אבטחה מלאה על עולם ה-IoT: זיהוי פרצה תוך שניות ולכל היותר תוך דקות
מאת: אבי וייס, 27.12.14, 18:12
 
הגנה מהירה על תשתיות פיזיות קריטיות, מערכות תפעול, מוצרים, מכונות וסנסורים בבנקים ובארגונים הופכת ברת ביצוע בפתרון לגילוי אנומליות של הסטארטאפ הישראלי ThetaRay. הסייבר של העולם התעשייתי והפיננסי: זיהוי התקפות, שבד"כ לא מזוהות, ע"ס ניתוח כל המידע התפעולי של הארגון (לא דגימות). הנתונים מכתיבים את המודלים, לא להיפך.
 
"יש הרבה עניין בתחום בו אנו עוסקים: הגנת סייבר לתשתיות. לכן, הביקוש לפתרון שלנו הגיע כבר מהיום הראשון בו שמעו עלינו", מתאר מארק גזית, מנכ"ל ThetaRay. "היינו במשבצת הזאת ראשונים והכנו את הפתרונות לתחום הזה עוד לפני שהוא פרץ לתודעה הציבורית והפך לנושא מרכזי בתשומת הלב של חברות ענק דוגמת GE. אין לנו מתחרים של ממש בתחום בו אנו עוסקים".
 
קיימתי ראיון בלעדי עם מארק גזית (בתמונה), כדי לשמוע על מימוש הרעיון של הגנה מהירה ביותר על כל התשתית החיונית, החל מחברות תעשייתיות וכלה בבנקים ומטוסים. איך עושים את זה?
 
שאלה: מה סוד ההצלחה של ThetaRay?
מארק גזית: "לפני שנה וחצי איש לא האמין, שיש בכלל תחום כזה הנקרא 'סייבר של העולם התעשייתי'. הסייבר יוחס לעולם ההייטק, עולם רשתות האינטרנט והמחשבים המקושרים לאינטרנט. כל זה השתנה ברגע ש-GE החליטה להשקיע בתחום הזה והצטרפה להשקעה של קרןJVP  בנו. כיום כבר ברור, שלשם הולך עולם הסייבר.
 
הגיוס הראשון שלנו היה של כמה מיליוני דולרים בודדים, היינו ממש בתחילת הדרך. סטארטאפ בן כמה חודשים.
 
הגיוס השני שלנו היה בן 10 מיליון דולרים, שנה אחת בלבד אחרי הגיוס הראשון. הייתה התעקשות של בעלי המניות הקיימים, שהשקיעו בסיבוב הראשון, להשקיע גם בסיבוב השני. כך, לרשימת המשקיעים בסיבוב השני נוסף משקיע אמריקאי אחד נוסף, ועיקר ההשקעה באה מהמשקיעים, שהאמינו בנו כבר מהסבב הראשון.
 
יש הטוענים, שעולם הסייבר זה סוג של 'בועה', אבל המשקיעים בנו ממש לא רואים את זה כך. לפחות לא בתחום בו אנו פועלים".
 
שאלה: מה הייחודיות של הפיתוח שלכם מול כל מה שיש כבר בעולם הסייבר?
תשובה: "הבעיה העיקרית של עולם האבטחה, היא לא איסוף המידע, כי זה קיים מזמן, אלא ההבנה שלו. הבעיה המרכזית של עולם אבטחת המידע היא איתור של זה שלא יודעים עליו מאומה.
 
לפני קצת יותר משנה וחצי הייתי ב-JVP ויואב צרויה, מנהל חממת הסייבר שלהם סיפר לי, שיש להם שני פרופסורים מובילים שפיתחו רעיון מהפכני שמתאים לעולם הסייבר. זה רק מחקר אקדמי. היות והם חיפשו מנכ"ל עם ניסיון בניהול והצמחה של חברות, הם הציעו לי להצטרף אליהם כמנכ"ל חברה, שיתקדם את הרעיונות שיש להם לידי מוצר ויבנה יחד איתם חברה בעלת מוצרים המתאימים להגנה על תשתיות קריטיות. 
 
