ד"ר יניב הראל, EMC: "סייבר הוא תחום שבו נדרש ללחום בלא נודע"

"אחד האתגרים המרכזיים בפניהם ניצב מנהל אבטחת המידע הארגוני הוא הצורך ללחום בלא נודע, כי אי אפשר להכיר מראש כל נוזקה ומתקפה", כך אמר ד"ר יניב הראל, מנכ"ל קבוצת פתרונות הסייבר של EMC.

הוא ציין בראיון לאנשים ומחשבים כי "בנקודת הזמן הנוכחית, מנהל אבטחת המידע פוגש טכנולוגיות רבות המוצעות לו וניצב מול הרבה איומים מסוגים שונים שתוקפים אותו".

יצוין כי ד"ר הראל מביא עימו ניסיון עשיר בנושא: הוא שימש במשך יותר משני עשורים בתפקידים שונים ביחידות הטכנולוגיות בצה"ל ובמערכת הביטחון. בין השאר, הוא הקים והוביל את גוף הסייבר במפא"ת במשרד הביטחון. נוסף לתפקידו ב-EMC משמש הראל כראש אסטרטגיית המחקר במרכז הסייבר של אוניברסיטת תל אביב (ICRC), גוף העל המרכז את כל פעילות מחקר הסייבר.

לדבריו, "התעשייה משתנה בדרכים רבות. בעבר, המחשבה בארגונים הייתה שצריך לייצר רשימה של פוגענים, כעת המחשבה היא הצורך לאפיין את הדרך שהארגונים עובדים בנושא, וכך יידעו אנשי האבטחה בארגון להתריע על דברים חריגים".

הראל ציין כי הוא מזהה ארבע מגמות בעולם אבטחת המידע והסייבר. "האחת היא מיכון: השקענו עשור באיסוף כל האותות, ההתראות והאירועים למרכז אחד, וכך נוצרה בעיה חדשה – אין סיכוי שמישהו ישב ויעבד את המידע. רק טכנולוגיות של Big Data ומיכון תוכלנה להכיל את כמות האירועים, כך שבקצה יהיה מישהו שיוכל לברור ולהחליט במה לטפל. מכונות לומדות 'יתרגמו' את האירועים וילמדו אותם, כדי לצמצם אותם ממיליון ל-100. מאותם 100 הם יבחרו את השבעה שמתוכם שלושה אירועים הם מתקפות אמת".

מגמה שנייה אותה ציין הראל "היא שיתוף המידע. מאוד לא יעיל שכל אחד נלחם נגד האיומים בעצמו. יש לפעול בסייבר כפי שפועלים בעמידה מול טרור, שם בנינו מנגנוני שילוב מידע. בסייבר, המדינה לא מעניקה לחברה בודדת הגנה, אלא מאחלת לך 'בהצלחה' ואתה הוא זה שצריך להגן על עצמך. כך, כל בנק מגן על עצמו ודרוש מנגנון שיתוף. אם חברות האבטחה ישתפו ביניהן פעולה, וכן גופים במגזרים השונים – רמת האבטחה תגבר. זו מגמה שכבר מתרחשת".

"מקורה של המגמה השלישית הוא במחשוב ענן", הוסיף. "לפני 20 שנים תם עידן המחשבים הגדולים וכיום אנחנו חוזרים לגישת 'המסופון הטיפש'. זהו אתגר בעולם הסייבר, משום שמעבירים את האחריות והסמכות לתחום אל מישהו מחברה אחרת – גוגל (Google), מיקרוסופט (Microsoft) או אמזון (Amazon)".

המגמה הרביעית, לפי הראל, היא "ללחום בבלתי נודע. בעבר התמודדנו מול מערך כלים ידוע, כמו וירוס בעל חתימה, או כלי תקיפה שניתן ללמוד עליו מבעוד מועד. כיום, בעידן המתקפות הממוקדות והיעד הספציפי – אי אפשר לסמוך שתהיה הכרה מראש של המתקפה או הנוזקה".

הדמיה, SOC והגנת סייבר בענן

קבוצת פתרונות הסייבר של EMC היא חלק ממרכז המצוינות (COE) שענקית תשתיות ניהול המידע מפעילה בישראל. "אנחנו עוסקים בשלושה שדות פעילות: הדמיה, SOC ו-CERT, והגנת סייבר בענן", אמר הראל.

הוא ציין ש-"פיתחנו תפיסה של הדמיה שמטפלת בלא ידוע. יש לזהות כלי תקיפה שטרם תקפו – אבל עלולים לתקוף, ולבחון כיצד התקיפה תשפיע על נגזרות שונות בארגון".

"שדה הפעילות השני הוא בהקמת SOC (ר"ת Security operations center) ו-CERT (ר"ת Computer/Cyber Emergency Response Team – צוות תגובות לאירועי מחשוב וסייבר בחירום). אנחנו שותפים להקמת ה-CERT הלאומי, שיפעל במטה הקיברנטי הלאומי, בניהול רפאל, שזכתה במכרז. בנוסף, נקים CERT עבור משרד התשתיות, המים האנרגיה. בשני הפרויקטים הללו יש אתגרים טכנולוגיים".

התחום השלישי, לדברי הראל, הוא "אבטחת מידע בענן, בדגש על אבטחה בענן פרטי. אנחנו נוגעים באזורים בארגונים שעורכים מעבר מהדטה סנטר המסורתי לארכיטקטורה של ענן פרטי. הקבוצה היא חלק מהפדרציה של EMC, המפתחת פתרונות סייבר המתבססים על מוצרי חברות הפדרציה – ומשולבים עם פתרונות שמפותחים בחברה שלנו". לדבריו, "מדובר בקבוצה גלובלית. EMC אמנם בחרה שהיא תמוקם בישראל, אבל המבט הוא גלובלי – ולא מקומי. הקבוצה יושבת בבאר שבע, אנחנו חלק מהמייסדים של הסייבר פארק".

"אנחנו ממוקמים במרכז הפיתוח של EMC בבאר שבע, המונה 150 עובדים ומהווה את האתר הגדול ביותר בפארק", סיכם הראל. "אנחנו רואים את הפעילות שלנו כערכית וחשובה לפעילות הסייבר ולעוצמה הנבנית בתחום בישראל".