<
יום ראשון , נובמבר 19 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > שולחן עגול ביטחון סייבר "האם אירוע סייבר 9/11 יכול לקרות?"

שולחן עגול ביטחון סייבר "האם אירוע סייבר 9/11 יכול לקרות?"

דניאל כהן (מנחה): רקע הדיון במסגרת הנושא בו נדון, ביטחון סייבר, נתמקד בנושאים הבאים: טרור סייבר, ממשק מדינה מגזר פרטי, ותעשיית הסייבר הישראלית. יום אחד קבלתי משימה: לקטלג ולדרג את התקפות הסייבר המשמעותיות ביותר בעולם בשנים האחרונות. אז בררתי עשרה מקרים וראיתי שאנחנו כמדינה עליה ניתכים איומים רבים, לא סבלנו עד כה מתקיפות סייבר אסטרטגיות משמעותיות שהצליחו להוריד את מדינת ישראל על ברכיה. הסיבה העיקרית לכך היא שיש לנו הגנות סייבר מהמתקדמות בעולם, אך אין זה אומר שזה לא יקרה בקרוב או בעתיד הרחוק יותר. שאלתי לכן: איך קרה שעד היום לא חווינו אירוע סייבר מסוג "9/11", כלומר אירוע סייבר משמעותי שייפגע למשל בתשתיות קריטיות, ברציפות המשק או בגוף פיננסי משמעותי.

דניאל כהן, עמית מחקר בתכנית ביטחון סייבר במכון למחקרי ביטחון לאומי INSS.

דניאל כהן, עמית מחקר בתכנית ביטחון סייבר במכון למחקרי ביטחון לאומי INSS.

דודו מימרן:    מהיכרותי את המערכת הזו קיים סיכוי טוב שאכן יקרה אירוע חמור כזה. יכולות ההגנה חלשות יותר ביחס ליכולות התקיפה ואירוע חמור כגון: הפלת מטוס בשדה תעופה, פגיעה במפעלים כימיים ועוד, כיד הדמיון החופשי, אינו בלתי אפשרי. כאשר מדברים על אירוע טרור או פיגוע המוני באמצעות מתקפת סייבר יש לזכור שמי שכנראה ייקח אחריות לביצועו יהיה ארגון טרור כלשהוא ולא מדינה. מה שמוריד את ההסתברות להתקיימות אירוע כזה זה. יכולותיהם של ארגוני הטרור השונים בתחום הסייבר פחותים בהרבה ואינם ברי השוואה ליכולות של מדינות. בתקיפה שהיא אירוע טרור למשל, השבתת כור גרעיני או הפלת מטוסים האירוע אינו קיברנטי טכנולוגי בלבד, אלא, מצריך מעורבות של אנשים מבפנים, משתפי פעולה וזה הופך את האירוע למורכב יותר לביצוע. אבל שוב, אני פסימי בעניין זה וחושב שאכן תתכן מתקפה כזו ורק מזל מפריד בינינו לבינה, כפי שהיה טרום 9/11.

מוטי סדובסקי:  הייתי מחלק תקיפות סייבר לשני סוגים. האחת פגיעה למטרת נזק והשנייה פגיעה למטרת גניבה/הפקת תועלת כלכלית. הפגיעה מהסוג השני בדרך כלל מופנית כלפי ארגונים גדולים. אלה בד"כ מוגנים, גם אם לא ב- 100% אבל מוגנים היטב יחסית, בנוסף, הם אינם מזדרזים להודות בתקיפה מוצלחת שגרמה להם נזקים. מאידך, פגיעת טרור לשם נזק פיזי לאזרחים וארגונים וכד'(לדוגמא פגיעה במתקני ייצור או השתלטות על רכב) , מסוכנת ובמיוחד היות ואין לה כרגע מענה ו/או הגנה הדומה לזו זו הקיימת במערכת מידע בארגונים.

תמיר סגל:    חשוב לציין שגם האקרים, הפועלים למטרת גניבה או הפקת תועלת כלכלית, בסופו של דבר יש להם השפעה על חיי אדם ועל יכולת עמידתה האיתנה של מדינה. התקפות הסייבר עוברות אבולוציה המתבטאת בהשפעה ישירה על תפקודם התקין של ארגונים, מוסדות ממשלתיים, מוסדות בריאות ופיננסיים. בתקופה האחרונה ראינו כיצד הופעתן של פגיעות רבות מאפשרות להאקרים לשחרר מידע סודי בעל פוטנציאל הרסני, אשר עלול להימכר למרבה במחיר ברשת השחורה. הפרצה הידועה לאתר אשלי מדיסון, עודדה שרשרת של התקפות, בהן הוצף מידע סודי וגנוב באתרים ציבוריים וגרם לפגיעה במוניטין של קורבנות ולנזק גדול יותר משיבוש זמני במהלך העסקים. במקרה של אשלי מדיסון, פושעי סייבר מינפו את המידע שמצאו על מנת לבצע התקפות סחיטה וגרמו לאסון, הן ל- Avid Life Media, בעלי האתר, והן ליותר מ- 30 מיליון משתמשי אשלי מדיסון. דיווח על התאבדות של משתמש שנחשף, רק מוכיח איזו השפעה יש להתקפת סחטנות מעין זו על החיים של אזרחים.

אלי כהן -שותף ומנכ"ל Experis Cyber

אלי כהן -שותף ומנכ"ל Experis Cyber

רחל יעקבי:    העובדה שעד כה לא התרחש אירוע סייבר דרמטי אינה אומרת שהוא לא עלול לקרות. נושא האבטחה במערכת הבנקאית היה מאז ומתמיד גבוה בסדר העדיפויות של הפיקוח, כחלק משמירה על יציבות המערכת. כלומר, זה לא שפתאום בסוף שנת 2011 כשהתחיל ה"באזז" של הסייבר התחילה מערכת הבנקאות להיערך לכך, ממש לא. הפיקוח על הבנקים החל את  היערכותו מספיק מוקדם. בין היתר אנו פועלים לשיתוף מידע ופעילות פרואקטיבית, פעילויות שלא היו בעבר. יחד עם זאת, איני חושבת שניתן לומר שלא יתכן שיקרה אירוע חמור. חשוב עם זאת, ללמוד ולהבין שאם בנק מסחרי יהווה יעד לתקיפה ע"י יריב עם משאבים ויכולות, יש סבירות שהתקיפה עלולה להצליח, כי מניעה מוחלטת אינה אפשרית ולפיכך יש חשיבות לפתח יכולות להתמודד עם גילוי מוקדם ככל שניתן של האירוע וכן מנגנונים לנהל את האירוע.

