תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

ישראל בודקת - מנהלי אבטחת המידע בישראל מאמצים בדיקות אוטומטיות

בדיקות חדירות מחוייבות בסייבר, אבל בהיותן ידניות הן נעשות בתדירות נמוכה, מספקות תמונה מוגבלת של חולשות האבטחה ועולות ממון רב. הסטארט-אפ הישראלי Pcysys (פסייסיס) פיתח פלטפורמה המאפשרת אוטומציה של בדיקות חדירות ומתגאה ביכולת לאפשר לכל ארגון בדיקת חדירות שבועית בלחיצת כפתור

סייבר אבטחה
צילום: Dreamstime

בעולם אבטחת הסייבר הבינו כבר מזמן שכדי לייצר הגנות אפקטיביות למערכי המידע של ארגון חייבים להעמידן במבחן המדמה תקיפה ככל שניתן. מכאן התפתחה תעשייה שלמה שבה פורצים מקצועיים, ברשיון, בודקים את רמת אבטחת המידע של ארגון באמצעות ביצוע מתקפה מתוכננת ומבוקרת על מערכות המידע, במטרה לאתר חולשות אבטחה. למעשה, הם מחקים את פעולת ההאקרים וכך מזהים פגיעויות ו"חורים" ברשת האבטחה כמו גם בודקים את רמת הזיהוי והתגובה של הארגון למתקפות.

בעגה המקצועית התפתח מונח לסוג זה של פעילות (Penetration Testing) ובעברית "בדיקות חדירות". חברות ייעוץ רבות מעסיקות האקרים אתיים ברישיון ומבצעות בדיקות חדירות יזומות ללקוחות שמשלמים על כך לא מעט כסף. גם הרגולציה מחייבת ביצוע בדיקות חדירות. למשל, בתחום הבנקאות והפיננסים יש חובה לבצע ניסיונות תקיפה למערך אבטחת המידע של הארגון אחת לתקופה על מנת לבחון את עמידותו בפני סיכונים פנימיים וחיצוניים. אלא שבדיקות החדירות, כפי שהן נעשות היום, באופן ידני ועל-ידי חברות חיצוניות, סובלות מחסרונות רבים. הן אורכות זמן, מערבות פרויקט יעוץ יקר (לעיתים עד מאות אלפי דולרים בשנה) ובסופו של יום בודקות חלק קטן מכל הרשת. המשמעות היא שעל כל חולשה שמתגלית, קיימות ככל הנראה עוד רבות שמערכת האבטחה הארגונית לא ערוכה ומחוסנת בפניהן שטרם נבדקו והתגלו.

מבין הפתרונות הטכנולוגיים לבעייה שהתפתחו בשנים האחרונות קיימים שני ענפים - ענף אחד של טכנולוגיות של בדיקות מבוססות ניתוח נתונים ועריכת סימולציה תיאורטית וענף שני של בדיקות חדירות אוטומטיות, הלכה למעשה, כמו האקר אנושי.

"סימולציה לעולם תישאר סימולציה", אומר אריק ליברזון, ממייסדי חברת הסייבר פסייסיס (Pcysys), שפיתחה פלטפורמה המאפשרת אוטומציה של בדיקות חדירות סייבר ומספקת התרעות בזמן אמת. "הבעיה עם סימולציה כפולה: היא לא זהה למציאות המורכבת והיא לא מצליחה להבין עד הסוף את הראש של התוקפים. ייחודו של הפתרון שאנחנו מציעים הוא בכך שהבדיקה מתבצעת בפועל ולא על-ידי הדמייה. התוכנה שלנו עובדת כמו פצחן מורשה כיוון שרק כך ניתן לגלות את נתיבי התקיפה השונים שלהם ורק כך ניתן לחסום את וקטורי התקיפה כדי לשפר את הכיול והמדיניות הממומשת במערכות האבטחה של הארגון".

רנטגן ל-IT הארגוני

ליברזון יודע איך חושבים התוקפים עוד מהתקופה שבה עסק בכך בשירותו הצבאי, במהלכו ניהל יחידת לוחמת סייבר פנימית שמטרתה הייתה לאתגר את מערכות ההגנה של צה"ל. אז גם ניצת בו הרעיון, שנראה אז בלתי אפשרי, לבצע בדיקות חדירות אוטומטיות, לאחר שהבין מה עשוי להיות הערך המוסף של בדיקות רצופות, יום-יומיות, במקום בדיקות חדירות ידניות פעם בשנה. הרעיון נשמע נועז, שלא לומר מהפכני, אבל ליברזון העריך שיש לו היתכנות. הוא חבר לאריק פיינגולד - יזם ומנהל בעל ניסיון בינ"ל עשיר, שכיהן במגוון תפקידי מפתח ניהוליים וטכנולוגיים ומשמש כיום כדירקטור ויועץ במספר חברות היי-טק ישראליות - והשניים הקימו בנובמבר 2015 את פסייסיס. המנכ"ל, אמיתי רצון, שהיה סמנכ"ל מכירות במספר חברות טכנולוגיה ובוגר תוכנית ה-MBA של תוכנית קלוג-רקנאטי, הצטרף לחברה בפברואר 2018.

