אלעד ארז חוזר לאימפרבה וממונה לתפקיד סמנכ"ל חדשנות

כלי שפיתח ארז סייע לארגונים וממשלות לגלות האם נפגעו במסגרת מתקפות הסייבר החמורות בשנים האחרונות – "וונקריי" ו"סולארווינדס" • מחקר שערך ארז גילה כי בשלוש השבועות שלאחר מתקפת סולארווינדס, 90% מהארגונים שנפגעו לא טיפלו בבעיה ונותרו חשופים למתקפות

אלעד ארז / צילום: שרון הורוביץ
אלעד ארז / צילום: שרון הורוביץ

שלוש שנים לאחר שעזב את החברה, הודיעה חברת הסייבר אימפרבה (Imperva) על מינויו של אלעד ארז לתפקיד סמנכ"ל חדשנות בחברה. על-פי הודעת החברה, בתפקידו החדש יהיה ארז אחראי על "פיתוח וקידום רעיונות חדשים, מציאת פתרונות יצירתיים לאתגרים עסקיים, תוך האצת חדשנות מוצרי החברה באמצעות אסטרטגיית רכישות, פיתוחי פנים ושיתופי-פעולה".

אימפרבה הוקמה ב-2002 על-ידי עמיחי שולמן, שכיום משמש יועץ לחברה, מיקי בודאי ושלמה קרמר. החברה הונפקה בבורסת ניו יורק ב-2014, ומאז נמחקה מהמסחר ועברה לבעלות פרטית של קרן "בראבו", שרכשה את החברה ב-2.1 מיליארד דולר. אימפרבה מעסיקה מעל 1,400 עובדים. מטה החברה ממוקם בקליפורניה. במרכזי הפיתוח בתל אביב וברחובות מועסקים מעל 550 עובדים.

ארז עזב את אימפרבה ב-2018 לטובת חברת הסייבר צ'ק פוינט, שם הקים והוביל את קבוצת החדשנות של צ'ק פוינט שפיתחה והבשילה פרויקטים בתחומי אבטחת ענן, מודיעין איומים, SASE ,SOC, אבטחת רשת והערכת סיכונים. ארז עזב את צ'ק פוינט בנובמבר 2020 ומאז ייעץ לחברות סייבר כיצד לשקף את החזון ואת האסטרטגיה שלהן, לעצב מחדש תהליכי פיתוח ומתודולוגיות חדשניות ולחשוב מחדש על האסטרטגיה שלהן ליציאה לשוק ולמכירה.

ארז מסר בתגובה למינוי כי "הימצאות של תפקיד כזה בהנהלה הבכירה תוך כדי דיווח ישיר למנכ"לית החברה יוצרים יחד קרקע פורייה ואפשרות אמיתית לחדשנות, ולא רק כזו שלרוב נשארת במגירה".

משה ליפסקר, מנהל אימפרבה ישראל ומנהל ארגון המו״פ העולמי, אמר כי בחברה "שמחים מאוד לקבל בחזרה את אלעד ארז כחלק מגל נרחב של אנשי מפתח החוזרים בשנה האחרונה לאימפרבה, לאחר שעזבו לפני שנים. זאת, עקב השינוי האסטרטגי שהחברה מבצעת בשנה האחרונה והגידול העסקי הנובע כתוצאה מכך".

ארז רשם פטנט להגנה על בסיסי נתונים במקרים של דליפת מידע והגנה מפני תוכנות כופר. כמו כן, הוא בנה כלי סייבר חינמיים שיעזרו לארגונים ברחבי העולם להתמודד עם תקיפות ענק, כמו הכלי "Eternal Blues", שמטרתו לסייע לצוותי אבטחה בהתמודדות עם איומי כלי תקיפת הסייבר WannaCry ו-NotPetya. ארז שיתף פעולה עם חמ"לי סייבר (CERT) ברחבי העולם על-ידי הנגשת פורטלים מדינתיים ייעודיים לגילוי חשיפה של כלי התקיפה Sunburst ו-Supernova, בהם נעשה שימוש במתקפת שרשרת האספקה SolarWind.

בדצמבר האחרון נחשפה בארה"ב מתקפת סייבר שהוגדרה מתקפת ענק מסוג "שרשרת אספקה" על יצרנית תוכנה לניטור וניהול מערכות מיחשוב ארגוניות (IT) מבית חברת סולארווינדס. במסגרת המתקפה הופצו עדכוני תוכנה של החברה ללקוחותיה כשהם נגועים בווירוסים, שאפשרו להאקרים לחדור אל אותם ארגונים שהתקינו את אותם עדכונים שהפיצה סולארווינדס.