אלי כהן:        אני מודאג ממה שאני רואה ויודע. אכן יש קבוצה מצומצמת ונגדיר אותה כתשתיות קריטיות שמצבה טוב יחסית. אבל הבעיה היא בספקי משנה לאותה קבוצה וגורמי קשר שלה, ופה מדובר בהרבה מאוד עסקים וגורמים שאינם מוגנים. אפשר לומר עכשיו בפה מלא שהקונספציה של מניעת התקפות כשלה. אם ארגונים גדולים בעולם כגון סוני, טארגט ובארץ לאומי קארד שמשקיעים מיליוני דולרים לא מצליחים למנוע התקפות מה יגידו עסקים קטנים יותר ודלי אמצעים? נקודה שנייה היא עולם הרשויות המקומיות ושם להערכתי נמצאים שנות דור אחורה ופגיעים ביותר. אין ספק לדעתי, כי בנושא זה צריך הרגולטור להתעורר ולהעלות את רמת אבטחת הסייבר ברשויות. נקודת תורפה נוספת תהיה יישומן של מערכות עיר חכמה. נכון, זה עדיין בחיתולים אצלנו, אבל ברגע שזה יתחזק, זו נקודת תורפה בעייתית ביותר.

מארק גזית:   אני מסכים עם רחל , אין לנו ערובה שאירוע דמוי 11 לספטמבר לא יקרה רק בגלל שלא קרה עד עכשיו. אבל ברצוני לציין כי יש הסלמה ניכרת אצל האקרים בשימוש לא נאות בסייבר. ואנחנו רואים היום כיצד דאעש מגייס כספים לפעילותו השוטפת ואולי כדי לאפשר פיגועים דוגמת 9/11. היום נדרשות מערכות אבטחת סייבר מדור חדש שיודעות לזהות תקשורת מוצפנת דרך העברות כספים קטנות ממיליוני מחשבים ולזהות שהן חלק מגיוס גדול עבור גוף טרור.

 דורון סיון:      לדעתי אירועי 9/11 אמנם לא התרחשו כאן, אבל קורים פה מידי יום אירועים חמורים למדי. למשל באקדמיה – נושא אבטחת מידע הוא זניח יחסית.  אנו מבחינים בזליגת מידע רגיש מתוך האקדמיה לאתרים חיצוניים. נושא אבטחת המידע הוא חלק קטן מאד מתקציב ה- IT ובדרך כלל אין איוש במשרה מלאה. לעומת זאת, בהולנד, במסגרת הרגולציה החדשה שתחול החל מ- 2016, במידה ולאחר ביקורת בעקבות פריצת סייבר, יתברר שמנהלי העסק לא יישמו אבטחת מידע ברמה טובה, גובה הקנס עלול להגיע ל- 10% מההכנסות השנתיות של הארגון. לטעמם, באופן הזה הנושא יעלה גם על שולחן ההנהלה. בארץ יתחילו בקרוב למסד רשמית את מקצועות אבטחת המידע, צעד חשוב במיסוד הנושא.

מארק גזית מנכ"ל חברת ThetaRay

מארק גזית מנכ"ל חברת ThetaRay

דרור בן דוד:  אני פחות מודאג מהדוברים הקודמים. אנו אחת המדינות הראשונות שמגנות על תשתיות קריטיות ואנחנו עושים זאת כבר שנים רבות. אני גם לא מציע להיות מבוהלים מהאפשרות להפיל מטוס באוויר באמצעות סייבר. גם בתקרית במטוס יונייטד שאליה התייחסו קודמי, לא בצעו התקפת סייבר שגרמה לנסיקה. בסה"כ, אולי,  שינו מילה בקוד הפיקוד של הטייס אוטומטי למנועים שהוסיפה פקטור זניח לפעילות המנוע והעבירה אותו ממצב "שיוט" למצב "טיפוס". בין לשנות רמזור, ובין להרוג אלפי אנשים, יש מרחק רב. תחום התעופה הוא המקצוע שלי ולדעתי, כמעט שאי אפשר להפיל מטוס באוויר באמצעות תקיפת סייבר ישירה על מערכות ההיגוי שלו. כן אפשר להזיק. צריך לזכור שחמשת המעצמות הגדולות הן שחקניות הסייבר המשמעותיות ואנחנו איננו מטרה עבורן. מצד שני  אנחנו בין המדינות היחידות שהקימו עוד ב 2002 מנגנון הגנה לתשתיות קריטיות, אז גם אם יש עוד מה לטפל בדברים רבים, עדיין אין סיבה לפאניקה ואירוע בקנה מידה של הפלת מגדלי התאומים, באמצעות התקפת סייבר, אינו סביר בישראל . אם צריך להיות מודאגים, אז זה בצד האזרחי, ומסוגי תקיפות שהן הרבה יותר סבירות. גנבות סייבר מהאקדמיה שניתנו פה כדוגמא, אינן דומות להרג המוני של אנשים כפי שקרה בהפלת מגדלי התאומים.

מארק גזית:   על מנת לחזק את דרור אני יכול לספר כי חברות הבונות תשתיות קריטיות דוגמת GE לא קופאות על השמרים הן מכינות עצמן . כולם יודעים כי מערכות המחשוב התעשייתיות מיושנות וניתן לפרוץ אותן בקלות. לדוגמא בחברות כמו סימנס  GE ואחרות נרקמים שיתופי פעולה עם חברות המייצרות טכנולוגיות פורצות דרך בהגנה על תשתיות קריטיות. חלקן אף נכנס כמשקיע בחברות כאלו ובונה את תפיסת ההגנה על המתקנים שלו מההתחלה.

רחל יעקבי:    פגיעה ברמה מדינה עלולה להיעשות גם באמצעות פגיעה כלכלית משמעותית במגזר הפיננסי, למשל, באמצעות פגיעה בגוף פיננסי גדול בארץ. כך שגם אם לא נגרמים בתקיפה מסוג זה אבידות בנפש – וברור שחשיבות חיי אדם היא ברמה העליונה – בתרחיש קיצון גם תקיפת סייבר עלולה לגרום פגיעה חמורה ברמת לאומית.

תמיר סגל:    מניפולציות של האקרים מציבות סיכונים, לא רק לפרטיות המשתמש, אלא גם לביטחון הפיזי שלהם – ברמה הלאומית,אישים פוליטיים גם  הם מטרות למבצעי ריגול. חשוב לציין שהמטרות של ההאקרים רק הולכות ומתרחבות סביב העולם – ההתקפות כבר אינן בגדר מקרים בודדים. על מנת להתמודד עם האתגרים החדשים שניצבים בפניהם, ארגונים במגזר הציבורי והפרטי חייבים להתמקד בדיכוי הפרצות ובצמצום הזמן בו האקרים מתעכבים ברשת – ניתן לעשות זאת רק בגישה משולבת הכוללת גילוי פרצות מחד ומניעת פרצות מאידך.

