דן הולדן, HP: "העולם צפוי ל-11 בספטמבר דיגיטלי – אם לא יתעשת"

"סטוקסנט (Stuxnet) הייתה התולעת הראשונה שתוכננה ופותחה לחבל במערכות ה-IT שאליהן היא מצליחה לחדור, לרבות במערכות תשתיות לשליטה ולבקרה במפעלים שונים ולתשתיות לאומיות קריטיות. אולם, היא בפירוש לא התולעת האחרונה, והעולם צפוי ל-11 בספטמבר דיגיטלי – אם הוא לא יתעשת ויחל להשקיע משאבים בתחום", כך אמר דן הולדן, מנהל תחום אבטחת מידע במעבדות DVLabs של HP TippingPoint.

הולדן השתתף בכנס סגור שערכה שלשום (ג') בתל אביב הרשות הלאומית לאבטחת מידע בשב"כ. הכנס דן במניעת התקפות על SCADA (ר"ת Supervisory Control And Data Acquisition) – מערכות שו"ב (שליטה ובקרה) ומערכות ניהול ייעודיות המאפיינות גופי תשתיות לאומיות קריטיות, כגון: חשמל, מים, גז, דלק ותקשורת.

בראיון לאנשים ומחשבים אמר הולדן, כי "איומי אבטחת המידע גדלים ומשתנים – הם גם מורכבים יותר וגם רבים יותר. מחקר שערכנו לא מכבר העלה שיותר מ-80% מהמתקפות ברשת מתמקדות כיום ביישומי אינטרנט. עובדה זו לכשעצמה לא חדשה, אבל חלה עלייה גדולה ברמת התחכום של מתקפות אלה. התחכום נובע גם משיתוף הפעולה הגובר בין התוקפים: ההאקרים עובדים ומפתחים יחדיו קוד שעלול לגרום נזקים גדולים הרבה יותר לגולשים תמימים שמבקרים באתרים נגועים".

בהתייחסו לסטוקסנט, אמר הולדן, כי "אנחנו חוקרים ומפתחים הגנה למערכות SCADA כבר שנים רבות. הנוזקה פותחה כך שתוכל לזהות את רשת התקשורת האחראית לשו"ב מרחוק במפעלים, ואז להרוס אותה. מטרתה היא לתקוף את SCADA".

לדבריו, "המידע במערכות הללו נשלח מהבקרים השונים שפזורים בשטח אל מרכז השליטה וממנו עד למערכות הביצוע. הבעיה עם מערכות אלה היא שהן ישנות, ובניגוד למערכות אחרות, שמאובטחות חלקית, אלה אינן מאובטחות כלל. סטוקסנט מגלה פרצות אבטחה שטרם הוטלאו במערכות ההפעלה חלונות (Windows) של מיקרוסופט (Microsoft), ומשם היא מגיעה – דרך HMI, ממשק ניהול אנושי – למערכת העורכת שליטה ובקרה מרחוק על מפעלים".

הולדן הוסיף, כי "לא רק אני, כל מקצועני האבטחה בעולם קבעו שסטוקסנט היא מהנוזקות המתוחכמות שעולם אבטחת המידע ידע אי פעם, שהיא חריגה וייחודית. בניגוד לרוב הנוזקות, שמטרתן הינה המרת נתונים לכסף, סטוקסנט פותחה כדי לחבל במערכות ה-IT שאליהן הצליחה לחדור, לרבות במערכות תשתיות לשו"ב במפעלים שונים, דוגמת כורים אטומיים".

