גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

שלמה קרמר משקיע בסטארט-אפ חדש שרוצה למנוע את מתקפת סולרווינדס הבאה

Argon הוקמה בידי יוצאי 8200 ויחידת אופק של חיל האוויר ובאה לטפל בבעיות אבטחה ב"שרשרת האספקה" של תוכנות • המטרה - למנוע מתקפות כמו "סולרווינדס", שפגעה באלפי חברות וארגונים בעולם • את סבב הסיד בהיקף 4 מיליון דולר הובילה קרן הייפרווייז

פורסם בתאריך: 16.03.2021, 12:00 מאת: אורי ברקוביץ'
שלמה קרמר / צילום: איל יצהר
שלמה קרמר / צילום: איל יצהר

חברת הסייבר ארגון (Argon) הודיעה השבוע על יציאה ממצב "Stealth" ונחשפת לראשונה. בין משקיעיה, שלמה קרמר, ממייסדיי צ'קפוינט ואימפרבה וכיום מנכ"ל סטארטאפ הסייבר קאטו נטוורקס שמתמחה בהגנה על הענן.

החברה החדשה, שנוסדה על ידי יוצאי יחידת 8200 של חיל המודיעין ויחידת "אופק" של חיל האוויר, מתמחה בהגנה על מה שמכונה "שרשרת האספקה של פיתוח התוכנה". מדובר ברגישות אבטחה הקשורה באופן שבו מבוצע כיום תהליך הפיתוח וההפצה של תוכנה, אשר שימש בתפקיד מרכזי בהתפשטות מתקפת הסייבר "סולרווינדס" הנחשבת החמורה בתולדות ארה"ב.

מימין: אילון אלחדד, CEO ועילם מילנר, CTO / צילום: איל רגב

פעולת סייבר בארה"ב

מתקפת הסייבר על חברת סולרווינדס, שדבר קיומה פורסם באמצע דצמבר 2020, הייתה נקודת מפנה תודעתית בעולם הסייבר בעקבות המבוכה הרבה שנגרמה לתעשייה. הסיבה לכך היתה שילוב של המספר הרב של הארגונים שנחשפו למתקפה, רמת החשיבות שלהם והעובדה שדבר קיומה של המתקפה נחשף על ידי FireEye, חברת סייבר מוערכת - שנפגעה בעצמה במתקפה. עד היום לא יודעים, וייתכן שגם לא נדע, את היקף הפגיעה בעקבות הפריצה לחברה, שהתפשטה והגיעה לכ-18 אלף ארגונים, בהם מיקרוסופט, סיסקו, אנבידיה, אינטל, דלויט, Vmware, וגם גופי ממשל רבים ובראשם משרד ההגנה האמריקאי.

התוקפים, ככל הנראה האקרים רוסיים בגיבוי מדינתי, הצליחו לחדור לחברת סולרווינדס שמפתחת מערכות ניהול תשתית IT פופולרית בארגונים גדולים, בדגש על מוסדות ממשלתיים. ההאקרים חדרו לחברה תוך שהם מצליחים להשיג הרשאות גישה למערכת, כאילו היו עובדים בחברה. כך הצליחו התוקפים לזהם כבר במקור את עדכון התוכנה התקופתי ששולחת סולרווינדס ללקוחותיה, בין היתר כדי לסתום חורי אבטחה. לא ידוע ההיקף האמיתי של הארגונים שכלפיהם הופעל הווירוס על ידי התוקפים, לאחר שאלה נדבקו. ייתכן גם שהווירוסים עדיין מחכים ליום פקודה.

מתקפת סולרווינדס הגיעה גם לישראל, אך על פי ראש מערך הסייבר הלאומי יגאל אונא, דווקא הרשלנות כביכול של אנשי האבטחה, שבניגוד להנחיות לא הזדרזו להתקין את עדכון התוכנה של סולרווינדס, עזרה לישראל לעבור אותה בשלום. מתקפת סולרווינדס לא היתה הראשונה מסוג זה. במאי בשנה שעברה פורסם כי במתקפה על תהליך פיתוח התוכנה של חברת דיימלר, נחשפו קטעי קוד של הרכבים החכמים של המותג מרצדס.

