לאט ובזהירות, כך הפכה מיקרוסופט למעצמת סייבר עולמית

בעשר השנים האחרונות הפכה ענקית התוכנה לאחת מחברות הסייבר הגדולות והחשובות בעולם, ועכשיו היא גם רוצה שכולם יידעו את זה • רוב לפרטס, סגן נשיא בחברה האחראי על מוצרי האבטחה של ווינדוס ואופיס: "גילינו שהנתונים שיש לנו יכולים לעזור במניעת מתקפות מראש"

מנכ"ל מיקרוסופט סאטיה נאדלה,/ צילום: רויטרס Sergio Perez ,
מנכ"ל מיקרוסופט סאטיה נאדלה,/ צילום: רויטרס Sergio Perez ,

"מבחינתה של מיקרוסופט, אבטחת סייבר היא תחום עצום מבחינת השקעות במחקר ופיתוח. מיליארדי דולרים בשנה. וזה נכון מזה כמה וכמה שנים", אומר בריאיון ל"גלובס" רוב לפרטס (Rob Lefferts), סגן נשיא במיקרוסופט האחראי על מוצרי האבטחה של ווינדוס ואופיס, ומסכם בכך את אחת המהפכות השקטות והמשמעותיות שהתחוללו בעולם הסייבר בעשור האחרון: הפיכתה של מיקרוסופט לחברת סייבר, מהפכה שחלק משמעותי בה זקוף לזכות מרכז המחקר ופיתוח של החברה בישראל.

לפרטס, עובד מיקרוסופט מזה 22 שנים, אחראי על שלושה מוצרי האבטחה המרכזיים של מיקרוסופט. הוא מפקח על פיתוח מוצר האבטחה לענן, שמגן בין השאר על זהויות המשתמש - כלומר שם המשתמש והסיסמה במערכות הארגוניות - והוא מנהל ישירות שני מוצרים נוספים: את מוצר האבטחה לאופיס 365, שמגן למשל על תיבת המייל, ואת מוצר האבטחה למכשירי הקצה "דיפנדר ATP" שמגן על המחשבים והשרתים בארגון.

רוב לפרטס/  צילום: יחצ
 רוב לפרטס/ צילום: יחצ

האחרון מפותח בישראל על ידי קבוצת פיתוח בניהולו של מוטי גינדי, שמנהלת את קבוצת הגנת הסייבר במרכז הפיתוח, שישב לצידו של לפרטס בריאיון שנערך במרכז הפיתוח של החברה בהרצליה. המשתמש הפרטי מכיר אולי את האנטי וירוס החינמי "דיפנדר" שמובנה במערכת ההפעלה ווינדוס, אך גרסת הדיפנדר לארגונים היא הרבה מעבר לכך, ועל פי מיקרוסופט מעניקה להם את "היכולת למנוע, לאתר, לחקור ולתקן אוטומטית פריצות למחשבי הארגון". לאחרונה נארזו שלוש המוצרים הללו תחת ממשק אחד, בפרויקט באחריותו של גינדי.

"הקבוצה בארץ אחראית כאמור על אבטחת נקודות הקצה", מסביר לפרטס, "שזה מה שקורה במכשיר ספציפי. בדיפנדר, הרעיון המקורי היה להגן על הלפטופ שלך אם מישהו מנסה לתקוף אותך, אולם גילינו שאנחנו יכולים להשתמש בנתונים שיש לנו כדי להבין אם הלפטופ שלך 'מקונפג' כמו שצריך וכך למנוע את המתקפה מבעוד מועד.

