"מנהלי האבטחה טובעים בים של רכיבי הגנת סייבר"

"מרבית רכיבי אבטחת הסייבר הפרוסים בארגונים לא 'יודעים' להתחבר האחד לשני, מה שיוצר בעיה אמיתית לארגונים, בניסיונם לבנות תמונת מצב אינטגרטיבית אודות איומי הסייבר והגנת הסייבר בארגון", כך אמר אריאל לבנון, ראש תחום סייבר ומודיעין בקבוצת מר.

בראיון לאנשים ומחשבים אמר לבנון כי "פעמים רבות אנו רואים בארגונים עשרות מוצרי הגנת סייבר המוטמעים, אלא שלמרות זאת – מנהלי אבטחת המידע בארגון נמצאים בבעיה: הם לא יודעים ברגע נתון מה קורה אצלם בארגון, הם לא יודעים במה לטפל קודם, הם לא מוצאים את המשאבים – זמן וכוח אדם – לעבור על כל הלוגים וההתראות. כך, הם מגיעים למצב בו הם טובעים ברעש שמייצרים רכיבי אבטחת הסייבר והם לא מצליחים להגן על הארגון בצורה אפקטיבית מפני שלל האיומים הרובצים לפתחם".

לבנון הוא מהנדס בהכשרתו, יוצא יחידה 8200 ובעל ניסיון רב בתחומי סייבר ומודיעין, ומשמש בתפקידו מזה שנה וחצי. "אנחנו נותנים שירותי סייבר למגוון לקוחות ברחבי העולם", אמר, "ומדגישים בפניהם את הצורך באיסוף מודיעיני נרחב על מנת לדעת מהם האיומים. את המידע החיצוני אנו לומדים בדארקנט ובמקומות נוספים. כמו כן, אנו בודקים האם ישנן כוונות ספציפיות לפגוע בארגון, ובאיזה אופן. יש לדעת מה קורה מחוץ לארגון".

בצד השני, אמר לבנון, "יש להבין מה קורה בתוך הארגון. יש לבחון עם אילו טכנולוגיות יש להגן עליו – ועל מה נדרש להגן. נדרש לנתח לעומק את מצב אבטחת הסייבר הארגוני, מהן ההתראות שצריך לטפל בהן, מה מידת התראות השווא. יש לתעדף את סדר הטיפול באירועים בצורה כוללת". על בסיס שני המימדים הללו, ציין, "מבינים ובונים את תמונת המצב של איומי הסייבר של הארגון, וכיצד נכון לפעול לטובת אבטחת סייבר אפקטיבית בכל רגע נתון".

לטבוע ברעש ההתראות על איומים

לקבוצת מר, ציין, "יש צוות של מומחי סייבר, שבאמצעות טכנולוגיות ייחודיות אוספים מידע מהדארקנט ומהאינטרנט הגלוי, כולל הרשתות החברתיות, ומעבירים אותו לאנליסטים שלנו, לשם ניתוח והסקת מסקנות. חלק גדול מהאנשים מגיע מקהיליית המודיעין. הצוות מספק מודיעין סייבר שמאפשר התמודדות אפקטיבית עם האיומים הדינמיים שבמרחב הסייבר. הוא מעדכן את הלקוחות בטכנולוגיות חדשות ובהתראות קונקרטיות, כדי שידעו שהם מטרה או הותקפו ויוכלו להגן על עצמם היטב".

לפיכך, הסביר לבנון, "אנו מציעים לארגונים לדעת על בסיס המודיעין מבחוץ, להתמקד באיומים הנוכחיים עליהם. ובנוסף, בתוך הארגון – לדעת לייצר תמונת מצב אינטגרטיבית, שתאפשר למנהלי האבטחה ולמקבלי ההחלטות לבצע את הצעדים הנכונים לשיפור רמת האבטחה".

לדבריו, "אנו מזהים תופעה אצל הרבה לקוחות, בה הם מוותרים על רכיבי אבטחה שכבר הטמיעו – על מנת להתמקד במספר רכיבים קטן יותר, בצורה יותר אפקטיבית. בממוצע, בארגון גדול אנו מונים כ-50 רכיבי אבטחת סייבר, המגיעים מכ-30 ספקים שונים. ארגון נדרש לדעת להתאים פתרון סייבר אינטגרטיבי ואפקטיבי לבעיותיו. ישנם ארגונים להם אנו ממליצים להוסיף רכיבי הגנה, ויש כאלה שאנו ממליצים לצמצם את מספרם".

הקבוצה בראשות לבנון מונה עשרות עובדים, ופעילותה מתמקדת בשוק הגלובלי. "ארגונים המאמצים מוקדים של טכנולוגיות סייבר", אמר, "בעיקר ממגזרי הפיננסים והטלקום – נמצאים בבעיה כי הם חייבים לדעת להתמקד באיומים האמיתיים – אחרת הם יטבעו ברעש ההתראות על איומים".

"מחסור עצום בכוח אדם"

"תחום מקצועני הסייבר נמצא בצמיחה מתמדת, בשל פער עצום ומחסור של כוח אדם", ציין לבנון. "לכן ארגונים מבקשים מאיתנו להכשיר כוח אדם מקומי וגם שנסייע בעצמנו. בעולם יש מחסור עצום בתחום, והמספרים שמדברים עליהם נעים בין מיליון ל-2 מיליון".

"לקוחות ארגוניים רוצים להכשיר עשרות אנשים – לאתמול. בנינו תכנית הכשרה רב-שלבית, המשלבת חלק תיאורטי עם חלקים מעשיים. זאת, לצד יצירת מרווחי זמן בין שלב לשלב על מנת שיהיה זמן לעיכול חומרי הלמידה, לצבירת ידע וניסיון".

צוות המודיעין והסייבר בקבוצת מר עקב בטרם הבחירות לנשיאות ארצות הברית בדארקנט אחרי ההאקרים תומכי שני הצדדים והפעילות שלהם. "האקרים רבים שמחו על ניצחונו של דונלד טראמפ", אמר. "קבוצתם הייתה פעילה ומסודרת הרבה יותר משל תומכי הילרי קלינטון".

לדבריו, "הם הביעו רצון – וגם הצליחו – לפגוע בקמפיין של קלינטון באמצעות פריצה לכתובות מייל והדלפה מתמשכת של מיילים, שחלקם הוביל לפתיחה המחודשת – ומאוחר יותר לסגירת – חקירת ה-FBI; הפלת האתר; והפצת שמועות פיקטיביות ברשתות החברתיות, בעיקר בטוויטר (Twitter), עם חשבונות פיקטיביים".

לדבריו, "פעילות הסייבר שבוצעה בבחירות לנשיאות ארצות הברית, הראתה עד כמה האבטחה היא לא רק דבר שמעניין בנקים, חברות ביטוח וארגונים גדולים בתחומים שונים, אלא משפיע על פוליטיקה של מדינה – ובמקרה הזה מהמפותחות בעולם בסייבר".

"ישנה חשיבות רבה למודיעין הסייבר", סיכם לבנון. "התחום הזה יתפוס נפח יותר משמעותי, מתוך הבנה של ארגונים שכדי למנוע מתקפת סייבר צריך מודיעין איכותי ואפקטיבי. אימוץ הגנת הסייבר הוא תהליך מתגלגל ונדרש להיות עדכני, דינאמי ואפקטיבי".