אורי ריבנר, RSA העולמית: "בעידן שבו אנו חיים כיום, הפיירוולים לא מצליחים להגן על הארגונים"

"בעידן שבו אנו חיים כיום, הפיירוולים לא מצליחים להגן על הארגונים", קובע אורי ריבנר, ראש תחום טכנולוגיות חדשות להגנת זהות המשתמש ב-RSA העולמית, בראיון לאנשים ומחשבים. לדבריו, "נכון הוא שכל החברות מוגנות היום באופן היקפי, אך מסתבר ששכבת ההגנה היקפית אינה יעילה – כי עובדה שהחודרים מצליחים להגיע למערכות המידע של הארגון. למשל, באמצעות עובדי החברה שהביאו את הנייד שלהם המודבק בווירוס וחיברו אותו לרשת הפנימית".

הראיון עם ריבנר נערך במסגרת כנס RSA Europe 2011 בלונדון, בו השתתפו משתמשי החברה באזור EMEA. לריבנר 15 שנות ניסיון בפיתוח עסקי ושיווק בינלאומי של מערכות אבטחת מידע. ב-RSA תרומתו רבה בפיתוח טכנולוגיות של אותנטיקציה ומניעת הונאות. הוא הצטרף ל-RSA עם רכישתה של חברת Cyota הישראלית, לפני כשש שנים. הוא עובד בצמוד עם המוסדות הפיננסיים המובילים בעולם בפיתוח פתרונות הגנה מקוונים. ריבנר הוא מרצה מבוקש ביותר בכנסי אבטחה בעולם כולו וגם כותב בבלוג פיננסי נחשב.

מהי הסוגיה המרכזית בעולם אבטחת המידע כיום?
"סיכוני אבטחת המידע עולים השנה מדרגה, כלומר שהאיומים על הארגונים נעשים גדולים יותר. בעיקר מדובר במדינות שנכנסות לזירה, כאשר בעידודן ו\או בסיוען מותקפים גם ארגונים עסקיים פרטיים, לצד התשתית הצבאית והביטחונית המותקפת תדירות בשנים האחרונות.

כך, המושג המדובר בתעשייה כעת הוא APT (ר"ת Advanced Persistent Attacks). המושג הזה שאול מעולם המלחמה הקיברנטית הצבאית, שם ההתקפות המתמידות מוכרות תקופה ארוכה. התקפות APT, אגב, אינן מוגבלות רק למערכות צבאיות, ויכולות להתבצע גם על תשתיות קריטיות לשרידותה של מדינה, כמו מערכות מים, חשמל, גז, תחבורה ושעת חירום. מי שמחפש הכרעה צבאית, יטפל גם במערכות התומכות".

למה חשופות חברות אזרחיות למתקפות APT?
"כיוון שהמערכות הצבאיות מוגנות היטב ברוב המקרים וקשה לחדור אליהן, אז הגורמים התוקפים יעדיפו לחדור לארגונים אזרחיים, כדי לחדור דרכם לאלה הביטחוניים. כיצד דרכם? כי רוב הארגונים האזרחים המותקפים הם ספקים של ארגון צבאי-ביטחוני כזה או אחר, ואז בחדירה אליו אפשר לגלות סיסמאות או מידע אחר שיסייע לחדירה הלאה, לארגון הצבאי".

כלומר שמנהלי אבטחת המידע בארגונים האזרחיים חייבים ללמוד להיערך כהלכה?
"בהחלט. ה-CISO של הגופים האזרחיים לא היה חשוף למתקפה ברמה של צבא וירטואלי התוקף את מערכות המידע שלו. עכשיו עליו להצטרף למועדון העומדים בחזית מתקפות APT.

