Sixgill פיתחה מערכת מודיעין לזיהוי אוטומטי של מתקפות ברשת האפלה

אלעד לביא

הרשת האפלה הפכה מזה מספר שנים למרחב פעולה מרכזי של עבריינים וארגוני טרור. ברשת זו הם חשים מוגנים שכן הם יכולים לשמור על אנונימיות, התקשורת בה מוצפנת ונדרש דפדפן מיוחד כדי לגלוש בה. (כמו Tor).

חברת הסטארט-אפ הישראלית Sixgill שנוסדה בשנת 2014, פיתחה מערכת מודיעין לזיהוי אוטומטי של מתקפות מתוכננות. הפתרון, שרץ בענן של AWS, כבר זכה להצלחה בשוק העולמי והוכר כאחד המתקדמים בתחום.

אלעד לביא, CTO ואחד ממייסדי החברה, מתאר את הטכנולוגיה ואת מרכיביה הייחודיים.

מה הוא הפתרון שפיתחתם לרשת האפלה ?

Sixgill פיתחה פתרון הכולל איסוף מידע מאלפי אתרים ופורומים לרבות השיחות המתקיימות בהן, ניתוח המידע בענן והפקת התראות הקוראות לפעולה. איסוף המידע מתבצע באופן חשאי לחלוטין והעבריינים לסוגיהם כלל אינם מודעים לו.

הפתרון עוקב באופן רציף ומתמשך אחר הפעילות הפלילית מקצה לקצה: החל מבחירת המטרה, איסוף מידע ותכנון התקיפה וכן מכירות מידע או נכסים אחרים שנגנבו.

האוטומציה היא מרכיב קריטי בפתרון שלנו בגלל ההיקף האינסופי של הרשת האפלה שכוללת מאות אתרים, אלפי פורומים, מאות שווקים ועוד. ללא אוטומציה אין כל אפשרות לעקוב אחר שבריר מהפעילות העבריינית שמתרחשת ובוודאי לא בעומק ובתחכום שמספקים כלים אוטומטיים.

אילו טכנולוגיות רתמתם לפתרון ?
האלגוריתמים שפיתחנו בשילוב עם טכנולוגיות למידת מכונה מבצעים ניטור אוטומטי לעומקה של הרשת האפלה, תוך עקיפת מכשולים וחסמים שמציבים העבריינים. הם מספקים ניתוחים מקיפים של סיכונים תוך הצלבת מידע ממקורות שונים ומספקים לבסוף התראות על פי סדרי עדיפויות: בהתאם לרמת הסכנה ולוח הזמנים של כל מתקפה מתוכננת. הכלים שלנו לניתוח שפה טבעית (NLP) מסוגלים לנתח שיחות ולהבין הקשרים.

לדוגמה, האם אזכור שם חברה נאמר בהקשר סתמי או עוין ומה הוא מהותו של ההקשר העוין ? הכלים שלנו לניתוח תמונות מוסיפים רובד נוסף של מידע על כוונות עוינות ותוכניות ספציפיות. כלל הטכנולוגיות שלנו מסוגלות לענות על חמש שאלות המ"ם: מי ? מה ? מתי ? מקום ? מדוע ? ולמנוע בכך מתקפות עוד לפני שהתרחשו.

כיצד התקבל הפתרון בשוק ?
התחלנו לשווק את המוצר בשנת 2016 והוא אומץ במהירות על ידי עשרות ארגונים גדולים ברחבי העולם הכוללים מוסדות פיננסיים וכן ממשלות וארגוני משטרה. התחום נחשב לצעיר בעולם הסייבר וסביר כי פתרונות מסוג זה יוטמעו על ידי חברות מסחריות מכל גודל וסוג בהמשך הדרך. יש לציין שהפתרון מתאים גם לספקים של מוקדי סייבר עבור ארגונים (MSSP – Managed Security Service Provider) שמבקשים להרחיב את כלי המודיעין שלהם לזיהוי ומניעת מתקפות.

מלבד ההצלחה בשוק הארגוני, זכינו לאחרונה בהכרה מקצועית ממדרגה ראשונה על ידי גרטנר, שהכתירה אותנו בחודש מאי האחרון כ-Cool Vendor בתחום מודיעין האיומים.

כיצד אתם משתמשים בשירותי הענן שלAWS ומדוע בחרתם בה כתשתית הענן ?
בחרנו ב-AWS כבר בתחילת הדרך לאור העובדה ששירותיהם הנפוצים ביותר בשוק, בשל עושר השירותים והעובדה שניתן לסמוך עליהם ועל החברה בכל עת ובמיוחד בתחומים קריטיים כמו שלנו. לצורך תהליכי העיבוד של המידע אנו עושים שימוש בעשרות מכונות של Amazon EC2 ומשתמשים בשירותי AWS Lambda לביצוע אנליזות של הנתונים. בסיס הנתונים Amazon RDS משמש אותנו לאחסון עשרות מיליארדי רשומות ו- Amazon S3 לאחסון התמונות המנותחות על ידינו. היקף המידע המעובד ומאוחסן מגיע למספר טרה בייט בחודש.