404 Securing Network Protocol with Tal Ravid from Armis

מדע וטכנולוגיה | רן תבורי ואורי להב | 162 פרקים
רברס עם פלטפורמה

פודקאסט מספר 404 . . . ואוו, אנחנו ב-400-ים, וזה Not Found 404 . . . כן, הולכת להיות לנו כאן סדרה ארוכה ומתישה של 400-ים . . . אז - פרק מספר 404 של רברס עם פלטפורמה! התאריך היום הוא התשיעי במרץ אלפיים-ו . . . בפעם שעברה אמרתי 2001, לא? (אורי) 2021, אם זכרוני אינו מטעני . . . (רן) 2021 - ואנחנו, כרגיל, באולפנינו הקט אשר בכרכור, מולי נמצא אורי - (אורי) אהלן, וזה שבוע האישה הבינלאומי, אגב - (רן) שבוע שמח! ושלום טל מחברת Armis - ברוכה הבא!טל רביד באה לדבר איתנו על Security ובאופן יותר ספציפי על Network Protocols ו-Security, ולפני שנצלול לעסק - ספרי לנו טל: מי את, מניין באת ולאן את הולכת?(טל) אז אני טל רביד, כמו שציינתם, בת 32 מתל אביב - במקור מרחובות, אבל אני חושבת שתל אביב השפיעה עלי מספיק בשביל לקרוא לעצמי “תל אביבית” כבר.בשלוש וחצי השנים האחרונות אני עובדת ב-Armis - סטארטאפ בתחום ה-Security שתיכף נרחיב עליו.לפני זה הייתי במגוון רחב של תחומים - במקור מ-8200, יש לי 7 שנים בערך בקהילת המודיעין, כשצוברים כל מיני סוגי ידע שמתקשר באופן כזה או אחר לסייבראחרי כמה פרקי קריירה בתחומים שונים חזרתי קצת לעולמות של סייבר, ובשנים האחרונות בעצם הקמתי את התחום של הדאטה ב-Armis, שאצלנו הוא כולל ממש היכרות עם ה-Knowledge base של החברה, עם כל הדאטה והלוגיקות.ובין השאר גם עם חוקים שקשורים ל-Security ול-Network Protocols.(רן) מעולה - אז אני מניח שלא מעט מהמאזינים שלנו מכירים את Armis, אבל לאלה שלא, ספרי לנו קצת מי זו Armis? מה אתם עושים שם?(טל) אז Armis קיימת כבר  חמש ומשהו שנים, כשהחזון הגדול של החברה הוא לייצר Agentless-Security - בעצם לאפשר להגן על רשתות מבלי באמת להתקין Agent על המכשירים בסביבה.אנחנו עושים את זה ע”י (א) יצירה של Assets Inventory - מיפוי כל הרכיבים שנמצאים ברשת של לקוח ו(ב) אז, לגבי הרכיבים האלה, להגיד מה הם? האם יש חולשות מסויימות שרלוונטיות? האם הם תחת Risk מסויים? כדי לאפשר ללקוח בעצם לקנפג (Config) ולעדכן אותם.