עובדי חברת ארגון / צילום: איל רגב

עבודה במקטעים

"אם בעבר צרכן התוכנה היה מוריד תוכנה ומקבל עדכון פעם בכמה שבועות, חודשים או שנה, עם המעבר לענן החלה להתפתח צורת עבודה חדשה - הדב-אופס - שמחלקת את העבודה כולה למקטעים קטנים ובכך מאפשרת הפצת עדכוני תוכנה על בסיס יומי. תהליך זה משתמש בסדרה של שירותי ענן וכלי קוד פתוח, הפותחים את רשת הארגון לסביבות חדשות בהן קוד המקור מועתק, מועבר ומשותף", מסביר ערן אורזל, שעזב את תקיד אחראי השותפויות האסטרטגיות בצ'קפוינט, כדי לחבור למייסדים, המנכ"ל אילון אלחדד, יוצא 8200, וסמנכ"ל הטכנולוגיות עילם מילנר, יוצא אופק.

את השניים הכיר אורזל, המשמש כעת בתפקיד CRO בחברה, דרך נתי שוחמי, עימו עבד בצ'קפוינט וכיום משמש שותף מנהל בקרן ההון סיכון Hyperwise ונצ'רס, שהשקיעה ב"ארגון".

תהליך הפיתוח הזה שהחל לתפוס בשנים האחרונות נפח הולך וגדל, אמנם משפר את גמישות ומהירות תהליך פיתוח התוכנה כולו, אך אליה וקוץ בה - ריבוי הממשקים בין אבני הבניין של התהליך הופך את תהליך בניית ועדכון התוכנה עצמם לנקודת תורפה, דרכה האקרים יכולים לפרוץ לארגון. ועוד לאחת הנקודות הרגישות שבו.

המוצר של ארגון / צילום: ארגון

לכן, שמירה על רמת אבטחה גבוהה דורשת מאנשי האבטחה ואנשי הדב-אופס יכולות שליטה ובקרה על סביבות הפיתוח החדשות. מערכת ההגנה שפיתחה "ארגון", מגנה על כל שלבי תהליך שרשרת אספקת התוכנה (CI/CD, "אינטגרציה מתמשכת/פריסה מתמשכת") ומבטיחה את תקינות מחזור חיי פיתוח התוכנה (SDLC).

התוקפים מקבלים גישה לסודות מסחריים

מתקפת סולרווינדס אמנם העלתה את האיום על שרשרת האספקה של התוכנה לכותרות, אולם היא עדיין מטרידה את תעשיית הסייבר העולמית. בחודש שעבר אף הזהיר מערך הסייבר של בריטניה (NCSC) כי לפגיעה בשרשרת האספקה של פיתוח התוכנה "יכולה להיות השפעה נרחבת".

הסכנה, על פי המערך הבריטי היא של "שילוב קוד זדוני בתוכנה בזמן "ההרכבה" שלה מקטעי קוד שונים, שעלול להעניק לתוקפים גישה לסודות מסחריים בהם נעשה שימוש בתהליך הפיתוח, וכן גישה לקטעי קוד נוספים". הצרה, מסביר אורזל, היא ש"ארגונים חושבים שאם הם יושבים ברשת הארגונית או מאחורי פיירוול אז הם יחסית בטוחים".

המערך הבריטי ציין במפורש במסמך שפרסם את המורכבות הכרוכה בהגנה על שרשרת האספקה של התוכנה. "בנייה ותחזוקה של שרשרת ייצור תוכנה בטוחה מצריכה היקף משמעותי של עבודה משאבים ומומחיות. ברירת המחדל של רבים מהמוצרים המשמשים בתהליך הפיתוח הם בעלי ארכיטקטורה לא בטוחה, עם הפרדה עלובה בין אבני הבניין השונות של התהליך ומעט כלים שמגנים על שרשרת האספקה ממקטע נגוע", נכתב במסמך.

