סייבר 3.0

בשנתיים האחרונות היינו עדים למתקפות סייבר מתוחכמות ואגרסיביות, שהסבו נזק רב לחברות ענק כמו סוני, טארגט, ג'יי.פי מורגן ואנת'ם. המתקפה על טארגט הייתה המקרה הראשון שבו מתקפת סייבר מביאה לפיטוריו של מנכ"ל בחברה גדולה.

בכל המקרים היה מדובר במתקפות מסוג חדש - ממוקדות, אגרסיביות, בהן התוקפים בוחרים את היעד בקפידה, מתכוננים היטב לקראת יום המבצע ומנהלים את התקיפה בזמן אמת. לעתים אף נעשה שימוש בכלים התקפיים שפותחו על ידי ארגוני צבא וביון וזלגו לידי גורמים פליליים. מתקפות מתקדמות אלה זכו לכינוי APT (Advanced Persistent Threats).

שיונוי פרדיגמה בסייבר היא הכרחית | צילום: שאטרסטוק

ההצלחה של מתקפות APT גרמה לזעזוע והביאה לשינוי מוחלט בתפיסת ההגנה כנגד איומי סייבר. עד אז תפיסת ההגנה התבססה על אוסף של פתרונות נקודתיים שהתמקדו בהגנה היקפית ונועדו למנוע חדירה ותקיפה של הארגון מבחוץ. היה זה העידן של פיירוול ואנטי וירוסים, שאמנם שהצליחו לעצור את התקפות הסייבר הפשוטות יותר ולכן עדיין משולבים בארכיטקטורות הגנה עד היום. עם זאת, מאז שאיומי APT החלו להתפתח, אנשי אבטחת המידע הבינו שכלים נקודתיים אלה אינם מספקים להגנה בפני מתקפות סייבר המנוהלות כמו מבצע צבאי מורכב. נדרש סוג חדש של הגנה הן ברמה האופרטיבית והן ברמה הטכנולוגית. הפרדיגמה השתנתה מ"לעצור את האויב על הגדרות" לגישה שמבינה כי האויב כבר חדר פנימה, ולכן נדרש מאנשי אבטחת המידע לגלות מה הוא מנסה לעולל לנו ולמנוע זאת ממנו.

הדור השני של תפיסת ההגנה התבסס על אינטגרציה בין פתרונות נקודתיים. ברגע שארגוני אבטחת המידע הבינו שפתרונות הפיירוול והאנטי וירוס לבדם לא יעזרו כשהם פועלים בפני עצמם וללא תיאום, הם החלו לצטייד בכלי פורנזיקה ובכלי הגנה יוריסטיים, וחיברו את כולם למערכת מתואמת אחת במטרה ליצור שכבת הגנה אחידה ואינטגרטיבית. הרעיון היה טוב בבסיסו, אלא שבמבחן המציאות הופיעו בעיות שפגעו ביעילות האופרטיבית שלו. אחת מהן היתה הצפה של התראות בכמות עצומה – חלקן הגדול התראות שווא – אשר גזלו שבועות ולעתים חודשים של זמן קריטי. המערכות המתוחכמות יצרו "מסך עשן" של התראות ולמעשה מנעו כל אפשרות להתמקד באיומים החשובים באמת, ועד שמנהלי האבטחה הבינו את היקף, מטרת ומצב ההתקפה, "הסוסים כבר ברחו מהאורווה" (למשל פרטי האשראי של הלקוחות נמכרו בשוק השחור לכל המרבה במחיר).

חוסר היעילות של המערכות המשולבות מהדור השני לא ביטא את קריסת הקונספציה, אלא עורר את הצורך לפתח מערכות הוליסטיות שיתאימו לאתגרי הסייבר של התקופה, כלומר למתקפות מסוג APT. כך הגענו לימינו אנו, אל תחילת הדור השלישי של תפיסת ההגנה מפני איומי סייבר – תפיסת הפלטפורמה המודיעינית האחודה. בבסיס תפיסת ההגנה הזו עומדת ההנחה שארגונים, ממשלתיים ומסחריים כאחד, זקוקים למערכת אחודה המורכבת מפתרונות אינטגרטיביים שיוצרים שכבת הגנה הוליסטית. במילים אחרות, השינוי אינו רק טכנולוגי אלא גם מתודולוגי ואופרטיבי. מערך ההגנה הארגוני חייב להתבסס על איסוף רציף של מודיעין המאפשר הפעלה מיידית של כלי הזיהוי – כאשר הכול מתבצע בתנועה רציפה ועקבית על גבי אותה מערכת אחודה וסקלבילית, אליה ניתן להוסיף פתרונות משלימים לאורך הדרך.

משיחות עם מנמ"רים ומנהלי אבטחה בארגונים, עולה צורך גובר ביכולות הגנה הוליסטיות מפני מתקפות סייבר מתקדמות, באמצעות כלי זיהוי, תיעדוף, תחקור והגנה, וכל זאת על גבי פלטפורמה אחת. האנליסטים נדרשים ליכולות זיהוי ותחקור אירועים בזמן אמת ולאחר האירוע אשר מבוססות על כלי גילוי ופורנזיקה מתקדמים, על מנת לאתר ולחסום מתקפות מתמשכות מסוג APT שמאיימות לגרום נזק רב לארגון המותקף. כמו כן זקוקים האנליסטים ליכולות אוטומציה ותזמור שמאפשרות לשתף ולנתח מידע מודיעיני בתוך המערכת, ועל ידי כך להסתגל לאיומים חדשים ולהתגונן בפניהם באופן מתמשך.

הפתרונות הנדרשים היום צריכים לאפשר התמודדות עם כמויות מידע רבות, גמישות והתאמה לדרישות הארגון לאורך זמן וכן יכולות אינטגרציה לפתרונות השונים שהוטמען בארגון, על מנת להיות אפקטיביים ולהתאים לצרכים המשתנים והעתידיים של הארגון. בשנתיים האחרונות אנו רואים את חברות אבטחת המידע הגדולות מתחמשות ורוכשות חברות עם טכנולוגיה משלימה, במטרה להיערך לדור השלישי של תפיסת ההגנה ולהציע פלטפורמה מודיעינית אחודה והוליסטית. ניתן לציין בהקשר זה את רכישת טראסטיר על ידי יבמ, את רכישת סייברה על ידי פאלו אלטו נטוורקס, את רכישת אאוראטו על ידי מיקרוסופט ואת הרכישה של הייפרווייז על ידי צ'ק פוינט בחודש פברואר האחרון.

יש לשער שצפויות רכישות נוספות בתחום, ואולי גם מיזוגים, וזאת כחלק מההיערכות של השוק לאספקת פתרון הוליסטי שיגן על ארגונים מפני מתקפות סייבר מתוחכמות. קשה לנחש אילו רכישות ומיזוגים יתרחשו בעתיד הקרוב, אולם דבר אחד נראה בטוח למדי - מאז שמנכ"ל טארגט שילם בכסאו על תוצאותיה של מתקפת סייבר, המסר לגבי האיומים החדשים עבר בצורה צלולה ובהירה ביותר למנכ"לים ומנהלי אבטחה, ומנגד האיומים עצמם רק הופכים למתוחכמים יותר. על כן סביר מאוד להניח שהדרישה לפתרונות הגנה הוליסטיים מהדור השלישי, המבוססים על פלטפורמת מודיעין אחודה, רק תלך ותגבר.

הכותב הינו מנהל פעילות הסייבר של ורינט