קלארוטי

המגינים איטיים, התוקפים עובדים במהירות ה-AI

פורסם בתאריך ע"י Techtime

מאת: יוחאי שויגר

שנת 2025 הייתה שנת תפנית בעולם הסייבר: התוקפים הצליחו לנצל חולשות אבטחה מוכרות, לעיתים בתוך שעות מרגע פרסומן, וליזום תקיפות מיידיות. נתונים שנאספו לאורך השנה מראים שפרק הזמן שבין פרסום חולשת One Day לבין הופעת פעילות תקיפה ממשית, התקצר מ-30 יום ב-2022 לכ-5 ימים בלבד ב־2025. בכשליש מהמקרים הניצול התרחש בתוך פחות מ-24 שעות. התופעה הזו אינה מקרית, וקשורה ישירות לשימוש בכלי בינה מלאכותית (AI) בתוך שרשרת התקיפה.

שני מושגי המפתח בתחום הזה הם "חולשות One Day" ו"חולשות Zero Day". חולשת One Day היא חולשה שפורסמה באופן רשמי על-ידי יצרנית התוכנה, ברוב המקרים ביחד עם שחרור תיקון אבטחה (Patch) עבורה. הכינוי נולד מכך שהניצול שלה מגיע "יום אחרי" חשיפתה. מרגע שהיצרנית מדווחת עליה, ההאקרים מתחילים לנתח את העדכון כדי להבין כיצד החולשה עבדה. חולשת Zero Day מפחידה בהרבה: היא לא הייתה ידועה קודם לכן ליצרנית התוכנה או לציבור. היו להם "אפס ימים" להתכונן אליה או לתקן אותה מרגע שהתגלתה. עדיין אין עדכון אבטחה, המשתמשים חשופים לחלוטין ואין דרך סטנדרטית להתגונן מפניה.

למרות זאת, רוב התוקפים מתמקדים כיום בניצול חולשות One Day ולא בחולשות Zero Day. ה-CTO של חברת קלארוטי (Claroty) המתמחה בהגנה על רשתות תפעוליות ותעשייתיות, אמיר פרמינגר, הסביר ל-Techtime: "בעוד שחולשות Zero Day יקרות וקשות לפיתוח, רוב התוקפים היום מכוונים לחולשות One Day כי זה פשוט משתלם יותר. כלי הבינה המלאכותית (AI) האיצו גם את פיתוח הקוד וגם את חקירת החולשות עצמן. התוקפים מבינים שזה הגביע הקדוש – מרגע שהחולשה מתגלה – כולם מנסים להיות הראשונים למצוא את הדרך פנימה. זהו משחק חתול ועכבר שבו אין לתוקפים שום סיבה לשנות אסטרטגיה".

ה-AI מקצר את הזמן שבין פרסום לפריצה

מדובר בשינוי מבני עמוק. מחקרים אקדמיים שפורסמו בשנים 2023-2025 הראו כי מודלי שפה מתקדמים (LLM) מסוגלים לייצר בתוך מספר דקות קוד המנצל חולשות אבטחה, על-פי התיאור שלהן שהיצרן מספק. המחקר הבולט ביותר בתחום, שפורסם ב-2024 ובחן את ביצועי GPT-4, הראה שהמודל הצליח לייצר Exploit פונקציונלי ביותר מ-80% מהמקרים שנבדקו, כולל עבור חולשות One Day לא טריוויאליות, ובזמני פיתוח קצרים מאוד בהשוואה לעבר. מדוע פרק הזמן הזה כל-כך חשוב? מכיוון שהמידע שבידי חברות האבטחה מראה שיותר מ-55% מהחולשות ב-2025, נוצלו בפועל לפני שהארגון הספיק להטמיע את התיקון הזמין.

פרמינגר: "אנחנו רואים האצה ברורה בזמן שבין פרסום החולשה לבין ניצולה בפועל. מהרגע שחולשה מתפרסמת מתחיל שעון חול, ובפועל היום הרבה יותר פשוט גם להשמיש את החולשה וגם לזהות מי פגיע. הזמן שלוקח לספקים לפתח ולהפיץ עדכונים לא התקצר באותו קצב, והפער הזה הוא בדיוק המקום שבו מתרחשות התקיפות”.

מדוע האקרים מעדיפים One Day?

חולשות One Day הן חולשות שכבר פורסמו לציבור, בדרך כלל לאחר שהתגלו על ידי חוקרי אבטחה, ספקי תוכנה, צוותי Bug Bounty או גופי מחקר עצמאיים. עם גילויין מוקצה להן מזהה CVE, שהוא מספר תקני המאפשר לעקוב אחר החולשה ולתאם את הטיפול בין ספקים, ארגונים וחברות אבטחה. עצם פרסום ה-CVE אינו אומר שהמערכת מתוקנת, אלא רק שהמידע זמין ושקיים בסיס לפעולה. בניגוד ל-Zero Day, החולשות הללו אינן סודיות והמידע עליהן נגיש לכל. אלא שחלון הזמן שבין פרסום החולשה לבין תיקונה בפועל במערכות ארגוניות הפך לנקודת התורפה המרכזית. חציון חלון החשיפה לחולשות קריטיות עומד כיום על כ-70 יום (כמעט כמו ב-2022), אך בתוך החלון הזה מתרחשת היום הרבה יותר פעילות זדונית, והרבה יותר מוקדם.