אריק ליברזון ואמיתי רצון
צילום: דורון לצטר

מאז נסקה פסייסיס בתאוצה מהירה, רכשה מעל 100 לקוחות והפגינה קצב צמיחה אקספוננציאלי, עם 500% עלייה במכירות. כיום היא מעסיקה מעל 50 עובדים, מתוכם 35 בישראל, והנהלתה מתכוונת להגדיל את הצוות באופן משמעותי בשנה הקרובה. בין לבין היא גייסה 15 מיליון דולר מקרן ההון סיכון הקנדית AWZ ומקרן ההשקעות בלקסטון.

בראיון משותף מדברים ליברזון ורצון על הצמיחה הפנומנלית של החברה, על הפתרון שהיא מציעה לשוק ועל התועלות ללקוחות.

אין ספק שעליתם על משהו. נסו להגדיר את המשהו הזה?

"אנחנו מספקים פלטפורמת תוכנה לבדיקת חדירות תשתיתית אוטומטית ברמת הרשת הארגונית, הכוללת שרתים, עמדות קצה, בסיסי נתונים ועוד. בדיקת הרשת הפנימית בארגון כוללת את כל הצעדים המקובלים בבדיקת חדירות ידנית (כולל שימוש בנוזקות, השתלטות ודילוג בין שרתים ותחנות קצה), אך ללא גרימת נזק או הפסקות שירות", משיב ליברזון. "בנוסף, אנחנו מנתקים את הקשר שבין הבודק האנושי לתוצאות. אצלנו התוצאות אינן תלוית באיכות של בודק זה או אחר, שבדרך כלל גם עולה כסף רב, אלא הן אחידות. בנק ענק מרובה סניפים אף פעם לא יידע להשוות את רמת הבדיקות בין הסניפים השונים. הטכנולוגיה שלנו מאפשרת לייצר סטנדרטיזציה בתעשייה".

"מדובר בחברה היחידה שבודקת-תוקפת מחשבים אופרטיביים כמו האקר, אך ללא גרימת נזק", מוסיף רצון. "איך אמר לנו לקוח מסויים? אתם מבצעים רנטגן ל-IT הארגוני וזה נכון. בנוסף, הפלטפורמה שלנו מתפתחת כל הזמן כדי להבטיח בדיקה עדכנית לאיומי הייחוס הרלוונטיים. צריך להבין, כל שנה מזהים בערך כ-15,000 פגיעויות חדשות, אך רק מקצתן ניתנות לניצול בראיית התוקף. לכן הארגון צריך להתחסן מפני איומים הרלוונטיים - אלה שניתן לנצל אותם, כלומר כאלה שהתוקף יוכל באמצעותם להסב נזק. השוק משתנה כל הזמן וחייבים לזכור שרשת ארגונית היא דבר דינאמי. המערכת שלנו מאפשרת לארגונים בדיקות חדירות רציפות כדי לדעת בכל רגע נתון מהו החוסן הארגוני השלם אל מול תוקפים מיומנים".

מכירות ב-15 מדינות

גם בתחום השיווק אתם נוקטים גישה לא קונבנציונלית

רצון: "נכון גם כאן פיצחנו משהו ויצרנו משהו שונה, הן בשיטת המכירה והן בגיוס אנשי מכירות. אנחנו מבססים את שיטת השיווק שלנו על מודל 'הפצת הבשורה', שבו אנו מעבירים את הידע ליחידים ולארגונים שמשתפים איתנו פעולה, והם מצידם מעבירים את הידע הלאה ומשכפלים כל הזמן את המכירות. זה ממש כמו התפשטות של שריפה, אך במובן השיווקי. יש לנו היום כמה עשרות של מקצועני מכירות ב-15 מדינות. מדובר באנשים מנוסים מהשורה הראשונה שמכרו סייבר לארגונים גדולים במיליונים. הלקוחות גם מבינים את הערך שהאנשים האלה מביאים ומגיבים בהתאם".

אחת החוויות המעצבות בחיי החברה הייתה המעבר המהיר של השוק מסקפטיות גמורה להערצת הטכנולוגיה החדשה שהם פיתחו. דוגמא מובהקת לכך היא חברת ההשקעות בלקסטון, שמנהלת חצי טריליון דולר ונושא הסייבר אקוטי במיוחד עבורה. בלקסטון הפכה ללקוח של פסייסיס וככל שחלף הזמן מידת האמון שלה הלכה וגדלה עד שהפכה בעצמה למשקיעה בחברה. נכון להיום היא גם מספקת למנהלי פסייסיס גישה למועדון אקסקלוסיבי של 200 חברות שנמצאות בפורטפוליו שלה, מה שמאפשר יצירת קשרים עסקיים וקשרי גומלין (ראה מאמר בעמוד הבא).

כתבות שאולי פיספסתם

*#