הגנה על תשתיות ענן - מהקו הראשון עד האחרון

השתלטות על זהויות ושימוש בהרשאותיהן היא שיטת התקיפה הפופולרית ביותר כיום, אך בעולם הענן הזהות היא קו ההגנה היחיד העומד בין התוקף למידע הרגיש. חברת אבטחת המידע Ermetic מספקת פתרון הוליסטי להגנה על תשתיות ענן, תוך דגש על תחום ההגנה על זהויות

אסף לבנון
תוכן מקודם
שתפו כתבה במיילשתפו כתבה במייל
צילום: shutterstock
אסף לבנון
תוכן מקודם

בשנים האחרונות נוהרים לענן המחשוב ארגונים גדולים וקטנים כאחד. מה שהיה לפריבילגיה של ארגונים קטנים וסטארט-אפים רק לפני מספר שנים הפך לפתרון בר-קיימא גם לארגונים בינוניים, גדולים ואפילו אנטרפרייז. היכולת לצרוך שירותי מחשוב בהתאם לצורך ולשלם רק על סמך שימוש גורמת לארגונים רבים להעביר פעילות משמעותית לענן וליהנות מגמישות התשתיות שהוא מאפשר.

אך המעבר לענן הביא עימו אתגר משמעותי: הצורך לאבטח מערכת מחשוב שחלק משמעותי ממנה נמצא במחשבים אחרים ומרוחקים. מעבר לכך, מכיוון שישנן מספר ספקיות ענן בולטות (מיקרוסופט, גוגל ואמזון) ועוד ספקיות ענן קטנות רבות - לא כל פתרון אבטחה מתאים לכל פלטפורמת ענן. כך נוצר פער ידע רחב. רבים מהארגונים העוברים לענן אף סבורים בטעות שהאחריות על האבטחה מוטלת על הספקית, כשלמעשה בעולם הענן מתקיים מודל אחריות משולבת, בו ביטחון המידע אכן נמצא תחת אחריותו של ספק התשתית, אך האחריות על אבטחת היישומים, ניהול זהויות, ההרשאות, הגישה למידע והחיבור בין הכל – כל אלה נמצאים תחת אחריותו של הארגון המשתמש בענן.

כך, הבנק האמריקאי הגדול Capital One גילה בדרך הקשה שאחת מהאפליקציות שלו שעברה לענן כוללת פרצת אבטחה משמעותית. כבנק הראשון בעולם שהחליט על אסטרטגיית ענן רחבה ציפה Capital One לקצור שבחים על חדשנותו, אך במקום זאת קיבל ביקורות קשות וקנס של 60 מיליון דולר, לאחר שהאקרים השתמשו בפרצת האבטחה שבאפליקציה כדי לחדור למערכותיו, להשתלט עליהן ולהשתמש לרעה בהרשאות שהיו פתוחות.

זהויות - משטח התקיפה המרכזי בעולם תשתיות הענן
חברת אבטחת המידע Ermetic מספקת פתרון הוליסטי להגנה על תשתיות ענן, תוך התמקדות ומתן דגש לתחום ההגנה על זהויות. המוצר Ermetic Cloud Security Platform מסייע להגן על זהויות בעלות הרשאות מתוקפים העלולים להשתלט עליהן.

"ההתמקדות שלנו היא בהסתכלות על זהויות כמשטח התקיפה המרכזי בעולם תשתיות הענן", אומר אריק גומנוסבקי, מייסד Ermetic ושותף בה. "הרוב המוחלט של הזהויות בענן נוטה להחזיק הרשאות מיותרות. בפועל, רוב הזהויות משתמשות בפחות מ-10% מההרשאות שהוגדרו להן. כל השאר - מיותרות. בממוצע, כ-10% מההרשאות שקיימות במערכת נחשבות לרגישות מאוד. הרשאות אלו מאפשרות לזהויות לגשת למידע באופן רחב ולבצע פעולות משמעותיות על גבי התשתית  - למשל, הרמת והורדת מכונות. השתלטות של גורם עוין על זהות יכולה לאפשר לו להשבית מערכת, או לגשת למידע רגיש של הארגון. במקרה של Capital One תוך דקות ספורות הצליח ההאקר להעתיק החוצה בקשות אשראי של למעלה מ-100 מיליון אזרחים אמריקאים. בעקבות האירוע הבנק מצא את עצמו בחקירת הקונגרס".

אריק גומנוסבקיצילום: בן יצחקי

כיצד אתם מסייעים לחברות להימנע מכך?
"חבילת Ermetic Cloud Security Platform מספקת תמונה ברורה של הזהויות במערכת וההרשאות של כל אחת מהן. אנחנו מתחברים לתשתיות הענן באמצעות API, מריצים אנליטיקות רבות על המידע וכך מזהים זהויות עם הרשאות רגישות ומבינים אם יש בהן סיכון. זה שילוב של ניתוח מעמיק של מה שקורה בסביבה ויכולת לחבר את הדברים לכדי תמונה ברורה. מעבר לזיהוי הסכנה - המערכת גם מסייעת ללקוח לנטרל אותה בצורה אוטומטית.

