רועי זיסאפל, רדוור: "ההתקפות הופכות מורכבות יותר, תכופות יותר ומצליחות באחוזים גבוהים"

"איום אבטחת המידע וההגנה מפני הסייבר הולך ומתגבר. ההתקפות עצמן הולכות ונהיות מורכבות יותר, תכופות יותר והן מצליחות באחוזים גבוהים מבעבר. הדבר מאתגר את מודל האבטחה הארגוני הקיים כיום", כך אמר רועי זיסאפל, נשיא ומנכ"ל רדוור, בראיון בלעדי לאנשים ומחשבים.

"השאלה הגדולה", אמר זיסאפל, "היא איך למרות כל ההשקעות הגדולות באבטחת מידע ובהתגוננות מפני סייבר, המתקפות מצליחות. מתקפות הסייבר החדשות מייצרות קונפליקט בארגונים: הם מבצעים השקעות גדולות באבטחת המידע, ומנגד, אחוז גבוה יותר מבעבר מההתקפות מצליח".

לדבריו, הסיבה לכך היא כי "ההאקרים משתמשים בטכנולוגיות המדמות אותם למשתמשים חוקיים, כלקוח של בנק, צרכן של אתר רכישות מקוון, ועוד". בעבר, ציין, "ההשקעות הלכו להבחנה של תעבורה 'רעה' מול 'טובה', וההאקרים השכילו לנצל זאת על מנת להיראות כטובים". סיבה נוספת, ציין, "היא שארגוני IT נדרשים לעשות יותר עם פחות. יש יותר מיכון, אבל אין להם אנשים שכל ייעודם הוא להיות מוכנים לשעת תקיפה, כמו מכבי אש. אין להם מחלקת כיבוי אש פנימית".

"ההאקר יהיה מהיר יותר מתגובת הארגון למתקפה"

–    מהם אתגרי מנהל האבטחה הארגוני כיום?
"האתגר נמצא בשלוש רמות: כלים טכנולוגיים – שילוב בין טכנולוגיות שהתאימו לאתגרי אבטחת מידע מסורתיים, לצד אלו של עולם אבטחת המידע העדכני; אנשים – לרוב, אנשי אבטחת המידע בארגון מומחים בהקמה ותפעול של תשתיות טכנולוגיות, ופחות מיומנים באיתור ותגובה למתקפות בזמן אמת. רק למעט ארגונים יש חמ"ל סייבר המאויש 24 שעות, שמתמודד ישירות עם איתור וטיפול במתקפות בזמן אמת; תהליכים ארגוניים – התהליכים שארגון מבצע להקמת רשת מאובטחת מצד אחד, והמהירות בה נדרש ארגון לשנות ארכיטקטורות כדי להתאימן למתקפות בזמן אמת. התוקף יכול לשנות כל שעה את ההתקפות שלו עם כלים חדשים, ואילו בנק או ספק שירות עורכים שינוי מדי כמה שבועות. קצב השינוי לא תואם את קצב התוקף האג'ילי. ככלל, מהירות ההאקר תהיה גבוהה יותר מתגובת הארגון למתקפה".
–    מה לגבי מתקפות מניעת שירות מבוזרות, DDoS?
"זה תחום הפעילות המרכזי של רדוור. עדיין קיימת התפיסה שהתקפות מניעת שירות עוסקות בעיקר בהצפת תעבורה לאתרי אינטרנט. אלא שכיום, התקפות מניעת שירות כוללות מגוון רחב מאוד של מתקפות, המתמקדות על מניעת שירות ממשתמשים לגיטימיים בארגון, שמיועדות למנוע שירות של תשתיות מיחשוב, כולל מחשבים עצמם, עזרי תקשורת נלווים ועד רמת האפליקציה הארגונית, כגון ERP או CRM , שהן הליבה העסקית בארגון.

