"המחקרים שלנו ושל אחרים מראים ש-85% ממתקפות הסייבר מופעלות על ידי AI, וכי 93% מההתקפות הן סביב זהויות. נתונים אלה ואחרים מסבירים את הצורך לעצב פרדיגמה חדשה לאבטחת זהויות, כפי שאכן עשינו. מדובר בפרדיגמה הלוקחת בחשבון את השינויים שחלו בסביבת העבודה של ארגונים רבים". כך אומר פרץ רגב, סמנכ"ל המוצרים הראשי של חברת סייברארק (CyberArk) בריאיון ראשון למגזין הסייבר מאז מונה לתפקידו לפני כשנתיים.
הזכרת את ה-AI. איך הבינה המלאכותית משתלבת במערך אבטחת הזהויות?
"צריך להבחין כאן בין שלושה ממדים: הראשון הוא אבטחה כנגד תקיפות מבוססות AI, מה שמכונה Security against AI. האקרים למדו לעשות שימוש בטכנולוגיות בינה מלאכותית, בטכניקות שונות, וצריך לדעת להיאבק בכך. צריך לזכור שאם בעבר נדרשו זמן ומשאבים רבים רק כדי לייצר פתרון אחד, היום ילד בן 16 עם מעט מאוד ניסיון יכול לייצר עשרות אלפי מתקפות בזמן אפס. זה כמו כל טכנולוגיה חדשה שנעשה בה שימוש גם על ידי 'הרעים'. הם משתמשים בזה ליצירת שינויים תכופים ולהשגת מהירות. נראה שהמשחק חתול-עכבר ימשך בממד זה ביתר עוצמה".
עם זאת, ה-AI הוא גם מנוף שיכול לעזור לחברות להיות יותר מוגנות.
"בהחלט וזה מוביל אותי לממד השני, שהוא שימוש ב-AI לצורך אבטחה והגנה על מערכות ארגוניות, Secure with AI. יש קו ישיר בעיניי בין יעילות לאבטחה, וה-AI בהחלט יכול לסייע לחברות להיות יותר יעילות בהתמודדות מול איומי סייבר. הייחוד שלנו בתחום זה נובע, בין היתר, מכך שאצלנו עובדים כמה מהמוחות המבריקים והמוכשרים ביותר בתעשייה, יוצאי היחידות הטכנולוגיות. הם מייצרים פתרונות פורצי דרך, בין היתר על ידי מחקר עמוק, הרצת סימולציות וניסיונות רבים, תוך כדי מחשבה כיצד התוקף חושב. המטרה כאן היא לספק פתרונות ללקוחות שמותאמים לצרכים ולאתגרים הקיימים היום - ניהול אוטומטי בקנה מידה גדול, שמאפשר לייצר מדיניות אבטחה אחודה וגם חוסך זמן אדם.
רגב מציין שהממד השלישי הוא לאבטח מודלים של בינה מלאכותית מפני התקפות סייבר, בדגש על מודלי שפה גדולים (LLM), Security of AI. "מתברר שניתן לפרוץ לכמעט 100% ממודלי השפה הגדולים הקיימים היום. זה לא עניין תיאורטי", הוא מספר. "כאן נכנסת הרגישות של ההרשאות לתמונה, משום שאפשר לנצל אותה כדי לחדור למערכת ולהריץ קוד - לא וירוס - ובכך להיכנס לדאטה בייס. המודולים לא יכולים להריץ קוד בעצמם אלא יש להם סוכן שעושה עבורם את הפעולה הזו - זה חור גדול באבטחה – ובמחקר שפרסמנו לאחרונה, הראינו יכולת להתחקות אחר התקשורת בין הסוכן למודל, לנטר פריצות אבטחה ולמנוע את הנזק.
"אנחנו כל הזמן חוקרים במעבדות סייברארק איך להגן על המודלים החזקים הללו, שעוזרים מאוד לארגון, אך יכולים גם להיות פתח לתוקפים. הגישה העקרונית היא להגן על הארגון באמצעות כמה שכבות, כמו בצל. קודם כל למנוע מהדאטה את הכנסת הנוזקות ואם לא - אז לא לתקשר אותן החוצה באמצעות פילטרים שונים".
