דעה | מצב אבטחת הסייבר של ישראל חמור מכפי שנדמה
יוסי סאסי, מומחה סייבר בעל מוניטין בינלאומי, מייסד-שותף וארכיטקט האבטחה הראשי בחברת 10ROOT, טוען כי חוסר המוכנות למתקפות נובע גם מכשל בסיסי שטמון בהיערכות הארגונים. סאסי השתתף בכנס סייברטק 2022
ישראל דיפנס
| 03/03/2022
סאסי בסייברטק 2022 | צילום: גלעד קוולרצ׳יק
הציבור כבר יודע שישראל נמצאת תחת מטר בלתי פוסק של מתקפות סייבר מתוחכמות ואפקטיביות, אך מעטים יחסית יודעים שעסקים רבים שפונים לחברות המתמחות בתחום לא מוצאים מי שיטפל בהן ונשארות חשופות לגמרי.
ככה זה כשיש הצפה כלל ארצית ואין מספיק מוחות וידיים לטפל בכל פרצה. ברגעי המשבר, כשמתקפות מסוכנות שוטפות את ישראל נחשף המחסור הנוראי בעובדים מיומנים לתחום וחברות המספקות שירותי סייבר פשוט לא מסוגלות לטפל בכל הפונים.
ומדוע המתקפות כל כך אפקטיביות? חלק מהסיבות לא קשורות ישירות לישראל. התוקפים חכמים יותר ומובילים את החדשנות העולמית בתחום הסייבר ואילו המגינים מסוגלים בעיקר להגיב לחידושים שלהם ולנסות להדביק פערים. זה מנגנון מובנה באופן בו תעשיית אבטחת המידע פועלת לפיו.
החדשנות היא בצד התוקף ולא בצד המגן. התוקפים נהנים ממרחב פעולה בלתי מוגבל, אין להם מגבלות תקציב או Scope כמו למגינים, הם גמישים יותר, הם בוחרים את זירת הפעולה ואת שיטות הפעולה במגוון אין סופי של תרחישים שהמגינים לא יכולים להיערך אליהם ביעילות מראש.
יתרה מכך, הם בנו תשתיות טכנולוגיות ענקיות שעד לפני שנים לא רבות רק מדינות החזיקו כמותן. בנוסף, יש כלכלה מאחורי כל דבר, והרבה מאוד כסף עובר בתעשיית הסייבר ההתקפי ופשיעת הסייבר. נבנו תשתיות שיווקית בסדרי גודל מטורפים גלובלית, כולל זירות מסחר כמו Zerodium, שבה נמכרים כלי פריצה מתוחכמים לאור יום, בין קונים ומוכרים אנונימיים – ממשלות, גופי ביון, גופי פשיעה, יצרני תוכנה, שועלים בודדים.
בנוסף, תעשיית ההגנה בסייבר מתקשה לייצר פתרונות הוליסטיים באמת. אם היינו ממשילים את המצב לתעשיית המכוניות, הרי שהיינו רוכשים גלגל מיצרן אחד, הגה מיצרן אחר, כרית אויר מאיקאה וכיו"ב, תוך שאומרים ללקוח – "עכשיו תרכיב לבד וסע לשלום".
קשה לבוא בטענות נגד ארגונים בישראל על המחסור באנשי מקצוע או על רמתם הטכנולוגית הגבוהה של התוקפים. עם זאת, הם מעצימים את הבעיות בסדרי גודל בשל טעויות, לעתים בסיסיות ובמקרים רבים בשל גישת סייבר שגויה ומדיניות קצרת טווח.
לדוגמא, מתקפות הכופר שמטילות אימה על כלל המשק הן מתקפות קלות לטיפול. בשוק יש מספר פתרונות מסחריים המזהים באופן אוטומטי כשמתבצעת הצפנה מהירה של מספר גדול של קבצים באופן אנומלי, פעולה המאפיינת מתקפת כופר שניתן לבולמה בשלב זה.