עמית דניאל, סמנכ"ל שיווק ואסטרטגיה של חטיבת SECURITY INTELLIGENCE  של ורינט (VERINT)

עמית דניאל, סמנכ"ל שיווק ואסטרטגיה של חטיבת SECURITY INTELLIGENCE של ורינט (Verint)

(Verint)

עמית דניאל:  כאשר אנחנו מסתכלים על ארגוני טרור חשוב לנו להבין את המניעים ואיך נושא הסייבר משתלב אצלם בפעילות הלחימה היות והם משלבים יכולות פיזיות עם סייבריות. אחרי שהבנו את זה, הרבה יותר קל להתמודד ולהיערך להגנה. כשבוחנים את הארגונים השונים ויש ביניהם שונות גדולה ברמות התחכום והיכולת הטכנולוגית, אחד המניעים המרכזיים אצלם הוא תעמולה. כזו שיוצרת תודעה ומסייעת לגיוס כוחות חדשים. מניע שני ומשני הינו כספי. פעילות רבה נעשית לצורכי מימון באמצעות תקיפות סייבר. ניתן להבחין אצלם בשלוש רמות של תחכום טכנולוגי. הרמה הבסיסית דוגלת בפגיעה לשם רווח תועמלני. למשל הפלת אתר לארגון מותקף כמו שקרה בצרפת כשהפילו 11 רשתות תקשורת  של 5TV ב  200מדינות. הרמה השנייה היא להפיל תשתיות IT בתוך ארגונים. אז כבר יש חדירה לארגון. ברמה השלישית מדובר בתקיפת תשתיות קריטית של הארגון וגרימת קריסתו או נזק חמור במיוחד. למשל המתקפה בארמקו שנטרלה 35,000 מחשבים ומנעה מהם אפשרויות מכירת דלק למשך חודשים. אנו רואים כיום התקפות מאוד ממוקדות ומתמשכות. לא משהו חד פעמי, אלא משהו המתמשך על-פני חודשים ואף שנים של איסוף מודיעין. ניסו לערוך מחקר לגבי הערכת סיכונים בקמברידג' עבור לוידס. חישבו כי אם תהיה פגיעה בתשתיות החשמל ב 15 מדינות בארה"ב, שזו פגיעה ב 93 מיליון תושבים,  הנזק נאמד ב 10 מיליארד דולר והוא מתפתח בצורת אפקט הדומינו. לכן כאשר מנטרים אירועים רבים בארגונים ובכמה מדינות במקביל לצורכי איסוף מודיעין, מגלים שמתקפה יכולה לצאת לפועל בכל רגע נתון, ותלויה רק בקבלת ההחלטה על הוצאה לפועל.".

דורון סיון:      נניח שאויב הוא גוף אחד, ולך יש חברה ישראלית גלובאלית שפעילה בעשרות מדינות, אז אופי האיום כבר שונה מבחינת הטריטוריה. היום אבטחת מידע הרבה יותר מורכבת ממה שהייתה נאמר לפני 15 שנה. כמו כן, רוב ההתקפות לא מבוצעות על ידי האקר גאוני אלא הינן ניצול ליקויים שמקורם במורכבות וגודל הארגון.

רחל יעקבי:    אם ארגון מהווה יעד להתקפה ע"י יריב מסוים, אז היריב ייקח לעצמו את הזמן והמשאבים על מנת להתכונן ללמוד ולהכיר את הארגון המותקף, לזהות את נקודות החולשה שלו וכדי. התוקף ינסה לחדור מנקודת התורפה שאולי אינה נמצאת בכלל בארגון אלא בגורם שקשור אליו, כמו ספק שירותים או שותף עסקי. לכן לדעתי מרחב איומי הסייבר אינו עוסק רק באבטחת מידע גרידא, אלא מהווה מרחב איומים עצום, אולי אינסופי. במרץ האחרון פרסם הפיקוח על הבנקים את הוראת ניהול בנקאי תקין מס' 361 בנושא "ניהול הגנת הסייבר" בין היתר על מנת שהתאגידים הבנקאיים וחברות כרטיסי האשראי לרבות חברי הדירקטוריון וההנהלה, יבינו מה הציפיות שלנו. הגנת הסייבר צריכה לחול מקצה עד קצה, להקיף את כל סביבת העבודה של הבנק, לא רק את יחידת IT אלא כל היחידות בארגון כולל יחידות עסקיות ותומכות וכולל ישויות רלבנטיות –שרשרת האספקה – מחוץ לבנק. חשוב להבין את התפיסה החדשה. נאמר כבר בעבר שזו אולי הגנה על דומיין נוסף – הסייבר- באותו מובן שאוויר, ים יבשה וחלל כל אחד מהם מהווה דומיין.

דורון סיון - מנכל Cronus

דורון סיון – מנכל Cronus

 

מוטי סדובסקי: כל אחד מגדיר סייבר באופן קצת שונה. מאידך פיתרונות ההגנה מורכבים משכבות, אין פיתרון אחד לסייבר. היות ולכל ארגון מפת איומים פרטנית עבורו, באופן דומה שכבות הגנת הסייבר המתאימות לו, עשויות להיות שונות. לספקי פתרונות הסייבר כלי הגנה שונים כאשר באופן טבעי כל ספק מנסה למכור את הפתרונות שלו בתור אלו המתאימים והנכונים.  התוצאה היא חוסר מיקוד, בלבול בקרב הארגונים והוצאות אדירות להגנת סייבר הנאמדות ב 60-70 מיליארד דולר בשנה.

רחל יעקבי:    לדעתי נקודה מרכזית בהגנת סייבר היא בכך שמדובר לא רק ביישום טכנולוגיות אלא גם בהגנה על תהליכים והצורך שאנשים בארגון יהיו בעלי מודעות וכמובן גם בעלי מיומנות ומומחיות.

טל קורן:        ככל הנראה אירוע סייבר שקשה לחזותו ואכנה אותו "ברבור שחור" נמצא בפתח הדלת. דאע"ש מוכר כרגע כארגון הטרור המרכזי ביותר בעל מוטיבציה ויכולת טכנולוגית לבצע ברבור שחור. מניעיו: שימוש במדיה החברתית, תעמולה המסייעת לגיוס, ומלחמה על דעת קהל, כאשר הם מאמינים כי אסטרטגיה תקשורתית מייצגת שני שלישים מהקרב. למי שמעוניין בהשוואת ארגוני הטרור, לדאע"ש מימון בהיקף של כשני מיליארד דולר ובעוד שלאל קאעידה 150 מיליון דולר, כך על פי פורבס. פעולות הטרור שלו מתמקדות ביצירת לוחמה פסיכולוגית נגד המערב.        ניקח לדוגמא את תקיפת ה- OPM  (office of Personnel Management)  – סוכנות עצמאית של ממשלת ארה"ב שמנהלת את השירות האזרחי של הממשל הפדרלי בארה"ב, ושברשותה מאגר מספרי הביטוח הלאומי (Social Security Number) ועוד פרטים רגישים על אוכלוסיית ארה"ב.

עמית דניאל:  דאע"ש וגופי טרור נוספים מפרסמים  פרטי חיילים ועובדי ציבור (Hit list).  התקיפה הינה קריאה לכל ה lonely wolves "לכו לתקוף את האנשים שפרטיהם פורסמו ברשימות. זו טקטיקה מוכרת ופופולארית הננקטת על ידי ארגוני טרור.

