בשנים האחרונות אנו עדים לעלייה חדה במתקפות סייבר המגיעות דרך תיבות הדואר האלקטרוני (דוא"ל) של ארגונים. מתקפות אלו, הכוללות נוזקות מתוחכמות, דיוג (פישינג) והונאות, הפכו למתוחכמות יותר מאי פעם. נתונים מראים כי למעלה מ-90% ממתקפות הסייבר המתוחכמות מתחילות בהודעת דוא"ל זדונית, והעלות הממוצעת של אירוע אבטחה שמקורו בדוא"ל יכולה להגיע למיליוני שקלים.
המחשבה שאפשר להסתדר בלי הדוא"ל היא כנראה לא מציאותית. הדוא"ל הוא עורק החיים של התקשורת העסקית המודרנית. מדי יום מתבצעות דרכו אין-ספור אינטראקציות קריטיות — החל בחתימת חוזים והעברת מסמכים רגישים, דרך ניהול קשרי לקוחות וספקים ועד לתקשורת פנים-ארגונית שוטפת.
על רקע זה פיתחה חברת Sasa Software פתרון חדשני להתמודדות עם האיום המתגבר. הפתרון הזה בולט במיוחד לאור חוסר היכולת של השוק לטפל בבעיה. "קצת קשה להאמין, אבל כל חברות הסייבר הגדולות מתמודדות עם התופעה הקשה הזו בצורה לא מספיק טובה", אומר יעקב (יענקל'ה) ירוסלב, מנכ"ל Sasa Software. "הן מודיעות ללקוח בהודעה צהובה שהגיע דואר מחוץ לארגון ואם הוא לא מכיר אותו, מומלץ לנקוט אמצעי זהירות. זה אבסורד. הודעה כזו היא נכונה תמיד וגלומה בה העברת אחריות למשתמש עצמו. העובדה שמרבית החברות הגדולות מציבות בין שניים לארבעה פתרונות בטור להגנת הדואר, יש בה כדי להעיד על חומרת הבעיה. החברות הרי מציעות את מיטב כלי הסייבר, 'Best of Breed', הלקוח משלם טונות של כסף ובסוף הוא צריך להתמודד עם זה בעצמו".
לא רק צרופות, מתקפות על גוף המייל
ירוסלב מבחין בין שני סוגי נוזקות: "נוזקות רועשות" — אלה שפוגעות בארגון באופן מיידי וגורמות לנזק מוחשי, שאי אפשר להתעלם ממנו ואי אפשר להסתיר אותו; ו"נוזקות שקטות" — כאלה שקשה מאוד לזהות אותן והן גם המסוכנות יותר. הן חודרות לארגון מבלי שאיש מרגיש בהן, שוהות בו במשך שבועות וחודשים ובזמן הזה צוברות סיסמאות והרשאות של מנהלים, תוך שהן מבינות איך מתנהגת הרשת הארגונית, ואז שולפות חומרים רגישים שההאקרים מפיצים ברבים. למעשה, הארגון לא יכול להבחין בחדירה אלא אם כן ההאקר הוא זה שחשף אותה. הנזקים בשני הסוגים גדולים, אם כי בסוג השני מדובר בנזקים אדירים שיכולים במקרים מסוימים אף למוטט ארגון. חשבו על הפצת מספרי כרטיסי אשראי, פרופילים רפואיים, מסמכי ביטוח ועוד כהנה וכהנה חומרים אישיים ופיננסיים רגישים.
מה הפתרון?
"הפתרון שפיתחנו תחילה, GateScanner For Mail, הוא תוסף מיוחד לערוץ הדוא"ל במסגרת סל הפתרונות שלנו, תחת המותג 'GateScanner', שמיועד בראש ובראשונה להגן על הקבצים שמצורפים לדוא"ל (צרופות)", מסביר ירוסלב. "אך מהר מאוד הבנו שההאקרים לא מסתפקים רק בצרופות, אלא גם מנצלים את גוף המייל עצמו כדי לשלב בו קוד זדוני. גוף המייל עשוי להכיל מעל ל-200 רכיבים שונים, כמו תמונות, סרטונים, לינקים ועוד, וההאקרים מנצלים אותם להטמיע בהם נוזקות. לכן החלטנו לטפל גם בגוף המייל עצמו וזה גם שמייחד אותנו בשוק".
