האיום: פשיעה מאורגנת ברשת

תמיר סגל, מנכ"ל טרנד מיקרו ישראל מדבר בראיון על האתגרים העומדים בפני החברה בהגנה על תחום מערכות הסקאדה , האינטרט של הדברים והפשיעה המאורגנת. "הבעיה העיקרית היום היא הכסף של הארגון. תחומי הפשיעה המאורגנת והריגול התעשייתי ברשת יותר מסוכנים מריגול או תקיפה של תשתיות קריטיות", אומר סגל.

תמיר סגל, מנכ"ל טרנד מיקרו ישראל

"הערכה היום היא ש-99 אחוזים ממקרי התקיפה כמו זה שארע בחברת Target, לא מדווחים לרשויות כי החברות לא משתפות מידע. אותה תרבות קיימת גם בישראל. לא מדווחים על תקיפות סייבר. אפשר לראות את זה במקרים של תוכנות סחיטה שפוגעים בלקוחות ישראלים, הם מעדיפים לשלם ולא ללכת למשטרה", אומר תמיר סגל, מנכ"ל טרנד מיקרו ישראל. "על פי אותן הערכות, ל-90 אחוזים מהארגונים העסקיים יש קוד זדוני במערכת שהם לא יודעים עליו".

"חתימות זה נחמד, אבל לא מספיק"

טרנד מיקרו היא אחת מחברות אבטחת המידע הגדולות בעולם עם מחזור מכירות שנתי של מעל למיליארד דולרים ב-2013. לצורך השוואה, חברת קספרסקי מגלגלת כ-600 מליוני דולרים בשנה. החברה מפעילה סניף ישראלי ומוצריה מותקנים כמעט בכל הבנקים ומשרדי הממשלה בישראל, כמו גם במגוון חברות עסקיות.

"הפעילות העיקרית שלנו היא במגזר העסקי", מסביר סגל. "יש גם פעילות מול משתמשים בעיקר פרטיים בעיקר במזרח הרחוק. אנחנו נותנים פתרון לכל שכבות ההגנה ומפתחים את הטכנולוגיה לבד. יש לנו מוצרים שאין לאף אחד אחר. כמו למשל, מערכת הגנה על סביבה וירטואלית מבוססת vmware ללא קליינט על המכונה הוירטואלית. מדובר במוצר שכולל חומת אש, IPS, ניטור לוגים ואנטי Maleware. בכל שאר הפתרונות צריך קליינט".

סגל מסביר שלמרות שהחברה שלו התמקדה בשנים הראשונות באנטי וירוס (החברה קמה ב-1988), היום החברה ממוקדת בעיקר בפתרונות הגנה לתקיפות מורכבות (APT) ומערכות תעשייתיות כמו SCADA. "האנטי וירוס הוא מוצר שצריך חתימה כדי לעצור קובץ. אם נשארים בתפיסה הזו, אין הבדל בין החברות. כיום הבידול הוא ביכולת שלנו לספק מעטפת מודיעין עשירה בזמן אמת לצורך ניתוח האיומים. זו אסטרטגיה חדשה לגמרי. חתימות זה נחמד, אבל לא מספיק", אומר סגל.

"תוכנות סחיטה זה ביזנס ענק"

בשונה מאחרים העוסקים באבטחת מידע, סגל טוען כי הבעיה האמיתית של הארגונים היא פשע מאורגן ולא תשתיות קריטיות. "הבעיה הגדולה זה הכסף, לא תשתיות קריטיות. העולם התחתון גילה שיש יותר כסף בעולם הוירטואלי מאשר בעולם הפיזי. זה שינוי פרדיגמה בעולם הפשע. אנחנו רואים התארגנויות של חברות הזנק שמקבלות מימון מארגוני פשע מתוך כוונה לפתח כלים שיוציאו מידע מארגונים".

את המודיעין מפיקים בטרנד מיקרו מ-300 מיליוני יחידות קצה בעולם שמוסרות משוב על התעבורה שעברה דרכן. לחברה יש מערכת שנקראת Deep Discovery המסוגלת לייצר ברשת הארגון עד 24 סביבות וירטואליות מאובטחות (סנד בוקסים). כל התעבורה שעוברת ברשת הארגון עוברת ניתוח בזמן אמת מול המודיעין הקיים בטרנד מיקרו, והקבצים החשודים נשלחים ללקוח לבדיקה.

