תכירו: יחידת הסייבר של אלביט

ליטל גרוסמן, מנהלת השיווק והפיתוח העסקי של יחידת הסייבר במנהלת הסייבר של אלביט מערכות, אומרת בראיון לישראל דיפנס כי האיום העיקרי עמו מתמודדים לקוחות ביטחוניים וממשלתיים בעולם הוא מתקפות APT. "אלו התקפות שעוברות את שכבות ההגנה המסורתיות"

ליטל גרוסמן (יח"צ)

תחום הסייבר באלביט, או מנהלת הסייבר כפי שמכנים אותה, מורכבת משתי יחידות עיקריות - מודיעין וסייבר (ICS). בראש המנהלת עומד תא"ל (מיל') יאיר כהן שהיה בעברו מפקד יחידת 8200 ועל הפיתוח העסקי והשיווק של יחידת הסייבר מופקדת ליטל גרוסמן, גם היא בוגרת היחידה.

מוצרי הסייבר של אלביט כוללים שלושה תחומים עיקריים - אימון וסימולציה, מערכות הגנה אקטיביות ומערכות שו"ב וניהול סיכונים. בנוסף, רכשה אלביט לפני כשלוש שנים את חברת
C4 Security הישראלית שמספקת פתרונות הגנה לרשתות SCADA.

אימון לוחמי סייבר

המציאות שבה ממד הסייבר הפך לזירת לוחמה, מחייבת שינוי הגדרות גם בקרב העוסקים במלאכת אבטחת המידע, ובמקום מומחי אבטחת מידע, הם נקראים היום לוחמי סייבר. ואם במלחמה עסקנינו, אז גם בממד הווירטואלית צריך לאמן את הלוחמים, וזו מטרתו של מאמן הסייבר המפותח באלביט. אמנם קיימות בשוק מספר חלופות, אבל הפתרון של אלביט הוא ייחודי היות והוא נסמך על ידע שנצבר בחברה ממאמנים בתחומים אחרים כמו טיס למשל (אלביט מפתחת גם מאמנים לטייסים).

"המטרה היא להכשיר את אנשי הסייבר בארגון", אומרת גרוסמן. "בשונה מאחרים, אנחנו מגיעים מנקודת מבט של מאמן ולא סימולטור. זה גם המשוב שאנחנו מקבלים מלקוחות בעולם".

מהו המאמן? מדובר על מערכת שיודעת לעשות סימולציה לרשתות המחשבים של הארגון אשר על גביה לוחמי הסייבר מתמודדים עם תרחישי תקיפה שונים. היתרון הוא שהם מתאמנים על הרשת האמתית של הארגון או כזו שדומה לה בקירוב, וכך כאשר מתבצעת התקפה ברשת האמתית הם מוכנים אליה.

כדי למדוד את האפקטיביות של האימון (מטלה לא פשוטה בעולם ההגנה בסייבר), שילבו באלביט תת מערכת שיודעת להקליט את כל מה שלוחם הסייבר עושה במהלך התרגול. כך, בסופו או במהלכו של האימון, הצוות הלבן המלווה את המתאמנים יכול לתת ללוחם משוב מדויק כיצד עליו להשתפר. בנוסף, קיימת במאמן אפשרות לקבוע יעדים לכל תרגיל והלוחמים מקבלים ציון על דרכי ההתמודדות שלהם עם המתקפה.


לצד המאמן קיים מוצר נוסף בשם מעבדת סימולציה. גרוסמן מסבירה שהוא מאפשר לארגון לבדוק שינויים ושיפורים ברשת הקיימת בסביבת סימולציה, קודם להטמעה הפיזית שלה. המעבדה גם מאפשרת לארגון לבצע בדיקות תקופתיות לרשת הקיימת באמצעות טעינה שלה לסביבת הסימולציה.


מתרגמים מתקפת סייבר לעלות כספית


תחום מוצרים נוסף באלביט הוא מערכת השו"ב לסייבר (נו"ב בעגה צבאית). גרוסמן מדגישה שלא מדובר במערכת שבאה להחליף את מערכות ה-
SOC/SIEMהקיימות, אלא היא מוסיפה עליהן שכבה נוספת של מידע. "המטרה היא לתת תמונת מצב של הארגון בעת אירוע סייבר. המערכת מאפשרת לראות את כל הגורמים השותפים לאירוע, כולל את אלו המנהלתיים והמקצועיים".


