8200 — как военная техническая разведка стала драйвером развития ИБ-отрасли в стране
История трансформации израильского подразделения 8200 из технической разведки в крупнейший источник стартапов по кибербезопасности. Как выпускники создали компании на $200+ млрд и почему эту модель невозможно скопировать.

AI-пересказ
Подразделение 8200 израильской военной разведки за 70 лет превратилось из обычной технической разведки в крупнейший мировой инкубатор стартапов по кибербезопасности. Выпускники подразделения основали более 1000 компаний совокупной стоимостью свыше $200 млрд, включая Check Point, Palo Alto Networks, Wiz и CyberArk. Успех системы базируется на уникальном сочетании факторов: обязательный призыв, ранний отбор талантов, реальный боевой опыт, венчурное финансирование и сознательное «отпускание» кадров в гражданский сектор.
Этот текст — самая полная русскоязычная история одного из самых известных, эффективных и глубоко мифологизированных подразделений Армии Обороны Израиля (ЦАХАЛь), которое за 70 лет прошло путь от «рядовой» технической разведки до самого большого в мире «инкубатора» стартапов по кибербезопасности. Он посвящен в первую очередь этой трансформации — потому что о событиях 1973 или 2023 года можно написать отдельную книгу.
Автор текста — выходец из финансовой индустрии, предприниматель, со-основатель двух стартапов в информационной безопасности и автор нескольких десятков текстов об истории АОИ и израильской армейской культуре.
Впервые о подразделении заговорили после выхода книги «Стартап-нация» (Сеньор, Сингер). Для более глубокого ознакомления с вопросом автор настоятельно рекомендует ее.
Также настоящую статью не рекомендуется рассматривать через призму опыта службы в российских вооруженных силах и иных ведомствах. Они устроены совсем иначе.
Мифы, правда и реальность
«8200 — это маленькое и глубоко законспирированное подразделение хакеров высочайшего класса, которое занимается разработкой шпионского программного обеспечения и следит за миллионами людей» — вот классическое описание, которое можно найти в интернете.
Когда я готовил этот материал, то я с удивлением обнаружил, что достойных русскоязычных материалов о том, что такое 8200, какие у них задачи, принципы комплектования, и так далее — практически нет. И не потому, что все это глубоко засекречено. Просто так вышло — и почти никто не говорит о том, как 8200 («шмоне матаим» на иврите) прошли огромный путь от армейской технической разведки до того, чем они являются сейчас. И тем более — не говорит о крайне специфической армейской культуре и месте армии в израильском обществе. Образ 8200 за пределами Израиля сильнейшим образом мифологизирован, причем не без участия самих ветеранов подразделения. Описание, в начале статьи — это как раз один из таких мифов, и это полная чушь. Вот с мифов мы и начнем
- 8200 - это маленькое подразделение
Нет, это КРУПНЕЙШЕЕ обособленное подразделение («йехида» на иврите) в ЦАХАЛе. Там служит БОЛЬШЕ людей, чем в любой линейной армейской бригаде (например, в Голани или у Цанханим). Это огромное разведывательное подразделение, сопоставимое с американским АНБ (там работает около 40 000 человек против ~5-7 тыс. в 8200 и у смежников, но и задачи у американцев масштабнее), при этом ряд задач выполняют более малочисленные смежные подразделения, например 9900, 81, да 501 в конце концов. А еще собственный кибербез есть у ВВС, у Моссада, и наверняка даже у управления тюрем.
Кроме 8200 в израильской армии есть другие крупные структуры — компьютерный центр (МАМРАМ), большое подразделение связи и информационных технологий (ЛОТЕМ), управление связи и киберзащиты Генштаба, подразделение разработки ПО («Шахар») и многие многие другие.
8200 (и любая другая подобная структура) — это огромный штат персонала, от операторов, лингвистов, переводчиков до вирусных аналитиков, DS и многих других. Они решают огромный спектр задач.
Важный момент, 8200 — это часть армейской разведки (наиболее близкий наш аналог это ГРУ). Есть Моссад (политическая разведка, СВР), есть ШАБАК (внутренняя безопасность/контрразведка, ФСБ), ИБ-подразделения есть в составе авиации, флота, и так далее. Например, судя по открытым публикация, у ВВС есть свой полноценный redteam.
- Это подразделение из профессионалов высочайшего уровня
Нет, 8200 комплектуется в первую очередь военнослужащими срочной службы, призываемыми в 18-19 лет, каждый год в часть их приходит около 1000 человек. Да, это не «дети с улицы», туда часто приходят после школьных технических программ («Нахшон», «Гвахим», «Магашим» и другие). Два последних — это часть государственной программы подготовки кадров для кибербезопасности в школах, но о ней ниже. В общем, чтобы попасть туда на службу желательно готовиться со школы. Ну, или быть очень талантливым.
Основной массе «бойцов невидимого фронта» не больше 23 лет, это натурально АНБ из вчерашних школьников, у большинства из них нет высшего образования — точнее, его заменяет служба. Это накладывает очень сильный отпечаток на отбор в подразделение.
- 8200 занимается разработкой шпионского софта и программами глобальной слежки
На самом деле да, но далеко не только этим. Задачи подразделения гораздо шире, в нем большое количество «линейного» персонала, который не является разработчиками, «красными» или кем-то еще. Неиронично, это больше всего похоже на L1 SOC и другую стереотипную и массовую работу для джунов.
На выходе получается такое «АНБ из детей», при этом работают они ничуть не хуже своих американских коллег. Кстати, большое количество срочников характерно не только для 8200 — например, большинство технического персонала ВВС Израиля это такие же срочники. Часто - девушки. У американцев на учениях регулярно вызывал шок вид того, как 20-летняя девица занимается обслуживанием самолета за 50 млн долларов.
При этом около 15-20 тыс. бывших военнослужащих 8200 работают в крупнейших мировых it-компаниях, в бигтехе, в индустрии. Многие из них не теряют связь с подразделением или являются действующими резервистами армии Израиля — и это тоже колоссальный ресурс, о котором не следует забывать.
История и контекст (1950-е – 1990-е)
Изначально 8200 (точнее, ее прародители в подразделений 848/515) создавались как радиотехническое подразделение израильской военной разведки АМАН. Они занимались совершенно понятными и типовыми задачами в интересах армии — радиотехнической и радиоэлектронной разведки, которые на западе принято называть SIGNINT. Проще говоря, они перехватывали вражескую военную связь и иные источники излучения (в первую очередь, работали с излучением РЛС).
Например, на второй день Шестидневной войны (которая была очень успешной для Израиля), они перехватили переговоры президента Египта Насера и короля Иордании Хуссейна, где арабские лидеры договорились заявить, что их бомбят не израильские, а американские и британские самолеты — чтобы втянуть СССР в войну, которую арабы проигрывали. Запись переговоров публично запустили в эфир — впервые в истории Израиля.
Были успехи, были провалы (о причинах неудач 73 года ветераны Моссада и АМАН спорили до старости), но в целом задачи 8200 не выходили за пределы понятного для армии функционала. Например, в СССР похожими задачами занималось ГРУ и 16-е управление КГБ. В США были АНБ и DIA, и вместе с СССР — огромное количество других структурных подразделений в составе армии. Израиль маленький, им хватало одного 8200.
Тут важно добавить — в Израильской армии всегда была сильна «инициатива снизу». Например, создатель первого израильского разведывательного БПЛА буквально собрал его с гараже, «позаимствовав» у соседа двигатель от его газонокосилки. В армии его (беспилотник, а не создателя) называли «Захаван» (Иволга на иврите).
Кстати, он очень похож на наш «Форпост» (думаю, понятно почему). Другая история — в начале 80-х два израильских инженера доработали РЛС от американского ЗРК Хок буквально «на коленке» и успешно «подловили» сирийский МиГ-25. Израильская армия всегда была компактной и строилась на «горизонтальных связях».
В 82-м году Израиль участвует в последней «общевойсковой» войне, когда ему противостоят полноценные войсковые соединения, а у противника есть современная авиация и ПВО. Столкновение с Сирией показало: Израиль на голову сильнее любого соседа, а способных всерьез угрожать ему государств на Ближнем Востоке не осталось. В то же самое время, появилась совершенно новая угроза, для
противодействия которой было недостаточно самолетов, танков и пехотных бригад. Это — терроризм. Бороться с которым нужно было совсем другими способами: и тут на первый план выходила агентурная разведка, перехват «гражданских» каналов связи, прослушка и прочее. И вот тут 8200 как следует развернулись…
Одновременно, «снаружи» подразделения происходила технологическая революция. В 1983 году (через год после войны в Ливане) в США ARPANET переходит с протокола NCP на TCP/IP — «рождается» интернет. Министерство обороны США начинает масштабно внедрять ARPANET в свои оборонные задачи. Израиль как ближайший технологический союзник США получает доступ к этим технологиям раньше большинства союзников по НАТО, сказываются «горизонтальные связи» с американскими евреями.
