ככל שהעולם שלנו נהיה טכנולוגי יותר, כך איום הסייבר נהיה ממשי יותר ומסוכן יותר. מתקפות סייבר יכולות לפגוע באנשים פרטיים, בעסקים ואפילו במדינות שלמות. כנופיות הסייבר מתכננות כל פגיעה במשך חודשים - ומי שמנסים לעקוב אחריהן מבלי שישימו לב הם חוקרי הסייבר.
תפקידם של חוקרי הסייבר מזכיר את זה של בלש משטרתי, החוקר פשעים ופרשות מסתוריות ומנסה למנוע את הפשע הבא ולתפוס את הפושעים. אז איך מגיעים למקצוע הזה ומה עושים בו ביום-יום?
לאסוף ראיות ולמנוע מדברים רעים לקרות
איך בכלל מגיעים לתחום הזה? בן קורמן (24), חוקר נוזקות בחברת אבטחת הסייבר פורטינט, מעיד כי תמיד אהב את עולם המתמטיקה והמדעים המדויקים: "בחטיבה הצטרפתי לתוכנית 'נוער מוכשר במתמטיקה' של אוניברסיטת בר אילן, בסופה עשיתי בגרות 5 יחידות במתמטיקה בכיתה י'. בתיכון למדתי במגמת מחשבים ובצבא עשיתי קורס מגן בסייבר של בסמ"ח. לאחר מכן שירתי במשך 4 שנים ביחידת אופק 324 בחיל האוויר בתפקידי אנליסט דאטה (Data Analyst) וחוקר נוזקות (Malware Researcher). במהלך התקופה הזו עשיתי תואר ראשון במדעי המחשב במכללה למנהל בלימודי ערב".
לאחר מכן, קורמן הצטרף לקבוצת מחקר בפורטינט (Fortinet), בה צוות המודיעין אוסף מידע לגבי נוזקות וטכניקות תקיפה מודרניות על סמך דיווחים אנונימיים מלקוחות החברה ומהאינטרנט. "צוות המודיעין בודק את הממצאים מול יכולות המוצר שלנו, ואם משהו לא מזוהה ומטופל כראוי - זה מגיע לצוות שלי", הוא מספר. "אנחנו חוקרים איך לזהות את הטכניקה או המתקפה ומעדכנים את המוצר בהתאם. בנוסף, אנחנו מנטרים את השיפורים שהתווספו במטרה להימנע ממצבים שבהם תוכנה לגיטימית מזוהה כנוזקה".
האם תפקיד חוקר סייבר דומה לזה של חוקר במשטרה?
"יש נקודות דמיון: שני התפקידים כוללים איסוף ראיות וניסיון למנוע מדברים רעים לקרות. למשל, אם אני יודע שגנב לובש כפפות בזמן הפשע כדי לא להשאיר טביעות אצבע, אני אשתמש בשיטות זיהוי אחרות (מצלמות אבטחה/קלטות שמע/עדים). וכמובן שנעדיף שלא לתת לתוקפים הזדמנות לשים 'כפפות' ולהחביא את מעשיהם מלכתחילה".
הטוויטר כמקור מידע
גם ליקיר קדכודה (31), ראש צוות מחקר חולשות באקווה סקיוריטי (Aqua Security), תמיד הייתה זיקה לעולם המחשבים. הכניסה האמיתית שלו לתחום קרתה בצבא: "במהלך המיונים לשירות הצבאי התקבלתי לקורס תכנות (ממר"ם), שם נחשפתי לעולם התוכנה ובניתי את הידע שלי מהיסוד. בזמן השירות עצמו חיפשתי ללמוד תחום חדש, והוצע לי להמשיך את השירות הביטחוני שלי בתור חוקר סייבר. נכנסתי לתחום עם הרבה סקרנות וגיליתי שאני צריך ללמוד המון, אבל גם מצאתי תשוקה אמיתית'.
אחרי 11 שנות שירות ביטחוני, קדכודה החליט לעבור לתעשייה: "באותה התקופה חברים שלי הקימו סטארטאפ בשם Argon Security שעסק באבטחת שרשרת האספקה, והם גייסו אותי להקים את מחלקת המחקר בחברה. אחרי זמן קצר Argon נרכשה על ידי אקווה סקיוריטי, חברה המתמחה באבטחת ענן, ומאז אני נמצא בתפקידי הנוכחי".
קדכודה מסביר שיש הרבה מקצועות בסייבר, ואפילו הרבה תת-קטגוריות של חוקרי סייבר: חוקרים שמתמקדים בהגנה, ציד איומים, תגובה לאירועי אבטחה, חקר מערכות הפעלה, חקר ענן ועוד. הוא עצמו מתמקד בעיקר במחקר חולשות, ובפרט חולשות בעולם הקוד הפתוח, הענן ו-DevOps.
איך המחקר שלך נראה בפועל?
