in attacks

The Emotional CISO


It may sound odd, but cybersecurity has a huge emotional component. Unlike other industries that are driven by numbers whether derived from optimization or financial gains, cybersecurity has all the makings of a good Hollywood movie—good and bad guys, nation-states attacking other nation states, and critical IT systems at risk. Unfortunately for most victims of a cyber threat or breach, the effects are all too real and don’t disappear when the music stops and the lights come on. As with a good blockbuster, in cybersecurity you can expect highs, lows, thrills and chills. When new risks and threats appear, businesses get worried, and demand for new and innovative solutions increases dramatically. Security managers and solution providers then scramble to respond with a fresh set of tools and services aimed at mitigating the newly discovered threats.

Because cybersecurity is intrinsically linked to all levels of criminal activity—from petty thieves to large-scale organized crime syndicates—cybersecurity is a never-ending story. Yet, curiously, the never ending sequence of new threats followed by new innovative solutions, present subtle patterns that, once identified, can help a CISO make the right strategic decisions based on logical reasoning and not emotions.

Cybersecurity Concept Du Jour

When you’ve been in the cybersecurity industry for a while like I have, you notice that in each era, there is always a “du jour” defense concept that occupies the industry decision makers state-of-mind. Whether it is prevention, detection or containment in each time period, the popular concept becomes the defining model that everyone—analysts, tool builders, and even the technology end users—advocate fiercely. Which concept is more popular represents critical shifts in widespread thinking with regards to cybersecurity.

The Ambiguous Perception of Defense Concepts

The defense concepts of prevention, detection, and containment serve dual roles: as defense strategies employed by CISOs and in correspondence as product categories for different defense tools and services. However, the first challenge encountered by both cybersecurity professionals and end users is that these concepts don’t have a consistent general meaning; trying to give a single general definition of each of these terms is like attempting to build a castle on shifting sand (although that doesn’t stop people from trying). From a professional security point of view, there are different worlds in which specific targets, specific threats (new and old), and a roster of defenses exist. Each specific world is a security domain in and of itself, and this domain serves as the minimum baseline context for the concepts of prevention, detection, and containment. Each particular threat in a security domain defines the boundaries and the roles of these concepts. In addition, these concepts serve as product categories, where particular, but related tools can be assigned to one or more category based on the way the tool operates.

Ultimately, these defense concepts have a concrete meaning that is specific and actionable only within a specific security domain. For instance, a security domain can be defined by the type of threat, the type of target, or a combination of the two.

So, for example, there are domains that represent groups of threats with common patterns, such as advanced attacks on enterprises (of which advanced persistent attacks or APTs are a subset) or denial of service attacks on online services. In contrast, there are security domains that represent assets, such as protecting websites from a variety of different threats including defacement, denial of service, and SQL injection through its entry points. The determining factor in defining the security domain approach depends on the asset – and the magnitude of risk it can be exposed to – or on the threat group and its commonalities among multiple threats.

Examples, Please

To make this more tangible let’s discuss a couple of examples by defining the security domain elements and explaining how the security concepts of prevention, detection, and containment need to be defined from within the domain.

The Threats Point of View – Advanced Attacks

Let’s assume that the primary attack vector for infiltration into the enterprise is via endpoints; the next phase of lateral movement takes place in the network via credential theft and exploitation; and exfiltration of data assets is conducted via HTTP covert channels as the ultimate goal.

Advanced attacks have a timeline with separate consecutive stages starting from entrance into the organization and ending with data theft. The security concepts have clearly defined meanings, related specifically to each and every stage of advanced attacks. For example, at the first stage of infiltration there are multiple ways malicious code can get into an employee computer, such as opening a malicious document or browsing a malicious website and installing a malicious executable unintentionally.


In the case of the first stage of infiltration of advanced attacks, “prevention” means making sure infiltration does not happen at all; “detection” means identifying signs of attempted infiltration or successful infiltration; and “containment” means knowing that the infiltration attempt has been stopped and the attack cannot move to the next stage. A concrete meaning for each and every concept in the specific security domain.

The Asset Point of View – Web Site Protection

Web sites can be a target for a variety of different types of threats, such as security vulnerabilities in one of the scripts, misconfigured file system access rights, or a malicious insider with access to the web site’s backend systems. From a defensive point-of-view, the website has two binary states: compromised or uncompromised.

Therefore, the meanings of the three defense concepts are defined as prevention, any measure that can prevent the site from being compromised, and detection, identifying an already-compromised site. In this general example, containment does not have a real meaning or role as eventually a successful containment equals prevention. Within specific group of threats against a web site which have successfully compromised the site there may be a role for containment, such as preventing a maliciously installed malvertising campaign on the server from propagating to the visitors’ computers.

It’s An Emotional Decision

So, as we have seen, our three key defense concepts have different and distinctive meanings that are highly dependent on their context, making broader definitions somewhat meaningless. Still, cybersecurity professionals and lay people alike strive to assign meaning to these words, because that is what the global cybersecurity audience expects: a popular meaning based on limited knowledge, personal perception, desires and fears.

The Popular Definitions of Prevention, Detection and Containment

From a non-security expert point-of-view, prevention has a deterministic feel – if the threat is prevented, it is over with no impact whatsoever. Determinism gives the perception of complete control, high confidence, a guarantee. Prevention is also perceived as an active strategy, as opposed to detection which is considered more passive (you wait for the threat to come, and then you might detect it).

Unlike prevention, detection is far from deterministic, and would be classified as probabilistic, meaning that you might have a breach (85% chance). Detection tools that tie their success to probabilities gives assurance by degree, but never 100% confidence either on stage of attack detected or on threat coverage.