ניהול אוטומטי של אבטחת זהויות מכונה
רגב מזכיר כי סייברארק החלה את דרכה בשמירת מידע רגיש ב'כספות' ובהמשך פיתחה מומחיות בניהול גישה פריבילגית (PAM) - תחום אותו היא מובילה בעולם ללא עוררין. "למעשה, סיפקנו ואנו עדיין מספקים את הפתרון המקיף ביותר להגנת חשבונות פריבילגיים, הרשאות וסודות המקושרים לבני אדם, אלא שכאמור המציאות הטכנולוגית השתנתה. היום נדרשת הסתכלות כוללנית והוליסטית על כלל המערכות והעובדים, ולכן לפני כשנתיים השלמנו מהלך להרחבת היריעה לניהול אבטחת כלל הזהויות - עובדים, אנשי IT, מפתחים וזהויות מכונה - תוך בקרת גישה המתאימה לכל זהות".
זהויות מכונה, הוא מבהיר, הן תעודות זהות דיגיטליות המשמשות לזיהוי ואימות של רכיבים ממוחשבים - כמו שרתים, יישומים, מכשירים חכמים או רובוטים - בדומה לתעודת זהות של בני אדם. הן מאפשרות לוודא שרק רכיבים מורשים יכולים לתקשר זה עם זה ולגשת למידע רגיש. דוגמה פשוטה להמחשה: בדיוק כפי שכאשר אתה ניגש לבנק, אתה מציג תעודת זהות כדי להוכיח שאתה באמת אתה - כך גם כשיישום בנקאי מתקשר עם שרת הבנק, הוא חייב להציג "תעודת זהות דיגיטלית" כדי להוכיח שהוא אכן היישום המורשה ולא תוכנה זדונית המתחזה לו.
"הטרנספורמציה הדיגיטלית, המעבר המתמשך לענן ועליית ה-AI הובילו לגידול אקספוננציאלי במספר זהויות המכונה, שעולה במהירות על מספר הזהויות האנושיות, עם 45 זהויות מכונה לכל זהות אנושית, רבות מהן חבויות", מרחיב רגב. "זהויות אלה, אם אינן מוגנות או מנוהלות, יכולות לשמש כר פורה לתוקפי סייבר שינצלו את החולשות שלהן. לפיכך נדרשת פרדיגמה חדשה כדי להדביק את קצב הגידול המהיר הזה, תוך מעבר משיטות ידניות בלתי יעילות ומבוזרות, שיוצרות סיכוני אבטחה וקושי בציות לניהול ריכוזי של זהויות מכונה בכל היישומים ועומסי העבודה, בכל סביבות המחשוב בענן או IT ובכל סדר גודל.
"פעם היו מספר מוגדר של שרתים, היום יש מאות אלפים וזהו אתגר לנהל אותם, תחת מדיניות אבטחה אחידה", הוא מוסיף. "אם מדובר בחברה גדולה, שמעסיקה 100 אלף עובדים, זה קורה בקנה מידה גדול מאוד. לזה יש להוסיף פריסה רחבה ומבוזרת של תשתיות ומגוון רחב של פתרונות. את כל זה צריך לנהל והפתרון שלנו לא רק יודע לעשות זאת, אלא גם לעשות זאת אוטומטית, כולל רוטציות של סיסמאות. חשוב לציין שכיום יש הכרה גוברת בתפקיד הקריטי של זהויות מכונה באבטחת סביבות דיגיטליות מודרניות והמודעות הזו מסייעת להטמיע כלי אבטחה המיועדים לזהויות מכונה".
יש להניח שרכישת חברת Venafi, המובילה בניהול זהויות מכונה, אותה השלמתם לאחרונה, נועדה לשרת את הפרדיגמה החדשה.
"בהחלט. הרכישה הזו תאפשר לסייברארק להמשיך ולקדם את החזון שלה לאבטחת כל הזהויות - של אדם ומכונה - עם בקרת הרשאות ברמה המתאימה לכל זהות. האוטומציה והניהול של הרשאות לזהויות מכונה לא קיבלו עד כה את אותה תשומת לב. הסינרגיה בין שתי החברות תאפשר לארגונים ליישם אסטרטגיית אבטחת זהויות כוללת יותר, תוך הפחתת סיכונים והגברת יעילות תפעולית".
