד 181 ימים.
זה היה האתגר שעמד בפני ארגון פיננסי מוביל, שביקש לסגור את פערי הנראות ולחזק את מערכות הזיהוי והתגובה שלו. לשם כך, פנה הארגון OPSWAT MetaDefender NDR, והטמיע את המערכת במגזרים קריטיים בתשתיתו כדי להשיג תובנות מעמיקות יותר על תעבורת הרשת ולזהות איומים בשלב מוקדם יותר.
זהו סיפורם.
חוסר נראות ברשת חשף את מערכות הלקוח לתנועה רוחבית
ללקוח היו כלי ניטור מסורתיים, שהתמקדו בעיקר בהתראות ממכשירי קצה ובהגנה על גבולות הרשת. כלים אלה פעלו מצוין בכל הנוגע לזיהוי תוכנות זדוניות מוכרות או ניסיונות כניסה חשודים, אך יכולות הנראות שלהם ברשת היו לקויות.
לפיכך, הרשת שימשה כמעין "אזור מת", שדווקא בו היו מערכות האבטחה פגיעות ביותר וצוותי SOC היו הכי פחות ערוכים להתמודד עם תקריות. נקודות העיוורון הובילו ל:
זמן השהיה בזיהוי תנועה לרוחב
בבנקים ובמוסדות פיננסיים אחרים, תנועה רוחבית היא בדרך כלל השלב שבו התוקפים עוברים מתחנת עבודה שנפרצה בתחילה (כגון המחשב הנייד של פקיד הבנק או מחשב במערך התפעול) לעבר מערכות בעלות ערך גבוה. מערכות אלה יכולות לכלול מערכות לעיבוד תשלומים, תשתית SWIFT או מאגרי מידע בנקאיים מרכזיים.
עבור הלקוח שלנו, העיכוב נבע מהסתמכות על התראות ברמת ההיקף, שהגיעו באיחור או שלא הופעלו כלל. עם למעלה מ-50 אלף עובדים, היו לתוקפים הזדמנויות רבות לפרוץ למערכות. סיכון שהלקוח לא היה מוכן לקחת על עצמו.
תהליכי עבודה איטיים בתחום הזיהוי הפלילי
במוסדות פיננסיים, חקירות פורנזיות לאחר פריצה מתעכבות לעתים קרובות בשל מקורות נתונים מפוצלים, שכן צוותי SOC עשויים להידרש לקשר בין יומני חומת האש, התראות ממכשירי קצה או יומני אימות. גם לנוכח הלחץ הנוסף לפעול במהירות, צוותים אלה עלולים להתקשות בזיהוי מה באמת קרה ובקביעת הגישה הטובה ביותר לריסון הפריצה.
במילים פשוטות: צוותי SOC היו עיוורים, ותוקפים פוטנציאליים היו מנצלים זאת.
כיצדMetaDefender NDR את תהליכי הזיהוי והחקירה הפורנזית
פער הנראות נסגר באמצעות MetaDefender NDR; MetaDefender NDR , שפותח במיוחד לצורך איתור איומים ברשת,NDR את תכונות הנראות ברשת ואת כלי הניתוח שהיו חסרים בארסנל הכלים של הלקוח שלנו.
MetaDefender NDR
MetaDefender NDR לארגונים לאתר, לחקור ולהגיב לאיומים ברשת במהירות רבה יותר, מבלי לשבש את הפעילות העסקית.
באמצעות ניתוח נתוני טלמטריה ברשת לצורך זיהוי דפוסי תעבורה חריגים, המערכת מזהה תנועה רוחבית בין מערכות וחושפת תקשורת הקשורה למתקפות סייבר.
הפלטפורמה שואפת להרחיב את הידע המקצועי של אנליסט SOC טיפוסי. באמצעות מודלי זיהוי המונעים על ידי בינה מלאכותית, היא מנתחת באופן רציף את התנהגויות הרשת כדי לזהות חריגות עדינות העשויות להעיד על פעילות תוקפים בשלב מוקדם יותר במחזור החיים של המתקפה.
עבור הלקוח שלנו, הפלטפורמה פתרה את הבעיות העיקריות שפגעו בביצועי ה-SOC.
זיהוי תנועה לרוחב
במקום להסתמך על נקודות קצה לדיווח על פעילות, MetaDefender NDR באופן רציףNDR התעבורה בין-ארגונית ברמת הרשת, תוך בדיקת זרימת התעבורה בין מערכות פנימיות. כך, היא מסוגלת לזהות דפוסים כגון ניסיונות אימות חוזרים ונשנים, חיבורים חריגים או תקשורת בין מערכות שבדרך כלל אינן מתקשרות זו עם זו.
