מנהל אבטחת המידע (CISO) של בנק אמריקאי גדול, תיאר לאחרונה את תרחיש האימים שמדיר שינה מעיניו. מפתח בארגון, מתוך רצון לייעל תהליך עבודה, יכול לפרוס סוכן בינה מלאכותית בענן בלי לערב את צוותי האבטחה. הסוכן מקבל הרשאות רחבות, איש אינו מודע לקיומו, ובהיעדר נראות בזמן אמת הוא עלול להפוך לנקודת תורפה. תוקף חיצוני, כך לפי אותו תרחיש, יכול להגיע לממשק של הסוכן, להזריק לו פקודה פשוטה ולהסיט את פעולתו להעברת מידע רגיש לכתובת חיצונית. במקרה כזה, ההתרעות לא נדלקות, וה-CISO עלול לגלות שמשהו השתבש רק בדיעבד, כשכבר אין איך לעצור.
החשש הזה הופך להתמודדות שגרתית עבור מנהלי אבטחת מידע בארגונים גדולים. הסיבה לכך אינה תחכום יוצא דופן של תוקפים, אלא קצב חדירה חסר תקדים של בינה מלאכותית לתוך תהליכי הפיתוח וסביבות המחשוב השונות של הארגון. עד לפני חצי שנה עוד ניסו אנשי אבטחת מידע רבים להקפיא שימוש בכלי AI עד שיבינו כיצד ניתן להגן עליהם. אבל אז התקבלה החלטה עסקית. "המנכ"ל פשוט מודיע שיש AI בארגון", אומר אייל פישר, מייסד שותף ו-CPO של Sweet Security. "הוא מסתכל על העסק ומבין שאם הוא לא שם, הוא מחוץ למשחק, ולכן הוא לא שואל את ה-CISO ולא מתייעץ איתו".
שמים רגל בפנים
Sweet Security הוקמה מתוך הפער שנוצר בין קצב האימוץ של טכנולוגיות חדשות לבין יכולת השליטה של ארגונים בסביבת הענן שלהן. מייסדי החברה זיהו שהדיון באבטחה אינו יכול להישאר בשאלה כיצד למנוע כל סיכון מראש, אלא חייב לעבור להבנה של מה מתרחש בזמן אמת. תוך שלוש שנים בלבד גייסה החברה 120 מיליון דולר, הגיעה ללקוחות מרשימת Fortune 100. הנתונים משקפים תפיסה ברורה: בעולם שבו יישומי ענן ובינה מלאכותית פועלים יחד, לא ניתן להפריד בין ההגנה עליהם, משום שהתקיפה חוצה ביניהם ללא הבחנה.
את החברה הקימו שלושה יוצאי צה"ל, כל אחד מזווית אחרת של עולם הסייבר. דרור קשתי שימש כ-CISO של צה"ל והוביל את היבטי האבטחה של המעבר המורכב של המדינה לענן. פישר, אל"מ במילואים, פיקד על מרכז סייבר התקפי שמנה כ-1,000 איש. אוראל בן ישי הגיע מעולמות המחקר והפיתוח במערכת הביטחונית. החיבור ביניהם יצר שילוב של התקפה, הגנה ומחקר.
הבנתם המעמיקה בעולם האבטחה הובילה אותם למסקנה שבהיעדר יכולות Runtime, לא ניתן לספק פתרון אבטחת ענן הוליסטי. רשימת חולשות תיאורטית אינה משקפת את המתרחש בפועל בסביבת הייצור של הארגון.
בנוסף, הם זיהו שהבעיה המרכזית בשוק אבטחת הענן היא דווקא עודף כלים. ארגונים גדולים מוצפים בהתראות, שרובן מתארות סיכונים אפשריים ולא פעילות שמתרחשת בפועל. התוצאה היא תופעה מוכרת של Alert Fatigue. בפועל, צוותי אבטחת מידע נאלצים לקבוע סדרי עדיפויות כמעט בעיניים עצומות. חקירה אחת עשויה להימשך ימים, ובזמן הזה ממתינות עשרות חקירות נוספות. "לרוב מבינים מה היה באמת חשוב רק אחרי שכבר חוטפים", מציין פישר. לכך מצטרפת בעיה מבנית שפישר מכנה "אחריות ללא סמכות". בסביבות ענן, מנהל אבטחת המידע אחראי לתוצאה, אך אינו שולט בסביבה עצמה. צוותי הפיתוח הם שמחליטים אילו רכיבים נפרסים, אילו הרשאות ניתנות ואילו שירותים חדשים עולים לאוויר. כאשר האבטחה מצביעה על סיכון, אין לה תמיד דרך לדעת אם הוא רלוונטי לפעילות בפועל, או להוכיח זאת מול הפיתוח.