מודרניזציה בהרשאות העובדים
כשפרץ רגב נכנס לתפקידו הנוכחי, הוא הביא עימו יותר מ-20 שנות ניהול בכיר וניסיון בהנדסת מוצרים. בתפקידו הקודם הוא שימש כסמנכ"ל גלובלי למדעי נתונים והנדסה בפייפאל (PayPal), ושימש גם כמנכ"ל פייפאל ישראל. לפני כן הועסק ב-HP SOFTWARE בעקבות רכישת מרקורי אינטראקטיב. במסגרת תפקידו כסמנכ"ל מוצרים ראשי הוא אחראי גם על כל נושא המו"פ, לרבות מעבדות המחקר של החברה, והטמעת AI ודאטה. למחקר, מבהיר רגב, תרומה כפולה: "אם אנחנו מזהים חולשות במערכת מסוימת אנחנו מתקשרים זאת לספק ובכך תורמים לתעשייה כולה. אם אנחנו מפענחים טרנדים חדשים במהלך המו"פ, נטמיע זאת במוצרים שלנו".
הזכרת בדבריך את הרחבת האבטחה למעגלים נוספים בארגון. בוא נתחיל בעובדים.
"זה לכאורה כבר חדשות ישנות, אבל הן חייבות להיאמר - הקורונה האיצה מאוד את המעבר לעבודה מרחוק ויצרה אתגר גדול מאוד של אבטחת תחנות הקצה. לפי הנתונים העדכניים כיום, ולמרות הדיווחים על חזרה לעבודה פיזית במשרדים, היום רוב הארגונים מיישמים מודל של עבודה היברידית ומרבית העובדים ממשיכים לעבוד מהבית, לפחות חלק מהזמן. העובדה שעובדים רבים עובדים מרחוק מחייבת מצד אחד יותר אבטחה ומצד שני חוויית שימוש יותר נוחה, לפחות נוחה יותר מהצורך להכניס סיסמה כל שנייה. כשאני מדבר על יותר אבטחה, אני מתכוון למשל לכך שעובד לא צריך גישה לכל מערכת בארגון, אלא רק למערכת ספציפית שבה הוא נדרש לעבוד וגם זאת בזמנים מסוימים. כל אחד צריך לפעול לפי רמת ההרשאה שמתאימה לו".
כלומר, ההרשאות הקבועות עברו מן העולם.
"בהחלט. אתה מקבל גישה רק למה שאתה צריך ולפרק הזמן שאתה צריך, לפי תפיסה של (JIT) Just-In-Time. עובד פיתוח לא צריך שתהיה לו גישה למערכת הפיננסית, למשל. הוא צריך לקבל הרשאה אך ורק למה שהוא עוסק בו באותה נקודת זמן. למשל, למערכת Salesforce. כשהוא מסיים גם ההרשאה מסתיימת. והכל מנוהל אוטומטית. כך קשה יותר לזייף גישה וזה הרי אחד האתגרים המרכזיים באבטחה. מבחינה אחרת, עובדים שפעם לא הוגדרו כפריבילגיים כיום מוגדרים כך. למשל, ה-CFO. על ידי זיוף הרשאה שלו, התוקף יכול לחדור לא רק למערכות הפיננסיות הכי רגישות של הארגון אלא גם למערכות אחרות".
מה לגבי אנשי ה-IT? הרי גם להם היו הרשאות קבועות ורחבות למדי.
"זה נכון. אנשי ה-IT בשבתם כאדמינים הם אפילו סופר-יוזרים, עם גישה לתפעול של כל המערכות בארגון. כיום חייבים לנטר את זה: לוודא שמי שניגש למערכת מסוימת - יעשה רק את מה שהוא צריך לעשות ותו לא. אין הרשאות קבועות, מה שאנחנו מכנים בעגה המקצועית Zero Standing Privileges. כשאיש ה-IT ירצה לגשת למערכת מסוימת - הוא יקבל אישור. מעל זה אנו מפעילים את המנגנון של (ITDR) Identity Threat Detection and Response, שמנהל את האיומים. זהו מנגנון שמנהל את כל ניהול הזהויות והאיומים מתוך מטרה לגלות אותם, להגיב, לבודד ולבצע תיקון. במילים אחרות, נדרשת כאן בעיקר מודרניזציה. היסטורית, סייברארק התחילה מאבטחה של אנשי ה-IT בעלי ההרשאות החזקות (הפריבילגיות) בלבד והרחבת היכולת שלנו בתחום זה היא אבולוציה טבעית".