בלחיצת כפתור הוא יודע בדיוק אילו הרשאות מיותרות עליו להוריד וכך להקטין את משטח התקיפה האפשרי. במצב בו הפריצה כבר נעשתה - ביכולתנו לקדם את המהלכים הנדרשים כדי למזער את הנזק. כך שאנחנו לרוב נכנסים כבר בקו הראשון, אבל גם חולשים על כל ה'לייף סייקל' של האבטחה: הגנה מראש, זיהוי פוטנציאל סכנה, זיהוי תקיפה וצמצום נזק. אנחנו מנטרים בזמן אמת את כל הפעילות בתשתית הענן כדי לזהות פעילות חריגה שעלולה להצביע על פריצה כזאת או אחרת".

לצמצם הרשאות של הזהות, לנטר את פעילותה
מניסיונם הרב בתחום (החברה  הוקמה על-ידי ארבעה סטארט-אפיסטים מנוסים שהחברות הקודמות שהקימו נמכרו לתאגידים גדולים), למדו אנשי Ermetic כיצד תוקפים פועלים. תקיפות, כך הבינו, יכולות להתחיל כמעט מכל נקודה במערכת: תחנת עבודה של משתמש, אפליקציה שהארגון הרים ונפרצה או קישור שהיה חלש. לאורך שרשרת התקיפה ינסה התוקף להשתלט על איזושהי זהות במערכת ולהשתמש בהרשאותיה כדי לשים את ידיו על מידע רגיש או כדי לבצע פעולה מזיקה אחרת. 

"השתלטות על זהויות ושימוש בהרשאותיהן היא שיטת התקיפה הפופולרית ביותר כיום, בין אם זה במערכות On Premise ובין אם בענן", אומר גומנוסבקי. "מה ששונה בענן הוא שבעולם שלו הזהות היא המחסום היחיד או קו ההגנה היחיד העומד בין התוקף למידע הרגיש. בעוד ב-On Premise יש קווי הגנה נוספים כמו רשת ופיירוול שמקשים משמעותית על התוקף לחדור לארגון ולנוע ברשת הארגונית לכיוון המידע הרגיש - בעולם הענן זה לא קיים. אם תוקף מצליח להשתלט בו על זהות מעניינת - אפליקטיבית או אדמיניסטרטיבית - הוא יכול לעשות כמעט כל פעולה מכמעט כל מקום בעולם, ללא צורך לעבור מנגנוני הגנה נוספים".

כיצד מתנהלת העבודה שלכם מול הלקוח?
"לאחר ההתחברות למערכת שלו, Ermetic Cloud Security Platform מבצעת סריקה מקיפה שלאחריה היא יכולה להצביע על סיכונים. למשל, זהות בתשתית הענן בעלת הרשאות רגישות, שמי שעושה בה שימוש היא אפליקציה השייכת לצד שלישי. החברה לא תמיד יודעת שהיא בפועל סומכת על כשירותו של גוף חיצוני במערך האבטחה שלה. במקרה כזה נמליץ לצמצם הרשאות של הזהות הזאת למינימום ולנטר את פעילותה למקרה שתיפרץ". 

מסייעים לארגונים לציית לרגולציה
מעבר להסתכלות הרחבה על הסיכון ועל הגדרות הרשת, השרתים והזהויות - Ermetic Cloud Security Platform גם מסייעת לארגונים לעמוד בדרישות תאימות לתקני האבטחה הדרושים להם כארגונים הפועלים בענן. "פעמים רבות נדרשים ארגונים להוכיח אבטחת מידע ראויה על-ידי רגולטורים, או ארגונים אחרים איתם הם משתפים פעולה, וישנן דרישות ברורות בנושא", מסביר גומנוסבקי. "למשל, כל דאטה בייס שיש בו מידע רגיש צריך להיות מוצפן ויש השלכות לאופן שבו מנוהלים המפתחות המצפינים. אנחנו יודעים להסתכל על זה ולהציג ללקוח בדיוק איפה הוא עומד והיכן יש פערים ולעזור לו לטפל בכך. 

"זהו גם שירות יעיל לחברות העומדות בפני הנפקה. חלק מתהליך ההנפקה מצריך לעבור בדיקת תאימות לתקנים - ואנו מסייעים לעמוד בדרישות ולעבור אותה בצורה קלה. גם ארגונים שרוכשים ארגונים אחרים רוצים להבין מה הסיכון הסייברי איתו הם יצטרכו להתמודד ועושים בדיקת נאותות לסביבת החברה הנרכשת כחלק מתהליך הרכישה. אנחנו יכולים להכין את הסביבה לבדיקה הזאת".

הלקוח צריך לעשות משהו בנושא?
"הוא לא צריך לפרוס שום דבר בתוך הסביבה. האינטגרציה של המערכת לוקחת דקות ספורות והמשתמש מקבל מערכת ידידותית וגרפית עם דגש על ויזואליזציה. גם בזמן העבודה המערכת יכולה לתקן בעיות רבות בלחיצת כפתור. כשיש כאלו שלא - היא תיתן המלצות מפורטות ותערב גורם אנושי מטעמנו. כך אנו מסייעים לארגונים להתמודד עם פער הידע הגדול שיש להם בתחום ניהול תשתיות הענן".