סיאטל היא עיר אפורה למראה, גשומה רוב ימות השנה, וממוקמת בפינה הכי רחוקה של ארה"ב, כמעט על גבול קנדה. אין שם אתרים היסטוריים או מוסדות תרבותיים נודעים והאטרקציה העיקרית לתיירים - מגדל "מחט החלל" - מתיימרת להיות מגדל האייפל של העיר אבל מגיעה רק למחצית מגובהו. ובכל זאת, במקום הזה מסתתר אחד ממרכזי מודיעין הסייבר הגדולים בעולם, אולי הגדול מכולם.
סייבר בעידן ה-AI
מדובר במה שמכונה 'יחידת הפשעים הדיגיטליים' (DCU) - מרכז מעקב אחר כל תנועות הנתונים ברשת העולמית. המפעילה היא חברת מיקרוסופט, לא הראשונה שהייתם חושבים עליה בהקשר של התגוננות סייבר.
אז מעכשיו כדאי להתרגל לרעיון: מיקרוסופט מתארגנת מחדש כדי לקחת את נושא הגנת הסייבר במלוא הרצינות, עם דגש חזק על התגוננות מפני התקפות סייבר כנגד בינה מלאכותית, שהן סכנה מוחשית ומיידית.
בכנס איגנייט (Ignite) שהתקיים בשבוע שעבר בסן פרנסיסקו המוריקה והאביבית תמיד, מיקרוסופט העלתה תצוגת תכלית מקיפה בכל הקשור להגנת סייבר מקצה לקצה. היא שידרגה מערכות קיימות, הציגה מערכות חדשות, פיתחה פלטפורמת ענק שאומרת ללקוחות שלה - תעזבו אתכם מחברות סייבר ותיקות וסטארטאפים חדשים ואיומים חדשים שמתפתחים בכל רגע - תשאירו את זה לנו. כל היבט וחשש וצורך חדש יטופל על הפלטפורמה שלנו.
מיקרוסופט היא לא חברה של פריצות דרך טכנולוגיות. מהימים של מערכת ההפעלה DOS ותוכנת בייסיק, דרך ווינדוז, אקסל, וורד ואינטרנט אקספלורר ועד ה-AI קופיילוט, מיקרוסופט מאמצת רעיונות של אחרים.
מה שהחברה עושה באמת טוב – זה לזהות את תחומי הטכנולוגיה הלוהטים, עם הפוטנציאל המסחרי הגדול ביותר, ולהיכנס אליהם בכל הכוח. לפעמים בשיתוף פעולה עם החברות הקיימות ולפעמים על חשבון החברות האלה. ככה מגיעים להיות חברה בשווי של 3.5 טריליון דולר.
וכל זה נועד להכין את הרקע לטרנד העצום שמיקרוסופט מזהה הפעם - הגנת סייבר על מערכות AI והתמודדות כנגד מתקפות שמבוססות על יכולות של בינה מלאכותית.
ההזדמנות - והסכנה
הטלטלה שעוברת על עולמות הכלכלה והעסקים בגלל הופעת ה-AI לא זקוקה להסברים. מה שפחות שמים לב אליו הוא כמה סכנות, פרצות וחולשות חדשות נוצרות בגלל ה-AI. כולם מדברים עכשיו על סוכני AI והפוטנציאל העסקי העצום שלהם לחברות במשק.
מבחינת מומחי הגנת סייבר זה בעיקר פוטנציאל עצום לדליפת נתונים ולמתקפות כופר בהיקפים שלא הכרנו. למיקרוסופט ברור שחברות ענק רוצות להשתמש ב-AI כדי להגדיל מכירות ולצמצם בכוח אדם ומה שעוצר אותן הוא רק החשש מתקיפות סייבר. והנה הזדמנות השוק שמיקרוסופט נכנסת אליה בכל הכוח.
וסו ג'אקל, סגנית נשיא תאגידי ומנהלת חטיבת Microsoft Security, אחראית לתקציב של 20 מיליארד דולר, שבינתיים נובע מעסקי הסייבר הנוכחיים של החברה. בשיחה עם כתבים היא אומרת שמיקרוסופט מתמודדת כיום עם האתגרים הגדולים ביותר בתחום סכנות הסייבר - עודף שיתוף נתונים ודליפות נתונים, אי ציות לרגולציה, זינוק בכמות סוכני ה-AI ופרצות רבות בהגנה שנוצרות בגלל מערכות AI.