הפער בין עולמות ההבטחה והפיתוח

בצורך בהגנה מוגברת על תהליך הפיתוח, הבחינו אלחדד ומילנר בתפקידיהם הקודמים. אלחדד היה המנכ"ל והמייסד של חברת התשלומים לתחום ההסעדה פיידאיט (PaidIt) הישראלית, שעשתה אקזיט ופעיליותיה נמכרו בתחילת 2020 ל-Verifone ישראל ולחברת YCD. מילנר היה יועץ חיצוני לסטארט-אפים ומייסד Datsmi, סטארט-אפ בתחום ה-Cloud DAM.

"אמנם העלנו גרסאות תוכנה חדשות מהר, אבל במקביל לכך גם ראינו איך נוצר פער גדול בין עולמות האבטחה והפיתוח. כשהחלטנו להקים משהו, הדבר הראשון ששנינו ראינו זו היתה הבעיה הזו", סיפר אלחדד בשיחה עם גלובס, לרגל חשיפת החברה וההודעה על גיוס הסיד, שהחברה סגרה באוקטובר בשנה שעברה, בהיקף צנוע, יחסית, של 4 מיליון דולר.

"ארגון" הוקמה לפני פחות משנה, ביוני 2020 ומועסקים בה כעת 15 עובדים, כמחציתם יוצאי 8200 וכמחציתם יוצאי אופק. את ההשקעה בחברה הובילה Hyperwise.

לצידה השקיעו בנוסף לקרמר גם זהר אלון, שמכר לצ'קפוינט את Dome9 ב-175 מיליון דולר; גיורא ירון, יו"ר הוועדה לאסטרטגיה טכנולוגית באמדוקס; אייברי מור, שותף מנהל בקרן ORR; והראל קודש, שותף לשעבר בסילבר לייק.

אף על פי שחברה הוקמה רק ביוני בשנה שעברה, המערכת שפיתחה החברה כבר מותקנת אצל לקוחות. "עוד לפני שגייסנו, ראינו כ-60-70 לקוחות. סולרווינדס קיצרה לנו את לוחות הזמנים בשנה שלמה, כי היא עוררה מודעות בשוק והמערכת שלנו כבר מותקנת אצל כמה מאמצים מוקדמים בארגונים עם 100-1,500 מפתחים", סיפר אלחדד.

"תחום ההגנה על תהליך הפיתוח (CI/CD), מסביר אורזל "רק החל להתפתח וייקח לו עוד בין חצי שנה לשנתיים להבשיל". על הפתרון הטכנולוגי עצמו הוא אומר, שאמנם יצרני סביבות הפיתוח כוללים בהן גם כלי אבטחה ספציפיים, אבל רק "ארגון" מציעה פתרון מקצה לקצה עבור כל סביבות הפיתוח - "על כל הסביבות עצמן וכל הסקריפטים שמחברים ביניהם".

כך, הוא מסביר, "מתאפשר לארגון להחיל נהלים אחידים של אבטחה או פיתוח על כל התהליך". עוד הסביר, כי "אנו מוודאים שהתוצאה מכל תחנה שהקוד עובר דרכה היא מה שהיה צריך להיות, שלא היתה מניפולציה בדרך ונותנים הבטחה לאירגון שהקוד ששולב במוצר ללקוח, הוא הקוד האמיתי".

אורזל אמר עוד כי השאיפה של החברה כעת היא ש"המוצר של "ארגון" ישתלב כחלק ממערך הפתרונות שמציעות חברות האינטגרציה והטלקום, שעובדות ישירות מול הלקוחות". לחברות כמו צ'קפוינט מסביר אורזל, "יש פתרון הגנה גם לענן וגם למחשב של המפתח. אנחנו - החולייה המקשרת בין עולם המפתחים לעולם הענן. כך הם יוכלו לוודא שהם באמת נותנים פתרון הגנה מקצה לקצה".