ההבדל המהותי בין העבר להווה אינו בקצב התגובה של הארגונים, אלא בקצב הפעולה של התוקפים. תוקפים משתמשים במודלי שפה וכלי AI כדי לנתח פרסומי חולשות, להבין במהירות את מנגנון הפגיעה ולהמיר תיאורים טכניים לקוד ניצול פעיל. תהליך שבעבר דרש מומחיות גבוהה וזמן עבודה ממושך הפך לתהליך חצי־אוטומטי, שבו אדם מנחה את המערכת והמערכת מבצעת את עיקר העבודה. מרגע שחולשת One Day מתפרסמת, מתחיל המירוץ: ספקים מפרסמים עדכונים וצוותי אבטחה מנסים להעריך סיכון ולתכנן הטמעה, במקביל התוקפים מריצים סריקות רחבות היקף, מאתרים מערכות שלא עודכנו ומזהים גרסאות פגיעות.

נתיב התקיפה של העשור

הבינה המלאכותית מאפשרת להם לעשות זאת במהירות ובקנה מידה גדול מאוד, ולכן חולשות One Day הפכו לווקטור תקיפה מרכזי. היא מספקת שילוב של אמינות והיקף, במיוחד במוצרי קצה כמו VPN Gateways, שרתי Web, מערכות ניהול ופלטפורמות ענן, שעדיין קיימות בהיקף נרחב בסביבות לא מעודכנות. בתעשייה מעריכים שב-2025 רק 30% מהארגונים התקינו תיקון קריטי בתוך 30 יום (בהשוואה ל־45% ב־2022), וכ-50% מהחולשות שנכנסו ב־2025 לרשימות ניצול מאומת היו חולשות One Day, כאשר הזמן החציוני בין פרסום CVE לזיהוי ניצול ירד לפחות מ־20 יום.

מדובר בצורך לבצע שינוי תפיסתי עמוק. One Day כבר אינה מעניקה מרווח נשימה. הימים הראשונים שלאחר פרסום החולשה הם המסוכנים ביותר, ובשלב הזה נדרשת תגובה מהירה ואמצעי מיגון זמניים, גם אם הטמעה מלאה של ה-Patch תתבצע מאוחר יותר. בעידן שבו התוקפים פועלים במהירות ה-AI, ההגנה אינה יכולה להישען על תהליכים ידניים ולוחות זמנים נוחים. חולשות One Day הפכו לאחד מנתיבי התקיפה המרכזיים של העשור, לא משום שהן חדשות, אלא משום שהאופן שבו מנצלים אותן השתנה. הבינה המלאכותית לא יצרה את הפרצות, אך היא קיצרה את הזמן עד שהן הופכות למסוכנות באמת, ובמרוץ הזה מי שמאחר בימים הראשונים עלול לגלות שההתקפה כבר החלה – ובמקרה הגרוע יותר – כבר הסתיימה.

מפורד לסייבר הישראלי: גיל גור אריה מונה לסמנכ"ל מוצר בקלארוטי

פורסם בתאריך ע"י Techtime

[בתמונה: גיל גור אריה. מקור: לינקדאין]

חברת הסייבר קלארוטי (Claroty), המתמחה בהגנה על תשתיות פיזיות וסביבות תפעוליות, הודיעה על מינויו של גיל גור אריה לתפקיד סמנכ"ל מוצר (Chief Product Officer). במסגרת התפקיד הוא יוביל את אסטרטגיית המוצר של החברה, ישלב בין צוותי הפיתוח, הדאטה והמחקר והפיתוח, ויוביל את פלטפורמת ההגנה של קלארוטי לשלב הבא בעולמות הסייבר־פיזי ובינה מלאכותית.

גור אריה מצטרף לקלארוטי לאחר קריירה עשירה בתעשייה ובמערכת הביטחון. בתפקידו האחרון כיהן כסמנכ"ל עולמי לדאטה ואנליטיקה בפורד מוטורס (Ford), בין 2020-2023, שם הוביל צוותים גדולים בעולמות הדאטה והבינה המלאכותית והוביל מהלכים רחבי היקף של טרנספורמציה דיגיטלית.

לפני כן שירת כעשרים שנה ביחידת 8200 של צה"ל בתפקידי פיקוד וטכנולוגיה בכירים, וזכה בפרס ביטחון ישראל. הוא בוגר תואר ראשון בהנדסת חשמל מהטכניון ותואר שני במנהל עסקים מאוניברסיטת תל אביב.

קלארוטי נחשבת לאחת מחברות הסייבר הישראליות הבולטות בעולם, והיא מתמחה בהגנת מערכות סייבר־פיזיות (CPS) – רשתות תעשייתיות, תשתיות קריטיות, מערכות בריאות ומתקנים צבאיים. החברה פועלת כיום ביותר מ-70 מדינות ומשרתת ארגוני תעשייה, אנרגיה, מים ותחבורה לצד מערכות ביטחוניות.