הסכנה הגדולה מכולן, לפי ג'אקל, הם העובדים של החברות. אם בעבר הכרנו מושגים כמו "הנדסה חברתית" ו"מתקפות פישינג", שמטרתן להוליך שולל עובדים כך שיסגירו את סיסמאות הכניסה שלהם, בעידן ה-AI אלו הופכים לסכנה גדולה אף יותר.
לפי נתוני מיקרוסופט, 20% מהפריצות לחברות מתרחשות באמצעות חשבונות של עובדי חברה. השימוש שלהם ב-AI לצרכים לגיטימיים הביא לגידול של 80% בדליפות נתונים מחברות. כמו תמיד, הגורם האנושי הוא הבעיה.
לפי נתוני מיקרוסופט, 20% מהפריצות לחברות מתרחשות באמצעות חשבונות של עובדי חברה, והשימוש שלהם ב-AI הביא לגידול של 80% בדליפות נתונים מחברות
פלטפורמת אבטחה והשינויים בווינדוס
וכאן באה התשובה של מיקרוסופט: פלטפורמת אבטחת סייבר "מקצה לקצה", מבוססת AI ומתמקדת בהגנה מפני AI. איך עושים את זה? ראשית, בעזרת מודיעין איומי סייבר שאוסף 100 טריליון אותות מדי יום, שם, במרכז ה-DCU בסיאטל.
שנית, בעזרת הפלטפורמה החדשה שמציגה החברה, שכוללת מערכות שונות שכל אחת מטפלת במגזר איומי סייבר אחר: Defender, Entra, Purview, ו-Foundry Control Panel. במקביל, כלי פרודוקטיביות כמו Microsoft 365 ו-Work IQ משולבים במערכת ומשפרים את יעילותה.
במיקרוסופט צופים שעד שנת 2028 חברות יפעילו כ-1.3 מיליארד סוכני בינה מלאכותית. רוב הארגונים עדיין לא מצוידים בכלים לניטור, אבטחה או ניהול של הסוכנים, ואם לא ינהלו אותם, סוכני הבינה עלולים להפוך ל-Shadow IT שאינו מנוצל כראוי וגם מהווה פתח למתקפות על חברות.
במיקרוסופט צופים שעד שנת 2028 חברות יפעילו כ-1.3 מיליארד סוכני בינה מלאכותית
ומיקרוסופט לא מתמקדת בחברות ענק בלבד. היא רוצה להגיע לכל המשתמשים שלה, גדולים כקטנים. מנכ"ל החברה, סאטיה נאדלה, אמר לאחרונה שהכיוון האסטרטגי החדש של החברה הוא להפוך את מערכת ההפעלה ווינדוס לסביבה עבודה של בינה מלאכותית. סוכני AI יפעלו בה, יעקבו אחרי פעילותנו, יבצעו משימות עבורנו – יסכמו מסמכים, ישלחו מיילים, יחפשו מידע ויערכו אותו.
בתוך מערכת ההפעלה נגלה בקרוב תכונות שלא הכרנו, שמבוססות על סוכני AI ושיציעו לנו כל הזמן עזרה, גם אם לא ביקשנו. "השינויים האלה הם האבולוציה הארכיטקטונית המשמעותית ביותר בווינדוס מאז הצגת מודל האבטחה המודרני. המשתמשים יכולים כעת לתאר את התוצאה הרצויה להם, והסוכנים יטפלו בכל המשימות הנדרשות", אמר פאבן דאבולורי, נשיא ווינדוס ומכשירים במיקרוסופט.
בנקודה הזו מיקרוסופט נתקלת בחוסר התלהבות מצד הלקוחות. הפרסומים על הכוון החדש הובילו לשלל תגובות ביקורתיות ברשת. המשתמשים כעסו על כך שמיקרוסופט לא נענית לבקשות להכנסת תוספות ושינויים בתוכנות שלה, אבל במקום זה מוסיפה את תכונות הבינה המלאכותית החדשות. "אף אחד לא רוצה את זה" כתב אחד המשתמשים.
אך יכול להיות שדווקא תכונות ה-AI החדשות יפתרו את הבעיות הישנות שהמשתמשים מתלוננים עליהן באמצעות ביצועי AI שלא היכרנו. ויכול להיות שהן יתגלו כבלתי מועילות. התשובה לזה תתגלה במהלך התקופה הקרובה.
