לקחים ממתקפות הסייבר על אחת החברות הגדולות בעולם

מיקרוסופט היא אחד היעדים ה-"חביבים" על האקרים למתקפות סייבר. היא אחת החברות הגדולות בעולם, יש לה נתח שוק עצום, טכנולוגיות בשלל תחומים ומאגר ענק של ידע ונתונים, והיא חברה אמריקנית – מה שעושה אותה יעד "פופולרי" למתקפות סייבר ממדינות יריבות לארצות הברית, כמו סין, רוסיה ואיראן – לריגול ולמטרות נוספות.

השנתיים האחרונות היו "לא פשוטות" לענקית מרדמונד בהיבט הגנת הסייבר, אמר רביב תמיר, סגן נשיא לאסטרטגיית מוצר בחטיבת האבטחה העולמית במיקרוסופט. "אנחנו יעד פופולרי למתקפה ו-'צוברים' איומים שלרוב לא שומעים עליהם, כי אנחנו מצליחים בהגנה. אלא שלפעמים התוקפים מצליחים, ויש לכך משמעויות", ציין.

תמיר שיתף את משתתפי כנס Cyber Security Summit, שהתקיים היום (ה') בקמפוס החברה בהרצליה, את הלקחים של מיקרוסופט מהשנתיים האלה ובכלל מההתפתחויות בעולם הסייבר, שמתקפות (והגנה) המבוססות על בינה מלאכותית הולכות ותופסות בו מקום מרכזי.

תובנות על הגנת סייבר מבכיר בתחום בחברת ענק. צילום: MarutStudio, ShutterStock

שלוש פעולות הייסוד שעל המגנים לנקוט

"מומחי אבטחה שלנו מצביעים על זינוק של 80% בדליפות נתונים, בשל שימוש גדל של עובדים בכלי AI. מדי יום אנחנו מנטרים 100 טריליון אותות, מזהים 600 מיליון מתקפות ומבצעים 72 מיליארד פעולות מניעה", אמר. "אבל העולם התפתח: מה שעבד פעם, הגנה לחוד או התמקדות בהתרעות בודדות – על המייל, המערכות, תחנות הקצה, הענן והזהויות – היה נחמד, אבל זה לא המצב כיום. הארגונים מתמקדים בתקרית הבודדת ומפספסים את תכלול המתקפה כולה. בעידן המתקפות המבוססות על AI נדרשות שלוש פעולות יסוד: מיפוי של כלל נכסי ה-IT (מפת הארגון – י"ה), תעדוף שלהם ומיקוד בהגנה על הנכסים הקריטיים, שלרוב מהווים כ-1% מכלל הנכסים".

לפי תמיר, "אם לתוקף יש יכולת לייצר מפה של נכסי ה-IT הארגוניים של הארגון והיא טובה יותר מהמפה שהארגון 'שרטט' בעצמו – הוא בצרות. אם סוגרים בפני ההאקרים דלת – הם נכנסים מהחלון. להחזיק מפה מעודכנת של הארגון זה הבסיס להגנה טובה".

הוא ציין כי "קיימת א-סימטריה רבה במלחמה בין הטובים לרעים: בעוד התוקפים חושבים בצורה של גרפים, כמתקפה מקצה לקצה, המגנים חושבים בצורה של 'רשימות לפעולה' של בעיות שצריך לפתור – להגן נקודתית על נכס א', על נכס ב', לסגור פינות ואז להגיב. זה עבד בעבר, אבל עם כניסת הבינה המלאכותית, מהירות וסיבוכיות המתקפות עולות. אם הטובים ימשיכו בכך, הם ימשיכו להפסיד".

הבושה נעלמה

"היבט נוסף הוא היעלמותה של הבושה", ציין. "פעם, כשתוקף נתפס, הוא היה מנסה להסתיר זאת. כיום זה כבר לא נכון".

