"עוקבים אחרי עשרות אלפי האקרים בעולם"

"אנחנו מתחילים את המחקר מהתוקפים. זו פילוסופיה דומה לשירות ביון. המערכת שלנו מאתרת ועוקבת אחרי פרסונות של האקרים בסייבר", אומר John Watters המייסד של חברת iSight Partners

bigstockphoto.com IsraelDefense

תחום ההגנה בסייבר מטשטש לעיתים את הגבול בין השוק האזרחי לביטחוני. המודיעין בסייבר הוא אחד התחומים בהם הבידול הזה הופך להיות יותר קשה להגדרה. חברות מודיעין סייבר הפועלות במרחב הקיברנטי יודעות להביא מידע כמעט שווה ערך לסוכנות ביון ממשלתית. לפעמים יותר ממנה.

"אנחנו מוכרים מודיעין בסייבר למגוון סוכנויות בממשל הפדרלי בארה"ב", אומר John Watters המייסד של חברת iSight Partners שנמכרה בחודש ינואר האחרון לחברת FireEye. יחד עם חברת Mandiant, הפכה חברת FireEye לאחת מחברות המודיעין הגדולות במרחב הקיברנטי.

"התחלנו את העסק ב-2006 והשגנו מימון ב2007. סך הכל השקענו בפלטפורמה כמאה מליוני דולרים", אומר ווטרס. "המטרה שלנו היא לתת לעסקים מודיעין שיאפשר להם לנהל סיכונים בצורה מקצועית. חלק גדול מהארגונים מיישמים הגנה בסייבר עד גבולות הרגולציה. לא יותר מכך. אבל אלו שיש להם יותר כסף ורוצים להשקיע בניהול סיכונים, מחפשים מודיעין איכותי שיאפשר להם למפות איומים רלוונטים."

כל חברות אבטחת המידע הגדולות טוענות שיש להן מודיעין. מה אתם שונים? 

"אחד הבידולים שלנו הוא העבודה עם הממשל הפדרלי (ה-DHS האמריקאי למשל הוא לקוח של החברה). כמעט כל הסוכנויות הביטחוניות קונות מודיעין מהמערכת שלנו.", אומר ווטרס. 

"מבחינה טכנית, אנחנו לא מבוססים כמו חברות אבטחת מידע אחרות על מידע טכני שמגיע מההתקנים של הלקוחות. חברת אבטחת מידע מהגדולות לוקחות נתונים מהתקנים כמו אנטי וירוס, פיירוול ואחרים שמותקנים אצל לקוחות בכל העולם, ועל בסיסם מנסות לזהות דפוסי מידע שמצביעים על פוגענים. משם הן מתחילות לעשות פורזניק 'אחורה'. כלומר לזהות איפה שרת הפיקוד (C&C) ומי עומד מאחורי ההתקפה.  

"אנחנו מתחילים את המחקר מהכיוון השני. מהתוקפים. זו פילוסופיה דומה לשירות ביון. המערכת שלנו מאתרת ועוקבת אחרי פרסונות של האקרים בסייבר. אנחנו מחפשים את מקור האיום, השיטות והתוקפים. אנחנו עוקבים אחרי 16,480 פרסונות כאלו בו זמנית בכל העולם".

"גם ההאקר צריך את המוניטין שלו"

"לכל תוקף יש פרופיל שכולל את כלי התקיפה, שיטות התקיפה, הקשרים שלו עם תוקפים אחרים, היעדים שאותם הוא תוקף בדרך כלל", מסביר ווטרס. "אנחנו עוקבים אחרי חלק מהתוקפים כבר שמונה שנים. על ציר זמן כל כך ארוך, אתה מכיר כל תוקף בצורה אינטימית. אם הוא עובר למשל מתקיפה של העולם הפיננסי לעולם הממשלתי, אתה יודע. המערכת שלנו יודעת לזהות שינויי התנהגות של כל תוקף. גם קטנים. אם הוא התחיל לעבוד עם כלי תקיפה חדשים, אנחנו נדע.  

