הגנת סייבר: תרחישים למתקפה ואסטרטגיה להתמודדות

"כל ארגון, ולא משנה מה גודלו, חשוף כיום לסכנת אירוע סייבר. ייתכן שהוא כלל לא יודע את זה אך בסופו של דבר זה רק עניין של זמן עד שיתחולל בו אירוע כזה - ואז השאלה תהיה עוצמתו ומהי ההיערכות שנעשתה לקראתו". כך אומר אורן אלימלך, מייסד ומנכ"ל חברת "CyberTeam360", המתמחה בהגנת סייבר. פתרונות הגנת הסייבר החדשניים של החברה כוללים בין השאר שירותי ניהול אירועי סייבר (IR (Incident Response, שירותי CISO As A Service, שירותי GRC (Governance, Risk and Compliance) מדיניות ונהלים, שירותי PS (professional services), שירותי MDR Managed Detection and Response)) ושירותי (Security operations center) SOC. את החברה הקים אלימלך עוד ב-2006, כשעולם הסייבר היה אחר משמעותית ומינורי בהרבה לעומת היום. מאז נכנסו לתמונה מתקפות כופר ושאר התקפות זדוניות והרסניות, שיכולות להביא עד לכדי קריסתה של חברה, אם זו לא נערכה כראוי לתרחיש.

סגירה

תרגול אירוע סייבר כלל מערכתי
"דירקטורים ומנכ"לים חייבים להבין היום שכללי המשחק השתנו", אומר אלימלך. "קיים פוטנציאל נזק עצום שחייבים להיות מודעים אליו וערים לסיכונים. אי אפשר לטמון את הראש בחול. מספיק לראות מה קרה לאותה חברת ביטוח שספגה התקפת כופר. היא נאלצה להימכר בזול לחברה אחרת, לאחר שנדרשה לשלם פיצויים על נזקים בלמעלה מ-50 מיליון שקלים. אם היא הייתה נערכת כיאות מראש - ההגנה הייתה עולה לה פחות ממיליון שקלים".

"חברה שנערכת לאירוע סייבר מאפשרת להקטין את זמן התגובה בעת האירוע, והזמן הזה שווה כסף. ככל שמגיבים מהר יותר - הנזק קטן יותר ועלותו נמוכה יותר. ארגונים חייבים לשנות את חשיבתם ולצאת מנקודת הנחה כאילו המערכת היריבה כבר נמצאת בפנים, בתוכם. עכשיו צריך לחשוב איך מוודאים שהארגון יודע איפה התוקפים נמצאים ואיך מקצרים את זמן התגובה ומונעים מהאירוע להפוך לקולוסלי, לכזה שיכול לגרום לנזק מהותי של השבתת פעילות, דליפת מידע ופגיעה קשה במוניטין. על הארגון לחשוב בצורה פרו-אקטיבית, לבחון מחדש את אמצעי ההגנה, לוודא את הכשירות שלהם ולתרגל את צוות ההנהלה ואת הצוות הטכנולוגי בקבלת החלטות".

התרגול הזה הוא חלק מהשירותים שמציעה "CyberTeam360". כשאנשיה מגיעים להגן על ארגון מסכנות סייבר הם מבצעים מיפוי וסקר טכנולוגי, כותבים סט נהלי תגובה לאירוע סייבר הכולל תרחישים שונים ואסטרטגיה להתמודדות - ולבסוף עושים לארגון סימולציה. "אנחנו מרימים תרגיל של אירוע סייבר המשלב את כל המחלקות: מהמנכ"ל דרך ההנהלה ועד לתפעול בין היתר גם לצוות טכנולוגי, פיתוח, מכירות, מחלקה משפטית ואפילו יחסי ציבור", אומר אלימלך. "אנו מספקים תרחישים והזרמות המבוססים על אירועי סייבר אמיתיים ורואים כיצד כל חוליות הארגון מתמודדות עמם. תוך כדי אנו מקיימים הערכות מצב ועוזרים לגורמים השונים לדייק את המענה. כך מתפתחים הבנה, ידע וזיכרון המאפשרים להגיב נכון לאירוע בזמן אמת".

את הידע הרב הזה מעביר אלימלך גם כמרכז מסלול אבטחת מידע בטכניון, שם הוא מלמד מ-2009. במהלך השנים הכשיר במסלול יותר מ-1,500 מנהלי אבטחת מידע והגנת סייבר (CISO). "הכשרתי אנשי מקצוע בתחום גם בעוד עשרות מדינות בעולם", הוא מציין.

