"מערכת שליטה ובקרה מאפשרת לסכל פגיעות סייבר בארגון"

"המשתמש יכול להבין באמצעותה בזמן אמת מי תקף וכיצד, ולנסות להתגונן בהתאם", אמר צורי בר יוחאי, מייסד ריבלייז

צורי בר יוחאי, מייסד ריבלייז. צילום: קובי קנטור

"מערכת שליטה ובקרה היא גורם חשוב, שמאפשר למתן ואף לסכל פגיעות סייבר בארגון. היא מאפשרת למשתמש להבין בזמן אמת מי תקף וכיצד, ולנסות להתגונן בהתאם", אמר צורי בר יוחאי, מייסד ריבלייז (Reblaze).

בר יוחאי דיבר במסלול הפתרונות הטכנולוגיים שהיה חלק מכנס InfoSec 2016. האירוע, בהפקת אנשים ומחשבים, התקיים באחרונה באולם האירועים LAGO בראשון לציון.

בדבריו אמר בר יוחאי כי ריבלייז פיתחה מערכת הגנה ושליטה מבוססת ענן. "מילת המפתח במערכת היא בינה מלאכותית", ציין. "המערכת לומדת ומנתחת את התעבורה בזמן אמת, ומיישמת תהליכי אבטחת מידע באופן אקטיבי, תוך כדי תנועה. כשהיא מזהה סטייה מהתנהגות נורמלית של משתמש כלשהו, היא מטפלת בכך באופן מיידי".

"מרכיב המיידיות מאוד משמעותי במקרים כאלה, הוא חלק מהמנועים וממרכיבי הכוח של מערכות טובות בתחום", הוסיף בר יוחאי. "המיידיות היא לא רק בזיהוי המתקפה אלא גם במתן חיווי למשתמש מי תוקף וכיצד היא מבוצעת. כך הוא יכול לקבל החלטה ולבצע פעולות, במידה שהמערכת לא ביצעה אותן בצורה אוטומטית".

"המערכת מעכבת את ביצוע הפעולה הנבדקת במילי-שנייה וחצי ואולם, היא חוסכת תעבורה מיותרת שנוצרת בעת מתקפות רבות", לדברי בר יוחאי.

הוא ציין ש-"המערכת שלנו משלבת שירותים ומוצרים שמיוצרים על ידי יצרנים שונים כמו מניעת חדירה, פיירוול, מערכות המטפלות במתקפות מניעת שירות, זיהוי חתימות ואיזון עומסים גלובלי. כל רכיב תורם את תרומתו לתהליכי ההגנה והבקרה השוטפים".

אייל ארבל, Accelario.צילום: קובי קנטור

אייל ארבל, Accelario.צילום: קובי קנטור

"בנוסף, היא מספקת לאנשי האבטחה בארגון התרעה בשפה ברורה, שכן אדם לא יכול להגן על מערך מחשוב אם אין לו מושג מה קורה בו", סיים בר יוחאי.

"לעבוד עם בסיס נתונים מבלי להסיק נתוני אמת"

אייל ארבל מ-Accelario הציג פתרון לבעיה קשה של אבטחת מידע שנגרמת כתוצאה משימוש בבסיס נתונים תפעולי לצרכי פיתוח.

"פתרון ה-TDM (ר"ת Test Data Management) מאפשר לעבוד עם בסיס נתונים כך שלא ניתן יהיה להסיק ממנו נתוני אמת. בחלק מהמקרים קיימת רגולציה שדורשת זאת, למשל כשמדובר בנתונים פיננסיים או רפואיים", אמר.

ארבל ציין ש-"כדי לעמוד בדרישה שהמערכת המפותחת תפעל היטב בסביבת הייצור לאחר מכן, אך מבלי לחשוף את פרטי הלקוחות, המפתחים מקבלים נתונים נבחרים ומעורבלים. הם מקבלים בנוסף סדרות מצומצמות יותר של הנתונים, כדי להקל על הבדיקות".

"כדי להפעיל את התוכנה אין צורך ב-DBA", הוסיף. "כל ראש מחלקה יכול לבצע גזירה של בסיס הנתונים – לפי טבלה, שורה וכדומה. בעת הכנת בסיס הנתונים המשני מתערבלים הנתונים, כך שאין קשר בין שדה לשדה, וכך לא ניתן ללמוד מקריאתו את נתוני האמת".

יניב מירון, מייסד ומנכ"ל Fenror7. צילום: קובי קנטור

יניב מירון, מייסד ומנכ"ל Fenror7. צילום: קובי קנטור

"תוצאות המהלך הן קיצור זמן ההשבתה, הפחתת שטח הדיסקים, ביטול הצורך במתווכים, התקנה מהירה, שיפור ביצועים, אספקת סביבת ניסויים קטנה והגנה על הנתונים במערכת הייצור", סיים ארבל.

"האקרים מבינים שיש בידיהם כוח להשתלט על כל הארגון"

יניב מירון, מייסד ומנכ"ל Fenror7 – סטארט-אפ שמטפל בתזוזה של האקרים במערכות הארגוניות – אמר כי "המושג תזוזה לרוחב (Lateral movement) לקוח מעולם מרוצי הסוסים. כאשר הסוס מתחיל לרוץ, הוא תמיד נע ימינה ושמאלה, עד שהוא מתייצב על מסלול ישר. כך גם ההאקרים לא יזוזו תמיד ישר בתוך המערכת ובוודאי שלא ייתקעו בעמדה של עובד מסוים, אלא יחפשו עוד שרתים. לפיכך, חשוב להם 'לשבת' על מערכת התקשורת הארגונית".

"בשנות ה-90, האקרים היו מפילים שרתים או מציגים תמונה. כיום הם מבינים שיש בידיהם כוח להשתלט על כל הארגון. לוקח לתפוס מתקפה כזו במשך כ-300 ימים, כלומר – בכל ארגון גדול יושבים האקרים ועושים כרצונם במשך כ-10 חודשים לפני שהם נתפסים", הוסיף מירון.

"מדובר במתקפות שיכולות למוטט ארגון", אמר. "ההאקר יכול לשנות נתונים, לכבות ולהדליק מחשבים, וכן להצפין מחשבים ולדרוש כופר בתמורה לשחרורם. הדור הבא של המערכות העוינות הוא השתלטות על שרת וממנו הצפנה של כל תחנות הקצה".

מירון ציין ש-"אנחנו מציעים תוכנה שיושבת בשדרת הארגון ומקבלת עותק של התעבורה. היא כוללת בסיס נתונים ומערכת בינה מלאכותית שיודעת לזהות מי זז ולאן, ולהציג זאת בצורה של ציור שקל להבין".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. אורי

    בהגנה רוחבית יש פרצה שמרוב שהיא טריביאלית רוב העוסקים בתחום לא מסוגלים לראות אותה. ברגע שהפורץ יודע שמנטרים את הפעילות שלו הוא יכול להוריד תדר הדילוגים בין המערכות לרמות של פעם בשבוע ואפילו פעם בחודש. בעצם Lateral threat analysis עיוורת לתדר נמוך של התקפות. וזה חור גדול במיוחד כשמדובר בסייבר ממומן ממשלתית כמו איראן נגד ישראל. תשלימו את שריון המגן עם חבילת הגנה של פרופיילינג אישי של התוקף... :)

אירועים קרובים