 

רבע מחברות התשתית נפגעו ממתקפות סייבר

פורסם בתאריך ע"י Techtime

[בתמונה למעלה: מנכ"ל קלארוטי, יניב ורדי. צילום: קרן מזור]

דו"ח חדש של חברת הסייבר קלארוטי (Claroty), המתמחה בהגנה על מערכות סייבר-פיזיות (CPS), ממחיש את ההשפעות העסקיות המשמעותיות של מתקפות סייבר על סביבות סייבר-פיזיות – ובעולם, ובישראל בפרט. אחד הממצאים הבולטים בדו"ח הוא כי יותר מרבע (27%) מהארגונים, שהשתתפו בסקר, דיווחו כי ספגו ב-2023 הפסד של מיליון דולר ומעלה כתוצאה ממתקפות סייבר על מערכות ומכשירים פיזיים המחוברים לרשת. ההפסדים הכספיים נבעו בעיקר מאובדן הכנסות, עלויות התאוששות ושעות נוספות של עובדים בעקבות הפגיעה. 

הדו"ח מבוסס על סקר עצמאי גלובלי של 1,100 אנשי אבטחת מידע, הנדסת  טכנולוגיה תפעולית (-Operational Technology OT(, הנדסה קלינית וביו-רפואית ומנהלי מתקנים ומפעלים, שנשאלו לגבי ההשפעות העסקיות של התקפות סייבר על הארגונים שלהם ב-12 החודשים האחרונים. 

איומי כופר וסחיטה ממשיכים לשחק תפקיד מרכזי בעלויות ההתאוששות, כאשר יותר ממחצית מהמשיבים (53%) נאלצו לשלם כופר בעלות של יותר מ-500,000 דולר כדי לשחזר גישה למערכות וקבצים מוצפנים ולחדש את פעילותם. בעיה זו חמורה במיוחד במגזר הבריאות – 78% דיווחו על תשלומי כופר מעל 500,000 דולר.

להפסדים הכספיים יש קשר הדוק עם ההשפעות התפעוליות, כאשר שליש (33%) דיווחו על יום שלם או יותר של השבתה תפעולית שהשפיעה על יכולתם לייצר מוצרים או שירותים. כמחצית (49%) אמרו שתהליך ההתאוששות ארך שבוע או יותר וכמעט שליש (29%) אמרו שההתאוששות ארכה יותר מחודש. 

מנכ"ל קלארוטי יניב ורדי אמר כי "התובנות מהדוח מאשרות שאי השקעה באתגר המאוד ייחודי של הגנה על מערכות סייבר-פיזיות, עלולה להוביל לפגיעה כלכלית רצינית בארגון. יחד עם זאת, ארגונים מתחילים לראות את התמורה שבהשקעה זאת".

מהיכן תיפתח הרעה?

כאשר בוחנים את הסיבות להתקפות סייבר אלה, מתגלות בארגונים חשיפות עקב פעילות ספקי צד שלישי בסביבת המערכות הסייבר-פיזיות ומהגישה מרחוק אליהן. 82% מהנשאלים אמרו שלפחות מתקפת סייבר אחת – וכמעט מחצית (45%) אמרו שחמש התקפות או יותר – ב-12 החודשים האחרונים נבעו מגישה של ספקי צד שלישי לסביבת CPS. למרות זאת, כמעט שני שלישים (63%) מודים שיש להם הבנה חלקית או שאינם מבינים כיצד לנהל את הקישוריות של צד שלישי לסביבת ה-CPS שלהם.

בעוד שהממצאים מראים כי 12 החודשים האחרונים היו משבשים ויקרים עבור רוב הארגונים התומכים ב-CPS, המשיבים שידרו ביטחון לאור שיפורים שהכניסו במטרה להפחית סיכונים לארגון. לרובם (56%) יש אמון רב יותר ביכולת מערכות הסייבר-פיזיות של הארגון שלהם לעמוד בפני התקפות סייבר היום לעומת לפני 12 חודשים, ו -72% מצפים לראות שיפורים באבטחה ב -12 החודשים הקרובים. 

ומה המצב בישראל?

הסקר של קלארוטי כלל גם את ישראל, בקרב מהנדסי טכנולוגיה תפעולית (OT), מנהלי תפעול ומנהלי מפעלי ייצור בתעשיות הרכב והבריאות. לשאלה האם ארגונם הותקף במהלך 12 החודשים האחרונים ולאלו מערכות כוונו התקיפות, ענו כי ספגו תקיפות שפגעו במערכות סייבר-פיזיות, מערכות IT, מערכות IoT, מערכות IoMT (מערכות רפואיות המחוברות לאינטרנט) ומערכות ניהול מבנים (BMS). מתקפות אלו גרמו להשבתה של 12-24 שעות בפעילות הארגון/המפעל.

עלות המתקפות על מערכות הארגון מוערכת על פי מחצית מהמשיבים בישראל בסכום של בין 100-500 אלף דולר, כאשר המחצית השנייה של המשיבים העריכו את גובה הסכום בחצי מיליון עד מיליון דולרים. משך ההתאוששות מההתקפה, שכלל פעולות שחזור, גיבוי, החלת אמצעי מניעה וכד', היה עד שישה ימים , על פי כל המשיבים לסקר.