יחידת הפשעים הדיגיטליים החשאית
יחידת הפשעים הדיגיטליים (DCU) של מיקרוסופט מסתתרת בתוך בניין משרדים רגיל לגמרי, בלב הקמפוס הענק והמוריק של מיקרוסופט בעיירה רדמונד, לא הרחק מסיאטל. אבל מייד בכניסה אפשר לחוש בהבדל: מרבית העובדים אינם מורשים להיכנס פנימה, וגם אלה שנכנסים - אורחים ועיתונאים - עושים את זה רק עם ליווי צמוד של צוות עובדי ה-DCU.
גם אחרי שנכנסת פנימה ונחשפת לנתונים שהחברה מבקשת להציג, אתה מבחין שמדובר בדיוק בזה: מצגות, מספרים, אפילו הדמיות של תקיפות סייבר, אבל שום דבר מהדברים שהמרכז הזה עושה באותו רגע מול נתוני האמת מהעולם.
המבקרים מוזמנים למין דיסנילנד של הגנת סייבר, בלי שום גישה לעולם האמיתי, המקום שבו מתרחשות מתקפות סייבר אגרסיביות ללא הרף, סכומי עתק משולמים ככופר לפושעים, ומידע מסווג וחיוני מודלף שוב ושוב.
סטיב מאסדה, שמוביל את יחידת הפשיעה הדיגיטלית, אומר שלחברה פרטית כמו מיקרוסופט אין כלי אכיפה כמו שיש למערכי סייבר מדינתיים או רשויות אכיפה בינלאומיות, אבל יש לה יכולות משפטיות והרבה שיתופי פעולה עם גופים ממשלתיים שמאפשרים לה לא רק לאתר איומי סייבר אלא גם לפעול נגד פשיעת סייבר.
"למשרדים כאן מגיעים מדי פעם אנשי FBI, אנשי ביטחון המולדת והשירות החשאי, אתם יודעים, פעמיים שלוש פעמים בשבוע", הוא אומר, "חלק מהסוכנויות האלה מגיעות לכאן ועושות מכאן את העבודה. זה מאפשר להם לגשת לנתונים שלנו שלא זמינים בדרכים אחרות".
והשותפים הממשלתיים הם לא רק אמריקאים – גם רשויות אכיפה מבריטניה, אוסטרליה וכמה מדינות אירופאיות מגיעות לכן בתכיפות גבוהה. "שיתופי הפעולה כוללים גם מתחרים שלנו כמו גוגל ואמזון, אנחנו משתפים אפילו איתם פעולה".
זיהוי, אפיון, איתור, מעקב
הכלים שפותחו ב-DCU מאפשרים לזהות גורמי פשיעת סייבר עד כדי זיהוי מיקומם ומאפייני פעולתם, לאתר את התשתיות שעליהן הם פועלים, לעקוב אחרי העברות כספים במטבעות קריפטו וליזום פעולות שיעצרו אותם. מומחים אחרים במרכז מנתחים את אפליקציות הסייבר הזדוניות, מבצעים להם הנדסה הפוכה ומצליחים להבין במדויק את דרך הפעולה שלהן.
"אולי זה לא ספוילר, אבל פשיעת הסייבר הפדרלית ממשיכה להתפתח", אומר מסאדה, "הפושעים מתפתחים בתחכום והכל תלוי בנו, המגזר הציבורי הפרטי, לעבוד ביחד ולמצוא את הדרך הטובה ביותר לעצור את פשעי הסייבר".
הוא מציג נתונים לפיהם בין השנים 2000 ל-2023 שולמו תשלומי כופר בהיקף 1.1 מיליארד דולר לגורמים ברוסיה, איראן, אבל מודה שאלה נתונים חלקיים בלבד: "מתקפות כופר הן כנראה פשע הסייבר הכי פחות מדווח. אנחנו יודעים להגיד שהמספר האמיתי גבוה מזה באופן אקספוננציאלי".