עוד הוא אמר, כי היכולת לתקוף מערכות אלה קשורה גם לעובדה אחרת שהמעבדות בראשותו גילו: "השנה יש שיעור גדול מאי פעם של מתקפות שמבוססות על ניצול פרצות שעדיין לא תוקנו (Zero day) – בכמה ממוצרי התוכנה הנפוצים ביותר. בכל רגע נתון מכירים אנשי המקצוע בענף חמש, שש או שבע פרצות כאלה, אך מרבית המשתמשים אינם מודעים לכמות הרבה של הפרצות שלא תוקנו במוצרים שבהם הם עובדים מדי יום". הוא הוסיף, כי "החוקרים שלנו מתמקדים באיתור ובניתוח נקודות תורפה ברשתות ובסביבות מיחשוב. אנחנו מובילים בעולם בגילוי נוזקות חדשות, פי עשרה ממתחרינו, וזכינו על כך לציון לשבח מפרוסט אנד סאליבאן (Frost & Sullivan)". הולדן ציין, כי החוקרים העובדים במעבדות משתפים פעולה עם יותר מ-1,500 חוקרי אבטחה והאקרים חיצוניים ל-HP ומשלמים להם על גילוי של כל נוזקה חדשה. "אז אנו חוקרים אותה לעומק בעזרת 'הנדסה לאחור', וכך מרחיבים את מאגר הידע שלנו לתחום, לטובת התקנת טלאים במערכות ה-IT של הלקוחות הארגוניים", אמר.

"ארגונים נדרשים לאבטחת מידע כוללת"

טוני קיין, סגן נשיא לאזור EMEA ב-HP TippingPoint, אמר ש-"מה שארגונים נדרשים לו הוא אבטחת מידע כוללת. בעבר, הטיפול באבטחה היה פשוט וקל. כיום, בגלל הניידות של המידע, ההימצאות שלו באירוח או בענן והעבודה של עובדים על גבי רכיבים ניידים – הכול נהפך להרבה יותר מסובך". הוא הוסיף, כי "מורכבות נוספת נובעת מהעובדה שחלק מסביבת ה-IT היא וירטואלית. אנחנו פוגשים לא מעט לקוחות החוששים ממצב זה, של הימצאות המידע בענן לסוגיו, בן כלאיים, פרטי או ציבורי".

קיין דיבר על טיפינג פוינט, שנרכשה על ידי 3Com, שבעצמה נרכשה על ידי HP. "היא חלק ממערך אבטחת המידע הכולל ללקוחות ש-HP בונה, יחד עם שתי רכישות נוספות שביצענו – זו של ארקסייט (ArcSight) – חברה שעוקבת אחר פעילויות חשודות בשרתי הלקוחות הארגוניים על בסיס מערכת ניהול האירועים ואבטחת המידע (SIEM) – וזו של פורטיפיי (Fortify Software), המספקת תוכנות הגנה ואבטחה עבור עסקים, שמוצריה מסייעים להגנה על מידע דיגיטלי, לצמצום סיכונים ולהלימה לרגולציות", אמר.

לדבריו, באחרונה השיקה החברה שירות חדש HP AppDV (ר"ת Application Digital Vaccine). הוא ציין, כי השירות "מאפשר בקרה טובה יותר בגישה ליישומים חוץ-ארגוניים, בשימוש בפילטרים מובנים למערכת מניעת החדירות HP TippingPoint IPS. המערכת מפחיתה סיכוני חדירה ומאיצה את ביצועי התקשורת בחסימה מלאה או חלקית של הגישה לאתרים מוגדרים, באופן פשוט ומהיר. הכול לפי מדיניות הארגון ובהתאם לפרופיל המשתמש הגולש".

"אנחנו מספקים לארגונים הגנה פרואקטיבית מפני איומי האבטחה, וארגונים מבינים את הצורך הזה", סיכם קיין. "הכפלנו ב-2010 את כמות צוותי אנשי המכירות שלנו, כי אנחנו צופים הכפלת המכירות בתחום השנה".

דרור גולדשמיד, מנהל חטיבת התקשורת ב-HP ישראל, ציין, כי היקף הפעילות צפוי לצמוח גם בארץ, וכי מערכות טיפינג פוינט מוטמעות בארץ בארגונים מהמגזרים הפיננסי, הציבורי והממשלתי. "מנמ"רים מבינים שעליהם לעטוף במוצרי אבטחה את כלל רכיבי המיחשוב בארגון, לרבות השרתים ורשתות התקשורת, כדי לקבל אבטחה מוכללת", ציין.