בזמן שעיני הציבור בישראל נשואות לעימות הצבאי הקונבנציונלי מול איראן, מתנהלת במקביל מלחמה בזירת הסייבר - שקטה בהרבה, אך אינטנסיבית לא פחות. להערכת חברת הסייבר ClearSky, ככל שהיכולות הצבאיות הקונבנציונליות של טהרן נשחקות, המשטר מנסה להגביר את השימוש בכלים אסימטריים, כולל תקיפות תודעה, תקיפות מניעת שירות ומתקפות הרס נגד תשתיות וארגונים ישראליים, שרבים מהם מפעילים מערכות מידע ותפעול קריטיות בענן.
"הסייבר הוא אחד הכלים שעדיין נותרו לאיראן במערכה", אומר בועז דולב, מייסד ומנכ"ל ClearSky, המתמחה במודיעין סייבר (Threat Intelligence). "עם זאת, חשוב להבין שבמרחב של קבוצות תקיפה מדינתיות לא כולם משחקים באותה ליגה טכנולוגית. בעוד שסין כבר מפעילה מערכות תקיפה המבוססות על מנועי AI שפותחו בסין, המאפשרים לה אוטומציה מתקדמת של איתור חולשות וביצוע מתקפות דינמיות, איראן עושה שימוש במנועי AI ציבוריים ונאבקת לפתח מערכות AI אוטונומיות, המבוססות על מנועי AI סיניים מבוססי קוד פתוח.
"בשלב הראשון, האיראנים החלו לעשות שימוש ב-AI ככלי עזר לסיוע באיתור מידע ולניסוח טקסט בעברית למטרות פישינג. משם הם עברו לפיתוח סקריפטים - קטעי קוד קטנים - לאיתור חולשות ולמודיעין. בתוכנית האסטרטגית שלהם ל-2026 הם תכננו להתקדם להקמת מערכי AI אוטונומיים שיבצעו תקיפות סייבר, תוך התבססות על מנועי AI סיניים.
אנליזה מתקדמת
ניתוח פעילות של קבוצות תקיפה מדינתיות הוא לחם חוקו של דולב. חברת ClearSky, שהקים ב—2011, מספקת לחברות הגדולות במשק, תמונת מודיעין עדכנית של זירת הסייבר. המטרה היא לסייע לארגונים להבין מי עומד מאחורי המתקפות הפוטנציאליות, מהן המוטיבציות של התוקפים, וכיצד מגמות - כמו המעבר המואץ לענן והשימוש הגובר בבינה מלאכותית - משנות את מפת האיומים.
אבל המודיעין ש—ClearSky מספקת ללקוחותיה לא נעצר רק בציור תמונת מצב, אלא כולל גם אנליזה מתקדמת ותיעדוף דיפרנציאלי של האיומים. "ארגונים גדולים אינם יכולים להרשות לעצמם להשקיע משאבים בלתי מוגבלים בהגנה מפני כל איום אפשרי", מחדד דולב. "דווקא ריבוי המידע, ההתראות והתרחישים האפשריים יוצר לעיתים רעש שמקשה להבחין באיומים המרכזיים והמשמעותיים לארגון. כאן אנחנו נכנסים לתמונה עם מודיעין סייבר שמנפה את הרעש, מפריד בין עיקר לטפל ואומר לחברה: 'אלה הסיכונים המרכזיים והמשמעותיים הרלוונטיים עבורך - התמקדי בהם'. כשארגון צריך לקבל החלטות על השקעה של מיליוני דולרים במערכות הגנה, הוא חייב להבין במה נכון להתמקד".
לדבריו, ClearSky בונה לכל לקוח תמונת איומים "מותאמת אישית", שמתחילה באיסוף מודיעין ממוקד על החברה וממשיך במעקב שוטף, 7/24, על תקיפות רלוונטיות לחברה. הפעילות כוללת זיהוי תוקפים פוטנציאליים, תרגילי סימולציה וסיוע לצוותי הסייבר של החברה בהבנת מקור התקיפה, ניתוח נוזקות וסיוע בסיכול מתקפות בזמן אמת.
האיומים והיתרונות של ה-AI
לצד האיומים המדינתיים, דולב מדגיש את סיכוני הסייבר שנובעים מהמעבר לענן, שבו ארגונים נמצאים בתהליך מואץ של העברת מערכות הליבה והמידע הרגיש שלהם לעננים ציבוריים כמו אמזון, גוגל ואורקל.
"אחסון המידע ומערכות הליבה בענן מהווים "מגנט לתוקפים", הוא אומר. "פריצה אחת לסביבת הענן נותנת לקבוצת תקיפה את 'המפתחות' לחדור עמוק לתוך הארגון, סיכון עצום שדורש היערכות שונה בתכלית. ClearSky מתמחה בניתוח שיטות התקיפה הללו ומספקת מידע טכני מדויק המאפשר לחסום תקיפות מבוססות נוזקה, כתובת IP ודומיינים ספציפיים. החברה מתמקדת בישראל ולקוחות החברה משתפים איתנו מידע המסייע לכל שאר הלקוחות להתמודד טוב יותר עם איומים אלה".
