קו ההגנה האחרון

על פי כל התחזיות, תחום הסייבר ימשיך להיות אחד הנושאים המרכזיים שיעסיקו את מנהלי אבטחת המידע והמנמ"רים גם השנה.

בשנה החולפת עמדו ארגונים רבים בפני גל חסר תקדים של מתקפות סייבר מתוחכמות וממוקדות, יותר מבעבר, והן מכילות נוזקות לא מוכרות, שתוקפות חלקים יותר קריטיים בארגונים.

מציאות זו הביאה לדרישה לחיפוש אחר פתרונות שמכונים "קו ההגנה האחרון". הנחת העבודה היא שלא די להגן על החזית החיצונית של מערכות המידע, אותה חזית שכבר מוקפת שכבות הגנה מסוגים שונים, עוד מהימים שבהם לא דיברו על סייבר, אלא להגן על יישומים קריטיים, שקשה להגן עליהם.

טובי המוחות החוקרים ברחבי העולם השקיעו מאמצים בשנים האחרונות כדי למצוא פתרונות לאתגרים אלה. גם ישראל שותפה למאמצים: אחד הפתרונות פותח במשותף על ידי קבוצת מחקר מובילה מאוניברסיטאות תל אביב וייל בארצות הברית. החוקרים פיתחו אלגוריתמים שמזהים מתקפות סייבר וחריגות בתפעול ה-IT, שלא זוהו על ידי פתרונות אבטחה אחרים.

ThetaRay הישראלית היא סטארט-אפ שפועל במסגרת החממה של קרן JVP. היא הוקמה על ידי שני פרופסורים למתמטיקה, אמיר אוורבוך מאוניברסיטת תל אביב ורונלד קויפמן מאוניברסיטת ייל. השניים חברו ליואב צרויה, מנהל חממת הסייבר של JVP, שצירף את מארק גזית כמנכ"ל.

גזית אמר בראיון לאנשים ומחשבים כי "הטכנולוגיה שפיתחנו מאפשרת גילוי של מתקפות מורכבות, בעלות פוטנציאל הרסני משמעותי ופריצות לא מוכרות – בסמיכות לזמן אמת. הדבר נעשה באמצעות ניתוח Big Data ממקורות שונים וברמה רב-ממדית. זה מעניק למקבלי החלטות בארגונים יכולת התמודדות עם מצבי אנומליה במערכת בפרק זמן מהיר. זאת, תוך מניעת נזקים חמורים, שלעתים עלולים להיות בלתי הפיכים. ייחודיותן של המתקפות כיום היא בכך שלעתים רבות הן חד פעמיות, ולכן נדרש לדעת את מה שלא ידוע שאיננו יודעים".

לדברי גזית, "אפשר לחלק את מתקפות הסייבר באופן גס למשפחות הבאות: מתקפות בידי ממשלות, ארגוני טרור, ארגוני פשיעה, ארגוני האקרים דוגמת אנונימוס (Anonymous) והאקרים בודדים. חלוקה עדינה יותר כוללת מתקפות מתקדמות ומתמשכות (Advanced Persistent Attacks) ותקיפות של מערכות בקרה תעשייתיות, שמופעלות על ידי מחשבים (SCADA). מערכות של תשתיות חיוניות, שנשלטות באמצעות מערכות בקרה תעשייתיות, בהן פרוטוקול ה-SCADA שולט, חשופות לפגיעה העלולה להשבית את השירות החיוני, לגרום לנזק פיזי ופיננסי ואפילו לפגיעה בחיי אדם. בנוסף לאלה, יש תקיפות על מערכות אלחוטיות ותחנות שידור ניידות, כמו גם שימוש ברשתות חברתיות לצרכי הפצת רוגלות, נוזקות ותקיפה של שירותי אחסון ומיחשוב ענן".

