דמיסטו נרכשה כדי לפרום את הפלונטר שיוצרים מוצרי הסייבר

אתמול נודע שחברת הסייבר הישראלית דמיסטו (Demisto) נרכשה רשמית בידי פאלו אלטו נטוורקס (Palo Alto Networks) האמריקאית ב-560 מיליון דולר. המגעים בין החברות נחשפו בכלכליסט לפני כשבועיים, ועתה הבשילו לעסקת ענק. היא תתבצע במזומן ובמניות, ותושלם בחודשיים הקרובים - כששתי החברות שומרות על הקלפים קרוב לחזה ועדיין לא ידוע, למשל, אם כל העובדים ייקלטו בשורות הרוכשת. דמיסטו מפתחת מערכת מתקדמת בתחום סייבר מעניין, שנקרא בלעז SOAR, או אוטומציה ותזמור של תגובה באירועי אבטחה (Security Orchestration, Automation and Response). זה לא סתם שם הייטקי שנועד להגניב: יש פה בהחלט תזמורת לנהל, וצרות צרורות כשהיא מזייפת.

ישנם הרבה סוגים של חברות סייבר, בעלות מוצרים שנועדו לצוד נוזקות, לזהות ניסיונות גניבת מידע, לנטר התנהגויות חשודות של גורמים בתוך הארגון ועוד; המוצר של דמיסטו אינו תוכנה שיודעת לאתר האקרים או להגן על תת-מערכת ספציפית מפני מתקפה ממוקדת ספציפית - אלא להתמודד עם האתגר העצום שבתפעול המוצרים הללו - שהפכו לקללה בפני עצמם. חברות הסייבר למיניהן לא מפתחות מוצרים שמסוגלים לטפל בכל בעיות האבטחה מקצה לקצה, שכן פיתוח כזה אינו אפשרי - אפילו לגדולות והחזקות ביותר, אפילו לענקיות כמיקרוסופט, סיסקו ואחרות.

הסיבה היא שאבטחת ארגונים היא מטלה גדולה משנדמה: ישנם סוגים רבים של נקודות חדירה פוטנציאליות וסוגי פעילויות שחשופות לאיומים שונים, וסוגים רבים של טכניקות חדירה, וכל שילוב שלהם מצריך מו"פ משמעותי מאוד. עד כדי כך, שלעיתים כלל לא משתלם לפתח יותר ממוצר אחד שמתמודד עם טכניקת חדירה אחת בנקודה אחת. זו, למשל, הסיבה שאין טיטאני אבטחה כפי שקיימים בתחומים אחרים, כמו פרסום מקוון בו שולט הדואופול של גוגל ופייסבוק.

אך לתאגידים עדיין יש צורכי אבטחה, שגם הולכים ומתפתחים ככל שפעילותם מתרחבת - וכל ארגון חייב להגן על עצמו מפני כל איום משמעותי; תוקפים מתקדמים יכולים לגרום נזקים פיסקליים ותדמיתיים עצומים, שלפעמים מתגלים לאחר שנים; בנובמבר האחרון נחשפה פריצת סייבר עצומה, במסגרתה גנבו האקרים מידע רגיש של בין 383 מיליון ל-500 מיליון איש מרשת מלונות מאריוט.

במקור, נפרצו מערכות רשת המלונות Starwood, שנרכשה ב-2014 בידי מאריוט; ההאקרים פשוט טיפסו להם מרשת אחת לרעתה, וכל סקרי הסייבר של החברה הרוכשת לא גילו את האיום. ולפיכך, נאלצים ארגונים להיכנע לאילוצים ולקנות מוצר אבטחה לכל סוג איום רלוונטי ותרחיש הפעלה שלו, עד כמה שמאפשר התקציב. לתאגיד הממוצע יש כיום עשרים וגם שלושים וארבעים מוצרי אבטחה שונים, לפעמים יותר.

מקלידים ומזינים במקום לנתח

לצד האתגר התקציבי, מביא ריבוי פתרונות האבטחה גם אתגר פרסונלי: הדרכת צוותי האבטחה יקרה ומתמשכת, כשלכל מוצר סייבר ממשק משלו, מגבלות משלו וחלקם אף מצריכים תשתית ייעודית (שבתורה, מחייבת הדרכה משלה). במבחן התוצאה, מתגלה ריבוי המוצרים כמכשול מבצעי בפני עצמו: צוותי תגובה צריכים לבצע לא מעט מלאכות באופן ידני - למשל, לקחת פרטי מתקפה מזוהה אחת ולהזין אותה מתוכנה אחת לרעתה, כך שהמידע זורם כבמרוץ שליחים ורכיבי האבטחה ידעו להתמודד עם האירוע רק כשיגיעו פרטיו לכולם. במתאר שכזה, מהירות התגובה תלויה בין השאר, ביכולתו של העובד להבין את ממשקי המערכות שלו, ולהתגבר על השטיקים של כל אחת. מהן. ואולם, לצוותי הסייבר יש משימה חשובה בהרבה מהתעסקויות טכניות עם תוכנות שמדברות ביניהן: הבנת מבנה המתקפה. לפעמים צריכים צוותי התגובה לזהות בזמן אמת לאן התקדם הפורץ ומאיזה רכיב ברשת הוא הגיע, אילו כלים הפעיל כדי לטפס מרשת אחת למשנתה, ולחסום אותו. במתאר זה, כל פעולה שאינה ניתוח מהיר ותגובה מיידית היא בזבוז זמן יקר.

