<
יום ראשון , נובמבר 19 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > Cronus: הרובוט הווירטואלי שחושב כמו האקר כדי להגן על ה-IT שלכם

Cronus: הרובוט הווירטואלי שחושב כמו האקר כדי להגן על ה-IT שלכם

זוכרים את האגדה האורבנית על נבחרת גרמניה? "כדורגל משחקים 90 דקות ובסוף מנצחת גרמניה". היתה מאחוריה תובנה אמיתית, רלוונטית לא רק למשחקי המונדיאל, אודות היתרון של התמדה, עיקשות ונחישות בהשוואה לברק טכני, אלגנטיות ונטיה למצבי רוח מתחלפים. היום אפשר לייחס משמעות דומה לאגדה הדיגיטלית, ש"מרוץ החימוש בין ההאקרים למנהלי האבטחה נמשך ללא הכרעה, אבל בסוף ההאקר חודר והנזק נעשה".

למי יש הצדקה לשאננות? 

דורון סיון

דורון סיון

כיצד זה ייתכן – והרי ההאקר הממוצע אינו (בניגוד לדעתם של תסריטאי הוליווד) גאון מבריק ואפילו, בדרך כלל, לא מומחה גדול בכלי פריצה? כמעט תמיד האנשים הממונים על אבטחת סייבר חכמים יותר, מבינים יותר ומנוסים יותר בניהול מערכות דיגיטליות. אז למה כמעט תמיד התקפה ממוקדת, בלתי פוסקת, נטולת מעצורים, תצליח? למה מנהלי עסקים כבר לא שואלים את המנמ"ר "האם יצליחו לחדור למערכות המידע שלנו?" ובמקום זאת מנסים לקבל תשובה ברורה לשאלה, "לדעתך כבר חדרו את חומות האש ומלאכת ההאקרים מתנהלת במחתרת, בשקט, בלי שאנו בכלל מודעים לכרסום ביסודות הארגון שלנו?" הניסיון העולמי, לכל הפחות, מצביע על כך שלא מדובר בפרנויה אלא בתסריט חוזר ונשנה. גם חברות ענק וארגונים ממשלתיים עתידי משאבים מתגלים חדשות לבקרים כמעטפות חלולות, שרוקנו מתוכן וסודותיהן נגנבו. אז למי יש הצדקה להתמיד בשאננות חסרת אחריות אל מול סכנות הסייבר?

"ההתקפה היא ההגנה הטובה ביותר" אומרת התורה הצבאית הקלאסית, אלא שבמרחב הסייבר האזרחי אי אפשר להעביר את המלחמה לשטח האויב. "נכון, אתם לא יכולים להעסיק "האקר טוב" כדי לבצע מתקפת נגד", אומר דורון סיוון, מנכ"ל Cronus (כרונוס), חברת סייבר שוברת מוסכמות מחיפה, שמאמין כי אפשר לפתור את הבעיה באמצעות "החלפת דיסקט" במטה ניהול האבטחה, ה-SOC. "אבל אתם יכולים להעסיק האקר טוב כדי לתקוף את המערכות שלכם, אותם אלה שאתם חייבים להגן  עליהן. לכולם ברור שאף מערכת אבטחה לא יכולה לספק שקט נפשי אמיתי. אם אתם מקיפים את ה-IT שלכם בחומת אש, עליכם לוודא שאין בה סדקים, נקודות חולשה ושטחים מתים דרכם אפשר לחדור אותה."