"ההבדל הגדול בין המערכת שלנו למתחרים, טמונה במודיעין המגיע מכל הסנסורים בעולם. אם אתה לוקח מערכת שלא ניזונה ממקורות אחרים שיש לך בארגון ובעולם, היא לא נותנת מענה. יש לנו את הסורק הכי טוב לשרת הדואר של מיקרוסופט. כל הבנקים בישראל משתמשים בו וגם משרדי ממשלה. אנחנו יודעים לטפל בקרוב ל-90 פרוטוקולים שקיימים היום בעולם ה-IT. זה יתרון לעומת המתחרים", אומר סגל.

"בגלל היתרון שלנו, יבמ בחרה במנוע המודיעין של החברה עבור מוצר ה-Qradar שלה. זו מערכת מודיעין לעולם הוירטואלי שמבוססת על מוצר של טרנד מיקרו".

אתה לא חושש מהשת"פ בין מקאפ'י לאינטל?

"עברו שלוש שנים מאז הרכישה של מקאפ'י - משהו קרה מאז? אינטל פספסו את הרכבת של המעבדים לסמארטפונים לטובת ARM, והם היו בלחץ. אחת התיאוריות הייתה שהם רכשו את מקאפ'י כדי להציע שבבים עם אבטחת מידע מוכללת. לעומת זאת, היו טענות שהם לא לקחו בחשבון את הרגולטור האמריקאי. אינטל גדולה מידי והיא יכולה להפוך למונופול בשוק אבטחת המידע אם כל מחשב או התקן שני בעולם יגיע עם מוצר של מקאפ'י. תיאוריה אחרת אמרה שייתכן ובאותה התקופה הייתה באינטל חשיבה שתחום אבטחת המידע הוא תחום מתפתח ושווה לה להיות שם. בכל אופן, כרגע אין שום יתרון בשותפות בין אינטל ומקאפ'י. אנחנו לא מפחדים מתחרות. בסופו של יום, היא עושה לנו טוב".

סגל התייחס גם למתחרים אחרים. "סימנטק נמצאת בתקופה לא טובה. היא לא מצליחה לחדש ומתרכזת בעיקר בתחום האחסון מאז הרכישה של וריטס". ומה עם קספרסקי? "הלקוחות הישראלים מעדיפים חברות שפועלות גם בארה"ב ולקספרסקי יש שם נוכחות מוגבלת. במגזר העסקי בישראל אין לו נוכחות משמעותית".

הגנה על מערכות SCADA

אחד התחומים שטרנד מיקרו נכנסה אליהם לפני כשלושה חודשים הוא מערכות תעשייתיות או בעגה מקצועית - SCADA. "שהתחלנו לעבוד על פתרונות סקדה, היינו צריכים להכיר את המערכות הללו. בנינו מלכודת בדמות אתר אינטרנט של מכון למחקר מים בעיר מסוימת בארה"ב . המטרה הייתה למשוך האקרים לנסות לתקוף את האתר. במשך חודש ימים היו 16 ניסיונות להיכנס למערכת, כולם ממקומות מסוימים בסין. אני מודה שלא הבנו את גודל הבעיה", אמר סגל.

את כל הנתונים מהניסוי הכניסו בטרנד מיקרו למערכת ניתוח נתונים ופיתחו שני מוצרים לסביבה תעשייתית. מוצר אחד הוא Safelock שמיועד לסביבות עסקיות (ICS) ונקודות מכירה (POS) כמו אלו שהותקפו במקרה של טרגט. מדובר בפתרון ש'נועל' את הסביבה להתקנות חדשות. "אנחנו עושים הקשחה למוצר. נניח שיש לך מערכת של סימנס, המוצר שלנו אוטם אותו כך שלא תוכל להתקין עליה כלום", מסביר סגל. נזכיר רק שסימנס השתמשו במוצר של טרנד מיקרו (Sysclean) להסרת קוד הסטוקסנט ב-2010.

מוצר נוסף הוא דנגל , התקן USB, שיש עליו מערכת שמנוהלת מרחוק כולל אנטי וירוס מאד מתוחכם. את ההתקן הזה מחברים למערכת הסקדה והוא משמש כבקרה לנעילה של ה-safelock. כלומר, אם מישהו מנסה להוציא אותו, הלקוח יודע שהמערכת נגועה. כמו כן, הוא מראה חיווי בנורות מה מצב המערכת בהיבט אבטחת מידע על פי תוצאות הסריקה של תוכנת ההגנה שמותקנת עליו. ההתקן גם מאפשר לעשות עדכונים בצורה ידנית במשטר קבוע.

"לטרנד מיקרו יש שתי משימות עיקריות היום - לפתח פתרונות לעידן האינטרנט של הדברים. יש קבוצה של 50 איש שחוקרת את הנושא. משימה שנייה היא להגן על מערכות תעשייתיות כמו SCADA או מערכות אחרות", אומר סגל.