"הפושעים מתפתחים בתחכום והכל תלוי בנו, המגזר הציבורי הפרטי, לעבוד ביחד ולמצוא את הדרך הטובה ביותר לעצור את פשעי הסייבר"
בשנת 2024 מתקפת כופר אחת אילצה חברה עסקית לשלם 75 מיליון דולר כדי שישחררו את המערכות שלה. "אפשר להבין את ההשפעה הקיצונית שיש לזה על החברה. אפשר גם להבין מדוע יותר ויותר פושעי סייבר נכנסים למשחק. זה רווחי להפליא", הוא אומר.
לדבריו, נוצר טשטוש בין פשעים למטרות כספיות לבין פשעים למטרות מדיניות: "פושעי סייבר עם מוטיבציה כלכלית משתפים פעולה עם ממשלות, משתפים כלים וטכניקות כדי לשרת את המטרות של שניהם". לקראת מערכות בחירות בבריטניה ובארה"ב הצליחו במרכז לשבש כמה מרשתות התקיפה המדינתיות שתכננו לפגוע בתקינות הבחירות.
פעילות איסוף הנתונים של ה-DCU מתבססת במידה רבה על מעקב מקרוב אחר תנועת הנתונים בעזרת הלקוחות שעליהם היא מגינה. מסאדה מתאר את זה ככוח משימה של 34,000 מהנדסי אבטחת מידע במשרה מלאה.
פעילות המודיעין העולמי הזו מסננת טריליוני נתונים ועוקבת אחרי אלה שיש להם מאפייני סיכון. במקרים כאלה אפשר לעקוב אחרי המקור מקרוב ולאתר אפילו תשתיות מתקפות בעת שהן מוקמות.
הנתון המעודכן הוא 1,500 קבוצות איומים פעילות שבמיקרוסופט עוקבים אחריהן, 600 מיליון התקפות ביום, 72 מיליארד פעולות מניעה מדי יום. בחלק מהמקרים, כשהפושעים מזוהים, מיקרוסופט יוזמת פעולות מעצר ומשפט. ויש עוד טכניקה נחמדה שבחברה מכנים "בולען": משאירים את כתובות האינטרנט של הפושעים פעילות במערכת מוגנת, וכך יכולים לאתר פעילות שממשיכה על ידי גורמים נוספים ועוצרים גם אותם.
7 צפייה בגלריה
יחידת הסייבר האיראני. "פושעי סייבר עם מוטיבציה כלכלית משתפים פעולה עם ממשלות"
(צילום מסך)
"יוזמת העתיד הבטוח"
כמה ימים לפני כנס איגנייט מיקרוסופט פרסמה את דו"ח "יוזמת העתיד הבטוח" (SFI) שלה, דו"ח חצי שנתי שמתפרסם בפעם השלישית ושבחברה מייחסים לו חשיבות רבה. היוזמה החלה בעקבות פריצה של גורמים סיניים למערכות החברה בשנת 2023, מה שהביא לקביעה של המחלקה לביטחון המולדת האמריקאית שהיו במיקרוסופט "שרשרת של כשלים אבטחתיים" שאפשרו לתוקפים לפרוץ לחשבונות דוא"ל ב-22 ארגוני לקוחות, כולל מספר סוכנויות פדרליות.
דויד ווסטון, סגן נשיא תאגידי לארגונים ואבטחת מערכות הפעלה, אומר בריאיון לידיעות אחרונות ו-ynet: "אני חושב שדו"ח SFI הוא יוזמה חשובה מאוד, בעיקר כי לקוחות פונים למיקרוסופט בגלל אמון.
"הם צריכים לסמוך על האופן שבו אנו פועלים, הם צריכים לסמוך על האבטחה שלנו. מבחינתי SFI ממחיש את המחויבות שלנו לשים את אבטחת הסייבר במקום הראשון בכל מה שאנחנו עושים, גם במוצרים שאנחנו מוכרים אבל גם בכל המוצרים שלקוחות משתמשים בהם, לוודא שהמערכות שלנו מתפתחות כדי להישאר צעד אחד קדימה לפני ההתקפות".
בין שאר תפקידיו אחראי ווסטון ל"צוותים האדומים", צוותי התקיפה של מיקרוסופט שמנסים לפרוץ למערכות השונות ובכך לסייע למנהלי האבטחה של החברות למגן טוב יותר את החברות שלהם. "הצוותים האדומים מדמים התקפות סייבר כנגד מערכות ומאתרים חולשות. יש לי צוותים בכל רחבי העולם שעושים את זה, כולל צוות בישראל".