לחשוב כמו האקר, לא כמו מז'ינו

"תשאלו, מי בוחן את חוסן מערכות ההגנה ובאיזה כלים נעשה המבחן? בדרך כלל זה המנמ"ר או היועץ החיצוני שעיצב, בנה ומתחזק את חומת האש. והכלים הם אלה שהוא מכיר מהניסיון הממושך שלו בתחזוקת מערכות מידע. אבל הוא לא האקר והוא לא חושב כמו האקר. את כיווני החדירה המועדפים על האקרים הוא בכלל לא רואה ולכן, במוקדם או במאוחר הוא יופתע. הוא תכנן מערכת הגנה משוכללת, רב-שכבתית, "קו מז'ינו" בלתי חדיר, שלקח שנים לבנות ועולה מיליונים לתחזק – והשאיר את האגפים פרוצים כי לא עלה בדעתו שלהאקר יש מנטליות של לוחם גרילה, המחפש דווקא את מסלול החדירה שאין בו התנגדות. בניגוד למנמ"ר המתוחכם, ההאקר הוא אופורטוניסט "חסר כבוד", שלא מחפש אתגרים ולא מתעייף מלחזור על טקטיקות "בזויות" שהצליחו בעבר. ולכן, אחרי מאות, אלפי או מאות אלפי ניסיונות, הוא ימצא את הדרך אל מאחורי חומת האש. קו מז'ינו ימשיך להחליד – בזמן שהממזרים יאגפו אותו וירסקו את הליבה בעורף ההגנה".

"השאננות היא אם כל חטאת" ולא רק כשמדובר בביטחון לאומי. דווקא לצד החזק יותר, הבטוח בעצמו ובאיכות הארסנל שלו, קשה יותר להשתחרר מחיבוק המוות של השאננות. ארגונים חזקים נמשכים לאשליה של ביטחון סטטי המושתת על השקעה מסיבית באמצעי הגנה יקרים. החלשים, העניים והשאפתנים יעשו הכל כדי לחתור בזול מתחת לחומות, לערער את מאזן הכוחות באמצעות חדשנות וערמומיות – ומאחר והיוזמה בידם הם יצליחו במוקדם או במאוחר להפתיע. "הדרך היחידה למנוע הפתעה היא לאתגר בשיטתיות את המתגוננים באמצעות סימולציה של התקפות", אומר דורון סיוון. "כל טירון בצבא יגיד זאת לכם. צריך להיות קצת יותר מנוסה מטירון כדי להבין שהצד התוקף במשחקי מלחמה צריך לשחק אויב שחושב אחרת ממתכנני מתודת ההגנה, מישהו שחושב כמו האויב האמיתי – גם אם אתם לא מעריכים במיוחד את החוכמה הטקטית של האויב. ההפתעה הישראלית ממלחמת המנהרות של החאמס בעזה נבעה מכך שהמתכננים הישראליים חשבו בתבניות "רציונליות" על פי המושגים של צה"ל ולא של כנופיות טרור. ושום צבא מקצועי לא יכניס את עצמו מבחירה למילכוד של חפרפרות ללא מרחב תימרון. גם בהגנת סייבר יש צורך בפרספקטיבה  של התוקף כדי לדעת להתכונן. זה הג'וב של "האקר בכובע לבן", השירות שחברת Cronus מציעה לארגונים שמנסים לא להירדם בשמירה".

מתן אזוגי

מתן אזוגי

 אוטומציה של מבדקי החדירות

דורון סיוון הוא יזם סדרתי בתחום הסייבר, מיסד ובעלים של חברת הייעוץ מדסק סקיוריטי(MadSec Security), מרצה מבוקש באקדמיה ובקורסים למנהלי אבטחה, שגם כתב את ספרי הלמוד בתחום ומשמש יועץ לחברות בינלאומיות. את חברת Cronus הוא ייסד עם שותף, מתן אזוגי המשמש כסמנכ"ל הטכנולוגיות של החברה. מתן, המוכר בתעשיית הסייבר  כהאקר "גאון", פיתח אלגוריתם שמחקה במדויק את קו המחשבה של ההאקר ומאפשר לקבל מידע ולהגיב בזמן אמת לכל מצב של פריצה. CyBot, הפתרון של החברה, המבוסס על האלגוריתם, מאתר אוטומטית תרחישי תקיפה, אשר כוללים מספר מערכות מחשוב, בודק ומאמת את התרחיש. לאחר מכן הפתרון ממשיך ומנחה באופן אוטומטי את ציוד האבטחה הרלוונטי על מנת למנוע את הפרצה ומעדכן את הצוות המקצועי בחברה.