"בהמשך הבנו די מהר שאנחנו טובים בזיהוי תוקפים שמנסים לחדור, אבל אנשי האבטחה שקיבלו את ההתראות מהמוצר שלנו היו צריכים להשקיע עוד הרבה עבודה מעל המידע שהצפנו, ולהפעיל כלים חיצוניים כדי לתקן את הבעיות", מסביר גינדי, ומספר שכדי להתגבר על כך רכשה מיקרוסופט לפני כשנתיים חברת סטארט-אפ ישראלית בשם Hexadite, ששולבה לתוך הקבוצה שבניהולו. "הם הביאו איתם טכנולוגיית בינה מלאכותית, שכדי להגיב להתראות מחקה וממכנת את פעולות אנשי האבטחה ומאפשרת ריפוי אוטומטי של המכונות שנפרצו. היינו למעשה הראשונים בתעשייה ששילבו בין גילוי ותגובה וזה הפך לסטנדרט בתעשייה", הוא טוען ומציין עוד כי "היו למיקרוסופט בעבר רכישות נוספות - כמו אדאלום, ארואטו, וסקיור איילנד - שעובדים במקביל אלינו".

מיקרוסופט לא עוצרת שם. "היום אנו מכסים ווינדוס ומק, אך הלקוחות יוכלו לקנות פתרונות של שותפים שמתחברים לפתרון של מיקרוסופט כדי להגן גם על תחנות לינוקס, מכשירי אנדרואיד ו-iOS", מסביר לפרטס. "אחד מהדברים המעניינים לגבי האסטרטגיה שלנו הוא שאנחנו חייבים לוודא שהפתרונות שלנו עובדים מעולה עם שותפים. אנחנו לא רואים את עצמנו כחברת האבטחה היחידה על כדור הארץ, ואנו לא צופים עתיד שבו נהיה החברה היחידה בתחום אבטחת הסייבר על כדור הארץ. חלק גדול של העבודה הוא לבחון כיצד לשתף פעולה עם ספקים ונותני שירותים אחרים כך שיוכלו להשתלב עם הטכנולוגיה שהקבוצה של גינדי בנתה. כבר היום יש לנו מערך של ממשקי התחברות (API) וכ-30-40 שותפים שעובדים איתם. הם מתחרים עם מוצרים שמיקרוסופט בונה".

מוטי גינדי/ צילום: יחצ
 מוטי גינדי/ צילום: יחצ

הוכתרה כמובילת שוק האבטחה לנקודות קצה

השיחה עם לפרטס וגינדי נערכה ימים ספורים לפני שחברת המחקר גרטנר הכתירה את מיקרוסופט כמובילת שוק בתחום האבטחה לנקודות קצה ל-2019 - יותר מהחברות הכי מוכרות בתחום כמו סימנטק וטרנד מיקרו, קספרסקי ומקאפי, וגם חברות שלפי גרטנר מוגדרות "נישה", כמו צ'ק פוינט, פאלו אלטו נטוורקס ואחרות. במיקרוסופט ביקשו להדגיש כי עבורם מדובר בעניין גדול, בעיקר משום שעד לפני ארבע שנים החברה כלל לא הופיעה בו.

נסיבות היווצרות הקבוצה של גינדי מעניינות כשלעצמן. עבור גינדי, ששירת ב-8200, זהו סיבוב שני במיקרוסופט. בין לבין הוא עבד במשרד ראש הממשלה, ולפני מיקרוסופט הקים סטארט-אפ ועבד בקומברס. "כשחזרתי למיקרוסופט זה היה למסגרת שאנו מכנים אינקובציה", מספר גינדי, "שזה בעצם סטארט-אפ, אבל כזה שפועל במסגרת חברה גדולה. הרעיון היה לבחון מכשירי קצה ולראות מה לא בסדר שם. עבור תוקפים ממש קל לחדור למכשירים האלה משום שאבטחה הייתה שכבה שנוספת מעל ווינדוס. באותו שלב כבר היה לנו אנטי וירוס, אבל רצינו ליצור נכס אסטרטגי לארגונים שייצר עולם בטוח יותר למשתמשי ווינדוס. זו גם הסיבה שאנחנו נותנים את האנטי וירוס בחינם ללקוחות פרטיים.

"עשינו שינוי בפרדיגמה של איך מיקרוסופט מתייחסת לאבטחה. אנחנו לא רוצים לשלוח את הלקוחות להתקין כלים של צד שלישי. אנחנו לא רוצים שזו תהיה בעיה של הלקוח, אלא לעזור לו. הרעיון היה לבסס את הפתרון על ביג דאטה, ולהיות חכמים מהתוקף.

