"מנהלי האבטחה זקוקים לחסל את עיוורון האיומים שיש להם בסייבר"

"מנהלי אבטחת מידע בארגונים שרויים באפלה, הם עיוורים לאיומי הסייבר המקיפים אותם וזקוקים למישהו, למשהו – שיפקח את עיניהם", אמר דן פאראש, מנהל מכירות לשווקים מתפתחים ב-ANOMALI.

פאראש דיבר בכנס שערך הסניף הישראלי של חברת הגנת הסייבר. הכנס נערך היום (ה') במתחם WeWork בתל אביב.

לדבריו, "האתגרים של מנהלי אבטחת המידע היום רבים, הן בצורך לזהות סוגי איומים שונים, הן בזיהוי ההאקרים שיפרצו אליהם, והן בסינון המידע אודות האיומים. יש לאגד את האיומים ולנהל את מודיעין האיומים בצורה יעילה, כדי להעלות את רמת אבטחת המידע בארגון, לצמצם את הזמן שההאקרים שהו בארגון בחשאי. הם זקוקים לא רק למכבי אש, אלא למודיעין איומים שיאפשר להם למנוע את השריפה – בטרם האש בכלל פרצה".

צילום ועריכת וידיאו: ליטל רובינשטיין

החברה, סיפר פאראש, נוסדה בשנת 2011 על ידי יו אנג'מנזי, מי שהקים ב-2000 את ArcSight, שנמכרה כעבור עשור ל-HP תמורת 1.5 מיליארד דולר. מטה החברה בקליפורניה ולה 330 עובדים. היא גייסה עד היום 96 מיליון דולרים בארבעה סבבי גיוס, כשאחת המשקיעות היא קרן Google Ventures.

לחברה יש כ-600 לקוחות ארגוניים בעולם, ביניהם Bank of England ו-UBS בשווייץ. ארבעה מחמשת הבנקים הגדולים בארצות הברית הם לקוחות החברה, כמו גם 30% מארגוני Fortune 100. פאראש הקים את הסניף הישראלי לפני חצי שנה, ולה כבר לקוחות בארץ מהמגזר הפיננסי והממשלתי.

"פלטפורמה לניהול מידע אודות איומי סייבר"

"אנו מספקים למנהלי אבטחת המידע בארגונים פלטפורמה לניהול מידע אודות איומי סייבר. ככלל, ארגונים מביטים על פנים הארגון, על השרת, או על תחנת הקצה. אנו מרחיבים את נוף האיומים. בטרם האקר חודר לארגון, הוא עורך פעולות מקדימות: מחפש פרצות, שולח מיילים פישינג, עושה בדיקות חדירה במובנן השלילי, בודק מי החוליה החלשה האנושית בארגון ומה החוליה החלשה ברמה הטכנולוגית. הוא מתייעץ עם חבריו ברשת האפלה, סוחר בכלי פריצות ועוד. חוקרים שלנו אוספים את כלל המודיעין הזה" אמר פאראש.

בשלב הבא, הוסיף, "אנו בודקים את האיומים בפילוחים שונים, מגזרי – פיננסי, טלקום, ציבורי ועוד. פילוח נוסף נעשה בהקשר גיאופוליטי – האויב של ארגון בישראל הוא לא האויב של דרום אפריקה, לדוגמה. אנו אוספים את המידע שיש לגופי מודיעין האיומים של ספקיות אבטחת המידע, דוגמת סימנטק, יבמ, קספרסקי ואחרות. אז אנו בוחנים איומים שרלוונטים לארגון היעד – נוזקות שנשלחו אליו, כתובות IP ומיילים שנפרצו, דומיינים 'רעים' ועוד. מידע זה מוצלב עם מידע שאנו מקבלים ואף משתפים עם גופי CERT לאומיים".

כך, אמר פאראש, "בנינו אמבטיה עם נתוני איומים ממגוון מקורות מידע. אז אנו עושים האחדה למידע. האלגוריתמים שבנינו, מבוסס לימוד מכונה, מסנן את הנתונים על האיומים, בורר מה רלוונטי לארגון היעד, מנפה את כלל התראות השוא, ובונה תמונת מצב של האיומים המתאימים לארגון. את האיומים אנו מחלקים לכמאה 'משפחות' איומים, ועליהם אנו שמים זרקור וזכוכית מגדלת, משמע, אנו בונים לאיומים הקשר: מי התוקף, מה המניע, למה הוא תוקף, באיזו טכנולוגיות פריצה הוא מסתייע, מה האיום, מה ההקשר שלו, מה פוטנציאל האיום, כיצד להגיב, כיצד לתעדף את ההגנה – מיהם הנכסים שנדרש הכי הרבה להגן עליהם ועוד".

ג'רמיין אנג'מנזי, מנהל טכני ב-ANOMALI לאזור EMEA צילום: יח"צ

למצוא מחט בערימת שחת של מאות מיליוני איומים

ג'רמיין אנג'מנזי, מנהל טכני ב-ANOMALI לאזור EMEA (ר"ת אירופה, המזה"ת ואפריקה), אמר כי "ארגון מאוים על ידי מיליונים אם לא מאות מיליוני התראות על איומי סייבר ואבטחת מידע מסוגים שונים. הוא זקוק לכלי שיאמר לו מהו איום נכון ומהי התראת שווא, מהם האיומים הרלוונטים שלו בהקשר מגזרי ומהם האיומים ה'מותאמים' לו אישית – ומולם להיערך מראש. כיום הוא נמצא במצב שעליו למצוא מחט בערימת שחת – וזה בלתי אפשרי למימוש".

לדבריו, "יש לנהל את האיום ולשאוף להגיע למצב בו יש מידע על תוקף בטרם הוא חודר ואוסף מודיעין ומחפש פרצות וחוליות חלשות. נדרש לקצר את משך התגובה ככל הניתן. יש לצוד את איומי הסייבר, שמטבעם הם נחבאים משך חודשים. כאשר מגלים אותם, פעמים רבות זה מאוחר מדי, כי ההאקרים שוטטו ברחבי הארגון משך חודשים ושאבו מידע ארגוני יקר ערך. לאחר בניית מאגר המידע המפולח – יש לבנות יכולת הגנה, מבוססת שו"ב ולנהל את ההגנה על בסיס מודיעין איומים רלוונטי".