יוגי צ'נדרימאני, FireEye: "דווקא אנשי ה-IT הם החוליה החלשה בפריצות לארגונים"

"נהוג לתפוס את אנשי ה-IT כמי שמודעים להיבטי אבטחת מידע, אולם מחקרים שלנו גילו כי החוליות החלשות בעת פריצות של האקרים לארגונים הן שתיים – אנשי משאבי האנוש ואנשי ה-IT", כך אמר יוגי צ'נדרימאני, מהנדס מערכות בכיר בפייראיי (FireEye) באזור EMEA (ר"ת אירופה המזה"ת ואפריקה), בראיון בלעדי לאנשים ומחשבים.

לדברי צ'נדרימאני, "ארגונים, בכל הגדלים ומכל מגזרי התעשייה, חוו בשנה החולפת עלייה בנפח ההתקפות המתוחכמות, כמו גם גידול בעוצמת התחכום והמורכבות. פושעי הסייבר מנצלים את החולשות של פתרונות האבטחה המסורתיים ובמקביל – הם הופכים למאורגנים יותר, או פועלים בחסות מדינות, דוגמת סין. כיום, בניגוד לעבר, להאקרים יש יכולת לעקוף כמעט כל מערך הגנה ארגוני באשר הוא".

אחת הסיבות להצלחה שלהם, הסביר, "היא כי הם ממוקדים, ובסופו של דבר – הם מצליחים. הפעילות הממוקדת בוחנת, בין השאר, מי הם האנשים העסוקים, או להיפך, חסרי המעש – בארגון. שני סוגי עובדים מאלה ישיבו למיילים המגיעים ממקורות בלתי מזוהים – בלא לחשוב או לחשוש. מחקרים שלנו העלו כי יש עובדים בשתי מחלקות בארגונים שהם המועדים להתקפה בסבירות הגבוהה ביותר – מחלקת משאבי אנוש ומחלקת המיחשוב הארגוניות. הדבר מפתיע מעט, כי אנשי ה-IT נתפסים כמי שמודעים יותר מהשאר לאיומי אבטחת המידע – אך לא כך הדבר".

"מנהלי אבטחת המידע חייבים לשנות את תפיסתם אודות האיומים", אמר צ'נדרימאני, "השאלה כיום היא לא האם מערך תקשורת המיחשוב הארגונית נפרץ – אלא מתי זה יקרה ובאיזו מהירות ניתן יהיה לאבחן שבוצעה חדירה, ואז למזער את נזקיה הפוטנציאליים". לשם כך, אמר צ'נדרימאני, "על מנהלי אבטחת המידע ליצור תוכנית פעולה הכוללת כמה שלבים: חסימת דליפת המידע, יצירת תכנית תגובת-נגד, ניטור ובקרה, טיפול במימד האנושי, בניית מערך הגנה פרואקטיבי, וזיהוי התוקפים".

מפת האיומים, ציין צ'נדרימאני, "התפתחה בצורה ניכרת במהלך שנת 2013, עם עלייה גבוהה במתקפות ממוקדות ומתמשכות, APT. ארגונים רבים מסתמכים על מערכות אבטחה מסורתיות, מבוססות על טכניקות זיהוי חתימה. נוף האיומים המתפתח מחייב ארגונים להיערך מחדש השנה, ולא להסתפק רק במה ששימש אותם בעבר. נדרש לבצע כל העת הערכת סיכונים ובחינת איומים, על מנת לעמוד על מצב האבטחה שלהם בסביבה הדינמית והמשתנה". פייראיי, אמר, "פיתחה פלטפורמה ייחודית, מבוססת מכונות וירטואליות, המספקת לארגונים הגנה בזמן אמת מפני הדור הבא של איומי הסייבר השונים. המכונות הווירטואליות שלנו, שיותר מ-2 מיליון מהן פרוסות ברחבי העולם, מספקות הגנה דינאמית של גלישה ברשת, דואר אלקטרוני, דטה סנטרים והתקנים ניידים. בדרך זו אנו בודקים האם התוכן שצפוי להיכנס לארגון – אכן עושה את מה שנועד לעשות ואינו נוזקה או קוד זדוני".

