בעשור האחרון, מפעלים תעשייתיים ותשתיות קריטיות עברו מהפכה שקטה של הטמעת דיגיטציה מקיפה, תהליך ששבר את החומות ההיסטוריות שהפרידו בין רצפת הייצור (OT) לרשת הארגונית (IT). אך אליה וקוץ גדול בה - המעבר למפעלים חכמים ולתשתיות שנשענות על דיגיטציה אמנם הזניק את היעילות, אך החיבוריות הזו בין העולמות יצרה פרצות מסוכנות ברשתות התפעוליות וחשפה אותן למתקפות סייבר גוברות והולכות. בשנת 2025, המגמה הזו הגיעה לנקודת רתיחה; הנתונים מצביעים על כך שהחשיפה הגלובלית של מתקנים תעשייתיים ותשתיות ממשיכה לעלות, כאשר מאות אלפי מכשירי בקרת תשתית גלויים לרשת מדי חודש ומגדילים את משטח התקיפה.
צריך לזכור שכיום כבר לא מדובר רק בהאקרים המחפשים לגנוב מספרי כרטיסי אשראי. בעידן של מלחמות ומאבקים גיאו-פוליטיים בעולם ומעבר מריגול לחבלה, גורמים עוינים מכוונים כעת ישירות למערכות מים, חשמל ובקרת מבנים. זוהי סכנה מוחשית לפגיעה לא רק ברכוש אלא גם בנפש, והיא מתעצמת ככל שהבינה המלאכותית (AI) הופכת ל"מכפיל כוח" בידי התוקפים, המייצרים נוזקות מתוחכמות המשכתבות את עצמן בכל הפעלה מחדש כדי לחמוק מגילוי.
כדי להבין לעומק את האתגרים הללו ואת הדרכים להתמודד עימם, שוחחנו עם מני חולי, Solution Engineer בחברת OPSWAT, המלווה מקרוב ארגוני תשתית קריטיים בהטמעת פתרונות הגנה. בריאיון עימו הוא פורש תמונת מצב מורכבת של עולם הסייבר המודרני. הוא אינו מסתפק רק בהצבעה על הסכנות, אלא משרטט מפת דרכים טכנולוגית המבוססת על תפיסה הוליסטית וחדשנית, כזו המיועדת לעצור את התוקף עוד לפני שהוא מצליח להניח רגל דיגיטלית בתוך המערכת.
הפגיעות של שרשרת האספקה והקוד הפתוח
לדברי חולי, אנחנו נמצאים בעיצומה של תמורה דרמטית בנוף איומי הסייבר הגלובלי. אם בעבר המושג "אבטחת מידע" התמקד בשמירה על סודיות הנתונים, הרי שכיום ההגנה על תשתיות קריטיות (CIP) היא בראש ובראשונה משימה של שמירה על רציפות תפקודית, ביטחון פיזי והגנה על חיי אדם.
המעבר הזה אינו מקרי. הוא תוצאה של שני כוחות עוצמתיים שמתנגשים זה בזה: מהפכת הדיגיטציה של העשור האחרון ומהפכת ה-AI של השנה האחרונה. "תהליכי הדיגיטציה והמעבר למפעלים חכמים מתבטאים גם בהוספה והגדלה של חיישנים חכמים וזרימת נתונים לאנליטיקה מתקדמת בסביבות ענן, וכיום עשויים להתעצם עוד יותר עם בואן של מערכות אנליטיות מתקדמות מבוססות AI. תהליכים אלו מגבירים את הפגיעות של רשת ה-OT. בשנת 2024 נרשמה עלייה של 12% בחשיפה הגלובלית של רכיבי ICS/OT, עם כ-180,000 מכשירים גלויים מדי חודש.
"נתון נוסף שיש לקחת בחשבון הוא שהמלחמה באוקראינה, ובוודאי מלחמת 'חרבות ברזל', שינו את כללי המשחק וציינו מעבר ממתקפות שמהותן ריגול למתקפות שמהותן חבלה", הוא מוסיף. "גורמים עוינים הפועלים כפרוקסי במימון מדינות אויב, ובפרט איראן, מכוונים לתשתיות מים, חשמל וניהול בקרת מבנים במתקפות שמהוות סכנה חמורה ביותר של שיבוש אורח החיים ופגיעה בנפש".
