צילום: עמית שעל
ראיון כלכליסט
מנכ"ל סייבריזן: "אי אפשר להסתיר פריצות של האקרים"
כשבאמתחתו 100 מיליון דולר מתאגיד הענק היפני סופטבנק ולפניו גיוס של 300 עובדים נוספים, מנכ"ל חברת הסייבר סייבריזן ליאור דיב מסמן את הנשק הבא של ההאקרים, מתאר כיצד מתמודדים עם פריצה אצל לקוח ומסביר מדוע חברות שמסתירות פריצות מהמשתמשים שלהן טועות — "זה כבר לא לגיטימי"
"יש האקרים שאנחנו מכירים בשמם, יודעים שיש להם כלב ומי בת הזוג שלהם, ואני מניח שהם מכירים גם אותנו. זו היכרות אינטימית", מספר מנכ"ל ומייסד חברת הסייבר סייבריזן ליאור דיב בשיחה עם "כלכליסט". "חלקם חוזרים שוב ושוב. אתה דוחף אותם החוצה מהמערכת והם חוזרים, וחוזר חלילה. בחלק מהמקומות בעולם זה אפילו עסק לגיטימי". דיב, שהחברה שייסד גייסה בקיץ האחרון 100 מיליון דולר מתאגיד סופטבנק היפני, מודה שאין דרך מוחלטת לעצור האקרים מלפרוץ למערכות ממוחשבות. לכן, הוא מסביר, "חייבים לייצר פעולה נגדית".
"זה לא משנה איזו חומה נייצר, ההאקרים יצליחו לעבור אותה", הוא מפרט. "החומה עדיין צריכה להיות הטובה ביותר, אבל כולנו ראינו ‘משחקי הכס’: חומות דינן ליפול ולהיפרץ". הפעולה הנגדית ש־400 עובדי סייבריזן (החברה מתכוונת לגייס 300 עובדים נוספים השנה) מייצרים היא פועל יוצא של האמרה השחוקה שלפיה ההגנה הטובה ביותר היא התקפה. או בשפת אנשי הסייבר "האנטינג" (Hunting): ציד. וכך גם דיב מרבה לדבר בציד, צדנו ולצוד”.
"זיהינו פעולה חשודה אצל אחד הלקוחות שלנו והתרענו על תקיפה", מתאר דיב את הליך ההתמודדות עם תקיפת סייבר. "אני מניח שהתוקף במערכת באיזה מקום וצריך לצוד אותו, לתפוס אותו בפעולה נגדית. עוקבים אחריו ויודעים בדיוק מה הוא עושה, ואז משתמשים בפיתיון שמדמה את מבוקשו ודוחפים אותו החוצה מהמערכת. וכל זאת כשברור שהתוקף לא תוקף פעם אחת והולך אלא חוזר עוד פעם שוב ושוב".
"שיטינו בהאקרים. מסרנו להם מידע שהיה פיתיון"
דיב מביא כדוגמה אירוע שסייבריזן טיפלה בו בשנה החולפת אצל לקוחה בינלאומית גדולה שעוסקת גם בייצור. "הם הזמינו אותנו אחרי שמנגנוני האבטחה הבסיסיים זיהו שמשהו קורה אבל לא הצליחו לטפל בו", הוא מתאר. "היום כבר לא צריך להגיע למקום האירוע, טיפלנו בכל מרחוק. נתנו למערכת לרוץ וראינו שההאקרים שולטים בכל מחשבי הארגון, השרתים, המיקרופונים, המצלמות. עם זאת, החברה המשיכה לפעול כי ההאקרים היו נחמדים ולא הפריעו לעבודת החברה השוטפת. העובדים ייצרו ובו בזמן הפורצים שאבו את המידע.
"ראשית, זיהינו את המקומות שאליהם יש להאקרים גישה באמצעות מעבר מתודי על כל הארגון. אחרי זה ניסינו להבין כמה התוקף מתוחכם, ולצורך כך שחזרנו לאחור את כל הפעולות שהוא ביצע כדי להבין מה היתה נקודת החדירה הראשונה, באילו כלים הוא משתמש ואיך זה הביא להדבקת הארגון כולו", מתאר דיב את מהלך הדברים כחקירה לכל דבר ועניין. "הגענו למצב שאמרנו ללקוח, 'לחצת על אימייל פה, האימייל הדביק את המחשב הזה, הדיסק־און־קי שהיה בו הדביק את המחשב השני' וכך הלאה. רק כשיש לנו כל המידע הזה, אנחנו יכולים לייצר את הכלים שבאמצעותם נדחוף את התוקף החוצה מהמערכת", מסביר דיב. "מדובר בתוקף שהיתה לו גישה לכל המחשבים בארגון, כך שאם עושים משהו באחד המחשבים, הוא יבחין בכך. לכן צריך לפעול באופן אחיד ומקביל על כל המחשבים בבת אחת כדי לסלק את התוקף".
לדברי דיב, בדיוק כפי שאנשי הסייבר צפו, התוקף חזר לנסות לפרוץ שוב למערכת כעבור שלושה ימים, הפעם כשהוא חמוש בסט כלים חדש ומתוחכם. "הם חיכו ליום שידחפו אותם החוצה וכבר הכינו סט כלים שלם לכך", הוא אומר. "ההלוך־חזור הזה נמשך חודשים. התוקפים מאוד עקשנים, לעתים הם לא מפסיקים עד שהם משיגים את המידע שרצו בו. במקרה זה התקיפות לא פסקו עד שלא שיטינו בהם ומסרנו להם מה שנראה כמו אותו מידע אבל למעשה היה פיתיון".
