"עולם הגנת הסייבר מוכן לשיבוש – ויעבור שיבוש נוסף"

"עולם אבטחת המידע והגנת הסייבר מצוי בפני שינוי עמוק, ברמה של שיבוש. שוק הסייבר צריך את השיבוש הזה, והוא מוכן אליו. אני מעריך כי אנו נהיה המשבשים של התחום, ולאחריו – נוביל אותו", כך אמר ניר צוק, מייסד ו-CTO פאלו אלטו נטוורקס (Palo Alto Networks).

צוק היה דובר המפתח בכנס שערך הסניף הישראלי של ענקית אבטחת המידע. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ב') באולם אירועים LAGO בראשון לציון, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה ליאור אביב, מנהל מכירות אזורי, פאלו אלטו.

צילום ועריכת וידיאו: ליאור רובינשטיין

לדברי צוק, "ייסדתי את החברה לפני 12 שנים. הגיוס הכספי הראשון היה ב-2006. לפני עשור פאלו אלטו השיקה בראשונה את מוצריה: היא עשתה שינוי מהותי בשוק הגנת הסייבר בעולם. אנו כיום חברת אבטחת הרשת הגדולה בעולם – וזה קרה בשל חדשנות וחשיבה מחוץ לקופסה ושינוי תפיסה".

להילחם בשיבוש – ולמות באיטיות

"נדרש להסביר איך חברה שמוכרת זה עשור, הופכת לגדולה יותר ממי שמוכרת זה רבע מאה", אמר צוק. "ההסבר הוא שיבוש של שוק. כשמגיע שחקן חדש ומשבש שוק, קשה לשחקנים הקיימים להתמודד עם השיבוש. שחקן גדול נדרש לבחור בין שתי חלופות גרועות – ללכת עם השיבוש, או להילחם בו".

"הליכה עם השיבוש היא הודאה בכך שכל מה שהוא מכר עד כה כבר לא רלוונטי, כי יש את הדבר החדש. זה מסוכן כלכלית בהיבט המסר ללקוחות. החלופה השניה, להילחם בשיבוש, בה בוחרים רוב היצרנים – משמעה מוות איטי, כי בסוף המשבש יהיה השחקן הגדול בשוק".

כך, אמר צוק, "נוקיה (Nokia) הפינית הייתה בעשור הקודם שחקן גדול וכמעט יחיד בשוק הסלולר, עד שאפל (Apple) וגוגל (Google) הצטרפו לשוק. היה להן טלפון מהפכני, בלא לוח מקשים. נוקיה, כמו בלקברי (BlackBerry), נלחמו בכך, ואמרו שזה לא נוח ולא יתפוס. לאחר מכן היא הציגה טלפון בלא מקשים, אבל מערכת ההפעלה של מיקרוסופט (Microsoft) לא התאימה לכך. מנייתה צנחה בעשרות אחוזים בתוך יום". לדברי צוק, "אם המשבש הוא טוב, הוא יצליח לשבש את השוק ולהפוך בתוך עשור לגוף גדול מאלה הקיימים".

היבט נוסף בשיבוש, ציין צוק, "הוא הדרך בה המשבש מבצע את השיבוש. זה לא 'בוא נבנה מוצר חדש, שירות חדש', אלא תהליך הפוך: המשבש מחפש שוק מוכן לשיבוש, בודק מה משבש אותו ואז בונה את עצמו".

פעמים רבות, אמר, "שואלים אותי 'איך אתה דואג לכך שחברתך לא תשובש, שלא יעשו לך בשוק הסייבר את מה שאתה עשית?'. התשובה לא פשוטה. המענה טוב ביותר צריך להיות 'כשהשוק מוכן לשיבוש – אני צריך להיות המשבש'. זה מה שאני וחברי עושים וחושבים כל יום – מהו הדבר הבא בסייבר? נעשה את השיבוש הבא, זה יאפשר לנו להיות שחקן, לא רק גדול – אלא גם דומיננטי, עם נתח שוק של יותר מ-50%".

מדוע שוק הסייבר מוכן לשיבוש

הסיבה ששוק הסייבר מוכן לשיבוש, אמר צוק, "היא שמאוד קשה להיות מגן – וקל להיות תוקף. התוקף, להבדיל ממה שמתפרסם, הוא לא האקר עם מסך, או ארבעה חיילי צבא זר. במציאות, התוקף הוא רובוט, מכונה המתוכנתת על ידי אנשים, המבצעת מתקפות רבות – ואוטומטיות".

