מוטי שגיא, פורטינט: "פתרונות אבטחת המידע המסורתיים, מבוססי החתימות – חשובים אך לא מספקים"

"פתרונות אבטחת המידע המסורתיים, מבוססי החתימות, הם חשובים – אך לא מספקים", כך אמר מוטי שגיא, יועץ בכיר לאבטחת מידע בפורטינט (Fortinet) ישראל.

שגיא דיבר בכנס InfoSec 2012, שנערך באחרונה במלון דיוויד אינטרקונטיננטל בתל אביב, בהפקת אנשים ומחשבים ובהנחיית פלי הנמר, נשיא הקבוצה, ויהודה קונפורטס, העורך הראשי שלה. השתתפו בו יותר מ-1,000 מקצועני אבטחת מידע מכל מגזרי המשק.

"על מנת להתמודד עם הדור הבא של המתקפות נדרש לספק משהו מעבר לפתרונות אבטחת המידע המסורתיים, שהם מבוססי חתימות. נדרשת שכבת הגנה עם איומי Zero Day, ללא חתימות, שכבת הגנה שיודעת לזהות חתימות באופן יוריסטי", אמר שגיא.

הוא תיאר את התפתחות המתקפות ברשת לאורך השנים האחרונות. בתחילה, אמר, המניע של התוקפים היה התרברבות וגאווה. לאחר מכן הגיעו מתקפות מצד ההאקטיביסטים (שילוב המילים "האקרים" ו-"אקטיביסטים") – פעילים בעלי מניע חברתי, פוליטי או אידיאולוגי. לפני כמה שנים, ציין, החלו מתקפות מקוונות, שהמניע שלהן הוא כלכלי – פריצה לצורך איסוף מידע בעל ערך עסקי ומכירתו.

שגיא ציין שני סוגי מתקפות: האחד הוא מתקפות DoS – מתקפות מניעת שירות, אותן אפיין שגיא כ-"מתקפות פשוטות יחסית". הסוג השני היא APT (ר"ת Advanced Persistent Threat – מתקפות מתקדמות ומתמשכות). לדבריו, "אלה מתקפות על ארגון עסקי שמתמקדות במטרה מוגדרת והמניע שלהן הוא עסקי או פוליטי, אם הן מבוצעות על ידי ממשלה או שלוחיה".

בהמשך הוא מנה כמה עקרונות שלדבריו מנחים את עולם אבטחת המידע, ביניהם "האמת – אלוהים נמצא בפרטים הקטנים". לדבריו, לעתים, ההבדל בין מתקפה מוצלחת ללא מוצלחת הוא בפרטים הקטנים שהמגן התכונן אליהם. "הסיבה לאיומי אבטחת המידע", אמר שגיא, "היא הפסוק מספר בראשית: 'כי יצר לב האדם רע מנעוריו'".

שגיא ניתח את הפריצה שאירעה במרץ 2011 למערך ה-IT של RSA, חטיבת האבטחה של EMC. לדבריו, ייחודה של המתקפה הוא כפול – הן בגלל רמת התחכום שלה והן בשל העובדה שה-IT של RSA לא היה היעד של הפורצים, אלא הם כיוונו ללקוח שלה – לוקהיד-מרטין (Lockheed-Martin), ספקית הציוד הצבאי הגדולה של הפנטגון ויצרנית מטוס הקרב העתידי F-35, שנרכש גם על ידי צה"ל.

הוא אמר, כי "ההאקרים לקחו באותה מתקפה קובץ אקסל (Excel), תקעו בו תוכן שנוצר באמצעות פלאש (Flash) ושלחו לשני עובדים בפישינג ממוקד, המכונה 'חנית'. לאחר החדירה הראשונית, ההאקרים הצליחו לשוטט ברשת התקשורת של RSA ולהוציא את המידע שהיה דרוש להם לטובת הפריצה ללקוח של החטיבה. כך הם הצליחו לעבור מבעד ל-SSLVPN של ענקית התעופה".

"מה שנדרש ממנהלי אבטחת המידע הארגוניים הוא לעבור מגישה של אבטחה תגובתית לאבטחה צופה פני עתיד, פרו-אקטיבית", סיכם שגיא. "ארגונים מצאו את עצמם מלאים בטכנולוגיות אבטחה שונות. איחוד של פונקציות האבטחה השונות למערכת אחת מאפשר לצמצם משמעותית את העלות שלהן ומפשט את הצורך בניהולן המורכב. אנחנו מספקים מענה לאיומי האבטחה העכשוויים והעתידיים".