דייב דיוולט, FireEye: "משימת מנהל האבטחה – למצוא מחט בערימת שחת"

"משימתם של מנהלי אבטחת המידע בארגונים הייתה קשה מאז ומעולם, בשל העובדה שלתוקפים היה יותר מידע מאשר למותקפים. אלא שבתקופה האחרונה המשימה הפכה לבלתי אפשרית, בשל ריבוי האיומים וריבוי התרעות השווא, מה שהופך את מנהל האבטחה למי שמחפש מחט בערימת שחת", כך אמר דייב דיוולט, יו"ר FireEye.

דיוולט דיבר בפתח אירוע שערכה ForeScout. האירוע, בהפקת אנשים ומחשבים, התקיים היום (ה') במלון רויאל ביץ' בתל אביב, בהשתתפות יותר מ-100 מקצועני אבטחת מידע.

"יש לי נקודת מבט ייחודית בתעשייה", אמר דיוולט, וכיוון לעובדה שהיה מנכ"ל מק'אפי (McAfee), מנכ"ל דוקומנטום (Documentum), יו"ר מנדיאנט (Mandiant), בטרם זו נרכשה על ידי FireEye, ומנכ"ל החברה. הוא חבר הנהלת דלתא (Delta), וזה שמונה שנים חבר במועצה המייעצת להגנת הסייבר של הנשיא אובמה.

צילום ועריכת וידיאו: ליאור רובינשטיין

"מאז הופעת האיומים, אי שם בשנות ה-90' במאה הקודמת", אמר, "גדל היקף האיומים. מאז שנת 2008, חל שינוי, ולצד הגידול בהיקף האיומים – חל שיפור באיכות שלהם. המתקפות הפכו לממוקדות ויעילות יותר, הבנו שהבעיה היא האיכות, לא הכמות".

החדשות הרעות לעולם לא נפסקות

דיוולט אמר כי בסוף העשור הקודם חל שינוי בהיבט מתקפות המבוצעות על ידי מדינות, "גילינו את הגל הסיני הגדול: מצאנו ש-22 סוכנויות ביון וצבא סיניים ערכו יותר מ-5,000 פריצות ברחבי העולם. ממשלות הפועלות בשדה הריגול המסחרי זה מדהים". השלב הבא בסייבר מדינתי, אמר, "היה הקיץ השנה עם מתקפות רוסיות על מחשבי המפלגה הדמוקרטית".

"אבל החדשות הרעות לעולם לא נפסקות", ציין. "ישנם איומים חדשים, יש כופרות, מתקפות APT מתוחכמות יותר, האקטיביזם, פשע מקוון, טרור קיברנטי, שימוש של ההאקרים במדיה החברתית, ומתקפות כנגד בקרים תעשייתיים, ICS – במפעלים ובתשתיות קריטיות".

"העולם הוא מקום מאד בעייתי לחיות בו במימד הסייבר. אין מספיק אכיפה, אין מספיק שיתופי פעולה בין מדינות". מצב זה, אמר דיוולט, "מציב שאלה חדשה: איך להגיב, באיזו עוצמה להגיב כנגד מתקפות טרור, כדי למנוע ולהרתיע את התוקפים וליצור 'היגיינת סייבר'.

לדברי דיוולט, "ישנם ארבעה אתגרים למנהלי האבטחה בארגונים ולקהילת האבטחה: האחת, מינעד התקיפות התרחב, יש מתקפות במובייל, בענן, בעולם הווירטואליזציה, באינטרנט של הדברים, רשתות כבר לא מתבססות סיב אופטי אז יש פגיעה דרך תקשורת לוויינים, מספר הרכיבים אותם יש לאבטח – גדל. נדרש להבין את הסיכונים".

אין כיום הקשר של התקיפה

האתגר השני, ציין, "הוא שארגונים משקיעים באבטחת מידע אבל לא עורכים תעדוף. עליהם להתמקד ב-20% מהנכסים הקריטיים של הארגון. עליהם לברר מי התוקף, למה תקף, מתי וכיצד. אין כיום הקשר (קונטקסט) של התקיפה".

האתגר השלישי הוא להתמודד מול ריבוי ההתקפות וריבוי התרעות השווא, "חברה ממוצעת מקבלת בין מיליון עד 10 מיליון התראות, לא כולן נכונות. האתגר הרביעי הוא להפוך ממגיבים לערוכים מראש. בלא יכולת היערכות, מידע מודיעיני מוקדם – לא תוגן היטב. דבר ראשון שהתוקפים עושים הוא בחינה מקדימה בטרם הם תוקפים".

"החברה מונה יותר מ-4,000 עובדים", אמר דיוולט. "מהם 600 אנליסטים וחוקרים. יש לנו יותר מ-5,300 לקוחות ארגוניים, רכשנו את מנדיאנט, iSight, ואחרות, גייסנו הון של 7.3 מיליארד דולר. יש לנו שיתופי פעולה עם 70 ממשלות בעולם, לרבות עם מטה הסייבר ורשות הסייבר במשרד ראש הממשלה בישראל".

"מודיעין בזמן אמת יהפוך למרכיב קריטי באבטחת המידע והגנת הסייבר", סיכם דיוולט, "כיוון שהיעד יהיה לנטר את התקיפה הכי מהר שאפשר ולא לבזבז 146 ימים – שזה הזמן הממוצע לאיתורה. בנוסף, נדרש לברור בין מתקפות אמת והתראות שווא".