"אין פתרון יחיד כלשהו שבאמצעותו אפשר להשיג הגנת סייבר"

"אנחנו כבר מבינים כיום באופן ברור שאין פתרון יחיד כלשהו שבאמצעותו אפשר להשיג הגנת סייבר, ולא משנה אם מדובר ב-IT או ב-OT. מה שצריך לעשות זה לשלב מגוון פתרונות במספר מעגלי הגנה ולעסוק בטכנולוגיה, קצת בהדרכה וגם לבנות נהלים, וכל זה ייתן בסופו של דבר מעטפת מוצקה. לא אומר שהיא יכולה למנוע ב-100 אחוז את התקיפה, אבל היא בהחלט תקשה מאוד על התוקפים לבצע את זממם, וזה כבר אומר שהגענו למטרה", כך אמר דניאל ארנרייך, SCCE, בכנס ICS-Cybersec 2019 שנערך אתמול (ג') באולם האירועים לאגו שבראשון לציון.

ארנרייך, יו"ר הכנס שנערך כבר בפעם הרביעית בהפקת אנשים ומחשבים, הסביר למאות אנשי המקצוע שהגיעו להשתתף כי המטרה היא למצוא את האדם שמבין את המערכת ואת האפליקציות היטב. "זה צריך להיות אדם שמבין היטב איפה מסתתרים הסיכונים, לא של נתיבי התקיפה האפשריים אלא בהיבט של המקומות בהם הארגון יכול להינזק. בהתאם לכך הוא צריך לפעול, ובהתאם לכך הוא צריך לבחור פתרון מבין מגוון גדול מאוד של פתרונות. ויותר חשוב, מערכות השליטה והבקרה, כדי לפעול נכון, חייבות להיות מתוכננות מראש כשאבטחה היא הדבר הכי חשוב, לפני כל דבר אחר", הוא הסביר.

צילום: ליאור רובינשטיין

אחד ההיבטים החשובים מבחינתו, וזה דבר שהוא חזר והדגיש לאורך היום, הוא מניעת התחברות מרחוק למערכת. "חייבים למנוע התחברות מרחוק למערכות תפעוליות, ומבחינתי זה בל יעבור, אלא אם מדובר במערכות שמיועדות לעזרה להצלת חיי אדם. אם אנחנו מאפשרים התחברות מרחוק למערכת תפעולית, אנחנו פותחים את הדלת לרווחה. ברגע שיש את האפשרות, אז מישהו כבר יצליח להאזין, לבדוק, וכבר למחרת הוא ייכנס באותה דרך כדי לגרום לנזק", אמר ארנרייך.

ומה השינויים שבכל זאת חלים? "אנחנו מתחילים לראות פתרונות שאוספים מידע מכל ההתקנים, החל בחיישנים והמתגים, כדי להנגיש את המידע כך שיהיה מוכן לבדיקה של אנליסטים. אנחנו גם מתחילים לראות כניסה של תקנים לתחום של הגנת הסייבר על מערכות תפעוליות, ובישראל כבר יש את תורת הגנת הסייבר שנותנת סוג של מענה. אבל ההצלחה לא נמדדת בסופו של דבר האם המערכת עומדת בתקן, אלא האם בניתי מערכת שעומדת ועובדת בצורה תקינה ללא בעיות", הוא סיכם.

"כמות המכשירים שלא ניתן יהיה להתקין עליהם פתרון אבטחה רק תלך ותגדל"

ענר גלמן, דירקטור בחברת האבטחה ארמיס, התייחס לכך שבעולם כיום יש סוג של צונאמי של מכשירים לא מנוהלים. "עולם התפעול עובר כיום דיגיטציה, וזה כולל התחברות לרשת הארגונית. זה עולם חדש ומושגים חדשים שאנחנו צריכים ללמוד להכיר, וכמובן ללמוד להכיר אלו מכשירים יכולים לפעול בצורה חריגה ויכולים לפגוע בי וכיצד לתפעל אותם מבלי לפגוע ברצפת הייצור", הוא אמר.

לדבריו, אנשים לא מספיק מודעים לכך שכיום במשרדים רבים יש מכשירי קצה חכמים שפגיעים לא פחות לניסיונות חדירה למערכת. "בראייה שלנו, בכדי להגיע אל אותם מחשבי קצה יש סביבה משרדית שלא פחות פגיעה, כמו טלוויזיות חכמות עם מערכות הפעלה, מצלמות אבטחת מידע ועוד. כלומר, המכשור והמחשוב שצריך לעקוב אחריהם כבר מצטברים לכמות עצומה. זה אומר שכמות המכשירים שלא ניתן יהיה להתקין עליהם פתרון אבטחה רק תלך ותגדל, וזה גם אומר שלא תהיה אפשרות לנהל אותם. אנחנו נגיע לכמות ענקית של מוצרים שהפתרונות הקיימים לא יוכלו לתת להם מענה", הוא התריע.

"מכיוון שמדובר במכשירים שקשה מאוד להתערב בעבודה השוטפת שלהם צריך חשיבה אחרת", הוא סביר. "פתרון בו יש צורך בהתקנה לא בא בחשבון, לכן אנחנו מנסים להציע פתרון שמבוסס על ניתוח התעבורה ברשת ובאמצעות זאת לגלות חולשות ולתת מענה בשיתוף פעולה עם חברות אבטחה אחרות, באופן אידיאלי עוד לפני שהאירוע קורה, או במקרה שכבר קרה – לצמצם אותו ולנסות לנתח אותו", תיאר גלמן את שיטת העבודה של הפתרון שמציעה החברה שלו.

ענר גלמן, דירקטור בחברת האבטחה ארמיס. צילום: ניב קנטור

כדי לתת תשובה צריך להתמודד גם עם בעיה נוספת והיא שרוב הלקוחות לא בדיוק יודעים מה מחובר אצלם לרשת ואם כן מתי. "יכול להיות שמישהו פתח טורנט במחשב שלו ושכח לכבות אותו, יכול להיות שמישהו החליף סיסמה ולא יידע, וזה אומר שלא תמיד יודעים עם מי המכשירים מדברים ומתי. אנחנו צריכים פתרון שמזהה אנומליות וחריגות מהתנהלות תקינה, ובהאזנה פסיבית עם יצירת תמונה מלאה עבור כל המחשבים שאנחנו מזהים רשתית. אנחנו מסוגלים לזהות כל מכשיר שיש לו תעבורה ברשת, וזה לוקח כמובן זמן מה, ואז לבדוק איך הם מתנהגים ברשת, ולתת מענה במקרה הצורך", הוא סיפר.

הוא סיכם ואמר כי "הפתרון שלנו מבוסס ענן, כדי לתת פתרון בנקודה אחת עבור כל הבעיות שלכם, כולל במקרים בהם המשרדים במקום מסוים והמפעל בנקודה אחרת. אנחנו רוצים שתראו את כל הרשת מנקודה אחת וזה גם מאפשר לזהות תקיפות בין אתרים, לזהות אתרים שיש בהם תנועה חריגה ועוד".