"זה היה אחד לאחד תהליך של סטארט-אפ. בשלב הראשון הייתה לנו חדשנות, והיינו זקוקים למימון התחלתי. לקח לנו שנה להבין את השוק של המוצר, להכניס את הרעיון הטכנולוגי ולוודא שהוא באמת עובד ורלוונטי ללקוחות שלנו, וכן סיבובי השקעות נוספים כדי להגיע לגרסה הראשונית".

"כרגע אנחנו באמת שחקן גדול במרחב הזה, אבל לא היינו כאלה לפני שלוש וחצי או ארבע שנים. היום יש לנו עשרות אלפי לקוחות. אחד מהם הוא ה-NHS, ארגון הבריאות של אנגליה, שסבל מהמתקפה של WannaCry. מדובר בתשתית מחשוב ארגונית של רופאים, מטופלים, פקידים, בתי חולים ומרפאות חוץ, ושנה אחרי שהתחלנו את הדרך הם בחרו בנו כדי להבטיח שזה לא יקרה שוב לעולם".

יש משהו מעט אירוני בכך שמיקרוסופט מתהדרת בלקוח NHS - הקורבן המרכזי באחת ממתקפות הסייבר הגדולות בהיסטוריה, שפגעה במאות אלפי מחשבים בכ-150 מדינות - משום שמלכתחילה, כדי להתפשט, מתקפת הסייבר ניצלה פרצה במערכת ההפעלה ווינדוס. על פי הסברה המקובלת, הסוכנות לביטחון לאומי של ארה"ב (NSA) ניצלה את הפרצה כדי לפתח כלי תקיפה לשימושה, ולא דיווחה על כך למיקרוסופט.

בעצם אתם מציעים מוצר נפרד, ולא מציעים את היכולות האלה כחלק אינטגרלי ממערכת הפעלה. למה שלא תשלבו את היכולת שאתם מדברים עליה ותהפכו את ווינדוס ליותר בטוחה מלכתחילה?

"קודם כל", אומר לפרטס, "אנחנו בהחלט רוצים להפוך את הפלטפורמה ואת המערכת לבטוחות יותר. בין אם מדובר בווינדוס, אופיס, או אז'ור - אנחנו משקיעים באופן קבוע כדי שיהיו בטוחים יותר. עם זאת, לארגונים גדולים יש צרכי אבטחה גבוהים יותר, כמו למשל מוסדות פיננסיים. אנו מסוגלים לבנות טכנולוגיה מתקדמת שמתאימה לתרחישים האלה וגם דורשת תחכום גדול יותר - כמו מעורבות של אנשי האבטחה בארגון של הלקוח.

"מה שקורה זה שאנו לומדים באמצעות התהליך הזה, אנו יכולים לפשט את הטכנולוגיה הזו ולהפוך אותה לקלה יותר להבנה, ואנו יכולים לגרום לה לחלחל לפלטפורמות הבסיס. אנחנו מחדשים ומשפרים, מפשטים והופכים אותה לחסינה יותר לכדורים - ואז אנחנו משלבים את זה במערכות האחרות.

"אבל מוצר האבטחה המתקדם שיש לנו היום, משתמש ביתי לא יכול להפעיל את זה, ועסק קטן לא יכול להשתמש בזה. אנו נלהבים מכך - איך לקחת את הרעיונות האלה ולעשות אותם שימושיים עבור מי שאינם מומחי האבטחה - אבל זה דבר שלוקח זמן".

ובכל זאת, למה זה לא חלק מובנה של מה שעושה את המוצר לבטוח?

"זה היה נחמד אילו חיינו בעולם שבו האקרים לא יכולים להצליח, והיינו בונים מוצרים מובנים שלא ניתנים לחדירה", אומר לפרטס. "אבל המציאות מורכבת מאוד, והמורכבות הזו גם יוצרת הזדמנויות לאנשים לנצל אותה לטובתם ולהסתיר את זה. והם ימשיכו לעשות זאת כל עוד יהיו מניעים כלכליים לכך.