"המודיעין שלנו בסייבר יותר טוב משל הצבא"

אחת הבעיות היום של ארגונים ממשלתיים, ביטחוניים ועסקיים היא מחסור בתקציב. בפועל, כלי האיסוף של הקהילה הביטחונית ברשת פחות טובים מאלו של חברות כמו טרנד מיקרו. "כאשר לארגון אין משאבים כדי לאסוף מידע, הוא לא רלוונטי. אני יכול לבוא לארגון ביטחוני בישראל ולתת לו גישה למאגר המודיעין שלנו כשירות. אנחנו גם עושים את זה בפועל במספר מדינות", מסביר סגל.

"אפשר להוסיף לתקציב הביטחון של ישראל עוד 4 מיליארדי דולרים בשנה ולעשות זאת לבד, אבל זה לא הגיוני במציאות התקציבית של היום. מדינת ישראל לא יכולה להתמודד עם כמויות כאלו של מידע ברשת האינטרנט בלי לייצר לעצמה חור בתקציב. במקום זאת, היא יכולה לקנות את המודיעין כשירות ולהוציא מבריכת הנתונים שלנו מה שהיא צריכה. בתרחיש כזה, הניתוח המודיעיני עדיין יעשה על ידי הארגון הביטחוני, כולל הפקת תובנות. אבל את המידע הגולמי הוא יקבל מחברה אזרחית".

לעומת התחום הביטחוני, בתחום הפשיעה הקיברנטית, סגל כן צופה שיתוף פעולה בין חברות האבטחה הגדולות לבין ממשלות או ארגונים בינלאומיים. "זה תחום שאנו פועלים בו. בשנה שעברה עשינו הסכם מטריה עם האינטרפול. במסגרתו אנחנו נותנים ליחידות המיוחדות של הארגון שעוסקות במיגור הפשע המאורגן את כל הכלים להילחם בתופעה הזו ברשת. כאן יש שיתוף פעולה עולמי בין ארגוני שיטור. יש לנו גם פעילות התנדבותית בארה"ב להגנת הפרט, בעיקר על ילדים ברשת. זה חלק מהאמונה שלנו לצור עולם בטוח", מסביר סגל.

"אין ברירה, הפשע עובר לאינטרנט. השודדים באינטרנט לא רואים את הלקוח. זה שונה מהעולם הפיזי. אותו אחד שיהיה מוכן לבנות כלי תקיפה כנגד בנק, לא יהיה מוכן לקחת אקדח ולבצע שוד בנק בממד הפיזי. הבעיה האמיתית היא בפשיעה הדיגיטלית וריגול תעשייתי במרחב הוירטואלי. שום ניהול סיכונים לא לוקח את זה בחשבון. חברת טרגט נתבעת היום ב-1.2 מיליארד דולרים בשל תקיפה שנעשתה עם כלי שעלה 750 דולרים".

מה מייחד את הלקוח הישראלי?

"אין מדינה אחת בעולם זולת ישראל שבה חברת הזנק יכולה להתקין גרסת ביטא או אלפא של מוצר אצל לקוח כמו בנק. אין באף מקום גמישות כזו אצל הלקוח. יש בארץ בנקים שמטמיעים מערכות של חברות הזנק. זה נעשה כמובן בבקרה, אבל זה מראה על פתיחות לנסות מוצרים. זה ייחודי לישראל", אומר סגל.

עבור טרנד מיקרו, ישראל היא שדה ניסויים במובן הטוב של הביטוי. החברה מנסה כאן מוצרים שאין במקומות אחרים בעולם. אחת הדוגמאות הוא שירות הגיבוי של בזק בינלאומי. מדובר במוצר שעבר התאמה לפי דרישת הלקוח, והוא פועל רק בישראל עם מעל למאה אלף משתמשים. "זה מודל ייחודי. אם זה יעבוד כאן, נציע את זה במקומות אחרים בעולם", מגלה סגל. "כששואלים אותי איך התחרות עם Fireeye, אני עונה שאני מתחרה עם 15 חברות הזנק ישראליות, לא עם Fireeye. ישראל היא מקור השראה לטרנד מיקרו", מסכם סגל.

You might be interested also

Screenshot from the conference. Clockwise from R to L: moderator Audrey Plonk, Head of the Digital Economy Policy Division of the OECD; Mathias Cormann, OECD Secretary General; Yigal Unna, Director General of the Israel National Cyber Directorate; and Haim Assaraf, Israel's ambassador to the OECD.     

Israel hosts OECD's annual cyber conference for first time 

The three-day online conference whose theme is "Local challenges, global solutions" started today. The secretary general of the organization said the vulnerability most exploited by cyberattackers is lack of cooperation