טל קורן:   ישנה בעיה מהותית כשבוחנים את הסיכונים במימד הקיברנטי, שכן למרות שיש חשיבות לאיסוף מודיעין, לרבות מידע מרשתות חברתיות, יש קושי בהערכת הסיכונים היות ואין אירועים דומים או אירועים  המייצגים bench mark אשר מולו ניתן להעריך את הסיכון. כל אירוע עומד בפני עצמו וזה מקשה על הערכת סיכונים. כפי שציינה קודם עמית, בעבודה הרצינית של לוידס, הנזק המוערך מתרחיש תקיפת סייבר של פגיעה בתשתית חשמל בארה"ב הוא בסדר גודל של מיליארדים, אך אם נשווה זאת לתקיפת ה- OPM, הרי שלא מדובר רק בנזק הישיר של חשיפת פרטיהם של כ- 20 מיליון חיילים ומשרתי ציבור אמריקאים, אלא גם בנזק עקיף, וזה כבר סיפור בסדרי גודל אחרים לגמרי שעלותו משוערכת עד כדי טריליון דולר. אם לסכם, אז השאלה היא לכן "מתי יופיע ברבור שחור" ולא האם הוא יופיע.

  • דניאל כהן:
בישראל כפי שנאמר קודם יש פער בין הגנת התשתיות הקריטיות שהן מוגנות היטב על ידי המדינה לבין המגזר האזרחי שהוא חשוף ברובו. אז נכון שארגונים גדולים יותר מוגנים ברמות אלה ואחרות אבל השאר בהחלט לא מוגנים. צריך לזכור שהיו וישנם עלינו איומים מצד אירן וארגונים הסמוכים על שולחנה. עדיין לא נראה משהוא שמתגבש כמו 9/11 אבל פגיעה בשרשרת אספקה או בתשתית כלשהיא בהחלט נחזים. השאלה שלי אליכם היא זו: אז הוקמה רשות סייבר לאומית, מן הסתם נראה יותר רגולציה בתחום האזרחי אז איך אתם הייתם רוצים שתהיה התמודדות עם חסמים אפשריים, ומצד שני הזדמנויות חדשות שעשויות לצוץ. נשמח גם לשמוע ממי שיש לו ניסיון בינלאומי, כיצד עבודתו נפגשת עם הרגולציה במדינות אחרות, איזה חסמים היא מציבה בפניו ואיזה הזדמנויות היא פותחת?

דודו מימרן:    להבנתי, כל עוד לא נמצאו פתרונות טכנולוגים שיכולים לפתור את הבעיות העקרוניות היום בסייבר בצורה טובה, נזדקק לכלים רגולטורים. הבעיה עם כלים אלה, שככל שהם אפקטיביים יותר, יש תמיד צד שנפגע ומפסיד מהם. למשל האזנות וניטור ככלי מעקב, ומנגד כמובן הפרטיות של הצרכן שנפגעת.  יש מדינות כמו סין שבהן אם קורה משהו אז התגובה מהירה וחדה ו"חותכים את הקו". אבל בארה"ב שהיא הליברלית בתחום, יש את ה information sharing act שמחייב חברות שהותקפו למסור מידע. – זאת עוד דוגמא לצעד שנוי במחלוקת. היות והצד הטכנולוגי הינו המניע לשינויים בתחום הזה המאזן נסגר תמיד על ידי התפתחות האבטחה באמצעות כלי הגנה נגד כלי תקיפה, זה הבסיס וכך זה גם בעולם הצבאי האמיתי ולכן עד שלא תתפתח ותתעבה ההגנה, הרגולציה תהווה אף ורק פלסטר. P1440308

מוטי סדובסקי: אני חושב שעולם ה- IOT צפוי להכניס אותנו לבעיות בסדר גודל אחר, כזה שלא חווינו קודם. כאן לדעתי המדינה צריכה להיכנס כגוף המגן על האזרחים. אני לא רואה אזרח שידע להתמודד עם IP Devices מותקפים דוגמת מערכת החשמל הביתית, המקרר, המזגנים בבית וכו'. מדובר בהגנה כוללת על אזרחים ולא רק על תשתיות קריטיות. התמודדות מדינתית מול איומים כאלה עדיין לא נבחנה, והמדינה לא נמצאת שם. אנו זקוקים לכלי הגנת סייבר אנליטיים שידעו לנתח כל העת את הפעילות "הנורמלית"  ברשת או  את הפעילות "הנורמלית" של משתמשי מערכות המידע, ולזהות פעילויות שיוגדרו כ-א-נורמליות או חריגות שאותן יש לנטר במהירות, ולמנוע נזק הנובע מהפגיעה בהם. מדובר בכלים מהירים המטפלים בכמויות גדולות מאוד של מידע במהירות ומזהים אנומליות וחריגים.

מוטי סדובסקי, מנהל מכירות למגזר הביטחון ב- SAS  ישראל, מייה מחשבים

מוטי סדובסקי, מנהל מכירות למגזר הביטחון ב- SAS ישראל, מייה מחשבים

 רחל יעקבי:    כאשר הפיקוח על הבנקים יצא במרץ האחרון בהוראה 361 לבנקים, זו הייתה החלטה אמיצה. מדובר, ככל הנראה, בהוראה הראשונה מסוגה בעולם במגזר הפיננסי. מטרת הרגולציה בהקשר זה הייתה לבטא ציפיות מהנהלות הבנקים ולהגדיר עקרונות להגנת הסייבר, ולא כללים מפורטים, ולתת להם תובנות מה צריך ליישם במערך הגנה מקצה לקצה.       רגולציה של עקרונות משמעה שכל בנק יכול לאמץ ההוראות לפי היקף פעילותו ומאפייניה, פרופיל הסיכון שלו וכד'. אין בהוראה מפרט הנחיות ספציפיות או צ'ק ליסט. משיחותינו עם בנקאים הבנו שהם אכן ציפו לראות מאיתנו מעין מפת דרכים לציפיות הפיקוח מהם בנושא הסייבר. לדוגמא: הקביעה בדבר הצבתו של מנהל הגנת סייבר – תפקיד בכיר – חוצה ארגון שאינו דווקא מיחידת ה-IT מהווה איתות ברור לציפיות שלנו מהבנקים בדבר הצורך בתכלול היבטי הסייבר בכל  יחידות הבנק. מאידך, אי אפשר לעצור את התקדמות הבנקאות הדיגיטלית בגלל איומי הסייבר. נכון, צריך לנהל סיכונים וסיכוני סייבר בפרט, אבל כניסה לעולם הבנקאות הדיגיטלית הינה מגמה המתרחשת בעולם גם בחברות הפינטק ועשויה לתרום להאצת התחרותיות וההתייעלות בבנקים ולשיפור השירותים ללקוחות ולפיכך אנו רואים מגמה זו בחיוב ושמים דגש על מיפוי חסמים רגולטוריים ובחינת הסרתם, יחד כמובן, עם עין פקוחה וטיפול צמוד וניטור מרחב איומי הסייבר.