В 1988 году в Америке 23-х летний аспирант Корнельского университета Роберт Моррис запускает первый «современный» вирус, так называемый интернет-червь Морриса. Эпидемия поразила около 6 тыс. узлов ARPANET, и это было первое публичное доказательство того, что сетевая безопасность — не абстракция. Пришло осознание, что сеть можно атаковать, а значит нужно так или иначе защищаться.
В то время, когда Моррис писал своего вредоноса, в армии Израиля служил 20-летний Unix-администратор по имени Гил Швед. У них с Моррисом было много общего: оба были детьми программистов (отец Морриса работал в АНБ), оба рано начали писать код (а Швед в 14 лет был сисадмином университета), оба были очень любопытны.
Швед в армии занимался построением сетевой архитектуры — и сетевой безопасностью, тогда же появились наработки, которые в будущем станут основой для продукта FireWall-1, одного из первых современных фаерволом. Швед ждал 4 года, когда для его стартапа появится рынок, и в 1993 году он пришел к своим бывшим сослуживцам и сказал: «Вы помните мою идею четырехлетней давности? Я думаю, пришло время вывести ее на рынок». И снова — горизонтальные связи. Первую инвестицию — $250 тыс. — они получили от BRM, израильской software-компании, разработавшей один из первых антивирусов в мире. За эти деньги BRM получила половину Check Point. Три года спустя эти $250 тыс. превратились в $250 млн. Год спустя — в полмиллиарда. Сегодня компания стоит около $15 млрд. Моррис продемонстрировал всему миру, что открытые сети уязвимы по своей природе. Швед создал одно из решений этой проблемы.
Кстати, Роберт Моррис приобрел известность не только как хакер — в 2005 году он стал одним из основателей знаменитого фонда-акселератора Y-комбинатор.
Технократичная военная разведка (1990е)
В июне 1996 года Check Point привлек $67 млн в ходе IPO на NASDAQ. Это было беспрецедентно для израильской компании — и послало ясный сигнал всей стране: технологии из военной разведки имеют рыночную стоимость в сотни миллионов долларов.
Парадоксальным образом, именно «переориентация» с чисто военных целей на контртеррористические, начало интифады и стремительный рост технологий создали 8200 в том виде, в котором к нему привыкли в современном мире. Военный SIGNINT ушел на второй план — израильтянам потребовалось следить за переговорами огромного количества людей, большинство из которых не было кадровыми военными. В 1987 году началась первая интифада, где главным противником стали «парамилитарные формирования», террористы и просто протестующие недовольные арабы.
Это потребовало принципиально иной архитектуры сбора данных. Прежняя модель — отслеживание военных радиочастот вражеских армий — предполагала сравнительно небольшое количество целей с предсказуемыми паттернами связи. Новая задача была другой: low tech, тысячи людей, пользующихся гражданской инфраструктурой — телефонными линиями, пейджерами, а вскоре и мобильными сетями. 8200 начал трансформацию из узкоспециализированного военного подразделения в нечто, что сегодня называют mass surveillance infrastructure. Именно наличие и «классических» оборонных задач, и необходимость постоянного контроля враждебных палестинских анклавов, и сделало 8200 тем, чем они являются.
Именно в этот период подразделение начало разрабатывать то, что впоследствии станет основой израильского технологического превосходства над соседями: автоматизированный сбор и анализ больших массивов неструктурированных данных. В начале 1990-х это означало работу с примитивными по нынешним меркам инструментами — индексация переговоров, keyword spotting в аудиопотоках, ручная верификация результатов. Но сама постановка задачи — как обрабатывать миллионы точек данных и выделять из них значимые сигналы — была на десятилетие впереди гражданской индустрии. Тогда не было понятия big data в современном понимании, но массивы неструктурированных данных уже появлялись.
Вторая интифада, начавшаяся в 2000 году, ускорила этот процесс радикально. Серия терактов смертников в израильских городах поставила перед разведкой задачу предиктивного анализа: не просто фиксировать факт коммуникации, а предсказывать намерение до того, как оно реализуется. Это потребовало перехода от keyword-based к behaviour-based аналитике — анализу не содержания переговоров, а паттернов: кто с кем, когда, как часто, из каких мест. Именно здесь 8200 начал систематически работать с тем, что в гражданском мире позже назовут graph analytics и network topology analysis. Сейчас мы видим их во многих решениях, например в антифрод-системах, но тогда это было прорывом. И снова подчеркнем: вся эта история шла «от задач», без них 8200 так и остались бы обычным подразделением радиоперехвата.
Параллельно разворачивалась технологическая революция в самих сетях связи. GSM-стандарт пришел в Израиль в 1994 году. Это означало, что цель больше не сидит на фиксированной линии связи — она перемещается, меняет SIM-карты, использует несколько устройств, и защищается. 8200 адаптировался: были разработаны методы IMSI-перехвата, триангуляции по вышкам, поиску корреляции между голосом и данными трафика. Многие из этих техник позднее стали основой продуктов компаний, которые выпускники подразделения создадут в гражданском секторе — от Cellebrite, специализирующейся на форензик-извлечении данных из мобильных устройств, до Verint, строящей промышленные системы перехвата для государственных заказчиков по всему миру.
К середине 2000-х 8200 де-факто стал крупнейшим работодателем в израильской технологической экосистеме — не по числу сотрудников, а по числу людей, прошедших через него и вышедших с конкретной экспертизой. Ежегодный «выпуск» в тысячу человек создавал непрерывный поток специалистов, получивших реальный (и «боевой») опыт работы с системами, которые в корпоративном мире обошлись бы в десятки миллионов долларов. Венчурные инвесторы быстро поняли: человек с подтвержденным трек-рекордом в 8200 — это не просто хорошее резюме, это доказательство способности работать с критическими системами под давлением.
Тогда же появилась концепция «Рош Гадоль» («Большая голова» на иврите) — фокус на кадрах, обладающих инициативой, способных быстро приобретать нужные навыки.
Идея понятна — я много раз об этом напишу, но кадры из армии постоянно «вымывались» в гражданский сектор, что приводило к необходимости ставить «на поток» поиск людей, чье время работы на оборону будет ограничено, зачастую временем срочной службы.
Тогда «стартапы» выходцев из 8200 были преимущественно «синими» или просто ориентированными на армию. Например, за 6 лет до Checkpoint на рынке появился NICE Systems Бени Левина, но она была ориентирована на военных и только в середине девяностых развернулась для гражданского рынка. В 1999 появилась OneSecure Нира Цука (выходец из Checkpoint пошел делать свою компанию), в 2002 она была куплена NetScreen — на тот момент крупнейшим конкурентом Check Point — за $45 млн. Comverse с их AudioDisk – тоже израильская армия и тоже изначально продукт для военных. Imperva (продана фонду Thoma Bravo за $2,1 млрд) делала классический «синий» продукт.
Но постепенно выяснилось, что главная «сила» – в атакующей экспертизе.
Первые стартапы (2000-е)
Параллельно с этим, в Израиле и мире произошло три очень важных события, которые прямо повлияли на трансформацию 8200 в крупнейшую кузницу кадров.
Во-первых, в Израиле государство запустило программу Yozma. Это была очень прогрессивная по тогдашним меркам программа господдержки венчурных фондов: страна давала им часть денег, другую часть фонд привлекал сам, оно страховало риски и не претендовало на прибыль. Главной целью программы было не получение прибыли, а создание в Израиле полноценной венчурной экосистемы. Сработало: государство вложило $100 млн в 10 венчурных фондов, дав частным инвесторам опцион на выкуп госдоли по фиксированной цене, и израильский венчурный рынок вырос с нуля до $3 млрд за десять лет. Но сработало не само по себе: в Израиле появилась и сильная техническая школа, и американский рынок IT как конечный «потребитель», то есть программа просто «закрыла» собой недостающую нишу в экосистеме. Без американского рынка она почти наверняка бы не достигла таких результатов.
