מהי גישת "מהעריסה עד הקבר" באבטחת סייבר?

ראיון מרתק שקיימתי היום (ג') בכנס Discover 2024 של HPE, שנערך בברצלונה, עם סיימון ליץ', מנהל מרכז המצוינות לאבטחת הסייבר הפנימית בחברה, חושף את עולמו של מומחה אבטחה בחברת טכנולוגיה ענקית. ליץ' שיתף בתובנותיו לגבי האתגרים וההזדמנויות בתחום אבטחת הסייבר, תוך התמקדות בשרשרת האספקה ​​ובתפקיד שהולכת ומקבלת הבינה המלאכותית בעולם האבטחה.

לדבריו, מאז שהצטרף לשורות HPE לפני כשנתיים חל שינוי עצום בתחום, והוא הולך ומשתדרג, לצד העובדה שסיכוני האבטחה הולכים ומתעצמים גם הם.

לשמור על שרשרת אספקה – "כמו להכין ארוחה"

בראיון הדגיש ליץ' את הקריטיות של אבטחת שרשרת האספקה: "אבטחתה ​​היא מאוד חשובה, את זה כבר יודעים. חשוב ללקוחות לדעת ש-HPE שמה דגש ללא פשרות על האבטחה, וזה חשוב במיוחד כרגע, בהקשר של הרגולציה הקפדנית שנכנסת לתוקף ברחבי האיחוד האירופי וגם במקומות אחרים".

הוא הסביר ש-HPE נוקטת בגישה הוליסטית לאבטחה, מה שכינה "מהעריסה עד הקבר (Cradle to grave)", שמבטיחה שכל הרכיבים מגיעים מספקים מהימנים ושיש בקרות אבטחה בתוך המפעלים. "אנחנו בודקים כל שלב במחזור החיים של שרשרת האספקה, ​​כדי שנדע, למשל, שכל הרכיבים שאנחנו רוכשים מגיעים מצדדים שלישיים מהימנים, ונוודא שאין לנו רכיבים משוק אפור שאנחנו משתמשים בהם כשאנחנו בונים את השרתים", אמר.

ליץ' הדגיש את החשיבות של שקיפות ו-ודאות לגבי מקור הרכיבים: "זה כמו כשאתם מכינים ארוחה. כשאתם מבשלים ארוחה, אתם רוצים לוודא שכל מרכיב טרי ובטוח – וכך בדיוק צריך לבדוק את כל הרכיבים בשרת".

לדבריו, HPE פועלת לעמידה בתקנות מחמירות לאבטחת שרשרת האספקה, למשל בתקנות האירופיות, שכוללות דרישות ספציפיות לנושא. "אבטחת שרשרת האספקה הופכת להיות רלוונטית יותר ויותר, בין היתר מאחר שבתקנות כמו EU DORA ו-EU NIST 2 של האיחוד האירופי יש דרישה ספציפית לנושא", הסביר.

ככלל, בענקית המחשוב עושים מאמצים גדולים כדי לספק ללקוחות האנטרפרייז של החברה שירות שמבוסס על עבודה עם חברות צד ג' מקומיות, שמודעות היטב לכלל הניואנסים והדרישות של כל אזור ואזור. זאת, במיוחד על מנת שכלום לא ייפול בין הכיסאות. בתחום האבטחה זה אפילו קריטי יותר, לדבריו, כי אי ציות לתקנות הרגולטוריות המקומיות, או כשלי אבטחה שמקורם באי הבנת צרכי האבטחה של הארגון הספציפי בהקשר האזורי, עלולים לשאת תוצאות קשות ואף לפגוע במוניטין של החברה.

בינה מלאכותית – כלי רב עוצמה גם לאבטחת הסייבר

לפי ליץ', ב-HPE הולכים ומעמיקים את ההיעזרות בבינה מלאכותית גם לצורכי אבטחת החברה עצמה ומוצריה. הוא התייחס בראיון בהרחבה לאיזון העדין שבין הסיכונים לתגמולים שנובעים משימוש בבינה מלאכותית באבטחת סייבר: "יש ב-AI ערך רב, מנקודת מבט עסקית, אבל היא גם מכניסה סיכון לארגון".