מארק גזית:  לדעתי אפשר לקחת את שרשרת הפיגועים בפריז כדוגמא. מיד לאחר שצרפת יצאה מההלם פנה נשיא צרפת , פרנסואה הולנד לעם הצרפתי והסביר שעל מנת להיות מוגנים טוב יותר בעתיד, יאלצו רשויות הביטחון שלה לפגוע בחופש הפרט היקר מפז הצרפתי ולשנות את חוקי הפגיעה בפרטיות של ניהול נאות, על מנת לנסות להתכונן ולמנוע את הפיגועים הבאים!. כלומר, הרגולטור נאלץ להתאים את הרגולציה שלו להסלמה במצב הביטחוני. וכאן נכנסים לתמונה פתרונות טכנולוגיים שמכניסים מכונות אוטומטיות שמסוגלות לטפל בכמויות גדולות של סיכונים לרבות סיכוני הסייבר ומידע ( Big Data) והן לא מנצלות את המידע לרעה  כי מדובר במכונות . אומנם הן מביאות את הממצאים שלהן לידיים אנושיות שבסופו של דבר מחליטות אילו פעולות יש לנקוט אבל זו הדרך הבטוחה ביותר שאינה פוגעת בחופש הפרט.

אלי כהן:    אני בהחלט מסכים שישנם צעדי רגולציה נדרשים לצורך סיוע בהגנות סייבר. יתכן שיש לשקול סוג של סבסוד עלויות סייבר לאותם ארגונים העומדים ברגולציה או הטבת מיסוי כלשהיא. האנשים האמונים על אבטחת מידע מצויים בבעיה קשה. אמר קספרסקי וגם ראש ה FBI: יש שני סוגי ארגונים: אלה שנפרצו ואלה שטרם גילו זאת. אם זאת הנחת העבודה, אז התפיסה צריכה להשתנות ובעצם להתמקד בטיפול בבעיה: מה עושים אחרי שהאקרים חדרו לארגון? בארה"ב כאשר ארגון נפרץ, הוא חייב לידע אישית את האזרחים הנפגעים כי נגנבו ממנו פרטיהם וכד'. חובה זו בחוק, מייצרת עלות כבדה לארגון בעצם מתן ההודעה האישית. כך היה בטרגט ובסוני. בארץ, כשאני מסביר לארגונים על חוק הגנת הפרטיות והעונשין שבצידו, התגובות הן בד"כ של זלזול ביכולת אכיפת החוק וישומו. אז בהחלט צריך להדק את נושא אכיפת החוק, כרגע בכל אופן התחושה שאין לחוק שיניים משמעותיות בפועל. אז אם לסכם נקודה זו, צריך להיטיב עם ארגונים שיעמדו ברגולציה וזה יאפשר הפניית משאבים מצד החברות ליותר הגנת סייבר. כאשר כבר קורים אירועים, יש להעלותם לסדר היום ולמצות את הדין עם האחראים.

דורון סיון:      אני רוצה להציג דברים משני צידי המטבע. מצד אחד, על חברות פרטיות בישראל אין רגולציה. הדבר הוביל הרבה מנהלי אבטחת מידע    למצוקה, היות וייעוץ ניתן לקבל רק מאינדיקטורים ולא מהנחיות מפורשות. מצד שני, מי שיבוא לחדר הסייבר שלנו יראה כי בימים מסוימים 10% מהתקיפות כנגד ישראל מגיעות מארה"ב, קשה להאמין, אבל זוהי עובדה. אם כך, כיצד חברה שמפוזרת ברחבי העולם וכפופה לרגולציות שונות, אמורה להתנהל?  לאור המורכבות הנובעת מצד אחד מחוסר ברגולציה לחברות פרטיות ומצד שני מרגולציות שונות לחברות גלובליות, אין מנוס מלהבין שהפתרון יבוא מהדור הבא של מוצרי אבטחה, מוצרים שיספקו BI SECURITY. כך ארגון יוכל לקבל תובנות שיאפשרו לו להיערך עסקית נכון מבחינת ניהול סיכונים.

רחל (רוחה) יעקבי מנהלת יחידת ניהול סיכונים תפעוליים והממונה על הטכנולוגיה והסייבר ,הפיקוח על הבנקים, בנק ישראל

רחל (רוחה) יעקבי מנהלת יחידת ניהול סיכונים תפעוליים והממונה על הטכנולוגיה והסייבר ,הפיקוח על הבנקים, בנק ישראל

דרור בן דוד:  חשוב להזכיר שישראל הקימה מרכז סייבר לאומי שנועד לסייע בכל המרחב, האזרחי, הפרוץ, של תשתיות לא קריטיות. אפשר בהחלט  להרגיש קצת יותר אופטימיים. בארה"ב יצא באפריל האחרון, צו נשיאותי שהגדיר, לראשונה בהיסטוריה, שמותר להפעיל סנקציות כלכליות על מי שתוקף חברות פרטיות. זה בהחלט סימן טוב וזה עשוי לשנות דברים רבים בכיוון החיובי. בכל הנוגע לחובתה של המדינה להגן על אזרחים בפני מתקפות סייבר, זה נושא מורכב ביותר. חלק ממנו יוכל לקבל מענה באמצעות תקנים ו/או רגולציה. בעניין זה אנחנו בהחלט בפיגור גדול. חשוב להבין שמי שהינו תוקף סייבר הוא מקצועי מאוד.מאידך אלה שממולו "אנשי הגנת סייבר", לפעמים, אינם כאלה והייתי אומר, עד כדי שרלטנות, לפעמים.  המדינה צריכה להגדיר במקצוע זה, של הגנת סייבר,  חובת רישוי בדיוק כמו רו"ח ועו"ד על מנת למנוע מצב כזה.

דורון סיון:      נכון, אין קריטריונים לגבי מי מוסמך לערוך סקר סיכונים לארגון, ובכלל מה הסקר אמור להכיל? כל חברה עשויה לטפל בכך באופן שונה. מבחינת החוקיות, קחו בחשבון שלא תמיד ניתן בכלל לזהות את כתובת התוקף. הוא יכול בקלות יחסית להפליל מישהו אחר, כך שהחוק לא תמיד בר אכיפה.

עמית דניאל:  לדעתי רגולציה בהחלט תומכת והיא זרז משמעותי למדינה לפעול. יחד עם זאת יש לזכור שרגולציה איטית ובודאי בתחום שבו אנו עוסקים הזמן הוא מימד קריטי. ארגון לא יוכל לחכות עד שרגולציה "תגן" עליו, גם אם הוא לא מוגדר כארגון קריטי. . לכן, ארגונים חייבים להפנים שעליהם לפעול, ולהיערך לכך מבלי שמישהו יכריח אותם. זה פשוט בנפשם.  הרי גם אם תהיה רגולציה, היא אף פעם לא תהא מספקת ועל הארגון יהיה לנקוט גישה פרואקטיבית ולהפנים שעומד מולו תוקף מתוחכם. זו לא אבטחת המידע של פעם, וכל תקיפה היא כנראה גדולה יותר ממה שידוע לך. ההבנה המודיעינית לכן, חשובה מעבר לטכנולוגיה של "להגן פה ולהתקין שם". ראיית מודיעין רחבה מאפשרת הכנסת מודלים מתקדמים להתמודד עם מה שיבוא מבלי לחכות למה שכבר חדר.        לכן, לא כדאי לחכות לרגולציה, מכיוון שההתקפה תקדים כנראה תמיד את הרגולציה.