בסין תוקפים ובישראל מותקפים
בתחילת השנה, אמר צ'נדרימאני, פייראיי (FireEye) רכשה את חברת אבטחת המידע מנדיאנט (Mandiant) תמורת יותר מיליארד דולר. מנדיאנט זכתה לפרסום בינלאומי נרחב לפני שנה כשתחקיר שלה העלה כי צבא סין קשור למתקפות על מערכות של חברות וסוכנויות בארצות הברית. הניו-יורק טיימס (New York Times) "ניצל" את המתקפה הארוכה שאירעה על המחשבים שלו וערך תחקיר במטרה לגלות מהיכן מבוצעות מתקפות על חברות וסוכנויות ממשל אמריקניות.

הוא שכר את שירותי מנדיאנט, שהעלו כי בבניין משרדים בן 12 קומות בשנגחאי פועלת יחידה 61398 של צבא סין, וכי "אחוז מדהים" מהמתקפות נגד ארגונים בארה"ב מבוצע משם. העיתון ערך את התחקיר לאחר שנפל קורבן למתקפה מקוונת בת ארבעה שבועות, שבמסגרתה גנבו האקרים סיסמאות של עובדים בניסיון להגיע למקורות של ידיעה שלילית שנכתבה על ראש ממשלת סין, וון ג'יאבאו. התוכנות של מנדיאנט, הסביר צ'נדרימאני, "מנתחות התקפות סייבר, על ידי מיכון תהליכים המצביע על אותן מתקפות. יש להם 'אטמי סייבר' חזקים מאוד המגיבים היטב לפרצות. הם טובים מאוד במה שהם עושים".

פייראיי האמריקנית מיוצגת בישראל על ידי אינוקום מקבוצת אמן ו-SecureWave. האינטגרטורים שלה בארץ הם בינת, בזק בינלאומי, אבנת ו-2BSecure. בראש הסניף ישראלי של חברת אבטחת המידע והסייבר עומד אליק חייק. לדברי צ'נדרימאני, "דו"ח שפרסמנו באחרונה העלה כי מדינת ישראל חווה מתקפת סייבר מדי שעה. המגזרים הממשלתי, הביטחוני והפיננסי הם החשופים ביותר למתקפות APT. עוד נתון העלה כי בין ינואר 2013 לדצמבר באותה שנה גדל מספר התוכנות הזדוניות פי ארבעה. יותר מ-1.5 התקפות APT זוהו בישראל מדי שעה בממוצע, ביותר מ-40 גרסאות שונות. בעוד שאיומי הווירוסים מובילים מבחינה כמותית, 48% – ניתן להבחין כי איומי ה-APT מייצגים 25% מהמתקפות. מצב זה מעיד כי ארגונים, לרבות ארגונים ממשלתיים, חשופים להתקפות חכמות וממוקדות במיוחד. בקרב כלל המדינות שחוו APT, ישראל דורגה במקום ה'מכובד' העשירי, לאחר  ארצות הברית, דרום קוריאה, קנדה, יפן, בריטניה, גרמניה, שוויץ, טייוואן וערב הסעודית. המחקר מצביע באופן חד משמעי כי איומי הסייבר הגלובליים בהחלט לא פסחו על ישראל".

"רבות מהתקפות הסייבר המתוחכמות של ימינו מסוגלות לחדור שכבות שונות של הגנה מסורתית, המבוססת על חתימות", סיכם, "הפלטפורמה שלנו מספקת הגנה בפני איומים דינמיים, ללא שימוש בחתימות ומגנה על הארגון מפני טווח האיומים העיקריים, תוך התייחסות לשלבים השונים של מחזור חיי מתקפת סייבר. המלצתי למנהלי אבטחת המידע היא לבנות מדיניות אבטחה מבוססת תהליכים, טכנולוגיה ואנשים, לצד בניית יכולות תגובה המבוססות על בינת אבטחה ומודיעין אבטחה".