עוד מערכת לא תפתור לכם את ההגנה בארגון
תוקפים רק הולכים ומשתכללים, וארגונים רבים עדיין מתייחסים לניהול הסייבר שלהם כמו פרויקט צדדי. בואו נדבר על גישה חדשה
נוצר באמצעות AI
כל חברה היא גם יעד תקיפה. ממתקפות כופר ענקיות, דרך הדלפות מידע רגיש ועד לניסיונות מתוחכמים להשתלטות שקטה על מערכות שליטה – אירועי הסייבר הפכו מזמן מהפרעה טכנית זמנית לסיכון אסטרטגי מתמשך. כמעט בכל ישיבת דירקטוריון עולה המונח "חוסן דיגיטלי", ובצמרת סדרי העדיפויות של ארגונים ומדינות עומדת השאלה איך נערכים לאיום שטרם התגלה.
התשובה שמבשילה בשנים האחרונות, וביתר שאת בישראל, היא גישה פרואקטיבית לסייבר. גישה זו שוברת את המשוואה של "זיהוי -> תגובה" ומקדמת אסטרטגיה חדשה: חיזוי, איתור יזום, ניטור רציף ונטרול לפני שהאיום הופך לתקיפה. כך משתנים חוקי המשחק: מאלו שרודפים אחרי התוקף, נהיים אלו שמקדימים אותו בכמה צעדים.
בגישה ריאקטיבית הארגון מתמודד עם האיום רק לאחר שהוא נחשף, דרך מערכת הגנה שזיהתה פעילות חריגה או בעקבות נזק שכבר התרחש. אך ככל שהאיומים הופכים למתוחכמים, קצרים וממוקדים יותר, כך חלון הזמן לתגובה הולך ומצטמצם. למעשה, לעיתים כבר מאוחר מדי להגיב.
הגישה הפרואקטיבית מהווה שינוי תפיסה קריטי. במקום להמתין לאירוע, הארגון יפעל באופן יזום כדי לאתר פרצות, לבדוק את עמידות ההגנות הקיימות ולבצע סימולציות תקיפה עצמיות. במילים אחרות: לא מספיק לבנות חומות גבוהות ולהציב עליהן שומרים – צריך לבדוק כל הזמן מה קורה מאחוריהן, לדמיין כיצד יפעל האקר מתוחכם שינסה לעבור אותן ולחסום את הנתיב עוד לפני שינוצל.
אחד הכלים המרכזיים בגישה הפרואקטיבית הוא צוות התקיפה הפנימי, Red Team. מדובר בצוות מומחי סייבר שתפקידם לבצע תקיפות יזומות המבוססות על תרחישים שונים על הארגון עצמו, בדיוק כמו שהיה עושה תוקף חיצוני. המטרה של הצוות היא לגלות פרצות, נקודות תורפה אנושיות וטכנולוגיות ולתרגל את תגובת הארגון בזמן אמת. היתרון הוא שהחולשות הללו מתגלות בזמן שעדיין ניתן לפעול, מבלי שנגרם נזק בפועל.
לפי דוח IBM לשנת 2024, ארגונים שהטמיעו כלים פרואקטיביים קיצרו את זמן הזיהוי והבלימה הממוצע ל-258 ימים – הקצר ביותר בשבע השנים האחרונות – לעומת 277 ימים בארגונים אחרים. כלים מבוססי AI מסוגלים לזהות תוכנת כופר בתוך פחות מדקה, ובכך לעצור מתקפה לפני שנגרם נזק ממשי. בנוסף, צמצום משטח התקיפה באמצעות סגירת פרצות ידועות לפני ניצולן מפחית משמעותית את סיכויי ההצלחה של תוקפים.
לדבר בשפה של עלות-תועלת
אם תשאלו CISO's מה מפריע להם במהלך יום העבודה סביר שתשמעו על אלפי ההתראות ביום, רובן לא רלוונטיות ואפילו כוזבות, אבל חייבים להתייחס לכל אחת כי ביניהן עלולה להסתתר התראה קריטית. בתעשייה מכנים זאת alert fatigue – מצב שבו מרוב התראות לא מבחינים במה שבאמת חשוב. הגישה הפרואקטיבית שמה סוף ל"עיוורון ההתראות" בין היתר באמצעות שילוב בינה מלאכותית (AI) שמאפשרת לזהות חריגות מהתנהגות נורמטיבית באמצעות מודלים סטטיסטיים מתקדמים.