Interestingly, containment might sound deterministic since it gives the impression that the problem is under control, but there is always the possibility that some threat could have leaked through the perimeter, turning it into more of a probabilistic strategy. And it straddles the line between active and passive. Containment passively waits for the threat, and then actively contains it.

In the end, these deterministic, probabilistic, active and passive perceptions end up contributing to the indefinite meaning of these three terms, making them highly influenced by public opinion and emotions. The three concepts in the eyes of the layperson turn into three levels of confidence based on a virtual confidence scale, with prevention at the top, containment in the middle, and detection as a tool of last resort. Detection gets the lowest confidence grade because it is the least proactive, and the least definite.


Today’s Defense Concept and What the Future Holds

Targets feel more exposed today than ever, with more and more organizations becoming victims due to newly discovered weaknesses. Attackers have the upper hand and everyone feel insecure. This imbalance towards attackers is currently driving the industry to focus on detection. It also sets the stage for the “security solution du jour” – when the balance leans toward the attackers, society lowers its expectations due to reduced confidence in tools, which results in a preference for detection. At a minimum, everyone wants to at least know an attack has taken place, and then they want to have the ability to mitigate and respond by minimizing damages. It is more about being realistic and setting detection as the goal, when there is an understanding that prevention is not attainable at the moment.

If and when balance returns and cybersecurity solutions are again providing the highest level of protection for the task at hand, then prevention once again becomes the holy grail. Ultimately, no one is satisfied with anything less than bullet-proof prevention tools. This shift in state-of-mind has had a dramatic impact on the industry, with some tools becoming popular and others being sent into oblivion. It also has impacted the way CISOs define their strategies.

Different Standards for Different Contexts

The state-of-mind when selecting the preferred defense concept also has a more granular resolution. Within each security domain, different preferences for a specific concept may apply depending on the state of the emergence of that domain. For example, in the enterprise world, the threat of targeted attacks in particular, and advanced attacks in general, used to be negligible. The primary threats ten years ago were general-purpose file-borne viruses targeting the computing devices held by the enterprise, not the enterprise itself or its unique assets. Prevention of such attacks was once quite effective with static and early versions of behavioral scanning engines. Technologies were initially deployed at the endpoint for scanning incoming files and later on, for greater efficiency, added into the network to conduct a centralized scan via a gateway device. Back then, when actual prevention was realistic, it became the standard security vendors were held to; since then, no one has settled for anything less than high prevention scores.

In the last five years, proliferation of advanced threat techniques, together with serious monetary incentives for cyber criminals, have created highly successful infiltration rates with serious damages. The success of cyber criminals has, in turn, created a sense of despair among users of defense technologies, with daily news reports revealing the extent of their exposure. The prevalence of high-profile attacks shifted the industry’s state-of-mind toward detection and containment as the only realistic course of action and damage control, since breaches seem inevitable. Today’s cybersecurity environment is comprised of fear, uncertainty, and doubt, with a low confidence in defense solutions.

Yet, in this depressing atmosphere, signs of change are evident. CISOs today typically understand the magnitude of potential attacks and the level of exposure, and they understand how to handle breaches when they take place. In addition, the accelerated pace of innovation in cybersecurity tools is making a difference. Topics such as software defined networking, moving target defense, and virtualization are becoming part of the cybersecurity professional’s war chest.

Cybersecurity is a cyclical industry, and the bar is again being optimistically raised in the direction of “prevention.” Unfortunately, this time around, preventing cybercrime won’t be as easy as it was in the last cycle when preventative tools worked with relative simplicity. This time, cybersecurity professionals will need to be prepared with a much more complex defense ecosystem that includes collaboration among targets, vendors and even governmental entities.


Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

Cyber-Evil Getting Ever More Personal

Smartphones will soon become the target of choice for cyber attackers—making cyber warfare a personal matter. The emergence of mobile threats is nothing new, though until now, it has mainly been a phase of testing the waters and building an arms arsenal. Evil-doers are always on the lookout for weaknesses—the easiest to exploit and the most profitable. Now, it is mobile’s turn. We are witnessing a historic shift in focus from personal computers, the long-time classic target, to mobile devices. And of course, a lofty rationale lies behind this change.

Why Mobile?
The dramatic increase in usage of mobile apps concerning nearly every aspect of our lives, the explosive growth in mobile web browsing, and the monopoly that mobile has on personal communications, makes our phones a worthy target. In retrospect, we can safely say that most security incidents are our fault: the more we interact with our computer, the higher the chances become that we will open a malicious document, visit a malicious website or mistakenly run a new application that runs havoc on our computer. Attackers have always favored human error, and what is better suited to expose these weaknesses than a computer that is so intimately attached to us 24 hours a day?

Mobile presents unique challenges for security. Software patching is broken where the rollout of security fixes for operating systems is anywhere from slow to non-existent on Android, and cumbersome on iOS. The dire Android fragmentation has been the Achilles heel for patching. Apps are not kept updated either where tens of thousands of micro-independent software vendors are behind many of the applications we use daily, security being the last concern on their mind. Another major headache rises from the blurred line between the business and private roles of the phone. A single tap on the screen takes you from your enterprise CRM app, to your personal WhatsApp messages, to a health tracking application that contains a database of every vital sign you have shown since you bought your phone.

Emerging Mobile Threats
Mobile threats grow quickly in number and variety mainly because attackers are well-equipped and well-organized—this occurs at an alarming pace that is unparalleled to any previous emergence of cyber threats in other computing categories.