בעתיד הקרוב, להערכתנו, לא רק גופים הקשורים לארגונים ביטחוניים יותקפו – אלא גם חברות 'רגילות' המספקות מוצרים ושירותים אזרחיים לכל דבר. בכל תעשייה, יש לחברות הפועלות בה קניין רוחני ייחודי, המקנה לה את היתרון התחרותי. הקניין הרוחני הזה יהיה מושא לגניבה על ידי מתקפות APT".

מי הוא היעד המרכזי למתקפות APT מבוססות ריגול תעשייתי?
"בעולם, החברות שהותקפו אינן ששות לספר זאת לציבור. הן חוששות מנזקים תדמיתיים ואחרים, כולל תביעות, ולכן מסתירות את זה. בארה"ב הניסיון הוא אחר והחברות דווקא כן מספרות על ההתקפות עליהן. אגב, חשוב לציין שרוב החדירות כלל אינן מתגלות. בממוצע, רק 10% מהן נחשפות.

נכון להיום, ארה"ב היא היעד המותקף ביותר בעולם. סביר גם שהריגול התעשייתי העולמי יתרכז בחברות אמריקניות, הידועות בחדשנותן. הממשל וראשי הכלכלה בארה"ב מודעים לכך שחדירות תורמות להורדת התעסוקה בארה"ב והגברתה במקום אחר בעולם, כלומר שזו כבר לוחמה כלכלית לכל דבר. בישראל אמנם יש מרכזי חדשנות של היי-טק ותרופות, אך טרם דווח על חדירה שנתגלתה".

כיצד חברות יכולות לדעת שהן הותקפו?
"בדרך כלל לא החברות עצמן מגלות את התקיפה, אלא דווקא גורמים ביטחוניים וצבאיים העוקבים אחר התוקפים ברשת העולמית. תוך כדי מעקב אחר התקיפות הנערכות ברשת, הם מגלים מי הותקף ומודיעים לו".

אז מה RSA מציעה לארגונים לעשות?
"ב-RSA עוקבים אחר החדירות בזמן אמת, למשל עם המערכת של NetWitness (בעזרתה גילתה RSA את החדירה אליה במרץ השנה, ולאחר מכן רכשה את החברה, פ.ה.). צוות CERT (ר"ת Critical Emergency Response Team) שלנו עוקב אחר התנועה העולמית ברשת ואחר התוקפים ומנתח בזמן אמת את האיומים כדי לזהות מה נגנב ממי והכי חשוב להתריע במועד ללקוחות, כדי למנוע או למזער נזקים.

הניטור הפנימי הזה חשוב מאוד לגילוי התקפות שמנצלות חולשות של זמן אמת (Zero day) להן אין עדיין הגנה ידועה. גם מערכות DLP של מניעת זליגת מידע (Data Leakage Prevention) לא עוזרות בתקיפות מהסוג הזה. לכן, חייבים איתור פנימי כמו במערכת NetWitness, הפועלת במהירות ברמה של DPI (ר"ת Deep Packet Inspection) ומציעה מנגנון אוטומטי של בדיקות מהירות".

מהי התרומה של מרכז המו"פ של RSA בישראל?
"אנו מהווים מרכז למודיעין על איומים וניצול חולשות של ארגונים ברשת העולמית. התחלנו בשירותם של ארגונים פיננסיים בעולם והיום אנו משרתים גם סקטורים נוספים בכלכלה העולמית. אנו מזהים התנהגות חריגה של עובדים לפני שהם גונבים. כלומר לפני שהפריצה בוצעה, אפשר עדיין למנוע הנזק על ידי עצירת החודר.

יתרון חשוב נוסף בשירות ש-RSA מעניקה ללקוחותיה, הוא שיתוף הפעולה. בלעדינו, הלקוחות לא היו משתפים מידע למניעת חדירות, כפי שהם אינם משתפים פעולה בדרך כלל. דרכנו המידע שנצבר בכל לקוח משמש את כולם ויש לזה ערך רב ביותר לכל לקוח והם מבינים את זה ומעריכים את זה".

הכותב הוא שליח אנשים ומחשבים לבריטניה