עוד כתבות

"מדינה קטנה, הגנה אדירה": בעולם עדיין מתפעלים מישראל

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה • והפעם: נשיא סוריה בשאר אסד מנסה לשדר עסקים כרגיל, איראן ממשיכה לפתח את תוכנית הגרעין, בכירה בריטית קוראת לממלכה ללמוד מירושלים כיצד מפתחים מערך הגנה ראוי, ואונר"א שחלק מאנשיה התגלו כטרוריסטים באה בטענות לישראל ● כותרות העיתונים בעולם

תוכנית דירה. האם ניתן לקיים הליך תכנוני ללא הסכמה קניינית? / צילום: Shutterstock

האם ניתן לקיים הליך תכנוני ללא הסכמה קניינית?

תושבים בתל אביב שביקשו להוסיף ממ"ד לדירתם נתקלו בהתנגדות של השכנים, שטענו כי הדבר יפגע בהמשך בהליך התחדשות עירונית ● מה קבעה ועדת הערר?

סונדאר פיצ'אי, מנכ''ל גוגל / צילום: Shutterstock, photosince

מה אפשר ללמוד מגוגל? ארבע תובנות מדוחות ענקיות הטכנולוגיה

שלוש ענקיות טכנולוגיה פרסמו אמש את דוחותיהן לרבעון הראשון והציגו תוצאות מרשימות עם הכנסות ורווחים של עשרות מיליארדי דולרים כל אחת: מיקרוסופט, גוגל ואינטל ● התנודתיות הקיצונית במניות הענק הללו יכולה להזכיר למשקיעים מספר תובנות שחשוב לשים לב אליהן בשוק ההון

חזירי בר בחיפה / צילום: Ronen Zvulun

כך מתכנן ראש העיר להתמודד עם התופעה שהכי מטרידה את החיפאים

סוגיית החזירים מעסיקה את תושבי העיר מזה יותר מעשור, ובעוד שראש העיר החדש־ישן אמר שיטפל בה ביד נחושה, דרכי ההתמודדות המתגבשים לא עבדו בעבר ● פרופ' אורי שייניס, מומחה לחקר מינים פולשים, מסביר: "לנסות להתמודד עם החזירים ללא מחקר, זה כמו לנסות להתמודד עם הקורונה ללא מחקר"

צילום: רויטרס, IMAGO/Bernd Feil/M.i.S.

אתם לא מספיקים כלום? מחקרים חדשים מגלים - כנראה שזו הסיבה

בשנים האחרונות הפך המושג "עוני זמן" לפופולרי בקרב חוקרים המנסים להבין את יחסינו המורכבים עם פנאי והשפעתם על האושר והבריאות שלנו ● לאט לאט הם מגלים מה אנחנו עושים לא נכון בתכנון הזמן שלנו ואיזה פרדוקס כלכלנים מפספסים כשהם בונים תוכניות רווחה ● מדד חדש שצפוי להיכנס ללשכת הסטטיסטיקה בארה"ב מרגש אותם במיוחד

עמית גריידי, הממונה על חוק המכר במשרד השיכון / צילום: משרד הבינוי והשיכון

קניתם דירה מיזם ומכרתם לפני האכלוס? אולי תהיו אחראיים לאיחורים במסירה

נייר עמדה שפרסם הממונה על חוק המכר מחריף את התנאים עבור מי שרוכשים דירה מקבלן ומעוניינים למכור לפני האכלוס

הפרויקט במתחם כנרית. האכלוס רחוק / הדמיה: מתוך אתר החברה

הסיפור הלא ייאמן על 40 דירות יוקרה במגדל בתל אביב שעומדות ריקות

40 דירות חדשות ונוצצות ממתינות לאכלוס באחד המגדלים היוקרתיים של תל אביב, אבל צפויות להישאר ריקות עוד תקופה ארוכה ● ההתעקשות על דיור בר השגה במתחם תקעה את המדינה עם עשרות דירות שמי בכלל יכול להרשות לעצמו