כך, התחלתי הכל מאפס, להקים חברת סטארטאפ ממש מאפס. החברה מבוססת על ההמצאות של 2 הפרופסורים:
א. פרופ' אוורבוך אמיר מאוניברסיטת ת"א, בית הספר למדעי המחשב, שהוא מוביל את תחום ניתוח אותות.
ב. פרופ' קויפמן רונלד, מאוניברסיטת ייל בארה"ב, המשמש גם כיועץ מיוחד ב- DARPA (רפא"ל של משרד ההגנה האמריקאי).
 
שני החוקרים הללו באו עם רעיון גדול: בוא ניקח מידע שלא ידוע עליו דבר, ממש מאומה, ונמצא בו אנומליות. החוכמה והאתגר שעמדו מולי: לחבר את הראיון הזה לצורך אמיתי , שהוא הגנה מפני התקפות על תשתיות קריטיות.
 
הרעיון ללכת על תשתיות קריטיות הגיע, מפני שראינו שיש פריצות לתשתיות קריטיות ואסטרטגיות, למרות כל מערכי האבטחה, שנבנו סביבן. ניתחנו את התופעות הללו והגענו לתובנות הבאות:
א. הקלות הבלתי נסבלת להגיע לתוך ארגון, קטן כגדול, למרות כל מערכי ההגנה נובע בעיקר שעובדים עושים טעויות, וגם אפשר להערים עליהם די בקלות.
ב. המוטיבציה השתנתה. היום, המוטיבציה לגרימת נזק היא בעיקר פיננסית. אפשר לעשות הרבה כסף מגופים גדולים וחשובים. יש גם רצון לגרום נזק, לעיתים מסיבות פוליטיות, מודיעיניות או ביטחוניות. אפשר לעשות נזק די בקלות מהסיבה, שציינתי בסעיף הקודם.
 
מכאן, שיש צורך לגלות את התוקפים ולנטרל אותם מהר. ממש מהר. זה דורש להפסיק להסתכל על רשת התקשורת והמחשבים בלבד, מה שעושות חברות האבטחה. הדרך, שאנו מציעים, היא פשוט להאזין לתשתיות הפיזיות עצמן ולגלות מהן, מה קורה בהן ולגלות אנומליות.
 
לדוגמה: איך מזהים שינויים בהתנהגות טורבינה? אלה דברים קשים לאיסוף ולניתוח. יש לנו כבר 7 פטנטים, שרכשנו מהאוניברסיטה, כדי שנוכל לפתח פתרונות בדיוק בכיוון הזה.
 
אנו נמצאים בעולם ה-Big Data, שבו אנו יכולים לזהות התנהגויות מוזרות ממש בתחום התפעול של התשתיות ולהצליב זאת מול מידע המתקבל מהרשת. לא הייתה גישה כזו בשוק עד שהצגנו את זה.
 
הגוף הראשון, שחיפש מענה להגנה על תשתיות קריטיות, היה GE, חברת ענק שהשקיעה בחברה הצעירה שלנו, שרק קמה. זו הייתה ההשקעה הראשונה של GE בעולם הסייבר בישראל.
 
כך גילינו, שאנו טובים בלגלות כשלים תפעוליים, כשלים בקונפיגורציות תפעוליות, כשלים בתפעול עצמו, התנהגויות לא רגילות של עובדים, כשלים בהתנהגות עובדים בעבודתם, בכל הקשור לתשתיות מכל סוג. בהמשך, בדקנו זאת על תשתיות מסוג אחר לגמרי, תשתיות של גופים פיננסיים כמו בנקים, וראינו, שהיכולת הזו קיימת בכל תשתית, לא רק בתעשייה. זה עובד על כל דבר. 
 
