שומרים על המפתחות לממלכת ה-IT
אבטחת גישה פריבילגית היא משכבות ההגנה החשובות והקריטיות ביותר בארגון. זה מה שזיהתה חברת סייברארק הישראלית ראשונה, הרבה לפני שתחום זה זכה להכרה ומודעות בעולם.
חשבונות פריבילגיים מאפשרים גישה למערכות הרגישות ביותר בארגון, ולעיתים אף שליטה מלאה בכלל מערך המחשוב של הארגון, ובכך למעשה בארגון כולו. מטבע הדברים, הרשאות כאלו צריכות להינתן בזהירות וברגישות, כדי שהכוח לעשות שינויים משמעותיים לא יגיע בטעות לידיים הלא נכונות. מחקרים עכשוויים מראים שחשבונות פריבילגיים עומדים במרכזן של כמעט 100% מהתקפות הסייבר המתקדמות. התוקפים אינם מנסים רק לחדור לארגון ולגנוב מידע, אלא מחפשים דרך להשיג אחיזה מתמשכת בארגון, מבלי להיחשף. השגת הרשאות גבוהות תאפשר להם גישה למערכות הרגישות ביותר בארגון, ולכן חשבונות פריבילגיים הם הדרך האידיאלית עבור התוקף להשיג את מטרתו.
"הרשאות פריבילגיות קיימות כמעט בכל מקום בארגון. בסביבת המחשוב המודרנית, חשיבותה ומורכבותה של שכבה זו רק הולכת ומתעצמת. המעבר לענן, הטמעת תהליכי DevOps, אוטומציית תהליכים רובוטיים (RPA) וכו' - הרחיבו באופן דרמטי את השימוש בהרשאות פריבילגיות ובהתאם את מרחב האיומים הזמין לתוקף כתוצאה מכך", אומר חן ביתן, מנהל CyberArk ישראל.
מה ש-CyberArk זיהתה כבר לפני 15 שנה, הוא הצורך באבטחת גישה פריבילגית. בעוד מרבית החברות התמקדו בזמנו בפיתוח טכנולוגיות להגנה היקפית, תוך ניסיון למנוע כניסת תוקף לרשת הארגונית (מה שניתן להגדיר כהגנה מבחוץ פנימה) - ב-CyberArk זיהו צורך בשכבת הגנה חדשה, המתמקדת בהגנה מבפנים על המערכות והמידע הרגיש בארגון (מה שניתן להגדיר כהגנה מבפנים החוצה). "האתגר הוא להגן על הארגון כאשר התוקף כבר בפנים", אומר ביתן. "איום מבפנים יכול להגיע מתוקף חיצוני שחדר לרשת או מגורם פנים המנסה לבצע פעולה זדונית מתוך הרשת, תוך שימוש בחשבון פריבילגי. לכן CyberArk בחרה להתמקד ולהתמחות בהגנה על חשבונות כאלו, הרבה לפני שתחום זה הוגדר כפרויקט אבטחת הסייבר בעדיפות מספר 1. המודל העסקי שלנו הוא להטמיע את הפתרונות שלנו ולהגן על ארגונים לפני ההתקפה ולא להצילם לאחר ההתקפה".
כיום מגנים מוצרי האבטחה של CyberArk על למעלה מ-4,800 ארגוני ענק מכל העולם, כולל 50% מחברות ה- Fortune 500. החברה מפעילה מעבדות חדשנות וסייבר החוקרים לעומק את מרחב האיומים ומפתחים את טכנולוגיות האבטחה הבאות. את פירות הטוב שהיא מספקת לעולם הטכנולוגי קוצרת החברה בשנים האחרונות: CyberArk היא חברת הסייבר הישראלית השנייה בגודלה בעולם, היא נסחרת בנאסד"ק לפי שווי של למעלה מ-4 מיליארד דולר ואף נכנסה לרשימת "100 ההמצאות הישראליות החשובות ביותר מאז קום המדינה" שגיבשו משרד הכלכלה והרשות לחדשנות. לצד ההצלחה העסקית, סייברארק היא דוגמא לחברה ציבורית, רווחית, יציבה, וצומחת, שעדיין משמרת תרבות ייחודית מיום הקמתה עם DNA שכבר קשה למצוא בארגונים גדולים, ולפיכך מדורגת בשנים האחרונות בראש מקומות העבודה המועדפים בישראל.
