בחודשים הקרובים יותר ויותר חברות סייבר ישראליות יחשפו כאן אצלנו ב'ידיעות אמריקה', אחרי שלאחרונה, מגלה בהן שוק המקומי עניין רב במיוחד. הבולטת מביניהן היא ללא ספק חברת Cybereason, אשר רק לאחרונה הובילה בדיקה מיוחדת לקראת ההיערכות בארה"ב לבחירות האמצע.

סייבריזן, שהוקמה בשנת 2012 על ידי בוגרי 8200, ליאור דיב, יונתן שטרים־עמית ויוסי נער, גייסה סכום עתק של 200 מיליון דולר, 100 מיליון מתוכם, מחברת סופטבנק היפנית. ביסודה מפתחת החברה פלטפורמת אבטחה עבור ארגונים מגוונים כמו חברות ברשימת ה־Fortune 1000 בהם בנקים ותאגידים פיננסים בינלאומיים, יצרני תרופות, חברות תוכנה, חברות מזון ועוד. הפלטפורמה שייצרה מאפשרת לארגונים לפקח באופן רציף אחר המערכות השונות בארגון, וכן לזהות, לחקור, לבודד ולעצור התקפות בזמן אמת.

ישראל ברק, CISO, קצין אבטחת מידע בכיר של החברה בבוסטון, הצטרף לחברה לפני שלוש שנים. "התחלתי את הקריירה בתחום כמו רבים וטובים אחרים", הוא מספר לנו, "בצבא, ביחידת מצו"ב. אחרי שהקמתי וניהלתי לאורך חמש שנים את צוות אדום מטכ"לי אשר עסק ביצירת תרחישי תקיפה על מערכות שלנו, עברתי למשרד רוה"מ, גם שם עסקתי בתחום הסייבר”.

לצד המשרדים בתל אביב, לונדון וטוקיו, נבחר ברק להוביל את החברה בחוף המזרחי בארה"ב. בין ניו יורק או בוסטון, החליטו בסופו של דבר להקים את המשרדים במסצ'וסטס בגלל מה שהוא מכנה -סביבה פועה ורווית כוח אדם איכותי.

"מייסדי החברה הגיעו מרקע התקפי בתחום הסייבר", הוא מסביר, "והבינו כמה קל לתוקף להשיג את הישגים שלו. הם הבינו שאין מספיק הגנות מתקיפה בתוך המערכות עצמן. למעשה תוקפים במרחב הסייבר מצליחים רוב הזמן להיכנס ליעדים שלהם. ברוב המוחלט של המקרים הם מצליחים להשיג גישה לקרובנות שלהם תוך כמה נסיונות.

“אחד הדברים שמבין מי שנמצא בעולם ההתקפה", הוא מדגיש, "הוא שהתקפה איננה משהו שנגמר אחרי שהגעת ליעד, כי זה לא אומר שעדיין מצאת את מה שחיפשת. יכול להיות שזה דורש יכולת נוספת, בטח כשהמטרות שאפתניות יותר. תוקף בוחן לאן הגיע ואיך ברשת אליה הגיע הוא מתמקם. הוא משתמש במנגנונים שיבטיחו שלא יאבד את הגישה הזו. כך מתחיל התוקף לנוע בתוך הרשת. מנסה להתקרב קרוב יותר ויותר ליעד שלו עם יכולת תפעולית שהוא מנסה להגיע אליה ושולח נתונים שיסייעו לו להניע מבצע קדימה. על הקונספט הזה, על תהליך התקיפה הזה בנויה הטכנולוגיה שלנו. אנחנו יוצאים מתוך הנחה שגם אם לא מנענו כניסה של תוקף, נפרוש טכנולוגיה מיוחדת שיודעת לזהות שלבים של תקיפה ולחשוף תוקףץ כך אנחנו מסייעים לארגונים להימנע מנזק”.

