"יש להוסיף לתשתיות ה-IT בינה מלאכותית לשיפור הגנת הסייבר"

"תשתיות ה-IT משתנות. הן לא מרוכזות רק במקום אחד, בדטה סנטר, אלא מצויות גם בענן לסוגיו. הטכנולוגיה עשויה לסייע לנו בכך שתוספת בינה מלאכותית ומכונות לומדות לשכבת האבטחה – תסייע לשיפור הגנת הסייבר וליצירת עמידות וחוסן ארגוני", כך אמר לוקה מרטלי, דירקטור תחום אבטחת מידע, אורקל (Oracle) לאזור EMEA (ר"ת אירופה, המזה"ת ואפריקה).

מרטלי דיבר בכנס שערך הסניף הישראלי של ענקית ה-IT, בנושא חוסן ארגוני בסייבר, Cyber Resilience. הכנס נערך היום (ב') במשרדי החברה בפתח תקווה בהשתתפות מקצועני אבטחת מידע והגנת הסייבר בארגונים. את הכנס פתחו מני מלר, טכנולוג ראשי באורקל ישראל, ונטליה דיסקין, מנהלת תחום אבטחת מידע בחברה.

לדברי מרטלי, "המתקפות מתפתחות בכל מימד, במהירות, בהיקף ובתחכום שלהן. אבטחת המידע, לעומתן, מטבעה, נמצאת צעד אחד מאחור".

הוא אמר כי "האתגרים של כלל הארגונים זהים: לצמצם עלויות, להגדיל רווחים, להביא מוצרים טובים לשוק. מכאן נובעים אתגרי המנמ"ר: עליו לסייע להנהלת הארגון בהפיכתו לדיגיטלי, כדי לשפר את זמן ההגעה לשוק עם מוצרים חדשניים".

האתגרים, ציין, "הם בבניית מעטפת אבטחת מידע גם לתשתיות ה-IT המסורתיות וגם לאפליקציות ולנתונים היושבים בענן. מעטפת האבטחה אף צריכה לכלול את 'צל ה-IT', מערכות מחשוב שהותקנו ונצרכות על ידי העובדים – בלא ידיעת מחלקת המחשוב".

שרשרת ההרג של הסייבר

הוא הזכיר פריצה מלפני כמה שנים, למשרדי לוקהיד מרטין (Lockheed Martin), יצרנית המטוסים, כשנלקחו התוכניות של מטוס ה-F-35, "וההעתק הגנוב של המטוס הסיני היה באוויר לפני זה המקורי". בעקבות כך, אמר, ענקית התעופה בנתה את מודל "שרשרת ההרג של הסייבר", לאופן בו ההאקרים בונים את המתקפות שלהם – איסוף מידע, חימוש, הנגשת כלי התקיפה לקורבן, פריצה, התקנה, בקרה ולבסוף – השגת הגישה למקלדת הקורבן.

"שרשרת ההרג של הסייבר עובדת ומצליחה", אמר מרטלי. "ההאקרים שוהים זמן רב בארגונים, בלא שהם יודעים מכך. ההאקרים עושים זאת לעתים למשך חודשים. הנתונים הם הזהב החדש, הם מוקד למשיכה להאקרים, שמחפשים אותו – ומוצאים. הפרדוקס הוא בכך שהם שוהים בארגון חודשים, אבל פעולת גניבת המידע אורכת מילי-שניות או שניה".

על מנת לשפר את הגנת הסייבר, אמר מרטלי, "מנהל האבטחה נדרש להבין שהנתונים מבוזרים, והם גם בענן". הוא ציטט מחקר של גרטנר (Gartner), לפיו 79% מהפעולות שעובדי הארגון עושים, כרוכות בעננים לסוגיהם. "יש הנחה שגויה שהאבטחה בענן מובנית מראש. זה לא נכון. נדרש לאבטחו", אמר. "נדרשת הבטחה הדדית – מצד אחד של ספק הענן, ומהצד השני הלקוח הארגוני". הוא הוסיף כי "רכיב מפתח באבטחה בענן הוא המיכון. מתקפות סייבר כיום לא מבוצעות על ידי בני אנוש, הן לא מתחילות ברשת – אלא קודם לכן, והן אינן סטטיות".