עלייה חדה באירועי סייבר מתחילת המלחמה
שני עיסוקיו הללו בתחום הסייבר יוצרים לאלימלך סינרגיה. העבודה ב-"CyberTeam360" שומרת אותו בפסגת הידע בתחום והוראת הסייבר בטכניון חושפת אותו לסטודנטים ומאפשרת חינוך דורות חדשים של מגיני סייבר. סטודנטים אשר מפגינים מצויינות ופוטנציאל רב מוצאים את עצמם מהר מאוד בתפקידי מפתח, ואף חלקם מצטרפים לצוות המקצועי של CyberTeam360.

"אני רואה אותם במשך שנת לימודים שלמה, בוחן אותם במהלכה ומוציא אותם עם הסמכות וידע אקדמי, כשאצלנו בחברה מתווסף גם הידע המקצועי-מעשי. כחברת תגובה לאירועים אנו מחזיקים אנשי אבטחה, פורנזיקה, חקירה, תשתיות, תפעול מערכות תקשורת, ניטור מערכות אבטחה, ייעוץ משפטי ושיקום. כל אלו הם אנשי מקצוע מובילים בתחומם, המרוכזים במקום אחד ומועסקים אך ורק In House. ביכולתם להתריע לארגון לפני שהסוסים בורחים מהאורווה ולהציג בפניו את רשימת הפערים ואת ההמלצות כיצד לסגור אותם. עבודתנו נעשית בשימוש בכלים העדכניים ביותר. אנו שותפים של מספר יצרני פתרונות אבטחה בינלאומיים, עם חלקם בבלעדיות. יש לנו גם פתרונות מודיעיניים בלעדיים לישראל, מודיעין הוא תחום בו אנחנו חזקים מאוד".

בין הארגונים הרבים שנעזרו בשירותי ההגנה של "CyberTeam360" ניתן לציין את בזק, אלקטרה, בנק ירושלים, רשות המיסים, דלק, ספיאנס, פסגות, נתיבי ישראל, ליברה, WeSure, נת"ע, YES, ישראכרט, קסטרו ורדקום. רבים מהארגונים מבקשים את המוצר הנמכר ביותר של החברה: תהליך שיפור מוכנות הארגון להתמודדות עם אירוע סייבר. התהליך בו לוקחת החברה ארגון ובודקת אותו גם ברמה תהליכית, נוהלית וטכנולוגית - מביאה אותו להגנה ולמוכנות התמודדות עם אירוע סייבר. "עובדינו ילוו את הארגון בתהליך הסגירה ויקטינו בצורה משמעותית את ההסתברות להתרחשות אירוע סייבר. עוד אנו יודעים לבדוק אם החברה 'נקייה', שאין בתוך הארגון אחיזה של מערכת יריבה, מה שקרוי Compromise Assessment. אף אחד לא רוצה שותף סמוי בתוך העסק שלו", מציין אלימלך.

האם המלחמה בעזה הביאה לעלייה באירועי הסייבר בישראל?
"בהחלט. נספרו כ-300 אירועים יותר מאשר בתקופה המקבילה בשנה שעברה. בשבעה באוקטובר 1 מכל 100 פאקטות של התקפות באינטרנט הגיע לישראל. זה מטורף, היינו יותר מאחוז מכל תעבורת ההתקפות העולמית. במתקפה טורגטו חברות ציבוריות במגזרי הבריאות, הפיננסים, הממשל, הביטחון וגם חברות הייטק. מצב החירום הסייברי טרם הסתיים ועדיין ישנה עלייה חדה במספר האירועים, כשבין המטרות נמצאים תאגידי מים, חברות ממשלתיות, חברות תקשורת, מוסדות פיננסים ועוד. CyberTeam360 נרתמה למאמץ המלחמתי - התנדבנו לסייע למספר ארגונים בארץ".

הקמת את החברה לפני כמעט 20 שנה. שוק הסייבר השתנה מאז משמעותית.

"אנחנו גדלנו כל הזמן ביחד איתו, בהתאם לחידושים ולצרכים. אני אגיד מה לא השתנה: הכוונה, הרצון והיכולת לספק ייעוץ וליווי איכותי ונכון בהיבטי אבטחת מידע על סמך ניסיון מעשי מקצועי. זה היה ונשאר ה-DNA של CyberTeam360".

לאתר>>>
בשיתוף CyberTeam360