"חברות שהסתירו פריצות סבלו מפגיעה במוניטין"
זה נשמע מוזר לחשוב על חברה בינלאומית גדולה שמצויה תחת שליטת האקרים במשך חודשים בלי שלקוחותיה יידעו על כך, אבל לדברי דיב, פריצות כמו זו מתרחשות כל העת. "אנחנו עובדים בזה הרגע בו־זמנית על עשרה תיקים בסדר גודל מאוד משמעותי", הוא חושף.
אך למרות המציאות שמתאר דיב שבה תקיפות סייבר הפכו כמעט לעניין שבשגרה, חברות רבות עדיין מסתירות מהמשתמשים במשך שנים שמערכותיהן נפרצו. בחלק מהמקרים חברות אף משלמות לפורצים כדי לסגור את העניין בשקט. כך, בנובמבר האחרון נחשף שאובר שילמה 100 אלף דולר לפורצים שגנבו מידע אישי על אודות 57 מיליון חשבונות של נהגים ונוסעים בשירות בתמורה שיבטיחו שימחקו את המידע והחתימה אותם על הסכמי שתיקה (NDA).
למה החברות ממשיכות להסתיר מהמשתמשים שלהן פריצות?
"בעולם שבו אנחנו חיים זה כבר לא לגיטימי להסתיר מהלקוחות שהותקפת. חברות צריכות לעשות את המקסימום כדי להגן על עצמן, אבל זה לא ישנה את העובדה שחברות בכל הסוגים והגדלים הותקפו ויותקפו. כל חברה שניסתה להסתיר שנפרצה, בסוף זה ייצא החוצה. אי אפשר באמת להסתיר", אומר דיב.
"החברות שהותקפו ודיווחו על זה בצורה יזומה שלטו על המסר. הן הסבירו מה הן עשו כדי להגן על המשתמשים, איפה הן נכשלו ואיך הן מתכוונות להשתפר. במקרים האלה רואים שמניית החברה לא נפגעה אלא חוותה נגיעה קלה באותו יום והמשיכה לעלות ביום שלמחרת. בחברות שהסתירו את הפריצות רואים פגיעה מסיבית במוניטין וברמת האמון".
האם יש עוד פריצות גדולות שאנחנו לא יודעים עליהן?
"כן, יש מקרים מאוד גדולים. אנחנו מודעים לכמה תקיפות שהתרחשו ובסופו של דבר לא התפרסמו, ואתה שואל את עצמך למה". לדבריו, הסכמי השתיקה צפויים להיעלם כי המחיר שיבוא אחר כך כבד עוד יותר.
לפי דיב, גם לאחר שפריצות ותקיפות האקרים הפכו לעניין שבשגרה, במקרים רבים מנהלי החברות שהותקפו עדיין לא מבינים איך נכון לנהוג. "במקרה של אירוע סייבר אנחנו אומרים ללקוחות שלנו לערב כמה שיותר מהר את עורכי הדין ואנשי יחסי הציבור שלהם, ולמעשה את כל המטה בארגון", הוא מסביר. "חברות רבות עדיין טועות לחשוב שפריצה היא בעיה של מחלקת המחשוב בארגון, אבל זו מזמן הפכה לבעיה של המנכ"ל והדירקטוריון".
נוזקת הכופר של 2018: "תקיפה ללא קובץ"
הכלים שבהם משתמשים ההאקרים הולכים ומשתכללים מדי שנה. בשנתיים האחרונות משתמשי העולם הרגישו את נחת זרועה של נוזקת הכופר (Ransomware), שזינקה מ־3.8 מיליון תקיפות ב־2015 לכדי 638 מיליון תקיפות ב־2016 לפי נתוני חברת הסייבר SonicWall. במאי אשתקד היכתה נוזקת הכופר WannaCry ב־300 אלף מחשבים ב־150 מדינות, לפי ההערכות.
מה תהיה נוזקת הכופר של 2018?
"את זה אנחנו כבר יודעים בוודאות, זו תהיה התקיפה ללא קובץ (Fileless malware). ההאקרים הבינו שהאנטי־וירוס סורק את הדיסק הקשיח במחשב וכך תופס אותם ומנסה לעצור אותם. התקיפה ללא קובץ מאפשרת לתוקפים להפעיל משהו מהאינטרנט על המחשב בלי שייווצר ייצוג כלשהו שלו על הדיסק הקשיח, כך שאנטי־וירוס סטנדרטי בכלל לא מסוגל לזהות אותו. זה מאפשר להאקרים לעבוד במשך פרק זמן ארוך בלי שמישהו יזהה אותם ויטפל בהם.
"בעבר השיטה הזו היתה שמורה להאקרים מתוחכמים שעורכים פריצות מסובכות לארגונים מדיניים־ביטחוניים של ממשלות. אבל פתאום אתה רואה שזה כלי שקיים גם אצל פושעים ושהם יודעים להשתמש בו. התקיפות ללא קובץ משמשות כיום במרבית התקיפות המתוחכמות".
לא התפרסמו תגובות לכתיבת תגובה