הגישה לסביבת הארגון של ספק או שותף צד שלישי, הייתה לפי כל משיבי הסקר, הגורם המוביל ב 1-5 מתקפות סייבר שחוו במהלך 12 החודשים האחרונים. בעקבות זאת, מחצית מהמשיבים אמרו כי הקשרים העסקיים הופסקו ומחצית אמרו כי חודשו פרוטוקולי האבטחה מולם.

כאשר ההתקפה נגרמה בשל גורם פנים-ארגוני, אמרו המשיבים כי ב-1-5 מתקפות, הושפעו מכך גם ספקי צד שלישי ולקוחות הארגון. במקרים אלו, אמרו מחצית מהמשיבים כי האירוע גרם למו"מ מחודש על תמחור ותנאי עבודה. מחצית דיווחו כי שונו פרוטוקולי אבטחה גם במקרה זה.

בהיבט ההשפעות התפעוליות של התקפות הסייבר על הארגון, ענו המשיבים כי כמעט ברוב האירועים הופסקה אספקת המוצרים ללקוחות. השפעות נוספות על התפעול השוטף שעלו בסקר –  הפסד כלכלי, איבוד קניין רוחני (IP), פגיעה במוניטין, שינויי כוח אדם, שיבושים בטיפול בחולים (במגזר הבריאות).

לשאלה – אילו יכולות האבטחה היו חסרות בתוכנית אבטחת הסייבר של הארגון, אשר יכלו להפחית את היקף ההשפעה, צוינה בעיקר יכולת אבטחת הגישה מרחוק למערכות ותשתיות הארגון. שאר יכולות האבטחה שצוינו כחסרות הן – ניהול פגיעויות, ניהול חשיפה, סגמנטציה ברשת, ניהול זהות וגישה.

למרות נתונים לא מעודדים אלה, מרבית המשיבים סברו שארגונם פעל לשיפור המצב וננקטו הפעולות הדרושות כדי להפחית את הסיכונים וההשלכות על תפעול הארגון ועל הנזק הכלכלי שגרמו התקפות הסייבר.

קלארוטי: כלי הגישה-מרחוק מייצרים סיכוני סייבר על הסביבה התפעולית

פורסם בתאריך ע"י Techtime

[בתמונה למעלה: מנכ"ל קלארוטי, יניב ורדי. צילום: קרן מזור]

חברת הסייבר קלארוטי (Claroty), המתמחה בהגנה על מערכות סייבר-פיזיות (CPS), פרסמה מחקר חדש של זרוע המחקר שלה, Team82, על התרחבות השימוש בכלי גישה מרחוק והחשיפה לסיכונים שהיא יוצרת בסביבות טכנולוגיות תפעוליות (OT). נתונים שנאספו מיותר מ-50 אלף מכשירים בסביבה התפעולית, הראו כי כמות הכלים לגישה מרחוק שהוטמעו הינה מוגזמת, כאשר ל-55% מהארגונים יש ארבעה או יותר כלים ול-33% יש שישה כלים או יותר לגישה מרחוק.

בנוסף, מצא המחקר של Team82 , כי ל-79% מהארגונים יש יותר משני כלים המותקנים על התקני רשת OT ואינם ברמת האבטחה הנדרשת בארגונים. כלים אלה חסרים יכולות בסיסיות לניהול גישה מורשית כגון הקלטת החיבורים מרחוק, בקרות גישה מבוססות הרשאות לבעלי תפקידים מוגדרים ואפילו תכונות אבטחה בסיסיות כגון אימות רב-גורמי (MFA). כתוצאה מכך עולה רמת החשיפה בסיכון גבוה ונוספות עלויות תפעול הנובעות מניהול מגוון פתרונות.

"מאז מגפת הקורונה, ארגונים פונים יותר ויותר לפתרונות גישה מרחוק כדי לנהל בצורה יעילה יותר את העובדים שלהם וספקי צד שלישי. גישה מרחוק היא אמנם פועל יוצא הכרחי של מציאות חדשה, אולם במקביל היא יצרה דילמה אבטחתית ותפעולית", אמרה טל לאופר, סמנכ"ל מוצרים בקלארוטי. "בעוד שהגיוני כי לארגון יהיו כלי גישה מרחוק עבור שירותי IT וגישה מרחוק לסביבות OT, זה לא מצדיק את מגמת הרחבת השימוש בכלים אלו בתוך רשת ה-OT הרגישה, שזוהתה במחקר שלנו, מאחר והיא מובילה לסיכון מוגבר ולמורכבות תפעולית". 

טל לאופר, קלארוטי. באדיבות קלארוטי

בקלארוטי מסבירים כי רבים מפתרונות הגישה מרחוק הנמצאים ברשתות OT משמשים למטרות ספציפיות בסביבות  IT, אך קיומם בסביבות תעשייתיות עלול ליצור חשיפה קריטית ולהגביר את סיכוני האבטחה, ובהם היעדר נראות, שטח תקיפה מוגבר וניהול זהויות מורכב.