The first big wave of mobile threats to expect is cross-platform attacks, such as web browser exploits, cross-site scripting or ransomware—repurposing of field-proven attacks from the personal computer world onto mobile platforms. An area of innovation is in the methods of persistency employed by mobile attackers, as they will be highly difficult to detect, hiding deep inside applications and different parts of the operating systems. A new genre of mobile-only attacks target weaknesses in hybrid applications. Hybrid applications are called thus since they use the internal web browser engine as part of their architecture, and as a result, introduce many uncontrolled vulnerabilities. A large portion of the apps we are familiar with, including many banking-oriented ones and applications integrated into enterprise systems, were built this way. These provide an easy path for attackers into the back-end systems of many different organizations. The dreaded threat of botnets overflowing onto mobile phones is yet to materialize, though it will eventually happen as it did on all other pervasive computing devices. Wherever there are enough computing power and connectivity, bots appear sooner or later. With mobile, it will be major as the number of devices is high.

App stores continue to be the primary distribution channel for rogue software as it is almost impossible to identify automatically malicious apps, quite similar to the challenge of sandboxes that deal with evasive malware.

The security balance in the mobile world on the verge of disruption proving to us yet again, that ultimately we are at the mercy of the bad guys as far as cyber security goes. This is the case at least for the time being, as the mobile security industry is still in its infancy—playing a serious catch-up.

A variation of this story was published on – Hackers are honing in on your mobile phone.

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

על גל הצונאמי של IoT העומד לשטוף את כולנו ועל הזדמנות הזהב של ישראל

Screen Shot 2016-03-03 at 10.05.39 AM

אין ספק שהעולם השתנה באופן דרמטי בעשרות השנים האחרונות עם הפיכת המחשבים לחלק בלתי נפרד מהמרקם האנושי. תחילה הגיעו המחשבים האישיים, לאחר מכן השרתים וציודי התקשורת שמאפשרים לכולנו ליהנות משירותים נפלאים ורבים. לאחר מכן הגיעו הטלפונים החכמים שאט אט הפכו לחלק בלתי נפרד מחיינו. ישנם הטוענים שמהפכת המחשוב השפיעה על האנושות לא פחות מהמהפכה התעשייתית. IoT הינו הגדרה רחבה מאוד אך ניתן לאמר שציוד המוגדר כ-IoT הינו כל פריט בעל יכולות חישוביות ותקשורתיות. למעשה גם המחשבים שלנו הם IoT למרות שההסתכלות היא לגבי מוצרים עתידיים ולא לגבי צורת המחשוב המוכרת לנו היום. כשמסתכלים לעתיד הלא כל כך רחוק של תחום ה-IoT מבינים שזה היה רק קצה הקרחון. האנושות עומדת בפני גל צונאמי של מחשבים קטנים שישטוף אותנו בעשרות השנים הבאות. מחשבים קטנים, בכל מיני צורות וצבעים, שיקיפו את חיינו. כל מכשיר ביתי ותעשייתי יהפוך לממוחשב, גופנו יהפוך לממוחשב, ביתנו, עירנו, הטבע ועולמנו בכללותו. גם המיקסר וגם האסלה. העלויות הנמוכות של מעבדים וזיכרון מחשב, התמזערות הרכיבים האלקטרוניים, מקורות אנרגיה זולים ואפשרויות תקשורת זולות וזמינות הניחו את הבסיס למהפכה זו בחמש השנים האחרונות. כיום אנחנו חווים נקודת זמן ייחודית בה ניתן לדמיין שילוב של יכולת חישובית ותקשורת כמעט עם כל פריט או פעולה בחיינו. מהפכה זו לא נעלמה מעיניי העולם הטכנולוגי והמסחרי, להיפך, יותר ויותר תעשיות מכוונות את העתיד שלהן לכיוונים בהם IoT מהווה חלק בלתי נפרד ממנו. אנחנו עומדים בפני עולם מחשובי חדש בו החוקים משתנים ונכתבים ממש בימים אלה על ידי אנשים יצירתיים מסביב לכדור הארץ. תפיסות קבועות בתחומים וותיקים ומבוססים כגון תקשורת, איחסון ואבטחה מתמוססות ומומצאות מחדש. ניתן בהחלט ובביטחון רב לאמר שהגל הבא של IoT הוא למעשה המהפכה המחשובית האמיתית של המאות ה-20/21.

תחום אחד וחשוב שברצוני להתעמק בו הינו תחום התקשורת. התקשורת כאחד מאבני הבניין של המחשוב כפי שאנו מכירים אותו נמצא בתהליך של שינוי עומק. עד כה תפיסת התקשורת התבססה על מספר הנחות יסוד לגבי הצדדים המתקשרים, הנחות שלא בהכרח מתקיימות בעתיד. לדוגמא תפיסת המרכזיות. התפיסה בה ציוד הקצה מתקשר עם ציוד מרכזי, תפיסה הידועה גם כתקשורת שרת-לקוח. תפיסה זו לא מתאימה לקטגוריות שלמות של מוצרי IoT. בוא ניקח תסריט עתידי בו אדם מסויים נושא על עצמו, או בתוכו, מספר פריטים ממוחשבים שנוצרו עבור מטרות שונות: קפסולה שבלענו שמסתובבת בדם ומנסה לאתר בעיות זרימת דם ואולי דלקות, צמיד שמודד לנו את הדופק ואת טמפרטורת הגוף מבחוץ, עדשות מגע שמאפשרות לנו להוסיף מציאות רבודה על פני המציאות שאנחנו רואים, נעליים שמודדות במדויק את תזוזות הגוף שלנו ומחשבות לנו את רוטינת הספורט לערב ועוד מוצרים וטכנולוגיות כיד הדמיון. לא הגיוני שכל אחד מהפריטים האלה יקיים תקשורת ישירה ויקרה אל מול שרת מרכזי מסויים הממוקם בענן איפשהו בארצות הברית. תקשורת ארוכת טווח צורכת אנרגיה רבה וכמובן דורשת בבסיסה ציוד תקשורת יקר וחבילת תקשורת יקרה. תקשורת ארוכת טווח נוצרה עבור חיבור של מחשבים וטלפונים חכמים כאשר ניתן לצפות שלכל אדם יהיה רק אחד מכל סוג ולא חיבור של מד זיעה קטן עם סוללה שמחזיקה לשנה. שינוי מתבקש בשיטת התקשורת המרכזית שמציג יעילות רבה יכול לקרות על ידי הוספת רכיב אחד בעל יכולת תקשורת חזקה אל מול המרכז ואותו רכיב מתקשר בתקשורת זולה יותר ומקומית עם כל הפריטים הממוחשבים שנמצאים על או בתוך גופנו. מעיין נציג תקשורת של כל ארסנל ה-IoT הפרטי שלנו.

