גלובס - עיתון העסקים של ישראלאתר נגיש

חברת הסייבר אופורה, שהקים ראש השב"כ לשעבר יובל דיסקין, הודיעה על השלמת גיוס סיד בסך 7 מיליון דולר בהובלת קרן ההון סיכון JVP. המערכת שפיתחה אופורה מאפשרת מניעת התקפות לפני שהן מגיעות לרשת הארגונית. לשם כך החברה עושה שימוש בטכנולוגיה המבוססת על גישה של איסוף מודיעין על התוקפים ועל דפוסי ההתנהגות שלהם בשלבים מוקדמים, עוד כשהם נערכים לתקיפת סייבר. זאת, על פי הודעת החברה, "בדומה לשיטות החדשות המיושמות כיום בעולם הביטחוני".

בגיוס לא השתתפו קרנות נוספות, אך צוין כי בגיוס השתתפו בו "משקיעים פרטיים ואנג'לים". בעקבות הגיוס יצטרפו לדירקטוריון החברה נציגי JVP היו"ר והמייסד אראל מרגלית, ויוליה קגן. החברה מסרה כי "תשתמש בהון שגויס להרחבת צוות הפיתוח בישראל, למכירות ושיווק".

אופורה הוקמה בשנת 2018 על ידי דיסקין, יחד עם בכירי השב"כ לשעבר נועם יולס וצפריר כץ, ויחד עם כריס בל לשעבר מייסד שותף וסמנכ"ל Securonix מסן פרנסיסקו, המכהן כמנכ"ל החברה. אופורה פועלת מישראל ומסן פרנסיסקו. מרכז הפיתוח של החברה מומקם ברעננה ומעסיק כעשרים עובדים. לחברה מדווחת על "לקוחות ממספר גאוגרפיות הפועלים בתחומי הבנקאות, השירות, ענפי ייצור ותרופות".

מרגלית הסביר על הייחוד של אופורה בנוף הסייבר - "ישראל הביאה את שלושת הפרדיגמות הגדולות לסייבר העולמי, השלב הראשון הוא הפיירוואל שיצרו צ'קפוינט, השלב השני הוא הפתרון של סייבארק, ההתמודדות עם התוקף מבפנים והשלב השלישי היא אופורה שמכריעה את התוקף אצלו בבית עוד לפני שהספיק לתקוף".

בשיחה עם "גלובס", הסבירה סמנכ"לית הטכנולוגיה של אופורה, נועם יולס, שהגיעה לאופורה לאחר שרות של 18 שנים בשירות הביטחון הכללי, מעט יותר על אופן הפעולה של המערכת שפיתחה החברה. "באופן כללי עולם האבטחה מחולק לשלושה חלקים מרכזיים - מניעת המתקפה, איתור המתקפה, ותגובה למתקפה. הראשון הוא נעשה על ידי הפיירוול, שיושב על רשת ארגונית, שכמובן לא מצליחה למנוע את כל המתקפות. לכן עלתה הפופולריות של שני האמצעים האחרים. מערכות האיתור יושבות אחרי הפיירוול, מסתכלות מה קורה, ומנסות לזהות חריגות, אנומליות כדי לזהות אם אירעה תקיפה, ולאחר מכן מגיע שלב התגובה שנועד להכיל את המתקפה. המערכת שלנו לא מתעסקת באף אחד מאלו - אלא בסיכול המתקפה. הרעיון הוא שבמקום להתקין עוד ועוד מערכות הגנת סייבר, שמחפשות את התוקף אחרי שהוא כבר תקף, אנחנו אמרנו לעצמנו בואו בעצם ננסה לצאת צעד אחד מחוץ לרשת ולאתר אותו רגע לפני שהוא מכה".

הסיבה לבחירה הזו, הסבירה יולס, היא "משום שהשיטות האחרות הגנת הארגון היתה תלויה בכך שהתוקף יגיע לרשת שיגיע ויתנהג לפי סט התנהגויות שהוא כביכול צריך להתנהג. אם מסתכלים על הגישות האלה ביחסי הכוחות בין תוקף למגן, מבינים שהם מעולם לא שווים. תמיד היתרונות הן אצל התוקף. בגישה שלנו המשחק הוא לאפשר יכולת שמסתכלת צעד אחד מעבר לרשת הארגון ומנסה להקדים אותו. המערכת של אופורה היא 'משבשת' במובן שהיא משחקת באיזור שהוא או לא קיים, או יחסית לא מפותח בעולם אבטחת הסייבר והיא הולכת בניגוד למגמה של הסתגרות לתוך הרשת".

היכן אתם מחפשים את התוקפים?

