ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
עמוד הבית
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי מטבעות דיגיטליים ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2024

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות מרכז העזרה נגישות הגדרות לוח גלובס פרסמו אצלנו תנאי שימוש מדיניות פרטיות
האקרים

האקרים עם רישיון: Hacktics פיתחה מערכות לאיתור פרצות אבטחה

החברה בנתה על הניסיון שלה בתור האקרית בשירות "הטובים" - הפורצים הטובים, המועסקים על-ידי בעל המערכת, מתייחסים אליהם כגנבים לכל דבר, אבל המטרה שלהם היא להראות אילו חורים יש במערך המחשוב וכיצד לסתום אותם

גלי וינרב 01.12.2009
חברת Hacktics החלה את דרכה כשירות של פורצים בשם החוק. בעולם המחשוב הדבר מקובל, והגנבים זכו לכינוי "ההאקרים בעלי הכובע הלבן" - כלומר, מהצד של הטובים. הפורצים הטובים, המועסקים על-ידי בעל המערכת, מתייחסים אליה כגנבים לכל דבר, אבל המטרה שלהם היא להביא את הממצאים אל מי ששכר אותם, ולהראות לו אילו חורים יש במערך המחשוב שלו וכיצד יוכל לסתום אותם.

לצוות של הקטיקס תפיסה עסקית מעט שונה מזו של ההאקרים הלבנים האחרים. "רוב החברות הפועלות בתחום, מפיקות דו"ח טכני שאינו פשוט לתרגום למונחים עסקיים", אומר רון פורת, מנכ"ל החברה. "הם אומרים 'יש לך הסתברות של X אחוז לפריצה מסוג Y', אבל לא מדגימים מה יקרה לעסקים של החברה אם פריצה כזו תתבצע. לעיתים, הם מדגימים סיכון, אבל קשה לדעת אם הוא ממשי. כך, הם מניעים את המנהלים להתמודד עם פרצות לא חשובות, ולא מדגישים את חשיבותן של פרצות אחרות. מבין כל הגורמים בארגון - רק מחלקת ביטחון המידע מבינה את הדו"חות שלהם", מדגיש פורת.

הגישה של הקטיקס הייתה אחרת. מומחי החברה פרצו בפועל לארגון, ביצעו את תהליך הגניבה והגיעו אל מנכ"ל החברה כאשר רשימת כרטיסי האשראי של לקוחות הארגון בכיסם. "אנחנו מתרגמים את הסיכון למידע עסקי, וכך מאפשרים לאיש אבטחת המידע לדבר בשפה אחת עם המנהלים מן האגפים העסקיים. לא 'פרצה חדשה באתר האינטרנט', אלא 'נכנסתי לחשבון הטלפון שלך וקניתי דרכו שיחות לחו"ל'", אומר טל מוזס, מנהל התפעול. "אנחנו פורטים את זה להחלטות אופרטיביות - האם ניתן לעלות עם המערכת לאוויר, או לא".

לדברי מוזס, החברה ניגשת למערכת כגנב, לא כמו איש אבטחת מידע מלומד. התוצאה היא, לדברי החברה, סדרה של פרצות שבאמת קוראות לגנב - הפרצות המסוכנות באמת.

גנבים באוטומט

בשלב הבא, החליטה הקטיקס כי תביא את היכולות שלה, שהיום מיושמות על-ידה כחברת שירות, ותפתח מתוכן גם מוצרים. חברות רבות העוסקות בשירות לתחום המחשוב מנסות להפוך את היכולות שלהן למוצרים, כי במצב כזה ההכנסות אינן מוגבלות על-ידי שעות העבודה. המטרה הייתה ליצור כלים אשר יאתרו פרצות באופן אוטומטי, כדי לחסוך בשעות ייעוץ של מומחים, ביניהם גם האקרים לבנים כמו הקטיקס.

בתחום הכלים האוטומטיים לזיהוי פרצות יש מתחרים, אך לדברי מוזס, החברה הביאה אל התחום את תפיסת העולם הייחודית שלה בתחום האבטחה. כך, התאפשר לה ליצור כלי אשר מדבר בשפה עסקית.

"המוצר מותאם למשתמשים מסוגים שונים", אומר עופר מאור, סמנכ"ל הטכנולוגיה. "הייחוד שלו הוא שהפעולה מתחילה כבר בשלב התכנות. איש בקרת האיכות או המתכנת עצמו יכולים להפעיל את המוצר על הקוד בעודם כותבים אותו, וכבר לקבל רמזים היכן הם משאירים פרצות אבטחה חמורות".

במקביל, גם סמנכ"ל הרגולציה יכול להפעיל את המערכת ולקבל תשובות האם הוא חשוף לעבירות רגולציה, במונחים שהוא יכול להבין ולא ברשימת הסתברויות לפרצות שאותן עליו לנתח לעומק יחד עם מומחה לאבטחה.

החיסכון הוא בהתראה על פרצות כבר בזמן התכנות. הגישה הזו אולי נשמעת מובנת מאליה, אך השלושה מתעקשים כי לא כך פועלים מערכי אבטחת מידע היום. "קיימים נהלים לגבי האופן בו צריך לכתוב קוד ולבדוק מערכת, כדי שהמוצר יהיה בטוח, אולם הבדיקה הכוללת של האבטחה תמיד נעשית בסוף, והיא כמו טלאי שמודבק על המערכת", אומר מאור. "זה יוצר חיכוכים לא נעימים בין צוות האבטחה לצוות הפיתוח, כי המתכנת לא אוהב לקבל ביקורת על המוצר המוגמר שלו. גם אם מנענו רק 40% מטעויות האבטחה בשלב התכנות, חסכנו המון כסף וזמן לאנשי אבטחת מידע", מוסיף מאור.

*אין סיכון שגם הגנבים ישתמשו במערכת שלכם?

מוזס: "לא, היא נותנת מידע פחות רלבנטי להאקרים הרעים, וגם בנויה באופן שמאפשר לה לעבוד רק כשהיא בתוך הבית".

הקטיקס הוקמה על-ידי מוזס, פורת ומאור ב-2004. השלושה נפגשו בשוק אבטחת המידע: פורת הקים לפני כן את יחידת בדיקות התוכנה של בנק לאומי (ויש לו תואר ראשון בארכיאולוגיה), מאור היה מנהל מחלקת המחקר של חברת אימפרבה, ומוזס עבד תמיד בתחום ההאקרים ה"טובים".

החברה נמצאת בתהליכי גיוס הון של כמה מיליוני דולרים, ויש לה כבר משקיעה אחת לסבב - קרן אמריקנית שעוד לא ניתן לחשוף את שמה. הכספים מיועדים לצרכי שיווק ומכירות.

החברה מפתחת את המערכת שלה בשיתוף עם Quotium הצרפתית, אשר גם השקיעה 2.2 מיליון אירו בפרויקט, במסגרת תוכנית Eureka של האיחוד האירופי. המערכת עדיין בפיתוח, "בשלב מתקדם שבו כבר ברור שהיא תעבוד", מדגיש מאור. בקרוב יחל ניסוי בטא עם לקוחות, והכוונה היא להשיק את המוצר רשמית בפברואר 2010.