"לפעמים זה אפילו לא דברים מסובכים, מספיק שהאיש הרע יתקשר אליך וישכנע אותך לתת לו את מספר כרטיס האשראי שלך באמתלה שהמחשב שלך תקול והוא רק רוצה לעזור. אז אנו רוצים לחשוב איך מגנים מפני זה, וכדי להתמודד עם המורכבות הזו אנו בונים טכנולוגיות חדשות, כמו האפשרות לנטר את מה שקורה במחשבי הארגון באופן ריכוזי מהענן. זה כמו לוח מחוונים ראשי שמאפשר לאנשי האבטחה של הלקוח לנטר את כל המחשבים החברה. סופר מגניב, אפקטיבי מאוד, לקוחות אוהבים את זה, אבל לא משהו שמשתמשי קצה ביתיים בהכרח יתלהבו ממנו - שמישהו ינטר את כל מה שהם עושים. לכן ייקח זמן עד שנבין איך נוכל להשמיש אותם עבור לקוחות פחות מתוחכמים ומשתמשים פרטיים".

שירות הסייבר מאפשר מוניטיזציה של ווינדוס

"מערכת ההפעלה החינמית של גוגל, אנדרואיד, עשתה שיבוש רציני לשוק מערכות ההפעלה, ושירות סייבר למערכת הפעלה ווינדוס אמור לאפשר מוניטיזציה לווינדוס לארגונים", מסביר גורם בכיר בתעשייה את המהלך של מיקרוסופט. לדבריו, "ברמה העסקית יש לזה חשיבות גדולה, כי בעוד שבעבר ווינדוס נמכרה בכסף - היום כמעט ולא גובים עליה תשלום, כך שהיא כבר לא מייצרת הכנסות ורק מכסה על העלות. פעם המטרה הייתה לחלוב את הפרה, והיום היא בעיקר להביא לתפוצה כמה שיותר גבוהה. העובדה שמיקרוסופט היא אחת מחברות הסייבר הגדולות בעולם נכונה כבר כעשר שנים".

לדברי אותו גורם, הדבר נעלם מעינינו "במכוון. מיקרוסופט דאגה לא למצב את עצמה כחברת סייבר, על מנת שהיא תוכל לעבוד עם כל השותפים המסורתיים שלה בעולם כגון פאלו אלטו נטוורקס, צ'ק פוינט והחברים האחרים. בנוסף, מיקרוסופט לא מוכרת לסמנכ"לי האבטחה אלא למנהלי ה-IT שאחראים על התשתיות. המשמעות היא שגם אם הם מוכרים מוצר סייבר, הם לא רוצים למצב אותו ככזה - כדי שהם יוכלו למכור אותו למי שנוח להם".

גינדי דחה את הטענות ואמר כי "זה בפירוש לא נכון. אנחנו מוכרים גם לזה וגם לזה. אי אפשר לקבל הגדרה של 'ספק מוביל' בגרטנר מבלי שהם ישמעו עלינו דברים טובים גם מאנשי אבטחה. זו אמירה שנובעת ממה שמיקרוסופט הייתה בעבר, והשלוש-ארבע שנים האחרונות משנות את זה".

בראיון עימם בחרו לפרטס וגינדי לומר שהם עושים את מה שהם עושים "כדי לעשות טוב לעולם". בעשור הקודם ליווה את גוגל הסלוגן "אל תעשה רע". זו הייתה עקיצה של גוגל - שהייתה האנדרדוג - כלפי מיקרוסופט, אז אחת השליטות הבלתי מעורערות של עולם הטכנולוגיה ומונופול בתחום מערכות ההפעלה, הדפדפנים ותוכנות ארגוניות.