לפי חברת המחקר Gartner, "מנהלי אבטחה וניהול סיכונים (SRM) צריכים לבדוק את מצב החיבורים המרוחקים הקיימים בכל הארגון, מכיוון שסביר להניח שיימצאו פתרונות כאלו, לא גלויים, בכל הרשתות התפעוליות, ובמיוחד באתרי שטח". יש להסיר פתרונות גישה מרחוק ישנים לטובת פריסת פתרונות מאובטחים חדשים יותר המותאמים לסביבות CPS. ארגונים בדרך כלל פורסים פתרונות חדשים מבלי להתמקד במה שנותר מאחור, ועם הגידול במספר חולשות ה-VPN המנוצלות, הדבר יכול להוות נקודה עיוורת משמעותית". 

דוח מדאיג: שני שליש מחולשות האבטחה הידועות – במכשור רפואי

פורסם בתאריך ע"י Techtime

[בתמונה: אמיר פרמינגר, סמנכ"ל המו"פ של קלארוטי. קרדיט: קרן מזור]

דו"ח של צוות המחקר Team82 של חברת הסייבר קלארוטי (Claroty חושף נתון מדאיג מאוד על עולם המכשור הרפואי. לפי הדוח השנתי, שבחן את מצב האבטחה של מערכות בשירותי הבריאות, כ-63% מחולשות האבטחה המוכרות (KEV – Known Exploited Vulnerabilities) נמצאות ברשתות תקשורת של מערכות רפואיות.כמו כן, ב-23% מהמכשור הרפואי, כדוגמת מכשירי הדמיה, מכשירי IoT קליניים וציוד רפואי לחדרי ניתוח, קיימת לפחות חולשת אבטחה אחת ידועה שנוצלה על ידי גורמי איום.

לדברי סמנכ"ל המו"פ של קלארוטי, אמיר פרמינגר, הדו מדגים כיצד הקישוריות הגוברת של מכשירים רפואיים קריטיים עלולה, בהיעדר מענה אבטחתי, להיות בעלת השלכות שליליות פוטנציאליות על מטופלים. 

"הקישוריות יצרה שיפורים דרמטיים בטיפול בחולים. עם זאת, הגידול בקישוריות דורש הבנה של החשיפה לתוקפים הכרוכה בה ובהתאם את את הצורך בבניית ארכיטקטורת רשת נכונה." 

הדוח מצביע על הממשק המסוכן בין הרשתות האלחוטיות הציבוריות לבין המערכות הרפואיות הקריטיות. לפי הדו"ח, ל-22% מבתי החולים יש מכשירים מחוברים המגשרים בין רשתות אורחים המספקות למטופלים ולמבקרים גישה לאינטרנט אלחוטי, לבין רשתות פנימיות.

"מצב זה יוצר וקטור תקיפה מסוכן, מכיוון שתוקף יכול למצוא במהירות נכסים רפואיים ברשת האלחוט הציבורית ולמנף גישה זו כגשר כניסה לרשתות פנימיות שבהן שוכן ציוד הטיפול בחולים," נכתב בדוח, שמציג בהיבט זה נתון מדהים נוסף: 4% מהמכשור הכירורגי – ציוד קריטי שאם יותקף וייפגע עלול לסכן חולים – מתקשר על גבי רשתות אורחים.

עוד עולה מהדוח, כי 14% מהמכשירים הרפואיים המחוברים פועלים במערכות הפעלה שאינן נתמכות או נמצאות בסוף חייהן. מתוך המכשירים שאינם נתמכים, 32% הם מכשירי הדמיה, כולל מערכות רנטגן ו-MRI, החיוניים לאבחון ולטיפול רפואי מונע, ו-7% הם מכשירים כירורגיים.

הדוח בחן מכשירים בעלי ציוני EPSS (Exploit Prediction Scoring System) גבוהים, המייצגים את ההסתברות שחולשת תוכנה תנוצל במרחב הסייבר, בסולם של אפס עד מאה. מניתוח הנתונים עולה כי 11% מהמכשור הרפואי המיועד למטופלים, כגון משאבות עירוי, ו-10% מהמכשור הכירורגי בחדרי ניתוח, כוללים חולשות אבטחה עם ציוני EPSS גבוהים. כאשר בוחנים מכשור רפואי עם מערכות הפעלה שאינן נתמכות, 85% מהמכשירים הכירורגיים בקטגוריה זו הם בעלי ציוני EPSS גבוהים. 

צוות המחקר בדק אלו מכשירים רפואיים נגישים מרחוק ומצא כאלה עם סיכוי גבוה לכשל, כולל דפיברילטורים, שערי דפיברילטורים ומערכות ניתוח רובוטיות. המחקר הראה גם כי 66% ממכשירי ההדמיה, 54% מהמכשירים הכירורגיים ו-40% ממכשור המיועד למטופלים, הנם נגישים מרחוק.

פרמינגר: "ארגוני בריאות וגופי האבטחה שלהם חייבים לפתח מדיניות ואסטרטגיות שיבטיחו כי מכשירים ומערכות ניהול רפואיים יהיו עמידים בפני חדירות של איומי סייבר. זה כולל גישה מאובטחת מרחוק, תעדוף ניהול סיכונים והטמעת סגמנטציה". 