עד כמה הבינה המלאכותית הפכה אכן למכפיל כוח עבור תוקפים?
"היא מאפשרת להם לייצר מתקפות מתוחכמות, אמינות וקשות לגילוי בקנה מידה תעשייתי. כיום, כלי AI גנרטיביים זדוניים משמשים ליצירת מתקפות מתוחכמות המשכתבות את קוד הנוזקה באופן אוטומטי בכל הפעלה מחדש. האלגוריתם משנה את שמות המשתנים, מוסיף קוד מיותר ומשנה את סדר הפעולות (Syntax), אך הלוגיקה הזדונית (Semantics) נשארת זהה. זאת ועוד, ככל שארגונים מטמיעים כלי הגנה מבוססי AI, תוקפים לומדים כיצד ניתן 'לעבוד עליהם'. הם יוצרים קבצים המכילים 'רעש' דיגיטלי, או דפוסים שנועדו לבלבל את המודל המסווג, או שהם משתמשים בטכניקות בתוך הקובץ כדי לגרום ל-AI להתעלם מהאיום. כאן כבר לא מדובר רק בשיפור היכולות של התוקפים, אלא בשינוי כללי המשחק של עולם הסייבר התעשייתי, מה שמחייב את הארגונים לשנות את אופי ההתמודדות הנדרש מארגונים".
אחת המגמות המסוכנות ביותר עליה מצביע חולי היא הפיכת שרשרת האספקה לווקטור תקיפה ראשי. ארגונים משקיעים בהגנה על ה-Perimeter, אך סומכים "בעיוורון" על ספקים ובפרט ספקי השירות המנוהל (MSP). בין אם בחיבור מכשיר נגוע של טכנאי לרשת הארגונית הרגישה, או במעבר קבצים דרך מערכות מיושנות לניהול העברת קבצים, שאינן מבצעות סריקת קבצים. אלה אמנם נועדו לתת גישה מבוקרת לבעלי הרשאות גבוהות בלבד לנכסים רגישים, אך יצרו מנגד "דלת אחורית" (Backdoorׂׂ) לקבצים זדוניים היישר אל התשתיות והנכסים הקריטיים ביותר של הארגון.
איום נוסף, משמעותי אך סמוי, הוא הקוד הפתוח בתשתיות קריטיות, המצוי בסביבות OT/ICS. בניגוד לדעה הרווחת, סביבות OT/ICS מסתמכות בכבדות על חבילות קוד פתוח. בקרים (PLCs), מתגים תעשייתיים ומערכות HMI מכילים מערכות הפעלה וספריות תקשורת וממשק. למנהלי האבטחה אין נראות לתוך ה"קופסה השחורה" (הקושחה) שמספק היצרן. הם אינם יודעים שהבקר החדש עשוי להכיל ספריית קוד פתוח עם חולשה קריטית.
ניתוח דינמי מהיר ומדויק יותר
אל מול כל האיומים שתוארו, חברת OPSWAT, שצברה בשני העשורים מומחיות בפיתוח פלטפורמת אבטחת סייבר מקיפה בתחום ה-IT/OT, מציעה שינוי פרדיגמה. "המטרה שלנו היא ליצור היקף הגנה סביב התשתיות הקריטיות בעולם באופן שימזער משמעותית את הפגיעה בהן", אומר חולי.
בוא נצלול לפרטים. מה כוללת הפרדיגמה שאתם מציעים?
"קודם כל וברמה העקרונית, אנחנו מדברים על שילוב גישת Trust No File לבין גישת Trust No Device. זהו שילוב שיוצר עוצמת הגנת סייבר. גישת Trust No File, יוצאת מנקודת הנחה שכל קובץ הנכנס לרשת הוא חשוד עד שהוכח אחרת, ולכן משתמשת בטכנולוגיות מתקדמות לזיהוי מוחלט של רמת האיום, חסימת קבצים זדוניים או הלבנתם; במקביל, גישת Trust No Device מתייחסת לכל התקן קצה כלא-אמין ללא תלות במיקומו, ואוכפת את האבטחה באמצעות וידוא מצב המכשיר (Device Trust) לפני מתן גישה למשאבים, לצד סריקה וניקוי של מדיה נתיקה (כגון USB) בטרם חיבורה לרשתות קריטיות.
