הודי זק, ורינט: "מה שעבד בהגנת הסייבר עד אתמול – לא יצליח מחר"
"נדרשת מערכת אינטגרטיבית ורחבה, שתדע להתמודד עם מתקפות APT", אמר זק, סמנכ''ל בכיר ומנהל יחידת הסייבר בחברה ● לדבריו, "ארגונים יפנימו שהם חייבים להתמודד עם איומים מתקדמים - גם כדי לשמור על נכסי המידע שלהם וגם כדי לשרוד"
"פרדיגמות ההתמודדות להגנת הסייבר שהיו בשימוש עד כה, שכללו אוסף גדול של כלים נקודתיים המחוברים באופן רופף, כבר לא עובדות כיום. נדרשת מערכת אינטגרטיבית ורחבה, שתדע להתמודד עם מתקפות מתקדמות ומתמשכות, APT", כך אמר הודי זק, סמנכ"ל בכיר ומנהל יחידת הסייבר ב-ורינט (Verint).
החברה מספקת מערכות ושירותים בתחום המודיעין היישומי (Actionable Intelligence). תחום זה, שמתמודד עם הגידול העצום בכמויות המידע, מזקק ומנתח אותו, ומספק למקבלי ההחלטות בארגונים את התובנות הנדרשות כדי לחזות, להגיב ולבצע פעולות בהתאם. היקף מכירותיה עמד ב-2014 על 1.25 מיליארד דולר. ורינט מונה 5,000 עובדים, מהם 1,200 בישראל. רוב העובדים שלה בארץ מועסקים בתחום המו"פ לאבטחה.
חטיבת אבטחת המידע היא אחת משלוש חטיבות ב-ורינט. היא עוסקת באיסוף מידע לטובת גופי ביון וגורמי אכיפה, בין היתר על ידי ביצוע מעקב דיגיטלי אחרי חשודים. בתוך החטיבה הלכה וצמחה בשנים האחרונות פעילות ההגנה בעולם הסייבר, בין השאר בשל רכישת תוכנת ההגנה של CyberVision – סטארט-אפ ישראלי שבראשו עמד בועז דולב, לשעבר מנהל ממשל זמין והעומד כיום בראש Clear Sky. גוף הסייבר ב-ורינט מתמקד בבניית פלטפורמה אחודה ורחבה לגילוי ולחקירה של מתקפות APT.
שלבי המבצע הצבאי במתקפה
זק ציין כי "מתקפות APT הפכו לנפוצות יותר בתקופה האחרונה. המגמה באה לידי ביטוי לא רק במתקפות המפורסמות, כגון אלה שחוו סוני (Sony) וטארגט (Target), אלא בשורה ארוכה של מתקפות שמבוצעות על ארגונים שונים. הן גורמות נזק רב יותר ממתקפות אחרות והמאפיין אותן הוא המיקוד. מדובר באירועים שמתוכננים ומבוצעים כמבצע צבאי לכל דבר, עם שלבים: איסוף מודיעין; תכנון נתיב החדירה והחדירה בפועל; יצירת תקשורת עם הנוזקה ו-'תדרוך' שלה על יעדי הריגול; שוטטות והתקדמות בתוך מערך ה-IT הארגוני שהותקף; וההתקפה – גניבת המידע או השבתת המערכות".
"מאפיין נוסף הוא משך הזמן הרב שלוקח עד שמתקפה מעין זו מתגלה: ארגונים עלולים להיות חשופים אליה משך 270 ימים לפני שהם יאתרו אותה", ציין.
לדבריו, "למרות ההשקעות המשמעותיות של ארגונים בהגנת סייבר, מתקפות סייבר מתקדמות מצליחות לגרום להם נזקים משמעותיים, בהיבטים הפיננסי, התפעולי והתדמיתי".
הוא הוסיף כי "הגישות הקיימות להגנה מפני המתקפות הללו סובלות מפערים מבניים: כלי הגילוי והחקירה הם נקודתיים ונפרדים וככאלה, הם מקשים על שיתוף מודיעיני והבנה מלאה של היקף המתקפה; יש ריבוי של התרעות, שיוצר 'רעש' ובכך מקשה על התמקדות בטיפול במתקפה הרלוונטית; ויש מיכון לא יעיל, מה שבא לידי ביטוי בזמן הרב שעובר מרגע הגילוי ועד בלימת המתקפה והטיפול בה".
זק ציין בהקשר זה כי ורינט השיקה באחרונה את "הדור הבא של המערכת להגנת סייבר, Verint Threat Protection System, שעושה שימוש במודיעין יישומי. הגידול במתקפות סייבר מתקדמות, מתמשכות וחשאיות, מצד קבוצות תקיפה ממומנות ומאורגנות היטב, למשל שלוחות של ממשלות, יוצר צורך בגישות חדשות לאבטחת הסייבר".
"המערכת שפיתחנו עונה על הפערים הקיימים כיום בשוק", הסביר זק. "היא מתבססת על ארכיטקטורה תלת-ממדית עם יכולת חשיבה קדימה. מדובר בפתרון פונקציונלי מקיף, עם הגנה ברשת, בנקודות הקצה וברמת האפליקציה. הפתרון כולל יכולות גילוי, תעדוף, חקירה והגנה – כולן משולבות מראש בפלטפורמה אחת. הוא מתייחס גם למימד הזמן: מתקפות סייבר מתקדמות יכולות להופיע במקומות רבים בו זמנית ולהשתרע על פני תקופת זמן ארוכה. המערכת תומכת ומגנה על הארגון בזמן אמת, ועורכת ניתוח במשך ולאחר האירוע".
"בשנה החולפת היקף המכירות שלנו בתחום הגנת הסייבר עמד על עשרות מיליוני דולרים", סיכם זק. "השנה אנחנו חוזים שנכפיל את הסכום הזה. ארגונים יפנימו שהם חייבים להתמודד עם איומים מתקדמים – גם כדי לשמור על נכסי המידע שלהם וגם כדי לשרוד".
כתבה מעוד מעניינת, רק מה, אין פה שום דבר חדש, נהפוכו, הסטטיסטיקה העכשיווית היא שלוקח לארגון בערך 204 ימים לזהות. יתרה מזו, טארגט היה לפני שנתיים והמתקפות הללו מתקיימות כבר לפחות שש שנים או יותר. האם הודי זק שכח את RSA ב2011? כל הכתבה זאת נראת כמו פיץ' מכירות עלוב, והפתרון זה המוצר שהם פיתחו.... צר לי לאכזב, אך הAPT תמיד יצליח לחדור לרשתות, השאלה היא האם יקח לארגון 270 יום לגלות או 27 יום.