מעבר לעשיית טוב בעולם, ייתכן שגוגל הייתה אחד הזרזים למהלך. כך הסביר בשיחה עם "גלובס" בועז דולב, מנכ"ל חברת הסייבר קלירסקיי ולשעבר בכיר במערך המחשוב של הממשלה. לדבריו, "בעולם הסייבר, השאלה שכל גורם שואל היא אילו נתונים יש לו שבעזרתם הוא יכול לאתר ולנצח תקיפות חדשות. אם אתה מסתכל על מיקרוסופט, אתה רואה שרוב תשתית המחשוב העולמית מתבססת על מחשבים ומערכות הפעלה שלהם - כך שיש להם חיישנים בכל מקום. השאלה שתמיד שאלו את עצמם גורמים בתעשייה הייתה - מה מידת השימוש של מיקרוסופט בנתונים שיש לה מתחת לידיים, וכמה ממנו היא מעבירה למערכות העיבוד שלה כדי לאתר תקיפות חדשות. עד לפני כמה שנים היא הייתה פסיבית בנושא הזה. המידע היה מגיע, אבל יצירת אתראות בזמן אמת לא הייתה בסדר עדיפויות הכי גבוה".

מה שהשתנה, מסביר דולב, הוא "שגוגל נכנסה חזק לתחום. לא רק שיש לה חיישני קצה בכל מקום באמצעות אנדרואיד ותוכנות הענן שלה כגון ג'ימייל - שהותקפו מאינסוף מקומות - אלא שהיא עשתה צעד משמעותי נוסף ב-2012, כשרכשה את שירות 'וירוס טוטאל' שמאפשר למשתמשים לבדוק קבצים חשודים אונליין. לאחר הרכישה גוגל הרחיבה את השירות, הוסיפה עוד יכולות מתקדמות, והפכה לסמכות דה-פקטו בבבדיקת קבצים זדוניים, ובכלל לגורם עולמי דומיננטי בעולם של גילוי ואיתור תקיפות. ואז הבינו במיקרוסופט שהם יכולים להגיע לתוצאות הרבה יותר טובות בעצמם, רק על סמך בדיקה של מערכות הקצה, פשוט כי הם פרוסים בכל העולם ובכל תחנת עבודה".

מיקרוסופט עשתה זאת, לדברי דולב, על ידי כך שהיא "קיבלה את היכולת הזאת מתחנות העבודה שמריצות את ווינדוס 10, המאפשרת שליחת נתונים הקשורים לתקיפות למיקרוסופט מהמחשב - בלי אישור נוסף. התוצאה היא שכיום יש להם את הדאטה בייס הכי גדול בעולם לאתר דרכו תקיפות. השאלה הייתה האם הם גם יכולים לנתח את המידע כמו שצריך ולייצר ממנו דרכי פעולה אפקטיביות לטיפול בתקיפות האלה. התוצאה היא שבשנה וחצי האחרונות המערכות שלהם מאוד השתפרו והם יכולים לאתר תקיפות לפני מישהו אחר פשוט בגלל הפריסה המטורפת שלהם. הם יכולים למפות דברים שאף גוף אחר בעולם לא יכול באמצעות אינדיקטורים של תקלות. ברמה הכי פשוטה, אם לפתע עשרה מחשבים עושים אתחול מחדש במקום אחד - הם יכולים לבדוק מה קרה".

עם זאת, דולב לא מודאג מהשתלטות קרובה של מיקרוסופט על השוק. לדבריו, "השוק מתחלק יפה בין העננים של גוגל, אמזון ומיקרוסופט, ויהיה להם מאוד קשה להיכנס לאזור הזה. גוגל נמצאת בו כבר שנים, בעוד שמיקרוסופט נכנסה לשירותי הענן 365 באופן מאסיבי רק לפני שלוש-ארבע שנים, ולכן הניסיון של גוגל בעניין הזה עדיין מאוד רלוונטי. עם זאת, אני מניח שככל שיעבור הזמן, ההתמקצעות של מיקרוסופט תאפשר לה לסגור פערים - ככל שהיא תעביר את המוצרים שלה לענן, ללא התקנה מקומית, וככל שהיא בעצם תהפוך לחברת ענן כמו גוגל".