הפתרון למעשה מבצע אוטומציה של מבחני החסינות. יתרה מכך, הוא מציג את התוצאות בפורמט גרפי-אינטואיטיבי, המובן גם למנהלים לא מתחום האבטחה ומאפשר למקד מאמצים והשקעת תקציבים בנקודות מדויקות מהן ההאקר צפוי לחדור ובצמתים דרכן סביר שתתפתח ההתקפה. חברת מדסק, ממנה נפרדה Cronus כדי להתמקד במוצר המהפכני שדורון מאמין כי השוק העולמי שלו עצום, מספקת שירותי ניהול אבטחה, יעוץ פרויקטים וסקרים במיקור חוץ ליותר מ-50 ארגוני Enterprise בישראל, כולל בנקים וחברות ביטוח, מוסדות שלטון והשכלה גבוהה, תעשייה ותשתיות, תקשורת וסחר באינטרנט. "החלטתי להקדיש את כל זמני וכוחותיי לסטארט-אפ החדש, ל- Cronus, משום שאני מאמין כי הפוטנציאל בתחום הוא עצום", הוא אומר. "היעד הוא לחצות את קו מיליארד הדולר בעוד 5 שנים".

המודל העסקי של Cronus דומה לזה של חברת שירות אינטרנטי, שמסוגלת להציע את המומחיות הייחודית שלה בכל העולם, בתמורה לדמי מינוי לא גבוהים – וכל זאת במקביל לאלפי ועשרות אלפי לקוחות. "הפתרון שפיתחנו שובר את מגבלות ההספק של בוחן אנושי", הוא אומר. "האקר רגיל, ולא משנה צבע הכובע שלו, מספיק לבצע מתקפה אחת ולכל היותר שתיים בשעה. הפתרון שלנו, Cybot, מבצע 100 תקיפות לדקה! לעובד של Cronus ליד קונסולת הפעלה של Cybot יש הספק גדול פי 3,000 לפחות מהעבודה שעושה האקר קונבנציונלי. יתרה מכך, ההאקרים הוירטואליים משתפים ביניהם מידע וכך יוצרים תמונה מלאה מורכבת של כל איומי החדירה. וזה אומר שאנו יכולים להציע שירות איכותי במחיר מתחת לרצפת הכדאיות של מתחרים ולעשות זאת בהיקפים של אופרציה גלובלית שלא יודעת גבולות. כשמסתכלים על היתרונות שלנו – ועל הדרישה הגוברת לסוג זה של שירות – התחזית של מיליארד דולר ממש לא נשמעת מוגזמת. היום אנו מובילים סיבוב שני (Round B) של גיוס הון במטרה להוסיף 5 מיליון דולר לקופה, בעיקר כדי לממן פריסה שיווקית באירופה (בריטניה וגרמניה), כמקפצה לשוק האמריקאי. רוב הכסף כבר הובטח על ידי קרנות הון סיכון מובילות, שסומכות את ידן על התוכנית העסקית שלנו. לאחרונה השלמנו גיוס של 8.5 מיליון שקלים מקרן Janvest ומקבוצת משקיעים פרטיים. בנוסף החברה זכתה למימון כספי מהמדען הראשי במסגרת תכנית הסייבר הדו שנתית. Cronus מינתה שלושה סוכנים להפצת הפתרון במגזר ה-Enterprise הבינלאומי, עם דגש על שוק מפעילי שירות ענן וספקי פתרונות עסקיים מנוהלים. בנוסף, חתמנו על הסכמים עם שמונה מפיצים במרכז ומערב אירופה".

