בכיר ביבמ: "אסור למנהל האבטחה בארגון להרוג זבוב עם טיל"

"מנהל האבטחה בארגון ואנשי צוותו צריכים להתמקד באבטחת מידע והגנת הסייבר. אסור להם למצוא עצמם במצב של מעין אינטגרטורים, העסוקים כל היום בהטמעת מוצרי אבטחה, ובהגירת המידע ממערכת אחת לשניה. אם הם יעשו זאת זה יהיה בזבוז משאבים – כמו להרוג זבוב עם טיל", כך אמר ויג'אי דיפ, מנהל תכניות אבטחת מידע קוגנטיבית, חטיבת האבטחה, יבמ (IBM).

"האתגר המרכזי של מנהלי אבטחת מידע, באופן שחוצה ארגונים ממגזרי תעשייה שונים, ארצות, או גודל הארגון – הוא המחסור בכוח אדם מקצועי", אמר דיפ. "המחסור במשרות אבטחה היא מרכיב קריטי בפעילות, ומשפיע על עבודת מנהל האבטחה והצוות".

אתגר נוסף, ציין, "הוא ריבוי מוצרי אבטחת המידע. בארגון ממוצע יש עשרות מוצרים של ספקיות שונות ומנהלי האבטחה סובלים מכך ורוצים להפחית נתון זה. אסור שהם יהיו אינטגרטורים, עליהם להתמקד באבטחת מידע ולא בהעברת המידע ממערכת אחת לשניה".

בהיבט הטכנולוגי, אמר דיפ, "הכופרות היא בראש הדאגות של מנהלי האבטחה. מתקפות יום אפס תמיד יהיו. חלק מהנוזקות החדשות הן פשוט נוזקה ישנה עם תוספת של שורות קוד חדשות. ברגע שזיהית את ה'משפחה' של הנוזקה, על בסיס לימוד מתמשך – ניתן להתריע עליה ועל 'קרובותיה'. להכיר את הנוזקה זה חשוב, אבל הבנה של אופן התקיפה – חשובה הרבה יותר".

כמו להגן על עיר

על מנהלי האבטחה בארגונים, אמר דיפ, "לשנות את התיסה שהייתה מושרשת אצלם שנים רבות. עליהם לקחת צעד אחורה, ולבנות את אסטרטגיית האבטחה באופן מוכלל. אני מדמה את הגנת הסייבר להגנה על עיר: ימי הביניים עברו, אינך יכול לבנות חומה. לכן, קבע מהן התשתיות הקריטיות של העיר: הרמזורים ומאפיית הלחם".

"יש חמישה וקטורים: האפליקציות – מערכות הבריאות והבנקים; הנתונים; הרישות – התחבורה, הרמזורים והטלקום; המשתמשים, שהם התושבים ונכסי הארגון, המחשבים והשרתים, שמקבילים לבנייני העיר".

את אלה, אמר, "יש לתעדף לפי מידת חשיבותם לשרידות של העיר, אז צור מעגלי אבטחה לטובת הגנה לעומק, על בסיס פלטפורמת הגנה מרכזית. רק פלטפורמה אחודה אחת תענה על הפער שנוצר מטיפול בהרבה מוצרים והגנה על נכסים רבים. היא שתגן על כל נכסי הליבה".

לדברי דיפ, "הגישה של יבמ היא להצביע על הנקודות הדורשות אינטגרציה בין מערכות. מערכת החיסון שלנו משלבת בין האבטחות השונות: למובייל, לתחנות הקצה, למידע. היא מגשרת על הפער בין הקיים לרצוי, עם נראות, בקרה, בניית תרחישים ותכנית תגובה. אירועי אבטחת המידע יקרו, אין ספק, השאלה כמה, מתי ואיפה. לכן נדרשת יותר מתודולוגיה מאשר כלי נשק הגנתיים. רק התעדוף יענה על המחסור במשאבים, ועל בסיסו ניתן לבנות הגנה מבוססת ניהול סיכונים".