"במרכז האקו-סיסטם שלנו ניצבת פלטפורמת ה-MetaDefender Core, המשלבת טכנולוגיות עומק להתמודדות עם האיומים", הוא מוסיף. "היא כוללת את מנוע ה-Deep CDR, שכאמור מהווה מענה אולטימטיבי לנוזקות פולימורפיות ואיומי Zero-Day. המנוע מפרק קבצים לרכיבים, מסנן תוכן פעיל (Active Content), העשוי לשמש כווקטור תקיפה, ובונה מחדש קובץ נקי, תוך הקפדה על שמירת פונקציונליות הקובץ.
"על אף חוזקתו הרבה של מנוע ה-Deep CDR, הרי בקבצים מסויימים, דוגמת קבצי התקנה, הפונקציונליות שלהם עשויה להיפגע מתוקף הליך הסרת הרכיבים של הקובץ, ולכן הם אינם עוברים תהליך של CDR. לשם כך נועדו פתרונות נוספים כמו מודול ה-Multiscanning, המפעיל במקביל יותר מ-30 מנועי אנטי-וירוס. מנועים אלו כוללים יכולות היוריסטיקה מתקדמות, לצד מודיעין לזיהוי מוניטין קבצים (Reputation), והם מאפשרים להגיע עד לכדי למעלה מ-99% מניעה וחסימת של מרבית הקבצים העוברים בשער ערוץ ההגנה".
מה קורה במקרה של איומים חמקמקים במיוחד, במיוחד בקבצי הרצה שאינם יכולים לעבור Deep CDR?
"במקרה כזה, מודול ה-Adaptive Sandbox של OPSWAT מציע יכולת זיהוי ייחודית המבוססת על טכנולוגיית אמולציה (Emulation) במקום וירטואליזציה מסורתית, מה שמאפשר ניתוח דינמי מהיר ומדויק יותר. על ידי חיקוי סביבת המשתמש, ללא הצורך בטעינת מערכת הפעלה מלאה וכבדה, הפתרון מקצר משמעותית את זמני הסריקה ומספק מענה מהיר לאיומים. יתרה מכך, שיטה זו מנטרלת ביעילות טכניקות חמקנות (Evasive) של נוזקות מתוחכמות, משום שהיא מצליחה לבודד כל ענף בעץ הפקודות והרצתו בסביבת האמולציה".
חולי מציין, כי גם ביישומים או בקושחות החתומים דיגיטלית על ידי היצרן עשויים להיות פגיעויות, שמקורן בקוד הקובץ עצמו, או בחבילות קוד פתוח עליהם נשען. "לשם כך אנו מיישמים File Based Vulnerability Assessment, כלומר, סריקת פגיעויות ליישומים מול מאגרי מודיעין גלובליים (CVEs) כדי לקבוע אם המוצר עצמו ידוע כפגיע עוד לפני בדיקת מרכיביו הפנימיים", הוא מבהיר. "מודול ה-SBOM לעומתו, יודע לייצר 'תוויות רכיבים', המפרטות את חבילות הקוד הפתוח עליהם עושה שימוש הקובץ בתהליך ההתקנה, ולהשוות אותם מול מאגר פגיעויות של חבילות קוד פתוח, כגון NVD. השילוב בין השניים, בתוך פלטפורמת ה- Core, מאפשר הגנה דו-שכבתית: גם זיהוי יישומים מסוכנים וגם חשיפת רכיבי קוד פתוח פגומים המוחבאים בתוכם".
