"מנהל אבטחת המידע חייב להעביר את המשקל מהטכנולוגיה למודיעין"

"הגענו למצב אבסורדי בו מהרגע שהתוקף חדר לוקח 101 עד 191 ימים עד גילויו. אתגר המנמ"ר ומנהל אבטחת המידע הארגוני הוא להיות מוכנים לקראת המתקפות. המתקפות הן בלתי נמנעות אז כל שנותר הוא לצמצם את משך השהייה של התוקף ברשת הארגונית, כי שלושה עד שבעה חודשים זה יותר מדי. בפרק זמן זה אפשר כבר פשוט לתת להאקר תעודת עובד של החברה המותקפת. המענה לכך נמצא בין היתר במודיעין", כך אמר מרקו ריבולי, סגן נשיא FireEye לאזור דרום אירופה.

ריבולי דיבר בערב לקוחות מנמ"רים ומנהלי אבטחת מידע בכירים שערך הסניף הישראלי של ענקית אבטחת המידע. הכנס, בהפקת אנשים ומחשבים, נערך ביום ה' במלון דן אכדיה בהרצליה, בהנחיית מאיר עמור, מנכ"ל FireEye ישראל.

"יש להבין מיהו התוקף", אמר ריבולי, "לברר מה מהות הנזק שנגרם מהמתקפה, להגיב להאקרים ולהראות שאתה בשליטה על האירוע. אתגר נוסף הוא החינוך, זה אף פעם לא מספיק. חינוך ומודעות לאיומי הסייבר הוא סיפור מתמשך ויש לגעת בכולם מאחרון העובדים ועד ההנהלה והמנכ"ל". הוא הוסיף כי "לדאבון לבם של המנמ"רים, היקף האיומים, כמו גם רמת המורכבות והתחכום שלהם, הולכים וגדלים. אלא שמנגד, התקציב שהארגונים מקצים ל-IT ולאבטחת מידע אינו גדל ולפעמים אפילו קטן. המענה לצמצום הפער הזה הוא באמצעות מודיעין אודות האיומים".

בינואר 2016, iSight, הפועלת בעולם של מודיעין איומי סייבר, נרכשה על ידי FireEye תמורת 200 מיליון דולר. לדברי ריבולי, "מנהל אבטחת המידע הארגוני חייב לעשות שינוי. עליו לשנות את התמהיל ולהעביר את כובד המשקל מהטכנולוגיה למודיעין. יותר ויותר מנהלי אבטחה הפנימו את המשמעויות הגלומות במודיעין. רשת המודיעין של iSight כורה ומנטרת איומי סייבר בעולם וממפה אלפי פעילים בתחום. לחברה יש כ-400 אנשי צוות, ביניהם יותר מ-300 מומחי מודיעין איומי סייבר הפרושים ב-40 מדינות ועובדים ב-29 שפות. אנו ספק בלעדי של מודיעין איומי סייבר לסוכנויות הפדרליות הממשלתיות בארצות הברית. יש לנו 300 אנליסטים המבלים את ימיהם ולילותיהם ברשת האפלה, בדארק-נט. הם עוקבים אחר הרעים ואם תוקף עושה משהו אנו מתקשרים ללקוח. בהסתמך על נתונים היסטוריים אנו יכולים להעריך מה יהיה הצעד הבא שלו ולמנוע את האירוע ולכל הפחות לצמצם את נזקיו, אם הארגון כבר נפגע".

"מודיעין מנקודת המבט של הקורבן ושל התוקף"

ההיבט החיובי בעליית המתקפות המתמשכות והמתקדמות, APT, אמר ריבולי, "הוא בכך שהן העלו את רמת המודעות לאיומים בכלל ובקרב הנהלות בפרט. אנו רואים מיקוד רב יותר של הנהלות ארגונים באיומים, בעקבות שפע המתקפות בעלות הפרופיל התקשורתי הגבוה שאירעו בשנים 2016-2017 יותר משאבים מוקצים לתחום".

יתרונה של החברה מול ספקיות אבטחת המידע האחרות, אמר ריבולי, "הוא בכך שהן החלו מכיוון אחד של אנטי וירוס והשוק הצרכני- פרטי. התחלנו לעבוד כבר מההתחלה על הגנה על תשתיות קריטיות. לאחר מכן הוספנו יכולת חיקור לאירועים עם רכישת מנדיאנט (Mandiant) ולאחר מכן, יכולות מודיעין עם iSight. כך אנו ערוכים יותר מאחרים בהיבט מתן פתרונות למניעת מתקפות מתקדמות. מערכי המחקר והמודיעין שלנו נוגעים בכ-90% מהאיומים הקיימים בעולם".

לדברי ריבולי, "יש לנו שיתופי פעולה עם 70 ממשלות בעולם לרבות עם מערך הסייבר במשרד ראש הממשלה בישראל. האזור באחריותי כולל את המדינות צרפת, איטליה, ספרד, פורטוגל, יוון, טורקיה וישראל. היקף הפעילות שלנו, באופן יחסי לגודל המדינה ולמספר הארגונים בה, הוא הכי גדול פה",
לסיכום, אמר ריבולי כי "מודיעין בזמן אמת יהפוך למרכיב קריטי באבטחת המידע והגנת הסייבר. המטרה היא לנטר את התקיפה הכי מהר שאפשר ולא לבזבז בין מאה ל-200 ימים באיתורה. בנוסף, נדרש לברור בין מתקפות אמת והתראות שווא. אנו מביאים לשוק מיזוג מודיעין מנקודת המבט של הקורבן וגם של התוקף".