"כל ארגון חשוב בישראל צריך לצאת מהנחה שאיראן תוקפת אותו"

"חל טשטוש בין רעים בסייבר, הפועלים בחסות מדינה, ו'סתם' האקרים, שהמניע שלהם כספי. אין יותר דבר כזה שחקן איום של מדינה. ברוסיה, וגם בסין – לתוקפים האזרחיים יש גישה לאותן טכנולוגיות תקיפה שיש לשחקני איום מדינתיים, ולא ניתן להפריד ביניהם. כל ארגון חשוב או גדול בישראל – צריך לצאת מההנחה שלפיה איראן תוקפת או מנסה לתקוף אותו, ואם היא מספיק תרצה – היא תצליח", כך אמר ניר צוק, המייסד וה-CTO של פאלו אלטו (Palo Alto Networks).

צוק דיבר היום (ג'), בכנס השנתי לספקי התקשורת שערכה אואזיס. הכנס, בהפקת אנשים ומחשבים, נערך ברעננה.  

"שוק הסייבר משתנה, שוב, מקצה לקצה, ויש לנו חלק חשוב בכך", אמר צוק. "הגענו למצב בו אין לנו כל דרך למנוע מהתוקפים לחדור לארגון. מי שמספר לכם משהו אחר – טועה או מטעה. השאלה היא מה נדרש לעשות כשתוקף ינסה לחדור אלף פעם, ואז גם יצליח. לכן, יש להשקיע בצמצום משך השהות של הרעים ברשת הארגון ובהאצת התגובה והחזרה לשגרה".

"בתוך שנים ספורות", העריך צוק, "שוק הסייבר יהיה גמור. לא יהיו עוד חברות אבטחה כמו שאנו מכירים כיום. מי שישרדו יהיו חברות אבטחה שהמרכיב המרכזי שלהן הוא בינה מלאכותית, ולצידה, יכולות אבטחה שונות".

משפיעה מהותית גם על שוק אבטחת הסייבר. ה-AI. צילום: Shutterstock

"בשל השינויים בעולם הטק וריבוי ספקיות האבטחה – פלטפורמה היא הכרח"

לדברי צוק, "השינוי שהשוק עובר משתקף בנתונים של פאלו אלטו. שווי השוק שלנו עומד על קרוב ל-120 מיליארד דולר – נתון המשקף את השווי של 15 החברות הגדולות בבורסת תל אביב. החברה גדולה פי שלושה מכל חברות הסייבר בישראל. גישת הפלטפורמה שאנו מובילים, ניתנת לשימוש בשתי דרכים, לעמוד לבד, או כל יתרונות הפלטפורמה במקום אחד, עם אופציות לתוספות. בגישה זו, התפעול קל יותר והעלות הכוללת זולה יותר. יש 'מוח' אחד ולא עשרה מקבלי החלטות שונים של ספקיות אבטחה שונות".

"עד לא מזמן", אמר, "המעבר לפלטפורמה היה סוג של מותרות, אולם כיום, בשל השינויים המואצים בעולם הטכנולוגי, וריבוי ספקיות האבטחה – פלטפורמה היא הכרח. לפני עשור שנים מעבר שכזה היווה הוצאה עצומה שארכה זמן. כיום, ההאקרים מפתחים נוזקה עם שינויי גרסה ועושים זאת בקלות טכנולוגית. כיום ניתן לפתח גרסה חדשה לנוזקה על בסיס GPT או מודל LLM כלשהו, בעשר דקות – ולא ניתן יהיה לגלות אותה, כי אין לה אותה חתימה. גם מייל פישינג מותאם אישית קל יותר לשלוח. לכן, גם תוקף לא נחוש שרוצה לחדור – יצליח".

"נדרש שינוי תפישתי אצל מנהלי אבטחת המידע והגנת הסייבר בארגונים", קבע צוק, "מהשקעה במניעת חדירה לתוך ארגון – לעבור לעבודה תוך הנחה שהרעים כבר נכנסו – וכעת נזהה ונעצור אותם. כלל המתקפות הגדולות שהתפרסמו – היו לאחר שהרעים כבר נכנסו".

"מערכי ה-SoC בעולם לא עושים עבודה טובה"

"כלל מערכי ה-SoC בעולם לא עושים עבודה טובה", ציין צוק. "זמן החדירה הממוצע של הרעים קבוע כבר זמן רב ועומד על ימים ושבועות ולעתים – חודשים. ולכך יש להוסיף את זמן התגובה לאחר הגילוי. המטרה היא לנצל זמן זה כדי לצמצם את זמן הזיהוי של החדירה – לדקות בודדות. לנו יש טכנולוגיה המאפשרת זאת. אלף מתוך 1,500 עובדי החברה בישראל עמלים על בניית יכולות זיהוי ממוצע לחדירה – שייארך דקה. בני אנוש לא יכולים לעשות זאת, זה נדמה ללמצוא מחט בערימת שחת. אף אדם לא יכול לאסוף ולנתח מיליוני פרטי מידע על אירוע סייבר בודד. כך, במתקפת סולארווינדס (SolarWinds), כבר באוקטובר 2019 זיהינו את המתקפה, הודענו לחברה – אך הם התעלמו מאתנו".

"ספלאנק וסימנטק 'מתו'"

"יש משמעויות חשובות לכיוון חדש זה בהגנת הסייבר", סיכם צוק. "זיהוי החדירה לארגון נעשה על בסיס התנהגות התוקפים וזיהוי שהיא חריגה – בלא קשר לטכניקת התקיפה שלהם, אותה הם לא יכולים להסתיר. 'על הדרך', אנו מזהים גם דברים שאיננו יודעים. קיים יחס הדוק בין הדאטה הנדרש להגנה, ובין המודלים המופעלים", אמר.

"ההיסטוריה מוכיחה את צדקתנו: ספלאנק 'מתה' כשנרכשה על ידי סיסקו, סימנטק 'מתה' בברודקום, ואילו יבמ מכרה לנו את עסקי ה-SEIM-SOC שלה. ספקי השירות יידרשו להתאים עצמם לעולם החדש, ומי שלא יעשה זאת, ימצא עצמו ניצב מול שוקת שבורה".