לדבריו, "מיכון הוא חלק מהמענה לאתגרים אלה. מענה נוסף מגיע מניתוח מידע שממילא קיים בארגון ומהפקת תובנות ממנו. חשוב להבין איך ההאקרים פועלים. כיום יש אבטחה מנוהלת, יש SIEM – אבל היא נעשית באופן לא אחוד, בחלקים, חלקה נעשה ידנית, ויש המון התראות שווא. האבטחה בארגונים סטטית, ואיננה מאמצת חידושים תוך כדי תנועה. בנוסף, היא מתמקדת בהגנה היקפית. יש לשנות את זה ולהיות במצב בו העובד – הוא הישות המרכזית, והוא בפנים והוא הגדר". זה ייעשה, הסביר, "על ידי ניתוח התנהגויות וזיהוי חריגות אבנורמליות. למשל, עובד שהוריד את רשימת כל הלקוחות מה-Salesforce למייל פרטי".

לדבריו, "בינה מלאכותית מסייעת להגנת הסייבר. היא עונה לשאלות כגון, מהי התנהגות חריגה, מה יש להקשיח ועוד. כדי להעלות את רמת הגנת הסייבר, יש לשים יחד תוכן, רגיש ושאינו כזה, רשת, משתמשים, והבנת ההקשרים. כך ניתן לממש את אתגרי האבטחה החדשים: מניעה, ניטור ומעקב, חיזוי ותגובה. לצד אלה, הריפוי צריך להיות אוטומטי".

מרטלי סיים בהציגו את מערכת Oracle Identity SOC, ואמר כי "כדי לשפר את האבטחה, יש להוסיף לה בינה מלאכותית ואז לקשר אותה לניהול גישה וזהויות, עם בנייה של ההקשרים (קונטקסט) של זהויות. זה מה שמבדיל את מערכת מרכז תפעול האבטחה שלנו, SOC, מהמתחרים. יש לשלב בין שירותים קיימים וכאלה שבענן. כך, ניתן לקבל נראות ברמה גבוהה יותר, עם תובנות לשיפור בקבלת ההחלטות, עם צמצום מהירות התגובה וריפוי מבוסס מיכון. יש לשלב בין התשתיות המסורתיות והחוכמה החדשה – וככה ניתן לזהות איומים חדשים. נדרש לעשות זאת באופן מעגלי ומתמשך, להשגת תוצאות לאורך זמן".

ניהול משברים

עינת מירון, יועצת לתחום חוסן הסייבר להנהלות, אמרה כי "ממאי 2017 העולם עסקי חווה הרבה מאוד מתקפות סייבר בהיקפים נרחבים, שבראשונה, המחישו את המשמעות של מתקפת סייבר".

"כשמבינים שבית חולים גדול לא יכול לקבל מטופלים, כי הוא תחת מתקפת כופרה, או כשחברת ספנות לא מסוגלת לספק שירות למאות אלפי לקוחותיה ברחבי העולם", אמרה, "אי אפשר יותר לטאטא משברים מתחת לשטיח. הנהלת Equifax  הלכה הביתה, ואולי לכלא, בעקבות הפרצה שהתגלתה".

"במאי 2018 יכנסו לתוקף תקנות GDPR שמחייבות אחריות אישית של מנכ"ל. ההנהלות גלגלו עד היום את האחריות למתקפות על איש אבטחת המידע, אך לא סיפקו לו את הכלים המיטביים להגנת הארגון".

עינת מירון, יועצת לתחום חוסן הסייבר להנהלות. צילום: עזרא לוי

"המשמעות של Cyber Resilience כפועל יוצא של ניהול המשברים הטכנולוגיים התפעוליים, או מתקפות הסייבר, היא אחת", סיכמה מירון. "מהו החוסן העסקי שלך, כארגון, לשרוד מתקפה. האם תצליח לשמור על אמון הלקוחות? האם המותג שלך חזק מספיק לעמוד בבליץ תקשורתי? מהם הצעדים שאתה חייב לנקוט בהם כדי להגן על האינטרסים העסקיים שלך"?

"יש להבין איך כל האגפים מתקשרים ביניהם, להכיר את הטרמינולוגיה ולקבל מבעוד מועד החלטות כיצד לפעול בזמן אירוע. כשמחליטים מראש מה הרסני ומה פחות מטריד וכשיודעים לשאול את השאלות הנכונות, קבלת ההחלטות בזמן אירוע – היא המפתח לחוסן ולשרידות העסקית".