מערכות כאלה יודעות למשל לזהות ניסיון גישוש לממשק רשת הכולל פרמטרים חריגים בתבנית שמזוהה עם ניסיונות השמשה של חולשה ידועה, גם מבלי שזוהה עד כה פיקוד תקיפה ברור. כך ניתן להרים "דגל אדום" לא על בסיס חתימת וירוס, אלא על סמך חריגה מהתנהגות. במילים אחרות, לא רק לדעת מה קורה, אלא להבין מה עשוי לקרות ולפעול בהתאם.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
כל ארגון שנוקט גישה פרואקטיבית ומחפש חולשות ימצא אותן בוודאות. מדובר לא רק באיתור החולשות, אלא בעיקר בניתוח מידת הקריטיות שלהן לטיפול. ניתוח כל חולשה לפי רמת הסיכון מאפשר להתמקד במה שדורש טיפול מיידי ולהימנע מבזבוז משאבים על התראות לא רלוונטיות.
אחד האתגרים המוכרים בתחום הסייבר הוא הקושי להסביר להנהלה את החשיבות של השקעה בהגנה, במיוחד כש"לא קרה כלום". כאן נכנס לתמונה ניתוח הסיכונים, כלי המאפשר לא רק למפות חולשות, אלא לתרגם אותן לכסף, משילות ורגולציה. כך, במקום לומר "יש חור באבטחת המיילים", ניתן לומר: "אם יקרה אירוע פישינג על שרשרת האספקה, צפויה פגיעה של מיליון שקלים ביום בהכנסות, הארגון ייחשף משפטית ויסתכן באובדן לקוחות". הפיכת הסייבר לשפה של עלות-תועלת מסייעת להנהלות לקבל החלטות מדויקות ולהשקיע לא רק בפתרונות, אלא גם במדיניות, בתרבות ובתהליכים.
על כמה עלות-תועלת אנחנו מדברים פה? עלות פרצה ממוצעת ב־2024 עמדה על 4.88 מיליון דולר, אך ארגונים שהפעילו אוטומציה ואמצעי AI חסכו בממוצע 2.2 מיליון דולר. מעבר לכלים כאלה קיצר את מחזור חיי הפרצה ב־108 ימים, מה שמפחית נזק כלכלי ישיר. מעבר לכך, ROI של 203% בתוך שלוש שנים נרשם בארגונים שעברו ממערכות נקודתיות לפלטפורמת אבטחה אינטגרטיבית.
נוצר באמצעות AI
ישראל, שמצויה על הכוונת הדיגיטלית של שחקנים מדינתיים ולא-מדינתיים כאחד, מאמצת יותר ויותר פתרונות יזומים. גופי ממשל, תשתיות לאומיות, בנקים וחברות ביטחוניות בישראל מפעילים Red Teams, מרכזי ניטור מבוססי AI ופרויקטי ניתוח סיכונים מתקדמים. המודעות הציבורית והעסקית הולכת וגוברת, במיוחד לנוכח מתקפות על גופים ציבוריים שרק מתרבות בשנים האחרונות. המסקנה ברורה:הגנה אמיתית לא מושגת על ידי הטמעה של "עוד מערכת", אלא על ידי שינוי תפיסה כולל.
עם זאת, לגישה הפרואקטיבית יש גם אתגרים. היא דורשת השקעה משמעותית – הן בכסף והן בכוח אדם מיומן. 59% מהארגונים מציינים מגבלת תקציב כגורם שמעכב בדיקות חוסן תקופתיות, ו־91% מהמנהלים מדווחים כי אין להם תמונה מלאה של כל החולשות. לעיתים הבדיקות הן נקודתיות בלבד ואינן משקפות את האיומים המשתנים במהירות, במיוחד כשהתוקפים עצמם משתמשים ב-AI. גם מורכבות תרבותית וניהולית – כמו קושי להתמודד עם חשיפת חולשות פנימיות – מהווה חסם משמעותי.
הגישה הפרואקטיבית משנה את חוקי המשחק לא רק מבחינה טכנולוגית, אלא גם תרבותית. היא דורשת מהארגון להפסיק להיות פסיבי, להפסיק לנהל את הסייבר כמו פרויקט צדדי ולהפוך אותו לאסטרטגיית ליבה. המשמעות היא לא להסתפק ברדיפה אחרי התוקפים, אלא לחשוב כמוהם, לפעול לפניהם ולהיות מוכנים תמיד.
במציאות שבה מתקפה דיגיטלית עלולה להשבית פעילות של מדינה שלמה, לפגוע באמון הציבורי או לגרור קנסות רגולטוריים – ההשקעה בגישה פרואקטיבית אינה מותרות, אלא הכרח.
אלון אהרן הוא מנכ"ל וממקימי Armory Defense
