סייבר בימי מלחמה: מדוע מודעות מצבית היא קו ההגנה הראשון של ישראל?

בעולם המבצעי והצבאי, המושג "מודעות מצבית" (Situational Awareness) הוא הבסיס לכל קבלת החלטה בשטח. זו היכולת לקלוט את הנתונים מהסביבה, להבין את משמעותם בזמן אמת ולחזות את התפתחות האירועים. אולם בשנים האחרונות המושג הזה חרג מגבולות שדה הקרב הפיזי והפך לאבן היסוד של חוסן הסייבר הארגוני. עבור חברות וארגונים ישראליים, הנמצאים תחת מתקפה מתמדת ובמחסור בכוח אדם טכנולוגי עקב גיוס מילואים נרחב, מודעות מצבית היא כבר לא מותרות, היא תנאי הכרחי לשרידות.

הלקח מתקיפת הסייבר בחברת סטרייקר

הגל האחרון של תקיפות סייבר מדינתיות המכוונות נגד תשתיות קריטיות, תעשיות ביטחוניות ומערכות בריאות, חושף שינוי מדאיג בטקטיקות של התוקפים. מקרה הבוחן הבולט ביותר הוא התקיפה על ענקית הטכנולוגיה הרפואית האמריקאית סטרייקר (Stryker) מלפני כשבוע. התוקפים, קבוצת ההאקרים האיראנית חנדלה (Handala) טענה, שהצליחה לשבש את סביבת המיקרוסופט הפנימית של החברה, אך כפי שאישרה סטרייקר, לא נעשה שימוש בתוכנות כופר, כלומר התקיפה נעשתה כדי לפגוע. בימים האחרונים ממש אנו עדים לניסיונות דומים נגד ספקיות שירותים חיוניים באירופה ובישראל, שבהם המטרה היא שיבוש תפעולי ולא רווח כספי, דבר שמחייב ראייה מערכתית ולא רק הגנה על קבצים.

"במציאות הנוכחית, החוסן של המשק הישראלי נשען על הרציפות התפקודית של ארגונים. הפתרון המקצועי אינו טמון ברכישת עוד מוצר מדף, אלא בבניית מודיעין פנימי המתבסס על איחוד נתונים אוטומטי. מערכת כזו מתחברת לכל הממשקים הקיימים בארגון, מבצעת קורלציה בין הנתונים ומציגה מקור אמת אחד שזמין לכל הגורמים בארגון"

המשמעות המקצועית של האירוע הזה מרעידה את עולם אבטחת המידע. תוקפים כבר לא חייבים להחדיר וירוס כדי לשתק ארגון, הם פשוט צריכים לנצל את חוסר המודעות המצבית של הארגון לגבי הנכסים הדיגיטליים שלו והקשרים ביניהם. כאשר ארגון אינו רואה את מלוא שטח התקיפה שלו, תוקפים יכולים לפעול בתוך השטחים המתים (Blind Spots), תוך שימוש בכלים לגיטימיים של המערכת. חוסן סייבר לא נמדד רק ביכולת למנוע חדירה, אלא ביכולת לזהות את השיבוש ולהכילו במהירות, כפי שעשתה סטרייקר תוך ימים בזכות הבנה עמוקה של הסביבה שלה.

ערפל הקרב הדיגיטלי

הבעיה ברוב הארגונים כיום אינה מחסור בכלי אבטחה, אלא עודף של נתונים מבוזרים, שאינם מתקשרים זה עם זה. זה מעין פרדוקס נראות: לארגון יש EDR, סורקי פגיעויות, ניהול זהויות ומערכות ענן, אך לכל אחת מהן יש אמת משלה. מנהל התשתיות ידווח על מספר שרתים המופיעים ב-Active Directory, בעוד מנהל אבטחת המידע יראה מספר שונה במערכת האבטחה שלו.

פער זה, שבו נכסים קיימים ברשת אך אינם מנוהלים או מוגנים, הוא המקום שבו מתרחשים האסונות, ובמציאות הנוכחית, האתגר הזה מחריף. כשהצוותים הטכנולוגיים מדוללים ופועלים תחת לחץ של שגרת חירום, איננו יכולים להסתמך על סריקות ידניות או על טבלאות אקסל שמתיישנות ברגע סיום כתיבתן. הצורך במקור אמת אחד הוא כבר לא יעד של יעילות, אלא כורח ביטחוני. הדרך היחידה להשיג מודעות מצבית כזו היא באמצעות אוטומציה של ניהול נכסי הסייבר.

מחוסן תפעולי לחוסן לאומי

במציאות הנוכחית, החוסן של המשק הישראלי נשען על הרציפות התפקודית של ארגונים. הפתרון המקצועי אינו טמון ברכישת עוד מוצר מדף, אלא בבניית מודיעין פנימי המתבסס על איחוד נתונים אוטומטי. מערכת כזו מתחברת לכל הממשקים הקיימים בארגון, מבצעת קורלציה בין הנתונים ומציגה מקור אמת אחד שזמין לכל הגורמים בארגון.

כאשר ישנה מודעות מצבית מלאה, ניתן לזהות בתוך שניות פערים קריטיים: שרת ענן חדש שהוקם ללא הגנה, משתמש עם הרשאות גבוהות מדי, או מכשיר קצה שאינו עומד במדיניות האבטחה. האוטומציה הזו היא מכפיל כוח שמאפשר לאנשי הסייבר המעטים שנותרו בעורף להתמקד בקבלת החלטות אסטרטגיות במקום במרדף אחרי נכסים נעלמים.

המלחמה הנוכחית ותקיפות הסייבר הגלובליות האחרונות הן קריאת השכמה. עלינו לעבור מניהול אירועי אבטחה נקודתיים לניהול אסטרטגי של חוסן דיגיטלי. מודעות מצבית היא המצפן שמאפשר לנו לנווט בערפל הקרב הדיגיטלי. בדיוק כפי שלמדנו מהתגובה המהירה של סטרייקר ומהתמודדותה עם איומי הייחוס של הימים האחרונים, ההבדל בין קריסת מערכות לבין חוסן אמיתי טמון ביכולת לראות את התמונה המלאה ברגע האמת. רק ארגון שישכיל לראות את כל נכסיו בזמן אמת יוכל להבטיח שהוא לא רק שורד את המתקפה הבאה, אלא גם חוזר לתפקוד מלא במהירות המרבית. זהו קו ההגנה הראשון שלנו, והוא חזק בדיוק כמו היכולת שלנו לראות את המציאות כפי שהיא.

הכותב הוא  Technical Evangelist Director בחברת הסייבר אקסוניוס (Axonius).