161 מיליארד – זהו מספר המתקפות שחסמה טרנד מיקרו בשנת 2023, בזכות כלי ההגנה של החברה ובזכות גוף מחקר סיכוני הסייבר Trend Micro Research. בגוף המחקר של החברה מסתתרת גם זוית ישראלית שתורמת רבות להישג זה: צוות ייחודי, אשר מורכב רובו ככולו מישראלים – רובם אנשי מודיעין או מומחי סייבר התקפי, המכירים את צורת החשיבה של העבריינים. תפקידו העיקרי של צוות CTI
(Cyber Threat Intelligence) הוא להתחקות אחרי הקבוצות ולסייע בסיכול הפעילות אותה מבצעים פשעי סייבר.
"להבדיל מגופי מחקר סייבר, אשר חוקרים ומאתרים בעיקר את הכלים למתקפות הסייבר, אנו מתמקדים בגורמים שמאחורי המתקפות הללו", מסביר יובל נתיב, אנליסט איומים ביחידת ה-CTI של Trend Research. "צוות לאיתור אנשים או קבוצות נדיר יותר בקרב יצרניות אבטחת מידע, אשר מתרכזות, בדרך כלל, באיתור הסיכונים עצמם ובלימתם. הנוזקות לא נכתבות מעצמן והתרומה שלנו לצמצום פשעי הסייבר, מכרעת. בדיוק כמו בצבא – לא מספיק לתפוס את הנשק, אלא את האנשים שמפעילים אותם", מסביר נתיב.
איך תופסים פושעי סייבר שרובם מסתתרים מאחורי דמויות וירטואליות?
"העבודה שלנו היא לא רק טכנולוגית, אלא בעיקר עבודת מודיעין טהורה. יש לנו נגישות להרבה מאוד מקורות מידע גלויים וסמויים במקומות רבים. מן המידע שנאסף אנו מרכיבים פאזל על מנת להכיר שמות של פושעי סייבר ומידע נוסף על פעילותם. ברגע שאיתרנו שם אחד, קל יותר לאתר את השותפים לעבירות", מסביר נתיב ומרחיב: "אנו קוראים לזה פרימה – לפרום את כל החוטים שמרכיבים פעילות של עברייני סייבר. העבודה שלנו היא להבין ולהכיר את האנשים והקבוצות כדי שנוכל לסייע בסיכול הפעילות ולהקדים אותם בפעילויותיהם הבאות".
זה לא כמו לרוקן את הים בכפית? הרי אין סוף לעברייני הסייבר.
"אנו לא מחפשים האקרים חובבנים. אנו מתמקדים באיומים מהותיים שהוסיפו לפעילותם פיתוח והפעלת מתקפות סייבר, המפתחים כלים חדשים ומתוחכמים. קבוצות אלו לוקחות את מוצרי אבטחת המידע הקיימים בשוק ונותנות לאנשיהם משימה: לאתר חולשות וכיצד לעקוף אותם. מדובר בגופים שאם עוצרים אותם נמנעים נזקים של עשרות מיליוני דולרים או נזקים אחרים".
אם עליתם על עברייני סייבר, הם יכולים להבין שהתגלו ולשנות טקטיקה.
"התשובה לשאלה זו היא אחת הסיבות שאני אוהב לעבוד בטרנד מיקרו. ברוב חברות אבטחת המידע הגישה היא שברגע שיש גילוי הם רצים לפרסם בתקשורת. יש בזה היגיון כי זה נותן להם קרדיט ומסייע בשיווק ומכירות. אך הגישה שלנו שונה, אנו מפרסמים אולי אחוז ממה שאנו עושים. העדיפות הינה לסיכול הפעילות שכבר איתרנו בכדי למנוע את הנזק הבא ולא לגרום לעברייני הסייבר 'להיעלם' ברגע שעלו עליהם. כך אנו גם לא חושפים את השיטות שלנו. כאשר עבריינים יודעים שעלו עליהם הם יודעים שיש סיכוי ששרשרת כלי התקפת הסייבר שלהם נשרפה ומתגלגלים לסט כלים ותשתיות חדשים. אם הם לא יודעים שעלו עליהם, היכולת להתחקות אחריהם ולעצור אותם טובה יותר. בטרנד מיקרו קיים איזון מעולה, בעיניי, בין השיווק העסקי לבין ההבנה של ההיבט הסיכולי של הפעילות שלנו".
ה-AI משרת כיום יותר את העבריינים או את גופי האבטחה?
"ה-AI עדיין נמצא בשימוש נפוץ יותר בחברות האבטחה. כשה-AI הופיע טרנד מיקרו אימצה אותו מהר מאוד, באמצעותו אנחנו מפיקים תובנות רבות ממאגרי מידע עצומים. עם זאת, העבריינים מגדילים את היקף השימוש כל הזמן. הם משתמשים ב-AI בעיקר לפיתוח כלי פריצה ונוזקות, למענה על שאלות ולגיבוש מתווים, כמו ניסוח טקסטים לפיתוי במתווה פישינג. השימוש הגובר שלהם בטכנולוגיה וחקר חולשות עתיד להקשות על המגינים הרבה יותר".
"חברות גדולות בתחום ה-AI מנסות למנוע את השימוש של העבריינים ב-AI ולחסום שאלות ומשתמשים, דבר אפשרי כל עוד מדובר בענן ופחות בשימוש מקומי".
ליצירת קשר:
בשיתוף טרנד מיקרו
