כללי המשחק השתנו: טכנולוגיית הסייבר שמקדימה את התוקפים

כתב: שהם יריב.

קבוצת גטר ממשיכה לפתח את פעילויות אבטחת המידע שלה והחלה באחרונה לייצג בישראל את מורפיסק (Morphisec), שמספקת ללקוחותיה הגנה מפני איומים על נקודות קצה ושרתים, לרבות מתקפות הסייבר המתקדמות ביותר – ועושה זאת בצורה פרו-אקטיבית. בניגוד לחברות אחרות, שמתמקדות בתיקון הנזקים שלאחר המתקפה, מורפיסק מספקת גם פתרונות מניעה מפני המתקפות השונות, לרבות APT, כופרות, רוגלות מתקדמות ועוד חולות רעות שעושות כאבי ראש למנהלי האבטחה ולמנמ"רים.

טכנולוגיית הגנת הסייבר של מורפיסק, המוגנת בפטנט, מבוססת על MTD – הזזה רנדומלית של כל מידע שעשוי להוות מטרה לתקיפה, ועל ידי כך מניעת היכולת לממש את התקיפה. בכך מונעת מורפיסק איומים ומתקפות שטכנולוגיות אחרות לא יכולות למנוע.

לדברי מיכאל גורליק, סמנכ"ל הטכנולוגיות של מורפיסק וממקימי החברה, "שאלנו את עצמנו איך אנחנו משנים את כללי המשחק מול התוקפים, שעד שהקמנו את החברה תמיד היו צעד אחד לפני ההגנה. חברות אחרות מנסות להבין איך התוקפים מתנהגים לאחר המתקפות, ונמצאות צעד אחד מאחוריהם. אנחנו 'התקפיים' יותר, אימצנו את המתודות ההתקפיות לצרכי הגנה. גרמנו למטרות הפוטנציאליות של תוקפים בארגונים שונים להיות בלתי נראות, כך שהם לא יוכלו לזהות אותן. עצרנו ואנחנו עוצרים הרבה מתקפות, לרבות כאלה מאוד מתקדמות. אנחנו עוצרים מתקפות ידועות ולא ידועות כאחד".

הוא הוסיף כי "דרישת הבסיס מהמוצר הייתה היכולת למנוע התקפות מבלי להיעזר במידע מקדים. התוצאה הינה מוצר שעוצר תקיפות שעוברות תדיר את כל שאר שכבות ההגנה הארגוניות, ללא כל מידע – מה שהופך אותו לכלי נשק קטלני בעצירת מתקפות יו אפס (Zero Days), כיוון שהיכולת לעצור תקיפה ללא צורך במידע הופך כל מתקפה לסוג של Zero Day".

"יתרון נוסף של פעולה ללא מידע מקדים הוא בכך שהמערכת לא סורקת קבצים ולא מחפשת תוקפים, ולכן אינה צורכת משאבים יקרים. ואכן, כל איש IT שהשתמש במערכת מספר על זינוק מיידי בביצועי החומרה", אמר גורליק.

"כל פתרונות האבטחה הקיימים בשוק זנחו בשלושת העשורים האחרונים את הניסיון למנוע את התקיפה, כשבמקום מניעה כל התעשייה עוסקת בניסיונות לזהות את התקיפה. במידה שהזיהוי מהיר (בתוך פחות מדקה) יש סיכוי למניעה, אבל במידה שהוא איטי – יש אפס מניעה!", ציין. "מיותר לציין שבכל התקיפות המפורסמות הזיהוי היה איטי, או שלא היה בכלל".

שלושה סוגי מוצרים ושירותים מבית מורפיסק

משה סידון, מנהל המכירות לאזור EMEA במורפיסק, אמר כי "אנחנו מציעים שלושה סוגים של מוצרים ושירותים: האחד הוא Morphisec Guard, שמציע הגנה פרו-אקטיבית מלאה על נקודות קצה. הוא מחבר כל מחשב לשכבת ההגנה שלנו. במקום לשלם למוצר יקר, Morphisec Guard גם מעניק לארגון הגנה ממתקפות מתקדמות, וגם מאפשר ניצול מקסימלי של רכיבי ההגנה המובילים של מיקרוסופט שכבר מותקנים על המחשב, כחלק אינטגרלי ממערכת ההפעלה. כך הארגון מקבל הגנה מושלמת. מוצר זה משמש גם כשכבת הגנה מתקדמת לצד מוצרי הגנת קצה אחרים בארגונים שבונים את ארכיטקטורת ההגנה שלהם בשכבות מתמחות (Defence In Depth)".

"מוצר נוסף", ציין סידון, "הוא Keep – מוצר לשרתים, שיש לו שתי גרסאות – ל-Windows וללינוקס. הוא מציע שכבה מתקדמת נגד מתקפות מתקדמות, במיוחד כאלה שיושבות עמוק ברשת הארגונית והארגון לא מודע להן, כולל כופרות".

