פרסום ראשון: מיקרוסופט חושפת סוכן כפול בפיתוח ישראלי

תמונה: באדיבות מיקרוסופט

בשנים האחרונות, וביתר שאת לאחר המעבר למודל עבודה היברידי, הפכה הזהות הארגונית לאחד מנקודות התורפה הכי מסוכנות בקרב ארגונים. צוותי אבטחת מידע נדרשים להתמודד עם מערך מורכב של משתמשים, תשתיות וכלים שמפוזרים בין מערכות מקומיות לענן, ולעיתים גם בין ספקים שונים הפועלים במקביל. במציאות הזו כל פרצה קטנה בין המערכות עלולה להפוך לדלת כניסה לתוקפים.

רק בשבוע שעבר פרסמה מיקרוסופט את דוח הסייבר השנתי שלה ובו ציינה כי מדי יום היא מנתחת יותר מ-38 מיליון מקרים של סיכוני אבטחת זהות, ב-2024 נרשמו מדי שנייה כ-7,000 ניסיונות פריצה לחשבונות משתמשים ו- כ-66% מניסיונות התקיפה כללו פגיעה מסוימת בזהות. לדבריה, השילוב בין זהות מבוזרת, מתקפות מתוחכמות ועלייה במספר הבוטים שנוצרים באמצעות כלי AI יצר צורך בגישה חדשה לגמרי להגנת זהויות.

היום (ה') מיקרוסופט הכריזה על פתרון חדש שלטענתה נועד לתת מענה הוליסטי לנושא הגנת הזהויות בארגונים. הפתרון החדש הוא, איך לא, סוכן AI שמאחד שני סוכנים שונים להגנה על זהויות ומכשירי קצה: Defender for Endpoint ו-Defender for Identity. הסוכן החדש, שקיבל את השם המקורי unified agent, אמור לטענת החברה "לפשט את עבודת צוותי האבטחה ולרכז את כל פעילות הניטור והזיהוי של איומים על זהויות ונקודות קצה במערכות מקומיות ובענן".

שרון בן יוסף. תמונה: ללא קרדיט

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

הסוכן החדש פותח כאן בישראל, על ידי קבוצת Microsoft Defender for Identity, מיקרוסופט ישראל מחקר ופיתוח. מנהלת הקבוצה, שרון בן יוסף, סיפרה בשיחה עם ITtime כי "הגבולות בין זהויות, נקודות קצה ותשתיות טכנולוגיות כמעט נעלמו. כדי להגן על ארגון בצורה אמיתית צריך לראות את כל התמונה – המשתמשים, נקודות הקצה, השירותים והקשרים ביניהם. האיחוד של ה-agent הוא שלב חשוב בדרך להגנה מקיפה ומודרנית, שמאפשרת לצוותי אבטחה להגיב מהר וחכם יותר. בעולם שבו מתקפות מתפתחות במהירות, אי אפשר להרשות לעצמנו מערכות מנותקות זו מזו. האיחוד בין ההגנות על זהויות ונקודות קצה מאפשר לא רק לזהות את המתקפה – אלא להבין את ההקשר שלה ולבלום אותה בזמן אמת".

Unified agent יפעל כמובן בסביבת Microsoft XDR, פלטפורמת האבטחה המאוחדת של מיקרוסופט לארגונים ואמור לספק למנהלי האבטחה והצוותים השונים מבטח אחוד על כל מרכיבי הזהות בארגון. לטענת החברה הוא מנטר באופן ייעודי (Domain Controllers , Active Directory Federation Services (AD FS) , Active Directory Certificate Services (AD CS)  ו-Entra ID Connect ואמור לזהות אנומליות בפעילויות או בהגדרות.

הפתרון החדש, כך מספרים בחברה, מבוסס על גישת ITDR – Identity Threat Detection and Response, גישה הוליסטית שמאחדת ניטור זהויות עם ניתוח איומים בזמן אמת ומטרתה לספק לצוותי אבטחה תובנות על כל פעילות חריגה הקשורה לזהויות – בין אם מדובר במשתמשים אנושיים, בוטים או סוכני AI ועל בסיס תובנות אלו לסנכרן את מערכי ההגנה בשכבות השונות בארגון.

חידוש נוסף במערכת הוא שינוי המיקוד במעגלי האבטחה – מגישה שהתמקדה בניטור ובדיקה של כל חשבון בנפרד, לבדיקה שמבוססת על איחוד מידע ממקורות שונים כדי לזהות "טביעת רגל" של זהות מסוימת בארגון, על כלל החשבונות, ההרשאות והפעילות שלה. כך, לטענת מיקרוסופט, כל מנהל אבטחה יוכל לפקח על גישות רגישות ולמנוע ניצול לרעה של הרשאות ניהול ובנוסף לבנות תמונת איומים שתסייע לו להגיב מהר יותר ולזהות דפוסים שהיו נותרים חבויים במערכות מבודדות.

בחברה מדגישים כי התראות זהות אינן מוצגות כמקרים בודדים, אלא משולבות באופן אוטומטי באירועי אבטחה רחבים יותר, כך שצוותי ה-SOC רואים תמונה מלאה של המתקפה – מהשלב הראשון ועד הפעולה הננקטת מולה.