ישנה קטגוריה שלמה של ציודי IoT שצריכים לפעול עם מקור אנרגיה חלש להרבה מאוד זמן – לתקופות של חודשים ושנים. לדוגמא חיישני מיקום הנמצאים על מוצרים המאוחסנים במחסן. תגים כאלה לא ניתנים לתכנון עם סוג הסוללה הקיימת בטלפונים שלנו, סוללה שבקושי מספיקה ליממה ומאוד יקרה. אחד העקרונות של סוג מוצר כזה הינו הצורך לפעול הרבה מאוד זמן וללא החלפת סוללה. יתרה מכך, פריט כזה, מצופה ממנו שעלותו תהיה נמוכה מאוד כך שיוגדר כמוצר מתכלה ויזרק בתום השימוש. עדיין פריט כזה מכיל כוח חישובי, חיישנים שמותאמים למטרה מסויימת בעלי יכולת דיווח, יכולת תקשורת כלשהי, מקור אנרגיה ועוד. דוגמאות נוספות לסוג מוצרים מקטגוריה זו הינם חיישנים סיסמוגרפים המפוזרים באוקיינוס, תגים על בקר, פחי זבל שמאותתים לחברת איסוף הזבל כשהם מלאים וציוד אישי שיכול להיות מסומן בצורה כזאת כדי לא ללכת לאיבוד. עבור קטגוריה זאת מומצאת בימים אלה סוג חדש של תקשורת בה יש מספר מתחרים לא מבוטל כאשר כל מתחרה רוצה להפוך את מרכולתו לסטאנדרד עולמי. תחום תקשורת זה מאופיין ביכולות פעולה לטווחים בינוניים וקצרים עם קצב נתונים לא גבוה אך צריכת אנרגיה נמוכה מאוד. טכנולוגיות כגון לורה, סיגפוקס וחלק מסטנדרד ה-5G מתחרות על לב מפתחי האפליקציות ומוצרי ה-IoT בז׳אנר זה. סוג תקשורת זה מהווה שינוי דרמטי למודל של ספקי התקשורת הסלולרית כפי שהיכרנו אותו. ספקי תקשורת מתבססים על תקשורת יקרה שדורשת השקעות מסיביות בתשתית כאשר במקרה זה אין צורך בכך. אין בהכרח יתרון לגודל החברה של ספק התקשורת. ניתן לראות ערים חכמות המקימות רשתות כאלה באופן עצמאי והופכות בעצמן לספקי התקשורת המקומיים בעלויות לא גבוהות במיוחד.

כשאומרים IoT מדובר על נקודת מבט רחבה מאוד המנסה לאגד לצרור אחד כל פריט שיהפך בעתיד לממוחשב ומקושר. הסתכלות חוצת תעשיות ואיזורים גיאוגרפים. תעשיית ההי-טק כחלק מתפקידה בבניין התשתיות עבור תחומים אלה מכלילה מוצרים רבים מתחומים שונים בזווית ראייה זו בכדי להגיע למכנה משותף. כאשר מתבהרת קטגוריה מסויימת של מוצרים או צרכים משותפים תעשיית ההי-טק ממציאה תשתיות וכלים שישמשו לבניית המוצרים והשירותים הדרושים. גם בישראל המהפכה הזאת לא נעלמה מעיני היזמים והיזמיות החרוצים והחרוצות וניתן לראות סטארטאפים רבים שמחדשים בתחומים רבים ב-IoT, גם בתשתיות עצמן וגם בייצור מוצרי קצה מהפכניים. אך כמובן זה לא מספיק בכדי להפוך למובילים עולמיים. מהפכה זו הינה הזדמנות חד פעמית עבור תעשיית ההי-טק הישראלית, הזדמנות בלתי חוזרת להיות חלק מהחלוצים שבונים את התשתיות של העתיד. באופן מסורתי ישראל הצטרפה לעולם ההיי-טק במידה מסויימת אחרי המובילות האמריקאית ולמרות שהיו ועדיין ישנן חדשנויות פורצות דרך אצלנו ברמה העולמית, התשתיות המשמעותיות הוקמו ונבנו על ידי חברות אמריקאיות ומסיבה מאוד פשוטה, הם היו שם קודם. הפעם יש הזדמנות של שווים בין שווים להיות חלק מהתעשיות ארוכות הטווח בתחום זה.