מעבר לזה - האם יש איזשהו . . . אנחנו עושים משהו שאנחנו קוראים לו NDR - במקום ה-EDR, שזה Endpoint detection and response - אנחנו עושים Network detection and response, זאת אומרת - אותה הגנה מפני פריצות ותקיפות והתנהגות זדונית, בתרגום העברי של Malicious, או Suspicious, חשודה.במקום להשתמש ב-Agents בשביל לעשות את הדברים האלה, אנחנו בעצם עושים את זה דרך אינטגרציות עם רכיבי רשת ומידע שמועבר באופן גולמי.(אורי) זאת אומרת שאתם Agent על רכיבי הרשת . . . אני יכול להגיד את זה?(טל) אנחנו לא מתקינים Agents - אנחנו עושים אינטגרציה עם רכיבי רשת או עם תוכנות ברשת(אורי) וזה נותן לכם יתרון ב-Deployment, או שזה גם נותן לכם יתרון ממש ב-Detection שאתם יכולים לעשות ואחרים לא יכולים?(טל) זה נותן הרבה יתרון ב-Deployment - למעשה, אם זה רכיבי רשת אז אנחנו יכולים לעשות RSPAN מ-Switch-ים ובעצם לקבל תעבורה גולמית, או ממש לעשות איזושהי אינטרגציה עם Wireless LAN Controller - הרכיב שאחראי על הרשת Wi-Fi.או, במקרים אחרים, עם כל מיני מערכות שפועלות בדרך על רשת Active Directory - אז אנחנו משתמשים באיזשהו API ומתקשריםאנחנו ממש נמנעים מלעשות דברים יותר מורכבים מזה, בשביל לשמור על Deployment מאוד קצר ופשוט.(אורי) כן, פשוט מעניין אותי איך הדבר הזה עובד, פיזית . . . אתם בעצם מאזינים לתעבורת הרשת כחיצוניים-לה, ונותנים את ההתראות, או מה שצריך?(טל) כן - אנחנו לא נמצאים בתוך הרשת, אנחנו עושים איזשהו RSPAN, בדרך כלל לאיזשהו Collector שנמצא סמוך ל-Switch, אנחנו שמים אותו ליד.ובצורה הזו אנחנו מוציאים את הדברים הרלוונטיים ושלחים חזרה, באופן מוצפן, לענן, לאיפה שהשרת שלנו נמצא.ואז משם, בעצם, אנחנו מסוגלים להציג ללקוח את התובנות וה-Insights שמתוקשרות עם המערכות של Armis, עם ה-Knowledge base שלנו.(רן) זאת אומרת שנקודת ההנחה היא שהתוקף, או הפעילות החשודה, עוברת ברשת - אני מניח שזה טרוויאלי, כי כנראה שזה כמעט תמיד ככה . . .(טל) כן - בהנחה שיש תוקף חיצוני כלשהו, בהנחה שהתוקף לא מגיע מתוך המערכות שלך ושם USB בתוך אחד המחשבים של העובדים שלך, אז תיהיה איזושהי הגעה מתוך הרשת.לרוב  היא תוסווה, ובעצם המטרה שלנו היא להשתמש בכל מה שאנחנו מסוגלים לתתהדוגמא שהכי קל לדבר עליה - הרבה פעמים שואלים אותנו “אבל ה-Firewall לא אמור לעצור את כל הדברים ברשת? איך תדעו?” - אז הרבה פעמים דברים קורים לפ…

