פאול מ', מנהל האבטחה של רפאל: "ההגנה המסורתית הפסידה"

"ההגנה המסורתית הפסידה. אי אפשר להגן על נכסי המידע בארגון עם פרדיגמות בנות 15 שנים", כך אמר פאול מ', ממונה ביטחון מערכות המידע והגנת הסייבר ביחידת ה-IT של רפאל.

פאול דיבר במפגש של C3, פורום המנמ"רים והמנכ"לים מבית אנשים ומחשבים, שנערך ב-yes Planet בראשון לציון בהנחיית פלי הנמר, יזם ומנהיג אנשים ומחשבים.

לדברי פאול, "לפני עשור הופיעו מרכזי ניהול אירועי אבטחת מידע (SIEM) החלה נראות חלקית מבוססת חוקים לוגיים וההגנה הייתה מבוססת מניעה, אולם זה לא מספיק". "לפני חמש שנים", ציין, "חל שינוי במגמת האיומים, שהפכו למתוחכמים יותר. מערכות ההגנה הפכו חדירות יותר, דרך שימוש בהנדסה חברתית והתחמקות מגילוי של מערכות האנטי וירוס. עולם המתקפות הממוקדות והמתקדמות (APT) החליף את הסוסים הטרויאניים. יש איומים 'רדומים' המתעוררים ועושים נזקים שמתגלים רק בחלוף זמן, מאוחר מדי. היה לארגונים קושי לזהות שהם תחת מתקפה. הופיעו היבטי ניטור ומניעה".

"בימינו מופיעים ניצנים של מרכזי ניהול לוחמת סייבר, שתפקידם למנוע אירועים קיברנטיים. האירועים הללו מנוהלים ומתוכללים, ויש ניצני הגנה מונחית מודיעין סייבר", הוסיף.

פאול אמר כי "יש צורך בקורלציות מתקדמות, בחקירה פרו-אקטיבית, ביכולת תחקור על פני ציר הזמן, בחקירת התקשורת הארגונית, שמטבעה היא נדיפה. צריך להוסיף להיבטי הניטור והמניעה את מימדי החיקור הפלילי (פורנזי) ואת התגובתיות".

לדבריו, השינוי באיומים הוא רב מימדי: "חלה עלייה בכמות מתקפות הסייבר ובתחכומן; כלי ההגנה ושיטות ההתמודדות כבר לא מהווים אתגר מול התוקפים; קשה לזהות תקיפה מוצלחת; והתקיפות מורכבות, מסובכות ובעלות פוטנציאל של נזק רב".

"ארגונים שמבינים את הבעיה חייבים להיערך בצורה שונה לשדה הקרב החדש. עליהם להצטייד בכלים חדשים, במתודולוגיה ונהלי עבודה, ובמחקר – על מנת להגן על נכסי המידע שלהם", הוסיף.

"אחת הבעיות של מנהלי האבטחה: תחושת ביטחון מזויפת"

פאול אמר כי "אחת הבעיות הגדולות של מנהלי אבטחה בארגונים היא תחושת הביטחון המזויפת, שנובעת מהצפת הארגון במוצרים ובכלי הגנה. ללא אנשים, טכנולוגיות לא שוות הרבה, גם אם הן מעולות". הוא ציין כי בניגוד לאנשי האבטחה בכלל הארגונים, שהם מתכנתים לשעבר, אנשי הבמ"מ (ר"ת ביטחון מערכות מידע) ברפאל הם מהנדסים "שלוקחים את הידע ההנדסי ומנתבים אותו להגנה".

הוא ערך אנלוגיה בין האבטחה הפיזית לזו הקיברנטית. "מדובר באותם סוגי הגנה", אמר. "לאחר התקנת הסורגים ודלתות הפלדה הגיעו חיישני התנועה, מערכות האזעקה ומערכות ניהול האירועים. אז הגיעו המצלמות בתוך ומחוץ לבתים, לחצני המצוקה והשארת כסף מזויף, להסחת הדעת של הפורצים. יש להתייחס לכל המימדים האלה בהגנת הסייבר, לבצע תחקור של העבר תוך התייחסות לתקשורת הנדיפה, הנחת עבודה שהפורץ כבר בפנים, הבנת וקטור התקיפה, חיזוי כוונות התוקף, התמודדות עם כמות מידע ממקורות ופורמטים שונים, ויכולת להכיל את האירוע בצורה אפקטיבית, בלי להשבית את הארגון. זאת, תוך קבלת תמונה מלאה על המתקפה".

פאול סיכם בציינו כי "נדרש שינוי בתפיסת האבטחה. יש ליצור הגנה פרו-אקטיבית, לקבל תמונת מצב מגובה במודיעין סייבר וליצור סינרגיה רב תחומית. זו כוללת תגובה אפקטיבית, איכות אנליסטית, התמחויות חדשות, חיקור פלילי דיגיטלי, ניתוח נוזקות ועבודה בעולם הקוד הפתוח. כך נייצר סינרגיה ותזמור שלם, שיממשו את שכבות ההגנה השונות והווקטורים השונים של התקיפה".