בוא ניגע באנשי הפיתוח. נדמה לי שזה עניין רגיש, כי מפתחים לא אוהבים אבטחה...
"גם המפתחים הפכו לסופר-יוזרים. זה בוודאי נכון בעולם של טרנספורמציה דיגיטלית, שבו יש להם גישה לכל מערכת ענן עם יותר מידי הרשאות. המפתחים דורשים שתינתן להם גישה קבועה, Always On, כי הם עובדים בכל המערכות והרבה שעות בכל אחת מהן. נכון, הם לא אוהבים אבטחה ומבחינתם זה משהו מיושן. אתה גם לא רוצה להכביד עליהם, כי הם נמצאים עמוק בתוך הטרנספורמציה הדיגיטלית. אז הפתרון הוא לאפשר להם לעבוד בסביבת הפיתוח שלהם, כאשר האבטחה נעשית בצורה יותר טבעית והכל בצורה רציפה. כל הכללים חלים עליהם. אנחנו לא מוכנים לוותר, אבל באותה מידה נזהרים שלא לייצר עומס רב מידי. הכל צריך להיעשות באינטגרציה עם סביבת הפיתוח שלהם, תוך ניטור קבוע כדי לזהות חריגים ואנומליות או התנהגות חשודה".
אגב, מה לגבי גורמים חיצוניים שהם כבר משרשרת האספקה - ונדורים, עובדים במיקור-חוץ שיושבים בארגון וכדומה?
"כל אותן הגנות שדיברתי עליהן חלות גם על ספקי צד שלישי. יש לנו סט של מוצרים שנותנים מענה לכך. אנחנו מספקים עוד שכבת הגנה, Vendor PAM, עם זיהוי גישה ואפס הרשאות קבועות".
חדשנות מתמדת
בימים אלה מציינת סייברארק עשור להנפקתה עם ביצועים מרשימים מאז בכל היבט של עסקיה. כך למשל, ההכנסות צמחו מ-103.0 מיליון דולר בשנת 2014, ליותר מ-750 מיליון דולר ב-2023, כלומר, שיעור צמיחה שנתי מורכב של כ-25%. אשר לביצועי המניה, היא הניבה תשואה מצטברת של יותר מ-700% ממחיר ההנפקה ב-2014. סייברארק גם השיגה ביצועים גבוהים משמעותית ממדד נאסד"ק, שסיפק תשואה של כ-292% באותה תקופה.
במהלך העשור, בסיס הלקוחות גדל מכ-1,550 בזמן ההנפקה ליותר מ-8,800 ברחבי העולם בסוף שנת 2023. מספר העובדים גדל מ-400 עובדים בזמן הנפקת החברה, ליותר מ-3,200 עובדים במעל ל-40 מדינות ברחבי העולם. סייברארק גם זוכה להכרה כ"מקום העבודה הטוב ביותר" מארגונים בתעשייה וגופי תקשורת רבים, לרבות Great Place To Work® ו- FORTUNE באזורים רבים, ומדורגת מדי שנה בצמרת החברות שטוב לעבוד בהן גם בדירוגים שונים בישראל.
לחברה גם רקורד חזק של רכישות מוצלחות, כולל Idaptive - מובילת תחום אבטחת זהויות עובדים שרכשה סייברארק בשנת 2020 וכאמור, רכישת Venafi שהוכרזה במאי 2024, שנחשבת לרכישה הגדולה ביותר בתולדות החברה, המרחיבה את היכולות של סייברארק לאבטחת זהויות מכונה בארגונים מבוססי ענן, עם פלטפורמה מאוחדת לאבטחת זהות מכונות מקצה לקצה ברמת אנטרפרייז.
