"יש איומים שארגונים לא מודעים אליהם; אנומלי מגלה אותם עבורם"

כשחושבים על אבטחת מידע בארגון, הדבר הראשון שעולה בראש הוא קנייה או פיתוח של מוצרים שמספקים אותה באופן ישיר. אלה שאמורים להיות שם כשהתוקף מגיע ולמנוע ממנו להיכנס. משהו כמו חיילים שמהדקים שורות סביב המחנה כדי להגן עליו. אלא שצבא לא יכול לפעול כמו שצריך בלי מודיעין טוב, מבלי להבין את האיומים שמסביב.

כאן נכנסת אנומלי. זוהי חברה אמריקנית שנוסדה לפני שש שנים על ידי היזם שייסד את ארקסייט, המתמחה בעולם ה SIEM, והמטרה שלה היא לספק מידע על מתקפות צפויות, איומים ודברים "חמים" אחרים שצצים במוחם הקודח של ההאקרים לפני שהם מגיעים ללקוחות. כלומר: כל מה שיכול להגיע מחוץ לארגון ולאיים עליו.

דן פאראש, מנהל מכירות לשווקים מתפתחים באזור EMEA באנומלי, אמר לאנשים ומחשבים כי "יש הרבה פתרונות שמנהלים את הלוגים של מערכות המידע של הארגון ואת כל מה שקשור לרשת הפנימית שלו, אבל באותו הזמן קיים מידע רב מחוץ לארגון, שיכול מאוד לעזור לו בהיבט אבטחת המידע והוא פשוט לא יודע על קיומו. הנתונים האלה יכולים להביא לידיעתו שמתקפה מתכוננת להגיע, אבל אף אחד לא מאתר אותם. אנחנו מציעים פתרון לזה".

מהו?
"יש לנו פלטפורמה שמאפשרת לקבל מידע מודיעיני (Indicators of Compromise) על מתקפות ואיומים שיכולים להגיע לחברה מסוימת, לארגונים מגודל מסוים, למגזרים מסוימים ועוד כהנה וכהנה. מדובר במידע שנמצא ברשת הגלויה והסמויה – דארקנט, כמו גם בנתונים שלקוחות אחרים משתפים, במידע שמועבר מה-CERT הלאומי וכדומה. אנחנו מוודאים שאין כפילויות במידע, מורידים את כל המידע הלא רלוונטי ונותנים ללקוח דירוג – איזה מידע מאוד חשוב לו, איזה פחות חשוב וכן הלאה. אנחנו גם מעריכים עד כמה המידע מסוכן. למשל, אם מדובר ב-APT או בנוזקה, נגדיר אותו/ה ברמת סיכון גבוהה מאוד, אבל אם מדובר בסקירה של הרשת הארגונית, ההגדרה תהיה של רמה נמוכה. עוד דבר שאנחנו יודעים לעשות הוא להגיד מה מקור המתקפה, באילו טכניקות המתקפה נעשית ובאיזה שלב היא נמצאת – האם היא בשיאה או לא".

איך אתם יודעים האם המידע או המקור שממנו הוא הגיע אמינים?
"קודם כל, אנחנו שומרים את כל הדטה שהתקבלה אצלנו מאז שהחברה הוקמה. משום כך, אנחנו יודעים להגיד אם האיום הפוטנציאלי שאנחנו רואים עכשיו הוא דבר שראינו בעבר, וריאציה חדשה או שבכלל לא. אנחנו גם שואלים את כל השותפים שאנחנו עובדים אתם, ויש לנו הרבה מהם, שמתמחים בתחום המודיעין סייבר, ורואים מה הם אומרים על המידע. אם אנחנו היחידים שמקבלים את האינפורמציה והאחרים באקו-סיסטם לא – כנראה שלא מדובר במשהו רציני".

לדברי פאראש, ה-CISO הארגוני לא יכול לעשות את זה לבד. "בלי טכנולוגיה כזאת, ה-CISO מקבל המון מידע, וקשה עד בלתי אפשרי למיין ולסדר אותו, לדעת מה ממנו הכי ריאלי, מה הכי סיכוני ומה באמת נוגע לארגון שלו. יש מאות מיליונים של אינדיקטורים שמסתובבים בחוץ ובכל יום מידע מתווסף. אין למנהל האבטחה את המשאבים לנהל את כל המידע הזה ואפילו אם היו לו – הוא לא ידע במה להתמקד באותו הרגע. אנחנו מתמקדים בסיכונים ובאיומים שיש על הארגון בזמן אמת, אלה שהארגון צריך לטפל בהם במידיות ובמהירות הגבוהות ביותר".

בשש שנותיה הצליחה אנומלי לצבור יותר מ-500 לקוחות, כשהיא בולטת במגזרים כמו הפיננסי, הממשלה וה-IT. המטה שלה ממוקם בקליפורניה, המו"פ – בבלפסט שבצפון אירלנד, ובארץ יש לה משרדים בתל אביב ובירושלים.

לאן הולך עולם אבטחת המידע?
"שאלו אותי באחרונה בראיון טלויזיה בצרפת למה אנחנו תמיד שומעים על מתקפות אחרי שהן קרו. ברירת המחדל של מנהלי אבטחת המידע הוא לשים שומרים על המבצר, פסיביות. אבל בלתי אפשרי לעשות את זה בלי שום מידע מבחוץ, ואת זה אין בהרבה מקרים למנהל אבטחת המידע הארגוני של ימינו. לשם העולם הולך. אני אומר ל-CISOים: במקום לחשוב על הפנים, תסתכלו מבחוץ, על מה שקורה מחוץ לארגון. שהרי מישהו שפורץ לדירה מסוימת לא יקום יום אחד ויחליט לפרוץ אליה. הוא קודם כל יסתכל עליה ויאסוף מידע מודיעיני. אותו הדבר בעולם שלנו: לפני שהתוקפים תוקפים הם אוספים מודיעין. אנחנו עוזרים לחברות לראות את זה, להבין מה קורה בחוץ. ארגון שלא מבין מה שקורה מחוצה לו זה כמו עיוור שהולך בלי כלב נחייה או מקל. הוא ילך אבל כשיהיה הבור הכי קטן – הוא ייפול".

"מה שאנחנו עוסקים בו הוא הדור הבא של האבטחה", ציין פרח. "כולם השקיעו ומשקיעים בפתרונות אבטחה, אנחנו מספקים להם את המודיעין מבחוץ"..ב-21 וב-22 בנובמבר תקיים אנומלי כנס ב-WeWork במתחם שרונה בתל אביב, שבו היא תציג את פלטפורמת מודיעין הסייבר שלה Threat Intelligence Platform ואת מנוע החיפוש בזמן אמת Threat Hunting. "אנחנו נמצאים בארץ בהתחלה של הפעילות. הכנס נועד על מנת להראות שאנומלי החליטה להשקיע בשוק הישראליולהציע לארגונים את הפלטפורמה שתאפשר קפיצה באבטחה שלהם", סיכם פאראש.