לכל הפרקים של פודקאסט רברס עם פלטפורמה >>

פרסומת
פודקאסט מספר 404 . . . ואוו, אנחנו ב-400-ים, וזה Not Found 404 . . . כן, הולכת להיות לנו כאן סדרה ארוכה ומתישה של 400-ים . . . אז - פרק מספר 404 של רברס עם פלטפורמה! התאריך היום הוא התשיעי במרץ אלפיים-ו . . . בפעם שעברה אמרתי 2001, לא? (אורי) 2021, אם זכרוני אינו מטעני . . . (רן) 2021 - ואנחנו, כרגיל, באולפנינו הקט אשר בכרכור, מולי נמצא אורי - (אורי) אהלן, וזה שבוע האישה הבינלאומי, אגב - (רן) שבוע שמח! ושלום טל מחברת Armis - ברוכה הבא!טל רביד באה לדבר איתנו על Security ובאופן יותר ספציפי על Network Protocols ו-Security, ולפני שנצלול לעסק - ספרי לנו טל: מי את, מניין באת ולאן את הולכת?(טל) אז אני טל רביד, כמו שציינתם, בת 32 מתל אביב - במקור מרחובות, אבל אני חושבת שתל אביב השפיעה עלי מספיק בשביל לקרוא לעצמי “תל אביבית” כבר.בשלוש וחצי השנים האחרונות אני עובדת ב-Armis - סטארטאפ בתחום ה-Security שתיכף נרחיב עליו.לפני זה הייתי במגוון רחב של תחומים - במקור מ-8200, יש לי 7 שנים בערך בקהילת המודיעין, כשצוברים כל מיני סוגי ידע שמתקשר באופן כזה או אחר לסייבראחרי כמה פרקי קריירה בתחומים שונים חזרתי קצת לעולמות של סייבר, ובשנים האחרונות בעצם הקמתי את התחום של הדאטה ב-Armis, שאצלנו הוא כולל ממש היכרות עם ה-Knowledge base של החברה, עם כל הדאטה והלוגיקות.ובין השאר גם עם חוקים שקשורים ל-Security ול-Network Protocols.(רן) מעולה - אז אני מניח שלא מעט מהמאזינים שלנו מכירים את Armis, אבל לאלה שלא, ספרי לנו קצת מי זו Armis? מה אתם עושים שם?(טל) אז Armis קיימת כבר  חמש ומשהו שנים, כשהחזון הגדול של החברה הוא לייצר Agentless-Security - בעצם לאפשר להגן על רשתות מבלי באמת להתקין Agent על המכשירים בסביבה.אנחנו עושים את זה ע”י (א) יצירה של Assets Inventory - מיפוי כל הרכיבים שנמצאים ברשת של לקוח ו(ב) אז, לגבי הרכיבים האלה, להגיד מה הם? האם יש חולשות מסויימות שרלוונטיות? האם הם תחת Risk מסויים? כדי לאפשר ללקוח בעצם לקנפג (Config) ולעדכן אותם.מעבר לזה - האם יש איזשהו . . . אנחנו עושים משהו שאנחנו קוראים לו NDR - במקום ה-EDR, שזה Endpoint detection and response - אנחנו עושים Network detection and response, זאת אומרת - אותה הגנה מפני פריצות ותקיפות והתנהגות זדונית, בתרגום העברי של Malicious, או Suspicious, חשודה.במקום להשתמש ב-Agents בשביל לעשות את הדברים האלה, אנחנו בעצם עושים את זה דרך אינטגרציות עם רכיבי רשת ומידע שמועבר באופן גולמי.(אורי) זאת אומרת שאתם Agent על רכיבי הרשת . . . אני יכול להגיד את זה?(טל) אנחנו לא מתקינים Agents - אנחנו עושים אינטגרציה עם רכיבי רשת או עם תוכנות ברשת(אורי) וזה נותן לכם יתרון ב-Deployment, או שזה גם נותן לכם יתרון ממש ב-Detection שאתם יכולים לעשות ואחרים לא יכולים?(טל) זה נותן הרבה יתרון ב-Deployment - למעשה, אם זה רכיבי רשת אז אנחנו יכולים לעשות RSPAN מ-Switch-ים ובעצם לקבל תעבורה גולמית, או ממש לעשות איזושהי אינטרגציה עם Wireless LAN Controller - הרכיב שאחראי על הרשת Wi-Fi.או, במקרים אחרים, עם כל מיני מערכות שפועלות בדרך על רשת Active Directory - אז אנחנו משתמשים באיזשהו API ומתקשריםאנחנו ממש נמנעים מלעשות דברים יותר מורכבים מזה, בשביל לשמור על Deployment מאוד קצר ופשוט.(אורי) כן, פשוט מעניין אותי איך הדבר הזה עובד, פיזית . . . אתם בעצם מאזינים לתעבורת הרשת כחיצוניים-לה, ונותנים את ההתראות, או מה שצריך?(טל) כן - אנחנו לא נמצאים בתוך הרשת, אנחנו עושים איזשהו RSPAN, בדרך כלל לאיזשהו Collector שנמצא סמוך ל-Switch, אנחנו שמים אותו ליד.ובצורה הזו אנחנו מוציאים את הדברים הרלוונטיים ושלחים חזרה, באופן מוצפן, לענן, לאיפה שהשרת שלנו נמצא.ואז משם, בעצם, אנחנו מסוגלים להציג ללקוח את התובנות וה-Insights שמתוקשרות עם המערכות של Armis, עם ה-Knowledge base שלנו.(רן) זאת אומרת שנקודת ההנחה היא שהתוקף, או הפעילות החשודה, עוברת ברשת - אני מניח שזה טרוויאלי, כי כנראה שזה כמעט תמיד ככה . . .(טל) כן - בהנחה שיש תוקף חיצוני כלשהו, בהנחה שהתוקף לא מגיע מתוך המערכות שלך ושם USB בתוך אחד המחשבים של העובדים שלך, אז תיהיה איזושהי הגעה מתוך הרשת.לרוב  היא תוסווה, ובעצם המטרה שלנו היא להשתמש בכל מה שאנחנו מסוגלים לתתהדוגמא שהכי קל לדבר עליה - הרבה פעמים שואלים אותנו “אבל ה-Firewall לא אמור לעצור את כל הדברים ברשת? איך תדעו?” - אז הרבה פעמים דברים קורים לפ…

פודאסטים מובילים

פרסומת