"במידה ואנחנו מוצאים ממצא מעניין, אנחנו מדווחים עליו לגורמים הרלוונטיים כדי שיוכלו לתקן אותו. לאחר מכן אנחנו מנסים לחשוב על פתרון ולעיתים גם מפרסמים את הממצא. אם מדובר במשהו מעניין במיוחד, נשאף להגיש את הממצא לכנס מקצועי. חלק גדול מהתפקיד כולל למידה מתמדת כדי שנישאר מעודכנים בטכנולוגיות ובאיומים החדשים. יום העבודה שלי עשוי לכלול קריאה של מחקרים חדשים, בדיקות והערכות של מערכות, פיתוח כלי מחקר, דיונים עם עמיתים וכתיבת דוחות או מאמרים".
זה אולי נשמע מסובך, אבל חלק ממאגרי המידע שקדכודה נעזר בהם גלויים לכל וזמינים גם לכם: "ציוצים בטוויטר (X) הם מקור מהיר להתעדכנות באירועים ובתכנים ששווה לקרוא. בנוסף לכך, אני מתעדכן באמצעות ספרות מקצועית, הקלטות של הרצאות, אתר Reddit, כנסים מקצועיים ועוד. חוקרי סייבר מאוד אוהבים לשתף ידע והקהילה מאוד תומכת, מה שמקל על השגת מידע חדש ועדכני. מה שכן, לפי שמתרגשים מממצא חדש, צריך לשתף אותו עם עמיתים קרובים ולוודא שהוא אכן נכון. החשיפה לתקשורת היא השלב האחרון - קודם כל צריך לדווח לחברה שבה נמצאה החולשה ולתת לה הזדמנות לתקן אותה".
היית אומר שמדובר בעבודה מסוכנת?
"לעיתים אנחנו מתמודדים מול גורמים עוינים או ארגוני פשיעה בינלאומיים. לכן יש חברות שבוחרות לצנזר את שם החוקר או לפרסם ממצאים תחת שם החברה ולא תחת שם של אדם ספציפי, במיוחד כשמדובר בקבוצת תקיפה ממשלתית או בארגון פשיעה מבוסס, כדי לא להפוך את החוקר למטרה. חוקרים נוקטים בכל האמצעים האפשריים כדי להישאר בלתי נראים. כמו למשל באמצעות VPN, אבל זה רק קצה הקרחון. ישנם אמצעים ושיטות מגוונים יותר שנעדיף לא לחשוף כאן".
בתשובה לשאלה האם הוא ממליץ לעסוק בתחום, קדכודה עונה חד-משמעית: "זה מקצוע מדהים, ומעניין לראות שחלק גדול מהאנשים המוכשרים בתחום הגיעו אליו ללא רקע צבאי או לימודי מסודר. הם הגיעו בזכות עצמם, בזכות נחישות, תשוקה וצמא לידע. כשיש למישהו מוטיבציה ותשוקה ללמוד ולהצליח, שום דבר לא יעצור אותו. בתפקיד הזה יש המון אדרנלין, אז אם אתם אוהבים את התחושה הזו, זה לגמרי בשבילכם".
כיצד אפשר להיכנס לתחום?
"היום יש הרבה חומרים נגישים וחינמיים שהם התחלה מצוינת. ישנם גם קורסים של אוניברסיטאות שיכולים לספק רקע טוב. בנוסף, הקהילה שלנו מאוד אוהבת לשתף ולהכווין. קל מאוד למצוא חוקר שאתם מעריכים בלינקדאין ולבקש הכוונה. אני בטוח שתקבלו תשובה, רובנו נשמח לעזור".
לתפוס את כנופיות הסייבר
בעוד חלק גדול מחוקרי הסייבר עוסקים בדרכים לעצור ולמנוע מתקפות, יש כאלו שמנסים להתחקות אחר העבריינים עצמם. כזה הוא יובל נתיב, אנליסט איומים ביחידת חקר הסייבר CTI של חברת אבטחת הסייבר הגלובלית טרנד מיקרו (Trend Micro). "יש ימים שהעבודה שלנו דומה לעבודת בילוש משטרתית: לזהות את פרטי התקיפה, להשוות עדויות על שיטות העבודה ולנסות לעלות על עקבותיו של התוקף", הוא מספר. "יש ימים שהעבודה מודיעינית יותר, ואנחנו מנסים לזהות מבעוד מועד כוונה של גורם עוין לתקוף ולעזור ליעד התקיפה להתגונן מפני האיום. העבודה הזו מקבילה לשלבי התכנון המוקדם של התוקפים ויכולה להימשך שבועות ואף חודשים, כשאנחנו מנסים שהתוקפים לא ידעו שאנחנו מעורבים ולא יגלו מאיפה קיבלנו את המודיעין עליהם".
מהם מקורות המידע שלך?
"יש לנו מקורות רבים, מחיישנים שפרוסים בחברות שטרנד מיקרו מאבטחת ועד מקורות מאירועים קודמים שתחקרנו. כל אלו מספקים חלקי פאזל שעל חוקר הסייבר להרכיב לתמונה אחת כוללת".