בשבוע שעבר השלימה קלארוטי סבב גיוס נוסף, בהיקף של 100 מיליון דולר, אשר העלה את סך גיוסיה מאז הקמתה ל-635 מיליון דולר. ב-2021 רכשה קלארוטי את חברת מדיגייט (Medigate) מתל אביב, המספקת פתרונות לאבטחת תשתיות קריטיות עבור בתי חולים וציוד רפואי.

קלארוטי גייסה 100 מיליון דולר 

פורסם בתאריך ע"י Techtime

[בתמונה למעלה: מנכ"ל קלארוטי, יניב ורדי. צילום: קרן מזור]

חברת Claroty התל-אביבית, המספקת פתרונות להגנת סייבר על תשתיות קריטיות, הודיעה היום על גיוס הון בסכום של 100 מיליון דולר. את סבב הגיוס הובילה קרן Delta-V Capital, ושאר המשקיעים הנם – AB Private Credit Investors at AllianceBernstein, Standard Investments, Toshiba Digital Solutions ו-Silicon Valley Bank, חטיבה של First Citizens Bank. 

עד היום גייסה קלארוטי סכום של 635 מיליון דולר. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. הפלטפורמה של קלארוטי, Claroty Platform, מתחברת אל התשתיות הקיימות של הלקוח, ומספקת מגוון מלא של בקרות אבטחת סייבר תעשייתיות לגילוי איומים, ניהול סיכונים וחולשות אבטחה, וגישה מרחוק מאובטחת.

מהחברה נמסר כי הכסף שגויס ישמש להרחבת פלטפורמת החברה להגנה על מערכות סייבר-פיזיות (CPS) במגזרי מפתח, כולל המגזר הציבורי ותעשיות תשתיות קריטיות בהן יש רגולציה מחמירה, וכן בהתרחבות לאזורים בצמיחה באמריקה, אירופה ואסיה-פסיפיק. השקעות נוספות יבוצעו במו"פ עבור טכנולוגיות ליבה של החברה וטכנולוגיות קשורות להן, כולל גישה מאובטחת מרחוק.

קלארוטי מסרה גם כמה נתונים על פעילותה העסקית בשנה האחרונה. לדבריה, במהלך 2023 רשמה החברה יותר מ-100 מיליון דולר בהכנסות חוזרות שנתיות (ARR), והגדילה ב-300% את מספר לקוחותיה, ובנתה שותפויות טכנולוגיות אסטרטגיות עם חברות מובילות בתעשייה כגון CrowdStrike, ServiceNow ו-AWS; והוסיפה לתכנית השותפים שלה מספר ספקי שירותי אבטחה  מנוהלים (MSSPs) ובהם IBM, Rockwell Automation, Schneider Electric, NTT Data ו-eSentire. כמו כן, Team82, צוות המחקר של קלארוטי הפועל בישראל, גילה וחשף עד כה מעל 550 חולשות אבטחה במערכות סייבר-פיזיות.

קלארוטי חשפה חולשת אבטחה דמויית Stuxnet בבקרי ה-PLC של Rockwell

פורסם בתאריך ע"י Techtime

בתמונה למעלה: הבקר התעשייתי CompactLogix 5480. שייך לקבוצת הבקרים אשר נפגעים מהחולשה שזוהתה

חברת קלארוטי (Claroty) מתל אביב איתרה שתי חולשות אבטחה חמורות מהסוג של תולעת Stuxnet בבקרים התעשייתיים המיתכנתים (PLC) של חברת רוקוול אוטומציה (Rockwell Automation). החולשות שנחשפו עלולות לאפשר לתוקפי סייבר להריץ קוד זדוני על הבקרים, לשנות הלוגיקה שלהם ולשבש תהליכים קריטיים – מבלי שהמהנדסים העובדים על הפלטפורמה יידעו זאת.

תולעת Stuxnet היא תוכנת תקיפה נגד בקרי SCADA אשר התגלתה בשנת 2010 כאשר הותקפו הסרקזות האירניות ששימשו לייצור אורניום מועשר, ויצאו מכלל פעולה ללא ידיעת מפעיליהן. ראש צוות מחקר ב-Team82, שהיא קבוצת מחקרי הסייבר של קלארוטי, שרון בריזינוב, אמר שתוקף המצליח לשנות את הלוגיקה של בקרי ה-PLC יכול לגרום נזק ממשי למפעלי ייצור ומתקני תשתית קריטית. "הוא יכול לפגוע בפעילות קווי הייצור ובהתקנים הרובוטיים המבוקרים".

החולשות שהתגלו קשורות לשני מרכיבים שונים במערך הבקרה, ההפעלה והתיכנות: חולשת אבטחה אחת פוגעת בבקרים ממשפחת Logix של רוקוול אוטומציה, וקיבלה את דרגת הסיכון 10 (כלומר "מסוכנת ביותר"). החולשה השנייה התגלתה בסביבת הפיתוח (IDE) של רוקוול, Studio 5000 Logix Designer, שהיא התוכנה שהחברה מספקת כדי לתכנת את הבקרים. דרגת הסיכון של החולשה הזאת קיבלה את הציון 7.7 ("חומרה גבוהה").