להפוך אומנות להנדסה

Cronus לא המציאה, כמובן, את הרעיון של "האקר בכובע לבן", היא רק מיכנה אותו ואפשרה את יישומו בקנה מידה בינלאומי. מאז ומעולם היו ארגונים שהעסיקו האקרים בתשלום כדי שאלה יחפשו ויאתרו נקודות חולשה, ויבנו תסריטי חדירה שמוליכים מנקודות החולשה אל הנכסים הרגישים בליבת ה-IT. הבעיה היא, שצורת החקירה הזאת מסתמכת על ידע אישי ויכולות של האקרים ספציפיים, יותר "אומנות שחורה" שכוונה למטרות "לבנות" מאשר מתודה הנדסית שניתן ליישמה בכל מערכת IT ארגונית. "גם אם האמנתם שהעסקת האקר בכובע לבן יכולה לשפר משמעותית את המיקוד על איומים ממשיים, לא היתה לכם דרך ליישם את התיאוריה במסגרת חלוקת התפקידים במחלקת מערכות המידע – אם לא התמזל לכם להעסיק את המשאב הנדיר הזה, ההאקר הטוב", אומר דורון סיוון.

Cronus team

Cronus team

"העובדה שארגונים רבים הסכימו להוציא כל כך הרבה כסף תמורת כל כך קצת ביטחון, נובעת מחוסר ברירה. פריצת הדרך שלנו ב- Cronus הגיעה כאשר למדנו לבטא בצורה אלגוריתמית את צורת החשיבה ומתודות הפעולה של האקר אמיתי, האדם שמולו צריך להתגונן. להמחשה, תחשבו על היתרון המבצעי שיכול להיות לקצין משטרה שיש לו יישום בינה מלאכותית המנחש בדיוק רב את התוכניות שזוממים פורצים מהסוג הפלילי. כך, במקום לבזבז כוח אדם ומשאבי חומרה על פטרולים סתמיים ברחובות העיר, הוא יודע היכן ומתי להציב מארבים ולהפתיע את הפושעים, במקום שהם יפתיעו אותו. אם אתם מסוגלים לכך אין לכם יותר צורך בטכנולוגיות אזוטריות לגבור על הפורצים, משום שאתם נמצאים כל הזמן לפחות צעד אחד לפניהם".

רובוט וירטואלי עם מוח קרימינלי

פתרון ה- Cybot היא "רובוט וירטואלי" שחושב כמו האקר, לא רק באספקט הטכני (הוא מתעדכן כל הזמן במתודות פריצה, זיהוי הסימנים שהאקר משאיר במהלך עבודתו ויישום אמצעי סיכון חדירות) אלא גם יודע לנתח את צורת המחשבה הקרימינלית. "כדי לתפוס גנב אתם צריכים לדעת מה מושך אותו", אומר דורון סיוון. "כדי להגן על בנק עליכם להבין כשהפורץ מנסה להגיע לכסף, לא לכספת, ולכן הוא מוכן לפוצץ את הכספת ובתנאי שהכסף לא יושמד. כך גם האקר שפורץ למערכת המידע מנסה להתמודד רק מול המחסומים ששמו בדרכים שמוליכים לנכסים שהוא מנסה לגנוב או להשבית. הניסיון שלנו (בחברת מדסק) מעשרות שנות-אדם של מאבק בלתי פוסק בהאקרים לימד אותנו מה מושך אותם, איך הם מתכננים לעקוף את המחסומים, מה הן התשתיות שצריך לשלוט בהן כדי להגן על משאבים קריטיים, איך למפות את הקשרים בתוך הרשת ולנחש באיזה מסלול אפשרי יבחר האקר כדי להגיע לכל אחד מהמטרות האפשריות, וכדומה. את הידע הזה גיבשנו בפתרון שמתנהג בדיוק כפי שצפוי האקר בשר ודם להתנהג. 

