"בעבר הדרך לזהות תוכנות מזיקות הייתה על פי החתימות שלהן, אבל מאוד קל לשנות את החתימות האלה. אנחנו מזהים התנהגות בעייתית של התוכנה ועוצרים אותה לפני שהיא עושה נזק למערכת", מסביר אבירם שמואלי, דירקטור ניהול מוצר בחברת SentinelOne, המפתחת פתרון הגנה אוטונומי למחשבי קצה.


"כדי לעשות את זה אתה חייב לרוץ בליבה של מערכת ההפעלה ולנטר מגוון רחב מאוד של אירועים", מוסיף שמואלי, "התוכנה מאפשרת לאפליקציות לרוץ ויודעת לעצור אפליקציה חשודה בדיוק לפני שקורה משהו רע, כך שברגע שמזהים אירוע בעייתי אנו הורגים את התהליך הזדוני בצורה אוטומטית (אם המשתמש מעוניין אנו יכולים לתת לו את ההחלטה אם להרוג את התהליך או להצפין את התוכנה המזיקה ולשים אותה כשהיא מנוטרלת בצד). הגישה שלנו היא חדשנית והיא מהווה פרדיגמה אחרת לגמרי, כיוון שכך אנו עוצרים התקפות גם אם מעולם הן לא נראו.

"אנחנו משתמשים במנוע התנהגותי שעוקב אחר ה־Malware (תוכנה מזיקה) ויש גם מנוע סטטי שבוחן קבצים שיושבים על המכונה ומחלץ מהם מאפיינים שמהם הוא יודע לזהות אם מדובר בקובץ תמים, בווירוס או בתוכנת ריגול. במעבדה יש לנו מיליוני וירוסים ותוכנות מזיקות, שבאמצעותם אנחנו מאמנים מודל של Machine Learning שמייצר לו מודל סטטיסטי, שמזהה קובץ חדש, מחלץ ממנו את המאפיינים שלו ומזהה אם הוא תמים או מזיק, כך שאנו מספקים כמה שכבות של הגנה".



החברה הוקמה בשנת 2013 על ידי תומר וינגרטן ואלמוג כהן, שפיתחו טכנולוגיה לזיהוי התנהגויות באמצעות בינה מלאכותית, המאפשרת זיהוי ומניעת מתקפות סייבר בזמן אמת על כל מכשיר. לאחרונה הודיעה החברה על השלמת סבב גיוס רביעי (D) בסך 120 מיליון דולר בהובלת קרן ההשקעות האמריקאית Insight Partners ובהשתתפות קרן ההשקעות של סמסונג, נקסט־אקוויטי (NextEquity). כמו גם כל המשקיעים הקודמים בחברה, בהם קרן ת'ירד פוינט (Third Point Ventures), רד פוינט (Redpoint Ventures), דאטה קולקטיב (DCVC) ואחרים.



הגיוס ישמש את החברה להאצה נוספת של תהליכי הגדילה העסקית שלה והמשך חידוש מוצרי ההגנה שלה כגון אנטי וירוס ממחשבי קצה, מחשוב ענן, מחשוב וירטואלי ו־IoT. "אנחנו כל הזמן רואים עלייה ברמה של התוקפים", מדגיש שמואלי. "יש תוכנות מזיקות, שאם הן מזהות אנטי וירוס הן מחסלות את עצמן או מנסות להתמודד איתו. יש תוכנות שמשתמשות בכוח של המעבד במחשב המותקף כדי לבצע כריית מטבעות וירטואליים באמצעות קוד שהוא מטמין.



"התוקפים מחולקים לכמה סוגים", מספר שמואלי. "יש את אלו שזוכים לגיבוי ממשלתי כשההתקפות מאוד מתוחכמות ומנצלות חולשות שלא נראו. אם אין לך פתרונות מתוחכמים כמו שלנו לא תדע להתגונן נגד זה. במקביל, יש ארגוני פשיעה שמשתמשים בתוכנות מזיקות כדי לגנוב מודיעין וכסף. יש גם משתמשים פחות מתוחכמים, שמשתמשים בכלים שניתנים להורדה באינטרנט".



אחת התופעות הכי מפחידות שצצו בשנים האחרונות בתחום הווירוסים ותוכנות הריגול היא Ransom Ware, שבה המחשב מותקף והקבצים של המשתמש מוצפנים על ידי התוקף ומשוחררים רק תמורת תשלום. בניגוד לדעה הרווחת, גם משתמשים פרטיים ולא רק עסקיים חשופים למתקפה. "מספיק שתקבל אי־מייל ותוריד אותו למחשב, או שתריץ קובץ שהורדת והוא יצפין לך את המחשב", מסביר שמואלי. "לפעמים גם אחרי שמשלמים לתוקפים את דמי הכופר הם לא משחררים את המידע שלך. אנחנו יודעים לזהות את התוקף בזמן ולהרוג את התוכנה ויש לנו גם אופציה לעשות 'רולבק', כלומר להחזיר את המכונה למצב שבו הייתה לפני המתקפה ולהחזיר לך את הקבצים.



"המשתמש הביתי גם חשוף להתקפות אלו, וגם אותם משתמשים פרטיים משלמים כסף עבור שחרור המידע שלהם. אם מותקן אצלך כלי ריגול, כל מה שתעשה יוקלט. המצלמה יכולה לפעול בלי שתהיה מודע, המיקרופון יכול להקליט וכל הסיסמאות ומספרי החשבונות שלך יכולים להיקלט על ידי גורם חיצוני". יש לציין כי החברה לא מוכרת שירותי אנטי וירוס למשתמשים ביתיים אלא ללקוחות עסקיים.



שמואלי מסביר כי עתיד התוכנות המזיקות נמצא ב־File Less, תוכנה שלא שומרת קבצים על המחשב ונמצאת בזיכרון שלו. "הפתרונות מבוססי הקבצים לא עובדים במצב הזה, התוכנה מנצלת חולשה בדפדפן שבו אתה גולש ברשת. המוצר שלנו הוא הדור הבא של האנטי וירוס וזו דרך מתוחכמת לשמור על המכונה ולהבדיל בין המקרים התמימים לבעייתיים וגם אם משהו עבר וגרם לנזק, יש לך הגנה נוספת ואפשרות להחזיר את המצב לקדמותו".