ברק (מימין) ודיב. "הבנו כמה קל לתוקף"

מנכ"ל החברה, ליאור דיב, ממייסדי Cybereason, מצטרף ומוסיף: "אין דרך מוחלטת לעצור האקרים מלפרוץ למערכות ממוחשבות. זה לא משנה איזו חומה נייצר, ההאקרים יצליחו לעבור אותה. החומה עדיין צריכה להיות הטובה ביותר, אבל כולנו ראינו משחקי הכס: חומות דינן ליפול ולהיפרץ. לכן", הוא מסביר, "חייבים לייצר פעולה נגדית וההגנה הטובה ביותר היא התקפה, או בשפת אנשי הסייבר האנטינג (Hunting). הציד מתחיל בהנחה שהתוקף ממוקם באיזה מקום במערכת וצריך לצוד אותו, לתפוס אותו בפעולה נגדית. אנחנו עוקבים אחריו ויודעים בדיוק מה הוא עושה. אנחנו משתמשים בפיתיון שמדמה את מבוקשו ודוחפים אותו החוצה מהמערכת”.

דיב מדגיש: "ברור שהתוקף לא תוקף פעם אחת והולך אלא חוזר עוד פעם שוב ושוב. יש לנו כבר היכרות אינטימית עם חלק מההאקרים, חלקם חוזרים שוב ושוב. אנו דוחפים אותם החוצה מהמערכת והם חוזרים, וחוזר חלילה. בחלק מהמקומות בעולם זה אפילו עסק לגיטימי. זה נשמע מוזר לחשוב על חברה בינלאומית גדולה שמצויה תחת שליטת האקרים במשך חודשים בלי שלקוחותיה יידעו על כך, אבל פריצות כאלו מתרחשות כל העת”.

סייבריזן מציעה חבילת שירותים מקיפה לארגונים ומאפשרת להם להתמודד עם איומי סייבר בתוך המערכת. "אנחנו מאפשרים לארגונים לפקח באופן רציף אחר המתרחש במערכות השונות שלהם, לזהות גורמים תוקפניים, לחקור, לבודד ולעצור מתקפות סייבר בזמן אמת. ההמערכת מציעה לארגונים כיצד להתמודד עם התקיפות שהיא מאתרת. בין היתר המערכת משתמשת בשיטת המלכודות כדי לאתר פורצים. המערכת טומנת פתיונות מתוחכמים המדמים את מבוקשם של התוקפים וכך הם נתפסים”.

ישראל ברק מזכיר שהפעולה שבה ינקטו הארגונים אל מול התוקפים מאוד משמעותית ולכן יש לבחור אותה בקפידה. "המערכת שלנו נכנסת לפעולה ברגע שתוקף מגיע לגדר. אנחנו מנסים לתפוס לעצור אותו עוד לפני שקופץ על הגדר. זה השלב הראשון. בשלב הבא, שמגיע אם נתוקף עבר את הגדר, וברוב המקרים הוא יעבור בסוף את הגדר, מתחיל תהליך מבצעי במסגרתו המערכת אוספת נתונים שמזהים מה עושים המחשבים, השרתים. על בסיס אלו היא מקבלת החלטה האם תחנות מסוימות בארגון נראות כמו התקפת סייבר. האם למשל מייצרים תקשורת שנראית כמו שליטה ובקרה ששולחת נתונים ומקבלת הוראות איך להתקדם, האם נראה שיש תזוזות בתוך הרשת.

“המערכת מצליחה להציף לצוות האבטחה אינדיקציה. זו מאפשרת לארגונים לבחור כמה דרכי פעולה. האם אתם רוצים להסיר את התוקף מהרשת, האם רוצים לעקוב אחריו. כל אחת מהאופציות מגובה בתכנית פעולה. בכדי להצליץ על דרך הפעולה עלינו להבין מה מהות האיום שמולו אנחנו עובדים. הגישה הקלאסית הייתה למהר ולמחוק אותו והבעיה נפתרה, אבל היום, עם תוקפים מתוחכמים יותר, הסיכון הוא לעשות את זה בלי להבין את מכלול התמונה וכך, יכול מאוד להיות שעצרנו רק חלקים מהתקיפה ואם מעצור אותו אנחנו לולים לסייע לו. אנחנו מראים לו מה אנחנו יודעים ומה לא. המערכת אוספת את הגילויים ומשתמשת בהם כמו תהליך של חקירה. איך הגיע לכאן, למה, אנחנו מתחקים אחרי הדבר הזה דרך המידע שאנחנו אוספים כולל כל ההתפצלויות שלו בדרך ויכולים לאפשר לארגון לעקוב אחרי כל התהליך ולגדוע את הבעיה במלואה”.

