העלייה בהיקף ובעוצמת מתקפות הסייבר בשנים האחרונות מחדדת את החשיבות של מעבר לגישה פרואקטיבית באבטחת מידע מהגישה התגובתית המסורתית. תוקפים מאמצים כלים מבוססי בינה מלאכותית לחיפוש חולשות, מה שהופך את גישת “ההגנה לאחר אירוע” (גישה תגובתית) ללא מספקת בתנאי האיום הנוכחיים. בהתאם, ארגונים רבים משנים כיוון ובמקום לחכות ולהגיב לאחר שמתגלים סימני חדירה, הם מאמצים אסטרטגיות הגנת סייבר פרואקטיביות שנועדו לצמצם פגיעוּת ולאתר איומים בשלב מוקדם מאוד.
גישה פרואקטיבית כוללת יישום נהלים וכלים מראש, למשל סריקות חולשות תקופתיות, ציד איומים (Threat Hunting), שימוש במודיעין איומים, אוטומציה מבוססת AI, פעילות של האקרים אתיים ועוד, כדי לזהות ולהגיב לאיומים לפני שאלה מתממשים לכדי מתקפה.
יתרונות תפעוליים: זמני תגובה, גילוי והקטנת תקיפה
הגישה הפרואקטיבית מתורגמת לשיפורים ניכרים במהירות התגובה וביכולות הגילוי של איומי סייבר. ארגונים המשקיעים במודיעין איומים ובציד איומים מדווחים על קיצור זמני הגילוי והתגובה לאירועי סייבר. שילוב מודיעין איומים בתהליך התגובה מקצר את זמן הטיפול באירוע בכ-32% בהשוואה לארגונים ללא מודיעין כזה. נתוני דוח IBM תומכים בכך: ב-2024 נרשם קיצור במשך הזמן הממוצע לזיהוי ולבלימה של פרצה ל-258 ימים (הקצר ביותר בשבע השנים האחרונות, לעומת 277 ימים בשנה הקודמת). שיפורים אלה מיוחסים לאימוץ כלים פרואקטיביים, למשל כלים מבוססי AI שמסוגלים לזהות תוכנת כופר בתוך פחות מדקה ובכך לאפשר עצירת מתקפה לפני שנגרם נזק. באופן דומה, SOC הפועל על בסיס תובנות מודיעיניות ולא רק התראות פסיביות, משיג זמני זיהוי ותגובה קצרים משמעותית בהשוואה למרכזי אבטחה הפועלים באופן תגובתי. יתרון תפעולי חשוב נוסף הוא צמצום משטח התקיפה: גישות פרואקטיביות מתמקדות בסגירת פרצות מוכרות והקשחת מערכות לפני ניצולן, מה שמפחית את ההזדמנויות לתוקפים. ארגונים רואים בגישה זו מפתח להקטנת שטח התקיפה ולצמצום סיכון ההתקפות העתידיות. אף על פי שעדיין קיימים פערים (למשל, רק 6% מהארגונים הפיננסים בודקים באופן פרואקטיבי את תצורת חומת האש שלהם אחרי כל שינוי), המגמה הכללית היא שיפור מתמיד בזמני התגובה, ביכולת לגלות פרצות מוקדם ובהגבלת ממדי הנזק, הודות לפרקטיקות פרואקטיביות.
יתרונות כלכליים: עלות נזק, ROI וחסכון
האימוץ של הגנת סייבר פרואקטיבית מתבטא בחיסכון כלכלי ניכר ובהחזר השקעה חיובי. לפי דו״ח IBM, עלות הפרצה הממוצעת ב-2024 טיפסה לשיא של 4.88 מיליון דולר, אך ארגונים שהפעילו אוטומציה ואמצעי AI באופן מקיף הצליחו לחסוך בממוצע 2.2 מיליון דולר מעלויות הפרצה בהשוואה לאלו שלא אימצו טכנולוגיות אלו. באופן דומה, חברות עם כלים אוטומטיים לגילוי פריצות נהנו גם ממחזור פרצה קצר יותר ב-108 ימים בממוצע (כלומר, סיום האירוע מהר יותר בכ-3.5 חודשים), לעומת חברות ללא כלים כאלה – קיצור זמן שמיתרגם ישירות להפחתת נזק כלכלי. מעבר לחיסכון הישיר בנזקי מתקפות, ישנן גם תועלות עסקיות עקיפות: מחקר של Accenture מצא כי ארגונים מובילים שאימצו אסטרטגיית סייבר מתקדמת ופרואקטיבית (קבוצת ה-Leapfrogs) השיגה שיפור של פי 1.6 בהחזר על השקעות בטכנולוגיות AI, בהשוואה לארגונים אחרים. כלומר, השקעה מוקדמת בהגנה מתורגמת לחדשנות מהירה ובטוחה יותר.