קלארוטי דיווחה על החולשות לחברת רוקוול אוטומציה, אשר עידכנה את לקוחותיה, ופיתחה כלי ייעודי לניתוח הקוד בבקרים, אשר מאפשר לזהות ניסיונות להריץ בהם קוד נסתר. בנוסף, רוקוול אוטומציה פנתה ללקוחות במזכר מיוחד המפרט כיצד עליהם לפעול בהקדם, לצמצום הסיכון הנשקף מחולשות האבטחה החדשות שחשפו חוקרי Team82 של קלארוטי.

 

לקריאת התיאור של קלארוטי על החולשות שנחשפו:

Hiding Code on Rockwell Automation PLCs

 

עליה דרסטית בגילוי חולשות אבטחה במערכות בקרה תעשייתיות

פורסם בתאריך ע"י Techtime

חוקרי צוות Team82 של חברת קלארוטי (Claroty) הישראלית, מדווחים שבמחצית הראשונה של 2021 חלה עלייה של 41% בהיקף הגילוי של חולשות אבטחה במערכות בקרה תעשייתיות (Industrial Control Systems – ICS) בהשוואה לששת החודשים הקודמים. מדובר בעלייה משמעותית, לאור העובדה שבכל שנת 2020 הן גדלו ב-25% בלבד. מדובר ב-637 נקודות תורפה שנחשפו במערכות בקרה תעשייתיות, שכ-90% מהן הן בעלות מורכבות נמוכה, כלומר קל מאוד לנצל אותן והצלחת התקיפה מאוד ברורה.

חמור יותר הוא נתון הנזק הפוטנציאלי: 71% מהחולשות שהתגלו מסווגות כבעלות דרגת חומרה גבוהה מאוד, עד-כדי קריטית. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-235 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול. מנכ"ל החברה הוא יניב ורדי. מתוך החולשות שהתגלו השנה, 70 התגלו על-ידי קלארוטי.

בחודש מאי 2021 היא דיווחה על גילוי חולשת אבטחה חמורה בבקרי SIMATIC S7 1200/1500 של חברת סימנס, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר ולהעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית. כך למשל, היא מאפשרת לתוקפים להשתיל בבקר התעשייתי וירוס או תולעת אשר משבשים את פעולתו, בשעה שהוא מפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות.

קלארוטי חשפה חולשת אבטחה חמורה בבקרי PLC של סימנס

פורסם בתאריך ע"י Techtime

חברת הסייבר התעשייתי התל אביבית קלארוטי (Claroty) חשפה חולשת אבטחה חמורה בסדרת הבקרים העדכנית של סימנס SIMATIC S7 1200/1500, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר. מדובר ביכולת הנחשבת ל"גביע הקדוש" של האקרים, ואשר הושגה עד עתה רק במקרים בודדים, שאחד מהם הוא Stuxnet שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית.

החברה מעריכה שהחולשה שהתגלתה עשויה להעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, כמו למשל השתלת וירוס/תולעת בבקר אשר ישבש את פעולת הברים אולם יפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות. צוות המחקר של קלארוטי שאיתר את החולשה לא מצא אף מקרה של ניצול החולשה הזו. בתגובה לזיהוי החולשה, עידכנה סימנס את הקושחה של בקרי ה-PLC החשופים והוציאה קריאה לכל המשתמשים לעדכן בהקדם את בקרי ה-PLC שלהם לגרסאות המעודכנות. היא מדווחת על הפרטים החיוניים בקישור הבא: SSA-434534.

טכנולוגיה של יוצאי 8200

חשיפת החולשה התאפשרה הודות לקשר הקרוב בין סימנס וקלארוטי. התיאום בין שתי החברות כולל החלפת פרטים טכניים, מידע על טכניקות התקפה וסיוע שקלארוטי העניקה לסימנס בבניית עדכון האבטחה. במסמך המתאר את העידכון, היא הוסיפה תודה מיוחדת לצוות החוקרים של בראשות קרן טל. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.

בחודש ספטמבר 2020 היא חשפה חולשות אבטחה קריטיות בתוכנת CodeMeter של חברת Wibu-Systems AG, שהיא אחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (ICS). התוכנה מגינה על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליהן מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד. החולשות שהחברהע גילתה מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר, לשנות רישיונות קיימים ואפילו לזייף רישיונות תקפים.

 

חולשות אבטחה מסכנות מאות-אלפי בקרים תעשייתיים בארץ ובעולם

פורסם בתאריך ע"י Techtime

בתמונה למעלה: אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי. צילום:קרן מזור

מחלקת המחקר של חברת קלארוטי (Claroty) הישראלית חשפה חולשות אבטחה קריטיות באחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (Industrial Control Systems- ICS). מדובר בתוכנת CodeMeter של חברת Wibu-Systems AG. התוכנה נועדה להגן על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליו מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד.

