המטרה: בדיקת חדירות מספר פעמים בשבוע

חברת PCYSYS מספקת פתרון בדיקת חדירות על התתקנה מקומית בלבד. "את המערכת הלקוח מפעיל בעצמו לאחר ההתקנה. בממוצע, ההמלצה היא לבצע בדיקת חדירות בין פעמיים לשלוש בשבוע לכל אזור ברשת", מסביר אמיתי רצון, מנכ"ל החברה. ראיון מיוחד

באדיבות PCYSYS

חברת PCYSYS נוסדה על ידי יוצאי מערכת הביטחון שהתמחו בבדיקות סייבר במטרה להתמודד עם מתקפות של מדינות. האנשים שפיתחו מערכות בדיקת חדירות (PT) כאלו, השתחררו, ובנו את מוצר החברה בשם PenTera המספק בדיקות חדירות רציפות. החברה הוקמה ב-2015 על ידי אריק ליברזון וכיום מעסיקה כחמישים עובדים ומוכרת שירותים לתשעים לקוחות ב-12 מדינות. "אין כיום פתרון לביצוע בדיקות חדירות שוטפות פרט לאוטומציה של התהליך", מסביר אמיתי רצון, מנכ"ל החברה, בראיון לישראל דיפנס.

בדיקת חדירות שבועית

המוצר של החברה מבוסס על התקנה מקומית בלבד (On-Prem) באתר הלקוח, וזו הסיבה שלקוחות אינם רוצים לחשוף את התוצאות לעולם. כמו כן, המוצר אינו דורש התקנת קליינטים בהתקנים המחוברים לרשת. "התקנה בענן כוללת בחובה אפשרות שמישהו יפרוץ לתוצאות הבדיקות, וזה סיכון שאף לקוח לא מוכן לקחת", מסביר רצון. המערכת עובדת על כתובות IP וניתן לחבר אותה לאזור בארגון (VLAN) או לכלל הארגון (TRUNK).

"את המערכת הלקוח מפעיל בעצמו לאחר ההתקנה. בממוצע, ההמלצה היא לבצע בדיקת חדירות בין פעמיים לשלוש בשבוע לכל אזור ברשת", מסביר רצון. "מדובר בשיפור משמעותי לעומת ארגונים שמבצעים בדיקות כאלו בין פעם בשנה לפעם ברבעון. לאחר כל בדיקה הלקוח מתקן את הממצאים, כך שלאחר מספר בדיקות משטח התקיפה קטן משמעותית."

המערכת של PCYSYS אינה מבצעת בדיקות חדירה מכיוון רשת האינטרנט, אך צמצום משטח התקיפה מתוך הארגון מקטין את משטח התקיפה גם מחוצה לו. המערכת מיישמת את שיטות התקיפה הידועות (TTP) ואת החולשות הידועות הקיימות בשוק. "אנחנו מוציאים עדכון שוטף כל ששה שבועות, ועדכון גדול כל שלושה חודשים. כל עדכון עובר אצלנו במעבדות בדיקות מקיפות על מנת לא לפגוע ברשת הלקוח בעת הבדיקה. צריך לזכור כי כל עדכון שיוצא הופך למבצעי מיידית אצל כלל הלקוחות המריצים את המערכת", אומר רצון. 

נתיב הכסף 

ההיגיון הכלכלי של המערכת נובע משתי סיבות עיקריות. ראשונה, רגולציה. במרבית המדינות בעולם, מגזרים מרכזיים כמו הפיננסים, בריאות, ביטחון, ממשלה ועוד מחוייבים לבצע בדיקות PT כל תקופה (שנה, רבעון). במציאות, אף כלי PT אוטומטי לא תוכנן ונבנה על הקווים של הרגולציה. הסיבה לכך טמונה במגוון הגדול של רגולציות מסביב לעולם. כל רגולטור מבקש דגשים ושגרות אחרות. לכן, אף פתרון מסוג זה אינו תחליף לביצוע PT על ידי גורם אנושי. בהקשר זה, PCYSYS מביאה פתרון חלופי לחלק ניכר מהבדיקות האנושיות.

"אם בעבר ארגון היה משלם לפירמת ייעוץ עשרות אלפי דולרים בשנה על בדיקה או ארבע, כיום הוא מחלק את אותו סכום. חלק קטן הוא ממשיך לשלם לפירמה עבור הרגולציה, ואת החלק הארי הוא משקיע במערכת שנותנת לו בדיקה רציפה של הרשת לאורך כל השנה. במילים אחרות, ארגונים מבינים שכדאי להשקיע בשיפור ההגנה במקביל לעמידה ברגולציה", מסביר רצון.

"שיצאנו לשטח התמודדנו עם פירמות הייעוץ הגדולות. היום יש שיתוף פעולה אתן. אנחנו הולכים יחד. בחלק מהמקרים הלקוח הוא הפירמה והיא עושה PT כשירות. פתאום פרויקט PT לוקח יומיים במקום חודש. זה חוסך לפירמה כסף וזמן, ומפנה אותה לביצוע תכניות שיפור עסקי אצל הלקוח הסופי."

