העתיד טמון בלימוד מכונה

יעל וילה, המנכ"לית הנכנסת של חברת RSA ישראל, אומרת בראיון מיוחד לישראל דיפנס כי "למערכות מבוססות חוקים אין מקום בעולם. העתיד נמצא בלימוד מכונה"

ד"ר יעל וילה, מנכ"לית חברת RSA בישראל

אנו עוסקים בפיתוח אלגוריתמים בתחום לימוד מכונה, וזה הנשק הסודי שלנו. מדובר בשיטה פרו-אקטיבית לאיתור הונאות ואיומי סייבר. אמנם יש חברות אחרות שפועלות בתחום כמו IBM או ורינט, אבל לנו יש שש שנים ניסיון עם מוצרים שעובדים בשטח", כך אומרת ד"ר יעל וילה, המנכ"לית הנכנסת של חברת RSA בישראל.

את מושכות ניהול החברה בארץ לקחה לידיה ד"ר יעל וילה בחודש פברואר האחרון. לאחר סיום התואר השלישי במתמטיקה וסטטיסטיקה, כתבה וילה אלגוריתם לסיווג טקסטים אוטומטיים (בשבועיים) אותו מכרה לחברת הזנק. אחר כך היא הספיקה להיות שותפה בחברת הזנק אחרת, ובשש שנים האחרונות היא הובילה את צוות הפיתוח של RSA בתפקיד ה-CTO של החברה, עד המינוי שלה כמנכ"לית החברה. גם היום, היא עדיין מקפידה ללמד באקדמיה.

"לתפקיד ה-CTO הגעתי אחרי ליאור גולן (שהיה אחד המייסדים של סאיוטה יחד עם נפתלי בנט - שר הכלכלה הנוכחי - חברה שנמכרה ל-RSA בשנת 2005). ראיתי שבעולם ההונאות הפיננסיות אמצעי הגנה מבוססי חוקים לא עובדים, ואחת ההחלטות שעשיתי היא להתמקד בפיתוח אלגוריתמים של לימוד מכונה. זאת, מתוך מטרה לפתח מנוע חכם שייתן שירותים לכל המוצרים של RSA", מסבירה וילה.

חברת RSA, המשמשת מאז שנת 2006 כזרוע אבטחת המידע של חברת EMC, נחשבת לאחת החברות הזרות הפעילות ביותר במשק ההיי-טק הישראלי. פעילות החברה בארץ כוללת מרכז מו"פ בתחום ההונאות הפיננסיות כולל מרכז שו"ב ללקוחות בעולם, היא בדרך לפתוח בב"ש מרכז מו"פ נוסף בתחום הסייבר, ויש לה גם מרכז מצוינות אקדמי. גם הוא באוניברסיטת בן גוריון בב"ש.

מוצאים 98 אחוזים מההונאות

הרעיון מאחורי לימוד מכונה הוא לפתח אלגוריתמים שלומדים את ההתנהגות הנורמלית של היישות המסוימת ברשת ומתריעים בכל פעם שהיא עושה משהו לא נורמלי. מאחורי היישות יכול להסתתר שרת, מחשב שולחני, סמארטפון או בן אדם. עבור האלגוריתם זה לא משנה. הוא לוקח פרמטרים שמזינים אליו בצורה ידנית או שהוא 'מסיק' אותם בצורה דינמית מהנתונים, ועל בסיסם הוא יוצר תבנית התנהגות נורמלית של הישות. ככל שיש יותר מידע, יש יותר פרמטרים והאלגוריתמים צריכים להיות יותר מתוחכמים.

צריך לזכור כי בעולם הבנקאות המקוונת, המטרה היא לאבטח את העברות הכספים עם פגיעה מינימאלית בחוויית הלקוח. "זו לא חוכמה לבדוק את כל הטרנזקציות", אומרת וילה. "כל מי שיעשה זאת יזכה לאבטחת מושלמת, אבל לא יישארו לו לקוחות. אנחנו בודקים 0.35 אחוזים מהטרנזקציות ומתוכן, מוצאים 98 אחוזים מההונאות".