טל בסכס, פרויקטור מרכז השליטה האזרחי / צילום: רמי זרנגר-יח''צ החברה למתנ''סים

הפרויקטור שלא היה בראיון ראשון: "לא באתי לחמם כיסא"

טל בסכס מונה בסוף אוקטובר לפרויקטור שתפקידו "לתדרך בכל הנוגע לניהול האזרחי של המלחמה" ● אלא שאינטרסים פוליטיים רחשו בשטח, יותר מדי גופים היו מעורבים, ומהדיבורים על תקציב של 15 מיליארד שקל לא נשאר דבר ● בראיון לגלובס הוא מדבר על היכולת להשפיע כמנכ"ל החברה למתנ"סים, ומפתיע: "אם קוראים לי שוב - אני מתייצב"

מוריס צ'אנג / צילום: Associated Press, Aaron Favila

הוא חגג 55. ואז הקים את יצרנית השבבים הגדולה בעולם

מוריס צ'אנג צבר עשורים של ניסיון לפני שהקים עסק שהפך חיוני לכלכלה הגלובלית ● מה יכולים ללמוד ממנו יזמים אחרים בגיל העמידה?

הירחון העברי ''השחר'', שבו כתב בן יהודה, 1879. הרושם ממאמרו היה עצום / צילום: ויקיפדיה

העברית של ימינו מבטאת כישלון אחד מובהק של אליעזר בן יהודה

בדיוק לפני 145 שנה אליעזר בן יהודה הקדים את כל בני זמנו בהבנת הקשר בין הארץ לבין הלשון ● אבל את לשון ימינו הוא כנראה לא היה מבין

השר לביטחון לאומי, איתמר בן גביר / צילום: מארק ישראל סלם - הג'רוזלם פוסט

השר בן גביר נפגע בתאונת דרכים: מצבו קל-בינוני

בן גביר הגיע לזירת הפיגוע ברמלה, התראיין וכשעזב את המקום - היה מעורב בתאונת דרכים • רכבו של השר התהפך והוא פונה לטיפול רפואי • לפי עד ראייה: רכב השר חצה באור אדום • ארבעה בני אדם נוספים נפצעו בתאונה, מצבם קל-בינוני

מפגין מניף שלט עם ''מהפכת אינתיפאדה'' בוושינגטון. תמיכות מפורשות באלימות / צילום: Associated Press, Lindsey Wasson

״אינתיפאדה עולמית״ מתפשטת בקמפוסים של ארה״ב אבל היא עשויה לחזק דווקא את הימין

זה מה שקרה למחאות הענק נגד מלחמת וייטנם ולמרד הסטודנטים בצרפת לפני 60 שנה ● התנועה הנוכחית מעתיקה בהצלחה גוברת את דפוסי הפעולה של המאבק נגד אפרטהייד לפני 40 שנה ● ישראל הופכת למנוף של שינוי

ישראל לשם וקרן כהן חזון / צילום: רמי זרנגר

"לידה אני תלמיד בכיתה א": עורך הדין הבכיר והיזמת המצליחה חושפים את השותפות

20 שנה שישראל (רלי) לשם וקרן כהן חזון הולכים יחד, וחברת תורפז תעשיות שהקימו, שמפתחת ומייצרת תמציות טעם וריח, כבר שווה 1.7 מיליארד שקל וחולשת על 17 חברות ● הוא בעל אחד ממשרדי עורכי הדין הגדולים בארץ אבל מרגיש לידה "כמו בכיתה א'" ● היא תעשיינית בנשמה אבל זוקפת לו הרבה מההצלחה ● זה ראיון זוגי ראשון