В целом, государственная поддержка венчурных фондов — это норма во многих странах мира. В тех же США был инвестировавший в Apple SBIC (не совсем венчур, но это тема для отдельного разговора), Nokia получала деньги от государства, в Великобритании есть BBB и другие «фонды фондов». Очевидно, госфонды есть и в Китае, и в России — впрочем, РВК сколь-нибудь сопоставимых результатов не достигла, сказался уход международного капитала и слабая защита прав инвесторов в России.
Вторым событием стал произошедший в Америке крах доткомов — катастрофическое падение акций технологических компаний вследствие излишне оптимистичной оценки их перспектив. Парадоксально, но крах доткомов в 2000–2001 годах не уничтожил израильский хайтек, а дал ему огромный буст. Американские венчурные фонды, потерявшие деньги на потребительских интернет-проектах, начали искать более «приземленные» и понятные решения. Израильский кибербез выглядел именно так: понятная проблема, реальные корпоративные клиенты, продукты с измеримым результатом. Sequoia, Greylock, Bessemer, и другие «гиганты» венчура открыли свои израильские офисы или наняли местных партнеров.
В-третьих, одновременно вторая интифада (2000–2005) создала специфический спрос: армии нужны были новые инструменты слежки за гражданским населением в реальном масштабе времени, обработки больших объемов перехватов, автоматизации анализа. 8200 получало под это бюджеты и ставило перед молодыми солдатами задачи, которые в гражданском мире стоили бы десятки миллионов долларов разработки. Именно 8200 стали «технологической основой» борьбы Израиля с терроризмом и созданию системы тотальной слежки на палестинских территориях.
Ожидаемо, эти технологии попали на рынок вместе с их носителями. Именно интифада заложила основу под «красными» проектами.
Резюмируя: в начале «нулевых» в Израиле сложились три фактора – появились деньги, задачи, люди и поддержка государства. Без любого из этих факторов шансы на успех существенно сокращались. При этом, первые компании были «синими» — люди из 8200 и «технологического» блока израильской армии несли на рынок то, что виделось им готовым продуктом и имело рыночную нишу. Например OneSecure, основанная Ниром Зуком в 2000 году, считается первой компанией, создавшей полноценную систему предотвращения вторжений (IPS — Intrusion Prevention System) в виде отдельного устройства. В том же году было основана CyberArk. Ее изначальный продукт — управление привилегированными учетными записями (privileged account management, PAM). Ее создатель Мокади видел это изнутри военных систем: именно компрометация привилегированного аккаунта позволяет атакующему делать все что угодно. И в итоге CyberArk с их Digital Vault создала целую категорию — PAM — которой до этого как отдельного рынка не существовало. IPO в 2014 году, в 2026 году куплена другой известной компанией из 8200 – Palo Alto за $25 млрд.
И вот тут сыграла роль личности в истории. У вышеупомянутой Checkpoint было три основателя: выходцы из 8200 Гил Швед и Шломо Крамер, и Мариус Нахт. Крамер покинул компанию в 2003-м, и стал одним из первых серийных предпринимателей в израильском кибербезе. Более того, он стал первым в так называемой «Мафии Checkpoint» (по аналогии со знаменитой Мафией Paypal, куда входили Питер Тиль, Илон Маск, Рид Хоффман, Джереми Стоппельман и другие). Крамер стал со-основателем, инвестором, ментором и ключевым узлом в архитектуре стартапов выходцев из 8200. Со-основатель Check Point, Imperva и Cato Networks, инвестор в Palo Alto Networks, Exabeam, Trusteer, WatchDox, LightCyber и десятках других компаний. Участвовал в создании Cyberstarts Гили Раанана – одного из первых фондов, создававшихся как «8200 и друзья», без людей со стороны.
Смотрим дальше. 2002 год — Imperva (Крамер + Мики Будаи, оба 8200): защита веб-приложений и баз данных. Технологии развивались, Check Point защищала сетевой периметр — что заходит и выходит из корпоративной сети. Imperva задала следующий вопрос: а что происходит с данными внутри? Когда хакер уже проник — что он может сделать? Продукт Web Application Firewall (WAF) перехватывал атаки типа SQL-injection и XSS непосредственно на уровне приложения. Это была принципиально новая категория, и Imperva ее в некотором смысле создала. В итоге, компания была куплена Thoma Bravo в 2019 году за $2,1 млрд.
Справедливости ради, первым WAF правильнее может быть считать AppShield от Perfecto Technologies, а ModSecurity Ивана Ристича появилась за год до израильской компании, так что формально пионерами отрасли израильтяне не были. К слову, Будаи (чуть менее известный чем Крамер) чуть позже стал сооснователем и CEO Trusteer — компании, проданной IBM в 2013 году за $1 млрд. Это чисто для понимания, как все переплетено.
А уже в 2005 году в Санта-Кларе, Калифорния, взошла звезда под названием Palo Alto Networks. Ее основатель Нир Цук был выходцем из 8200, одним из первых сотрудников Checkpoint и опытным создателем вирусов. На тот момент ему было 34 года. Компания сразу создавалась под американский рынок, даже название было выбрано таким, чтобы сразу не ассоциироваться с Израилем. А отношения с бывшими коллегами у него были своеобразные: он заказал номерной знак на свою машину с надписью CHKP KLR — «CheckPoint Killer». Он приезжал с этим знаком на встречи с инвесторами и клиентами, и саркастическая шутка добавляла огня его питчам для Palo Alto Networks. Позже, в 2013 году, когда Palo Alto обогнала Check Point по выручке, Зук установил рекламный щит вдоль шоссе Аялон в Тель-Авиве — прямо рядом с офисом Check Point — со слоганом «You have just passed Check Point» (игра слов, Check Point — переводится в том числе как контрольно-пропускной пункт).
В 2005 он собрал команду из 25 (!) бывших коллег после того, как его бывший работодатель Juniper Networks проигнорировала его идею по созданию принципиально нового файерволла. Через два года в серию пошли PA-4000, которая стала первым в мире устройством класса NGFW. В 2012 году компания вышла на IPO, и сейчас является одним из флагманов рынка.
В середине нулевых появляется отдельная категория Endpoint security. И в ней тут же появляются компании выходцев из израильской киберразведки: очевидно, ведь во время службы они эти самые конечные устройства регулярно ломали! И все истории про USB, фишинг, про первые APT — они во-многом про Израиль.
В 2006 году появился упомянутый выше Trusteer (Микки Будаи, Орен Исраэли — оба 8200): защита браузера от вирусов в реальном времени. Во-многом ее появление определили трояны Zeus и SpyEye, которые перехватывали транзакции прямо в браузере жертвы, после того как пользователь уже авторизовался на сайте банка. например, Trusteer Rapport работал как агент внутри браузера и мониторил попытки инъекции.
А уже через год произошло событие, которое станет достоянием публики гораздо позже, но окажет неизгладимое впечатление на весь мир. В 2007 году созданный (предположительно) АНБ, ЦРУ и 8200 компьютерный вирус Stuxnet запущен на иранских центрифугах. Именно израильтяне одними из первых в мире доказали, что целью атаки может стать физическое уничтожение объекта, и оно может быть таким же эффективным, как атаки ВВС Израиля, которые в том же году уничтожили строящийся сирийский ядерный реактор в Дейр-Эз-Зоре.
А еще в 2007 году появился… iPhone, который вместе с последовавшим взрывом рынка смартфонов поставил новую задачу: корпоративные данные теперь на персональных устройствах сотрудников, которые компания не контролирует. BYOD (bring your own device) стал новой головной болью. Уже в 2008 появилась MobileSmith и серия стартапов вокруг Mobile Device Management (MDM): часть из них была основана выпускниками 8200. Но более значимым было то, что в 8200 в этот период начали систематически работать с перехватом мобильных коммуникаций — SS7-уязвимостями, IMSI-перехватом, анализом метаданных мобильных сетей. Люди, работавшие с этими системами, затем основали компании в двух направлениях: легитимная мобильная безопасность (MDM, MAM) и offensive mobile intelligence. Проще говоря, именно в тот момент 8200 начали массово ломать мобильные устройства целей.
Экосистема вместо энтузиастов (2010-е)
В июне 2010 года к небольшой частной фирме из Минска под названием «ВирусБлокАда» обратился клиент из Ирана. Проблема выглядела рядовой: компьютер самопроизвольно перезагружался (циклическая перезагрузка) и «тормозил», несмотря на установленное антивирусное ПО. Белорусы не были «случайным» выбором: они были компетентны, имели локальных партнеров и могли работать с подсанкционной страной. Тимлидом был опытный белорусский эксперт по вредоносному коду Сергей Уласень.
