"צריך להתבונן על מתקפות בצורה רציונאלית – ולא להגיב מהמותן"

מה בדיוק היה במתקפת WannaCry והאם החרדה בעקבות תוצאותיה הייתה מוצדקת או מיותרת?
"שוב הכינו אותנו לגרוע מכל, למתקפה 'חסרת תקדים', שתגרום לנזק אדיר בסקטורים רבים, ושוב לא עצרנו לשנייה וחשבנו בצורה פרו-אקטיבית, אלא הגבנו מהמותן.

אם רק היינו לוקחים צעד אחד אחורה ומתבוננים על הנעשה בצורה אובייקטיבית ורציונאלית, היינו רואים שה- Exploit שהשתמשו בו במתקפה הזו היה פשוט וחכם: הוא מצא עוד פרצה קטנה בעדכוני מערכת ההפעלה ורווח קטן שבו הוא יכול לנצל שימוש בארכיטקטורת SMB של מיקרוסופט (Microsoft). משם הוא יצא לדרך".

אז בעצם, דפוס ההתנהגות של ההאקרים ודפוס התגובה שלנו חוזרים על עצמם?
"כן. הפעם זה היה WannaCry ובפעמים קודמות דברים אחרים לחלוטין – הכול חוזר. אפשר לקחת את זה עד באג 2000. מאז ומעולם ראינו התנהגות כזו. תמיד יהיה פוגען כזה או אחר שימצא את הפרצה שלא ראינו עד כה ויצליח לנצל אותה לטובתו ולרעתנו. הרי מה שמפחיד אותנו הוא לא מה שאנחנו יודעים אלה מה שאנחנו לא יודעים ולא רואים – ואנחנו מתנהגים בהתאם".

איך אתה מפרש את המונח סייבר?
"המינוח הנכון בהקשר זה הוא Kiss – ר"ת של Keep it simple, stupid (בתרגום חופשי: שמור את זה פשוט, טיפש – י"ה). צריך להיות בסיסי וברור שצריכים לשמור על הפשטות במידה הרבה ביותר האפשרית.

אני רואה את המינוח סייבר כהתנהגות שאינה מבוססת חתימות. כל ההגנות הקבועות מתמודדות עם חתימות: מחומת האש הראשונית, עבור ב-Mail relay ובסינון ה-URLים ועד ל-DMZ המבוזר, מערכות ה-IPS/IDS והגנת תחנות הקצה הסטנדרטיות.

בחלקם הכוונה היא לחתימות על גבי ה-MD5 או ה-Hash של אותו פוגען, קובץ, לינק או אפליקציה, ובחלקם האחר – לחתימה ההתנהגותית של מערכות ואפליקציות, על מנת לקטלג אותן כפוגענים או לא".

מה מדיר שינה בהקשר של סייבר ממנמ"רים ומנהלי אבטחת מידע בארגונים?
"הגנת, התקפת או ארכיטקטורת סייבר צריכה להתמודד עם מה שפעם נקרא מניעת מתקפות יום אפס. הכוונה היא להגנה או התקפה עם התנהגות שלא נראתה כדוגמתה לפני כן, עם פרצות שלא זוהו לפני כן, עם חורים באבטחה או בהתנהגות הארגונית שלא חשבו עליה לפני כן – בין אם זה הרשאות, גישה מרחוק, VLAN hooping או נוזקה שמקורה בקישורים או בקבצים נגועים. כל אלה הם רק דוגמאות קטנות למקורות של המתקפות ואלה מדירים שינה מעיני המנמ"רים ומנהלי האבטחה.

אבל, צריך להבין שתמיד יהיה דג יותר גדול, תמיד יהיה עוד מישהו שימצא עוד נקודת תורפה וישתמש בה. תמיד תהיה מתקפה גדולה יותר, מקיפה יותר, מזיקה יותר ומסוכנת יותר".

כיצד כדאי להיערך לכך?
"קודם כל – איך לא: לחשוב ממקום של 'יש לי את מה שיש לי ועם זה ננצח' ואז להיכנס לפאניקה כשמשהו כמו WannaCry קורה זה לא אסטרטגיה. גם 'אסמוך על האחרים שיתריעו על מה שקורה ואז אתמודד' זה לא אסטרטגיה נכונה. הצורך להיות פרו-אקטיבי בתחומי התקציב וכוח האדם הוא הכלי הנכון ביותר להתמודד עם מה שלא יבוא.

יש לצורך כך כלים טכנולוגיים כמו פטריות אחרי הגשם, שכולם טובים, כולם חזקים, כולם מכירים את התורה. אין ספק שיש המון יצרנים מעולים בשוק, והגאווה הישראלית בשיאה שמסתכלים על ההיצע שלנו לתחום הזה. אבל האם אלה הפתרונות הנכונים? התשובה היא שלא תמיד".

מה אתה מציע לאנשי הטכנולוגיה בארגונים לעשות?
"אני מציע לכל אחד ואחת מהתחום לנשום לשנייה אחת, להסתכל פנימה ולראות מה הם באמת מחפשים ולא מה אנחנו חושבים שיש בשוק, מה היינו רוצים לראות קורה באירועים עתידיים ואז לשמוע, לפתוח את האוזניים ואת הפה, לשאול שאלות ולבדוק מה יש בשוק שיכול להתאים לארגון. לא לשכן או לחבר או לעמית בתחום, אלה לארגון שלהם.

רבים מאתנו חושבים שהם כבר ראו, שמעו וניסו הכול. אני מבטיח שיש עוד פתרונות. כדאי למנהלים הטכנולוגיים לשאול עמיתים למקצוע, אנשים בפורומים נכונים ומקורות מידע, ואני מבטיח שהם ימצאו סטים של כלים שהם לא חשבו עליהם, אבל כאלה שישבו על הארגונים שלהם כמו כפפה. כאלה שיגרמו להם לישון מעט יותר רגועים ויאפשרו להם להתמודד עם מה שלא יבוא בצורה פרו-אקטיבית ויעילה".