רקע כללי
הגנת סייבר מתייחסת לעולם המחשוב ומערכות המידע הרחב, ועל כן במסגרת סקירה קצרה זו הנחת העבודה של הכותב היא כי הקורא מכיר את המושגים הנדרשים ברמה טובה (מפני שאם לא כן, כל מילה חמישית תחייב הגדרה, והביבליוגרפיה תהיה ארוכה יותר מהסקירה עצמה). המושגים המורכבים יותר יקבלו ביאור ראוי.
עולם הסייבר[1] עוסק בהגנה על נכסי המחשוב והמידע של הארגון מפני שימוש מזיק או פלילי כלשהו. אם בעבר די היה בתוכנת אנטי-וירוס, פיירוול והקשחה בסיסית של מדיניות המשתמשים בארגון, הרי שבשני העשורים האחרונים התפתחה רמה גבוהה ביותר של שימוש זדוני במערכות המחשוב, החל משלב הזיהוי והחדירה, דרך גניבה, וכלה בהתחזות ובשימוש פלילי וזדוני בנכסי המחשוב ובמידע של ארגונים ללא יוצא מן הכלל, החל מהמלכ"ר התמים ביותר ועד ארגונים בטחוניים ומוסדות מדינה.
האבחנה העיקרית בין אז ועכשיו, היא רמת התחכום והיכולת להערים על מערכות ההגנה הממוחשבות. אם בעבר המערכות התמקדו בזיהוי נוזקה רק לאחר החדירה, ייצור חתימה והפצתה לכלל מערכות ההגנה בעולם, הרי שהיום המיקוד הוא ב- behavior analytics, כלומר גם ללא חתימה, במקרה שהנפגע הוא patient zero, מוצר האבטחה יזהה אנומליה של השימוש במערכת הממוחשבת, יתריע על כך, ובהתאם למערכת גם יפעיל בקרות מונעות ומפצות. יכולת זה נובעת משלושה מרכיבים עיקריים – עלייה אקספוננציאלית בכמות ההתקפות ומורכבותן בשנים האחרונות, מצד אחד, שיפור משמעותי בטכנולוגיות IT (כוח עיבוד, ביצועי דיסקים, מערכות HPC, עננים וכו'), מצד שני, והידע הרב שנצבר באלגוריתמיקה של ביג-דאטה מצד שלישי.