מה צריך לשפר במערכות ההגנה הקיימות כיום?
"המערכות האלה מתבססות בעיקר על מניעה וסיכול של איומים מוכרים, תוך שימוש בחתימות וחוקים ידועים מראש. הן מתקשות לגלות מתקפות יום אפס, שלהן אין חתימה ידועה ברגע נתון. תקיפות מצליחות לחדור לרשתות הארגוניות ולמחשבי הקצה למרות כל מערכות ההגנה, מאחר שההופעה וההתנהגות הראשונית של הפוגענים נראות חוקיות ותקינות. לעתים, המתקפות לא כוללות חדירה דרך רשת התקשורת של הארגון, אלא הדבקה באמצעות מגע פיזי. דוגמה לכך היא סטוקסנט (Stuxnet), בה ההדבקה נעשתה באמצעות התקן זיכרון נייד. נוסף לכך, רוב המערכות המבצעיות בנויות כיום לטיפול בסוג מסוים של מתקפה ואין להן יכולת לטפל במגוון גדול של מתקפות שונות ומגוונות, שלהן מוטציות וגרורות. רק התנהגות א-נורמלית שלהן בהמשך שהותן בארגון, שמשפיעה על מערכות שונות בו – היא שתסגיר אותן. כך שאם יהיו אלגוריתמים שיידעו לאבחן את ההתנהגות השונה באוקיינוס אדיר זה של נתונים, ניתן יהיה להתגונן מפניהן".

כלומר, המערכות הקיימות מגינות רק לכאורה ולמעשה אנחנו חשופים?
"שיטות ההגנה הקלאסיות, שנהוגות בעולם בעשרות השנים האחרונות, לא מצליחות לעצור מתקפות פוגעניות מודרניות על מחשבים ורשתות תקשורת של ארגונים עסקיים, כמו גם ספקי תשתיות ושירותים חיוניים וקריטיים. שיטות הגנה אלה, הכוללות אמצעי תוכנה וחומרה ומתבססות על פיירוולים, חתימות וחוקים, נכשלות לחלוטין בהגנה מפני איומים לא מוכרים, דוגמת איומים המבוססים על חולשות יום אפס ואיומים חדשים. איומים מתוחכמים וחמקניים אלה מתחזים לנתונים אמינים וחוקיים במערכת. מערכות ההגנה של היום יודעות להגן מפני התקפות ממשפחות שונות של אתמול, על סמך חתימות ידועות, אבל חסרות תועלת מול המתקפות המתרבות והולכות של המחר".

מה המסר שלך לארגונים החרדים לאבטחת המידע שלהם?
"בעולם שבו הקשר בין מערכות ומכונות הולך ומתהדק וכמות המידע עולה באופן מתמיד, נדרשת גישה ייחודית המסייעת בהגנה על מערכות ומידע רגישים".

הפתרון של ThetaRay יוצג בראשונה בכנס CyberSecurity של אנשים ומחשבים שייערך ביום ה' בשבוע הבא, 16 בינואר. אורח הכבוד בכנס יהיה השר לענייני מודיעין, ד"ר יובל שטייניץ. רמי אפרתי, ראש אגף בכיר למגזר אזרחי במטה הקיברנטי במשרד ראש הממשלה, הוא יושב ראש הכנס. במסגרת האירוע יישמעו הרצאות מקצועיות של חברות המיישמות פתרונות הגנה מול מתקפות סייבר ויתקיים בו מסלול מיוחד, Hacker Inside, שבמהלכו ידגים אחד ההאקרים המומחים בישראל כיצד הוא פורץ בזמן אמת למכונית באמצעות מכשיר סלולרי.

ההתעניינות חסרת התקדים בכנס ובתצוגה היא עוד הוכחה כי הסייבר פה, תוך שהוא לובש ופושט צורות מדי פעם. אתגר ההתגוננות מתחדש בכל עת והמוח הישראלי, כפי שראינו, ממציא לנו בכל פעם פטנטים חדשים.

מתעניינים באבטחת מידע? הירשמו לכנס CyberSecurity של אנשים ומחשבים