שילוב של בינה מלאכותית בסייבר

"השילוב של בינה מלאכותית והגנת סייבר הוא מרתק", אמר דיפ, המוביל את תחום אבטחת המידע הקוגנטיבית ביחידת האבטחה של הענק הכחול. "פיתחנו, בראשונה, מרכז תפעול אבטחה, SOC, המנצל את יתרונות ווטסון (Watson) לעולם זה. הוא מאגד את הידע בתחום, לרבות מידע על איומים הקיים באופן בלתי מובנה – בבלוגים, באתרים וברשת".

"יתירה מזו, הוא מזרים תובנות חדשות, הנוצרות מהקשרים ומיחסים נסתרים בין אירועים ופרטי מידע. יש לו יכולות לימוד בזמן אמת, עם שילוב בין יכולות ניתוח ויכולות קוגנטיביות. כך, מתקבלות תובנות המסייעות למנהלי האבטחה להגיב לאיומים במהירות. אם נזרים לווטסון את מה שהעובדים עושים – נכפיל לכאורה את כמות העובדים. ווטסון יביא חוות דעת של רופא מומחה, וכך ישפר את זמן התגובה של צוות האבטחה ואת רמת ההגנה".

"IBM Watson for Cybersecurity", הסביר, "עושה שימוש בטכנולוגיות חכמות, דוגמת למידת מכונה ועיבוד שפה טבעית – המסייעות למומחי האבטחה לקבל החלטות טובות יותר ומהירות יותר, על בסיס כמויות גדולות במיוחד של נתונים: מאמרים מקצועיים, בלוגים, לוגים הנרשמים ברחבי הארגון, איומים המתגלים ברשת ועוד".

"אנו מאמינים שיש הרבה ידע בתחום האבטחה שאנשים משתפים – והמכונות לא מנצלות אותו. אבטחת מידע קוגנטיבית היא חלק מהאבטחה, המכונה לומדת את שפת האבטחה, ובונה בסיס ידע לטובת טיפול מוכלל וחכם באירועי האבטחה: מה המניע לאיום, למה ההאקר תוקף, מהן סיבות השורש לאירוע".

"אנו רוצים לתת לאירוע הנמקה, לא הכרה. פחות חשוב לדעת אם האיום הוא נוזקה או דואר זבל – ויותר לבצע ניתוח מעמיק ומקיף מה קרה מזוויות שונות. תובנות כאלו גם יביאו להרחקה של התוקפים, כי הם יבינו שלא כדאי להם לתקוף אותנו. מדובר בתהליך למידה עקבי – ושלא נגמר".

"אני מצוי בקשר עם עובדי יבמ בישראל", אמר דיפ. "כלים רבים של יבמ בתחום האבטחה פותחו ומפותחים פה. יבמ ישראל משפיעה רבות על היצע המוצרים שלנו. בעת האחרונה, חוקרים רבים עוסקים בניתוח התנהגות משתמשים וביצירת בינה ומודיעין סייבר – במרכז למחקר הסייבר שלנו בבאר שבע. אנו מקיימים יחסים בתחום גם ברמת האקדמיה, ולומדים כיצד להעתיק את הפורמט שבישראל – עם אקדמיות אחרות בעולם".

היגיינת אבטחה

מנהלי האבטחה, סיכם דיפ, "נדרשים לפעול בכמה רמות; האחד, שיתוף פעולה. שיתוף ידע הוא כלי הנשק הטוב ביותר נגד האיומים. השני, הפחתת המורכבות, כי המורכבות מביאה לאי-אבטחה. יש לצמצם מוצרים ולצמצם את התפעול. יש לחנך את המשתמשים לעבוד על בסיס מדיניות האבטחה הארגונית. רק כך ניתן להגיע ל'היגיינת אבטחה'. העובדה שתהיה 'נקי' יותר מהארגון הסמוך תרחיק את התוקפים ממך. הפוך לצייד איומים פרו-אקטיבי, וכך תצמצם את הסיכונים".