הכלים הקיימים של עולם האבטחה בתחום הפיננסי יודעים לטפל רק בבעיות קיימות. ראינו, שאנו מאוד מוצלחים גם בתחום הזה, כי אנו מזהים אנומליה גם בתחומים של פעילות כספית, כי אנו מנתחים כל בסיסי מידע, מכל סוג, כדי לגלות בהם אנומליה. זו בדיוק הסיבה למה בנק הפועלים השקיע בנו. זה היה מהלך מאוד יוצא דופן לבנק גדול כמו בנק הפועלים, להשקיע בחברת סטארטאפ צעירה בתחום הסייבר".       
 
שאלה: איך אתם מגלים אנומליה בפעילות העסקית של בנק?
תשובה: "מדובר בשילוב של כמה גורמים. אנו מזהים איומי סייבר ואיומים תפעוליים. היכולת שלנו היא לזהות פעילויות מוזרות, למשל לתת משכנתאות לילדים. את זה חברות האבטחה הקיימות בכלל לא יכולות לזהות. אנו מזהים גם טעויות אנוש. כשמוצאים אנומליות, זה דורש התייחסות ומכאן מגיע הגילוי.
 
הרעיון שלנו הוא מאוד פשוט: אפשר לבנות מודל תלת-מימדי על כל דבר. אנו לוקחים את הרעיון הזה קדימה ויוצרים מודל פיזיקלי של ארגון בכ-100 אלף מימדים. כל פרמטר בעבודה של אותו ארגון זה מימד. כך, המערכת בונה לבד מודל של כל הפעילויות בכ-100 אלף מימדים.
 
המערכת של ThetaRay לוקחת את כל המידע הקיים בבנק, ולומדת ממנו את המודלים, שהבנק מתפקד לפיהם. במקום לקרוא את ספרי התפעול של הבנק וכל הנחיות התפעול שלנו, המערכת בונה את זה לבד מהמידע הקיים. אנו יכולים לזהות אנומליה כבר בשלב הלימוד של הבנק. בשלב ה-POC (ר"ת: Proof Of Concept). זה עניין מאוד מהיר. 
 
כך, אנו מזהים התקפות, שאחרים בכלל לא מזהים, כי אנו יושבים על כל המידע התפעולי של הארגון.
 
הבעיה המרכזית שלנו והמעניינת ביותר היא: איך מטפלים בהתראות שווא. ככל שהמערכת של הארגון יותר רגישה, יש יותר התראות שווא אצל ספקי פתרונות אבטחה מתחרים.
 
אצלנו אין התראות שווא. למה? כי כל הרעיון של ניתוח Big-Data לא יכול להצליח כשבונים חוקים ותבניות. לנו אין דבר כזה. זה לא עובד כשיודעים את החוקים והתבניות. היתרון המרכזי שלנו שאין לנו שום חוקים. פשוט אין. אנו בוחנים התנהגויות. הנתונים הם שמכתיבים לנו את המודלים, לא להיפך.
 
היישום של הרעיון הזה הוא לא פשוט. לכן, לקחנו את האנשים הטובים ביותר שיש בשוק, בכל התחומים. לקחנו אנשים מנוסים, שיודעים לקחת מערכת ולצאת איתה לשוק. כך הגענו כבר למצב, שאנו עובדים כבר עם בנקים מובילים בעולם".
 
שאלה: למה הפתרון שלכם יותר מוצלח מאלה הטוענים, שהם מזהים התקפות לא ידועות (0-Day Attack ו-APT)?
תשובה: "כי אנו עוקבים אחרי המידע התפעולי והפיננסי שיש בארגון ומנתחים את הכל. זה לא היה קיים בעולם האבטחה הקלאסי, בו כדי לזהות התקפות סייבר ניטרו רק את הרשת".  
 
שאלה: לאן המערכת הזו מתפתחת?
תשובה: "סיימנו לאחרונה את סבב הגיוס השני וכעת אנו בשלבי פתיחת משרדים בארה"ב. יש לנו כבר התקנות בתשלום במספר בנקים, יש לנו התקנות במספר ארגונים גדולים דוגמת GE, ונכנסנו גם לחברות בתחום התעופה. בעולם התעופה מעולם לא ניתחו את הנתונים של המטוס, כל הנתונים, בזמן אמת. זה תחום חדש ומלהיב, שאנו נכנסים אליו בקרוב.
 