סותמים את פרצות האבטחה של העולם
במשחק החתול והעכבר התמידי של עולם הסייבר סקיוריטי, באה חברת Checkmarx עם גישה חדשה: למה להעמיס על המתכנתים, שגם כך ידיהם מלאות בעבודה, גם את כל זווית אבטחת המידע? מדובר בנושא חשוב מדי בכדי שיטפלו בו "על הדרך", כעוד פינה שצריך לסגור. ככל שזירת האיומים מתפתחת, הוא גם דורש מומחיות מקצועית גדולה יותר. הפלטפורמה האוטומטית של צ'קמרקס מגלה ומתריעה על פרצות אבטחה בתוכנה לאורך כל שלבי הפיתוח, כבר מכתיבת שורות הקוד הראשונות ועד שלב הבדיקות, דבר החוסך משאבי זמן וכסף רבים בארגונים. הגישה שמובילה החברה מספקת לכל מפתח את הכלים לכתוב קוד באופן מאובטח ולתקן את הקוד מפרצות אבטחה כבר מראשית התהליך. לאחר השלמת הקוד מריץ המוצר סריקה הבודקת אם קיימות בו פרצות אבטחה. במידה וכן - הוא לא מאפשר לקוד להיכנס למאגר, מציג למתכנת את הבעיות ואפילו נותן הדרכה כיצד לתקנן. לאחר ביצוע התיקון יכול המתכנת להכניס את הקוד למאגר בלב שקט. "המתכנת לא צריך להיות מומחה לאבטחת מידע", קובע מתי סימן, מייסד Checkmarx וה-CTO שלה.
"למעשה, אם הוא ידאג לאבטחת המידע זה יאט את קצב הפיתוח וכתוצאה מכך יפגע בחדשנות של החברה. מצד שני: אם הוא לא יתעסק עם זה - קצב הפיתוח יהיה מהיר יותר אבל התוכנות יהיו פגיעות, מה שיזיק לכולם: לחברה וללקוחותיה שיקבלו מוצר פרוץ. זה המקום בו אנחנו נכנסים. מוצרי האבטחה שלנו עוזרים למתכנתים לכתוב קוד בטוח. הם יכולים לבצע את עבודתם על הצד הטוב ביותר בלי לדאוג שיידלוורו אפליקציות פגיעות. אנחנו המוצר היחיד בשוק הזה שיש לו Incremental Scanning: אם המתכנת שינה מעט שורות קוד בין סריקה לסריקה אנחנו סורקים רק את השינויים ולא את כל הקוד, מה שמאפשר סריקה מהירה יותר ותוצאות מדויקות. מאוד. בסוף: החברות מסוגלות לספק מוצרים טובים יותר, בטוחים יותר - ומהר יותר".
כדי לתקן תקלות כאלו גם במוצרים של חברות שעדיין לא החלו להשתמש בכלים של Checkmarx, החברה מפעילה גם צוות מחקר עצמאי שבודק מיוזמתו מוצרים נפוצים. כאשר מתגלות בהם פרצות אבטחה - ממהר הצוות לעדכן את החברות המפתחות. כך נמצאה פרצה ב"אלקסה" מבית אמזון המאפשרת לצתת לכל מה שנאמר בחדר בו המוצר פועל ופרצה באפליקציית "טינדר" המאפשרת לרחרח מבחוץ אחר פרופילים והפעולות הנעשות בהם. טאבלט לילדים בשם "LeapFrog" מצא לאחרונה בעזרת Checkmarx פרצה משמעותית, המאפשרת לילדים המשתמשים בו לתקשר גם עם זרים, למרות שהמוצר אמור לאפשר להם לתקשר רק עם הוריהם. "מחקר של פורסטר מראה ש-71% מאירועי הסייבר בשנה האחרונה נבעו מחולשות אבטחה באפליקציות. בדרך שלה, Checkmarx עוזרת לעולם להיות בטוח יותר", מסכם סימן.
