כאשר אנשי חברת אבטחת המידע של Varonis הגיעו לארגון מסוים, במטרה למפות את המידע ולהציג להנהלת החברה את חולשות האבטחה בו, הם גילו לפתע קובץ פתוח של משכורות החשוף לעיניי כל. הלקוח לא האמין למראה עיניו וחשש מאוד מכאוס פנים-ארגוני ומגלי ההדף שהדבר יגרור בתוך הארגון ומחוצה לו. הוא היה משוכנע שהמידע הארגוני הכה רגיש מאובטח.
"הסיפור הזה חוזר על עצמו כל פעם מחדש בוואריאציות אחרות", אומר ליאור חן, Director of Engineering המנהל את תחום הסייבר בחברת Varonis. "בארגונים עסקיים יש כיום כמויות אדירות של מידע, מיליוני קבצים, שפתוחים למשתמשים שונים, והם כולם יעד מובהק למתקפות סייבר. פושעי הסייבר ממוקדים היום בדאטה, בהנחת יד על המידע הארגוני, ואז ממנפים אותו למטרות שונות - הפעלת לחץ על הארגון, סחיטה, השגת תשלום עבורו, מכירתו לגורמים עוינים אחרים ועוד. מכאן גם התפקיד שלנו - לנטר כל מידע השייך לארגון, בין שהוא מאוחסן בארגון ובין שהוא מאוחסן מחוץ לארגון, On Premise או בענן, בתוכנות שיתוף קבצים ובאפליקציות ארגוניות".
"אנו חיים היום בעידן שבו המידע הפך לנכס החשוב ביותר של ארגונים, 'הרוטב הסודי'. במקרים רבים מדובר במידע רגיש, כמו מידע רפואי או פיננסי, או תוכניות ייצור של מפעלים, נתונים כלכליים, תוכניות עסקיות וכדומה", מוסיף אור עמנואל, Director of Research & Security בחברת Varonis. "המידע הזה נמצא על הכוונת של התוקפים, ולצערנו, יש עלייה חדה בהיקף פשיעת הסייבר, כאשר היום קל יותר לתקוף. למשל, באמצעות כופרות. יש היום סיטואציה ביזארית למדי של כופרות המוצעות כשירות (Ransomware as a Service). ארגוני פשיעה מבוססים מציעים כשירות כלים, תשתיות ומפעילים לארגוני פשע קטנים יותר בתמורה לנתח מהרווחים. כבר לא צריך לנהל אופרציה גדולה כדי לתקוף. ארגוני פשיעת סייבר גם מבינים שהעובדים הם החוליה החלשה ומציעים לא פעם כסף - אפילו עשרות אלפי דולרים - תמורת שם משתמש וסיסמה. זה משתלם כלכלית לארגוני הפשיעה. גם הענן מגביר את הסיכונים וגם הגידול בתעשיית הקריפטו. הסיכונים נמצאים בקו עלייה".
למנוע ולנטרל את האיום
Varonis הינה חברה גלובלית, הנסחרת בנאסד"ק (סימול VRNS) שהוקמה ב-2005 על-ידי מייסדים ישראלים. היא מעסיקה כ- 2,000 עובדים ברחבי העולם, כ-650 מהם פועלים ממרכז הפיתוח הראשי בהרצליה, ומשרתת אלפי לקוחות ממגזרים שונים ברחבי העולם. ליאור חן הוא יוצא 8200, עם מעל ל-15 שנות ניסיון בתחומי אבטחת מידע, ובמסגרת תפקידו הוא מנהל את תחום הסייבר בחברה. אור עמנואל, בעל ניסיון רב שנים בתחום, הגיע לחברה לפני כשנתיים עם רכישת חברת Polyrize - סטארט-אפ ישראלי, שפיתח טכנולוגיה המאפשרת לארגונים לנתח ולנטר בקלות הרשאות ופעולות משתמשים בשירותי ענן.
Varonis נחשבת לחלוצה בתחומי אבטחת המידע והאנליטיקה והיא מציגה גישה ייחודית ובלתי קונבנציונלית ביחס לפתרונות אבטחה מסורתיים. החברה מתמקדת בניטור המידע הארגוני והגנה עליו. פלטפורמת האבטחה הייחודית שלה מגלה ומתריעה על איומי אבטחת מידע ממקורות פנימיים וחיצוניים לארגון, באמצעות שימוש בכלי ביג דאטה, ניתוח התנהגות אנושית ואופן השימוש בנתונים וחשבונות משתמשים. לאחר הזיהוי, במקרים מסוימים כגון במצב של כופרה, המערכת של Varonis אף פועלת למניעה ונטרול האיום באמצעות כלים אוטומטיים.
מהו הצעד הראשון שאתם עושים כשאתם נקראים לסייע לחברה עסקית?