גם סמנכ"ל מכירות באחד מהסטארט-אפים הישראליים המובילים בעולם בתחום הסייבר, שביקש להישאר בעילום שם, לא כל כך מודאג: "גם החברה שלנו מתמודדת עם בעיות במערכות ווינדוס, אבל היכולות שלנו וההבנה של מה שקורה בתוך מערכות של מיקרוסופט יותר טובות מאשר של מיקרוסופט עצמה. יש פה אכזבה מכך שלמרות שיש להם יותר יכולות, הם לא עשו משהו באמת מוביל. מצד שני הם בכל זאת שחקן מאוד חזק, כי מבחינה עסקית יש להם נגישות לכל החברות בעולם כי כולם לקוחות שלהם, שלא כמו המתחרות הקלאסיות שלנו".

הסמנכ"ל מונה סיבה נוספת, מקצועית. לדבריו, "הגישה של מיקרוסופט היא לאפשר את האבטחה מווינדוס 10 ומעלה, אבל בשוק היום כמחצית מהעסקים עדיין פועלים עם מערכות ווינדוס 7 ומטה, ולזה אין להם פתרון. הם כמעט לא תומכים בווינדוס 7 כי האינטרס שלהם הוא שמשתמשים יעברו למערכת החדשה. אז נכון שיהיו להם לקוחות, ותהיה להם הצלחה בקרב הלקוחות שמעדכנים את כל מערכות ההפעלה - אבל האם זה משחק שיכול לאיים על ונדורים של אבטחה? אני חושב שגם בטווח הארוך וגם בקצר התשובה היא לא".

במיקרוסופט דוחים גם את הטענה הזאת. לדברי גינדי, "אנחנו באמת מאמינים שהמערכת המאובטחת ביותר היא ווינדוס 10 ומעודדים כל ארגון לעבור אליה, מכל הסיבות הנכונות שקשורות לסקיוריטי. עם זאת, יש לקוחות שמכל מיני סיבות שלבי המעבר שלהם יותר איטיים, ולכן לפני כשנה וחצי הוצאנו גרסה של המוצר שתומכת גם בווינדוס 7, בווינדוס 8.1 ובכל גרסאות ווינדוס לשרתים החל מ-2008. היום אנחנו כבר מכסים את כל גרסאות הווינדוס הרלוונטיות אצל כל הלקוחות".

במיקרוסופט נותנים את הרושם שהם רק בתחילת הדרך, וכבר עתה אומרים כי המטרה שלהם היא בסופו של דבר לא לקרוץ רק לארגונים גדולים ומתוחכמים. "מבחינת הלקוחות המתאימים זה פחות שאלה של גודל ויותר שאלה של תחכום מבחינת האבטחה", אומר לפרטס. "התחלנו עם כאלה שמבינים אבטחה, שיש להם קבוצה אבטחה, שמסוגלים להשתמש במוצרים שלנו ולהבין אותם. משתמשים ביתיים היו כנראה יוצאים מדעתם. קופצים מהחלון. אבל זו בהחלט הכוונה שלנו, מוטי גינדי ואני נלהבים שנינו מהאפשרויות להתפתח ולייצר תוכנית ארוכת טווח, לחשוב איך נוכל לקחת את הטכנולוגיה הנהדרת הזו ולהבטיח שהיא מועילה לעסקים מכל הגדלים - וגם עבור משתמשים ביתיים". 

רוב לפרטס

גיל: 51
מגורים: סיאטל, וושינגטון
תפקיד: סגן נשיא במיקרוסופט, אחראי על מוצרי האבטחה של חלונות ואופיס
השכלה: תואר שני במדעים מדויקים מאוניברסיטת קרנגי מלון
עוד משהו: 22 שנים במיקרוסופט

מוטי גינדי

גיל: 44
מגורים: ת"א, ישראל
תפקיד: מנהל קבוצת Windows Cyber Defense במיקרוסופט ישראל מו"פ
השכלה: תואר ראשון במדעי המחשב ובלשנות מאוניברסיטת ת"א
תפקידים קודמים: משרד ראש הממשלה, סגן נשיא בקומברס
עוד משהו: עבד בעבר במיקרוסופט וחזר אליה לפני ארבע שנים

רוצה להשאר מעודכן/ת בנושא גלובס טק?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988