QA להמונים
בדיקות תוכנה לא חייבות להיעשות על ידי מחלקת QA, הן יכולות להיעשות על ידי עולם ומלואו. להבנה פורצת המסגרות הזאת הגיעה חברת Applause. כשיזם החברה והמנכ"ל שלה, דורון ראובני, הבין שתהליכי בדיקות התוכנה בארגונים מסורבלים מאוד ולא תמיד מספקים את הסחורה - עלה בראשו הרעיון להפוך את ה-QA לעבודה של המונים.
כך המציאה Applause את ה-Crowd Testing: באתר החברה כל אחד רשאי להירשם לתפקיד של בודק תוכנה. לאחר שיפרט את דגמי המכשירים עליהם הוא עובד (סמארטפון, טאבלט, מחשב וכדומה) - יקבל מעת לעת הצעות לבדוק גרסאות חדשות של מוצרי תוכנה שונים ולשלוח את ממצאיו: כמה טוב עבדו, האם יש באגים ומה אפשר לשפר. את הבדיקות ניתן לעשות בכל עת ומכל מקום בעולם. ככל שהפידבק שיספק הבודק יהיה יעיל יותר - כך הוא יקבל משימות רבות יותר בהמשך (ותשלום בהתאם).
התוצאה היא Win-Win Situation: החברה המעוניינת שיבדקו את התוכנה שלה מקבלת מרחב בדיקות רחב בהרבה וזוויות הסתכלות שונות של מאות ואפילו אלפי בודקים, ואנשים מן היישוב מקבלים הזדמנות לעשות כסף מהצד, בזמנם הפנוי ורק כשהם פנויים לעבודה.
"חברות אמריקאיות הפכו לפנאטיות ממש בכל נושא חוויית המשתמש, לאחר שהבינו שפגמים בה יכולים לגרום למשתמש לעזוב את המוצר ולעבור הלאה בלי לחשוב פעמיים. לכן הן לא יכולות להרשות לעצמן תהליכי QA חלקיים או לוקים בחסר", אומר מארק גרנות, המנכ"ל של סניף Applause הישראלי. "לקבל גישה לסגמנטים רבים כל-כך של אנשים מכל העולם, ממש מכל דמוגרפיה אפשרית ועם הסתכלות שאינה 'הסתכלות של מעבדה' אלא הסתכלות של משתמש - נותן לחברות כאלו המון. היום כבר מבינים שאי אפשר לבדוק חווית משתמש בצורה טובה דרך עובדי חברה, כי הם בודקים את המוצר בצורה שהם רגילים לתפוס אותו ולאו דווקא בצורה שמשתמשים חיצוניים יתפסו אותו. אנחנו מציעים לחברות העברה של המוצר שלהן לאוכלוסיה שמדמה את המשתמשים האמיתיים, שיעבדו עליו בצורה אינטואיטיבית כמו קהל היעד, באופן שונה מבודקי תוכנה, ולכן גם ימצאו באגים שבודקים מקצועיים לא יצליחו למצוא. היכולת הזאת עשתה מהפכה בעולם הבדיקות אבל מה שלנו בעיקר מחמם את הלב זה לספק פרנסה לאנשים שלפעמים מתקשים להתפרנס: תושבי מדינות עולם שלישי, אנשים מוגבלים פיזית או כאלו עם גמישות תעסוקתית מוגבלת, למשל סטודנטים שאין להם זמן רב פנוי ומשימה נקודתית פה ושם יכולה להתאים להם".