גם היבט אמון הלקוחות מושפע, כאשר אותם ארגונים דיווחו על רמת אמון מצד לקוחות גבוהה פי 1.6 משל ארגונים הנוקטים בגישה תגובתית. ניתוח עלות-תועלת תומך במגמה זו. הערכה שבוצעה עבור פלטפורמת אבטחה אחודה מצאה כי מעבר מארכיטקטורת מוצרים נקודתיים לפלטפורמה אינטגרטיבית הניב לארגונים ROI של 203% בתוך שלוש שנים (עם החזר השקעה מלא בתוך חצי שנה בלבד) וחיסכון מצטבר השקול לכ-17.3 מיליון דולר לארגון בשלוש שנים. גם תחום ניהול החולשות נהנה מאפקט חסכוני – גישה פרואקטיבית רציפה לניהול חשיפות וצמצום שטח ההתקפה יכולה לצמצם עד 15% מעלויות התפעול בתחום.
בניגוד לגישה הפרואקטיבית, אבטחה תגובתית מסורתית נשענת על טיפול לאחר מעשה – מצב שמוכח כפחות יעיל ויקר יותר. אחד המדדים הבולטים הוא משך מחזור החיים של פרצה: ארגונים שמצליחים לזהות ולבלום פריצה בתוך פחות מ-200 יום הוציאו בממוצע כ-3.93 מיליון דולר, בעוד שאצל אלה שהפריצה נמשכה מעבר ל-200 יום, העלות האמירה לכ-4.95 מיליון (תוספת של 23% בעלות). כלומר, כל יום עיכוב בזיהוי ותגובה עולה כסף רב.
הנתונים הכמותיים מצביעים על כך שגישה פרואקטיבית אינה “הוצאה מיותרת”, אלא אסטרטגיה שמפחיתה עלויות נזק ומייצרת ערך עסקי ברור לאורך זמן.
עוד נמצא בדו״ח IBM כי חברות ללא כלי אוטומציה ו-AI ספגו עלויות גבוהות משמעותית ונותרו עם אירועים שארכו כמעט שליש שנה יותר מאשר חברות שנקטו בגישה פרואקטיבית. מעבר לעלות, הפער ניכר גם ביכולת המניעה: תוקפים מנצלים במודע את העובדה שארגונים רבים עדיין מתבססים על יכולות זיהוי ותגובה איטיות, ולכן רוב ההתקפות מבוצעות באמצעים “שקטים” (כגון גניבת אישורים וניצול חולשות) מתוך הבנה שהן עלולות לחלוף מתחת לרדאר של הגנה תגובתית. למעשה, תוקפים מסתמכים על כך שייקח לארגון זמן רב לגלות את החדירה ולהגיב, מה שמאפשר להם למצות את המתקפה.
הגישה הפרואקטיבית שמה לה למטרה לסכל בדיוק יתרון זה של התוקף: היא מצמצמת את זמן השהייה של התוקף ברשת ומקדימה תרופה למכה. לאור הנתונים, ברור כי גישה תגובתית משאירה את הארגון מאחור ועלולה לגרור השבתות יקרות, ואילו גישה פרואקטיבית מקדימה את האיום, מקטינה את סיכויי הפגיעה (ארגונים פרואקטיביים הם בעלי סבירות נמוכה של עד 69% לחוות מתקפת סייבר מתקדמת לעומת ארגונים חשופים בגישה המסורתית) ובכך מגנה טוב יותר הן על המוניטין והן על השורה התחתונה.
היערכות הגנה מגזרית ואזורית
קיימת שונות ברמת האיום וההיערכות הפרואקטיבית בין מגזרי תעשייה שונים. מגזר הבריאות ממשיך להיות הפגיע והיקר ביותר: ב-2024 עלות פרצת מידע במגזר הבריאות הייתה הגבוהה מכל הענפים, עם ממוצע של כ-9.77 מיליון דולר לאירוע (אמנם ירידה של 10% לעומת 2023, אך עדיין מעל ומעבר למגזרים אחרים). לשם השוואה, מגזר הפיננסים הוא השני ברשימת העלויות עם כ-5–6 מיליון דולר בממוצע לעלות פרצה.