אחד המיתוסים המקובלים גורס שמתקפות מניעת שירות צריכות לייצר התקפה בקצבים גבוהים, אלא שזה כבר אינו המצב. תוקף פוטנציאלי יכול לייצר מתקפה בקצב נמוך מאוד, למצוא פרצה בנתב, לנתקו – וכך לנתק שירות אפליקטיבי קריטי לארגון. בנוסף, אנו רואים הרבה התקפות והרבה נפגעים בגלל הגידול בשימוש של ארגונים באירוח ובענן. המניעים של התוקפים ממשיכים להיות החל מפשע כלכלי, עבור באידיאולוגיה וכלה בהאקטיביזם. אנו רואים מגוון גדול של נפגעים, ארגונים מכל הגדלים והמגזרים".

–    מה ההבדל בין אבטחת סייבר ואבטחת מידע?
"אבטחת סייבר מתייחסת לתוקף שהוא חיצוני, החודר לארגון דרך הרשת. באבטחת מידע, התוקף יכול להיות גם פנימי, בין אם בזדון ובין שבשוגג".

–    מה המצב בישראל ?
"בשוק המקומי קיימת עלייה במודעות לסכנות ולאתגרים שאבטחת הסייבר ותחומי מניעת השירות מציבים בפני הארגונים. ועדיין, התחושה במגזר הארגוני בישראל היא של 'לי זה לא יקרה' ו'יהיה בסדר'. עדיין קיימת נאיביות בפירוש של האיומים, ובטח בהשוואה להשקעה של ארגונים בארה"ב ובאירופה. בארץ עדיין קיימת התחושה שניתוק האינטרנט, או חסימת תקשורת לפי מימד גיאוגרפי, יהוו פתרון למתקפות סייבר. אבל זה לא עומד במבחן המציאות, בה ארגונים הפכו גלובאליים וחייבים לעמוד בקשר עם העולם, ומנגד – שתוקף סייבר יכול לשבת בכל מקום בעולם ולבצע את התקיפה מתוך מחשבים עליהם הוא השתלט מרחוק בישראל. כך, החסימה הגיאוגרפית לא תשיג את מטרתה, אלא רק תפריע לארגון וללקוחותיו".

"מטריה אווירית" למניעת הצפה בתעבורה בדטה סנטר

"אנו מתמקדים בזמינות המידע, שהדטה סנטר ימשיך להיות 'למעלה'. בתחום ההגנה על מרכזי מיחשוב מפני מתקפות סייבר – אנו מובילים עולמיים", אמר זיסאפל, "לקוחותינו באים מתחומי הבנקאות, פיננסים, טלקום, אינטרנט, היי-טק, ועוד. 12 מ-20 הבנקים המסחריים הגדולים בעולם נמנים על לקוחות רדוור, וכך גם 7 מ-12 הבורסות הגדולות בעולם. הפתרון שלנו,
– Attack Mitigation System –כולל הגנה בכניסה לדטה סנטר, כולל כל האיומים הרשתיים, כלים אפליקטיביים לאיתור וסיכול חדירות לאפליקציה, ולצד זה שירות ענן – שמספק 'מטריה אווירית' של 500 טרה למניעת ההצפה של הדטה סנטר בתעבורה זדונית. הפתרון כולל ומקיף, מהרמה של הדטה סנטר ועד לענן. בנוסף, אנו מפעילים חמ"ל סייבר סביב השעון, שמנהל את ההגנה של הלקוח בזמן אמת, מזהה את התקיפה, את סוג המתקפה, רואה את התמונה הכוללת של האיום ומגיב בזמן אמת למתקפה".

–    לסיום, מהו המענה שמנהל האבטחה נדרש לו לאיומים על זמינות השירות?
"הארגון נדרש לייצר אסטרטגיה ותפיסת הגנה כוללת. לא מספיק להטמיע סדרת פתרונות שלכאורה עונים לכל איום בנפרד, אלא הפתרונות צריכים להיות משולבים ולספק לארגון פתרון מערכתי וכולל לאתגרים. האסטרטגיה צריכה לכלול שלושה רכיבים: הגנה על האפליקציה, הגנה על הרשת ומניעת חסימת הגישה לקווי התקשורת הארגוניים. צריך לתת מענה למתקפה משולבת ודינמית. אנשי אבטחת המידע צריכים לראות במקום אחד את כל המתקפות, ולספק להן תגובה בזמן אמת. נדרשת אסטרטגיה מערכתית, כי התוקף מפעיל
Multi-Vector Attack, משמע מגוון כלי התקפה, בו זמנית".