טל קורן:  אני מסכים עם רחל למרות שאני מגיע מהמערכת הביטחונית. רגולציה היא דבר חשוב, אך השאלה כמובן היא מה הם תנאי הסף שבהם היא תעזור. אני חושב שיש תהליך חיובי ביותר שבו המכון למחקרי ביטחון לאומי מהווה ציר מרכזי, של יצירה ועידוד של שיח בן גורמים שונים: סטארט-אפים, חברות טכנולוגיה, אקדמיה וגורמים נוספים. שיח כזה חשוב ביותר ותורם לכולם בהגברת המודעות. לדעתי בסיכומו של דבר, הפתרון הוא בעיקרו גם טכנולוגי וגם רגולטורי.

תמיר סגל:  שיתוף מידע הוא גורם חשוב ביותר במלחמה בגזרת הסייבר. חברות בינלאומיות העוסקות בפיתוח פתרונות סייבר, דוגמת טרנד מיקרו, מפעילות מעבדות מחקר מקצועיות ורציניות מאד העוקבות אחר מגמות ותקיפות סביב העולם ומתריעות בפני ארגונים הנמצאים תחת תקיפה, כאשר ישנה פעילות מסכנת. כאשר התקיפה היא נרחבת וישנו סיכון כללי לציבור, התרעות יוצאות אפילו לכלי התקשורת. המחקרים והפרסומים מגבירים את המודעות, הן של הארגונים והן של המשתמשים, בנוגע לחשיבות אבטחת הסייבר. התוקפים משתמשים באמצעים של social engineering, כלומר באיסוף מידע מודיעיני אודות המשתמשים. הם מנצלים מידע רלוונטי שצברו ברשתות החברתיות אודות הגורם האנושי שבאמצעותו החליטו לחדור לארגון. לכן, קיימת חשיבות גבוהה מאין כמוה להסברה וחיזוק המודעות של משתמשי הקצה לנושא אבטחת המידע. מערכות הגנת נקודות קצה שפותחו בשנה האחרונה אמורות לזהות התקפות מסוג זה.

רחל יעקבי:    גם ארגון שמיישם כלים טכנולוגיים חדשניים, אך עם אנשים ללא מודעות מספקת, לא יוכל להרגיש באמת כארגון מוגן. יתירה מזו, ארגון כזה עלול להיות שאנן עם תחושת הגנה טובה נוכח ההשקעה הרבה שלו בכלי הגנה טכנולוגיים, כאשר מנגד האנשים אינם מודעים ו/או אינם ברמה המקצועית המתאימה, ולפיכך הארגון עלול בהחלט להיות חשוף לסיכון סייבר.

  • דניאל כהן:
דיברנו על איומי סייבר אבל אני רוצה לשמוע מכם על חשדנות, כיוונים ומגמות שאנחנו הולכים אליהם. למשל, מודיעין סייבר, רשתות חברתיות Big Data ועוד.
דודו מימרן, המנהל הטכנולוגי של מעבדות המחקר של דוייטשה טלקום בישראל

דודו מימרן, המנהל הטכנולוגי של מעבדות המחקר של דוייטשה טלקום בישראל

דודו מימרן:    ישנם כמה תחומים טכנולוגים מתקדמים כגון: moving target defense, תחום שהגיע מהצבא ומבוסס על ניצול חולשה בידע של התוקף . התוקף מכיר את המטרה וחלק בסיסי מכל תקיפה הוא למידת המטרה על בוריה. הטכנולוגיה הזו באה לשבש את התובנות האלה ע״י שינוי היעד באופן מתמיד כך שהתוקף לא יכול לנחש מהו מבנה היעד.  טכנולוגיית לדוגמא שתומכת ביכולות אלה הינה software define network שמאפשרת לרשת בעצמה להשתנות תוך כדי עבודה, IP's משתנים, שרתים אינו קבוע, ובמידה ותוקף שביסס את מתקפתו על כל המידע הראשוני שנאסף, בבואו לתקוף הוא פשוט לא ימצא את השרת, הכתובת וכד'. יש כמה סטארטאפים ישראלים בעלי שם עולמי בתחום הזה. עוד תחום מאוד מתקדם, ויחסית חדשני מבחינה מחקרית, זה החיבור בין AI לסייבר. פיתוחים באזור של, מה שנקרא, reasoning, של הבנה של מה שקורה.אחת הבעיות המשמעותיות היום בארגונים, זה עומס המידע האבטחתי, יש למעשה הרבה יותר מידע ממה שיכולים לעכל, שזה מאוד דומה, דרך אגב, ל-9/11. האינדיקטורים היו שמה, רק פשוט לא היה מי שמסוגל לעכל את כל הנתונים האלו. אז למעשה, סייבר ו-AI מתעסק בנושא של reasoning, ויש אפליקציות יותר מתקדמות, המאפשרות תגובות אוטומטיות לתקיפות. אלה שני תחומים טכנולוגים מעניינים וחדשנים.

מוטי סדובסקי: לדעתי יש כאן בעיה. חסרה הסתכלות הוליסטית ומוכללת של הבעיה. כיום המצב שאנשי SIM מסתכלים על הבעיה דרך ה SIM אנשיFIRE WALL  דרכו וכן הלאה. אבל, ההסתכלות הארגונית/מדינתית צריכה להיות מוכללת ולעשות אינטגרציה למרכיבי הבעיה. אנו מזהים מערכות הגנה שפועלות לפי חוקים וקשרים ברשת. יש צורך לנתח כמויות מידע גדולות ברשת, לאתר שינויים בתדירות התקשורת ובדפוסי פעולה "רגילים" . מעברים לאזורים גיאוגרפים השונים מהרגיל (עיר אחרת), איתור אנומאליות וזיהוי דפוסי התנהגות. הרחבת יכולות הניתוח והחיזוי בהקשרים הסייברים משמעותית, ומאפשרת להסיק לעיתים מעובדה תמימה לכאורה דוגמת הפסקת חשמל שקרתה פעמיים ובמערכת צמודה קרו ניסיונות כניסה עם סיסמא שגויה, שיתכן ויש כאן קשר בין שתי התופעות. הגישה ההוליסטית מאפשרת לתת לארגון תובנות חיזוי שחסרות בגישה פרטנית לרכיבים מבודדים. חשוב לתת את הדעת על ניתוח ועיבוד כמויות מידע. ישנן מערכות כיום  שיודעות להתמודד כיום עם כ- 200 אלף יחידות מידע (Streams)  בשנייה: לסנן לנתח ולהעלות התרעות – Alerts. אלה כמויות שארגון גדול או מדינה בסדר גודל שלנו אמורה להתמודד איתן. אם אתה יודע לנתח את זה נכון, ואתה יודע להפיק את האנומאלי מתוך הנורמאלי, להוציא את המוץ מהתבן, אתה יודע לתת הגנה הרבה יותר טובה ומהירה לארגונים, וזה הכיוונים שהולכים אליהם היום בפתרונות סייבר אנליטיים.