איך זה פועל?
"בדומה לטיפול בצרופות, אנחנו מפרקים את גוף המייל למרכיביו הבסיסיים ומריצים עליהם כלי אבחון שפיתחנו וכן כלים של חברות חיצוניות שיודעים לזהות בעיות. הזיהוי שלנו, פעמים רבות, עולה באיכותו על אלה של מערכות 'Best of Breed' אחרות. אם לא איתרנו חדירה אנחנו עדיין לא ממהרים להכריז על המייל כתקין, אלא עוברים לתהליך של בנייה מחדש (Reconstruction) ומבצעים שינויים פנימיים. אם הוחדרה לשם נוזקה שלא התגלתה בשלב הזיהוי — היא לא תוכל יותר לרוץ או לצאת. המציאות מוכיחה שאם מתבצעות מתקפות Zero day מתוחכמות המערכות הקיימות היום בשוק לא יודעות לזהות חלק משמעותי מהן ולכך עשויה להיות פגיעה משמעותית בארגון. המערכת שלנו יודעת לטפל בכך".
כיסוי מלא לכל המתקפות, כולל פישינג
סוג נוסף של מתקפות שצריכות להדאיג את הארגונים הן מתקפות דיוג, או בשפה המקצועית פישינג (Phishing). "המתקפות הללו מתגברות כל הזמן והן מתבססות, בין היתר, על הנדסה חברתית, כלומר, הן מפעילות מניפולציות על עובדי הארגון כך שיסכימו לשתף פעולה עמן ודרך זה להשיג שליטה", הוא מספר. "המתקפות מסוג זה מסומנות היום כחלק הארי של המתקפות על הדוא"ל".
מה עושים, אם כן?
"לא מסתפקים בתוסף לדוא"ל. אנחנו השקענו משאבים רבים בפיתוח מערכת הגנה מלאה לדוא"ל, תחת השם GateScanner Mail Gateway, שתוכל לטפל בכל מכלול הבעיות הדוא"ל, כולל פישינג. אנחנו משלבים בה מערכות AI שיודעות לזהות שלל שפות ולא רק אנגלית, ומבוססות על מודלי שפה גדולים (LLM). הצלחנו לאתר את מודל ה-LLM הטוב ביותר בשוק ולבנות לו פרומפט שמנחה אותו ועל ידי כך אנו משיגים תוצאות משמעותיות ביותר, שנותנות כיסוי מעולה לכל סוגי מתקפות הדיוג".
המערכות הללו, מדווח מנכ"ל Sasa Software, כבר מותקנות בעשרות חברות בארץ ובעולם. שתי חברות מאוד גדולות עושות בהן שימוש ואחת מהן מחזיקה 140 אלף תיבות דואר. כעת הרצון של החברה הוא לפרוץ לעולם הגדול, כדי לשווק את המערכת לארגונים שהיא רלוונטית להם.
החברה הוכרה במפעל חיוני
Sasa Software הוקמה לפני 11 שנים ויש לה מגוון לקוחות רחב בארץ ובעולם מכל המגזרים, עם דגש על הסקטור הביטחוני והפיננסי. היא נולדה כספין-אוף ממפעל מיגון הרכב "פלסן" של קיבוץ סאסא בגליל העליון. "הם עוסקים במיגון פיזי ואנחנו עוסקים במיגון סייבר", מצהיר ירוסלב. עם השנים הפכה החברה את ההגנה מפני מתקפות מבוססות קבצים להתמחותה. היא התבססה ופיתחה את טכנולוגיית ה-CDR ((Content Disarm & Reconstruction לפירוק ובנייה מחדש של תוכן. לחברה יש גם פתרונות בענן.
מה קרה לחברה מאז שבעה באוקטובר?
"קודם כל, הקיבוץ פונה ומשפחות רבות עברו טלטלה גדולה. המפעל עצמו הוכרז כחיוני ואף כקיומי על ידי הרשויות, בשל העיסוק שלו בתחום שהוא קריטי למדינה ולכלכלה. קבוצה גדולה של חברים, ובהם העובדים שלנו, נשארה כאן כדי להבטיח רציפות בעבודה".
בשיתוף Sasa Software