Для Сергея и его небольшой команды в Минске находка стала поворотным моментом. Они очень быстро поняли, что перед ними нечто, по сложности превосходящее любую вредоносную программу, которую они когда-либо ранее видели.
«Это было как увидеть инопланетные технологии. Мы смотрели на код и понимали, что за ним стоят годы разработки и огромные бюджеты».
Четыре уязвимости нулевого дня, два реальных сертификата, полная автономность, защита от исследования, но самое шокирующее – назначение. Вирус искал на зараженных машинах следующее ПО от Siemens - PCS 7, WinCC, STEP7. Если находил, брал управление на себя, проверял какое оборудование подключено и если понимал, что это центрифуга, а не другая система любого другого завода, то переписывал часть кода контроллера, выставляя некорректную скорость вращения. Вероятно, для настойки вируса разработчикам предоставили тестовый стенд… или настоящую центрифугу. Мы не удивимся. Подробнее - здесь.
17 июня 2010 года небольшая белорусская фирма обнаружило Stuxnet — первый современный пример кибероружия, то есть вредоносной программы, созданной для нанесения максимального ущерба противнику.
Весь мир понимает, что появляется софт, способный физически уничтожать промышленные объекты. Это, конечно, перевернуло рынок промышленной безопасности, и сделало израильских специалистов в области offensive security глобально востребованными — правительства, корпорации, частные инвесторы начали активно искать доступ к этой экспертизе. 8200 после скандала Stuxnet начали становиться мировым брендом. К слову, на ниве промышленной безопасности выходцы из 8200 тоже засветились: вспоминаем Claroty (2015), Dragos (американская, но с израильскими консультантами), Indegy (2014, куплена Tenable).
В 2011 правительство Нетаньяху объявляет о создании национальной киберстратегии. Израиль официально объявляет кибербезопасность стратегическим приоритетом — наравне с обороной и энергетикой. Создается National Cyber Bureau при канцелярии премьер-министра (впоследствии преобразованное в INCD — Israel National Cyber Directorate).
Параллельно принимается решение о создании CyberSpark в Беэр-Шеве: технологического кластера рядом с базой ЦАХАЛа (где находится 8200 и смежные подразделения), университетом Бен-Гуриона и корпусом R&D крупнейших технологических компаний. Логика простая: если Dell, Lockheed Martin, IBM и Oracle откроют R&D-центры в двух километрах от 8200, лучшие выпускники подразделения смогут переходить туда, не уезжая из страны, а затем, набравшись опыта, создадут уже свои компании.
А уже в 2012 году Гили Раанан (экс-Checkpoint), основывает Cyberstarts, венчурный фонд, специализирующийся на ранних стадиях израильского кибербеза. Фонд выстроен вокруг нетворка 8200-ветеранов: Раанан получает deal flow раньше других, потому что основатели доверяют ему как своему. Первые инвестиции — Wiz, Axonius, Orca Security — принесут фонду доходность, несопоставимую со среднерыночной. Так появился «второй уровень» «Мафии Чекпоинт» — серийные основатели и инвесторы.
2013 год — Ассаф Раппапорт, Ями Луттвак, Рой Резник (все-8200) создают Adallom, это защита SaaS-приложений. Корпоративные данные мигрировали в облако, но инструментов понять, кто к ним обращается и что с ними делает, не было. Adallom отчасти создал категорию CASB (cloud access security broker). Куплена Microsoft в 2015 году за $320 млн, нынешний Microsoft Defender for Cloud Apps — ее наследник. А еще эта же команда через пять лет основала Wiz, героев M&A-саги с Google.
В том же году появилась Illusive Networks (Офер Исраэль — 8200). Это deception technology — техника обмана атакующего, полностью вышедшая из военной логики и активно используемых в 8200 ханипотов и ложных целей. Любой, кто к ним прикоснется, по определению является атакующим, потому что легитимный пользователь никогда не должен их видеть.
2014 год — Indegy (Бarak Perelman, Mille Gandelsman — 8200): безопасность промышленных сетей, прямой наследник Stuxnet-наработок. Продукт давал видимость того, что происходит в OT-сетях (operational technology) — тех, что управляют физическими процессами на заводах, электростанциях, водоснабжении. В этом же году происходит IPO CyberArk, и оно показывает всему рынку: из вендора нишевой PAM технологии израильская компания превращается в технологического гиганта на американском рынке.
Если смотреть на хронологию в целом, видна одна закономерность, которую редко формулируют в явном виде. Каждое поколение стартапов из 8200 защищало и атаковало ту поверхность, которая в данный момент была наиболее активно эксплуатируема реальными противниками — теми, с которыми 8200 работал по другую сторону баррикады.
В начале 2000-х главной проблемой были взломы периметр через веб — и появились Imperva с WAF. В середине 2000-х — целенаправленные атаки на привилегированные аккаунты — и CyberArk. В 2007–2010 — банковские трояны в браузере — и Trusteer.
После 2010 — промышленные системы — и Indegy, Claroty. После 2013 — облачные приложения — и Adallom/Wiz.
Это не случайность. 8200 не просто производил технических специалистов — он производил людей, знавших, как именно атакуют и имевших практический опыт таких атак. В коммерческом кибербезе это самое ценное знание.
Впрочем, далеко не все люди, сыгравшие большую роль в судьбе выпускников 8200 были профессиональными хакерами. Один из них – Надав Зафрир — не был компьютерным гением. Он был сыном дипломата, и большую часть юности провел с семьей в Латинской Америке. В 1988 году он был призван в ЦАХАЛЬ, и компьютеры его тогда мало интересовали, он специализировался на несколько ином. Военную карьеру он начинал в бригаде парашютистов, откуда сумел попасть в Сайерет Маткаль – спецназ Генштаба, престижное, известное и засекреченное подразделение (наш аналог — СпН ГРУ). Подробности его службы неизвестны. Награды в Израиле не очень популярны - например, высшую военную награду, медаль «За героизм» не вручают с 1975 года, до того момента ее получило всего 40 человек, половина - посмертно. Так что персональный Знак отличия начальника Генерального штаба, который получил Зафрир в середине девяностых – это уже довольно много.
В ходе службы Зафрир много работал с уже упомянутым выше Подразделением 81 — это более миниатюрный аналог 8200, работающий только с железом. Например считается, что в семидесятых годах Сайерет Маткаль установили устройства прослушки на множестве арабских линий связи. В общем, 81 — это такая «мастерская Джеймса Бонда».
Тогда же Зафрир познакомился с Гаем Селлой, командиром 81-х, техногиком, предпринимателем, инвестором и одной из культовых (в будущем) личностей в израильском хайтеке. Кстати, Селла был фаундером SolarEdge Technologies, одного из лидеров американского рынка возобновляемой энергии. Это знакомство перевернуло жизнь Зафрира – вскоре он неожиданно для всех был назначен заместителем командира 81-х.
Тут смешно: мало того, что на тот момент у него не было технического образования, он даже не был офицером! Есть легенда, что этот факт выяснился случайно: на одно из совещаний Зафриру было приказано прибыть в парадной форме, после чего все присутствующие с некоторым удивлением выяснили, что чисто технически Зафрир все еще унтер-офицер. Впрочем, офицерское звание тогдашний командир Маткаль Буги Аялон присвоил ему прямо там, на месте — и эта история очень хорошо описывает принятые в израильской армии порядки.
После пяти лет у 81-х, Зафрир ушел на заместителя командира 8200, а четыре года спустя (в 2009) — стал его командиром. 25-летнюю военную карьеру Зафрир закончил в 2013-м году в звании бригадного генерала. Но самое интересное только начиналось — и сейчас вы поймете, к чему был весь этот длинный рассказ.
Дело в том, что уже в 2014 году Зафрир вместе с двумя другими сослуживцами создал первый полноценный инкубатор (и венчурный фонд, конечно) для стартапов выходцев из 8200. Его партнерами стали Исраэль Гримберг (экс-CTO 8200), Лиран Гринберг (тоже выходец из разведки, занимался маркетингом) и чуть позже Юваль Шнеерсон (экс-руководитель R&D 8200). И вот тут ключевой момент – это был не просто венчурный фонд, а венчурная студия. Зафрир и компания помогали находить клиентов, нужных людей, генеральных директоров, искали идеи и собирали под них команды. За первые десять лет фонд построил и проинвестировал в более сорока компаний, привлек в качестве инвесторов Microsoft, Cisco, Walmart и Temasek и довел суммарный объем активов под управлением до $1,2 млрд.