כמו כן, רוב החברות נחדרות דרך פגיעויות ידועות או הגדרות שגויות, מה שנקרא "וקטורים ידועים", שלא לאמר בסיסיים. יש לקבוע בצער, שכל חברה או ארגון שנפגעו ממתקפת כופר פשוט לא יישמו בקרות מתאימות וניטור בהתאם ו\או לא התקינו פתרון זמין מסוג זה שהיה מונע את הפגיעה.
חוסר המוכנות למתקפות נובע גם מכשל בסיסי שטמון בהיערכות הארגונים. רבים ממנהלי האבטחה ומנהלי ה-IT עסוקים ברכישת פתרונות אבטחת סייבר ורואים בכך את גולת הכותרת ולב התפקיד והקריירה שלהם, אך בפועל, הפתרונות הללו, משוכללים ככל שיהיו, הם לא יותר ממעטפת חיצונית נוצצת.
ללא שתילה עמוקה שלהם והתאמה שלהם לארגון, לרבות הכשרה נאותה ותחזוקה וניטור שוטפים של הפתרונות באמצעות עבודה סיזיפית קשה, הם יישארו חסרי תועלת אמיתית ביום מתקפה.
מה ניתן לעשות כדי לשפר את עמידות החברות והארגונים בישראל למתקפות סייבר? ראשית, ארגונים צריכים להקדיש משאבים רבים יותר לאורך זמן בעבודה הקשה של הקשחות פנימיות וחיצוניות של המערכות, בבניית חוקים, תהליכים ומנגנוני ניטור נכונים ואפקטיביים יותר שיגנו יותר טוב על הארגון.
יש לציין לחיוב בהקשר זה שחלק מהמגזרים כן נערכו טוב יותר שנים ארוכות אחורה, דוגמת מגזר הבנקים בישראל, שביצעו מהלכי עומק מסוג זה בהצלחה והם בהכללה במצב טוב יותר כיום ממגזרים אחרים, לרבות ההבנה של הנהלות (בין אם מכורח רגולציה או רציונל עסקי) כי מתקפות סייבר הן גורם סיכון עסקי ממעלה ראשונה הניצב בפניהם.
כך שהנושא נכנס לראש סדרי העדיפויות וזוכה לייצוג בהנהלות ובדירקטוריונים. גישה זו מומלצת לכל החברות והארגונים בכל מגזרי המשק.
שנית, המחסור באנשי מקצוע בתחום הסייבר, הוא כאמור, חמור מכפי שנדמה וכיום הוא אתגר שנמצא לפתחה של המדינה ולא רק של התעשייה. אחת הבעיות היא שתחום הסייבר הוא מורכב וקשה יותר מאשר תחומים טכנולוגיים אחרים ולא יהיה מוגזם לומר שלא כל אחד נולד להיות איש סייבר ברמה גבוהה.
זה קצת יותר מורכב מהסבת אקדמאים להיי טק או להפוך בוגר תעשיה וניהול לאיש QA (אבטחת איכות תוכנה). עם זאת, ניתן להגדיל את מצבת מומחי הסייבר בישראל באמצעות הסבות של אנשי פיתוח שמגיעים עם הבנה מעמיקה בקוד (אבני הבניין בסייבר) וכמו כן אנשי סיסטם שמכירים את המבנה של תשתיות המחשוב, פרוטוקולי התקשורת, תשתיות האינטרנט וה-IT.
פתרון נאיבי משהו, כמו כל אתגר גדול, הוא לצפות שהמדינה תיטול את התפקיד המוביל בהגדרת הצרכים, בניית מסלולי הסבה והכשרה בהיקף גדול יותר שיפתרו את מצוקת הסייבר של ישראל.
ישראל נחשבת למעצמת סייבר ובצדק – אך בעיקר בתחום ההתקפי ופחות בהגנתי. ניתן היה לצפות שעם תעשייה כזו החברות והארגונים בישראל יהיו עמידים יותר ולא פרוצים לכל רוח, אך בפועל אין קשר בין הדברים.
הפער בין כמות הסטארטאפים והאקזיטים בתחום אבטחת המידע לבין העליה המטאורית בכמות המתקפות המוצלחות על המשק הישראלי ממחישים זאת יותר מכל. כדי להגיע למטרה זו נדרשת מודעות גבוהה יותר לאתגר הסייבר, עבודה קשה יותר והשקעות שאת פירותיהן רואים אחרי מספר שנים ולא מיידית.