למנוע חדירה דרך הדלת האחורית
אם שרת ה-MetaDefender Core הוא "המוח" הסורק את הקבצים, הפתרונות הבאים שאותם מציג חולי מתייחסים לערוצים המהווים שער כניסה לאותם קבצים. הללו מחוברים ב-REST API (אינטגרציה מובנית) אל שרת ה-MetaDefender Core ושולחים אליו כל קובץ לבדיקה. אחד מהם הוא ה-MetaDefender Kiosk, המהווה למעשה עמדת הלבנה פיזית המונעת כניסת איומים דרך מדיה נתיקה (USB), וקטור תקיפה מרכזי במתקני Air-Gap.
"על ידי שימוש באמצעי זה ניתן לוודא שקבצים שמקורם במדיה נתיקה (דיסק-און-קי, טלפונים חכמים, כוננים קשיחים חיצוניים) ויעדם הוא הגעה אל התשתית הקריטית הארגונית, יעברו קודם לכן סריקה קפדנית במודולי ההגנה של MetaDefender Core", מסביר חולי. "פתרון זה סוגר הרמטית את הפרצה שנוצרה על ידי מה שאנו מכנים 'הדיגיטציה של רצפת הייצור'. הוא מאפשר לטכנאים חיצוניים להכניס עדכוני תוכנה ושרטוטים, אך מבטיח שנוזקות פולימורפיות, או מבוססות AI, לא יחדרו אל התשתית הקריטית של הארגון".
פתרון נוסף אותו מציג חולי הוא ה-MetaDefender MFT, שבניגוד לפתרונות MFT מסורתיים שרק "מעבירים" קבצים, מבצעNative Integration עם ה-Core.כל קובץ שמועלה לשרת "נעצר" לבדיקה, נשלח ל-Core לניתוח ורק אם הוא חוזר "נקי" ומולבן - הוא מאושר להורדה על ידי הנמען. "הדבר הזה מונע למעשה את 'הדלת האחורית', שמאפשרת כיום לספקים להעלות קבצים עם פגיעויות או אף נוזקות, שלרוב אינם כלל ביודעין, אל תוך התשתית הקריטית", הוא מבהיר.
אולם חולי מדגיש, כי ההגנה על הקבצים היא רק מחצית מהתמונה. "האתגר האמיתי מתחיל ברגע שחומרה זרה חוצה את סף דלתו של הארגון. בהקשר זה, אחד הווקטורים המדאיגים ביותר כיום הוא מחשבים נגועים של ספקי שירות מנוהלים (MSP), המהווים פתח כמעט בלתי מסומן לתקיפה".
כדי לסגור את הפרצה הזו, מציג חולי את פתרון ה-MetaDefender Drive - התקן USB ייחודי בעל יכולת אתחול עצמאי (Bootable). בניגוד לסריקות סטנדרטיות, ההתקן פועל עוד בטרם עליית מערכת ההפעלה של המחשב הזר, ובאמצעות מודולי הגנה מובנים, הוא סורק את הלפטופ של הספק ללא תלות בתוכנות המותקנות עליו. המטרה, לדבריו, היא להשיג "הבטחת ניקיון חומרה" (Hardware Assurance) מלאה, ולוודא ששום רכיב זר לא יהפוך לסוס טרויאני בלב התשתית הקריטית.
שלושה מעגלי אבטחה משלימים
מעבר להגנה על הקבצים והחומרה, חולי מציין, כי OPSWAT מאמצת גישה הוליסטית רחבה יותר להגנה על סביבות ה-ICS/OT, המבוססת על שלושה מעגלי אבטחה משלימים: המעגל הראשון הוא בידוד פיזי של הרשת. באמצעות מערכות לבידול רשתות (Optical Diodes and Security Gateways), הארגון מבטיח שמידע יוכל לזרום החוצה לצורכי בקרה, אך שום פקודה זדונית לא תוכל לחדור פנימה. "אנחנו יוצרים הפרדה פיזית מבוססת כבל אופטי", הוא מסביר, "כך שהתקשורת הופכת לחד-כיוונית והרמטית".
המעגל השני מתמקד בנראות וזיהוי אנומליות. כאן נכנסת לתמונה מערכת ה-MetaDefender OT Security, טכנולוגיית IDS מתקדמת המבצעת ניתוח עומק של חבילות המידע (Deep Packet Inspection). המערכת לומדת את התנהגות השגרה של המפעל (Baseline) ויודעת להתריע בזמן אמת על כל חריגה שעלולה להעיד על ניסיון חדירה או שיבוש.