סיבה שניה היא חסכון בעלויות כוח אדם. כיום, ארגון עסקי משקיע משכורות גבוהות או תשלום גדול למיקור חוץ עבור מומחי תקיפה לצורך הפעלה של סימולטורים או כלי בדיקה פנימיים כחלק מצוות אבטחת המידע. בארגונים בינלאומיים מבוזרים עם הרבה סניפים ההוצאות יכולות להגיע למליוני דולרים בשנה. "עם מערכת PenTera הארגון יכול לבצע בדיקות חדירות שוטפות בהתבסס על כוח אדם פחות מיומן בתחום התקיפה", מסביר רצון. "'השכל' נמצא בליבת המערכת וההפעלה פשוטה באמצעות לחיצה על כפתור לביצוע התרחיש וקבלת משוב מה לתקן." עם זאת, ראוי להדגיש כי ישנה עבודת הגדרה ראשונית של כשעה טרם העבודה השוטפת.

המטרה: להשיג הרשאות מנהל 

רצון מדגיש בראיון כי בשונה מפתרונות סימולטיבים מתחרים, מערכת PenTera מבצעת תקיפה בפועל נגד תשתיות אמיתיות של הארגון. "אנחנו תוקפים את ההתקן עצמו ברשת, בין שמדובר עמדה, שרת, ראוטר, מדפסת או כל התקן אחר עם IP. ההתקפה מגיעה עד לשלב ההשתלטות על ההתקן, כמו תוקף אמיתי, בלי החלק של השבתת ההתקן. אנחנו לא פוגעים בעבודה השוטפת של הארגון", אומר רצון.

"התוקפים מנסים קודם כל להגיע לסביבות בהן יש סבירות למצוא הרשאות מנהל לרשת. לרוב אלו יהיו סביבות הIT, DEVOPS או הנהלה. המערכת שלנו, כמו התוקף, תנסה את כל הכלים והשיטות שעומדים לרשותה. אין הנחות לאף אחד. הצלחנו כבר להגיע לשרתי תשלומים המחוברים למערכת ה-SWIFT,  עמדה של מנכ"ל החברה, ועוד. הלקוח רואה במציאות מה שאפשר לעשות לו. היו מקרים בארה"ב שבמהלך ה-POC הגיע המנכ"ל לראות על אמת איך המחשב שלו נתפס, איך אתה מדלג ממנו לאזורים שונים ברשת ואיך גונבים הרשאות לחצי ארגון בזמן אמת." 

כמו XRAY לרשת הארגונית

אחת השאלות שעולה לרוב בשיחות על PT אוטומטי היא האם מכונה מסוגלת להחליף בן אדם. ובכן, רצון, בגילוי נאות, אומר שאין תחליף ליצירתיות של האדם בתחום התקיפה. "עם זאת, מה יעשה ארגון בינלאומי שיש לו עשרות סניפים בעשרות מדינות? כוח האדם המקצועי בתחום התקיפה מצומצם ויקר מאד. כמה בדיקות PT ביום יספיק לעשות האקר לבן מיומן? אי אפשר ממש לשכפל אותו. אנחנו מסוגלים לעשות במקביל בדיקות חדירות בכל הסניפים של הארגון בין פעמיים לשלוש בשבוע או יותר אם יצטרך. אין כיום אפשרות ליישם זאת על בסיס גורם אנושי", מסביר רצון.

בשל הצורך בבדיקות שוטפות בקרב הרבה ארגונים, PCYSYS נמצאת במו"מ עם חברת ביטוח סייבר אמריקאית גדולה לשיתוף פעולה. המטרה היא להעריך בשלב החיתום את הסיכון לארגון וכן לבצע בדיקות שוטפות במטרה לנהל את הסיכון בשוטף. עוד כיוון שחושבים בחברה הוא הכשרת מפיצים במדינות לצורך אספקת פתרון כשירות לעסקים קטנים. 

"לפני חודש וחצי הגיעו לארץ נציגים של 22 ארגונים ממדינות שונות לעשות בית ספר תקיפה אצלנו. הם חזרו לארצות המוצא ויספקו את המערכת כשירות. וקטור נוסף הוא שילוב כוחות עם ספקי MSSP. בהקשר ענן, ב2020 נוסיף שכבת ענן שתאפשר ניהול משובים משותף לכלל הארגון לכדי תמונת מצב אחת, אבל מכונות התקיפה עדיין ישארו און פרם בכל סניף. בנוסף, ארגון יכול להשתמש במערכת גם לניטור שרשרת אספקה. אם הוא מכיר את כתובות ה-IP של הספקים המחוברים אליו, ואלו נותנים לו אישור, הוא יכול לסרוק אותן", מסכם רצון.