כיום אנו מתרכזים ב-2 שווקים ורטיקאליים:
א. מערכות תפעוליות מקושרות.
ב. מוסדות פיננסיים.
  
ראינו, שארגונים רבים לא יודעים בכלל שהם מותקפים. זה לא דבר יוצא דופן, זו המציאות. במחקרים נמצא, שבממוצע לוקח 221 יום כדי לזהות התקפת סייבר ולוקח עוד 120 יום כדי לנקות את המערכת ולהוציא ממנה את הכל. זה פשוט מדהים. ככה כלי האבטחה הקיימים עובדים כיום. פשוט זה לוקח חודשים. חודשים רבים. אנו, מזהים פרצה תוך שניות ולכל היותר תוך דקות. זה יתרון אדיר לכל ארגון".
 
שאלה: יש לכם מתחרים במשבצת שלכם?
תשובה: "יש לא מעט מתחרים, אבל אף אחד לא נותן פתרון מלא כמו שלנו. יש הרבה המפתחים פתרונות של Big Data, אבל הם לא יודעים איך לממש את זה לתוצאות מידיות בגילוי פרצות ואנומליות. אנו מוצאים את הפריצה ומוצאים את האנומליות יחסית מהר. בייחוד במקומות בהם קשה לאסוף מידע. יש בארגונים מערכות ישנות רבות. המתחרים לא יודעים לאסוף מהן מידע ולנתח אותו. הם לא יודעים לנטר מערכות ישנות ולא יודעים לעשות זאת בזמן אמת.
 
יש ארגונים הנוקטים בשיטת הגנה אחרת: הם מחליטים לא לחבר שום מערכת פנימית לאינטרנט. הם חושבים, שאם המערכת מוגנת פיזית מכל הכוונים, ואין לה שום חיבור לאינטרנט, הם מוגנים. המציאות הוכיחה אחרת..
 
אחת הסיבות: הם מקושרים ביניהם ויש אין-סוף מעקפים. ארגונים בסופו של דבר מקושרים באיזה מקום לאינטרנט או למישהו אחר שמחובר לאינטרנט. החסימה לא יעילה כי אפשר להיכנס לאזור המנותק כביכול בדרכים אחרות. ראינו כמה פעמים נכנסו באמצעות דיסק-או-קי, או באמצעות שדרוג, ויש דרכים אחרות, שחלקן כבר פורסמו".
 
שאלה: מה הדבר המלהיב אותך ביותר?
תשובה: "עולם ה-IoT והעולם הפיננסי. כיום יש כ-2.4 מיליארד משתמשי אינטרנט, אבל יש כבר היום 25 מיליארד מתקנים שמדברים בינהם. זה יגיע לכ-50 עד 60 מיליארד מתקנים תוך כמה שנים. זה גידול עצום. למעשה אם ניקח כדוגמא את הטלפון הסלולארי שיש בו כ-20 אפליקציות בממוצע שכל אחת מהן היא יישות באינטרנט, כבר היום יש בין 200 ל-300 מיליארד ישויות, שמדברות זו עם זו ברשת האינטרנט. מי יכול להגן על כמות כה גדולה של ישויות? יש כאן כמות פנטסטית של מידע, שצריך לנתח. צריך לזה המון כוח מחשוב. אנו נמצאים בדיוק בנקודה הזו כדי לתת לזה פתרון".
 
שאלה: מה החלום המקצועי שלך?
מארק גזית: "לבנות חברה גדולה, חברה של מיליארד דולרים לפחות. יש כאן הזדמנות לסטארטאפ ישראלי לקבוע סטנדרט עולמי בתחום הסייבר וזיהוי איומים וכשלים.
 
אני מקווה, שכל ארגון גדול בעולם ייבחר בנו כדי לזהות איומים. מתפתח עולם חדש של IOT, מערכות פיננסיות ותפעוליות שמדברות אחת עם השניה בענן. עולם שאנחנו שואפים להפוך אותו לבטוח יותר. עולם זה הולך להיות ענק ואנו נוביל בו".