התוכנה נמצאת במכונות ייצור ובמערכות בקרה קריטיות, שבהן היא מותקנת כרכיב צד שלישי בתוך התוכנה של היצרן המקורי. החוקרים שרון בריזינוב וטל קרן מצוות המחקר של קלארוטי, גילו את החולשות והעריכו שעשרות חברות ישראליות נחשפו לחולשות אבטחה האלה, מאחר והן עושות שימוש במערכות ICS שבהן מותקן CodeMeter. החולשות שהתגלו מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר ולשנות רישיונות קיימים או לזייף רישיונות תקפים.

איטיות מחרידה

רישיונות מזויפים אלה יכולים לשמש לביצוע תקיפות נוספות: משתילים אותם באתר הנמצא בשליטת התוקף ומפתים קורבנות להיכנס אליו באמצעות הנדסה חברתית. על-ידי כך "מזהמים" את המחשב שלהם, והוא מעביר את הזיהום הלאה, אל מתקן הייצור או הבקרה שמולו הוא עובד. כדי לסייע ללקוחות לדעת האם הם חשופים לפגיעות, קלארוטי העלתה לרשת כלי מקוון המספק חיווי מיידי אם ה-CodeMeter ברשות המשתמשים אכן פגיע. לביצוע הבדיקה הקליקו כאן: CodeMeter Vulnerability Tester.

כמקובל בתחום האבטחת הסייבר, הממצאים הועברו מיד לחברת Wibu-Systems, אולם שלא כמקובל בתעשייה, התגובה של יצרנית התוכנה היתה איטית להחריד: היא קיבלה את המידע בחודש פברואר 2019, ורק באוגוסט 2020 היא שחררה גרסת תוכנה (CodeMeter v7.10) הכוללת את כל התיקונים הנחוצים. גם בחברת קלארוטי הרימו גבות בתדהמה לנוכח האיטיות הזאת.

צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter
צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter

בראיון ל-Techtime הסביר סמנכ"ל המחקר של קלארוטי, אמיר פרמינגר, שרמת האבטחה של בקרים תעשייתיים היא ירודה ביותר, עד-כדי לא קיימת במקרים רבים. פרמינגר: "המצב בתעשייה רע מאוד. אנחנו מבצעים מחקרים רבים לאיתור חולשות, אבל במקרים רבים מתאר התקיפה כלל לא זקוק לזיהוי של חולשה, מכיוון שהבקרים פשוט לא מאובטחים". הבעיה, הוא מסביר, נובעת משתי סיבות מרכזיות: ההיסטוריה של תחום הבקרים התעשייתיים והמודעות הנמוכה של המשתמשים בתעשיית הייצור והבקרה.

הבקרים לא תוכננו לאינטרנט, אבל התחברו אליה

"הבקרים המיתכנתים התפתחו כמערכות פשוטות שהיו מקושרות אל המכונות או אל מרכזי פיקוד מקומיים בערוצים ייעודיים, כמו למשל ערוץ התקשורת הטורית RS-232 או בערוצים קנייניים של היצרנים. מכיוון שאלה מערכות סגורות שאינן מתחברות לרשת, ומכיוון שחלק גדול מהן מבוסס על מיקרו-בקרים פשוטים, לא הותקנו בהן אמצעי הגנה בסיסיים ביותר כמו למשל דרישת ססמא או הצפנת מידע. בשנים האחרונות התעשייה מאמצת את פרוטוקול האינטרנט (IP) כערוץ התקשורת המרכזי לכל היישומים, וכאן נוצרה בעיה חדשה: מערכות שאין להן תשתיות הגנה הולמות המקושרות אל תשתית האינטרנט".

לכך יש להוסיף מרכיבים נוספים: בקרים רבים מופיעים כשהם כבר משולבים בתוך המערכות ולכן המשתמשים לא תמיד מודעים לקיומם, לאופן שבו יש יש לטפל בהם ולעתים אפילו לעצם העובדה שהם מקושרים. "רוב הבקרים מהדור החדש מחוברים לרשת IP, אולם או שאין בהם אפילו דרישה להתקנת ססמא או שהמפעילים לא מודעים לצורך בהתקנת ססמא. קל מאוד לחדור אליהם, להפעיל את תוכנת הבקרה הנדסית ולהשיג שליטה בבקר המותקף".

כיצד אתם מספקים פתרון לבעיה הזו?

"אחד מהפתרונות שלנו, Continuous Threat Detection למשל, מבוסס על כך שאנחנו מקבלים מהלקוח את כל הנתונים העוברים במתג שלו. אנחנו מנתחים אותם ומזהים את כל הפרוטוקולים של ספקי הציוד השונים. המערכת מבצעת מיפוי מלא של כל רשתות הבקרה, כולל זיהוי הרכיבים ואיזה גרסאות תוכנה מותקנות בהן. בשלב הבא אנחנו משווים את הממצאים אל בסיס הנתונים שלנו ומזהים מה הן החולשות של כל אחד מהרכיבים וממליצים על אמצעי ההגנה הדרוש.

"לאחר מכן אנחנו מבצעים מעקב אחר התנועה ברשת של הלקוח, מנתחים אותה ומזהים פעילות לא שגרתית או לא צפויה של הבקר (Anomaly Detection), אשר מלמדת על פגיעה בו". חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-180 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.