רחל יעקבי:    אני מסכימה עם מוטי, באשר לגישה ההוליסטית. זאת אומרת, אם פעם, אותו מוקד, סנסור, דיבר רק על ההגנות ברשת, הפעם הוא גם צריך לדעת לנתח קורלציות שונות ולפיכך להיות בקשר לדוגמא עם אותו מוקד של הונאות פיננסיות. אחת הבעיות כאן שאין תמיד פיתרון טכנולוגי.  אין לי ספק שהגישה להגנת סייבר צריכה להיות הוליסטית. חקר אנומאליה למשל של התנהלות לקוח, דפוסי פעילותו היומית/שבועית חודשית מול הבנק שלו הם המפתח לזיהוי חריגה מהתנהלות שגרתית. פיתרון הגנה טכנולוגי בדרך כלל ניתן בסופו של דבר לפיצוח היות ועלולות להיות לו נקודות תורפה ו/או מעקפים וכד'. שילוב של חיזוי וניתוח התנהגות מקדמים אותנו צעד קדימה ביכולת ההגנה. הדגש הוא על זיהוי, הגנה ותגובה ולא בהכרח רק על מניעה. לא שלא צריך להשקיע במניעה, אבל יש להבין שהיא לא יכולה להיות מוחלטת וצריך להשקיע לא פחות בזיהוי וגילוי אירועים סמוך ככל האפשר להתרחשותם על מנת למזער את הנזק הפוטנציאלי.  תפקידו של הבנק לנהל את הסיכונים שלו כאשר אנו בפיקוח הנחינו את עקרונות ההגנה, שחלקם ציינתי. כלומר, אין זה הכרחי שבנק א' ובנק ב' ינהלו את אותה מערכת הגנה והשונות נגזרת מאופי פעילותם והערכות הסיכונים השונות שלהם.

ד"ר טל קורן מנהל מוצר של פתרונות הגנה בחטיבת הסייבר של ורינט (Verint).

ד"ר טל קורן מנהל מוצר של פתרונות הגנה בחטיבת הסייבר של ורינט (Verint).

 מארק גזית:  שאלתך היא בדיוק הכיוון שאליו הלכנו ב- ThetaRay. ניקח לדוגמא את המגזר הבנקאי. מדובר בהגנה על מערכות תשתית מורכבות ועתירות מידע ולכן יש צורך במערכות שמספקות ניטור וניתוח כמויות מידע גדולות מאוד (Big Data), בזמן אמת, כדי לגלות את האיומים בשלב שבו ניתן להגיב ולחסום אותם. ארגונים גדולים זורם מידע , כל הזמן , ממערכות מחשוב שונות וממקורות מבוזרים גאוגרפית. בבנק , לדוגמא , יש מידע שזורם ממסופי הפקידים בסניפים השונים ובמרכזים האזוריים, מידע נוסף מגיע מנקודות הכספומטים וברגע שהבנק מציע ללקוחותיו שירותים מקוונים באינטרנט גם משם מגיע מידע רב. כל אחת מנקודות אלו היא נקודה שדרכה ניתן להחדיר איום לבנק. רמת הפגיעות של בנק היא מהגבוהות שיש ולכן בדיקות רנדומליות של חסינות המערכות לא תוכל לתת מענה אמיתי לבעיה. נדרשת מערכת אוטומטית שסורקת כל הזמן את כל המידע שזורם במערכות הבנק ויכולה להצביע על בעיה בכל רגע נתון. המח האנושי אינו מסוגל להתמודד עם כמות מידע רבה כזו ולכן נדרש פתרון מהפכני מבוסס אלגוריתם מתמטי אוטומטי שיתמודד עם הבעיות במקום שאין למח האנושי יכולת מספיקה.

אלי כהן:   התובנות שלי הן אלה: משך שנים התרכזו במניעה ורכשו מוצרים להתגונן. בעקבות הגברת הניידות של עובדים ומכשירים זמינות הקישוריות WIFI בכל מקום ומכל מקום אנו מבינים שהאפקטיביות של הגנות אלה ירדה והמיקוד צריך להיות בזיהוי ותגובה מהירה ומנוהלת. ההגנות חשובות, אך אינן מספקות. תובנה שנייה: ישנם מעט ארגונים גדולים, פיננסים וכמה אחרים המסוגלים להצטייד במוצרים חדשים באופן שוטף ורציף, ארגונים בינוניים וקטנים יצטרכו לעשות מיקור חוץ של מומחי וחברות CYBER SECURITY  שיתנו להם מענה. האיומים הם דבר מתמשך ולפיכך מדובר במגמה שתלך ותגבר. במשך 15 שנה ארגונים רכשו עוד ועוד מוצרים אבל התוצאה ידועה על פי מחקרים של גופים כמו סימנטק ו HP 5 -6 ארגונים גלובלים עברו או נמצאים תחת התקפת סייבר, המצב הזה גורם לכך שהפוקוס צריך לעבור לזיהוי האיומים והטיפול בהם, ולא להסתפק במניעה. תובנה נוספת היא השיתוף SHARING במידע בן ארגונים לגבי אירועים ואיומים. השיתוף מאפשר לנו לקבל תפיסה גלובאלית ולהבין טוב יותר מול מה מתמודדים.תובנה אחרת שהיא ברורה כיום הייתי מגדיר כ  anywhere, any device כלומר: איום חדירה לא חייב לקרות בשרת שלך. הרבה יותר פשוט להחדיר קובץ זדוני דרך מייל "תמים" למזכירת המנכ"ל של ספק שירותים לארגון שלך ולהגיע מסביב. אני אכן מסכים עם קודמי שזיהוי אנומליות מרכזי וחשוב וישנם מצבים שבכלי AI מתבצע זיהוי מדויק של 3-4 התרעות מתוך קורלציה של מאות אלפי אירועים. יחד עם זאת חוזקה של סטטיסטיקה היא גם חולשתה. אינך יכול לכסות את כל האירועים. הנך נזקק לכלים נוספים על מנת להתמודד עם חלקיקי האחוזון שהסטטיסטיקה וההגנה הרב שכבתית לא כיסו.

