"תוקפים תמיד יפעלו כנגד הפרי הכי נמוך על העץ"

הענן מאפשר להאקרים להתקרב צעד נוסף לעבר המטרה, עקב שטח מתקפה רחב ומפוזר יותר. כיצד יש לאבטח כראוי סביבת ענן ומה הנזק שנגרם כתוצאה מאינטגרציה לא טובה ומתאוצה נמוכה בהפעלה בענן? שיחה על אבטחה בעידן הענן עם דורון כחילה, מנהל סופוס ישראל

יואל צפריר
תוכן מקודם
שתפו כתבה במיילשתפו כתבה במייל
צילום: באדיבות Sophos
יואל צפריר
תוכן מקודם

בעוד ארגונים מודעים לאמצעי ההגנה הפיזיים, כגון פיירוול, אבטחת נקודות קצה ושרתים בסביבה לוקאלית או במרכזי נתונים, במעבר לענן ארגונים צריכים להבטיח שגם תצורה והגדרות ההפעלה מאובטחות דיין כדי למנוע גילוי מצד התוקף, ולזכור כי גם מישור הניהול עצמו נגיש מכל מקום", כך אומר דורון כחילה, מנהל סופוס ישראל, בראיון למגזין ענן על אבטחת מידע בעידן הענן. "הדבר נכון במיוחד כאשר ארגונים מציגים שירותי PaaS חדשים בענן, כגון אחסון משותף, מכולות (Containers), שירותי מסדי נתונים, פונקציות ללא שרת וכיוצ"ב. שירותים אלו חייבים להיות מוגדרים באופן מאובטח, מכיוון שבדרך כלל לא ניתן להריץ עליהם סוכן אבטחה".

בוא נדבר על אבטחת הענן כיום. 
"מבחינת התוקפים, הענן מאפשר להם להתקרב צעד נוסף לעבר המטרה, עקב שטח מתקפה רחב ומפוזר יותר ששירותי הענן מספקים באינטרנט. תוקפים תמיד יפעלו כנגד ה'פרי שמתנדנד הכי נמוך על העץ'. לא צריך לחפש הרבה כדי לשמוע סיפורים על דליפות נתונים הקשורות לאמזון S3 שנגרמו כתוצאה מקונפיגורציה שגויה. לדוגמה, הגדרות אבטחה של S3 כ'ציבוריות'.

"התוקפים עוברים להתקפות מתוחכמות יותר", מוסיף כחילה. "הם ניזונים ממה שבנמצא ומסתייעים באוטומציה של חיפושים לניצול נקודות תורפה במכונות וירטואליות וחדירה לארגון, תוך ניצול שירותי Metadata של ספקי הענן בגישה להרשאות IAM זמניות, ובכך הם מנסים להשיג דריסת רגל בצד הלקוח. משם הם מבצעים חיפוש בתבנית הרשאות IAM אחר תפקידים עם גישה רחבה יותר, מתחזים לאחד מתפקידים אלו ומקבלים גישה לאחסון המרכזי (בין היתר) ומשם הדרך לחילוץ הנתונים ו/או הצפנתם קצרה מאוד".

תכנון נכון ותרחיש שימוש ברור
מה קורה בעצם בהיבט האבטחה ומה יותר בטוח - ענן ציבורי? היברידי? 
"המחשבה שעננים ציבוריים מאובטחים פחות מעננים פרטיים או היברידיים הינה שגויה. הבעיה טמונה יותר בחוסר ההבנה לגבי אחריות הלקוח לנושא האבטחה. ספקי הענן מפעילים מודל אבטחה שיתופי, מה שאומר שהלקוח אחראי לאבטח כל דבר שהוא מריץ או מאחסן בענן.

"בסקר שביצענו לאחרונה כמעט מחצית מהמשיבים לא הבינו את האחריות שלהם לאבטחת סביבת הענן שלהם. הבעיה היותר חמורה נמצאת באזורים האפורים בהם האחריות היא משותפת. ספקי פלטפורמת הענן מספקים את הכלים (קבוצות אבטחה ו-IAM) אולם הלקוח הוא זה שאחראי להטמעה נכונה שלהם.המשמעות היא שבחלק גדול מהאבטחה שמספקות פלטפורמות הענן, האחריות הסופית לשימוש נכון ומאובטח בשירותי הענן מוטלת על הלקוח.