"כשהתחלנו את המסע לעולם הסייבר, היינו צריכים ללמד את עצמנו לאסוף מודיעין מחדש. דיסקין ואני דיברנו על שההתנסות בשב"כ הביאה את יכולותינו לשיא. בתוך ארגון הביטחון הדאטה מאוד נגיש וזמין, וגם אם הוא לא זמין ומונגש, יש יחידות טכנולוגיות שלמות שלפי תיעדוף הגיוני יביאו לך אותו. לכן, אחד האתגרים כאן היה איך בכלל מייצרים יכולת על בסיס מידע שאנו צריכים להגיע אליו, ומה לעשות איתו. הגישה שלנו באופן כללי נסמכת על הגישה הסיכולית, שמסתכלת על הדברים אחרת מאשר מודיעין קלאסי. הגישה הסיכולית היא גישה שמכוונת להגיע מאוד מאוד מהר ממצב שבו יש אות מודיעיני, סיגנל, חלש, למצב שבו אתה מניע פעולה מול האות המודיעיני, הסיגנל, הזה ובדרך אתה מוותר על הרבה מהסיפוריות הגדולה והמחקר המעמיק של המודיעין הקלאסי. לכן זו גישה שפותחה להתמודד עם טרור.

"גישת האיסוף שלנו, נסמכת על כך שנזהה צווארי בקבוק מתוך הנחת יסוד שבהם שאומרת שרבים מהתוקפים יעברו שם, בצווארי הבקבוק האלה. שם נוכל לראות אותם עוברים, ומצביעים על שורה ארוכה יחסית של התנהגויות מורכבות שיאפשרו ליצור פרופיל התנהגותי. ברגע ששומעים את הגישה הזו, מבינים למה אוטומציה מסתדרת עם זה בצורה טובה".

היכן אתם מחשפים את התוקפים? בדארק נט? בשרתי פרוקסי? מה הבסיס החוקי של המערכת לפעול מחוץ לארגון?

"עשינו תהליך למידה ארוך של מעל שנתיים שבו נסינו לבדוק איפה יכולים להיות אותם צווארי הבקבוק. היו לנו שני תנאים לתהליך - שיכיל כמה שפחות הנחות יסוד לגבי מי עלולים להיות התוקפים, ושהוא יהיה חוקי ומבוסס על מידע גלוי לחלוטין. לא הקמנו את החברה עד שלא הבנו שאנו עומדים בתנאים האלה. היום צווארי הבקבוק הללו נמצאים באיזורים שהם כל המידע שלהם נגיש לחלוטין החוצה, רגולטורי וחוקי, כמו למשל אזור הרישום של כתובות האינטרנט בעולם (Global DNS), משם מגיעה היכולת לנתח את המידע.

"יש ויכוח האם זה באמת חשוב בסוגיית הייחוס - מי עומד מאחורי התקיפה, איזה יתרון זה עשוי להעניק לגורם המגן. אנחנו אמרנו - אנו חושבים שזה חשוב, בדיוק בגלל שאנחנו רוצים גם לעזור באמצעות שיטת הפרופיילינג ההתנהגותית, לעזור למנהלי האבטחה בארגון לסגל לעצמם איזושהי שליטה על עולם האיומים איתם הם מתמודדים. הם באים ואומרים 'כולם תוקפים אותי כל הזמן/, זה אומר שהם נמצאים במצב פאניקה תמידית. מה שהבאנו מגישתנו - זה להבין את איום הייחוס, למה למשל, מאחורי חמישים אחוז מהתקיפות עומד אותו תוקף?

"לאחר שהמנכ"ל החברה כריס בל הצטרף נפגשנו עם בנק אירופאי גדול, שספג בשנה שעברה למעלה מאלפיים תקיפות. הרצנו את המודלים שלנו על הנתונים וגילינו שלמעלה משלושים אחוז מהתקיפות היה אחראי אותו תוקף. ברגע שהבנו את דפוס הפעולה שלו, הפעולות שלו הפכו להיות מאוד חשופות לנו ויכולנו לראות את מי עוד הוא מטרגט. הבנקים משתפים מידע ביניהם וכך גם גילינו שהוא תוקף את הבנקים בסדר מסוים ועבר מאחד לאחד באותו סדר ובאותן התקופות. כך התאפשר לנו להעניק לבנק התרעה מראש".

האם אתם מנסים לאתר לא רק את המתקפות, את התוקפים עצמם, האנשים שמאחורי המתקפה?

זה לא מעניין את הלקוחות שלנו. גם כשמנסים לבקש עזרה מגורמי אכיפת החוק אז די מבינים שזה לא הכרחי. ברגע שהבנו שמקורה של מתקפה מסוימת באותו תוקף, זה מעניק כלים אחרים להתמודד איתו, שהם לאו דווקא להגיע אליו הביתה.

מדוע גייסתם סכום גבוה בגיוס סיד?

כרגע אנחנו כ-20 עובדים, שנמצאים מרביתם ברעננה, וחלקם הקטן בארה"ב. אנחנו מתכננים גידול במחקר ובפיתוח, בישראל בעיקר, של מתכנתים בעלי רקע מודיעיני, כאשר הגידול בצוות המכירות יקרה רק בהמשך, כשהחברה תגדל משמעותית. אנו מתכננים שבעוד כשנה נצא לסבב גיוס A מרשים.