אחרי התמקצעות בעולם ההונאות הפיננסיות, וילה רוצה לקחת את היתרון בתחום לימוד המכונה וליישם אותו במוצרי אבטחת מידע.

"תהליך הונאה יותר מהיר מתולעת שנמצאת בארגון", מסבירה וילה. “צריך לעקוב יותר זמן אחרי ההתנהגות של הישות. כבר הטמענו שכבה של לימוד מכונה מעל מוצרי ה-Security Analytics שלנו, וזה מהלך שמוכיח את עצמו. ככל שיש יותר מידע ללימוד התנהגות, ככה התוקפים עושים סימולציות ומוצאים דרכים חדשות. מדובר על השוואה בין מספר גדול יותר של פרמטרים. אם בהתחלה ראינו שכתובת IP לא מספיקה, הוספנו את השעות ביום, את מספר המכשירים, המיקום ועוד מאפיינים שמזהים את הישות. בגרסה הבאה אנו מתכוונים להכניס גם מאפיינים של זיהוי התנהגות ביולוגית (behavioral biometrics)".

עוד מרכיב ייחודי במוצרים של RSA הוא שיתוף המידע בין לקוחות החברה. וילה מסבירה כי לא מדובר במידע עסקי, אלא במידע טכני רלוונטי להונאות או איומים. "זה נכון שעכשיו כולם מדברים על החשיבות של שיתוף מידע כאמצעי להתייעלות אמצעי ההגנה, אבל ב-RSA חשבנו על זה כבר ב-2004 עם שירות (eFraudNetwork (eFN. מדובר בפלטפורמה לשיתוף מידע בין לקוחות החברה שקיימת עד היום.

אימת ה'בלק בוקס'

למרות היתרונות הגלומים בלימוד מכונה, מסתבר שבני אדם עדיין לא סומכים על מכונות כאשר מדובר באבטחת מידע. "ארגונים עדיין מבססים את מערך ההגנה שלהם על חוקים שקובעים בני אדם באמצעות הגדרות של אמצעי ההגנה", אומרת וילה. "לבני אדם יותר קל להבין חוקים מאשר אלגוריתמים. זו הסיבה שאנו משקיעים הרבה מחשבה כיצד להנגיש את מוצרי לימוד המכונה באמצעות ויזואליזציה של הנתונים. אנשים צריכים להבין מה המכונות אומרות להם, אחרת זה לא עובד.

"צריך לזכור כי בסופו של דבר, מדובר במוצרים שמתריעים. הם לא סוגרים שרתים לבד או מורידים מערכות, את זה עושים אנשים. עולם של הגדרות אוטומטיות יהיה אולי בעוד 20 שנים".

תחום נוסף שמטפלת בו חברת RSA הוא תחקור התקפות וקוד זדוני. מדובר בכלים הידועים תחת השם forensics, וגם כאן המיקוד הוא באלגוריתמים חכמים שיתמכו בתהליך הניתוח של האנליסט. "אנחנו רוצים להכניס את כל הנתונים לבסיס נתונים גדול שיאפשר לאלגוריתמים ללמוד התנהגות של התקפות. תולעים, סוסים טרויאנים, קישורים, נתוני הנדסה חברתית מהרשתות החברתיות וכל פרט שקשור להתקפה יכנס לשם. זאת, בכדי להעשיר את המידע ולתת למכונה ללמוד את ההתנהגות. בסוף, האלגוריתם ינחה את האנליסט האנושי איפה לבדוק", מסבירה וילה.