"כדי לאבטח כראוי סביבת ענן, יש צורך בתכנון נכון ותרחיש שימוש ברור, כך שיהיה ניתן להפעיל את הכלים שהפלטפורמה מספקת באופן יעיל ולהרחיב אותם עם שירותים כגון Sophos Cloud Optix לאכיפת מדיניות ארגונית וזיהוי נקודות תורפה, אשר מנוצלות על-ידי התוקפים, כגון קונפיגורציות לא נכונות, הרשאות מורחבות ושימוש חריג במשאבי הענן".

דורון כחילהצילום: יח''צ

החלון נותר פתוח להתקפה
האם הארגונים חזקים ובעלי מודעות מספקת כדי לטפל במשאבים שאינם פעילים ובעלויות של סביבת ענן היברידית. האם יש לכך השלכות על אבטחה?
"נראות מדויקת אל המשאבים הקיימים אינה אתגר של ארגונים גדולים בלבד, מאחר ותשתית עבור ארגון בינוני עם 200-500 עובדים יכולה לעיתים קרובות להיות בעלת פעילות גדולה יותר בענן מאשר ארגונים עם יותר מ-1,000 עובדים - בין היתר בזכות הנגישות של הענן והנטייה של ארגונים קטנים לאמץ אסטרטגיית 'ענן-קודם'. פתרונות CSPM יכולים לסייע כאן רבות. הם מספקים שקיפות מדויקת אל כל שירותי הענן הנמצאים בשימוש על-ידי הארגון וזיהוי של משאבים שאינם פעילים או שנעצרו. 

זה יכול לקרות, לדוגמה, אם ארגון מעלה את בסיס הנתונים של הלקוחות שלו עם הגדרה 'ציבורית' לפלטפורמה בסביבת בדיקה ואז שוכח לשנות הגדרה זו עד שהמאגר נפרץ, או במקרה שעותקים של כוננים קשיחים וירטואליים הושארו ללא הצפנה. בשני המקרים, החלון נותר פתוח להתקפה. מערכת CSPM כגון Sophos Cloud Optix, תתריע בזמן אמת כדי לסגור את החלונות הפתוחים ולמנוע מתקפה".

באגים ובעיות אבטחה 
מה הנזק שנגרם כתוצאה מאינטגרציה לא טובה ומתאוצה נמוכה בהפעלה בענן,  עבור מפתחים ועבור צוותי אבטחה? האם הוא משמעותי יותר בענן ההיברידי? 
"במהלך השלב הראשון של הגירה לענן, סביר להניח שתבנה את התשתית שלך באופן ידני דרך הקונסולה של ספק הענן - לצורך יצירת VPC, ליצירת הרשת, ליצירת המופעים, הגדרת קבוצות אבטחה וכדומה. אבל, תשתית שכזו עלולה להיות בעייתית כאשר יש צורך בשכפול מדויק. לכן, כאשר נדרשת סביבת פיתוח חדשה המשקפת (mirrors) את סביבת הייצור במדויק, או כאשר ארגונים צריכים לשכפל תשתית באזור אחר, קשה לעשות זאת ללא מתכון ליצירת אותה התשתית בדיוק. שינויים קטנים כאלה בהגדרות הן חדשות רעות, לא רק בגלל שהן יוצרות תאוצה חלשה בהפעלה, אלא גם כי הן יוצרות באגים ובעיות אבטחה. 

"בעיה זו הופכת למורכבת ככל שאתה מוסיף יותר מפתחים, שכל אחד מהם דורש סביבה משלו. ארגונים יכולים להגיע לסביבות פיתוח, בדיקה וייצור, שיהיו שונות אחת מהשנייה. בגרסאות שונות של מערכות הפעלה או הגדרות, תמיד יש משהו שלא יהיה תואם. ואלה מובילים לבאגים באפליקציות, כאשר כל צוות ממזג את השינויים שלו במערכת החיה ויוצר סיוט עבור צוותי אבטחה ותפעול, אשר צריכים לתקן בעיות אבטחה ואמינות בין סביבות השונות רק במעט". 

לאור זאת, מהי הגישה שלכם?
"הגישה של Sophos היא להעצים את צוותי הפיתוח וה- DevOps לעבודה מאובטחת יותר. אנו עושים זאת באמצעות אינטגרציה עם כלים ותהליכים קיימים. כלים שכבר מוכרים במסגרת תהליכי הפיתוח ליצירת תשתית חדשה, כגון Github ו-Jenkins. באמצעות גישה זו, ההפעלה של תבנית תשתית בסביבת הענן מתאפשרת רק אם היא עוברת בקרה של אבטחה ועמידה בתקנות דרך כלי ניהול מצב אבטחת הענן, Sophos Cloud Optix. מהלך כזה מבטיח שהארגון נמנע מבניית תשתית המכילה בעיות בהגדרות אותן תוקף יכול לנצל".