ליאור חן: "אנחנו קודם כל מנתחים את התוכן - האם מדובר במידע רגיש ואם כן איזה סוג של מידע? היכן הוא יושב? מי מחזיק בהרשאות למידע ויכול לשלוף אותו? ומי ניגש אליו בפועל? בכל ארגון יש כמויות עצומות של מידע, בוודאי בארגונים גדולים שלהם אלפי לקוחות ומאות משתמשים. צריך לצאת מתוך נקודת הנחה שהארגון עלול להיפרץ בכל רגע (Assume Breach) ולגזור מכך את המשמעויות, להבין את הנזק הפוטנציאלי ולפעול בהתאם. לכן, יש לתעדף את ההגנה על המידע ולנעול אותו מבעוד מועד. אנחנו מנטרים את כל המידע בכל מקום שהוא נמצא, כולל במידע המאוחסן בשירותי ענן שונים - למשל, AWS, סיילספורס, גוגל - אנחנו רואים שכל הארגונים עוברים לשם".
עמנואל אור: "במקביל, המוצרים של Varonis בונים פרופיל לכל עובד או משתמש ועוקבים אחר אנומליות אפשריות בהתנהגות. אנחנו עושים שימוש רחב באלגוריתמים המבוססים על טכנולוגיות למידת מכונה כדי לזהות את האנומליות. המוצרים שלנו יודעים לעצור מתקפות עוד לפני שהן גורמות נזק, למעשה תוך שניות. זה עניין חיוני - חשוב למשל על קו ייצור שהותקף ועל מנת שהוא לא יהיה עכשיו משותק, חייבים לנטרל את האיום ומהר. היכולות שלנו כוללת גם תגובה אוטומטית לנטרול כופרות מהסוג הזה ועוד סוגים אחרים".
תוכל לתת עוד דוגמה?
"נניח שבארגון מסוים פועל רואה חשבון או חשב, שעושה שימוש בקבצים שונים. המוצר שלנו בונה לו פרופיל התנהגות על בסיס למידת ההתנהגות הנורמטיבית שלו. ככה יודעים באילו שעות הוא פועל בדרך כלל, לאילו תוכנות הוא ניגש, עם מי הוא משתף מידע ועם אילו עובדים הוא מדבר. לאחר שיצרנו את תבנית ההתנהגות על בסיס לימוד מקיף של אותו עובד, אפשר לזהות את האנומליות. למשל, אם לומדים שאותו עובד פועל בדרך כלל בין השעות 09:00-17:00, ניגש לשני שרתים מסוימים בארגון ועובד על קבצים מסוימים המאוכסנים בהם - הרי במקרה ובו מתחילה לרוץ תוכנת כופרה מחשבון המשתמש הזה, אנו יכולים לזהות חריגה מדפוס הפעולה. למשל, במקרה בו הפעילות מבוצעת מחוץ לשעות העבודה, ו/או על שרת שהמשתמש או העמיתים שלו לא מתחברים אליו בדרך כלל ועריכת קבצים בקצב שונה. התוקף לא יודע ולא מכיר את פרופיל השימוש של אותו עובד, גם אם הוא השתלט על ההרשאה שלו, וכך נזהה חריגה מהשגרה ונפעל נגדה במהירות. אנחנו בוחנים כל הבדל בין תכולת ההרשאה והשימוש בה בפועל וכל פער מדליק מייד נורה אדומה".
מודיעין סייבר מעולה
למרות ש-Varonis מחויבת בראש ובראשונה ללקוחותיה, אנשי אבטחת המידע שלה פונים ביוזמתם גם למי שאינם לקוחות החברה ומתריעים על כוונות ואיומים. "הדבר נעשה על בסיס מודיעין הסייבר שיש לחברה, שמבוסס על מעקב וחקירה ברחבי הרשת האפלה ומחוצה לה. ממצאים אלו מוצגים לחברות באופן פרו-אקטיבי כדי שיטפלו במידע. כמו כן אנו מציעים גם שירותי פורנזיקה לחברות שנפגעו ממתקפות ועוזרים להן לחקור, להכיל ולהסיר את האיום", מספר ליאור חן.
ציינתם כבר שעובדים עשויים להיות החולייה החלשה בארגון. מה עושים עם עובדים לשעבר?
"זה נושא חשוב. אנחנו מציעים להתייחס קודם כל לעובדים שעומדים לעזוב בשבועות הקרובים ולנהל נכון את תהליך ה-Offboarding. חשוב לעקוב אחר כל התוכנות שבהם העובד עשה שימוש, אילו הרשאות היו לו ולאיזה מידע הוא ניגש. צריך לבדוק את הגישה שלו לחשבונות השונים, ולוודא סגירת הרשאות וחשבונות. אנחנו מסייעים בכך"
בשיתוף חברת Varonis