המעגל השלישי והאקטיבי הוא ה-Industrial Firewall. בניגוד לחומות אש סטנדרטיות, פתרון זה מסוגל להתממשק ישירות למערכת הזיהוי (IDS) ולבצע פעולות מניעה אקטיביות. "זה לא רק לזהות את האיום, אלא לחסום אותו פיזית לפני שהוא מגיע לציוד הקצה הרגיש בסביבת הייצור", מציין חולי.
הכוח האמיתי של OPSWAT טמון, לדבריו, באגנוסטיות שלה ובגישה ההוליסטית שאינה תלויה בציוד התקשורת הספציפי של הארגון. בעולם שבו מערכות ה-IT וה-OT מתמזגות, הפתרון אינו יכול להיות נקודתי בלבד.
"הראייה שלנו היא רב-שכבתית", הוא מסכם. "זה מתחיל בבידוד פיזי באמצעות דיודות אופטיות המבטיחות חד-כיווניות הרמטית של נתונים, אך לא נעצר שם. החידוש המשמעותי הוא השילוב בין הדיודות לבין מערכת ה- MFT (ניהול העברת קבצים). במבנה של 'דיודה פתוחה ודיודה סגורה', המערכת מוודאת שרק מי שעבר אימות קפדני וסריקת קבצים עמוקה יוכל להעביר מידע בין העולמות. במקום להסתכל רק על 'הדלת' (ה-Perimeter), המערכת בוחנת את כל ההיקף: מהקבצים שנסרקים, דרך בקרי הגישה ועד לניטור אקטיבי של אנומליות בתוך רשת ה-OT. לא משנה מאיפה התוקף מנסה להיכנס - בין אם זה דרך קובץ תמים, טכנאי חיצוני או פרצה ברשת הארגונית - הגישה ההוליסטית שלנו דואגת לעצור אותו עוד לפני שלב הביצוע. בסופו של יום, המטרה היא להפוך את אותה 'חומה' מסורתית למנגנון חכם שמאפשר למידע לזרום, אך חוסם את האיומים באופן אבסולוטי".
שומרת הסף של התשתיות הקריטיות
חברת OPSWAT הוקמה בשנת 2002 מתוך חזון ברור להגן על התשתיות הקריטיות של ארגונים ומדינות מפני איומי סייבר מתקדמים. כיום, החברה נחשבת למובילה עולמית בתחומה, כשהיא משרתת כ-2,000 לקוחות ב-80 מדינות ופורשת רשת משרדים ענפה בצפון-אמריקה, אירופה, אסיה והמזרח התיכון. בישראל, OPSWAT היא שחקן וותיק ומבוסס המספק פתרונות הגנה למאות ארגונים מובילים מכל המגזרים - ממשלתי, תעשייתי, ציבורי ועסקי.
השנה העמיקה החברה את מחויבותה לשוק המקומי עם הקמת מעבדה ייחודית במשרדיה בפתח תקווה, כחלק מרשת מעבדות סייבר של החברה בעולם. המעבדה החדשה הוקמה במטרה להפוך את הידע המקצועי להתנסות חיה. היא משמשת כמרכז למידה מעשי (Hands-on) שבו לקוחות יכולים לבצע בדיקות היתכנות (PoC), תוך התאמת פתרונות ספציפיים לצרכי הארגון ובחינתם בתנאי אמת; השתתפות בתרחישי תקיפה ריאליסטיים על תשתיות קריטיות (מים, חשמל, אנרגיה), המאפשרים לחוות ממקור ראשון את המענה המבצעי של הפלטפורמה הרב-שכבתית; והיכרות עם כלי מניעה מתקדמים, כמו מנועי ה-Deep CDR ופתרונות ה-AI החדשניים של החברה.
עבור מנהלי אבטחה וטכנולוגיה, המעבדה מהווה זירת חשיבה משותפת עם מומחי החברה, המאפשרת לגשר על הפער שבין התיאוריה האבטחתית למציאות המורכבת בשטח.
בשיתוף OPSWAT