לדבריו, "רוב הארגונים המתגוננים עושים זאת באמצעות אנשים היושבים ב-SOC. הם נלחמים בתוקף האוטומטי. אין להם סיכוי – בני אנוש תמיד יפסידו למכונה". לכן, אמר, "המלחמה במכונות צריכה להיות באמצעות מכונות. בני אדם צריכים להתמקד רק בדברים הבודדים שמכונות לא יכולות לעשות"

המענה – הגנה מבוססת למידת מכונה

המענה, הסביר, "הוא הגנה מבוססת למידת מכונה. זו דרך חדשה לכתוב תוכנה והיא טובה להגנת הסייבר. נותנים לה כמות עצומה של מידע, לדוגמה מיליוני קבצים של נוזקה ולא-נוזקה, והיא תוכל להבדיל ביניהם. זה טוב לזיהוי אבנורמליות. היא מבדילה בין טוב ורע – הקטע הקשה הוא לגרום למכונה ללמוד, וזה תפקידנו כיצרן".

האתגר, אמר צוק, "הוא שכיום צריך כמות מידע עצומה על מנת למצוא את המחט בערימת השחת. אתגר נוסף הוא הצורך להתמודד עם אותה כמות מידע. מדובר במידע שהיקפו הוא פי 100 מזה שבעולם האבטחה המסורתי. אלא שהעלות של עבודה בדרך זו עלולה להגיע גם היא לפי 100. זאת כי היחס בין הנתונים הרעים והטובים עומד על 1:100. נדרש לעשות אנליטיקה, אבל בעזרת מודלים טובים יותר מבחינת התמחור".

הקושי להביא חדשנות

"אתגר זה, הראשון במעלה שהעולם ניצב בפניו", אמר צוק, "הוא הסיבה ללמה אנו חושבים ששוק הסייבר מוכן לשיבוש נוסף. התוקף תוקף באופן אוטומטי. רבות מהמתקפות באות מענן ציבורי – כי שם גם קל להתחבא וגם לקבל עוצמת מחשוב ורוחב פס".

סיבה שניה שהעולם מוכן לשיבוש, הסביר, "היא שנהיה מאוד קשה לספקיות סייבר להביא חדשנות לשוק. לנו – פחות קשה. חברות חדשות כיום שיש להן רעיון מוצלח להגנה, שאין לו מענה כיום – ימצאו עצמן הולכות בדרך ארוכה – הרעיון המבריק, פיתוח אלגוריתם, הבאתו לשוק, הרצה שלו בתשתיות ארגונים. זה מסע ייסורים הדורש גיוס של עשרות מיליוני דולרים, מאות עובדים ובסופו החברה תמצא עצמה פועלת בשוק שיש 30 כמוה. לכן רובן לא יצליחו".

"ההשקעה בשוק מגיעה לרמה לא הגיונית. האתגר מאוד מורכב – קשה לצוותי מהנדסי הסייבר החכמים להביא חדשנות ללקוחות הארגוניים. מנגד – יש בעיה הפוכה: קשה יותר לצרוך סייבר, כי הטכנולוגיות דורשות בדיקה רבה, והתקנה מורכבת".

"החדשנות הרבה בהגנת הסייבר – לא מגיעה לצרכנים, ללקוחות הארגוניים, באופן שהם צריכים אותה". לכן, אמר צוק, "השוק מוכן לשיבוש – יש פה הזדמנות לעשות שוב – משהו חדש וטוב".

לדבריו, "לדעתנו, החדשנות – מה שישנה שוב את עולם הגנת הסייבר – תבוא בשני היבטים: האחד, תשתית חדשה לאיסוף מידע, כזו המתאימה לאוטומציה, אנליטיקה ולימוד מכונה. זה יענה להיבטי העלות הרבה ולמורכבות של מבני הנתונים. השני, הוא לקחת את המידע הרב ולשים אותו במסגרת שמאפשרת לאפליקציות לעבד את המידע הרב, להגיע להחלטות ולבצע אותן. מדובר במאות פטה-בייט של מידע, שנאסף ומונגש לארגונים כשירות שקל לצרוך".

עתיד עולם הסייבר, סיכם צוק, "יהיה כזה בו כל מה שהלקוחות יידרשו לו הוא להתקין קופסה אחת בכל צומת רשתית, פיזית או וירטואלית – פיירוול, אייג'נט אחד על כל רכיב קצה ומרכיב על כל ענן. ככה הם יקבלו יכולת לצרוך את כל האפליקציות האבטחתיות כשירות ענני. הקופסאות יאספו מידע – ויקבלו חזרה פקודות: מה לעשות, מה לחפש ומה לעצור. כך, כל שיידרש לעשות אחרי התקנה ראשונית – הוא להפעיל מתג".