כל הנתונים הללו הביאו לכך שסייברארק כחברת אבטחת זהויות מוכרת באופן עקבי כמובילה בניהול גישה פריבילגית, ניהול גישה ואלמנטים נוספים של אבטחת זהויות על ידי חברות אנליסטים מהמובילות בעולם. "סייברארק מספקת כיום את הפתרון המקיף ביותר לכל זהות - אנושית ומכונה - עבור יישומים עסקיים, כוח עבודה מבוזר, עומסי עבודה בענן היברידי ובתהליכי פיתוח", מדגיש פרץ".
מה החזון לטווח הארוך יותר?
"מאז ומעולם נקטנו בגישת 'אבטחה לפני הכול' (Security first), והובלנו לחדשנות פורצת דרך. כיום, אנו מובילים את הדרך בבניית פרדיגמה חדשה לאבטחת זהויות על ידי מימוש החזון שלנו לאבטחת כלל הזהויות - אדם ומכונה. נכון להיום, הארגונים המובילים בעולם מסתייעים בנו כדי להגן על הנכסים הקריטיים ביותר שלהם, והפלטפורמה שפיתחנו, כולל רכישת Venafi, הרחיבה את שוק היעד שלנו ליותר מ-60 מיליארד דולר. כרגע אנו רק מגרדים את פני השטח של השוק הגדול והצומח של אבטחת זהויות ולכן נשאף להגדיל את נתח השוק שלנו בשוק זה, תוך חדשנות מתמדת ויצירתיות בעיצוב פתרונות חדשניים, שישיאו ערך ללקוחות".
כנס IMPACT ת"א: השלב הבא באבטחת הזהויות
ב-19 בנובמבר השנה תקיים חברת סייברארק את כנס הסייבר השנתי שלה, תחת הכותרת "IMPACT 2024 Tel Aviv". בכנס יושם דגש חזק על אבטחת הזהויות כצעד ראשון לאבטחת הארגון. האירוע בארץ יחתום סבב כנסים גלובלי חוצה יבשות של החברה, שהחל בחודש יוני באירופה - בפולין, הולנד, גרמניה ואיטליה, דרך לונדון, סינגפור, בנגקוק, מקסיקו, הודו, יפן, טאיוון, ועד לארה"ב, אוסטרליה, קנדה, והתחנה הסופית והחשובה - חזרה בישראל.
את הכנס, שיתקיים במתחם רוקח 101 ת"א, יפתחו אודי מוקדי, מייסד ויו"ר פעיל סייברארק, וקווין בוסק Kevin Bocek)), סמנכ"ל חדשנות ראשי של Venafi מקבוצת סייברארק. דוברים נוספים יהיו פרץ רגב, סמנכ"ל מוצרים ראשי של סייברארק, עומר גרוסמן, מנמ"ר החברה, וחן ביתן, מנהל סייברארק ישראל.
מומחי סייברארק יציגו בכנס טכנולוגיות מתקדמות, פתרונות ואת גישות האבטחה המתקדמות ביותר, בשילוב הדגמות וסיפורי לקוח מהשטח. בין היתר יתקיים פאנל מומחים בהשתתפות שותפים בכירים של סייברארק בהם WIZ, AWS, RedHat ו-Bulwarks. כל אלה, על מנת לאפשר למקצועני האבטחה לתכנן את ההגנה על הארגונים שלהם בשנת 2025.
הכנס יכלול עדכונים בכל הטרנדים החמים, לרבות חדשנות התוקפים, ויעסוק בשאלה כיצד מתגוננים נגד מתקפות מבוססות זהויות. הכנס מיועד לתת למשתתפים את המידע, את הכלים ואף את ההשראה איך לקחת את תוכנית אבטחת הזהויות של ארגוניהם לשלב הבא. לסיום, תתקיים הרצאה מרתקת של יעל ארד, יו"ר הוועד האולימפי בישראל ומדליסטית אולימפית בעצמה, שתשתף בסיפורים מאחורי הקלעים כראש המשלחת הישראלית לאולימפיאדת פריז, ששברה את שיא המדליות ההיסטורי של ישראל.
בשיתוף סייברארק
