המעבר לענן לעתים נתפס לעתים כשינוי שעיקרו תשתיתי - העברת אמצעי המחשוב ממרכזי מחשוב המנוהלים על-ידי הארגון לכאלה המנוהלים על-ידי ספקי הענן, מה שמאפשר גמישות גדולה יותר בתכנון, צמיחה והשקעת משאבים. במסגרת זו, נושא אבטחת הסייבר לעתים נתפס גם הוא כמשהו שניתן ליישמו באופן דומה למה שהיה בעבר, בשינוי מיקום בלבד. אכן צריך לוודא שהגישה לענן מנוהלת כמו שצריך, שיש חציצה בין יישומים שונים, שאפשר לאתר אנומליות והתקפות. אותה גברת בשינוי אדרת?
הגישה הזאת מוטעית מיסודה ועלולה להביא ארגונים שמאמצים אותה לסיכונים ובעיקר לעיכובים ומשברים מיותרים בדרכם לשימוש נרחב בענן. לא שיש להפסיק לנקוט באמצעים האלה, אך בנוסף ישנם שינויים שהמעבר לענן מחייב, והם דורשים הסתגלות תפיסתית וארגונית.
מדוע? ראשית, סביבת הענן עשויה אולי להתחיל מיישומים קיימים המועברים לענן (lift & shift) אך מהר מאד תוצף ביישומי ענן מהדור החדש שמבוססים על ארכיטקטורות של microservices. יישומים אלה מתעדכנים באופן שוטף ובקצב שעולה בסדרי גודל על יישומים מהדור הישן. תפישות אבטחה שמסתכלות על יישומים רק כשהם כבר רצים, או מסתמכות על בדיקות ממושכות, לא יעבדו כאן. הארגון חייב להסתגל לחשיבה אחרת, כזו שמכניסה את נושא האבטחה לדנ"א של הפיתוח ומשלבת שיטות DevSecOps לכל השלבים בפיתוח, תכלול והרצת היישומים.
שנית, שיטות ההתקפה משתכללות ומתאימות עצמן לעולם החדש. על-פי מעקב שקבוצת מחקר הסייבר של אקווה ביצעה לאורך שנים, הזמן שלוקח לתוקפים לגלות שרת בענן בסביבת קונטיינרים, למשל, התקצר מאד, לפחות משעה אחת. כלומר, ישנה תשתית שלמה שכל מטרתה למצוא אוטומטית שרת פגיע ולתקוף אותו במגוון שיטות לצורך גניבת מידע או נתוני גישה, או כריית מטבעות קריפטו. התוקפים ימצאו כל חולשה - בין אם בהגדרות שירותי הענן, או בתוך היישום עצמו. הפרצות הללו שונות מאלו שקיימות בשרתי לינוקס, חלונות או מחשבים אישיים, ובהתאם, הכלים שפותחו במשך שנים להגן עליהם אינם מסוגלים להתמודד עם סוג ההתקפות החדש בענן.
מה שמביא אותי לסוגיה האחרונה, שלעתים יוצרת בלבול. ספקיות הענן כולן נוקטות בגישה המכונה shared responsibility model (אחריות משותפת) לאבטחה בענן. בגדול, הן יטפלו באבטחת התשתית והלקוח אמור לטפל בשאר. משום מה, רבים רואים בכך מעין חלוקה שווה בנטל וזה רחוק מאד מהמציאות. הלקוח עדיין אחראי לאבטחת היישומים (הקוד) שהוא מריץ בענן, להגדרות של כל השירותים, גישת משתמשים, ושירותי הרשת לענן ובענן. זה לא פחות מבעבר - זה פשוט שונה.
אז כיצד מתמודדים עם השינויים? המעבר לענן מכווץ תהליכים ודורש גישה יותר הוליסטית ואוטומטית לנושא האבטחה, כזו שמכניסה שיקולי וכלי אבטחה כבר בתהליך הפיתוח ויודעת "ללוות" את היישום לכל אורך הדרך. ישנם ארגונים המנסים להמשיך לנהוג בניתוק מצוותי הפיתוח ומצוותי האופרציה ומקווים לנהל את נושא האבטחה ללא התערבות כלשהי בתחומים אלה. זהו קוצר רואי שנידון לכישלון.
על ארגונים אלה להתגבר על חסמים ארגוניים ולהפוך את אבטחת היישומים בענן לחלק אינטגרלי בכל התהליכים הללו, לפני שימצאו עצמם מול התקפות שלא יהיו מסוגלים לזהות, למנוע, או לבלום בזמן.
הכותב הוא מנכ"ל ומייסד משותף, אקווה סקיוריטי