В 2015 фонд основал Claroty - компанию по промышленной и операционной безопасности. В 2021 году компания стала первым единорогом в портфеле team8. Другой пример Sygnia — team8 вложила в нее $4,3 млн, а менее чем через год после старта она была куплена за $250 млн сингапурским государственным холдингом Temasek. Среди других значимых выходов фонда — Talon и Dig Security, проданные Palo Alto Networks в совокупности за $1 млрд, Curv, купленная PayPal, и Portshift, поглощенная Cisco. Впрочем, и это был не конец карьеры Зафрира.
В декабре 2024 года Зафрир возглавил Check Point — компанию, основанную тридцать лет назад другим выпускником того же подразделения. По иронии судьбы, его главной задачей на этом посту было… догнать Palo Alto Networks.
«Новые красные» (2010-е)
Часть первая — те, кто делал неправильно
Интифады, противодействие терроризму, постоянные атаки на устройства палестинских боевиков и активистов привели к тому, что за годы работы 8200 накопили огромный объем компетенций в, пожалуй, самом неприглядном аспекте их деятельности — массовой слежке. И да, так появился Pegasus. Скажем проще: он не мог не появиться.
Весной 2009 года к двум израильским предпринимателям (Шалев Хулио и Омри Лави — конечно же из 8200) обратился представитель некоей европейской спецслужбы. В то время их стартап CommuniTake разрабатывал инструмент для удаленной технической поддержки: позволял операторам сотовой связи подключаться к телефону клиента и устранять неполадки. Израильтянам задали вопрос, который изменил мир кибербезопасности: а можно делать то же самое, но БЕЗ ведома пользователя? Так в 2010 году появилась NSO Group - основанная Нивом Карми, Шалевом Хулио и Омри Лави. Название компании — аббревиатура из первых букв имен основателей: Niv, Shalev, Omri. Хулио и Лави — друзья детства, которых принято считать бывшими членами Unit 8200; Нив Карми пришел из Моссада.
Первый продукт не имел даже названия. Это был набор эксплойтов, позволявший получить полный доступ к смартфону цели. Технически — элегантное решение: используя уязвимости в браузере, операционной системе и системных процессах, программа устанавливала себя на устройство, после чего начинала передавать операторам все: сообщения, звонки, переписку в мессенджерах, геолокацию, файлы. Устройство превращалось в прослушивающее устройство, о существовании которого его владелец не подозревал.
Бизнес-модель была принципиально другой, чем у обычных ИБ-компаний. NSO не продавала лицензию на программное обеспечение. Она продавала «разведывательную платформу» — пакет, включавший эксплойты, инфраструктуру, операционную систему управления, обучение операторов и техническую поддержку. Клиентами могли быть только государства. Цена одного «развертывания» — установки системы под конкретного заказчика — исчислялась миллионами долларов.
Годовая выручка компании составила около $40 млн в 2013 году и выросла до $150 млн к 2015-му. Тогда израильтяне еще не дошли до 0-click атак и активно использовали 1-click. 10 августа 2016 года правозащитник Ахмед Мансур из ОАЭ получил на iPhone два SMS с обещанием «новых секретов о пытках в эмиратских тюрьмах». Мансур был достаточно опытен, чтобы не нажимать на ссылку. Вместо этого он переслал сообщения в Citizen Lab — канадскую исследовательскую организацию при Университете Торонто.
Исследователи узнали ссылки: доменное имя принадлежало инфраструктуре, которую они уже ассоциировали с NSO Group. Они перешли по ссылке с тестового iPhone — и зафиксировали атаку в реальном времени.
То, что они обнаружили, стало первым публичным документальным свидетельством существования Pegasus. Цепочка эксплойтов — получившая название Trident — включала три iOS zero-day уязвимости, позволявших удаленно сделать полный джейлбрейк iPhone. Это был третий раз, когда Мансур становился целью коммерческого шпионского ПО: в 2011 году против него использовали FinFisher, в 2012-м — продукт Hacking Team. Но джинн был выпущен из бутылки. Citizen Lab опубликовал детальный технический отчет, Washington Post, Guardian и десятки изданий воспроизвели его содержание. Мир узнал: существует коммерческая компания, которая продает правительствам инструмент взлома iPhone с возможностями, не уступающими АНБ.
Но самым резонансным событием стало другое.
Осенью 2018 года саудовский журналист Джамаль Хашогджи был убит и расчленен в консульстве Саудовской Аравии в Стамбуле. Расследование показало, что в месяцы, предшествовавшие убийству, Pegasus использовался против ближайшего окружения журналиста. Amnesty International установила, что телефон невесты Хашогджи Хатиджи Ченгиз был успешно заражен в дни, следовавшие непосредственно после его убийства. Генеральный директор Хулио заявил, что компания не имела отношения к «ужасному убийству», но отказался комментировать сообщения о том, что лично летал в Эр-Рияд для заключения контракта на $55 млн.
В 2021 году был разрушен главный миф — о «хирургической точности» и исключительно контртеррористическом использовании. Среди идентифицированных потенциальных целей — 189 журналистов, более 600 политиков и государственных чиновников, не менее 65 топ-менеджеров, 85 правозащитников и несколько действующих глав государств. В ноябре 2021 года администрация Байдена включила NSO Group в список организаций, находящихся под торговыми санкциями, как действующую «вопреки интересам внешней политики и национальной безопасности США».
Часть вторая — те, кто обещал делать это правильно
К 2018 году NSO Group стала токсичным брендом. Pegasus засветился в Мексике против журналистов, в ОАЭ против правозащитников, вокруг имени компании начинали кружить Amnesty International и Citizen Lab. Западные правительства — потенциальные покупатели — оказывались перед неудобным выбором: технология нужна, но ассоциироваться с NSO публично невозможно.
Израильское разведывательное сообщество видело проблему иначе. Скандалы вокруг NSO угрожали не только репутации одной компании — они угрожали всей отрасли.
Если Израиль потеряет доверие как поставщик разведывательных технологий, это ударит по стратегическому инструменту влияния, который страна тщательно выстраивала два десятилетия.
Что сделали израильтяне? Правильно, новую компанию!
Paragon Solutions была основана в 2019 году бывшим командующим 8200 Эхудом Шнеорсоном, а также Иданом Нуриком, Игорем Богудловым, Лиадом Авраамом и бывшим президентом Израиля Эхудом Бараком — последний, очевидно, отвечал за GR. Шнеорсон — командир, сменивший Зафрира. Тогда же разразился первый скандал: многие посчитали, что он просто переманил часть опытной команды 8200 (не срочников, а контрактников), предложив им коммерческие зарплаты, которые армия бы просто не потянула. Нурик как CEO, Богудлов как технический директор и Авраам как директор по исследованиям составили операционный костяк. Все трое — из среды израильской военной разведки, и «вытащить» нужных людей из любой израильской структуры для них не было большой проблемой. В конце концов, эту компанию создавал бывший президент!
Ирония в том, что Paragon создавалась как «NSO для демократий» — его продукт хирургически точен, не позволяет злоупотреблений, используется только для борьбы с «плохими парнями», и больше никакой слежки за журналистами, бывшими женами и Хашогджи… ага, щас!
По описанию Citizen Lab, Graphite обеспечивал «доступ к приложениям мессенджеров на устройстве, а не полный контроль над всем телефоном». На практике это означало: перехват переписки в WhatsApp, Telegram и Signal, извлечение файлов, привязанных к этим приложениям, доступ к облачным бэкапам. Различие реальное, но не принципиальное. Для большинства целей переписка в мессенджерах и есть вся частная жизнь, которая интересует разведку. Доступ к Signal — это доступ к самому зашифрованному каналу коммуникации, который существует. Утверждение, что Graphite «менее инвазивен», чем Pegasus, было примерно эквивалентно утверждению, что читать чужую почту менее проблематично, чем установить в квартире здоровенную видеокамеру.
Технически Graphite использовал zero-click эксплойты — заражение без единого действия жертвы. Уязвимость CVE-2025-43200, использованная в задокументированных атаках 2025 года, представляла собой логическую ошибку в обработке медиафайлов iOS, имела критический рейтинг 9,8 по шкале CVSS и была активирована через вредоносное фото или видео, переданное через ссылку iCloud.
Ирония в том, что администрация Байдена, одной рукой добавляя NSO GROUP в черные списки, другой рукой подписывала контракты с Paragon — позиционирование сработало. Кроме американцев, были и другие клиенты-партнеры США по НАТО. Одной из них была Италия, разведслужбы которой покупали ПО, конечно же, для целей государственной важности. Ага, щас…
18 января 2025 Whatsapp называет список из 90 журналистов, атакованных шпионским ПО Paragon - Graphite. 19 марта 2025 года Citizen Lab опубликовал Report №183 — первое полное техническое расследование инфраструктуры и операций Graphite.
