"לא הייתי מתחלף עם אף מנהל אבטחה – התפקיד קשה וכפוי טובה"
"בניגוד לביטוי - אין מחט אחת בשחת. החוכמה היא למצוא את המחטים הרבות המתחבאות בתוך השחת כשהן מצופות בפלסטיק ולכן מגנט לא יעזור לשלוף אותן", אמר גילעד פלג, מנכ"ל SecBI
"לא הייתי מתחלף עם אף מנהל אבטחת מידע בכל ארגון שהוא. מדובר בתפקיד קשה עד בלתי אפשרי ובעיקר – תפקיד כפוי טובה", כך אמר בראיון לאנשים ומחשבים גילעד פלג, מנכ"ל SecBI.
תפקיד מנהל אבטחת המידע, אמר פלג, "להגן על הארגון, לפרוס תשתיות ולעבוד עם אנשים על מנת לגלות איומים. אבל אם קורה משהו – הוא אשם. האיומים קשים, מורכבים וכל הזמן משתנים. ארגונים ניצבים מול הרעים – פושעים והאקרים שלוחי מדינות".
לדבריו,"הרעים מאד מתוחכמים, יעדיהם ברורים ויש להם מלא זמן להצליח – ולבסוף הם אכן יצליחו. הם מאד חכמים, מתקדמים, חדשניים ויצירתיים. המתקפות כיום מתקדמות, האיומים מורכבים ועקביים. בכל פעם שהארגון מטמיע מערכת חדשה – נכנס אוסף חדש של איומים ונקודות תורפה".
SecBI נוסדה ב-2014 על ידי פלג, יוצא מצו"ב שבאגף התקשוב, דורון דוידסון, יוצא RSA המשמש כסגן נשיא לפיתוח עסקי בחברה ואלכס ויסטיך, יוצא יחידה טכנולוגית ו-RSA. החברה מונה עשרים עובדים, רובם בישראל. ב-2016 גייסו 5 מיליון דולר בהובלת JVP ו-Orange. יש לה כיום שיתופי פעולה רבים, עם ספקיות אבטחת מידע וספקיות שירותי אבטחה מנוהלים – ביניהם פאלו אלטו, אורנג' סייבר דפנס, סימנטק, דלויט, אקסנצ'ר ו-TCS.
ההתראות לא מדויקות ומלאות
לדברי דוידסון, "חווינו על בשרנו את החסרונות של פתרונות האבטחה המסורתיים והחלטנו שזו העת לפתח טכנולוגיות חדשות שיתמודדו עם דור חדש של מתקפות מתוחכמות".
"יש בעיה אקוטית בשוק: יש יותר פתרונות טכנולוגיים המתריעים על דברים שקורים – אבל מתריעים על דברים נקודתיים. זה לא מאפשר לאנליסטים ב-SOC להבין את התמונה המלאה של המתקפה. כלומר, גם אם המוצר מתריע על חלק מהמתקפה, האנליסט לא מצליח לראות כולה, את הישויות המשתתפות בה וכיצד לעצור אותה במהירות ובאפקטיביות", אמר.
הוא הוסיף כי, "כל המתקפות הפכו למסובכות יותר וכלי התחקור מורכבים יותר. יש המון התראות, לאו דווקא שמאד קשורות, אבל אין מידע על איך הן קשורות ומהו ההקשר ממנו ניתן להבינן ולעוצרן".
דוידסון ציין עוד כי ישנן שלוש בעיות עם האיומים: "האחת, מפספסים: מערכות הסייבר מבוססות רשימות וחתימות לא תמיד מעודכנות, בטח לא על מה שקרה לפני יומיים; המערכות מתריעות לעתים התראות שוא; ההתראות מאד נקודתיות ולא נותנות הסבר מה קרה – אלא רק שיש בעיה. כך, נוצר מצב שבסופו של דבר המתקפות מצליחות להתקדם, ובשקט".
על פי דוידסון, "אנו הופכים את הסיפור: במקום לחפש אנומליות ונקודות בעיתיות, אנו שואלים 'מה היה עושה בלש טוב' – מנסה להבין הוא אוסף הממצאים, מחברם ואז רואה שיש לו סיפור. לאסוף ממצאים, משמע לטפל בעשרות מיליארדי אירועים, ולברור מתוכם את הפעילות הזדונית. זאת, כי לצערי, אין פנס קסם אולטרא-סגול היכול לעשות זאת".
ניתוח מיליארדי אירועים
"המערכת שלנו מנתחת את כל מיליארדי האירועים בין אם הם סומנו כטובים או לא והיא לא מחפשת את השונה והחריג אלא את הסיפור וההקשר. סיפור זה תהליכים הקורים, עם התחלה או סוף או מתמשכים, שם יש אוסף ישויות: המשתמש, ההאקר, המדפסת, הטלוויזיה החכמה", הוסיף.
"אנו מביטים על כל המתקפות בצורה אחרת, כדי לתת את ההקשר לאנליסט. פיתחנו גישה חדשה לחקר תעבורת רשת, שמספקת זיהוי אוטומטי של איומי סייבר וחקר אירועים עבור מוקדי אבטחת מידע ועבור ספקיות שירותי אבטחת מידע מנוהלים", אמר עוד.
לדבריו, "אנו מיישמים אוטומציה הן של זיהוי איומים והן של תהליך התחקור. כך, אנו מציגים לאנליסטים של אבטחה בתוך דקות – סיכום מדויק ומקיף מקצה לקצה אודות הרצף ההיסטורי של כל אירוע חשוד וכל הישויות המושפעות – שרתים, משתמשים, נקודות קצה ועוד. כך, האנליסטים מסוגלים לבצע במהירות פעולות תיקון ולבטל את הסיכון הגלום במתקפות, כולל מתקפות עומק מתוחכמות. זאת, לעומת פתרונות שמפיקים התרעות מקריות ואנומליות, המחייבות התאמות ידניות ומחקר".
לדברי פלג, "הפתרון מבוסס תוכנה וניתן להתקנה בענן. להבדיל מפתרונות אחרים, הוא אינו דורש התקנה של חומרה מורכבת, או תוכנה על יחידות הקצה בארגון. כיום עושים בו שימוש מוסדות פיננסיים, חברות טלקום, חברות קמעונאות ומפעלי ייצור ברחבי העולם".
פלג סיכם ואמר כי "אנו הופכים את הזיהוי, הגילוי והתגובה למהירים, מדויקים ופשוטים. אין מחט אחת. החוכמה היא למצוא את המחטים הרבות, המתחבאות בתוך השחת כשהן מצופות בפלסטיק ולכן מגנט לא יעזור לשלוף אותן. הפתרון שלנו מסייע לצמצום מצוקת כוח האדם המקצועי בעולם האבטחה".
תגובות
(0)