אז מה אתם עושים אחרת?
"במקום להסתכל על הענן מבחוץ ולהגיד מה יכול לקרות, אנחנו שמים רגל בפנים. בצבא מדברים על boots on the ground, נוכחות פיזית בשטח ולא הסתמכות על תצפית מרחוק. את אותו עיקרון לקחנו לענן וקראנו לו boots on the cloud. סנסור שיושב בתוך הסביבה ורואה מה קורה בזמן אמת. אני אומר לך מה קורה אצלך, לא מה יכול לקרות".
מתוך עשרות ולעיתים מאות התראות שסורקים אוטומטיים מסמנים כקריטיות, בפועל רק אחת באמת ניתנת לניצול בסביבה הספציפית. Sweet יודעת לזהות את אותה נקודה ולחסוך לצוותי האבטחה עד 99% מזמן העבודה.
אימוץ מאוד מהיר
בחזרה לכניסת ה-AI לארגונים שהדגישה עד כמה מנגנוני האבטחה הקיימים מתקשים לתת מענה. כאמור, סוכני AI נטמעים בתוך תשתיות הענן, מקבלים הרשאות ופועלים כחלק מתהליכים קיימים, לעיתים בלי שמחלקת האבטחה מודעת לכך. "ה-CISO לא ידע שיש לו סוכן", מציין שוב פישר, "הוא לא ידע מה הוא אמור לעשות, ולא ידע שניתנו לו הרשאות רחבות מדי. בתוך עומס ההתראות, הוא פשוט לא ראה את תנועת המידע החוצה. במצב כזה, כל ניסיון להפריד בין אבטחת ענן לאבטחת בינה מלאכותית מפספס את הדרך שבה התקיפה מתרחשת בפועל. "התקיפה", מסביר פישר, "מתחילה בענן, עוברת דרך סוכן AI וחוזרת לענן דרך תנועת נתונים. אם אתה קונה פתרון נפרד לכל שלב, אתה הופך לאינטגרטור של התראות, אסור שזה יקרה".
איך השוק מגיב לגישה הזו?
"אנחנו רואים אימוץ מאוד מהיר. לקוחות שלא חיפשו להחליף מערכת מרחיבים שימוש בתוך זמן קצר. אנחנו נכנסים לנקודה אחת בענן ותוך חודשים מוצאים את עצמנו בלב הפעילות שלהם". לדבריו, החברה פועלת בשני מישורים במקביל: הרחבת פעילות אצל לקוחות קיימים וכניסה לארגונים חדשים עם פלטפורמה מאוחדת. "בשלב ההפעלה, בזמן שהמערכת כבר רצה בפועל, מה שאנחנו מכנים Runtime, היינו פורצי דרך. אמרו לנו שאף אחד לא ירצה סנסור שיושב בתוך הענן עצמו. היום זה כבר הפך לסטנדרט. אותו דבר יקרה גם באבטחת בינה מלאכותית".
לשנות את התעשייה
כדאי להתעכב לרגע על שם החברה, Sweet, שאינו שגרתי בנוף של חברות סייבר. "רצינו לעשות את החיים של ה-CISO מתוקים יותר. הוא חי במצב של אחריות בלי סמכות, ואנחנו מחזירים לו שליטה", מסביר פישר ומוסיף שיותר מ-90% מהגיוסים בישראל הגיעו דרך חבר מביא חבר, ושגם ביום העבודה מהבית רבים בוחרים להגיע למשרד. "זו אינדיקציה לכך שאנחנו פותרים בעיה אמיתית, אנשים רוצים להיות חלק ממשהו שמשנה את התעשייה".
לאתר החברה >>>
בשיתוף Sweet Security