Paragon расторгла контракты с Италией, сославшись на злоупотребления. А уже 11 февраля 2026 года главный юрисконсульт Paragon Реут Ямен опубликовала фотографию в LinkedIn. На снимке был виден экран ее монитора с открытым дашбордом Graphite.
Интерфейс содержал: чешский номер телефона с именем «Valentina», статус перехвата «Completed» от 10 февраля 2026 года, категории собранных данных — «Apps», «Accounts», «Media», данные из зашифрованных приложений.
Исследователь безопасности Юрре ван Берген под псевдонимом @DrWhax заметил фотографию и распространил ее. К тому моменту как Ямен удалила публикацию, скриншоты уже разошлись по всем релевантным каналам. Citizen Lab назвал произошедшее «эпическим провалом операционной безопасности».
Впрочем, самый главный скандал в истории Paragon произошел немного раньше.
В декабре 2024 года Paragon был продан американской частной инвестиционной компании AE Industrial Partners и слит с REDLattice из Вирджинии. Сумма сделки составила $900 млн. Барак получил около $20 млн на первом этапе. Ключевой причиной сделки стали проблемы с продажами в США – американцы были готовы закупать подобные услуги у американской компании, но не у израильской.
Вопрос решили достаточно просто.
Старший офицер 8200 рассказал израильскому изданию: «Когда мы поняли, что Meta раскрыла уязвимости, которые Paragon использовал для взлома телефонов, это немедленно вызвало панику. Мы провели совещание и решили, что придется отключить возможности против наших целей. В нашем мире это означает потерю критической разведывательной информации — и все это в военное время».
Шнеорсона и Барака обвинили в продаже стратегических активов государства в разгар войны. «Эти мощные инструменты, выйдя из-под контроля Израиля, могут быть направлены против нас», — писали тогда. А после того как выяснилось, что во время сделки Meta раскрыла некоторые используемые уязвимости, у действующих сотрудников 8200 началась паника, вылившаяся в прессу. Это было первым подтверждением того, что Paragon и израильские спецслужбы используют плюс минус один и тот же набор эксплоитов.
Наши дни (конец 2010х - наши дни)
- Величайшая катастрофа
К концу 2010-х годов 8200 находился в том состоянии, которое внутри израильского военного сообщества принято называть «полным информационным господством». Операция против Ирана была многолетней и методичной: атаки на портовую инфраструктуру Шахид-Раджаи в 2020 году, поджоги и взрывы на объектах ядерной программы, физическая ликвидация ученых. В 2020 году члены 8200 получили медали за кибератаку на иранский порт — в качестве ответного удара за попытку Тегерана атаковать израильские водоочистные станции.
Параллельно подразделение переживало внутреннюю трансформацию, значение которой станет понятно лишь после 7 октября. Командующим 8200 в 2019 году стал бригадный генерал Йосси Сариэль — технократ, убежденный сторонник машинного обучения и больших данных. Под его руководством подразделение начало систематически смещаться от разведки как аналитической дисциплины к разведке как инженерной задаче. В Израиле посчитали: будущее за быстрым анализом больших данных. И были правы… отчасти. Израиль строил «маленькую технократичную армию», Газу окружили системами слежения, датчиками, стенами, турелями.
Специалистов по наблюдению… перевели на другие задачи.
Дело в том, что кроме «хакеров» и специалистов по защите, в 8200 всегда были группы арабоязычных специалистов: они помогали атаковать устройства, участвовали в разведывательных операциях и лучше понимали контекст: например, лучше понимать то, что говорит житель Газы, речь которого насыщена большим количество локальных метафор, эвфемизмов, и прочим. Обученная на «стендартном арабском» программа не в состоянии переводить их достаточно точно. Люди — в состоянии.
Подразделение 504 (Humint) переводило фокус на Ливан, ШАБАК и армия закрывали арабоязычные подразделения, пока «умная» машина не понимала, что оперативники ХАМАС используют слово «арбуз» как кодовое слово для бомбы. А в 2022 году 8200 перестали прослушивать рации ХАМАС, посчитав это пустой тратой времени.
В ночь на 7 октября 2023 года (атака ХАМАС) 8200 не вели оперативную работу на границе с Газой. Крупнейшее SIGINT-подразделение мира, оснащенное самым передовым оборудованием, в утро крупнейшего теракта в истории Израиля просто не работало – у них был официальный выходной.
- Деньги, облака и ИИ
К 2017 году вокруг израильского кибербеза сложилась уникальная в мировом масштабе инвестиционная экосистема. Четыре фонда — Team8, Cyberstarts, Glilot Capital и YL Ventures — заняли нишу, которой нигде в мире не существовало: ранняя стадия, исключительно кибербезопасность, исключительно выпускники разведывательных подразделений.
Гили Раанан, основатель Cyberstarts и партнер Sequoia Capital, говорит, что даже когда он сознательно не ищет основателей с военным background, от 90% до 95% команд, с которыми он встречается, состоят из ветеранов 8200.
Это самоусиливающийся цикл, который очень трудно разорвать извне. Лучшие выпускники 8200 идут к Cyberstarts или YL Ventures, потому что те дадут деньги быстрее и без лишних вопросов. Cyberstarts и YL инвестируют в них, потому что уже знают этих людей по совместной службе. Портфельные компании нанимают новых выпускников 8200, потому что доверяют им. Те в свою очередь потом основывают стартапы — и идут к тем же фондам.
Данные подтверждают эффективность этой замкнутой системы: четыре tier-1 израильских VC посеяли 25% всех компаний, вышедших с результатом больше $100 млн; из всех exits выше $100 млн они профинансировали 41%. Cyberstarts имеет наибольшее количество exits выше $100 млн и лидирует по общему числу экзитов в израильском кибербезе.
В 2017 появился Axonius (Дин Сиcман, Офри Шур, Авидор Бартов — все 8200): компания, решившая задачу, о которой CISO знали годами, но не формулировали как продуктовую категорию. В любой крупной корпорации к 2017 году существовали десятки инструментов для управления устройствами, идентификацией, облачными ресурсами, endpoint-агентами. Но нигде не было единого источника истины: ответа на простой вопрос «какие вообще устройства подключены к нашей сети и что на них установлено?». Стартап решал эту проблему.
За менее чем пять лет компания достигла оценки $2,6 млрд и превысила $100 млн ARR. К 2024 году Axonius работал в более чем 70 федеральных агентствах США, включая Пентагон и Министерство внутренней безопасности. В декабре 2024 года Министерство обороны выбрало Axonius для модернизации программы непрерывного мониторинга рисков (CMRS) — системы, отслеживающей киберриски в масштабе всех сетей DoD.
Пандемия COVID-19 сделала для израильского облачного кибербеза то, что 7 октября сделает для осознания провалов разведки — вынудила всех действовать немедленно. За несколько недель в начале 2020 года корпорации по всему миру перевели сотни тысяч сотрудников на удаленку. Данные, которые хранились в защищенных периметрах офисных сетей, оказались разбросаны по домашним компьютерам, облачным приложениям и Zoom-звонкам. CISO по всему миру одновременно осознали, что не понимают, где именно находятся их данные и кто к ним имеет доступ.
В январе 2020 года четыре выпускника 8200 — Ассаф Раппапорт, Ами Луттвак, Рой Резник и Йинон Костица (мы уже упоминали их выше) — основали компанию в Тель-Авиве. Все четверо уже работали вместе однажды: в 2012 году они основали Adallom (CASB), проданный Microsoft за $320 млн в 2015 году. После продажи Раппапорт стал генеральным директором израильского R&D-центра Microsoft. В январе 2020 года он из него ушел.
Новая компания получила название Wiz.
Продукт был простым по концепции и сложным по исполнению: Wiz подключался через API к облачным средам — AWS, Azure, Google Cloud — и сканировал их на уязвимости без единого установленного агента. CISO получал дашборд с полной картиной облачной безопасности: все поверхности атаки, расставленные по приоритетам рисков. Техническая идея пришла из 8200. Раппапорт и его команда в военной разведке работали с задачей, которая стала зеркальным отражением корпоративной: как получить полное представление о чужой инфраструктуре без доступа изнутри.
Agentless-подход — читать облачную конфигурацию через публичные API вместо того, чтобы устанавливать агентов на каждую машину — был переносом разведывательного мышления в корпоративный кибербез.
