"בעיית מנהלי האבטחה – איכות המתקפות, ולא רק הגידול בהיקפן"

"מנהלי אבטחת המידע בארגונים ניצבים מול שלל האיומים. זו בעיה שאיננה פשוטה כלל. מזה יותר משני עשורים גדל היקף האיומים. אלא שבעשור האחרון חל שינוי – יש שיפור מתמיד באיכות שלהם. המתקפות הפכו לממוקדות ויעילות יותר והבעיה היא האיכות שלהן, לא רק הכמות", כך אמר דיוויד גרו, מנהל הטכנולוגיות הראשי של FireEye לאזור אירופה.

גרו ביקר בארץ באחרונה. בראיון לאנשים ומחשבים הוא אמר כי "לצד האיומים המסורתיים, שרובם ידועים, יש איומים חדשים, ובראשם 'מככבות' כעת הכופרות. זאת, יחד עם מתקפות APT (איומים מתמשכים ומתקדמים), שהן מתוחכמות יותר, האקטיביזם, פשע מקוון, טרור קיברנטי ומתקפות בעולם ה-SCADA נגד מפעלים ותשתיות קריטיות".

"בגדול, האיומים מחולקים לשתי משפחות: איומי אבטחת מידע וסייבר שהרקע שלהם הוא גיאו-פוליטי וכאלה שקשורים לריגול תעשייתי", אמר גרו. "באופן טבעי, במדינה כמו ישראל, שנמצאת בסכסוך מדיני, יש יותר מתקפות מהסוג הראשון. אבל אל לנו לשכוח את הריגול התעשייתי. עבור ארגונים בשווייץ או בבלגיה, למשל, זוהי הבעיה המרכזית. בעשור החולף, הפשע המאורגן 'התבסס' בעולם הפשעים המקוונים. ארגונים אלה יעשו הכול כדי לגנוב מהם כסף, או מידע ששווה כסף".

כך, ציין, "באחרונה זיהינו ארגון שמניע הפעילות שלו כספי. כינינו אותו FIN10. הוא נודע בשל מתקפות הכור שהוא מבצע: יכולות הפריצה שלו לרשתות, גניבת מידע רגיש ודרישה לכופר תמורת אי פרסומו. עלות דרישת התשלומים עמדה על 100-150 ביטקוין (Bitcoin) – סכום שווה ערך למאות אלפי דולרים. חברי הכנופיה הסלימו את הפעילות נגד חלק מהארגונים שלא נענו לדרישת התשלום, הרסו מערכות IT של קווי מוצרים והדליפו מידע עסקי רגיש לעיתונאים. הפעילות של הקבוצה החלה ב-2013, אבל חבריה שברו שיאי יעילות ב-2016, בין השאר נגד מכרות ובתי קזינו בקנדה. מדובר בקבוצת האקרים שהיא מהחשובות, המשבשות והמאיימות בעולם".

איומים משולבים

"כמובן", ציין גרו, "יש הרבה מקרים שבהם שני סוגי האיומים משולבים. המתקפות נעשות על ידי מדינות, אבל המניע שלהן כספי. כך, בעבר מצאנו שיותר מ-20 סוכנויות ביון וצבא סיניות ביצעו למעלה מ-5,000 פריצות ברחבי העולם".

הוא הסביר כי הדבר מוביל לכך ש-"מנהלי האבטחה מוצאים עצמם מתמודדים מול כמה אתגרים במקביל: העלייה באיכות המתקפות, הגידול בהיקפן, 'שטח הפנים' שיש להגן עליו גדל – מובייל, ענן, וירטואליזציה – ועולם האינטרנט של הדברים. על מנהל האבטחה לערוך תעדוף של הנכסים שעליהם יש להגן, למפות את האיומים, ולברור בין איומים אמיתיים והתרעות שווא. הוא נדרש לברר מי התוקף, למה הוא תוקף, מתי וכיצד. עליו ליצור קונטקסט של התקיפה".

לדבריו, "היבט חשוב בפעילות הוא לשנות את המצב שבו מנהל האבטחה הוא מגיב – לכזה הנערך מראש. הגנת העתיד נסמכת על יכולת היערכות לצד מידע מודיעיני מוקדם. ארגונים נדרשים למודיעין בזמן אמת, כי הוא חלק מהותי באבטחת המידע והגנת הסייבר הארגוניות. כך הם יוכלו להגיב מהר יותר. עליהם לחדול מלרכוש עוד ועוד מוצרי אבטחה, ולהתמקד בבניית תוכנית אבטחה".

פלטפורמת מודיעין סייבר

"נדרשת גישה שונה מזו המוכרת לגילוי ולזיהוי איומים", אמר גרו. הוא ציין את Helix – פלטפורמת מודיעין הסייבר שהשיקה החברה. לדבריו, "היא מפשטת, משלבת ומתפעלת באופן אוטומטי את האבטחה בארגונים מכל גודל ובכל מגזר תעשייה. התפעול נעשה בחצר הלקוח או בענן. הפלטפורמה מאחדת את הנראות של נקודות הקצה עם הרשת, מוצרי אבטחה נוספים ודו"חות מודיעין לטובת יצירת תמונה אחת כוללת. המטרה היא להוריד באופן דרמטי את זמני התגובה, המאמץ והעלות של ההתמודדות עם קריאות השווא ממערכות ההגנה המסורתיות".

לסיכום אמר גרו כי "אתגר העל של מנהל האבטחה בארגון הוא לשלב את אבטחת המידע כמעין שכבה עסקית. עליו להפוך ממחסום לפעילות לכזה המאפשר עסקית, ורק אחר כך לעשות את הדברים הטכנולוגיים. ובכל מקרה, עליו לזכור שארגונו לעולם לא יהיה מאובטח במאת האחוזים".

הסניף המקומי

בראיון השתתף גם מאיר עמור, לשעבר מנכ"ל CA ישראל, שעומד בראש הסניף הישראלי של FireEye מאז סוף 2015. הוא ציין שיש לחברה בישראל עשרות לקוחות – ארגונים ממגזרי הביטחון, הממשלה וההיי-טק.

"כמי שנמצא הרבה שנים בתחום ועוקב מקרוב אחר מנהלי אבטחת מידע בארגונים, האתגרים העומדים בפניהם כיום גדולים משמעותית מבעבר", אמר עמור. "עליהם לתת מענה לגידול בכמות ובאיכות האיומים, לטפל באיומים במהירות ולענות למגמות המובייל והענן. עליהם לסייע לארגונים לצלוח את המהפכה הדיגיטלית".

הוא ציין ש-"בשל היכולות שלנו, אנחנו רלוונטיים מתמיד ללקוחות. הסניף הישראלי צמח השנה בפעילותו ויש לנו תוכניות להרחיב את הפעילות בישראל בשנה הקרובה. עד 2018 נכפיל את כמות הלקוחות בישראל".