לקראת סייברטק 2022: הגביע הקדוש? פאלו אלטו טוענת שפיתחה SIEM אוטונומי
מערכת SIEM אוטונומית אמורה להחליף אנליסטים אנושיים וכן לקצר את ה-Dwell Time. פאלו אלטו תציג בכנס סייברטק 2022 שיתקיים בתל אביב בין התאריכים 1-3.3.2022. בכנס צפוי להרצות ניר צוק, מייסד החברה
ניר צוק, מייסד פאלו אלטו. צילום: Palo Alto Networks
חברת פאלו אלטו טוענת בפרסום מהימים האחרונים כי פיתחה מערכת SIEM אוטונומית תחת המותג Cortex XSIAM. ״פלטפורמה מונעת בינה מלאכותית שיכולה לחולל מהפכה באופן שבו נתונים, ניתוח ואוטומציה נפרסים על ידי ארגוני אבטחה״, נכתב בהודעת החברה.
בהפשטה, מערכות SIEM-SOC נועדו לאפשר לארגון לאסוף נתונים מכל הסנסורים הפזורים ברשת, במטרה לנתח אותם ולהבין האם יש תוקף ברשת. או היה כזה מתישהו. אם יש תוקף ברשת, אפשר לתת לסנסורים משוב מיידי על מנת לעצור אותו (כתיבת חוק או שינוי תצורה). אם מגלים שהיה תוקף, אפשר להתחיל לעשות חקירה מה הוא עשה ברשת, לאיזה מידע הגיע ומה דלף. אם דלף.
סביב מערכות כאלו בונים לרוב חדר מצב עם אנליסטים, בני אדם, שמנתחים את המידע ומגיעים למסקנות. אנליסטים עולים כסף וגם לא תמיד יש כאלו בשוק העבודה. לכן, ארגונים מוצאים את עצמם בפני שני אתגרים עיקריים - העדר כוח אדם ועלות כוח האדם.
כאשר מוכרים מערכת SIEM אוטונומית, הקונה נדרש לחשב עבורה את החזר ההשקעה. ההחזר המיידי הוא בצורת חסכון בכוח אדם. קרי, אם יש היום חמישה אנליסטים בחמ״ל, אחרי רכישת המערכת, אפשר לפטר שניים ולהשאר עם אותה אפקטיביות. חסכון המשכורות אמור לכסות חלק מהתשלום על המערכת לאורך ציר הזמן.
חסכון נוסף הוא באי גיוס של אנליסטים. אם אין כוח אדם זמין בשוק, הארגון לא מצליח לגייס ובמקום זאת, קונה מערכת אוטונומית. גם כאן, אפשר לחשב את החזר ההשקעה כמשכורות לאנליסטים שלא יגויסו.
שני וקטורים פיננסים נוספים לחישוב החזר השקעה הם תרומה לאפקטיביות האנליסטים הקיימים וחסכון בנזקים כספיים שהיו יכולים להגרם לארגון ללא האוטונומיה. בהנחה והאוטונומיה עובדת, אותו כוח אדם קיים יוכל לעשות יותר. מדוע? מכיוון שהמערכת מנתחת עבורו יותר מידע ממה שהוא כבן אנוש מסוגל ומנגישה לו לבקרה סופית רק את האירועים הוודאיים שצריך לחקור. כך האנליסט מתעסק בחקר אירועי אמת ולא בניחוש מה קרה.
בהיבט נזק כלכלי מתקיפת סייבר, לאחרונה נטען כי מתקפת סייבר בישראל עולה בממוצע חצי מליון דולר לארגון. כלומר, אם האוטונומיה הצליחה לתפוס אירועי אמת, שבני אדם פספסו, ולעצור אותם - יש כאן חסכון כספי עצום לארגון.
עם זאת, ראוי לציין כי עד היום טרם הומצא ה- SIEM שמחליף בני אדם (והיו כמה ניסיונות) ואת הנזק הכלכלי האלטרנטיבי להסתמכות על אנליסטים אנושיים - קשה למדוד. לכן, במציאות, מערכות SIEM אוטונומיות או אוטומטיות, נבחנות ביכולת שלהן לחסוך הוצאות שכר על אנליסטים.
"לארגונים עדיין לוקח שעות, או אפילו ימים או חודשים, כדי לתקן איומים - אלה שעות וימים קריטיים במהירות והתחכום של התקפות כיום״, כותבים בפרסום. ״עלינו לדמיין מחדש כיצד אנו מפעילים אבטחת סייבר באמצעות AI, כך שארגון יוכל להגיב לכל ההתקפות בזמן אמת, לא ימים, לא שבועות, לא חודשים."
בנוסף לשאלת היכולת האוטונומית, שאלה נוספת בהקשר זה, היא היכולת של יצרן כמו פאלו אלטו לתמוך בכתיבת חוקים או שינוי תצורה בהתקנים של יצרנים אחרים, הנמצאים ברשת הלקוח. בימינו, נדיר למצוא רשת המבוססת על יצרן יחיד.