IT מהדורת פברואר 2016 – פורסם במגזין גלובס

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

לידתו של הארגון המודע – The Birth of the Conscious Enterprise – מגזין גלובס IT – ינואר 2016

Screen Shot 2016-02-03 at 8.26.17 PM

החיבור המתהווה בין אינטליגנציה מלאכותית, ביג דאטה והמערכות הארגוניות מגדיר מחדש את התחום של בינה עסקית בארגון. חיבור בלתי נמנע המסמן מהפכה במחשוב הארגוני, מהפכה שתשנה אותו ללא היכר. קפיצת מדרגה מהתפיסה הקבועה שבה מערכות מידע משרתות את מקבלי ההחלטות אל מצב בו מערכות אלה יוכלו לקבל החלטות תבוניות בעצמן, תחילתו של עידן הארגון המודע. בעידן זה ייסגר המעגל האוטופי של איסוף מידע, ניתוח, קבלת החלטות ויישומן באופן אוטומטי וממוחשב תחת פיקוח וכוונון אנושי. הדרך המובילה לשם נשענת על מספר מהפכות טכנולוגיות שהתחוללו בשנים האחרונות, טכנולוגיות שאט אט זולגות לתוך הארגונים.

תחום הבינה העסקית – Business Intelligence, תמיד היה ייחודי מעצם העובדה שמעולם הוא לא היווה חלק מהשדרה התפעולית או היצרנית של הארגון. כלי זה מאפשר הצצה אל גלגלי השיניים של הארגון – איסוף מדדים רבים ממערכות שונות וסיכומם לכדי תובנות המאפשרות לעובדים בכל הדרגים לקבל החלטות מלומדות יותר בכדי לשפר ולייעל. במשך שנים הצדקתו והטמעתו של התחום בתעשיות רבות היה אתגר לא קטן, במיוחד בתעשיות שלא הפכו להיות ממוחשבות בצד התפעולי שלהן באופן מהותי. בתעשיות המבוססות על חישוביות בהן מידע מהווה את הדלק הראשי שמניע את העסק כמו בתחום הפיננסיים, הבינה העסקית פרחה והפכה לחלק בלתי ניפרד מהתשתיות הארגוניות. באופן מסורתי מערכות בינה עסקית מורכבות משני חלקים עיקריים: החלק הראשון הינו החיבור למערכות הארגוניות ואיסוף הנתונים הנוצרים כתוצאה מהפעילות השוטפת. החלק השני מכיל את הצד שמקבל את הנתונים שנאספו, מנתח אותם ומציג אותם בצורה יעילה ורלוונטית עבור מקבלי החלטות בכל הדרגים. מערכות תומכות החלטה עבור מנהלים ועובדים בשכבת התפעול של הארגון, מכירות, שיווק, הפצה ועד ההנהלה הבכירה. ארגונים ייחודיים המתבססים על מחשוב באופן כמעט מוחלט התקדמו שלב נוסף בתחום ה- BI, שלב בו התוצאות המופקות מהניתוחים השונים מוזנות בחזרה לתוך המערכות התפעוליות באופן אוטומטי. בזהירות רבה ותחת בקרה מוקפדת ארגונים מסוימים מאוד כבר כעת מתקרבים לשלב של הזנה חוזרת ממערכות הבינה העסקית לתוך המערכות התפעוליות. המעגל המלא של איסוף, ניתוח והזנה חוזרת היה תמיד הגביע הקדוש של המחשוב הארגוני ומספר אתגרים מנעו עד כה קפיצה זו.

בשנים האחרונות התפתחו שני תחומים שלכאורה לא קשורים לתחום הבינה העסקית: תחום הביג דאטה שנוצר מאפס וזינק בכל המימדים: חדשנות, השקעות, רעש תקשורתי והתפתחות כלים. תחום הבינה המלאכותית שחזר לאופנה עם יישומים וטכנולוגיות מרהיבות – תחום זה אינו חדש, להיפך, הוא בין התחומים הוותיקים ביותר בעולם המחשוב, וותיק כמו המחשבים הראשונים. בשנים האחרונות הוא זוכה לעדנה מחודשת בזכות יכולות חישוב חזקות במיוחד, התפתחויות מחקריות ויישומים מוצלחים הנוגעים בכולנו, כמו זיהוי אנשים ועצמים בתמונות או רכבים אוטונומיים.

תחום הבינה המלאכותית מכיל שני תתי תחומים מובילים ומעניינים במיוחד: לימוד מכונה ולימוד עמוק מבוסס רשתות נוירונים או Deep Learning. תחום הלימוד מכונה התפתח רבות בעשור האחרון בזכות יכולתו לייצר יישומים נדרשים כמו מערכות המלצה ומערכות סיווג. לדוגמא יישומים שקיימים בכל חנויות הספרים הממליצים לך איזה ספרים לקרוא או מערכות לזיהוי וסיווג דואר אלקטרוני כספאם. מאחורי הקלעים נוצרה יכולת ללמד מחשב לזהות דפוסי התנהגות בתוך מאגר נתונים מסוג מסוים, לדוגמא על ידי ״אימון״ המחשב עם נתונים המייצגים את התופעה שאנחנו מעוניינים לזהות ולאחר מכן לתת למחשב להחליט לבד האם הוא רואה התאמה כשהוא פוגש נתונים חדשים מאותו סוג. לימוד עמוק מהווה קפיצת מדרגה בתחום הלימוד מכונה בזכות השימוש ברשתות נוירונים. רשתות נוירונים הן מודל חישובי המנסה לחקות את הצורה שבה עובדים חלקים מסוימים במוח האנושי מה שייצר עד כה תוצאות מפתיעות למדי. מערכות לימוד עמוק הצליחו לשכפל בהצלחה, כמובן עד רמה מסוימת, יכולות אנושיות של זיהוי תמונה, זיכרון ארוך טווח, תשומת לב ועוד. חלק רב מפיתוחים אלה עדיין לא הגיעו לשלב היישומי אך ההתפתחות וההוכחה הטכנולוגית הושגה.