לקראת שינוי

וילה נכנסה לתפקיד המנכ"ל בתקופה לא פשוטה. מחד, המורכבות של ההתקפות עולה כל הזמן. התוקפים הם כבר לא ילדים עם משקפיים במרתף שמנסים לפרוץ לפנטגון על מנת להרשים את החבר'ה. כיום, מאחורי ההתקפות הרציניות עומדים גופים עם הרבה כסף, זמן ויכולת כמו ארגוני פשע, שירותי ביון וחברות בינלאומיות. מאידך, אמצעי ההגנה הקיימים המבוססים על חוקים כבר לא מספקים מענה ראוי, ובני האדם שמתפעלים אותם טרם השלימו עם מכונות שאומרות להם מה לעשות.

"למערכות מבוססות חוקים אין מקום בעולם. העתיד נמצא בלימוד מכונה", אומרת וילה. "היום עדיין מדברים על שילוב של מוצרי לימוד מכונה עם מוצרים מסורתיים, אבל זה יעלם מהעולם. גם מוצרים מהמשפחה של ה-IPS/IDS. אני רוצה לפשט את ניהול אבטחת המידע בארגון. צריך מערכת הגנה מרכזית, חכמה, מדויקת מאד, עם מינימום התרעות. היום יש הרבה מעגלי אבטחה, אבל כולם פשוטים ולא מספיק עמוקים בכדי למצוא את התוקפים.

"ככל שמוצרים מבוססים על לימוד מכונה יתפתחו והתפוצה שלהם תגדל, כך לתוקפים יהיה מאד קשה לדעת על בסיס אילו פרמטרים מבוצעת ההגנה. בעולם כזה יהיה קשה מאד להונות את הבנקים, והגניבות הפשוטות של כרטיסי אשראי יפחתו למינימום וכמעט ייעלמו. יחד עם זאת, התוקפים לא יפסיקו לנסות להגיע לכסף, למידע או לתשתית הקריטית. הם יהפכו להיות מתוחכמים כמונו וההתקפות יהיו מורכבות יותר מהיום".

לצד שיפור אמצעי ההגנה, בעולם הסייבר עדיין קיימת דרישה שטרם נמצאה לה תשובה - איך יודעים כמה עולה ההתקפה על הארגון. וילה מסבירה שבהונאות קל יותר לדעת, היות ולכל טרנזקציה של כסף יש תווית של הסכום. מכאן, שמספיק לעשות סיכום של הטרנסקציות שעצרת ואתה יודע כמה כסף חסכת לבנק. בסייבר מדובר במשוואה לא פשוטה. "כתבנו פטנט שיאפשר לדעת מה הערך הכספי של המידע בארגון", מגלה וילה. "חשבנו לעשות מוצרים כאלו. באבטחת מידע זה אחרת. אתה לא יודע כמה שווה הערך של המידע שאתה מגן עליו.

"אם תהיה אפשרות להעריך את עלות המידע, יהיה יותר קל למכור ולכייל את האלגוריתמים שלנו. היום הכיול נעשה לפי ערך הטרנזקציה. כמה שווה התמונה של הילדה של המנכ"ל ? ואם היא בלי בגדים? מאד קשה להעריך איך זה ישפיע על ערך המנייה של החברה אם המנכ"ל יתפטר או יאיימו עליו. עדיין לא התחלנו לפתח מוצרים כאלו, אבל זה בתכנית. מדובר בעולם מאד מופשט, אבל זה הכרחי. זה יביא את RSA למקום אחר מול המתחרים. למשל, זה יאפשר לארגון לאבטח רק את האזורים היקרים ברשת שלו".

לפי וילה, העתיד טמון בשילוב של ביג דאטה, שיתוף מידע ומחקר פורנזיק מתקדם. "ישראל נמצאת במקום מוביל, כולל האקדמיה, הצבא וחברות ההזנק. יש לנו אקו סיסטם ישראלי מדהים של חברות בארץ שנותן יתרון בפיתוח מוצרים חדשים. אם אני רוצה לבחון מוצר על הרשת של חברת חשמל, אני יכולה לעשות זאת. זה מדהים. אין את זה במקומות אחרים בעולם".