יוסי סאסי, מומחה סייבר בעל מוניטין בינלאומי, מייסד-שותף וארכיטקט האבטחה הראשי בחברת 10ROOT, טוען כי חוסר המוכנות למתקפות נובע גם מכשל בסיסי שטמון בהיערכות הארגונים. סאסי השתתף בכנס סייברטק 2022
סאסי בסייברטק 2022 | צילום: גלעד קוולרצ׳יק
הציבור כבר יודע שישראל נמצאת תחת מטר בלתי פוסק של מתקפות סייבר מתוחכמות ואפקטיביות, אך מעטים יחסית יודעים שעסקים רבים שפונים לחברות המתמחות בתחום לא מוצאים מי שיטפל בהן ונשארות חשופות לגמרי.
ככה זה כשיש הצפה כלל ארצית ואין מספיק מוחות וידיים לטפל בכל פרצה. ברגעי המשבר, כשמתקפות מסוכנות שוטפות את ישראל נחשף המחסור הנוראי בעובדים מיומנים לתחום וחברות המספקות שירותי סייבר פשוט לא מסוגלות לטפל בכל הפונים.
ומדוע המתקפות כל כך אפקטיביות? חלק מהסיבות לא קשורות ישירות לישראל. התוקפים חכמים יותר ומובילים את החדשנות העולמית בתחום הסייבר ואילו המגינים מסוגלים בעיקר להגיב לחידושים שלהם ולנסות להדביק פערים. זה מנגנון מובנה באופן בו תעשיית אבטחת המידע פועלת לפיו.
החדשנות היא בצד התוקף ולא בצד המגן. התוקפים נהנים ממרחב פעולה בלתי מוגבל, אין להם מגבלות תקציב או Scope כמו למגינים, הם גמישים יותר, הם בוחרים את זירת הפעולה ואת שיטות הפעולה במגוון אין סופי של תרחישים שהמגינים לא יכולים להיערך אליהם ביעילות מראש.
יתרה מכך, הם בנו תשתיות טכנולוגיות ענקיות שעד לפני שנים לא רבות רק מדינות החזיקו כמותן. בנוסף, יש כלכלה מאחורי כל דבר, והרבה מאוד כסף עובר בתעשיית הסייבר ההתקפי ופשיעת הסייבר. נבנו תשתיות שיווקית בסדרי גודל מטורפים גלובלית, כולל זירות מסחר כמו Zerodium, שבה נמכרים כלי פריצה מתוחכמים לאור יום, בין קונים ומוכרים אנונימיים – ממשלות, גופי ביון, גופי פשיעה, יצרני תוכנה, שועלים בודדים.
בנוסף, תעשיית ההגנה בסייבר מתקשה לייצר פתרונות הוליסטיים באמת. אם היינו ממשילים את המצב לתעשיית המכוניות, הרי שהיינו רוכשים גלגל מיצרן אחד, הגה מיצרן אחר, כרית אויר מאיקאה וכיו"ב, תוך שאומרים ללקוח – "עכשיו תרכיב לבד וסע לשלום".
קשה לבוא בטענות נגד ארגונים בישראל על המחסור באנשי מקצוע או על רמתם הטכנולוגית הגבוהה של התוקפים. עם זאת, הם מעצימים את הבעיות בסדרי גודל בשל טעויות, לעתים בסיסיות ובמקרים רבים בשל גישת סייבר שגויה ומדיניות קצרת טווח.
לדוגמא, מתקפות הכופר שמטילות אימה על כלל המשק הן מתקפות קלות לטיפול. בשוק יש מספר פתרונות מסחריים המזהים באופן אוטומטי כשמתבצעת הצפנה מהירה של מספר גדול של קבצים באופן אנומלי, פעולה המאפיינת מתקפת כופר שניתן לבולמה בשלב זה.
כמו כן, רוב החברות נחדרות דרך פגיעויות ידועות או הגדרות שגויות, מה שנקרא "וקטורים ידועים", שלא לאמר בסיסיים. יש לקבוע בצער, שכל חברה או ארגון שנפגעו ממתקפת כופר פשוט לא יישמו בקרות מתאימות וניטור בהתאם ו\או לא התקינו פתרון זמין מסוג זה שהיה מונע את הפגיעה.