תחום הביג דאטה, מעבר לכל הרעש התקשורתי סביבו, היה ועודנו בעיקר תחום של בניית כלים חדשים המאפשרים העברה, אחסון, ניתוח ושליפה של כמות נתונים גדולה. סדר הגודל של כמות הנתונים הינו הכוח המניע בתחום זה ומכאן מגיע השם ״ביג״. תחום זה לא נולד בעולם המחשוב הארגוני אלא נבט בעולמות כמו פייסבוק, גוגל, קהילות המודיעין וגופי תקשורת בהן כמות הנתונים הינה עצומה ולא סדורה. בעולם הארגוני, באופן טבעי עם חדירת המחשוב לכל פינה כמות הנתונים התפעוליים גדלה באופן דרמטי וכלי ניהול נתונים המוכרים לנו כבר עשרות שנים כגון מסדי נתונים של אורקל או מיקרוסופט הפכו ליקרים מדי ובהרבה מקרים לא מתאימים טכנולוגית להתמודד עם כמות הנתונים הגדולה. בעולם הביג דאטה אנחנו כעת בסיומה של התקופה הראשונית של בניית התשתיות ונכנסים לשלב של בניית יישומים על בסיס הכלים שנוצרו. יישומים ראשונים ניתן לראות בתחום הפרסום, סייבר, פיננסיים ומסחר. אחד האתגרים המשמעותיים שהתגלו בתחום הביג דאטה היה היכולת לבצע ניתוחים על כמות נתונים מאוד גדולה, שיטות הניתוח הנהוגות בעולם המתמטי/סטטיסטי שעבדו נהדר עם כמות נתונים קטנה ובינונית לא מצליחים לעבוד כהלכה בהיפגשם עם שטף נתונים גדול. המצב בו הנתונים רבים, לעולם לא מפסיקים לזרום והרבה פעמים מאוד מגוונים בפורמט ובתוכן שלהם דורש תפיסת ניתוח חדשה. לכאן בדיוק התאימה שיטת לימוד המכונה. למעשה ביג דאטה התחבר לתחום הבינה המלאכותית עוד בימיו הראשונים ומתבסס עליו רבות בצד של כלי הניתוח.

כאמור תחום הביג דאטה הולך ונשזר בתחום הבינה המלאכותית וכשמחברים יכולות משותפות אלה לתוך הארגון מקבלים מערכת ניהול נתונים שיכולה לאסוף כל כמות מידע בצורה מהירה ויעילה וכמובן יכולות ניתוחיות המתקרבות באופן פעולתן לבני אנוש. החיבור המתבקש לכלי הבינה העסקית בארגון בהן טמון ומוגדר קול ההיגיון של הארגון וההגדרות של הפרמטרים העסקיים החשובים יהיה השלב הטבעי הבא. כשזה יקרה לא יהיה מנוס מלבצע חיבור נוסף ואחרון של התובנות שנוצרות במערכת שכזאת בחזרה אל תוך המערכות התפעוליות הארגוניות בצורת החלטות קונקרטיות. מעין מוח ארגוני שאוסף כל נתון שקיים בתוך הארגון, לומד אותו ומבין אותו ואז בהתאם לחוקיות הנהוגה בארגון המסוים מפיק לקחים ומסקנות בדמות החלטות תפעוליות המוזנות בחזרה פנימה. לידתו של הארגון המודע. תודעה חדשה שתוכל להבין בעצמה את המצב בארגון, תקבל החלטות, תתקן את עצמה וחוזר חלילה, מערכת שתוכל לספר לנו מה המצב באמת על כל היבטי המציאות של הארגון. קשה לדמיין עתיד כזה ולהבין את המשמעות שלו לגבי התעשייה ולגבינו, בני האדם החיים בעולם שכזה.

כמובן שמדובר בחזון שנשמע אוטופי לעולם המחשוב הארגוני אך לא אתפלא אם ברגעים אלה ישנם מספר ארגונים שמתקרבים בצעדי ענק ליכולות אלה. חברות בעלות תחכום פנימי גבוה מאוד, יכולת ייחודית הנשמרת בסוד כמוס. מכל החברות הגדולות דווקא אמזון הם החשוד המיידי שלי.

פורסם במגזין גלובס IT מהדורת ינואר 2016

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

איומי סייבר על הטלפון שלך: אתגרים, טכנולוגיות, ותחזית לשנים הבאות – דצמבר 2015 – גלובס מגזין IT

Screen Shot 2016-01-08 at 9.24.52 AM

הטלפונים שלנו מהווים כיום את אתגר האבטחה הגדול ביותר עבור העולם הארגוני ולא בכדי. הטלפון הפך למחשב הנייד האמיתי של כולנו עם קישוריות אינטרנט עוצמתית, יכולת התקנה מיידית של תוכנות חדשות מתוך מאגר אפליקציות בלתי נדלה וכלי תקשורת עיקרי ברמה הפרטית והעיסקית. החשיבות הגוברת של מכשיר זה בחיינו לא נעלמה מהתוקפים שהפכו את הטלפון ליעד אטרקטיבי להשגת מטרות שונות. החל מגניבת הזהות הפרטית לצורך עשיית רווחים ועד תקיפות ייעודיות נגד ארגונים וכאן הסיפור מתחיל להסתבך. הטלפון הפרטי שלנו הפך לחלק בלתי נפרד ממערך המחשוב הארגוני של חברות רבות בזכות חיבור קל יחסית ליישומים ארגוניים. כיום כל תוכנה ארגונית מתגאה בהתאמה שלה לטלפונים בכדי לאפשר עבודה בלתי פוסקת בין אם אנחנו במשרד או לא. קישוריות זו לארגונים הפכה את הטלפון שלנו לכלי המועדף לביצוע תקיפות אצל גורמים עויינים שמחפשים תמיד אחר דרכים מהירות ופשוטות להשיג את מטרתם. ואכן קל מאוד מבחינה טכנית לשתול קוד עויין בטלפון של עובד זה או אחר בכדי לחדור למערכות הארגוניות.

