גלובס - עיתון העסקים של ישראלאתר נגיש

שלמה קרמר / צילום: איל יצהר

חברת הסייבר ארגון (Argon) הודיעה השבוע על יציאה ממצב "Stealth" ונחשפת לראשונה. בין משקיעיה, שלמה קרמר, ממייסדיי צ'קפוינט ואימפרבה וכיום מנכ"ל סטארטאפ הסייבר קאטו נטוורקס שמתמחה בהגנה על הענן.

החברה החדשה, שנוסדה על ידי יוצאי יחידת 8200 של חיל המודיעין ויחידת "אופק" של חיל האוויר, מתמחה בהגנה על מה שמכונה "שרשרת האספקה של פיתוח התוכנה". מדובר ברגישות אבטחה הקשורה באופן שבו מבוצע כיום תהליך הפיתוח וההפצה של תוכנה, אשר שימש בתפקיד מרכזי בהתפשטות מתקפת הסייבר "סולרווינדס" הנחשבת החמורה בתולדות ארה"ב.

פעולת סייבר בארה"ב

מתקפת הסייבר על חברת סולרווינדס, שדבר קיומה פורסם באמצע דצמבר 2020, הייתה נקודת מפנה תודעתית בעולם הסייבר בעקבות המבוכה הרבה שנגרמה לתעשייה. הסיבה לכך היתה שילוב של המספר הרב של הארגונים שנחשפו למתקפה, רמת החשיבות שלהם והעובדה שדבר קיומה של המתקפה נחשף על ידי FireEye, חברת סייבר מוערכת - שנפגעה בעצמה במתקפה. עד היום לא יודעים, וייתכן שגם לא נדע, את היקף הפגיעה בעקבות הפריצה לחברה, שהתפשטה והגיעה לכ-18 אלף ארגונים, בהם מיקרוסופט, סיסקו, אנבידיה, אינטל, דלויט, Vmware, וגם גופי ממשל רבים ובראשם משרד ההגנה האמריקאי.

התוקפים, ככל הנראה האקרים רוסיים בגיבוי מדינתי, הצליחו לחדור לחברת סולרווינדס שמפתחת מערכות ניהול תשתית IT פופולרית בארגונים גדולים, בדגש על מוסדות ממשלתיים. ההאקרים חדרו לחברה תוך שהם מצליחים להשיג הרשאות גישה למערכת, כאילו היו עובדים בחברה. כך הצליחו התוקפים לזהם כבר במקור את עדכון התוכנה התקופתי ששולחת סולרווינדס ללקוחותיה, בין היתר כדי לסתום חורי אבטחה. לא ידוע ההיקף האמיתי של הארגונים שכלפיהם הופעל הווירוס על ידי התוקפים, לאחר שאלה נדבקו. ייתכן גם שהווירוסים עדיין מחכים ליום פקודה.

מתקפת סולרווינדס הגיעה גם לישראל, אך על פי ראש מערך הסייבר הלאומי יגאל אונא, דווקא הרשלנות כביכול של אנשי האבטחה, שבניגוד להנחיות לא הזדרזו להתקין את עדכון התוכנה של סולרווינדס, עזרה לישראל לעבור אותה בשלום. מתקפת סולרווינדס לא היתה הראשונה מסוג זה. במאי בשנה שעברה פורסם כי במתקפה על תהליך פיתוח התוכנה של חברת דיימלר, נחשפו קטעי קוד של הרכבים החכמים של המותג מרצדס.

עבודה במקטעים

"אם בעבר צרכן התוכנה היה מוריד תוכנה ומקבל עדכון פעם בכמה שבועות, חודשים או שנה, עם המעבר לענן החלה להתפתח צורת עבודה חדשה - הדב-אופס - שמחלקת את העבודה כולה למקטעים קטנים ובכך מאפשרת הפצת עדכוני תוכנה על בסיס יומי. תהליך זה משתמש בסדרה של שירותי ענן וכלי קוד פתוח, הפותחים את רשת הארגון לסביבות חדשות בהן קוד המקור מועתק, מועבר ומשותף", מסביר ערן אורזל, שעזב את תקיד אחראי השותפויות האסטרטגיות בצ'קפוינט, כדי לחבור למייסדים, המנכ"ל אילון אלחדד, יוצא 8200, וסמנכ"ל הטכנולוגיות עילם מילנר, יוצא אופק.

את השניים הכיר אורזל, המשמש כעת בתפקיד CRO בחברה, דרך נתי שוחמי, עימו עבד בצ'קפוינט וכיום משמש שותף מנהל בקרן ההון סיכון Hyperwise ונצ'רס, שהשקיעה ב"ארגון".

תהליך הפיתוח הזה שהחל לתפוס בשנים האחרונות נפח הולך וגדל, אמנם משפר את גמישות ומהירות תהליך פיתוח התוכנה כולו, אך אליה וקוץ בה - ריבוי הממשקים בין אבני הבניין של התהליך הופך את תהליך בניית ועדכון התוכנה עצמם לנקודת תורפה, דרכה האקרים יכולים לפרוץ לארגון. ועוד לאחת הנקודות הרגישות שבו.

לכן, שמירה על רמת אבטחה גבוהה דורשת מאנשי האבטחה ואנשי הדב-אופס יכולות שליטה ובקרה על סביבות הפיתוח החדשות. מערכת ההגנה שפיתחה "ארגון", מגנה על כל שלבי תהליך שרשרת אספקת התוכנה (CI/CD, "אינטגרציה מתמשכת/פריסה מתמשכת") ומבטיחה את תקינות מחזור חיי פיתוח התוכנה (SDLC).