כשאתם עולים על כנופיה, אתם חושפים את הגילוי בתקשורת?
"אלא אם מדובר בארגון או בקבוצה בעלת השלכות אסטרטגיות על המשק, העבודה נשארת לרוב סמויה מעיני התקשורת. חשיפת גילויים, אפילו במקרים של התראה מוקדמת על תקיפה מתוכננת, עלולה לסכן את מקורות המידע, ואז נוצר מצב שבו מנעת תקיפה אחת, אבל איבדת את המקור לסיכול תקיפות נוספות. צריך לזכור שלא מדובר בתיכוניסטים שפורצים לאתרים, אלא בארגוני פשיעה גדולים ומבוססים עם המון משאבים ותמיכה, כאלה שאתם לא רוצים להתעסק איתם. כל תקיפה שלהם לא נולדת מהחלטה רגעית, אלא מתוכננת בקפידה במשך תקופה ארוכה, כולל תצפיות ותכנון מדויק. חלק משיטות העבודה שלהם כוללות אפילו מעקב אחרי חוקרי הסייבר עצמם".
מה דרוש כדי להיות חוקר סייבר טוב?
”צריך לאהוב אדרנלין ועבודה קשה, ויותר מהכל להיות ביקורתיים ולדעת להטיל ספק. חוקר טוב צריך להתעלם מההטיה האישית שלו, שיכולה להיות נתונה למניפולציות מצד התוקפים, ולהסתכל על התמונה בצורה אובייקטיבית כדי לנסות לזהות מראש חלקים שנשתלו שם רק כדי לבלבל אותו".
לסכל מתקפה שלמה בתוך ארבע שעות
ניר יהושע הוא חוקר חוקר ראשי ומנהל אבטחת מידע בחברת הסייבר סייפוקס (CyFox), שמתמחה באספקת פתרונות אבטחת מידע מבוססי בינה מלאכותית. העבודה שלו מורכבת מאיסוף וניתוח נתוני התקפות, כולל ניתוח מעמיק של קבצים זדוניים, ניתוח תעבורת רשת חשודה וזיהוי דפוסי התקפה - וזאת על מנת שהמוצר שמפתחת החברה יוכל ללמוד אותם ולזהות אותם אצל הלקוחות.
"כשאני מגלה חולשה אני מדווח עליה מיד לחברה עצמה, ואם יש לקוחות שמושפעים ממנה - אז גם להם. רק במחקרים חמורים או משמעותיים במיוחד אני מפרסם את המידע בתקשורת כדי להעלות את המודעות הציבורית, אבל זה נעשה בדרך כלל בתיאום עם הנהלת חברת הטכנולוגיה ועם לקוחות רלוונטיים".
מהם המקורות שלך לעבודת המחקר?
"המקורות שלי כוללים מאגרי נתונים גלובליים של נוזקות, בלוגים של מומחי אבטחה ידועים ופורומים מקצועיים. אני גם משתתף בכנסים, שבהם ניתן ללמוד מהטובים ביותר בתחום ולהתעדכן במגמות חדשות. ויש כמובן גם את ה-ChatGPT שהוא החבר הטוב ביותר של כל חוקר, ומסייע במתן תשובות מהירות ושימושיות לכל שאלה שמתעוררת במהלך התהליך".
תוכל לספר על מקרה בו אתה גאה במיוחד?
"היה מקרה בו גיליתי נוזקה (malware) חדשה שלא הייתה מוכרת עד אז בעולם. התקבלה קריאה מחברה פיננסית גדולה שמסרה כי חשד למתקפת סייבר חמורה, וראינו איך מידע רגיש עובר מהחברה לתוקף בזמן אמת. מיד התחלתי לחקור את הנוזקה כדי להבין איך היא פועלת ולאן היא שולחת את הנתונים. תוך כדי החקירה הבנתי את מבנה הנוזקה, זיהיתי את השרתים שאליהם המידע מועבר והצלחתי לפרוץ לעמדה של התוקף. בזמן שהייתי בתוך המערכת שלו הצלחתי למחוק את כל המידע שהועבר אליו מהחברה, ובכך מנעתי דליפה חמורה של מידע רגיש. בנוסף, תוך כדי חקירה מעמיקה, מצאתי כמה חולשות משמעותיות בנוזקה שהתוקף כתב. כל הסיפור הזה התרחש בתוך ארבע שעות מרגע שהחברה פנתה אליי, שזה נחשב זמן שיא לטיפול באירוע כזה".
מה נדרש על מנת לעסוק במקצוע?
"חשיבה אנליטית, יכולת למידה עצמית, תשומת לב לפרטים ויכולת להתמודד עם מצבי לחץ. זה מקצוע מאתגר, אבל הוא בא עם שכר מצויין וצ'ופרים כמו השתתפות בכנסים, גישה לטכנולוגיות חדישות ולפעמים גם בונוסים והכרה מקצועית על הישגים מיוחדים. אבל העיקר הוא תחושת הסיפוק מהידיעה שתרמת להגנה על מידע רגיש".