אלא שהרובוט הזה, Cybot, נהנה מכל היתרונות של אוטומציה והיעילות של מחשב דיגיטלי:

  • הוא זריז אלפי מונים ביחס להאקר אנושי. בזמן שמנתח חסינות בודק תסריט יחיד, הרובוט בוחן אלפי וריאציות תוך דירוג רמות האיום וסימון מתווה להגנה אפשרית. זה מקרה אופייני של כמות שהופכת לאיכות.
  • הוא לא מתעייף מעבודה שגרתית 24×365. הוא לא מאבד עניין בהתקפות שסבירותן נמוכה, הוא לא טועה בקריאת המפה בגלל השעה המאוחרת ולא חשוף לשגיאות אנוש משום שדעתו מוסחת לרגע.
  • הוא צמוד למתודולוגיה שהוכחה כ-Best Practice בכל השלבים, החל בסריקת הרשת, מיפוי ואיתור משאבים קריטיים כיעדים לתקיפה, דרך בדיקת ההגנות על נקודות הרגישות הידועות והערכת סיכוני החשיפה שלהן, וכלה בהצבעה על אפשרויות תקיפה מורכבות, שלא מקבלות מענה ממערך ההגנות הקיים.

"צריך להסתכל על Cybot כרובוט מסור, מומחה לסיכול התקפות סייבר שעובד למענכם סביב השעון, מכין דוח של מצב האבטחה מנקודת ההשקפה של פורץ ומסמן את הנקודות שמהן סביר שתבוא ההתקפה ושדורשות טיפול הקשחה", אומר דורון סיוון. "נשמע פשוט, אבל האלגוריתמים שמפעילים את הסריקה האוטומטית וניתוח הסיכונים בטכניקות של BI, הם פורצי דרך ומוגנים בפטנטים. הרובוטים רצים בהנחייה אוטומטית, כמעט בלא צורך במעורבות אדם, והם יודעים לזהות רגישויות שלא נראות לעין "בלתי מזוינת". למשל, מסלולי תקיפה שמדלגים דרך אתרים שונים, שחלקם יתכן ואינם אפילו שייכים לאותו לקוח. קשר סמוי בין אתרים יכול להופיע כחלק משרשרת האספקה, כלומר חדירה באתר ספק יכולה להתקדם ליעד באתר הלקוח, או בכיוון ההפוך, כשהקוד הזדוני מתחפש לתמסורת לגיטימית. Cybot ידע לזהות את הרגישות "השקופה" הזאת ולהתריע על קיומה – ולעשות זאת בלי להשאיר עקבות במערכות היצור. הרצת Cybot ברקע לא פוגעת בביצועי זמן אמת של המערכות עליהן אתם מגינים".

היום מריצה Cronus 5 פיילוטים גדולים בישראל, ב-5 וורטיקלים בהן הדרישה לפתרון מסוג זה גדולה במיוחד: בחברת ביטוח גדולה, בבנק מרכזי, בחברה תעשייתית בעלת פעילות בינלאומית ענפה, באוניברסיטת חיפה ובבית החולים בנהריה. במקביל לפעילות בישראל, ספק פתרונות ענן אירופאי בשם Eureka הוסיף את Cybot למכלול אמצעי ההגנה שלו כדי לעמוד בדרישות הרגולציה האירופית. "מדובר בתקן מחמיר במיוחד, שדורש ממפעיל הענן הרבה יותר מהתקנים הישנים של אבטחת מידע", אומר דורון סיוון. "המפעיל חייב להראות הגנה פרו-אקטיבית ולגבות את טענותיו בנוגע לפעילות יזומה בדוחות ניהול מתועדים. הרובוט Cybot יודע לעשות זאת. למעשה, המתודה שלנו היא היחידה שנותנת מענה יעיל לרגישויות חדשות ומתחדשות, לסכנות Zero Day. התקן האירופי, כמו תקנים שנמצאים בתהליכי אשרור בארצות אחרות, מציב את הרף בגובה שמחייב כל ארגון Enterprise לשקול בחיוב את ההתקנה של מנוע Cybot – או לפחות רכישת השירות מספק שירותים מנוהלים. וזה נכון גם בענן וגם ב-Data Center מסורתי. העולם הולך לדרגה גבוהה עוד יותר של קישוריות ותלות הדדית בין מערכות דיגיטליות. רק Cybot מסוגל לשמור על דרגה סבירה של ביטחון בעולם כזה".

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.