ג'ו ביידן ובנימין נתניהו / צילום: צילומים: AP, עיבוד: טלי בוגדנובסקי

הבית הלבן: ביידן חזר על עמדתו הברורה בנוגע לרפיח

חייל צה"ל נפצע קל מירי שני טילי נ"ט אמש למנרה • תיעוד מתקיפות צה"ל ברצועת עזה ביממה האחרונה: מחבלים חמושים חוסלו, אתרי שיגור הושמדו • היערכות בישראל להוצאת צווי מעצר בין-לאומיים כבר השבוע נגד נתניהו, גלנט והלוי • עשרות מפגינים, בהם קרובי חטופים, חסמו אמש את איילון צפון והדליקו כתובת אש עם הכיתוב "חלאס" ● עדכונים בולטים 

הפקולטה לניהול. אלה העקרונות שיעזרו לכם להיות חסינים במשבר קיצוני / צילום: Shutterstock

לדבר לעצמכם, לעשות במקום לנוח ולהתמקד בכאן ועכשיו: אלה העקרונות שיעזרו לכם להיות חסינים במשבר קיצוני

בחצי השנה האחרונה אנו חווים ימים מורכבים וזקוקים יותר מתמיד לכלים שיסייעו לנו לפתח חוסן אישי, חברתי, קהילתי וארגוני ● כך תעשו את זה נכון

צילומים: שלומי יוסף, עמית שאבי (ידיעות אחרונות), עיבוד: גלובס

2,800 שקל לשעה, תיקים מתוקשרים ותיבת פנדורה: החיים החדשים של השופט שבמחלוקת

הדיל שהוביל למינויו לנשיא בית המשפט המחוזי בתל אביב שב לאחרונה לרדוף את השופט בדימוס איתן אורנשטיין ● גלובס צולל לנבכי הקריירה החדשה שאימץ לעצמו כבורר–על, לחמ"ל שהקים כדי להתמודד עם ההקלטות המביכות ולשאלה המרחפת מעל לכל - איך תשפיע הפרשה על עתידו המקצועי?

אילוסטרציה: טלי בוגדנובסקי, צילומים: AP (Daniel Cole, Toby Melville)

״הטיסות יוצאות״, מכריז סונאק, ומוכן לגרש את המהגרים

מנהיג השמאל הקיצוני בצרפת "יודע את ההבדל בין יהודי לבין צלף של צה"ל" ● טראמפ מרשה לקונגרס לסייע לאוקראינה ● "הטיסות יוצאות", מכריז ראש ממשלת בריטניה, ומוכן לגרש מהגרים ● טסלה מאבדת את הדמוקרטים ● חמישה אירועים מהשבוע שהיה בעולם

החלפת בתים. ''להיכנס לחופשה שונה מאורח החיים שלך'' / צילום: Shutterstock

36 פעמים החלפנו דירה: האנשים שיוצאים לחופשה בחינם

בעלי נכסים ואפילו שוכרים מחליפים דירות ומוצאים את עצמם בחופשה חלומית בבית של מישהו אחר ● מה היתרונות ומה הסכנות, ולמה צריך לשים לב

רכבים ליצוא בנמל בסין / צילום: Reuters

מהפך: יצוא המכוניות מסין לישראל התרסק ברבעון הראשון

ברבעון הראשון של 2024, יצוא הרכבים החשמליים הסיניים לישראל התכווץ ב-51%, כך לפי נתונים שפרסם המכס בסין. אלו הסיבות לכך ● קבוצת ב.מ.וו חשפה חשמלית חדשה של המותג "מיני", XPENG מתחילה לייצא קרוס־אובר חשמלי חדש ו־DAYUN משיקה סדאן גדולה ומפוארת - וכל אלו יגיעו לישראל עוד השנה ● השבוע בענף הרכב

אולם קולנוע בקליפורניה. החדשים רווחיים יותר מהישנים / צילום: Shutterstock

לאולמות קולנוע יש נדל"ן מיוחד, וזה מציל אותם

אולמות הקולנוע הלכו ואיבדו רלוונטיות רק לפני כמה שנים ● המיצוב הנדל"ני המיוחד שלהם עשוי להציל אותם