אחד מעמודי התווך של מערכת השו"ב הוא "בריכת המידע" . מדובר על פתרון ביג דאטה המאגד בתוכו מידע ממקורות פנים ארגוניים ומקורות חיצוניים כמו רשת האינטרנט ורשתות חברתיות, ומהווה בסיס לביצוע ניתוחים סטטיסטיים לצורך זיהוי איומים מתוחכמים. באמצעות נתונים הנמצאים בבריכה אפשר לדעת למשל אילו רכיבים נפגעו, ואיך האיום התפשט ברשת הארגון. כמו כן, מאפשרת בריכת המידע לעשות ניתוח מאוחר (
forensic) של אירועי סייבר באמצעות מחקר ידני.


כדי לממש את היכולות הטמונות בבריכת המידע, פיתחו באלביט מודל מידע ייחודי וגם אלגוריתמים חכמים שיחד יאפשרו למצות את הידע מהמידע. "המודל אחראי לדרך שבה הישויות נשמרות במערכת וגם למיפוי הקשרים ביניהן", מסבירה גרוסמן.


תת מערכת נוספת בעולם השו"ב היא מערכת ניהול אירועי סייבר. זו מערכת הפועלת מעל הסנסורים ומנקזת אליה את ההתראות. "יש לקוחות שעדיין מנהלים את האירועים במיילים או ב-
CRM", אומרת גרוסמן. "המערכת הזו מספקת להם פתרון היות והיא יודעת לקשור את מתקפת הסייבר לתהליכים עסקיים בארגון".


גרוסמן מסבירה כי המערכת גם יודעת להמליץ ללקוח מה לעשות במקרה של התקפה. אמנם לא מדובר על אוטומציה, אבל במקרה של אירוע ברשת הארגון, היא תדע להפנות את תשומת הלב לצמתי החלטות שיתנו את התוצאה הטובה ביותר. מודל נוסף הוא קישור בין אירועים דומים. כלומר, המערכת יודעת להקפיץ אירועים דומים במאפיינים שלהם לאירוע הנוכחי. המטרה היא ללמוד מאירועים אחרים ולראות אם מדובר על תוקף עקשן המנסה בכל פעם, להגיע לאותה תוצאה בדרך קצת אחרת.


בריכת המידע אמורה לספק ללקוח גם בסיס לזיהוי מקור ההתקפה. בנוסף לרשת האינטרנט ולרשתות החברתיות, כלי מודיעין הסייבר של אלביט מאפשרים חיפוש מידע גם ב"רשת האפלה" (
Darknet). אבל גרוסמן מדגישה כי אלביט רק מספקת את הכלים, הלקוח הוא זה שמחליט איך להפעיל אותם, אם בכלל. לאלביט בשלב זה אין שירותים מנוהלים בתחום זה. "זה עוד יכול להשתנות", אומרת גרוסמן.


לשכבת ההנהלה של הארגון, מספקת אלביט את מרכיב תמונת המצב (תמ"צ) בסייבר. גם הוא חלק ממערכת השו"ב והייעוד שלו הוא לתת למנכ"ל מבט עסקי על התקפת הסייבר. הוא יכול לראות אילו תהליכים נפגעו או צפויים להיפגע וכמה כסף הוא מפסיד או יפסיד מההתקפה.


גרוסמן מבהירה כי לא מדובר על מערכת
BPM, אלא על מהנדסי מערכות של אלביט שממפים עבור הלקוח תהליכים עסקיים הנתמכים על ידי מנגנונים טכנולוגיים שיכולים להיפגע בהתקפת סייבר. "זו מערכת המשלבת ניהול סיכונים עם ניהול תהליכים". היות ומדובר על מידע רגיש מאד שארגונים זרים לא רוצים לחשוף, במיוחד צבאות או מוסדות ממשלתיים, אלביט עושה שיתופי פעולה עם חברות מקומיות, ומי שמגיע בסופו של דבר ללקוח אלו מהנדסי מערכות מקומיים שהוא מכיר.