הפיתוח של דמיסטו נועד להוריד את העומס שבטיפול השוטף במוצרים הללו, בדגש על אירועי סייבר מתגלגלים. מוצרי SOAR יודעים לזהות פעולות שגרה ולבצע אותן עבור צוות האבטחה, ולזהות צרכים מיוחדים שמתעוררים בעת חירום. בתוך כך, ביכולתם גם לייעל את התגובה, וגם לצמצם עלויות תפעול; יותר רכיבים אוטומטיים מאפשרים לצמצם את גודלם של צוותי האבטחה. פיתוחי SOAR יעילים הם בגדר השקעה טובה: לא כל ארגון צריך כל מוצר סייבר, אך כל ארגון בעל ריבוי רשתות וריבוי מוצרי אבטחה יצטרך כלי עזר לניהול חמ"ל האבטחה שלו. ככל שהכלי יהיה יעיל יותר, וללקוח יהיו אילוצי סייבר מורכבים יותר ואיתם צוותים גדולים יותר, כך יהיה בעל פוטנציאל צמיחה בקרב תאגידים עם כיסים עמוקים. ולכן בחרה פאלו אלטו נטוורקס בדמיסטו: יש לה חבילה נרחבת של מוצרי סייבר, והמוצר של דמיסטו הוא אס שיסייע הן בהרחבת עסקאות קיימות עם לקוחות, והן בגיוס לקוחות חדשים.

יתרון תחרותי מוגזם?

בשיחת משקיעים ואנליסטים הסביר ניקש ארורה, מנכ"ל פאלו אלטו נטוורקס, שסקרי המכירות שערכה החברה גילו שפיתרון אוטומציה יעיל, גמיש ונוח הוא אחת הדרישות המרכזיות בקרב הלקוחות. "לדמיסטו יש יותר מ-150 לקוחות, חברות פורצ'ן 500 בתחומי הבריאות, הפיננסים ועוד; קמה סביבה קהילה של אלפי מומחים, ויש לה תוכנית שאפתנית מאוד שתתנהל מעתה ביחד איתנו", סיפר. לדבריו, הטכנולוגיה של דמיסטו היא הטובה מסוגה, והביקוש לשירותיה צפוי רק לגדול; הרי לכל תאגיד יש עומס מוצרי אבטחה, ואוטומציה היא הפיתרון. יש לדמיסטו מתחרות רבות בתחום ה-SOAR, ביניהן ספלאנק שרכשה את פלטפורמת פאנטום, Ayehu, סייברביט, SIEMplify ו-Rapid7.

המערכת של דמיסטו מסוכרנת עם הפלטפורמה של פאלו אלטו נטוורקס מזה מספר חודשים, מה שסייע לחברה להבין עד כמה היא אפקטיבית. ואולם, במהלך שיחת המשקיעים עלתה שאלה בלתי צפויה: החיבור של דמיסטו למוצרי אבטחה שונים נועד לאפשר למערכת ללמוד את אופי השימוש בהם - כדי לבצע מהלכים בעצמה במקום איש הסייבר. החיבור הזה מעניק לה גישה אינטימית ביותר לאופי השימוש באותם מוצרים, לרבות ליקויים, בעיות חיבור, ממשקים, וחשוב מכל - הדרך בה תופסים אותם המשתמשים. למשל, מוצר אבטחה יקר יכול להיות בשימוש רק פעמים נדירות, מה שיהווה הזדמנות לפעולה; עם הידע הזה, תוכל פאלו אלטו נטוורקס לגשת לאותו לקוח ולהציע את מרכולתה, כשהיא יודעת שללקוח יש מוצר יקר אך בלתי מורגש. אנשי פאלו אלטו השיבו שעל אף שרכישת דמיסטו תספק לה גישה עקרונית לדאטה ערכי, מוטב לחברות אבטחה להתמקד באיומי הסייבר ולא במוצרי האבטחה סביבם.

העסקה הזו מקדמת את פאלו אלטו נטוורקס למקום בו תוכל להציע קשת רחבה ביותר של פתרונות אבטחה; החברה, שליבת עסקיה מתמקדת בחומות אש (רכיבי רשת שמסננים תעבורה) ויישומי אבטחה ענניים, מציעה גם תוכנות לאבטחת נקודות קצה, תיעוד מתקפות, כלי עזר לחקר פריצות סייבר ועוד. בסופו של דבר, גם היא לא מסוגלת להציע את כל קשת שירותי הסייבר שצריך ארגון ולא תוכל להפוך לוואן-סטופ-שופ בתחום, אך פלטפורמת דמיסטו תוכל לדחוף את עסקיה על חשבון חברות גדולות אחרות, בין היתר בשל הרחבת מגוון המוצרים, שמאפשר הצעת באנדלים וחבילות עשירות יותר המותאמות ללקוח.