דוגמא מצוינת לעבודת סייבר נותן ברק עם התקיפה של תחנות הכוח באוקראינה על ידי רוסיה לפני כמה שנים. "התקיפה החלה במכשיר שנקרא בלאק אנרגי. תקיפה שקטה במסגרתה הגיעו אימיילים לכאורה תמימים לכל מיני משתמשים וכשפתחו אותם הופעלה תוכנה במחשב שלהם. מכאן ועד השבתת תחנות הכוח המרחק היה גדול, אבל ברגע שהתוכנה רצה במחשבים התוקף, רוסיה, קיבל גישה לרשת, הבין איך היא נראית מבפנים והגיע, בסופו של דבר, למערכת הבקרה של מערכות יצור הכוח ועל פי צורך יכולים היו לשנות את תהליכי הייצור. את התבנית הזו אנחנו רואים בכל תקיפה של תוקף מתקדם, שמתחיל בצעד קטן ומנהל מבצע שמטרתו להגיע למקום שיש לו ערך”.

תוקף מתקדם, להגדרתו, בוחר מטרות לפי הערך שלהן, זו גם הסיבה שההנחה הרווחת היא שתוקף כזה יחזור בכל פעם מחדש. "אם תוקף מוצא ערך בארגון מסוים העובדה שיש לו מערכת הגנה מתקדמת לא הופכת אותו לערכי פחות. לכן תוקף תמיד יחזור כי היעד לא איבד מהערך. ככל שמערכת ההגנה מתקדמת יותר ייקח לתוקף יותר זמן לחזור, כי הוא צריך לייצר דברים חדשים לפני שהוא שב”.

כבר שנתיים שהתקפות הסייבר לא יורדות מהכותרות כאן בארה"ב. רוסיה וההתערבות במערכת הבחירות של שנת 2016 הפכו לבעיה בוערת וכעת, רגע לפני בחירות האמצע, בסייבריזן בודקים את הנושא לעומקו. "לפני יומיים בלבד עשינו במטה החברה בבוסטון תרגיל תיאוריטי של הגנת סייבר על מערכת בחירות", הוא מתאר תרגיל שתועד על ידי CNN וישודר בימים הקרובים. "חילקנו צוות אנשי מקצוע בכירים שהגיעו, ביניהם בכירי משטרה כמו מפכ"ל משטרת בוסטון לשעבר, בכירים של ה-FBI, ועוד, לצוות כחול של הגנה ואדום של התקפה.

“מה שראינו זו סיטואציה מעניינת. ראינו שהעיסוק הנרחב בנושא מאז הבחירות הוביל את אנשי המקצוע לטפל בתרחישים מאוד מסוימים", הוא מספר. "כל מה שקשור בהצבעות הפיזיות, במערכת ההצבעה, בקלפי, יש יכולת מאוד גבוהה ומאוד קשה לתקוף את הבחירות מהמערכות האלו, אבל מה שראינו זה שתרחישים שהמטרה שלהם היא לא הבחירה עצמה אלא ערעור אמונו של הציבור במערכת, אינם מטופלים. אלו תרחישים שהמערכת האמריקאית לא יודעת להתמודד עימם. סיטואציות רבות ומגוונות יכולות להתרחש במחוזות שונים. התראה מטעה על פצצה למשל יכולה להוביל כוחות משטרה גדולים לאיזור קלפי ולמנוע מאנשים להגיע או לחוש ביטחון להגיע לאיזורי ההצבעה. שיבוש של מערכות התחבורה ימנע אף הוא דרכי הגעה להצבעה. אלו ודוגמאות רבות נוספות, אינן מוכרות במערכת”.