"עוד דבר שהבנו הוא שבמתקפות גדולות, דווקא הפינות החשוכות של שרת לגאסי ששוכב לו בפינת חדר שאיש לא מכיר או אפליקציה שנפרסה עם הרשאות מוגזמות לפני חמש שנים הם סיכון גדול. גילינו, למשל, שפעילויות רבות של עובדים, כמו דמואים ללקוחות ובדיקות, נעשות לא בליבת הרשת של החברה, אלא בפריפריה שפחות מפוקחת. כמו כן, ראינו שהן התוקפים והן המגינים עשו שימוש רב בבינה מלאכותית כדי לבנות ולהבין את מפות הארגון תוך כדי המתקפה. התוקפים – כדי להבין את צעדיהם הבאים, והמגינים – כדי להבין לאן התוקפים עלולים להתקדם ומאין הם באים. בקיצור, למדנו רבות מהמתקפות", אמר תמיר.

"כשמומחי האבטחה באים לבנות מפת נכסים, עליהם לעבוד בשכבות, בדיוק כמו במפות לתוכנת ניווט לרכב: הבסיס (פני השטח) – להבין ולמפות את הנכסים הארגוניים ומצבם, בדגש על זיהוי הנכסים הקריטיים, שהם מטרות התוקף; בשכבות הבאות (רחובות וחוקי תנועה) – לראות מי מחובר למי, היכן עוברת התעבורה ומה המידע הקיים בה; להבין מה קרה; להגיע למסקנות איך להעשיר את המידע, אילו נתיבי תקיפה פתוחים ומובילים לנכסים קריטיים; ובשכבה האחרונה (ניווט) – להבין מה באמת קורה בזמן אמת ואילו מתקפות מזוהות בתוך הארגון", ציין.

תפישת ההגנה של מיקרוסופט

לדברי תמיר, "את תפישת ההגנה שלנו אנחנו מיישמים באמצעות גרף האבטחה. לאחר מיפוי נכסי ה-IT, אנחנו בוחנים היכן ומתי יש אנומליות, מהן המערכות הקריטיות, כיצד להבין לעומק את פעילות הישויות והקשרים ביניהן, ומהו נרטיב התקיפה. אנחנו עובדים כעת על עוד מיפויים: של העובדים, הזהויות והאפליקציות. זאת, עם אגם הנתונים עבור ה-Sentinel – פלטפורמה שמכילה סוכני AI מעל האגם, שמטרתם לזהות את האיומים. באמצעותה אנחנו מספקים ניהול מידע ואירועים של אבטחה (SIEM), מאגר נתונים מאוחד, נראות משופרת מבוססת גרפים וכלי ניתוח חכמים".

תמיר ציין כי "ב-90% מהארגונים יש לפחות דרך אחת פתוחה לתקוף נכס קריטי. 61% מדרכי המתקפה מובילות למשתמש רגיש. 1% מהנכסים בארגון הם קריטיים או רגישים. לכן, חובה לעשות רדוקציה – ולמצוא אותם".

לסיכום הוא אמר ש-"ארגונים חייבים להתרומם מעל להתרעות הבודדות ולנהל מערכה כוללת בסייבר, ולא קרב בודד. לא תתקבל הגנה אפקטיבית אם נילחם רק דרך החור בגדר. זה אירוע גדול, שדורש את שילוב כל אמצעי הלחימה בהגנה".

איתי אהרונוב, מנהל חטיבת הסייבר של מיקרוסופט ישראל. צילום: רועי שור

איתי אהרונוב, מנהל חטיבת הסייבר של מיקרוסופט ישראל, ציין באירוע כי "הפלטפורמה שלנו נבנית ומתפתחת כדי להתמודד עם איומי הסייבר בעידן ה-AI והבינה הסוכנית. זו קפיצת מדרגה מעבר למה שהכרנו עד היום בעולם תהליכי האוטומציה והמיכון (RPA)". לדבריו, "סוכני AI פועלים בתוך הקשר, יוצרים תוכן, מפיקים תובנות והמלצות חדשות, ובעיקר מפעילים שיקול דעת עצמאי לביצוע פעולה. כך ניתן לדייק את ההגנה, להגיב מאוד מהר, להציג את האיומים המסוכנים ביותר לארגון שיש לתעדף ולבצע פעולות אוטומטיות מיידיות. מיקרוסופט הינה שחקנית מפתח בשוק הסייבר העולמי, עם פעילות רחבה, השקעות עמוקות בטכנולוגיה, מיליוני לקוחות והובלה בדירוגי האנליסטים".