"כמו כן", אמר, "אנחנו נותנים שירותי IR – תגובה לאירועים. אנחנו פורסים את המוצר ומוכיחים ללקוח האם יש לו או הוא חווה כניסה של תוקפים לרשת שלו, ומציעים פתרון בהתאם. במקרים רבים, התוקפים 'יושבים' ברשת הארגונית מעל שמונה חודשים מבלי שהארגון מודע לכך".

גורליק אמר שהיתרון של שירות זה הוא שהארגון "לא צריך להשקיע בתגובה, לצאת מאירוע כופר ולהתחיל ללמוד את הרשת שלו מחדש – דבר שלעתים כואב יותר ממתקפת הכופר עצמה. אחרי מתקפת כופר לוקח לארגון בממוצע 21 יום לבנות רשת מחדש. אנחנו מצמצמים את זה לשבוע".

סידון ציין דוגמה לתקיפה שחווה לקוח של הארגון – וכיצד מורפיסק סייעה לו בהתמודדות אתה. "התוקף איים על הארגון שהוא יפרסם את המידע אם הוא לא ישלם לו כופר, ונתן דוגמיות", אמר. "לא היה ללקוח כל דבר מוצפן. בנוסף, לא היה לו את המוצר שלנו והוא שכר את שירות ה-IR שאנחנו מציעים. בפריסה של השירות גילינו שלוש דלתות אחוריות, כלומר – שהייתה אחיזה של יותר מתוקף אחד ברשת הארגונית. הדרכנו את אנשי הארגון איך לטפל בבעיה – והם עשו זאת".

"ראינו גם מתקפות יותר מתקדמות, כמו מתקפות על שרשרת האספקה, כניסה לתוכנות שנכנסים אליהן ביום יום, השתלטות על הפיתוח והכנסת קוד נוסף. המקרה האחרון והכי מעניין הוא החדירה שמיקרוסופט גילתה בתחילת מרץ – חולשה באקסצ'יינג'. במבט לאחור, גילינו את החולשה אצל לקוח שלנו עוד בינואר – לפני שמיקרוסופט פרסמה אודותיה".

גטר – מוצרים משלימים, כולל בעולמות אבטחת המידע

מורפיסק פועלת בעיקר בשוק האמריקני, אם כי גם באירופה ובאזור אסיה פסיפיק, והמוצר שלה כבר מותקן על גבי שמונה מיליון מחשבים ושרתים אצל מאות לקוחות – בעיקר ארגוני SMB, שלא יכולים להרשות לעצמם מנהל אבטחת מידע במשרה מלאה. כעת היא מכריזה על הכניסה לישראל – באמצעות גטר.

אור יצהר, מנהל חטיבת התקשורת בקבוצת גטר, אמר כי "בימים אלה אנחנו מפתחים את פעילות אבטחת המידע, ומציעים לחברות אינטגרציה פתרונות בעולמות אבטחת הסייבר סביב הטכנולוגיה והפתרון המעולה של מורפיסק".

לדבריו, "גטר היא שחקן מאוד משמעותי בעולמות הייבוא וההפצה של מוצרי ICT בישראל. יש לנו בתחום התקשורת כמה נציגויות של חברות, בעיקר בעולמות ה-Wi-Fi וה-IP Networking. אנחנו עובדים מול חברות האינטגרציה המובילות בישראל, ומצאנו די מהר שהפריסיילים וסמנכ"לי הטכנולוגיות מחפשים לא רק מוצרים אלא גם שנסייע להם בבניית הפתרונות. הרחבנו את קו המוצרים ואנחנו מציעים מוצרים שמשלימים האחד את השני בעולמות הנטוורקינג".

באשר לפתרונות אבטחה, יצהר ציין כי "יש תפיסה שהפיירוול יכול להספיק להגנת החברה. באחרונה מתחילים להבין בשוק שזה לא נכון, ששכבת הגישה לא מספיקה ונדרשות שכבות הגנה נוספות ברמת נקודת הקצה והשרתים, כמו שמורפיסק יודעת לתת. מורפיסק יודעת, ויודעת גם להוכיח, שגם אם המוצרים המותקנים על נקודות הקצה מעודכנים בעדכונים האחרונים, עדיין רואים חדירות של משתמשים. בחלק ניכר מהמקרים אלה עובדים מהארגון עצמו שעושים זאת – בין אם בזדון ובין אם לאו. מורפיסק יודעת לגלות את החדירות האלה, למנוע אותן ולתת דו"ח מפורט למנמ"ר ולמנהל האבטחה בדשבורד נוח, קריא וקל. אחרי השימוש בפתרון מבינים בארגונים שמדובר בכלי שהם לא יכולים לחיות בלעדיו".