אחת הנקודות המטרידות ביותר שמעלה דולב בשיחתנו היא השפעת הבינה המלאכותית על עולם הסייבר. הוא מכנה זאת "דמוקרטיזציה של האנרכיה". לדבריו, ה-AI יצר הפרת איזון בשוק; כיום, קבוצות תקיפה רציניות מנצלות מערכי AI כדי לייצר נוזקות ברמה גבוהה בפרק זמן קצר ובעלויות מינימליות. ובמקביל, היום כל אחד יכול להוריד מנוע AI סיני בקוד פתוח, להתקין אותו על חומרה בסיסית ולפתח כלי תקיפה שבעבר נדרשו משאבים אדירים ליצור אותו. אפילו תלמיד תיכון, לדבריו, יכול להפוך כיום לאיום משמעותי.
ClearSky עוקבת אחרי התופעה הזו בדוחות המביאים מידע עדכני על תקיפות המבוססות AI מצד קבוצות איראניות, רוסיות, סיניות וצפון-קוריאניות - כולל השוואת היכולות ביניהן והמלצות טכניות להתגוננות. כך הם עוזרים לארגונים להבין לא רק מי תוקף עם AI, אלא איך הוא עושה זאת וכיצד לחסום את הנתיבים החדשים הללו.
למרות הזעזועים שגורם ה—AI בעולם התקיפות, דולב מוצא בו גם יתרון תפעולי משמעותי עבור ClearSky עצמה. "מה שדרש פעם עשרות מתכנתים, היום מבוצע עם צוות מצומצם מאוד. כך החברה נשארת רזה וממוקדת ומשמרת את היכולת לספק מודיעין מדויק, בלי להגדיל את כמות העובדים, כמו מתחרים גדולים".
מזהים את כל מה שמסכן את הארגון
לבועז דולב רקע עשיר בתחום הדיגיטלי. לפני שהקים את ClearSky, הוא עיצב את מערך אבטחת המידע של המדינה וניהל את "ממשל זמין" - היחידה הממשלתית שהוקמה על ידו ופיתחה שירותים מקוונים לציבור. הוא פרש לאחר שזיהה את המגבלות הכבדות לפיתוח חדשנות בתוך המגזר הציבורי, והקים חברה המתמקדת באספקת מודיעין סייבר לארגונים פרטיים, מה שהיה פעם נחלתם של ארגונים ממשלתיים וסוכנויות ביון בלבד.
החברה שלו, שמונה כיום 25 עובדים, משרתת בעיקר ארגונים גדולים - בנקים, חברות ביטוח, חברות כרטיסי אשראי, חברות ציבוריות כמו טבע וכיל ועוד. דוחות המודיעין התקופתיים שלו מסייעות לחברות במשק בעת הכנת דיוני התקציב השנתיים, והוא עצמו מרצה בדירקטוריונים, במועצות מנהלים ובהנהלות ורואה בזה חלק מהשירות שלו.
לדבריו, ClearSky אגנוסטית לחלוטין לטכנולוגיה שבה משתמש הלקוח. "המודיעין שלנו מאפשר להבין את מקורות התקיפה, המוטיבציות של התוקפים ואת מהות המתקפה דרך מעקב אחר קבוצות תקיפה", הוא מבהיר. "אנחנו לא עוסקים בתקיפות או במבחני חדירה - רק בודקים ומתעדים חולשות, לא רק של התוקפים אלא את כל מה שמסכן את הארגון. ההתראות שלנו מתחילות ברמה הכללית, עוברות לרמת הסקטור ומסתיימות במתן התראות ממוקדות לתקיפות ספציפיות על חברה".
על מה אתם נשענים?
"על הצוות המעולה של חוקרי הסייבר בחברה, על הניסיון שצברנו בשנים האחרונות, על הלקוחות המצוינים שלנו, שמשתפים איתנו מידע על תקיפות, ועל מגוון תוכנות ורשת צייד שפיתחנו. זאת לצד שימוש במאגרי מידע ומערכות חיצוניות".
בחזון שלך, אתה נשאר חברת בוטיק ממוקדת או הופך לחברה גדולה?
"אנחנו נשאר חברת בוטיק מתמחה, תוך מעבר מסיבי של חלק משיטות המחקר שלנו לסביבת ה-AI שמשנה את העולם. אנחנו חיים בתקופה מרתקת של שינויים ואנחנו עוקבים אחריהם ומיישמים אותם ככל הניתן, תוך הקפדה על אבטחת מידע ושמירה על המידע הקריטי שלנו ושל הלקוחות שלנו.
"השוק אוהב ומעריך את העשייה שלנו, את העובדה שאנחנו ממוקדים בעיקר. אני נהנה מאוד ממה שאני עושה ויש לי סיפוק אדיר מזה שאני רואה עד כמה אנו עוזרים לארגונים גדולים לנווט "בערפל הסייבר".
בשיתוף ClearSky cyber security
