ניר גייסט, ניוטרון: "יש רק שאלה אחת חשובה בהקשר של סוסים טרויאניים"

"יש רק שאלה אחת חשובה בהקשר של סוסים טרויאניים – מה טרויה פספסה? התשובה לשאלה היא שדבר אחד היה חסר בעיר: אדם אחד שישאל האם הימצאותו של הסוס בה הגיונית? טרויה הייתה עיר עשירה והשקיעה רבות בהגנתה, אולם היא לא שיערה שתחווה את מה שחוותה", כך אמר ניר גייסט, מייסד ומנכ"ל ניוטרון (Nyotron).

גייסט דיבר בפתח מפגש של C3, פורום המנמ"רים והמנכ"לים מבית אנשים ומחשבים. המפגש נערך היום (ג') ב-Yes Planet בראשון לציון, בהנחיית פלי הנמר, יזם ומנהיג אנשים ומחשבים.

"רוב חיי עסקתי בחדירות", אמר גייסט בן ה-26, שהקים את החברה הראשונה שלו כשהיה בן 10. על ניוטרון הוא אמר כי "אנחנו מפתחים טכנולוגיה שהיא קו ההגנה האחרון של הארגון. איננו רוצים שאיום יגיע לנכס הארגוני, למידע ולקניין הרוחני, אבל אם הוא הגיע, אנחנו רוצים לדעת מה הוא עושה. הטכנולוגיה שלנו מזהה ועוצרת איומים לא ידועים".

לדבריו, "האתגר הניצב בפני מנהלי האבטחה הוא לזהות את איום שיצליח לחדור, זה שיבצע את הפעולות הפשוטות ביותר שיצליחו לעבור את כל מערכות ההגנה".

התוכנה שפיתחה החברה, פרנואיד (Paranoid), "מלווה את האיום לאורך כל דרכו ובוחנת כל פעולה שנעשית, האם היא הגיונית או לא. אנחנו לא לומדים את האיומים, אלא את ההתנהגויות ההגיוניות של מערכת ההפעלה", הוסיף גייסט. הוא ציין כי "המוצר שלנו מותקן בגרעין (Kernel) של מערכת ההפעלה. כך הוא מספק יכולת ראייה כוללת, עם ניטור של כל פעולה שקשורה לקבצים, ל-Registery, לרשת, לקבלת ולשליחת מידע וליצירת תהליכים חדשים במחשב".

"פיתחנו שפת תכנות, מפת דפוסי התנהגות (BPM), שנועדה לקרוא ולזהות פעולות למערכת ההפעלה. השפה מאפשרת להגדיר תהליכים על בסיס הקריאות והרצפים של הקריאות – ולערוך התאמות ביניהן. כל פעולה נבדקת בהקשר של ההיגיון שלה לעומת הפעולה שקדמה לה", ציין.

עמיר אדד, מנהל תכנון הנדסי בבזק בינלאומי. צילום: פלי הנמר

גייסט סיכם באמרו כי "אם התוקף חדר, יהיה עליו לדאוג שכל פעולותיו לאחר החדירה תהיינה הגיוניות – וכך נאתר אותו. נעשה זאת כיוון שלעולם הוא לא יצליח להיראות הגיוני ב-100%".

מה עובר על בזק בינלאומי בהיבט המתקפות?

עמיר אדד, מנהל תכנון הנדסי בבזק בינלאומי, תיאר בדבריו במפגש "מה עובר עלינו בהיבט המתקפות, כ-ISP הגדול במדינה". לדבריו, "העולם שלנו השתנה – פעם היו רחבי פס קטנים, עם משאבי מחשוב נמוכים ותקיפות לא משמעותיות לכל תחנה, בעוד שכיום המצב שונה – ומפת האיומים השתנתה, וכיום כל אירוע ביטחוני מלווה במתקפות סייבר, שגם אנחנו חווים".

כך, אמר, "במהלך מבצע צוק איתן חווינו מתקפות משמעותיות מסוגים שונים כנגד מטרות שונות ברשת של בזק בינלאומי. קשה להתמודד עימן וקשה לחסום אותן".

הוא תיאר כיצד החברה מתמודדת עם מתקפות מניעת שירות מבוזרות (DDoS): "אנחנו בונים שכבות הגנה ומשתמשים בהרבה ציוד אבטחת מידע. גולת הכותרת שלנו היא Arbor. ייחודה בכך שהיא 'מסיטה' את המתקפה ממסלולה הצידה, מטפלת בה ומחזירה תעבורה לגיטימית".

לסיום סיפר עדד על אחד הלקוחות שהתארחו בחוות בזק בינלאומי – אתר שמוכר כדורי ויאגרה, עם מחזור מכירות גדול. "הצוות הטכנולוגי שלנו רצה להוציא את האתר, כי המתקפות נגדו הפריעו ללקוחות אחרים. אמרנו ללקוח 'תקנה מוצר אבטחה משלך'. הלקוח לא היסס ולמרות המחיר הרב – עשה זאת. התקנו את מוצר האבטחה והעברנו את התעבורה של האתר דרך מקומות שונים בגלובוס. נמצאנו בסיטואציה הזויה, בה היינו בתקשורת ישירה מול ההאקרים. לבסוף הגענו למצב בו מוצר האבטחה אכן הגן על אתר החנות למכירת גלולות ויאגרה, וניצחנו את התוקפים".