"המטרה: למנוע איומים בזמן אמת מצד העובדים – בכוונה או שלא"

"באופן כללי המטרה שלנו היא לזהות איומים פנימיים ולמנוע אותם. אנחנו מסתכלים ורואים איומים שרק הולכים וגדלים בשנים האחרונות. אנשים מסתובבים עם ניידים וטלפונים, בתמונה יש כבר עמוק מחשוב ענן ומיקור-חוץ, וזה מוביל לכך שכמות החומר שמסתובבת היא מטורפת. 74% מהארגונים מאבדים קבצים בגלל בעיות פנימיות, וצריכים להבין שגם מי שמתחבר למערכת מהבית הוא משתמש פנימי ולא משנה אם הוא עובד, ספק או לקוח שבודק מה מצב ההזמנה שלו, וגם כשמדובר במשתמשים רגילים לחלוטין, יש גישה מסוימת למידע, וכשיש גישה למידע יכולה להיות בעיה – משם נובעים רוב האירועים", כך אמר אריק קשה, מנהל מכירות ל-EMEA ב-ObserveIT.

קשה אמר את הדברים הללו במסגרת הרצאה שנשא תחת השם "כיצד לזהות ולנטרל איומים פנימיים" ב-InfoSec 18, כנס האבטחה השנתי של אנשים ומחשבים שנערך זו השנה ה-19. הכנס, שמשך אליו מאות רבות של אנשי מקצוע, נערך באולמי LAGO שבראשון לציון בהנחיית יהודה קונפורטס, העורך הראשי של אנשים ומחשבים.

"הרבה מאוד בקרות בארגונים לא הצליחו. כל הכלים אולי נהדרים וטובים, אבל הם לא מביאים את התמונה המלאה והם לא מצליחים בדרך לאתר את כלל האיומים הכי גדולים שמגיעים מהעובדים הארגוניים שלהם. החברות משקיעות הרבה מאוד מאמצים כדי לשמור על הכניסה מבחוץ לארגון,  אבל אחרי הכניסה לא יודעים ממש בדיוק מה כל אחד עושה במערכת", סיפר קשה.

לדבריו, הדרך לפתור זאת היא להגדיר וקטור התנהגות עבור כל משתמש, כולל אנליטיקה לפי דרישת הארגון. "זה מספק איתור בזמן אמת, ומאפשר מניעת גישה גמישה. יש וקטור נוסף של התנהגות אנושית וזה ניתוחים על הדרך בה המידע יוצא ומצמיח רגליים, וגם על זה צריך לספק מעטפת. צריך אמנם למצוא את נקודת האיזון, אבל המטרה היא למנוע איומים בזמן אמת מצד העובדים – בכוונה או שלא", הוא אמר.

כמו גוף ביון אמיתי

מאיר עזור, מנכ"ל FireEye ישראל, התייחס בהרצאה שלו בדומה בין עולם הגנת הסייבר לעולם הריגול והמודיעין "האמיתי" של סוכנויות הביון והביטחון.

"מה שמתרחש כיום בעולם הסייבר ומחמיר משנה לשנה, אנלוגי למה שקורה לגופי ביון שצריכים להתמודד עם מדינות ורמות שונות של איומים. ההשוואה היא מסיבה פשוטה: גוף רציני שרוצה להתמודד עם תוקפים מסוימים מאזורים מסוימים, צריך על מנת להצליח במשימה אנשים שנמצאים בשטח ומדווחים. כך זה בדיוק בעולם הסייבר. מודיעין שטח וחקירות, מעבר למבדקים הטכנולוגיים, זו הדרך הכי טובה להתמודד עם מה שהולך ומחמיר בעולם הסייבר", הוא אמר.

מאיר עזור, מנכ"ל FireEye ישראל. צילום: ניב קנטור

לדבריו אפשר לראות מגמה ברורה ששמה את הגופנים הפיננסיים, עם 20% מתקיפות הסייבר, ואת העולם העסקי, עם 16%, במוקד המהומה.

"מה שאנחנו לא מבינים הוא שהאקרים מתכוננים באופן מדויק וממושך לכל התקפה, ועוד לפני שהם מבצעים את ההתקפה הם יושבים בשרתים וברשת כדי לשאוב מידע כדי לבנות כלים ייעודיים ומדויקים. אמנם הזמן הממוצע לשהייה הולך ויורד, אבל עדיין מדובר במשכי זמן ארוכים שנמשכים לעיתים עשרות ומאות ימים", סיפר עזור.

"אנחנו יושבים לתוקפים על הווריד. אנחנו מזהים את הקבוצות והארגונים שתוקפים וזו עבודה מסביב לשעון. עם זאת, לצערנו 56% מהמותקפים חוזרים ומותקפים שוב, ברמה גלובלית – וחבל", הוא סיכם.

התקפות מצליחות בגלל הגורם האנושי

ג'וזף קרסון, מדען אבטחה ראשי ב-Thycotic, הגיע לתחום האבטחה, כך סיפר, כהאקר חברתי מצפוני, מאלו שפורצים לאתרים כדי לזהות נקודות תורפה שמדווחות אחר כך לארגונים וליוצרי תוכנה כדי שיטפלו בהן לפני שההאקרים "הרעים" יגיעו.

"ככל שתדעו יותר על הפעולות של האקר, כך תדעו להגן טוב יותר על הארגון, ואחת הסיבות העיקריות לכך שהאקרים מצליחים היא שהם מצליחים לזהות את המשתמשים שלכאורה נחשבים לאמינים, ודרכם מצליחים לחדור את כל ההגנות, ולא משנה כמה שכבות יש. וברגע שיש לי גישה – יש לי גישה", הוא אמר.

ג'וזף קרסון, מדען אבטחה ראשי ב-Thycotic. צילום: ניב קנטור

הגורם האנושי הוא המפתח להצלחה של התקפות דיוג, לדוגמה, הוא הסביר. "התקפות טובות יבוצעו ברגע המדויק בו ניתן יהיה להלחיץ את המשתמש בלי שהוא יכול לקבל עזרה בפועל, מתוך מטרה לגרום לו לצאת מהמיקוד ולהרגיש שהוא נדחק לפינה, זו המהות, ולפעמים מספיק אחד בארגון שנכנע כדי לפתוח את השער לרווחה", הוא סיפר.

לדברי קרסון, Thycotic עוסקת באופן בלעדי בנקודת גישה עם פתרונות מקצה לקצה של אבטחה מבוססת קדימויות.

"אנחנו מציעים הרבה מאוד אינטגרציות עם מערכות קיימות ובסופו של דבר המטרה היא הרי למזער סיכונים. אנחנו חוסכים לחברות זמן וכסף. אנחנו מפחיתים את הסכנה לחשיפה בגין עובדים שהופכים לנינוחים מדי באבטחה, אנחנו מטמיעים מיכון ומפחיתים מורכבות ובסופו של דבר מפחיתים את איומי הסייבר", הוא סיכם.