המערכות החדשות שהכרזתם עליהן יחליפו מומחי הגנת סייבר אנושיים?
"אנחנו ממשיכים לסבול ממחסור בעובדי אבטחת סייבר, בעיקר בתחומים ספציפיים שדורשים מיומנות גבוהה כמו שיש לנו בהרצליה. אז מכיוון שהמשאבים סופיים אנחנו רוצים להפוך אותם לזמינים לכולם ו-AI זו דרך נהדרת לעשות את זה. לקחת את הכישורים והמומחיות של האנשים ולאמן את מודל ה-AI לפיהם".
יש הייפ סביב הבטחות שסוכני AI יחליפו עובדים. אתה מאמין שיש לזה פוטנציאל עסקי?
"אני חושב שבינה מלאכותית אינה תרופת פלא, אבל בהחלט יש מקומות שבהם זה דומה מאוד לקסם. אני והצוות עסוקים זמן רב באיתור המקומות שבהם זה עובד טוב לעומת אלה שלא. שאלת אותי אם סוכני AI יחליפו מומחי אבטחת סייבר. היום? לא. אבל האם זה יכול לחסוך למומחה אבטחת הסייבר שעות רבות של משימות חוזרות? בהחלט כן".
מה התרומה של הצוותים הישראלים לעבודה שלכם?
"לישראל יש סטארטאפים מדהימים בתחום אבטחת הסייבר. כשאני בישראל אני תמיד נדהם מרמת החדשנות וההתמקדות בפתרון בעיות של לקוחות. אני חושב שזה שילוב של הכישרון הטכני עם כישרון ביזמות ובהון סיכון.
"האקוסיסטם הוא מצוין. מבחינת מיקרוסופט, יש לנו טאלנטים מצוינים שאנחנו מסוגלים לגייס בישראל, ובגלל הנוכחות שלהם בישראל אנחנו יכולים להציע ללקוחות בישראל, כולל תשתיות קריטיות, יכולות זיהוי ותגובה על התקפות".
מיקרוסופט היא שחקן מרכזי בהייטק הישראלי מאז 1989, כשפתחה אצלנו את אחד מסניפיה הראשונים מחוץ לארה"ב. כיום היא נמנית עם המעסיקים הטכנולוגיים הגדולים בישראל. הפעילות בארץ ממלאת תפקיד אסטרטגי חשוב בפעילות הגלובלית של החברה. הנוכחות של מיקרוסופט בישראל מתבססת על המרכז האסטרטגי למחקר ופיתוח (R&D), שאותו מובילה מיכל ברוורמן-בלומנשטיק, מנכ"לית מיקרוסופט ישראל מחקר ופיתוח. מדובר באחד משלושת מרכזי הפיתוח האסטרטגיים של מיקרוסופט בעולם, המוביל פיתוח של מוצרי ליבה בתחומי AI ואבטחת סייבר; מרכז המחקר והפיתוח, שנפתח ב-1991 כמרכז הפיתוח הראשון של מיקרוסופט מחוץ לארצות הברית, מעסיק אלפי עובדים בכ-30 קבוצות מוצר. כחצי מעובדי המרכז עוסקים בסייבר, ולכן הפעילות בישראל מהווה מרכיב מרכזי בהובלה העולמית של מיקרוסופט בתחום.
באירוע של איגנייט אי אפשר היה שלא להתפעל מהנוכחות הישראלית הבולטת. צוותי פיתוח ממרכז המו"פ הישראלי הובילו בשדרוגים באפליקציית ה־Teams באמצעות Copilot, בפיתוח דשבורד אבטחת ה־AI, סוכנים חכמים וחידושים בענן ובדאטה, באינטגרציה של הגנת ענן בפלטפורמת גיטהאב, ובשילוב יכולות ההגנה בתחום אבטחת סוכני ה־AI. גם פיתוח הסוכנים עצמם נעשה על ידי צוותי מיקרוסופט ישראל מו"פ, כמו סוכן מודיעין איומים, סוכן זיהוי איומים דינמי וסוכן סיווג פישינג. יש מצב שמרכז המו"פ הזה, שהוציא מתוכו את מייסדי וויז וחברות רבות אחרות, ימשיך להיות מקור לסטארטאפים ישראלים נוספים רבים.
הכתב היה אורח של חברת מיקרוסופט במשרדי החברה ברדמונד, סיאטל
