"נדרש לשנות מהותית את הצריכה של הגנת סייבר"

"מנהלי אבטחת מידע חייבים להפנים כי מה שעבד עד אתמול, לא עובד היום – ובטח לא יעבוד מחר. יש לשנות מהותית את האופן בו מתגוננים, את האופן שארגונים צורכים מוצרים ושירותי אבטחת מידע והגנת סייבר – אחרת הרעים ינצחו", כך אמר גרג דאי, מנהל אבטחת מידע, פאלו אלטו נטוורקס (Palo Alto Networks) לאזור EMEA (ר"ת אירופה, המזה"ת ואפריקה).

דאי דיבר במסגרת סיור לימודי שערך C3 , פורום המנמ"רים והמנכ"לים מבית אנשים ומחשבים, במשרדי ענקית אבטחת המידע באמסטרדם. הסיור נערך ביום ה' האחרון, בהשתתפות יותר מ-100 חברי הפורום.

לאן כולם נעלמו?

לדברי דאי, "השינויים בנוף האיומים קורים בקצב שלא הורגלנו לו בעבר, ובשל הקצב שלהם, לא תמיד אנו, מנהלי אבטחת המידע בארגונים – מצליחים לשים אליהם לב ולהקדיש להם את משאבי ההגנה הנדרשים. כך, במאי 2017 השתתפתי בכנס באירופה שנושאו 'עתיד עולם האבטחה'. לפתע אתה רואה שיותר ויותר מנהלי אבטחת מידע – בפאנל על הבמה, ובקהל, מביטים בעצבנות על הטלפונים שלהם ולא מקשיבים לדיון. הייתה זו הכופרה WannaCry שתקפה מאות אלפי מחשבים ב-150 מדינות. יצאנו לרבע שעה הפסקה – ואיש ממנהלי האבטחה לא חזר לאולם. כולם נעלמו".

האתגרים העומדים בפני מנהלי אבטחת המידע הארגוניים, אמר דאי, "הם רבים ומגוונים. האחד, הם משופעים בכלי אבטחת מידע, לכל ארגונים יש עשרות כלים מוצרים ושירותים, שפעמים רבות אינם מדברים ביניהם – מה שיוצר בעיית ניהול ושליטה. כך, בכנס RSA האחרון הציגו 2,500 חברות בתחום. אין מנהל אבטחה שמסוגל להתמודד עם היכולת להכיר כה הרבה ספקיות, יהיו הרעיונות והפתרונות שלה מדהימים ככל שיהיו. כל שנה נוספות עוד ועוד טכנולוגיות הגנה".

אתגר נוסף, ציין דאי, "הוא הגידול בשטח החשיפה של הארגון לאיומים. 60% מהארגונים נוקטים בגישת 'ענן תחילה'. זה משנה את האופן של ההגנה, ודורש גישה שונה. מחקר של גרטנר (Gartner) העלה כי 67% מהמנכ"לים רוצים עסקים דיגיטליים יותר, כדי שיביאו מענה עסקי זריז יותר. מנגד, מחקר שאנחנו עשינו, בקרב מאות מנהלי אבטחת מידע באירופה, העלה כי 70% מהם אמרו 'אנו עוברים לענן מהר מדי', כלומר – יש להם חששות מהענן".

התחלנו את דרכנו, אמר דאי, "באבטחת הרשת. אין לכם יכולת לאבטח בצורה הנכונה את הרשת – אם אינכם מבינים אותה. ניראות הפכה למרכיב מפתח בהגנה. צוותי השיווק בארגון נוהגים לצרוך  אפליקציות באופן עקיף ועצמאי. צוותי משאבי האנוש מעדיפים לעבוד עם אפליקציות ענניות, במקום על מודולים במערכות ה-ERP המסורתיות. אם אינך יודע שבארגון שלך יש מה שמכונה 'צל ה-IT' – אין ערך להגנה שאתה בונה בכללותה".

האם אתה עמית או טורף?

לדבריו, "לאחר שבנינו את ההגנה הראשונית, שכוללת יכולות אנטי וירוס, מניעת חדירה, סינון, 'ארגז חול' ועוד, עברנו להגנה על עמדות הקצה, ומשם להגנה בענן. כל אחת מיכולות האבטחה לכשעצמה היא מבריקה, אבל היא נפרדת. מה שנדרש הוא לשלב את כלל היכולות בצד אחד, ואת כלל הנתונים הנאספים על האיומים – מצד שני. רק שני השילובים הללו יהוו מענה לתוקפים".

"היכולת הכי 'קולית' בסייבר כיום היא לימוד מכונה ובינה מלאכותית. רוב הארגונים המתגוננים, עושים זאת באמצעות אנשים. התוקפים, לעומתם, נלחמים בתוקף האוטומטי. אבל אנשים תמיד יפסידו למכונה. לכן, המלחמה במכונות צריכה להיות באמצעות מכונות. המענה הוא בהגנה מבוססת למידת מכונה. היא תוכל להבדיל בין טוב ורע ולזהות אבנורמליות".

פאלו אלטו, הסביר דאי, "לוקחת את המידע, מנרמלת אותו – ואז מנתחת אותו – האם אתה עמית או טורף. רק אז מגיע שלב הפעולה, התגובה. נדרשת יכולת להבין את הבעיה בזמן אמת, בעקביות, באופן חוצה מערכות, ובכל סביבות העבודה של ה-IT. רק כך ניתן לבנות מדיניות הגנת סייבר המבוססת על אותו מידע ואותם נתונים, הגנת סייבר הפועלת בעולם חדש, רב מימדי זה. ארגונים לא יכולים להמשיך ולפעול תחת הנחת העבודה שפירצה מתגלה אצלם, בממוצע – רק אחרי 150 ימים, נדרש לגשר על הפער הזה – ובמהירות".

"אנחנו משבשים את עולם הגנת הסייבר", אמר דאי. "בשני מובנים: אנו מציעים לארגונים תשתית חדשה לאיסוף מידע, עם אוטומציה, אנליטיקה ולימוד מכונה. אנו לוקחים את המידע הרב ושמים אותו במסגרת שמאפשרת לאפליקציות לעבד את המידע הרב, להגיע להחלטות ולבצע אותן. המידע הרב נאסף ומונגש לארגונים כשירות שקל לצרוך אותו, כאפליקציות אבטחה בשירות ענני. כך, הן מקבלות יכולת לאסוף מידע – והן מקבלות חזרה פקודות: מה לעשות, מה לחפש ומה לעצור".

"עלינו לשנות את האופן בו אנו צורכים אבטחת מידע והגנת סייבר", סיכם דאי, "רק שינוי שכזה יאפשר למנף את היכולות ולהביא לאכיפת אבטחה טובה ויעילה יותר, עם מידע עשיר יותר על האיומים, מיכון ולמידת מכונה. ארגונים חייבים לסגור את הפער הקיים בין דרישות האבטחה והצרכים העסקיים שלהם. נדרש לעשות דברים אחרת, כדי לשרוד בנוף האיומים החדש".