לפיכך, הדגיש, חשוב שיהיה שימוש אחראי בכלי המתקדם הזה – הן בצריכה והן בפיתוח, תוך שימת דגש על תחום האבטחה. "כשמדברים על זה עם לקוחות, וגם עם קולגות", אמר ליץ', "אני תמיד לוקח את זה בגישה משולשת – צריכים לוודא שאנחנו צורכים AI בצורה מאובטחת, שאנחנו בונים AI בצורה מאובטחת ושנראה איך הבינה המלאכותית יכולה לשמש אותנו ככלי עזר לאבטחת הסייבר שלנו".

לדבריו, הבינה המלאכותית יכולה לשפר משמעותית את יעילותם של אנליסטים במרכזי SOC, למשל. ליץ' הדגיש כי "ה-AI יכולה לעזור להם, כי הם מתעייפים. הם כל הזמן מסתכלים על מסכים ורואים התרעות צצות. הבינה המלאכותית יכולה לעזור בדיוק כאן, למשל להתחיל בלהשוות את מה שאנחנו רואים עכשיו עם מה שראינו בעבר. זה עשוי להוסיף הקשר נוסף להתרעות". הוא ציין שגם המהירות של הבינה המלאכותית באספקת התובנות קריטית בתחום כל כך רגיש.

עם זאת, ליץ' הדגיש באופן חד משמעי שה-AI אינה תחליף לבני אדם, אלא כלי שנועד לשפר את עבודתם: "אנשים לא יאבדו את העבודה שלכם לבינה המלאכותית", הצהיר, "אבל הם עלולים לאבד את מקום עבודתם למישהו אחר, בן אנוש שיודע איך להשתמש ב-AI. זאת אחת הדאגות המובילות של האנושות בהקשר של הטכנולוגיה המתקדמת הזו, ויש להתייחס לכך".

הזיות AI: "חשוב להיות עם האצבע על הדופק"

בהתייחסו לתופעה של הזיות ה-AI, ולשאלתי האם בתחום האבטחה הן לא מהוות מקור לסיכונים משמעותיים, ליץ' הסביר שהן נובעות מחוסר הקשר. "הזיות זה הכול בעניין ההקשר הנכון למידע… ושקיפות", אמר.

ליץ' הדגיש את הצורך באימון מדויק של מודלי הבינה המלאכותית עם נתונים רלוונטיים, כמו גם בפיקוח אנושי על תוצאותיהם. "צריכים להיות מאוד ספציפיים לגבי מה רוצים שהמודל יבין ולגבי תהליך הלמידה של המודל", הוסיף.

עוד דבר שליץ' הדגיש את חשיבותו בהקשר של הבינה המלאכותית הוא "האדם בלולאה" (Human in the loop): "זה חוזר למה שאמרתי – ה-AI לא תחליף את העובדים, ועליהם לדעת לתפעל אותה היטב".

הוא סבור שחשוב להבין את תוצאות והתוצרים של פעולת הבינה המלאכותית ולפרש אותם נכון: "זה להיות מסוגל להבין ולהסיק מהתוצאות האלה. לשם כך צריך להיות בן אנוש".

ההבחנות של ליץ', המבוססות על ניסיונו הרב, מספקות תובנות חשובות לגבי האתגרים וההזדמנויות העומדים כיום בפני אנשי מקצוע בתחום האבטחה. בשיחה עם ליץ' נחשפה המורכבות של אבטחת סייבר בעולם הטכנולוגיה המתקדם העכשווי, כמו, למשל, סוגיית הקריטיות של אבטחת שרשרת האספקה, או כיצד ה-AI מסייעת ועוד תסייע בתחום באופן מהותי. עם זאת, הוא הרגיע והבטיח שלא כל ה-"ביצים" יהיו בסל שלה, ושפיקוח אנושי מתמיד עליה יידרש גם בשנים הבאות, וכנראה לעד.