דורון סיון: במובן הפרקטי, כיום מתחילה להיווצר מגמה שבה חברות ביטוח עושות שימוש במודיעין סייבר. לדוגמא בנוגע לביטוחי רכב, הן רואות היסטוריית רכב או תביעות ולפיכך הן יכולות להעריך סיכון. כעת בביטוח עיסקי לחברה, מודיעין סייבר עשוי לשמש אותן לניתוח רמת הסיכון של החברה. כך שבמישור העסקי, אני רואה לראשונה פוליסות ביטוחי סייבר המתומחרות במידה רבה על סמך  מודיעין סייבר. עם זאת, צריך לזכור שלצד הכלים האוטומטיים והסטטיסטיים בנושא WEBint, לעיתים מגיע שלב בו ישנם קווים בהם צריכים לעצור, היות והשלב הבא הוא פריצה למקומות כלשהם על מנת לזהות את מקור התקיפה וזה כבר לא חוקי. אני מחזק את הדברים שאמרה גב' רחל, בכך שאינך יכול להיות בטוח לחלוטין שתמנע חדירה לארגון. אם אלפי האקרים ינסו לחדור לארגונך, סביר מאד שהם ימצאו איזו שהיא דרך. לכן חובה להשקיע במערכות שסורקות ללא הרף, לשם איתור נקודות תורפה, ומאתרות דרכי חדירה לארגון.

דרור בן דוד:  אפשר לעשות הגנת סייבר גם בסביבה פתוחה לאינטרנט. ההגנה צריכה להיות רציפה. אין מדובר באירוע חד פעמי, זבנג וגמרנו. גישת moving target defense שהציג דודו מובילה כתפיסת עולם שעניינה לשנות מיקומים וכתובות במהירות על מנת שכאשר יגיעו אליך תוקפים, אתה כבר לא תהיה שם. זו גישה אפשרית ומומלצת לארגונים ופחות רלבנטית לאנשים או עסקים קטנים. חשוב גם לזכור שעולם הסייבר מביא איתו זעזועים גדולים, ללא קשר להתקפות זדוניות. ישנם מודלים של כלכלת שיתוף שמתפתחים לדוגמא Air BnB או block chain והם מבוססי שיתוף ופתיחות מעין אנטי תזה להגנת סייבר, אך מי שימנע משימוש או אימוץ שלהם עלול לאבד נתח עסקי בתחרות הגוברת ואפילו להתמוטט. נקודה אחרונה שהעלו קודמי: אני אכן מסכים שזיהוי תבניות של רשתות ו predictive analysis הם דברים שיכנסו חזק מאוד ובטווח הזמן המיידי.

תמיר סגל, מנהל הפעילות של טרנד מיקרו בישראל

תמיר סגל, מנהל הפעילות של טרנד מיקרו בישראל

עמית דניאל:  אני אתרכז בשני נושאים. האחד הפנמת תובנות בארגון בדבר הצורך במודעות וחינוך למודיעין סייבר. ישנם כלים ייעודים בעזרתם ניתן לאסוף מידע גלוי ברשתות, בלוגים וכד', עוד לפני חדירה לארגון.  המטרה היא להביא את הארגון להיות פרואקטיבי ולאמץ גישת  intelligence oriented לאיסוף מודיעין והבנת הרקע לתקיפות על מנת להיערך ולהבין את האיומים טרם החדירה לארגון. WEBINT  בשילוב עם הגנת סייבר, משנה תפיסה של ארגונים. הנושא השני, הוא הגישה ההוליסטית שהציג מוטי. צריך לתזמר את הכלים ואמצעי ההגנה באופן שבו אם לא תפסת את התוקף בנקודה אחת, אז תתפוס אותו בשנייה או בשלישית וכך הלאה. זאת בניגוד  לרוב הפתרונות היום שהם point solutions . פתרונות נקודתיים אינם נותנים מענה הולם לתקיפות מתוחכמות בעלות מספר שלבים המתפשטות במערכות הארגון.   כיום, חשוב מאוד לתת פתרון המשלב יכולות זיהוי בשלבים שונים של ההתקפה וסנכרון המידע על מנת לספק לאנליסט החוקר תמונה רחבה של החדירה כדי לקבל החלטות נכונות למניעה.

רחל יעקבי:    מהירות התגובה חשובה ביותר עד כדי קריטית. לא מדובר רק בתגובה טכנולוגית אלא ניהולית ואנושית, כולל תהליך קבלת ההחלטות מרגע זיהוי האירוע. זה למשל כולל אפילו את מעורבות מערך הדוברות של הארגון כשצריך; וכמובן, גם הגורמים העסקיים בארגון שאמורים לקבל החלטות לדוגמא, האם עוצרים פעילות או מצמצמים באופן חלקי? איך מתנהלים כלפי גורמים חיצוניים? וכד'. בהקשר זה, חשוב לערוך תרגילי סייבר לרבות תרגול של חדר מצב ומיומנויות תגובה.

טל קורן:        בהמשך למה שדובר קודם, תבניות ותובנות הגנות סייבר הקיימות היום אינן בדיוק עובדות. כלים נקודתיים אינם מספקים. אנו מתמודדים עם כמויות אדירות של התרעות וחייבת להיות מערכת סינון ותעדוף התרעות אחרת פשוט טובעים בים התרעות. אנחנו רואים עלייה מאוד משמעותית בתקיפות APT   – Advanced Persistent Threat. בשביל זה יש צורך בפתרון שהוא, מה שאנחנו קוראים מודיעין יישומי, actionable intelligence, הפיתרון חייב להיות הוליסטי וכולל את שלב הוובאינט של איסוף מוקדם וניתוח מידע של תובנות טכנולוגיות ותנועת התוקף בתוך הארגון, התבוננות ברשתות החברתיות, הערכת נזקי התקיפה והשלכותיה על ציר הזמן. מה עושים (לאחר תקיפה)? ניתן לעשות הרבה. יש צורך בבניית שיתוף פעולה בין האקדמיה לתעשייה שתצמצם את הפער בין מחקרים ומוצרים, שימוש בכלים אנליטיים של ניתוח רשתי מתקדם תוך בניית ארכיטקטורה רבת מימדים שתאסוף את המידע ותנתח אותו, בנושא אוטומציה הטיפול בכמות אדירה של התרעות שווא הוא קריטי. למשל, חקירת אירוע סייבר מורכב של קליר סקי עם צ'ק פויינט לקחה מספר חודשים. יש צורך בפתרון של מערכת אוטומטית שתדע לבצע במקביל חקירות לצורכי זיהוי, אימות, ותעדוף אירועים. מדובר על מערכת חקירה אוטומטית שמסוגלת לנתח אירועים מורכבים, תוך הערכת הסתברויות ויישום אסטרטגיות חיפוש, תובנות יוריסטיות, בינה מלאכותית, אלגוריתמים אבולוציוניים ולמידה עמוקה, שבעצם המשמעות העיקרית שלהם זה קיצור משמעותי של החקירה. לשם כך, הפתרון של actionable intelligence, מודיעין יישומי, הינו בעל חשיבות מאוד גדולה בהקשרים אלה.

Submit
 http://www.itnews.co.il/?p=4511

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.