ברוכים הבאים למעבדת הסייבר בקמפוס החדש של הקריה האקדמית אונו. כאן אין לוח ושקפים, וגם ההרצאות אינן מהסוג המוכר. במקום אלה ישנם מסכים, סביבות וירטואליות, כלים שמשמשים חברות אבטחת מידע מובילות ותרחישים שנלקחו ישירות מחקירות סייבר אמיתיות.
ג'קי אלטל, מרצה ומנהל מעבדת הסייבר. מגיע מהעולם המקצועי ומשמש כעד מומחה בחקירות סייבר, הבין כבר בתחילת הדרך שהכשרה אקדמית בתחום הסייבר לא יכולה לעצור בתיאוריה. "הרעיון היה לאפשר לסטודנטים ללמוד, לראות את הטכנולוגיה ולהרגיש בעצמם", הוא מסביר. "אנחנו מיישמים סביבות אמיתיות בתוך סביבות וירטואליות במעבדה. התוצאה היא חוויית למידה שמטשטשת את הגבול בין הכיתה לבין העולם שבחוץ".
המעבדה, שהוקמה לפני כשלוש שנים ועברה שדרוג משמעותי, מתפקדת כמעין Cyber Range - זירת אימונים קיברנטית שבה אפשר לדמות מתקפות, לתרגל תגובות ולבחון אסטרטגיות הגנה בתנאים שמרגישים כמו הדבר האמיתי. הסטודנטים עובדים עם אותם כלים ופלטפורמות שמשמשים צוותי אבטחה בארגונים גדולים.
אחד הדברים שמייחדים את המעבדה הוא האופן שבו היא מלמדת את שני הצדדים של ה"משחק". "יש לנו קורס שנקרא "Red & Blue", שמציג את דרך המחשבה של התוקף ומצד שני את דרך המחשבה של המגן", מספר אלטל. "הוא מאפשר לסטודנטים לקבל זווית קצת יותר רחבה". בפועל, הכיתה מתחלקת לשני צוותים: הצוות האדום, שמדמה את התוקפים, מנסה לאתר חולשות ולחדור למערכות; הצוות הכחול, שמייצג את המגנים, צריך לזהות את הפעילות החשודה, לבלום אותה ולפתח פתרונות הגנה. כל צד רואה מהנקודה שלו מה הצד השני עושה, וכך לומד להכיר את הטכניקות, את משטחי התקיפה ואת דפוסי הפעולה של היריב.
הלימוד במעבדה לא מסתכם רק בתרגילי תקיפה והגנה. אלטל יחד עם עו"ד רמי תמם, מנהל תוכנית סייבר סקיוריטי ואבטחת מערכות בינה מלאכותית בתואר השני, מייצרים יחד תרחישים שנשאבים ישירות מחקירות אמיתיות. בפורמט המכונה "משחקי מלחמה", מתואר אירוע סייבר בחברה דמיונית. כל סטודנט מקבל תפקיד מוגדר בארגון וצריך להתנהל בזמן אמת, לקבל החלטות תחת לחץ, לתעדף משימות ולחלק אחריות – כל זאת תוך עמידה בתקנים ונהלים מקצועיים. "הדברים האלה נמדדים ונשפטים אצלנו מול צוותים שמגיעים מבחוץ או צוות המרצים", מציין אלטל.
אלטל מדגיש כי בחיים האמיתיים האיומים רק הולכים ומתרבים. "כאשר מדברים על אירועי סייבר, מדברים על המון סוגים של התקפות", הוא מסביר. "יש כמה שהן יותר שכיחות". הוא מפרט לגבי התקפות הקשורות בהנדסת אנוש: "התקפות שבהן התוקפים מנצלים את חוסר ההבנה והריכוז, יוצרים אלמנט של לחץ, וגורמים למישהו ללחוץ על לינק או להוריד קובץ שמאפשר לתוקף לקבל גישה למערכות". זו בדיוק הסיבה שהמעבדה שמה דגש לא רק על הצד הטכני אלא גם על ההבנה של הפסיכולוגיה שמאחורי ההתקפות.
"הדובדבן שבקצפת" של ההכשרה הוא פרויקט הסיום בתואר השני. "ממש לפני פרויקט הסיום אני לוקח אירוע אמיתי מהשנה האחרונה... ואני משחזר אותו במעבדה", מספר אלטל. הוא מקליט את האירוע ברמת הנתונים הלוגיים, והסטודנטים מקבלים את הנתונים הגולמיים בדיוק כמו כל חברת פורנזיקה. עליהם להגיש דוח ומצגת מפורטים שמתארים את כל שרשרת ההתקפה – מנקודת הכניסה, דרך הפעולות במערכת, ועד לשאלה אם המידע זלג.
הפרויקט לא מסתיים בשחזור. הסטודנטים צריכים גם להצביע על הכשלים הארגוניים ולשאול "מה היו הבעיות באותו ארגון, למה זה קרה, כיצד אפשר לתקן". אלטל מוסיף: "בכל שנה אני יוצר מודל חדש, מעודכן, עם אירוע מאוד עסיסי. השנה יש המון אירועים כאלה".
מעבר לפורנזיקה, המעבדה מכשירה את הסטודנטים גם בתחומים כמו ניהול אירועי סייבר במרכזי SOC, ניהול סיכונים, ממשל תאגידי, תכנון והטמעת פתרונות הגנה ובדיקות חדירות. פרויקט הסיום עצמו מתפצל לשלושה ראשי חץ – טכנולוגי, משפטי וניהולי – מה שמשקף את ההבנה שעולם הסייבר כרוך גם בשיקולים משפטיים ורגולטוריים.
בחודשים האחרונים הושלמו עבודות הבנייה והעיצוב של המעבדה, שהפכו אותה למתקן מודרני המאפשר עבודה ככיתה שלמה או בחלוקה לצוותים. בעולם שבו מתקפות סייבר הפכו מאיום תיאורטי לסיכון יומיומי שפוגע בחברות, בממשלות ובאזרחים, ההכשרה מחברת בין הידע האקדמי לבין סיטואציות יום יומיות. אלטל מסכם את הפילוסופיה שלו במשפט אחד פשוט: הסטודנטים צריכים להרגיש את זה בעצמם. לא לקרוא על מתקפה, אלא לשבת מול המסך ולפצח את התעלומה. בדיוק כמו בעולם האמיתי.