Стартап стал мировым феноменом, показав рекордный рост: от $1 млн до $100 млн выручки всего за 18 месяцев. Через несколько лет Wiz станет самым успешным израильским киберcтартапом всех времен.
В 2021 году израильские кибербез-компании привлекли рекордные $8,8 млрд в более чем 100 сделках. Это было почти втрое больше, чем в 2020-м, и составило 40% от всего мирового венчурного финансирования кибербезопасности. Одиннадцать новых компаний достигли статуса «единорога» за один год — каждая третья кибербез-единорог в мире к тому моменту была израильской.
Большинство из них были созданы выпускниками 8200.
Мир наводняют израильские киберстартапы. Имя им - легион. Orca Security (Ави Шуа и Гил Джерон, ветераны Check Point), Cyera (Йотам Сегев и Тамар Бар-Илан), и множество других. Впрочем, самая удивительная компания была немножко позже.
- ИИ агенты и наше время
В этой истории было много необычных людей, и все они – мужчины. Впрочем, самая удивительная героиня этого рассказа – женщина.
Саназ Яшар родилась в Тегеране в самом начали восьмидесятых годов. Девочка была умной и талантливой, она отлично училась. В середине девяностых она «перепрыгнула» два класса и стала единственной девочкой, участвовавшей в городской олимпиаде по химии. По стечению обстоятельств, она ее выиграла.
Главным призом была экскурсия по настоящему ядерному реактору: объекту, для уничтожения которого Израиль потратит миллиарды долларов. Намек детям был понятным: вы будущее нашей страны, ваше место здесь.
Проблем у Яшар было ровно две. Во-первых, подобно многим иранским подросткам, она очень не любила иранские власти. Во-вторых, Яшар была еврейкой – что, впрочем, не скрывалось. В 17 лет, после многочисленных угроз, ее семья бежала в Израиль.
Приблизительно в 21 год, после получения степени бакалавра в Тель-Авивском университете, она оказалась в подразделении 8200. Саназ «задержалась» в армии – в отставку она ушла после 15 лет службы в звании майора. Ее «специализацией» были кибероперации против Ирана.
Потом были Cybereason, руководство группой анализа киберугроз в FireEye/Mandiant, включая расследование кибератак на несколько израильских больниц – в это время она познакомилась с Беном Сери и Сниром Хавдалой. Для понимания, Хавдала — ветеран 8200 с десятью годами службы, лауреат израильской оборонной премии и премии начальника Генерального штаба по технологиям. Сери — выпускник 81-х, специализирующегося на аппаратных разработках, также лауреат оборонной премии.
То есть это очень серьезные люди даже по меркам 8200. Тогда же они увидели проблему: существующие СЗИ работали внутри «своего» контура и не взаимодействовали между собой, особенно когда это касалось ПО от различных вендоров. Они не обменивались информацией и мешали друг другу.
В 2022 году Google купила Mandiant за $5,4 млрд. Уйти из компании, только что поглощенной Google с многомиллиардной оценкой, — значит уйти именно в тот момент, когда большинство сотрудников закрепляются, дожидаясь вестинга. У Яшар, очевидно, была другая система координат.
Компания Zafran была основана в 2022 году – не еще один инструмент безопасности, а платформа, которая объединяет данные из всех существующих инструментов (EDR, файрвол, облачные системы, сканеры уязвимостей) и задает вопрос, который раньше никто систематически не задавал: из всех тысяч уязвимостей, которые у вас есть, какие реально эксплуатируемы прямо сейчас — и не перекрываются ли они уже существующими средствами защиты?
Это звучит как техническая деталь. На самом деле это смена парадигмы. Традиционный vulnerability management говорит: вот список всего, что нужно исправить. Zafran говорит: из этого списка вот что опасно именно в вашей конфигурации именно сейчас — и вот что ИИ-агент уже исправил автономно, пока вы читали этот отчет. ИИ здесь выполняет две функции. Первая — приоритизация: модель анализирует корреляции между данными из разных инструментов и контекстом атаки, чего вручную не сделать в разумные сроки. Вторая — автономное исправление: агенты не просто указывают на проблему, но и автоматически применяют миtigations — изменения в конфигурации файрвола, обновления правил EDR, — не дожидаясь человека.
На пике ИИ-бума, компанию завалили деньгами. 2024 год — два раунда суммарно на $70 млн: Sequoia Capital, Cyberstarts, и, что нетипично для кибербез-раунда, Penny Jar Capital баскетболиста НБА Стефа Карри.
Декабрь 2025 года — еще $60 млн, раунд под руководством Menlo Ventures при участии Sequoia и Cyberstarts. Итого к началу 2026 года — $130 млн привлеченных инвестиций, утроение ARR за год, оценка компании — в сотни миллионов долларов.
Она была далеко не единственной: в 2023 появилась Prompt Security (Итамар Голан и Лиор Дрихем — оба 8200). Продукт сканирует все точки соприкосновения корпоративной среды с ИИ-инструментами: расширения браузера, coding assistants, внутренние приложения, API-интеграции. Он ищет утечки данных в промптах, попытки prompt injection, нарушения политик использования. К 2024 году Prompt Security оказалась в центре волны M&A-интереса. А еще были Blockaid-платформа Web3 (Идо Бен-Натан и Раз Ниv — оба 8200) и множество других.
К 2023 году израильская ИБ-экосистема столкнулась с новой динамикой. Рынок начал консолидироваться. Palo Alto Networks, CrowdStrike, Microsoft наращивали собственные платформы, поглощая специализированных игроков. Израильские стартапы оказались перед выбором: выходить на IPO (и конкурировать с платформами публично), продаваться стратегическому покупателю, или самим становиться платформами.
Данные показывают: почти 50% израильских основателей, чьи компании были куплены за более чем $100 млн в последнее десятилетие, служили в 8200. Средняя стоимость поглощения для компаний, основанных выпускниками 8200, превышает $317 млн.
Wiz выбрал третий путь — стать платформой самостоятельно, через агрессивные поглощения. В 2024 году компания купила Gem Security за ~$350 млн и Dazz за ~$450 млн. Одновременно Google предложила $23 млрд— Раппапорт отказался, решив идти к IPO. В марте 2025 года Google вернулась с $32 млрд. На этот раз Wiz согласился.
Это крупнейшая сделка в истории кибербезопасности и крупнейшее поглощение в истории Google. Компания, основанная в январе 2020 года, за пять лет достигла $32 млрд. Из четырех основателей каждый — ветеран 8200.
Итог
По оценкам на 2023–2024 годы, выпускники 8200 основали свыше 1 000 стартапов — только в сфере кибербезопасности. С учетом потребительских технологий, телекома и других секторов общее число компаний превышает эту цифру. Как минимум пять публично торгуемых на американских биржах компаний, основанных выпускниками 8200, имеют совокупную капитализацию около $160 млрд — и это без учета компаний, уже поглощенных крупнейшими игроками.
В 2024 году израильские кибербез-компании привлекли $3,8 млрд в 75 сделках — 36% от всего технологического финансирования в стране, при том что кибербез составляет лишь 7% от числа израильских технологических компаний.
В 2021 году экспорт израильских кибербез-технологий составил $11 млрд — около 10% глобального рынка.
В 2024 году объем частного финансирования кибербеза в Израиле практически удвоился по сравнению с 2023-м и составил эквивалент 40% всего американского рынка венчурного финансирования кибербезопасности
- 8200 давно превратился из военного подразделения в подобие университета
За последние десять лет компании, основанные выпускниками Стэнфорда, привлекли $166 млрд венчурного финансирования. Гарвард — $173,5 млрд. MIT — $45,9 млрд. 8200 — порядка $44 млрд. Стэнфорд лидирует по числу unicorn-основателей среди университетов: 285 выпускников основали 207 компаний с оценкой выше $1 млрд.
Теперь контекст. Стэнфорд выпускает около 17 тыс. студентов в год — бакалавров, магистров и докторантов. 8200 выпускает около 1 250 человек в год.
Если грубо сравнить производительность на человека в год: компании выпускников 8200 к 2026 году суммарно стоят более $200 млрд (только учтенные выше, без Check Point и Palo Alto). Это примерно тот же порядок величин, что у Стэнфорда — при населении «выпускников» в 13 раз меньше.
Иначе говоря, на одного выпускника 8200 приходится примерно в 10–15 раз больше созданной рыночной стоимости, чем на одного выпускника Стэнфорда. При этом Стэнфорд работает девяносто лет, 8200 в качестве стартап-инкубатора — примерно двадцать.