הערבוב בין השימוש הפרטי לעסקי בטלפון פועל לרעתנו ומאפשר את קיומן של חולשות רבות המנוצלות היטב על ידי תוקפים. לדוגמא, החופש להתקין כל אפליקציה על הטלפון בניגוד כמובן למה שקורה על המחשב הארגוני שלנו, מאפשר לאפליקציות עויינות שמתחפשות לאפליקציות לגיטימיות לחדור בקלות לטלפון ולבצע את זממן באין מפריע. רק השנה חוקרים מצאו בחנות האפליקציות של גוגל 30,000 אפליקציות שסווגו כפוגעניות. דוגמא נוספת הינה ההגנה על התקשורת שיוצאת ממכשיר הטלפון. הטלפון שלנו מתחבר במשך היום לרשתות אלחוטיות רבות, מוכרות ולא מוכרות, רשתות שהביטחון בהן נמוך מאוד. חופש תקשורתי זה מגביר באופן דרמטי את הסיכוי להאזנות, גניבת מידע ושימוש בנתונים הכוללים את הזיהוי של המשתמש לביצוע תקיפות מאוחרות יותר. הימים בהם הארגון שלט בטלפון של העובד באופן מוחלט עברו וחלפו והבנה זאת חילחלה גם לספקי התוכנה והיצרנים של הטלפונים וכמובן לממונים על האבטחה. המתח הזה בין החופש בשימוש בטלפון לבין הצורך בהגנה על הסביבה הארגונית נמצא היום בראש העדיפויות של מנהלי האבטחה הארגוניים. צורך מתהווה זה נקלט גם במוחם היצירתי של יזמים רבים בתחום הסייבר וזליגת האיום הארגוני למובייל היתה ועדיין מהווה כר פורה להמצאות טכנולוגיות שונות. ישראל, כמובילה טכנולוגית עולמית בתחום האבטחה, מהווה שחקן נכבד גם בתחום זה עם מספר לא מבוטל של סטארטאפים וחברות בוגרות יותר שמציעות פתרונות אבטחה לתחום המובייל.

תחום זה נוצר לפני מספר שנים מיד עם ההצלחה המסחררת של טלפונים חכמים וצפוי בשנים הבאות להתממש במובן של רכישות והתפתחות יישומים וטכנולוגיות עם התאמה טובה לשוק. טכנולוגיות האבטחה בתחום המובייל מתחלקים למספר קטגוריות:

טלפונים מאובטחים – גוגל, סמסונג, בלקברי וסטארטאפים נוספים מנסים לכבוש את שוק הטלפונים המאובטחים. החל מטלפונים מאובטחים ברמה צבאית המיועדים עבור גופים ממשלתיים וצבאות עד טלפונים שמאפשרים קיום הפרדה בין פעילות פרטית לעסקית על מכשיר אחד. בתחום זה הושקעו עד כה מאות מיליוני דולרים ולמרות ההשקעה הרבה טרם נוצר סטאנדרט עולמי. הקושי בתחום זה נובע ממגוון צורות השימוש בטלפון ובהתאמה צרכי האבטחה השונים. בנוסף נוכחנו לראות פעם אחר פעם תקיפות אפקטיביות נגד המודלים הכי מאובטחים. בעתיד נראה איך עבור הקהל הרחב נבנות אט אט תשתיות אבטחה על המכשיר עצמו שמאפשרים בניית פתרונות אבטחה מגוונים ובמקביל הפיכה של סוגים מסויימים של טלפונים מאובטחים לסטנדרט בתחומים צרים כגון המגזר הממשלתי. תחום זה כולל בתוכו גם פתרונות בתחום אובדן וגניבת טלפונים.

מערכות הגנה מאיומים אקטיביים תחת קטגוריה נרחבת זו ניתן למצוא אנטי ווירוסים, מערכות לזיהוי קוד עויין בזמן ריצה, מערכות זיהוי שינוי תצורה של הטלפון, אכיפה אקטיבית של מדיניות אבטחה על הטלפון ופתרונות המתחברים למערכות ההגנה הארגוניות ומשתפות איתן פעולה בניסיון לזהות התנהגות עויינת. קטגוריה זו צפוייה להיות הצומחת ביותר בשנים הקרובות מכיוון שפתרונות אלה מאפשרים גישת אבטחה פרואקטיבית במצב של אי וודאות. טכנולוגיות מסויימות כגון חיבור למערכת ההרשאות הארגונית וחיבור למערכת האתראות האירגונית כבר הוטמעו בארגונים רבים ובמקביל ישנם אתגרים שנותרו ללא מענה מספק. לדוגמא, היכולת לזהות קוד עויין בזמן ריצה עדיין לא מומשה מכיוון שאופי האיומים על טלפונים משתנה כל הזמן. קושי נוסף בתחום זה נובע מהעובדה שהמודל החישובי של טלפון חכם שונה באופן משמעותי מהמחשב השולחני וספקי פתרונות האבטחה עדיין לומדים את הנושא בניסיון לייצר עבורו פתרונות מתאימים. ישראל צפוייה להיות שחקן משמעותי בתחום זה הודות לניסיון הרב הנצבר בתעשייה בנושא של תקיפות והגנות.

תקשורת מאובטחת נושא התקשורת וותיק מאוד ומכיל בתוכו טכנולוגיות שונות כגון הצפנה לצורך יצירת תקשורת נתונים מאובטחת מכל מקום בעולם ויכולות ניטור של אנטנות אלחוטיות וניסיון לזהות את רמת אבטחתן. בתחום זה ניתן לראות ערב רב של גישות חדשניות ובהחלט צפוי לראות בקרוב התממשות של חלק מהטכנולוגיות המוצעות מכיוון שצורך זה הינו בסיסי ופתיר.