מערכת SIEM אוטונומית אמורה להחליף אנליסטים אנושיים וכן לקצר את ה-Dwell Time. פאלו אלטו תציג בכנס סייברטק 2022 שיתקיים בתל אביב בין התאריכים 1-3.3.2022. בכנס צפוי להרצות ניר צוק, מייסד החברה
ניר צוק, מייסד פאלו אלטו. צילום: Palo Alto Networks
חברת פאלו אלטו טוענת בפרסום מהימים האחרונים כי פיתחה מערכת SIEM אוטונומית תחת המותג Cortex XSIAM. ״פלטפורמה מונעת בינה מלאכותית שיכולה לחולל מהפכה באופן שבו נתונים, ניתוח ואוטומציה נפרסים על ידי ארגוני אבטחה״, נכתב בהודעת החברה.
בהפשטה, מערכות SIEM-SOC נועדו לאפשר לארגון לאסוף נתונים מכל הסנסורים הפזורים ברשת, במטרה לנתח אותם ולהבין האם יש תוקף ברשת. או היה כזה מתישהו. אם יש תוקף ברשת, אפשר לתת לסנסורים משוב מיידי על מנת לעצור אותו (כתיבת חוק או שינוי תצורה). אם מגלים שהיה תוקף, אפשר להתחיל לעשות חקירה מה הוא עשה ברשת, לאיזה מידע הגיע ומה דלף. אם דלף.
סביב מערכות כאלו בונים לרוב חדר מצב עם אנליסטים, בני אדם, שמנתחים את המידע ומגיעים למסקנות. אנליסטים עולים כסף וגם לא תמיד יש כאלו בשוק העבודה. לכן, ארגונים מוצאים את עצמם בפני שני אתגרים עיקריים - העדר כוח אדם ועלות כוח האדם.
כאשר מוכרים מערכת SIEM אוטונומית, הקונה נדרש לחשב עבורה את החזר ההשקעה. ההחזר המיידי הוא בצורת חסכון בכוח אדם. קרי, אם יש היום חמישה אנליסטים בחמ״ל, אחרי רכישת המערכת, אפשר לפטר שניים ולהשאר עם אותה אפקטיביות. חסכון המשכורות אמור לכסות חלק מהתשלום על המערכת לאורך ציר הזמן.
חסכון נוסף הוא באי גיוס של אנליסטים. אם אין כוח אדם זמין בשוק, הארגון לא מצליח לגייס ובמקום זאת, קונה מערכת אוטונומית. גם כאן, אפשר לחשב את החזר ההשקעה כמשכורות לאנליסטים שלא יגויסו.
שני וקטורים פיננסים נוספים לחישוב החזר השקעה הם תרומה לאפקטיביות האנליסטים הקיימים וחסכון בנזקים כספיים שהיו יכולים להגרם לארגון ללא האוטונומיה. בהנחה והאוטונומיה עובדת, אותו כוח אדם קיים יוכל לעשות יותר. מדוע? מכיוון שהמערכת מנתחת עבורו יותר מידע ממה שהוא כבן אנוש מסוגל ומנגישה לו לבקרה סופית רק את האירועים הוודאיים שצריך לחקור. כך האנליסט מתעסק בחקר אירועי אמת ולא בניחוש מה קרה.
בהיבט נזק כלכלי מתקיפת סייבר, לאחרונה נטען כי מתקפת סייבר בישראל עולה בממוצע חצי מליון דולר לארגון. כלומר, אם האוטונומיה הצליחה לתפוס אירועי אמת, שבני אדם פספסו, ולעצור אותם - יש כאן חסכון כספי עצום לארגון.
עם זאת, ראוי לציין כי עד היום טרם הומצא ה- SIEM שמחליף בני אדם (והיו כמה ניסיונות) ואת הנזק הכלכלי האלטרנטיבי להסתמכות על אנליסטים אנושיים - קשה למדוד. לכן, במציאות, מערכות SIEM אוטונומיות או אוטומטיות, נבחנות ביכולת שלהן לחסוך הוצאות שכר על אנליסטים.
"לארגונים עדיין לוקח שעות, או אפילו ימים או חודשים, כדי לתקן איומים - אלה שעות וימים קריטיים במהירות והתחכום של התקפות כיום״, כותבים בפרסום. ״עלינו לדמיין מחדש כיצד אנו מפעילים אבטחת סייבר באמצעות AI, כך שארגון יוכל להגיב לכל ההתקפות בזמן אמת, לא ימים, לא שבועות, לא חודשים."
בנוסף לשאלת היכולת האוטונומית, שאלה נוספת בהקשר זה, היא היכולת של יצרן כמו פאלו אלטו לתמוך בכתיבת חוקים או שינוי תצורה בהתקנים של יצרנים אחרים, הנמצאים ברשת הלקוח. בימינו, נדיר למצוא רשת המבוססת על יצרן יחיד.