"האקר אנושי יכול להפעיל כמה פרסונות כאלו ברשת. אבל בסופו של דבר, לאורך זמן, נוצר לו פרופיל שמייצג אותו. צריך לזכור שבסוף גם ההאקר צריך את המוניטין שלו. בפורומים, בקבוצות מקצועיות וגם בקרב הלקוחות שלו שבנו איתו יחסי אמון. אם הוא יחליף פרסונות כל הזמן, הוא יאבד את המודיעין. ולכן, גם אם ההאקר עושה שינויים בפרסונות, אלו שינויים קטנים. לפרסונות יש גם קשרים אחת עם השניה. אנחנו עוקבים אחרי הקשרים האלו. 

"תחת התווית 'ריגול בסייבר' יש מדינות שונות כמו סין, רוסיה, איראן ואחרות. אנחנו ממפים את כל הקבוצות של ההאקרים בכל העולם. ברגע שהקבוצה משנה את תשתית התקיפה או הלקוחות, אנחנו יודעים. זה לא פרופיל כמו בשירות ביון של איך אתה נראה, מי המשפחה שלך, מה אתה אוהב לאכול ומי החברים שלך. אלא זו פרסונה ברשת. ברמת מאפיינים מקצועיים שקשורים לעולם הסייבר. איזה כלים אתה משתמש, מה השיטות באילו שפות תכנות אתה עובד ועוד."

אז למעשה אתם כמו סוכנות ביון בסייבר? 

"בארה"ב לסוכנויות הביון יש יכולות עצמאיות לאיסוף מודיעין בסייבר. הם קונים מאיתנו לשני צרכים. אחד הוא לצורך הצלבה. לראות אם יש משהו שאנחנו יודעים והם לא אודות תוקף או קבוצה כזו או אחרת", אומר ווטרס.

"סיבה שניה היא שיתוף מידע. המודיעין שנאסף בקהילת הביטחון הוא סודי ושלנו לא. אם הם רוצים לשתף את המידע עם סוכנויות או גופים אחרים בקהילה או מחוצה לה, הם משתמשים במידע שלנו.

"הסיווג מקשה עליהם לשתף את המידע עם אחרים. המידע שלנו לא מסווג ולכן אנחנו יכולים למכור בכל העולם להרבה ממשלות שונות. עצם העובדה שהמידע שלנו לא מסווג מקל על שיתוף המידע בממשל הפדרלי בין הסוכנויות. למה? מכיוון שאם סוכנות מודיעין מוצאת נניח כתובת IP חשודה לפי המידע המסווג שלה, היא יכולה להריץ חיפוש עליה אצלנו באמצעות API, ולשתף את המידע שמופיע אצלנו בלי החלק המסווג. זה אומר שהיא יכולה להתריע על איומים לסוכנויות אחרות בלי לפגוע בסיווג המידע.

"תזכור שגם לסוכנות ביון ממשלתית יש תקציב מוגבל. אם אתה מסתכל על שירות ביון כמו ה-NSA, שאין ספק שיש לו יכולות לעקוב אחרי כל העולם בסייבר, הוא מחולק לדסקים לפי מדינות או אזורים. לא כל דסק מקבל את אותם תקציבים. דסק רוסיה מקבל יותר מאשר דסק ארגנטינה. למשל. ובארגנטינה יושבים הרבה האקרים שמוצאים זירו-דיי. 40 אחוזים מכל הסוסים למגזר הפיננסים נכתבים בברזיל. האם כל שירות ביון בארה"ב או במדינה אחרת מסוגל לעקוב אחרי כל הפרסונות בארגנטינה, ברזיל או מאלי?

"המערכת שלנו נבנתה מראש עם יכולות כאלו. תזכור שהשקענו מאה מליוני דולרים במערכת לפני שהתחלנו למכור מודיעין. זו הסיבה. בנינו אותה עם יכולות לעקוב אחרי עשרות אלפי פרסונות בכל העולם. את המודיעין אנחנו מוכרים כשירות עם גישת API למאגרים שלנו. מכיוון ששירות המודיעין שלנו יחסית יקר, אנחנו יודעים שמי שמשלם עליו, באמת משתמש בו לנהל סיכונים עסקיים או מדינתיים. זו המטרה שלשמה הקמנו את החברה."