מדוע מודיעין סייבר וכלי אבטחת מידע דומים למסמר ופטיש?

כתב: דורי פישר, סמנכ"ל פתרונות מודיעין ב-SenseCy

אבטחת מידע (כיום סייבר) מקבלת דחיפה משמעותית בשנים האחרונות, ועם הדחיפה יש צורך להמציא ולהגדיר מחדש מושגים שכבר נחשבו ברורים, או לחלופין – נושאים שטרם טופלו. אחד המושגים הללו נקרא באנגלית Cyber Threat Intelligence, או בקיצור CTI.

בסקר השוק של גרטנר (Gartner) שהופיע באוקטובר 2014 (מזהה מסמך G00259127) הופיעו 27 חברות תחת הקטגוריה של CTI, ביניהן שתי חברות ישראליות שונות מאוד – צ'ק פוינט (Check point), שמוכרת מעולם חומות האש, וסנסיי (SenseCy), מעולם המודיעין.

קטגוריות שוק חד ממדיות לא יכולות לבטא עשייה ספציפית של חברות שונות. כלומר, המונח CTI, כמו המונח DLP – מניעת זליגת מידע – וכמו מונחים רבים אחרים, ממומש בדרכים שונות ומבטא צרכים שונים. לעתים, בריבוי המלל המיוצר על ידי אנשי השיווק המיומנים, מילים מאבדות את משמעותן. אחד הפערים הגדולים שנוצר סביב המונח CTI הוא השימוש ב-"מודיעין" על מנת לבטא בעצם "מידע".

מהו מודיעין?

מודיעין, לפי הגדרות גופים שעוסקים במודיעין, כמו ה-FBI, הוא "מידע שנותח וזוקק כך שהינו בעל ערך לקובעי מדיניות בקבלת החלטות…".

גרטנר מגדירה מודיעין איומים (Threat Intelligence) כ-"ידע המבוסס על הוכחות הכולל הקשר, מנגנונים, מזהים, השלכות ועצה שניתן לממש (Actionable advise)".

הקו המשותף להגדרת מודיעין הינו שהוא מידע שנותח ליצירת ערך.

שלבי מודיעין סייבר

מודיעין סייבר, בדומה למודיעין קלאסי, מורכב ממספר תהליכים מרכזיים:

פיתוח מקורות – היכן מחפשים ואיך מגיעים לשם? לדוגמה: כיצד מתקבלים כחבר בקבוצה אינדונזית סגורה שעוסקת בסחר בכרטיסי אשראי.

איסוף – מה מחפשים וכיצד מאתרים מידע? למשל: שימוש בשפות שונות, בכלים אוטומטיים או ידניים וכיוצא בזה.

סינון וצבירה (אגרגציה) – סינון ויצירת קשרים בין פריטי מידע.

ניתוח – הבנה של המידע ושל ערכו.

מסקנה ותוצר – תובנות סביב המידע שנותח ואריזתו.

מחשבים הוכיחו את עצמם כיעילים באיסוף, צבירה ובסינון המידע. לעומתם, ביכולות של פיתוח מקורות איכותיים, ניתוח והסקת מסקנות, עדיין בני האדם מובילים, למרות הבטחות גדולות מהעולמות הטכנולוגיים (Analytics למיניהם).

מודיעין מול מידע

בהמשך לשלבי המודיעין, פעילות רבה שמוגדרת כיום כמודיעין (או CTI) היא בעצם איסוף מידע. דוגמאות לפעילויות כאלה יכולות להיות איסוף מידע ממלכודות דבש, שרתי תוקפים, האזנה לרשת, רשתות חברתיות או מרשתות אינטרנט שאינן זמינות בגוגל (Deep Web), או רשתות שדורשות תוכנות מיוחדות על מנת לגשת אליהן (Dark Web).

ללא איסוף המידע כאמור לא יהיה מודיעין, אך עצם האיסוף אינו הופך אותו למודיעין.

לדוגמה: ציטוט של קבוצה סגורה, שמתכוונת לתקוף בנק מסוים ביום כיפור, הוא מידע חשוב, אבל האופן בו יתקפו חבריה, הכלים שיעשו בהם שימוש, היכולת באמת לבצע את התקיפה והסבירות שהתקיפה אכן תתרחש זה מודיעין חשוב.

מודיעין סייבר כמסמר וכלי אבטחת מידע כפטיש

הפסיכולוג היהודי-אמריקני אברהם מאסלו מצוטט כאומר: "אם הכלי היחידי שיש לך הוא פטיש, סביר שתראה כל בעיה כמסמר".

בעולם העתיק, כשיהושע שלח מרגלים ליריחו, הכלים שלו נמצאו בעיקר בין אוזניו, ומכאן צורת המודיעין. כיום, בעולם הטכנולוגיה, כשיש לנו חומות אש, מערכי ניהול אבטחת מידע, מניעת זליגת מידע והגנה על עמדות קצה, לפעמים אנחנו מתבלבלים בין מודיעין למידע טכנולוגי שניתן להכניס למוצרים שקנינו (כתובות IP, חתימות וכיוצא בזה). אלא שהמידע הטכנולוגי הוא אופן ההצגה ולא המהות.

מודיעין איכותי ניתן לעתים לבטא גם במידע טכנולוגי, אך המבחן של מודיעין איכותי הוא היכולת לפעול בעקבות קבלתו, בין אם בעדכון הגדרת חומת האש ובין אם בעדכון האסטרטגיה או הטקטיקה בנושא מסוים.

מתעניינים באבטחת מידע וסייבר? הירשמו לכנס SecTech.