אפליקציות מאובטחות בשנתיים האחרונות נוצרה הקטגוריה של אפליקציות מאובטחות המאפשרות עבודה בטוחה עם הארגון ושימוש בטוח באפליקציות צרכניות רגישות כגון בנקאות ישירה. ישנן מערכות המאפשרות למפתח האפליקצייה לבדוק האם ישנם חורי אבטחה באפליקציות, פתרונות המעשירים את האפליקציות ביכולות אבטחה דינמיות ומנגנונים המנטרים בצורה אקטיבית אפליקציה זו או אחרת. תחום זה נמצא בשלב החדשנות ויקח זמן לא מועט עד שיהפוך לשוק קיים. ייתכן שבעתיד יווצר חיבור בין יצרני טלפונים מאובטחים ליצרני טכנולוגיות אלה בכדי לייצר פתרונות משלימים.

אבטחת נתונים-טלפונים מחזיקים בנתונים הכי חשובים שלנו. בין אם זה גישה לבנק או לכרטיסי אשראי הרשומים בתוך המכשיר עד לגישה לתמונות האישיות או ארכיון של התקשורות השונות. בתחום זה צומחות מספר טכנולוגיות ופתרונות הנועדו לזהות שימוש לא מורשה במידע באופנים שונים. תחום זה של אבטחה נמצא בשלבים הראשוניים ביותר וצפוי לצמוח בהתאמה לכמות אירועי גניבות המידע שיקרו בשנים הבאות.

כפי שניתן לראות תחום האבטחה במובייל חי ובועט וצפוי להפוך להיות אחד התחומים המובילים בעולם הסייבר בשנים הבאות, במיוחד לאור הצמיחה הצפוייה בכמות התקיפות על טלפונים.

פורסם במגזין גלובס IT מהדורת דצמבר 2015

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

Israel, The New Cyber Superpower


The emerging world of ever-growing connectivity, cybersecurity, and cyber-threats has initiated an uncontrolled transformation in the balance of global superpowers. The old notion of power relying on the number of aircraft and missiles a country owns has expanded to include new terms—terms such as the magnitude of a denial of service attack and the sophistication of advanced persistent attacks, which has changed the landscape forever. A new form of power has emerged, with new rules of engagement expressed by bits and bytes, and deep knowledge of how networks and operating systems work. In the recent decade, Israel naturally evolved to become one of the top players in this new playground, and the reasons for this change are rooted deeply in its history.

Israel, a rather “new” nation on the face of the earth, has two main distinctive characteristics compared to many other countries: the entrepreneurial spirit that served as a backbone for building the country from the ground up and the ongoing resistance of its close and distant neighbors to accept it as a legitimate nation. This ongoing struggle pushed the country to the forefront of technology for both defense and offensive. Furthermore, since Israel is a small country, the goal of seeking an advantage in a different arena where wisdom plays a bigger role than money was natural— the world of cybersecurity created such opportunity. This advantage evolved into a mature and proven cybersecurity capability that is being put to the test every second of the day.

Israel’s cybersecurity core competence has flowed into the commercial world, utilizing its unique entrepreneurial spirit. Cybersecurity as an industry has always been the preferred choice for many entrepreneurs due to their deep expertise in that area. This expertise created a true global competitive edge that was much needed by Israeli companies due to the challenges faced by a small remote country trying to succeed in the main markets of the U.S., Europe, and Asia. Furthermore, the available talent inflow from the army and other defense-related organizations serves as a unique resource that is highly desired nowadays by many multi-national companies that are aiming to establish their cybersecurity presence in Israel.

In recent years, with the emergence of cybersecurity as a globally important topic, Israel maintained its leadership in innovation with a high ratio of startups in that domain. While Israel has several large security companies, its startup industry is perceived as only generating innovative ideas, lacking the ability to sell its products unless acquired by a global company. The Israeli startup industry is supported by the local venture capital industry together with dedicated support from the Israeli government. They are pushing to help more and more Israeli companies become prominent global players on their own.

Israelis once again turned lemons into lemonade by creating strong cyber capabilities as a consequence of its political position and challenges. Furthermore, these capabilities position it as a strong solution provider for many countries and companies facing similar challenges.

Originally published on the CIPHER Brief

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

Congratulations! Morphisec raises $7M

Israeli startup Morphisec, which develops cyber security prevention and detection tools, has closed a $7 million Series A funding round led by Jerusalem Venture Partners (JVP), GE Ventures, Deutsche Telekom, Portage Advisors llc., and OurCrowd. The company has raised $8.5 million to date, including this financing round.

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+

Recent Media Coverage

Here are few links to recent media appearances:

Why Israel dominates in cyber security on Fortune

“The challenging environment Israel faces in the Middle East in the physical world has reflections also on the cyber world,” says Dudu Mimran, CTO of the Cyber Security Research Center at Ben-Gurion University, located in Beer Sheva, Israel.

An Israeli security bigwig built Windows like ‘Microsoft should be doing’ on Business Insider

Dudu Mimran is the co-founder of an Israeli security startup called Morphisec that is creating a super-secure version of Microsoft Windows like “Microsoft should be doing” he tells Business Insider.

Researchers Hack Air-Gapped Computer With Simple Cell Phone o Wired

“This is not a scenario where you can leak out megabytes of documents, but today sensitive data is usually locked down by smaller amounts of data,” says says Dudu Mimran, CTO of the Cyber Security Research Center.

Tweet about this on TwitterShare on LinkedInShare on RedditEmail this to someonePrint this pageShare on FacebookShare on Google+