זמן ההשהיה מצטמצם באמצעות שילוב של קביעת בסיס התנהגותי לתקשורת פנימית תקינה, וזיהוי חריגות המתבצע כמעט בזמן אמת.
חקירות זיהוי פלילי מהירות יותר
MetaDefender NDR מתעדNDR את נתוני המטא-נתונים של התעבורה ומאפשר ניתוח רטרואקטיבי. ברגע שמתגלה IOC (אינדיקטור לפריצה), המערכת יכולה לחזור אחורה ולבדוק אם מערכות פנימיות כלשהן תקשרו עמו בעבר.
כעת, צוותי SOC אינם צריכים לנסות לשחזר את התעבורה מיום התקרית או לאתר יומנים קודמים; האנליסטים יכולים לבצע שאילתות ישירות על נתוני הטלמטריה הרשתית המאוחסנים, דבר בעל ערך רב במיוחד במגזר הפיננסי, שבו חלוף זמן ממושך לאחר מתקפה עלול להוביל להפרות של תקנות.
בנוסף, תהליכי חקירה המונחים על ידי בינה מלאכותית סייעו לאנליסטים לקשר בין התראות, לתעדף אירועים בסיכון גבוה ולצמצם את משך החקירה הידנית, ובכך אפשרו למוסד לעבור מזיהוי תגובתי לניטור רשת יזום.
השפעה מדידה על נראות ה-SOC וזיהוי איומים
MetaDefender NDR מוקד הנראות לשכבת הרשת והחילה ניתוח התנהגותי על התעבורה הפנימית, דבר שהוכח כיעיל במיוחד בסביבות פיננסיות המפולחות למגזרים. כמו כן, היא אפשרה לאנליסטים להקדיש פחות זמן לאיסוף נתונים ויותר זמן לקבלת החלטות.
להלן התוצאות בכל התחומים:
| אזור ההשפעה | תוצאה מדידה |
|---|---|
| נראות הרשת | סיפק תמונת מצב מפורטת על התקשורת בתוך המערכת הפיננסית. |
| מהירות זיהוי איומים | ניתוח נתונים בסיוע בינה מלאכותית איפשר זיהוי מוקדם יותר של פעילות חשודה ותנועה רוחבית. |
| יעילות החקירה | קיצור הזמן הנדרש לאנליסטים של SOC לבדיקת התראות. |
| הגנה תפעולית | שיפור היכולת לזהות איומים מתקדמים הפועלים בתוך הרשת. |
| תגובה לאירועים | תגובה מהירה להתקפות פוטנציאליות לפני שהן מסלימות. |
| מוכנות לציות | יש צורך ביכולות פיקוח משופרות כדי לעמוד בדרישות הפיקוח הרגולטורי הפיננסי. |
כאשר האיומים פועלים מתחת לרדאר, השקיפות הופכת להיות הכל
ראינו את זה בסרטי שוד וראינו את זה גם במציאות. עבור מוסדות פיננסיים, הפרת האבטחה הראשונית אינה מסוכנת כשלעצמה. אם היא מתגלה בזמן, היא לא יכולה לגרום לנזק רב, מלבד חשיפת נקודת התורפה של החברה.
עם זאת, קיים סיכון ממשי כאשר תוקפים פורצים למערכת אך אינם ממהרים לחשוף את עצמם. במקום זאת, הם מתבוננים, פועלים בחשאי ומגיעים קרוב למה שחשוב ביותר: תשלומים או נתוני לקוחות רגישים.
לכן אבטחת המידע לא יכולה להסתפק בהגנה על ההיקף בלבד. אחרת, מדדי התקיפה (IOC) יישארו בלתי מזוהים עד שיהיה מאוחר מדי.
הודות להטמעת MetaDefender NDR, הלקוח שלנו עבר ממצב של מודעות מוגבלת לניטור רציף של הרשת. צוותי SOC שלו יכולים כעת לזהות התנהגות חשודה בזמן אמת, לקשר בין אותות הרשת לדפוסים, ולפעול לפני שהחריגות הופכות לאירועים.
אם הארגון שלכם בוחן מחדש את האופן שבו הוא מזהה ומגיב לאיומים שמחוץ לגבולות הרשת, ייתכן שהגיע הזמן להסתכל מעבר לאמצעי הבקרה המסורתיים ולשקול גישה ברמת הרשת. צרו איתנו קשר וגלו כיצד MetaDefender NDR לעזור לכם.