חוסר המוכנות למתקפות נובע גם מכשל בסיסי שטמון בהיערכות הארגונים. רבים ממנהלי האבטחה ומנהלי ה-IT עסוקים ברכישת פתרונות אבטחת סייבר ורואים בכך את גולת הכותרת ולב התפקיד והקריירה שלהם, אך בפועל, הפתרונות הללו, משוכללים ככל שיהיו, הם לא יותר ממעטפת חיצונית נוצצת.
ללא שתילה עמוקה שלהם והתאמה שלהם לארגון, לרבות הכשרה נאותה ותחזוקה וניטור שוטפים של הפתרונות באמצעות עבודה סיזיפית קשה, הם יישארו חסרי תועלת אמיתית ביום מתקפה.
מה ניתן לעשות כדי לשפר את עמידות החברות והארגונים בישראל למתקפות סייבר? ראשית, ארגונים צריכים להקדיש משאבים רבים יותר לאורך זמן בעבודה הקשה של הקשחות פנימיות וחיצוניות של המערכות, בבניית חוקים, תהליכים ומנגנוני ניטור נכונים ואפקטיביים יותר שיגנו יותר טוב על הארגון.
יש לציין לחיוב בהקשר זה שחלק מהמגזרים כן נערכו טוב יותר שנים ארוכות אחורה, דוגמת מגזר הבנקים בישראל, שביצעו מהלכי עומק מסוג זה בהצלחה והם בהכללה במצב טוב יותר כיום ממגזרים אחרים, לרבות ההבנה של הנהלות (בין אם מכורח רגולציה או רציונל עסקי) כי מתקפות סייבר הן גורם סיכון עסקי ממעלה ראשונה הניצב בפניהם.
כך שהנושא נכנס לראש סדרי העדיפויות וזוכה לייצוג בהנהלות ובדירקטוריונים. גישה זו מומלצת לכל החברות והארגונים בכל מגזרי המשק.
שנית, המחסור באנשי מקצוע בתחום הסייבר, הוא כאמור, חמור מכפי שנדמה וכיום הוא אתגר שנמצא לפתחה של המדינה ולא רק של התעשייה. אחת הבעיות היא שתחום הסייבר הוא מורכב וקשה יותר מאשר תחומים טכנולוגיים אחרים ולא יהיה מוגזם לומר שלא כל אחד נולד להיות איש סייבר ברמה גבוהה.
זה קצת יותר מורכב מהסבת אקדמאים להיי טק או להפוך בוגר תעשיה וניהול לאיש QA (אבטחת איכות תוכנה). עם זאת, ניתן להגדיל את מצבת מומחי הסייבר בישראל באמצעות הסבות של אנשי פיתוח שמגיעים עם הבנה מעמיקה בקוד (אבני הבניין בסייבר) וכמו כן אנשי סיסטם שמכירים את המבנה של תשתיות המחשוב, פרוטוקולי התקשורת, תשתיות האינטרנט וה-IT.
פתרון נאיבי משהו, כמו כל אתגר גדול, הוא לצפות שהמדינה תיטול את התפקיד המוביל בהגדרת הצרכים, בניית מסלולי הסבה והכשרה בהיקף גדול יותר שיפתרו את מצוקת הסייבר של ישראל.
ישראל נחשבת למעצמת סייבר ובצדק – אך בעיקר בתחום ההתקפי ופחות בהגנתי. ניתן היה לצפות שעם תעשייה כזו החברות והארגונים בישראל יהיו עמידים יותר ולא פרוצים לכל רוח, אך בפועל אין קשר בין הדברים.
הפער בין כמות הסטארטאפים והאקזיטים בתחום אבטחת המידע לבין העליה המטאורית בכמות המתקפות המוצלחות על המשק הישראלי ממחישים זאת יותר מכל. כדי להגיע למטרה זו נדרשת מודעות גבוהה יותר לאתגר הסייבר, עבודה קשה יותר והשקעות שאת פירותיהן רואים אחרי מספר שנים ולא מיידית.