- Методы отбора и комплектования
Для начала надо сказать несколько слов о комплектовании израильской армии, для которой 8200 являются «плотью от плоти».
Основа ЦАХАЛя — система призыва на срочную службу с последующей отправкой в запас. Это называется «милуим», а резервист – «милуимник». В отличие от большинства других стран, «запас» не является формальностью – военнослужащие резерва служат в постоянных подразделениях (резервистских бригадах, дивизионах итд итп), регулярно призываются на резервистские сборы в составе подразделения, принимают участие в учениях, при необходимости – участвуют в войнах также, как и садирные подразделения (срочники). Наиболее близкой к израильской является швейцарская система.
В Израильской армии в целом есть ряд нетипичных и сложно понимаемых для нас аспектов:
- нет высшего военного образования (кроме «генеральского» колледжа национальной безопасности). И офицеры, и сложные технические профессии (вплоть до летчиков) проходят «курсы». Офицер пехоты учится около 9 месяцев, только нужному, его задача сугубо утилитарна – воевать. Летчик — 3 года (без учета академической степени). При этом обучение солдата занимает примерно столько же — 8-9 месяцев.
- основа армии - резервисты. Даже среди технических специальностей (например, авиатехников) большинство — резервисты. Даже 70% летчиков — резервисты, которые летают 1-2 раза в неделю, а остальное время работают на гражданской профессии. В армии есть культура постоянной сменяемости в должностях от командира взвода до командующего флотом (это называется словом «каденция»). Отслужившие не теряют связь с армией.
- армия определяет социальные связи. В Израиле служит большинство, и зачастую именно армия определяет «нетворк» призывника. Например, служить в летном составе ВВС или офицером во флоте — очень престижно. Как и в 8200.
Принципиальным отличием 8200 от других аналогичных подразделений во всем мире является тот факт, что оно более чем наполовину состоит из солдат срочной службы.
То есть это люди, пришедшие после школы (реже - первой академической ступени), которые почти наверняка уйдут после окончания службы.
8200 не ищет готовых специалистов. Оно ищет людей с максимальным потенциалом к обучению — и вкладывает в них государственные ресурсы, пока те еще подростки.
Отсюда следует контринтуитивный принцип: предыдущие технические знания при отборе вторичны. Например, программа Magshimim (обучение талантливых подростков программированию и ИБ) принимает примерно 30% подавших заявки — после тестирования и интервью, которые оценивают решительность, преданность делу и социальные навыки, но не предшествующий опыт в вычислительной технике. То есть имеющиеся навыки глубоко вторичны, важна скорость обучения. При этом Магшимим курируют Минобороны и частный фонд Rashi Foundation - обычно около трети его выпускников оказывается в 8200 и других технических подразделениях.
Самый ранний идентификатор возможного призывника – программа Гвалим, куда берут в районе 4-6 класса. Это своего рода «маркировка» для талантливых подростков – там учат робототехнике, логике, основам программирования.
9-12 класс — ключевые для «отбора» в армию. Тут другие программы — Магшимим/ Мамриот, Гвалим (для ультраортодоксов), Нахшон (школы для периферии), Маантех (арабы). Это в первую очередь программы для «поиска талантов на периферии» – записаться туда из условного более богатого Тель-Авива практически невозможно, там вопрос решается частными курсами и «элитными» школами.
Что важно — действующие и бывшие военнослужащие достаточно плотно интегрированы в эти программы, особенно с условной Беер-Шеве, где находится база 8200, а сам город имеет статус своего рода «кибер-столицы», рядом находится университет им. Бен-Гуриона и парк высоких технологий. Еще раз подчеркнем, ключевое в тестировании — не найти «лучших процессионалов», а найти тех, кто быстрее всего обучится. В этом есть и очевидные плюсы, и очевидные минусы.
В районе 16 лет лучшие кандидаты (или выпускники Магшимим/Мамриот, у которых флажок в личном деле появляется автоматически) получают предложение пройти расширенное тестирование – математика, программирование, криптография, психологическая оценка. Параллельно с этим идет Cyber Defense Cadet League (CTF), но он скорее относится к пред-армейской подготовке. В целом в Израиле подготовка к армии это достаточно распространенная история.
Отдельная тема — Атуда, это по-сути программа «отсрочки» для получения академической степени. Популярна в технологических направлениях, очевидным образом часто имеет отношение к степени в области инженерии или компьютерных наук. Многие известные фаундеры успешных компаний проходили Атуду (а многие — нет).
Ключевые треки внутри:
- Гама (офенсив) — основной трек, через который проходит большинство рекрутов. Операции красной команды, социальная инженерия, скрытое проникновение на устройства. Это то, что на гражданке называют offensive security.
- Эрез (Erez) / Эрезим (Erezim) — трек data science. Рекруты могут получить здесь двойную академическую степень (математика и computer science) за счет армии за два года. Требование: исключительные математические способности. Это фактически параллельная учеба в университете во время службы.
- Хаваццалот (Havatzalot) — аналитический трек. Программа готовит аналитиков разведки для распределения в 8200, 9900 и другие разведывательные подразделения. После окончания обучения выпускники получают звание лейтенанта. Здесь часто служат люди, хорошо знающие нужные языки (арабский, фарси).
- Тальпиот (Talpiot) — технически отдельная от 8200 программа, но тесно с ним связанная. По-сути, армия + академическая степень. Хайтек-хайтек.
Демобилизация — не конец связи с системой.
Ассоциация выпускников 8200 объединяет около 14 000 человек по всему миру и запустила программы EISP (акселератор для стартапов) и Impact (социальные технологии). Эти программы поддержали более 300 компаний, более половины которых продолжают работу. По-сути, огромное число резервистов формирует те сильнейшие социальные связи, которые позволяют искать подходящих кандидатов.
Это редкий механизм обратной связи между военным и гражданским сектором, которого не существует ни в одной другой стране.
Насколько это возможно повторить в России?
Короткий ответ: невозможно.
Длинный ответ сложнее. Россия уже имеет достаточно сильную математическую школу, систему олимпиад, обучению школьников техническим навыкам, в том числе кибербезопасности. В России нет проблемы с кандидатами для такого рода подразделения — механизмы выявления одаренных детей у нас есть, аналог Магшимим запустить несложно, СTF-сообщества тоже существуют. Проблема начинается в тот момент, когда школьнику наступает 18 лет.
В России де-факто нет обязательной службы в армии. В Израиле огромное количество призывников тоже избегает погон, но влияние армии на общество гораздо глубже. В России срочная служба изолирована от контрактной, срочники обычно не воюют (в отличие от Израиля, где они становятся основой боеготовых частей). Аналогично, срочная служба — «обязаловка» для тех, кто не смог найти достойного повода ее избежать, а академическая степень — совершенно легальный повод не служить.
Ключевая, фундаментальная и неразрешимая проблема в том, что израильская система сознательно отпускает людей. Система работает, потому что выпускники уходят на гражданский рынок и создают компании. Рекрут знает об этом с момента призыва. Это делает службу привлекательной: ты не просто отбываешь повинность, ты получаешь стартовый капитал для будущей карьеры.
В российском контексте система столкнется с очевидным противоречием - люди, потенциально получившие в армии реальные компетенции в области кибербезопасности, сталкиваются не с «выходом» в венчурный рынок, а с системой подписок о неразглашении, ограничениями на выезд и крайне туманными перспективами монетизации полученных навыков.
Израильская система работает, потому что государство сознательно отпускает людей — и извлекает выгоду из их успеха косвенно, через налоги, экспорт и геополитическое влияние. Это требует определенной институциональной веры в то, что «утечка» капиталов и технологий в гражданский сектор является благом, а не угрозой. Это философски несовместимо с логикой, при которой ФСБ или ГРУ рассматривают своих бывших сотрудников прежде всего как объект контроля. Причем зачастую их технические компетенции не дотягивают до коллег из «коммерческого» сектора – там просто нечему утекать.
Пожалуй, наиболее перспективный аналог - корпоративные учебные программы, когда частный и государственный бизнес пытается создать трек от школьника до специалиста по ИБ. Но и здесь многое теряется – люди сразу попадают в корпоративную среду, минуя то, что в Израиле называется «армия».
8200 не является случайной аномалией. Это система, выращенная в специфических условиях: маленькая страна с экзистенциальной угрозой, обязательный призыв создающий ежегодный поток молодых людей, открытый гражданский рынок с венчурным финансированием, правовая система защищающая интеллектуальную собственность, и — что самое важное — тридцать лет последовательной работы.
У нас не получится построить что-то подобное. Нам нужно делать что-то свое.