ממצאים אלה מדגישים מדוע ארגונים בתחומי תשתית קריטית (בריאות, פיננסים, אנרגיה, וכו’) משקיעים באופן אגרסיבי יותר בהגנות פרואקטיביות. יותר מ-70% מהחברות בעולם הגדילו בשנה האחרונה את תקציבי אבטחת המידע הפרואקטיבית שלהן, השקעה שכבר עולה על זו המוקדשת לכלים תגובתיים ומניעתיים מסורתיים.
יותר ממחצית מהגופים הפיננסיים (54%) וארגוני התשתיות הקריטיות (53%) דיווחו על גידול ייעודי בתקציב הגנת סייבר פרואקטיבית בשנה החולפת – שיעור גבוה יותר מבכל מגזר עסקי אחר. מדובר בארגונים המבינים שהיותם יעד מועדף מחייב הקשחה מקדימה של ההגנה. גם בסקטור הציבורי והממשלתי נרשמת התעוררות לכיוון זה, בין היתר לאור יוזמות כמו CORA (Cyber Operational Readiness Assessment) של מחלקת ההגנה האמריקאית המעודדות הגנה מקדימה ורציפה על רשתות ממשלתיות.
לסיכום, בכל המגזרים ניכרת ההבנה שאבטחת מידע פרואקטיבית אינה רק “שכבת הגנה” נוספת, אלא מרכיב קריטי בחוסן הארגוני במיוחד בתחומים עתירי סיכון, עם עדויות ברורות ליתרונותיה הכמותיים והתפעוליים.
מגמה זו מובלת בעיקר באירופה (74% מהארגונים שם הרחיבו השקעות פרואקטיביות, לעומת 67% בצפון אמריקה).
לאור כל זאת, נשאלת השאלה “מדוע ארגונים רבים עדיין לא אימצו גישת סייבר התקפית פרואקטיבית”.
למרות היתרונות המובהקים של הגישה הפרואקטיבית, מרבית הארגונים עדיין לא מיישמים אותה באופן מלא ובמיוחד לא נעזרים בשירותי סייבר התקפי (כמו Red Teams או בדיקות חדירה יזומות). לכך כמה סיבות מרכזיות: ראשית, מדובר בהשקעה משמעותית – כ-59% מהארגונים מציינים מגבלת תקציב כסיבה עיקרית לכך שאינם מבצעים בדיקות חוסן תקופתיות. שירותים התקפיים דורשים משאבים כספיים, כוח אדם מיומן ודוחות ניתוח מעמיקים שלעיתים לא מתקבלים ברזולוציה מספקת או בזמן הנכון.
שנית, רבים מהארגונים מתמודדים עם חוסר בכוח אדם מיומן, מערכות מיושנות (legacy) שקשה לבחון או לשדרג, ופערים במעקב אחר משטח התקיפה המלא. 91% מהמנהלים מדווחים כי אין להם תמונה מלאה על מיקום החולשות, ולכן הבדיקות שטחיות או נקודתיות בלבד. יתרה מכך, גם כאשר מבוצעות בדיקות, הן לרוב מזוהות כ”צילום מצב” חד פעמי שאינו משקף את תמונת האיומים המשתנה בקצב מואץ, במיוחד בעידן בו תוקפים עושים שימוש בבינה מלאכותית.
לבסוף, קיימת גם מורכבות תרבותית וניהולית: ארגונים רבים לא ערוכים להתמודד עם החשיפה של חולשות פנימיות או לתעדף את תיקונן בתוך עומס של משימות תפעוליות שוטפות.
בפועל, הגנת סייבר פרואקטיבית היא לא רק עניין טכנולוגי, אלא שינוי תפיסה. זהו מעבר מגישה מגיבה לגישה חוקרת, בוחנת ונכונה לגלות גם את מה שלא נוח לראות. וכמו כל שינוי מהותי, הוא דורש לא רק פתרונות, אלא גם מחויבות. כדי ליישם את הגישה הזו בצורה מוצלחת, ארגונים צריכים לאשר תקצוב משמעותי, גיוס צוותים מנוסים, שדרוגי תשתית והטמעת תרבות ניהולית שמקבלת חשיפה פנימית ושקיפות. חוסר בתמיכה ניהולית, במומחים ובכלים עלול להפוך את התגובה הפרואקטיבית להוצאה בלבד , מבלי שתשיג את הפוטנציאל שלה. למרות האתגרים, הגישה מוכיחה עצמה כמשתלמת בטווח הבינוני והארוך, במיוחד עבור ארגונים שמבינים שהשאלה אינה “האם תהיה מתקפה”, אלא “מתי”.
אלון אהרון, מנכ”ל ארמורי דיפנס קרדיט: ארמורי דיפנס
תמונת שער: חדר מלחמה ארמורי מקסיקו
קרדיט: ארמורי דיפנס
