איך הפסקתי לפחד ממתקפת סייבר בארגון
רון קסלר חזר מהורהר משהו מפגישה עם החברים ב-Cybereason, שלימדו אותו שהחלק הכי חשוב במתקפה הוא החלק בו אתה יכול למנוע את הנזק
היה ערב. המחשב שלי עשה בעיות. תחושת איום השתלטה על המעצמה הדיגיטלית שלי. הבנתי שאין מנוס, צריכים אנטי וירוס חדש. התקנתי. שמחתי. בדמיוני ראיתי כיצד אני נח על הכסא שותה משקה ממותק והמחשב יודע להגן על עצמו בעצמו.
אבל משקאות לחוד ו-וירוסים לחוד. מצאתי את עצמי מוצף בהתראות על איומים שונים שתוקפים את מחשבי הדל. ובכל פעם עליי להחליט לבד: האם להתגבר על האיום או האם להתעמת עימו. ואני? מה אני בכלל מבין במתקפות סייבר. איך זה שאני תמיד מסתבך בסיטואציות המביכות האלה?
עכשיו קחו את הדוגמה של עצמי המבולבל ונפחו אותה למימדי ארגון. הנה במקומי יושב לו מנמ"ר של ארגון, שאחראי על עשרות או מאות עמדות מחשוב שמכילות מידע חשוב, והוא בוחר במערכת שתגן על הארגון ממתקפות סייבר שונות. כל כך הרבה התראות על אדם אחד? מה הסיכוי בכלל לזהות מתקפה בתנאים כאלה? מה היכולת למנוע נזקים כתוצאה ממתקפה כזו או אחרת.
למחרת פגשתי את יונתן פרי, סמנכ"ל פיתוח ב-Cybereason, ואת לטם גיא, ראש צוות Security בחברה. Cybereason עוסקת בדיוק באתגר הזה: כיצד חוסכים זמן למנמ"ר בדרך להגנה מוחלטת על הארגון ממתקפת סייבר. בחברה בדקו וגילו שרוב הנזק במתקפות סייבר נעשה בין זמן הפריצה לזמן הגילוי. זהו שלב שיכול להימשך לעתים חודשים, מבלי שאיש בארגון יודע. ברגע שמתגלה הפריצה, הדרך לתיקון המצב ארוכה ויקרה.
לטם גיא, ראש צוות Security ב-Cybereason
קצת רקע: Cybereason היא חברה פרטית, שהוקמה על ידי יוצאי יחידת המודיעין 8200 ליאור דיב, יונתן שטרים־עמית ויוסי נער. החברה יושבת בקיימברידג', מסצ'וסטס, ויש לה משרדים בתל אביב.
הטכנולוגיה שהיא מציעה מתבססת על ניטור תמידי של מערכות הארגון, בצורה שאוספת מידע על דפוסי ה-"השגרה" הספציפיים שלו ומסיקה מכך על פעולות חריגות בזמן התרחשותן.
פרי הסביר: "המערכת מבוססת על סנסור שיושב על נקודות הקצה לכניסה לארגון ו-'רצה' על כל אחד ממחשבי הארגון. הרכיב אוסף מידע עשיר על כל המודולים שיש כגון: תקשורת, פרוססים, זיכרון, נגיעות בקבצים וכו'… החידוש המשמעותי שלנו הוא בעובדה שכל זה נעשה ללא כתיבת דרייברים. אין מסכים כחולים (Blue screens) והמערכת עובדת ברקע בצורה ממש שקטה. המערכת 'תופסת' מגות בודדות של מידע ביום".
בסיום הפגישה פירט גיא באוזניי על חוויית הממשק, ששונה מאותה מערכת מתסכלת שחוויתי במחשבי המותקף: "הרעיון היה לייצר כלי שמציף את כל הבעיות שנוצרו, דיווח קצר שמתמצת את מה שהתרחש כך שניתן יהיה לעדכן את הממונים מעליך. למעשה, יצירת סיפור שלם של אבטחה ועדכון מה קורה תוך כדי במערכת, מה נוטרל, איך טופל. לתפיסתנו, הוויזואליה אינה פינוק אלא כלי עבודה שהמטרה שלו היא להפעיל שיקול דעת במה שחשוב ולבצע מחקר על האירוע".
ועדיין לא ברור מה חדש בפתרון.