בשונה מהמגזר העסקי, בצבא, המערכת יכולה לתת למשל למפקד האוגדה תמונת מצב איך תראה האוגדה שלו לאחר מתקפת סייבר של האויב. אילו תהליכים מבצעיים יפגעו, אילו כוחות לא יהיו פעילים, ואילו מבצעים לא יוכלו לצאת לפועל כתוצאה מכך. "המערכת עדיין בשלבים ראשוניים. יש תהליכים של הטמעה בארץ, אבל אין עדיין מערכת כזו מבצעית. המערכת גם לא נבחנה בסדר גודל של צבא, מדינה, או חברה עסקית גדולה", אומרת גרוסמן.

יאמר לזכותה של אלביט, כי מדובר במערכת יומרנית, עם סיבוכיות גדולה מאד הטמונה בביצוע אינטגרציה של כל כך הרבה תהליכים. בפועל, אם היא אכן תעמוד בהבטחות, היא כנראה תצליח לתת תמונת מצב בסייבר לסדר גודל של גדוד בצבא, של חברה עסקית בינונית או של חלקים מתוך חברה עסקית גדולה. גם זה יחשב להצלחה בינלאומית.


לצד המאמנים, הסימולציות ומערכת השו"ב, יש לאלביט תחום נוסף בסייבר הממותג תחת השם "הגנה אקטיבית". גרוסמן לא פירטה יותר מידי בנושא, אבל הסכימה לומר שאלו כלים מיוחדים שהמטרה שלהם לחשוף איומים שלא מתגלים על ידי מוצרים סטנדרטיים כמו אנטי וירוס, חומת אש,
IDS או IPS. "אלו לא פתרונות מדף של אלביט, אלא מיועדים לפרויקטים מיוחדים", אמרה גרוסמן.

שם המשחק: מודולציה

מרות שיש לאלביט מערכות פתרון מלא להגנה בסייבר, הלקוח יכול לרכוש כל אחת מהמערכות או תתי המערכות בנפרד. גרוסמן מסבירה שאפשר להשתמש במוצרים של אלביט בכדי להעשיר את שכבות ההגנה הקיימות על ידי רכישה של מודולים מסוימים. "הלקוחות שלנו הם ממשלות, צבאות, ארגונים ביטחוניים וחברות המפעילות תשתיות קריטיות. לכולם יש הגנות כאלו או אחרות בסייבר, ולכן בנינו את המוצרים שלנו כפתרונות מודולריים המאפשרים ללקוח לבחור את הרכיבים שהוא רוצה".


אחד האתגרים של הצוות של גרוסמן הוא לעשות אינטגרציה בין הרכיבים השונים. למשל, לשלב את יכולות המאמן עם מערכת השו"ב. שילוב כזה יוכל לתת ללוחמי הסייבר להתאמן על תרחישי אירועים אמתיים הנגזרים מהתקפות שאירעו במציאות על רשת הארגון. או למשל שימוש בסביבת הסימולציה בשביל לבחון תגובות לאירועי סייבר לפני שמיישמים אותן בפועל. אם רוצים לכבות מערכת מסוימת בעת התקפה כדי למנוע את התפשטות האירוע, יהיה אפשר לדעת אילו תהליכים ושירותים יפגעו, כמה לקוחות יפגעו, וכמה כסף התגובה תעלה לבעלים של החברה. כל זאת, לפני שמגיבים בפועל.


אתגרים לעתיד


"מרבית הלקוחות מוטרדים ממתקפות מתוחכמות מסוג
APT, כאלו שאי אפשר לאתר אותן", מגלה גרוסמן. "אלו התקפות שעוברות את שכבות ההגנה המסורתיות. התקפות אלו, הן בדיוק המטרה של אלביט. אנחנו לא נתחרה בצ'ק פוינט, פאלו אלטו ולא בארק סייט. הכוח של אלביט הוא באינטגרציה, ובידע שמוביל ליצירת כלים יותר מתוחכמים הפועלים מעל שכבות ההגנה המסורתיות".


על פי גרוסמן, אחד היעדים של החברה הוא לשווק פתרונות רלוונטיים גם לעולם האזרחי בהתבסס על נגזרות של כלים לעולם הביטחוני. כיוונים שחושבים עליהם באלביט הם שירותים מנוהלים ושירותי "תוכנה כשירות" בענן (
SaaS). "נכון להיום אין לנו שירותים מנוהלים ולא שירותי ענן. אלו נושאים שעולים לדיון מדי פעם. אני לא יודעת מה יהיה בעתיד. אנחנו עדיין לא שם".

You might be interested also