איך נבנה סיפור ההצלחה של פייראיי?

דודו עקיבא, מהנדס מכירות בכיר בפייראיי (FireEye) ישראל לקח את המשתתפים בכנס החברה לסיור בין אבני היסוד המרכיבות אותה ואת סיפור ההצלחה שהפכה להיות.

עקיבא סיפור כי "פייראיי, שהוקמה ב-2004, התמחתה בתחום ארגז החול (Send box) והייתה החלוצה העולמית בתחום. החברה נחשבת היום כחזקה ביותר בתחום Malware analysis ו-Dynamic malware analysis. באותה שנה הוקמה גם חברת מנדיאנט (מנדיאנט), שעסקה בתחום שונה מהתחום שבו עסקה פייראיי, היא עסקה בתחום השירותים. החברה הציעה שירותי Incident Response ו-Forensic, והפכה לגדולה והמובילה בעולם בשני התחומים האלו. שנתיים מאוחר יותר, ב-2006, קמה חברת אינסייט פרטנרס ( Insight Partners), שהתמחתה בתחום המודיעין.

בדילוג קצר לשנת 2013, חברת מנדיאנט פרסמה דו"ח מפורסם בשם APT1, הדו"ח חשף את הפעילות הזדונית של הצבא הסיני בניסיונותיו לפרוץ לארגונים אמריקנים. שישה חודשים מאוחר יותר חברת פייראיי רכשה את מנדיאנט. עד לאותה רכישה התמקדה פייראיי בפיתוח טכנולוגיות למניעת פריצות וחדירות זדוניות לארגונים במטרה להסב נזק. חברת מנדיאנט, לעומתה, התמקדה במתן שירותים לארגונים שכבר נפרצו והתוקפים כבר תפסו מאחזים בתוך מערכות המידע שלהם. וכך, פייראיי יכולה הייתה להציע לארגונים גם כלים למניעת מתקפות וגם ליהנות מניסיון של ארגונים שנפרצו ולהציע להם את היכולת להביט אחורה ולנסות לאתר את התוקפים תוך כדי התנועה החופשית שהם השיגו בארגון.

מנדיאנט מעסיקה כ-300 אנליסטים ביותר מ-20 מדינות, כולל בישראל, ותפקידם הוא להיות הכוח בשטח שמתמודד עם מתקפה אשר קורה באותו הרגע. הם צוות ה-incident response. פייראיי היא החברה הגדולה ביותר והמובילה בעולם בתחום, והיא מציעה 15 שנות ניסיון של מלחמה בשטח כשירות, או את היכולת לגדל בתוך הארגון צוות פנימי כזה".

פייראיי

עקיבא סיפר כי השירותים של מנדיאנט מתחלקים לארבעה: לפני מתקפה, אימונים, הגנה ואחרי מתקפה.

"לפני מתקפה", הרחיב, "מציעה החברה את הבדיקה האם קיים תוקף בתוך הארגון, על אף שאין אינדיקציה שמשהו חדר לארגון. החברה מציעה גם אימונים בהקמה וניהול של פעילות SOC, כך שזמן הזיהוי והתגובה לפעילות תקיפה ייתקצר משמעותית.

שלב ההגנה נולד מדרישת לקוחות שהתמודדו עם תקיפה וסיימו את שלב ה-Incident Response וביקשו מאנשי מנדיאנט להישאר בתשתית ולוודא שאכן התקיפה הסתיימה, ולא ייעשו ניסיונות חוזרים לתקיפה. כך נולד שירות SOC מנוהל. ניטור 24X7 של מערכות הארגון. מדובר בשירות פרואקטיבי שיוזם שורה של פעולות במטרה לאתר כל הזמן התקפות על תשתית הארגון בשלבים המוקדמים מאוד שלהם.

מנדיאנט מציעה גם מודל שירותים לפי צורך. לפעמים ארגון אינו צריך שירותי הגנה שפועלים 24X7 אלא חבילות קטנות של שירותים, כמו בדיקה מקפת של קובץ חשוד, ביצוע של שאילתת מודיעין, או שירות Reverse engineering נקודתי", סיפר.

"החיבור של המוצרים והשירותים היה החזון של פייראיי", המשיך וריתק עקיבא את שומעיו. "החברה שאפה לבנות פלטפורמה שתציע את השירותים והמוצרים שלה ושל מנדיאנט בצורה משולבת ללקוחות. בשנת 2016, עם רכישת אינסייט פרטנרס – שעסקה באיסוף מודיעין גלוי וסמוי מרשת האינטרנט ומה-Darknet, ושילבה אנליסטים בקבוצות תקיפה כדי להבין מהם הכלים החדשים שהן משתמשות בהם ואילו ארגונים הפכו למטרות – שילבה את היכולות של שלוש החברות לכדי פלטפורמה אחת כוללת".

עקיבא סיפר שב-2019 אורגנה החברה מחדש, והיא נקראת כיום פייראיי מנדיאנט – לחברה שתי זרועות פעילות: זרוע פייראיי שאחראית לכל הכלים הטכנולוגים למניעת פריצה לארגונים, וזרוע מנדיאנט שאחראית על השירותים והמודיעין.

"על מנת להציע ללקוחות החברה את מלוא היכולות", המשיך עקיבא, "בנתה פייראיי אקוסיסטם מרהיב, בשם Helix, שכולל את אנשי מנדיאנט אשר נמצאים בחוד החנית ובשטח ונלחמים לצד ארגונים שנפרצו ומזרימים את המודיעין והידע שנצבר אצלם לכל הכלים הטכנולוגים. המידע שנצבר במערכות הטכנולוגיות ובתחנות הקצה של הארגונים הוא זה שעומד לרשות אנשי מנדיאנט כשהם מגיעים לארגון שנפרץ, ומאפשר להם להגיע למסקנות מהירות, בזמן תקיפת אמת, וליכולת אמיתית לבלום את ההתקפה. גם המודיעין שנאסף על ידי זרוע המודיעין של החברה באינטרנט וב-Darknet – מודיעין הכולל בדרך כלל מי הם התוקפים, מה המוטיבציה והמטרות שלהם, מהן דרכי התקיפה שבהן הם משתמשים – מוזן לכלים הטכנולוגיים ולאנשי מנדיאנט ומסייע להם במלחמתם בהתקפות".

"וכך", סיכם עקיבא, "הפכה פייראיי לחברה היחידה בעולמות אבטחת המידע שמשתמשת בידע הרב שנצבר בזרועות הטכנולוגיות והשירותים שלה בהתמודדויות מול מתקפות חדשות וישנות, כדי לשפר את המוצרים הטכנולוגים שלה ולהציע מודיעין עדכני ללקוחותיה ויכולת עמידות טובה יותר במתקפות זדוניות. פלטפורמת ה-Helix, שמשלבת את כל הכלים ברשת ובתשתית הארגונית עם המודיעין, מהווה בעצם את הדור החדש של הסים (CIM) הארגוני שמממש את כל יכולות ההגנה שארגון צריך מול תוקפים מבחוץ ומפנים הארגון".