התוקפים מקבלים גישה לסודות מסחריים

מתקפת סולרווינדס אמנם העלתה את האיום על שרשרת האספקה של התוכנה לכותרות, אולם היא עדיין מטרידה את תעשיית הסייבר העולמית. בחודש שעבר אף הזהיר מערך הסייבר של בריטניה (NCSC) כי לפגיעה בשרשרת האספקה של פיתוח התוכנה "יכולה להיות השפעה נרחבת".

הסכנה, על פי המערך הבריטי היא של "שילוב קוד זדוני בתוכנה בזמן "ההרכבה" שלה מקטעי קוד שונים, שעלול להעניק לתוקפים גישה לסודות מסחריים בהם נעשה שימוש בתהליך הפיתוח, וכן גישה לקטעי קוד נוספים". הצרה, מסביר אורזל, היא ש"ארגונים חושבים שאם הם יושבים ברשת הארגונית או מאחורי פיירוול אז הם יחסית בטוחים".

המערך הבריטי ציין במפורש במסמך שפרסם את המורכבות הכרוכה בהגנה על שרשרת האספקה של התוכנה. "בנייה ותחזוקה של שרשרת ייצור תוכנה בטוחה מצריכה היקף משמעותי של עבודה משאבים ומומחיות. ברירת המחדל של רבים מהמוצרים המשמשים בתהליך הפיתוח הם בעלי ארכיטקטורה לא בטוחה, עם הפרדה עלובה בין אבני הבניין השונות של התהליך ומעט כלים שמגנים על שרשרת האספקה ממקטע נגוע", נכתב במסמך.

הפער בין עולמות ההבטחה והפיתוח

בצורך בהגנה מוגברת על תהליך הפיתוח, הבחינו אלחדד ומילנר בתפקידיהם הקודמים. אלחדד היה המנכ"ל והמייסד של חברת התשלומים לתחום ההסעדה פיידאיט (PaidIt) הישראלית, שעשתה אקזיט ופעיליותיה נמכרו בתחילת 2020 ל-Verifone ישראל ולחברת YCD. מילנר היה יועץ חיצוני לסטארט-אפים ומייסד Datsmi, סטארט-אפ בתחום ה-Cloud DAM.

"אמנם העלנו גרסאות תוכנה חדשות מהר, אבל במקביל לכך גם ראינו איך נוצר פער גדול בין עולמות האבטחה והפיתוח. כשהחלטנו להקים משהו, הדבר הראשון ששנינו ראינו זו היתה הבעיה הזו", סיפר אלחדד בשיחה עם גלובס, לרגל חשיפת החברה וההודעה על גיוס הסיד, שהחברה סגרה באוקטובר בשנה שעברה, בהיקף צנוע, יחסית, של 4 מיליון דולר.

"ארגון" הוקמה לפני פחות משנה, ביוני 2020 ומועסקים בה כעת 15 עובדים, כמחציתם יוצאי 8200 וכמחציתם יוצאי אופק. את ההשקעה בחברה הובילה Hyperwise.

לצידה השקיעו בנוסף לקרמר גם זהר אלון, שמכר לצ'קפוינט את Dome9 ב-175 מיליון דולר; גיורא ירון, יו"ר הוועדה לאסטרטגיה טכנולוגית באמדוקס; אייברי מור, שותף מנהל בקרן ORR; והראל קודש, שותף לשעבר בסילבר לייק.

אף על פי שחברה הוקמה רק ביוני בשנה שעברה, המערכת שפיתחה החברה כבר מותקנת אצל לקוחות. "עוד לפני שגייסנו, ראינו כ-60-70 לקוחות. סולרווינדס קיצרה לנו את לוחות הזמנים בשנה שלמה, כי היא עוררה מודעות בשוק והמערכת שלנו כבר מותקנת אצל כמה מאמצים מוקדמים בארגונים עם 100-1,500 מפתחים", סיפר אלחדד.

"תחום ההגנה על תהליך הפיתוח (CI/CD), מסביר אורזל "רק החל להתפתח וייקח לו עוד בין חצי שנה לשנתיים להבשיל". על הפתרון הטכנולוגי עצמו הוא אומר, שאמנם יצרני סביבות הפיתוח כוללים בהן גם כלי אבטחה ספציפיים, אבל רק "ארגון" מציעה פתרון מקצה לקצה עבור כל סביבות הפיתוח - "על כל הסביבות עצמן וכל הסקריפטים שמחברים ביניהם".

כך, הוא מסביר, "מתאפשר לארגון להחיל נהלים אחידים של אבטחה או פיתוח על כל התהליך". עוד הסביר, כי "אנו מוודאים שהתוצאה מכל תחנה שהקוד עובר דרכה היא מה שהיה צריך להיות, שלא היתה מניפולציה בדרך ונותנים הבטחה לאירגון שהקוד ששולב במוצר ללקוח, הוא הקוד האמיתי".

אורזל אמר עוד כי השאיפה של החברה כעת היא ש"המוצר של "ארגון" ישתלב כחלק ממערך הפתרונות שמציעות חברות האינטגרציה והטלקום, שעובדות ישירות מול הלקוחות". לחברות כמו צ'קפוינט מסביר אורזל, "יש פתרון הגנה גם לענן וגם למחשב של המפתח. אנחנו - החולייה המקשרת בין עולם המפתחים לעולם הענן. כך הם יוכלו לוודא שהם באמת נותנים פתרון הגנה מקצה לקצה".