ארז זיהה את הבעיה והחליט לפתח כלי טכנולוגי שמאפשר למדינות ולארגונים ברחבי העולם לדעת האם, איפה ומתי הם היו חשופים לתקיפת הסייבר. ארז פיתח את הכלי ימים ספורים לאחר חשיפת האירוע והנגיש אותו למערך הסייבר הלאומי של ישראל. המערך הנגיש את המידע לשותפיו במדינות הרלוונטיות בעולם, כחלק מקשרי שיתוף המידע שמקיים המערך עם יותר מ-90 מדינות.

בעזרת הכלי שפיתח, גילה ארז למעלה מ-1,600 שרתים ברחבי העולם שהיו חשופים לפגיעות של מתקפת סולארווינדס. מתוכם, 352 ארגונים בעולם הורידו את עדכון התוכנה עם הקוד הזדוני. את המידע הוא הנגיש דרך פורטל ייעודי שבו עודכנו הנתונים בזמן אמת. הנתונים כללו כתובות IP ושמות שרתים חשופים, שמות ארגונים, דומיינים ואף את מספר הימים ואת טווח התאריכים המדויק בו כל שרת היה נגוע בתוכנה המזיקה.

אנשי מערך הסייבר הלאומי פנו עם המידע ל-33 מדינות, כאשר לכל מדינה הונגש המידע הרלוונטי אליה בלבד, מטעמי שמירת הפרטיות. לדברי מערך הסייבר, "מדינות רבות השיבו חזרה כי המידע עזר להן רבות באיתור ובזיהוי הארגונים הפגיעים, והודו לישראל ולחוקר".

"היו מספר כלים וטכניקות שהראו זוויות שונות וחלקי מידע של שרתים בפוטנציאל להיפגע ממתקפה - נכון לאותה נקודת זמן לאחר שהמקרה פורסם", הסביר ארז. "לכן, כדי לזהות מספר רב ככל האפשר של שרתים פגיעים, בכלי שפיתחתי איחדתי את כל הטכניקות וביצעתי סריקות על שרתים רטרואקטיבית החל מאפריל 2020 - שמונה חודשים לפני שמישהו ידע על הימצאותו של הקוד הזדוני". שילוב זה פתח מניפה של ארגונים ומדינות שלא היו מודעים למקומות הפגיעים אצלם, כי הם לרוב הסתכלו רק על המצב הקיים בדצמבר 2020 והשתמשו רק בטכניקה אחת או שתיים לזיהוי.

מניתוח הנתונים ניתן לראות כי המדינות שהיו הכי פגיעות למתקפה בנקודת הזמן של הבדיקה הראשונה הן: ארה"ב (722 שרתים פגיעים); בריטניה (98); הודו (45); וקנדה (39).

מהבדיקה שערך ארז עלה כי חרף הפרסום האינטנסיבי בעולם, ב-3 שבועות הראשונים מאז חשיפת המקרה, רק 10% מן הארגונים טיפלו בבעיה, בעוד שהיתר - 90% מהארגונים - נותרו חשופים מרגע חשיפת המידע לתוקפים נוספים. בין הגופים שהיו חשופים בעולם איתר ארז מבחוץ גם גופי ממשל, חברות הייטק, אקדמיה, מחקר וגופים רגישים וכן מספר חברות פורצ'ן 500. ארז הדגיש כי לא כל מי שהיה חשוף לפגיעות, אכן נפגע בפועל, אך "סביר מאוד להניח כי מי שלא דאג לטפל בבעיה במהלך דצמבר 2020, צריך לצאת מנקודת הנחה שכבר חדרו לו לארגון, ויותר מגורם אחד".

בישראל, נמסר ממערך הסייבר, התוכנה אינה נפוצה, ומעטים הארגונים שנפגעו ממנה. בראיון לגלובס שהתפרסם מוקדם יותר השנה, אמר ראש מערך הסייבר, יגאל אונא, כי סיבה נוספת לכך שמעט ארגונים בישראל נפגעו היא שבאופן פרדוקסלי, מנהלי האבטחה "התרשלו" בכך שלא התקינו את עדכון התוכנה בזמן, וכך נמנעו מפגיעה. ארז מצא פחות מחמישה ארגונים שהיו חשופים לפגיעה, קיבלו דיווח על כך מהמערך ומיצרניות התוכנה וטיפלו בחולשת האבטחה. 

צרו איתנו קשר *5988