ליצור את האיזון הנכון בין אבטחה לחדשנות בענן

תשתיות דאטה סנטר, ניהול סביבות עבודה, סביבות ענן, DevOps ואבטחת מידע - כל אלו הם עולמות ההתמחות של Wizards, חברת שירותי IT עם לקוחות בישראל ובחו"ל שנוסדה לפני כחמש שנים ומאז צומחת במהירות. לחברה צוותי יועצים מומחים מנוסים ומוסמכים הפועלים בגישה המשלבת בין מקצוענות ומצוינות לגישת "הלקוח במקום הראשון". שילוב זה הביא לה לקוחות רבים ממגוון מגזרים ובמגוון מצבים: מארגוני אנטרפרייז הנמצאים בעיצומם של תהליכי טרנספורמציה דיגיטלית ועד לסטארט-אפים שנולדו בענן.

סגירה

ה"דנ"א" הארגוני שלנו, לצד שכבת ניהול רזה ומנוסה, מאפשר לנו לאפיין ולספק פתרונות איכותיים עבור הלקוח וללוות אותו משלב תרגום הצורך העסקי, דרך התכנון, ההטמעה והתמיכה - כל אלו בצורה המיטבית", אומר משה בלקר, סמנכ"ל אבטחת הסייבר של Wizards.

יש אין-ספור חברות IT בשוק. במה אתם נבדלים?
"אנחנו חיים ונושמים DevOps ומבינים היטב את הצרכים של כל סוגי החברות וכן את הקשיים והאתגרים של אנשי ה-DevOps שלהן. הם נדרשים היום למהירות, אוטומציה ויכולת Scale - וכמובן לאבטחה, שהיא זווית מורכבת במיוחד, שמשתנה כל הזמן. ההבנה והניסיון שלנו בכל התחומים האלו מאפשרת לנו לזהות נכון את צרכי הלקוח ולהטמיע את הפתרונות הנכונים עבורו. זה מכפיל הכוח שלנו. הערך המוסף הגבוה שאנחנו מביאים לשולחן.

"הצוותים שלנו מורכבים ממקצועני IT מנוסים המחזיקים בהסמכות של היצרנים המובילים והמיומנים בשילוב אינטגרלי של כלי ה-Devops", הוא מוסיף. "בנוסף, אנחנו שותפים בכירים של מרבית היצרנים העולמיים כמו: ,Vmware ,Microsoft ,Lenovo ,IBM ,RedHat Google ,SUSE ,Veeam ושותפים של החברות המובילות בתחומי אבטחת המידע כמו: Checkmarx Orca Security ,One Identity ,Elastic".

"על האבטחה להיות מובנית בטרנספורמציה הדיגיטלית"
בלקר הזכיר בדבריו את הטרנספורמציה הדיגיטלית. נדמה שכולם עושים זאת כיום ועולה השאלה מהם האתגרים שהיא מביאה עימה. "הטרנספורמציה הדיגיטלית היא מפתח מרכזי עבור ארגונים המעוניינים להביא ערך רב יותר ללקוחותיהן על-ידי עיצובם מחדש של המודלים העסקיים", הוא משיב. "זריזות, חדשנות ואופטימיזציה הם לב-ליבו של התהליך. עם זאת, צריך לזכור שהטרנספורמציה הדיגיטלית נושאת עימה גם לא מעט סיכונים - כשבראשם אירועי סייבר. נושא הסייבר הפך להיות בעל חשיבות גבוהה ועומד לפתחה של ההנהלה הבכירה של הארגון. לא מעט ארגונים צפויים להתמודד במהלך השנים הקרובות עם תקיפות סייבר משמעותיות ולכן הם חייבים להפנים: על מנת להמשיך ולקיים עסק רווחי חייבים לשנות תפיסות יסוד. הסייבר צריך להילקח בחשבון כחלק אינהרנטי מתפיסת ההנהלה. עליה להבין כיצד להשיג נראות מלאה על סיכונים חדשים ואיך להתגונן מפני איומים בצורה מהירה ויעילה. בניית מערך אבטחה דיגיטלית בזמן פרויקט הטרנספורמציה הדיגיטלית יוצרת ערך קריטי ומגינה על הארגון. בהתאם לכך, ניתוח ערך האבטחה הדיגיטלית צריך להיות חלק מתהליך הארכיטקטורה העסקית, מה שיבטיח שהאבטחה מובנית בטרנספורמציה הדיגיטלית".

איך יוצרים את האיזון בין אבטחה לחדשנות?
"זו בדיוק החוכמה. לרוב זה כולל שלושה שלבים: זיהוי סיכונים, יצירת אסטרטגיית אבטחה והשקעה בטכנולוגיה ובמיומנויות. לכן אלו האזורים שאנחנו מציעים לארגון להתמקד בהם. בסופו של דבר, האיזון הנכון מסתמך על התאמה הדוקה של אסטרטגיית אבטחת סייבר חזקה עם יעדי הטרנספורמציה הדיגיטלית. כשעושים זאת נכון, אבטחה נכונה יכולה למעשה להאיץ את לוחות הזמנים של הפרויקט ולעזור לתהליכים לנוע מהר יותר, תוך שמירה על יציבותם - כך שלא יהיה צורך לחזור ולעשות דברים מחדש".

פעולה נוספת שנראה שכולם עושים היא המעבר לענן המיחשוב. מה הראייה שלכם בנושא?
"המעבר לענן הוא כורח המציאות וכמעט בלתי נמנע - בין אם כחלק מאסטרטגיה ניהולית שמטרתה לייעל את העבודה, לקצר זמני פיתוח ולרכז את המידע במקום אחד וכך לגבש תובנות ודרכי פעולה ובין אם כיוזמה של צוותים טכנולוגיים - בעיקר בפיתוח - שמבקשים מערכות מתקדמות. אנחנו ב-Wizards מאמינים שמימוש הפוטנציאל המלא של הענן ומתודולוגיית DevOps דורשים שינויים מהותיים, ולא רק בתפיסה אלא בתרבות ובמבנה הארגון. הצוותים בתוך הארגון נדרשים לעבור שינוי מהותי כחלק מהמסע לענן. האבטחה הופכת לשירות שצורכים אותו, המשלב הגנה בזמן אמת, מינוף בינה מלאכותית ולמידת מכונה. מתבצעת מודרניזציה של שירותים, שכן יישומי Cloud Native, קונטיינרים, קוברנטיס, serverless - נועדו כולם לעבודה בענן, שם הם מספקים גמישות, מהירות, חיסכון בעלויות ויכולת תגובה מיידית לשינויים בשוק. אך אין ספק שלצד היתרונות המעבר לענן מביא גם אתגרים. למשל: היעדר תקציבים וכוח אדם מיומן, אי-הכרת הטכנולוגיות והיעדר תפיסה מספקת של הצרכים והגדלת הסיכון לפריצת מידע. צוותי האבטחה נמצאים בנחיתות מספרית משמעותית, כך שכמעט שאין להם סיכוי לעמוד בקצב הפיתוח".

פתרון אבטחה המספק כיסוי מלא לכל סביבות הענן
כשבלקר מדבר על אסטרטגיית אבטחה הוא מבקש להדגיש שלושה היבטים מרכזיים. האחד הוא ניהול זהויות ובקרת גישה (IAM). מדובר בליבה של אסטרטגיית האבטחה המודרנית של כל ארגון המבוססת על אפס אמון, שבמסגרתה הארגון יכול להתמקד בהגנה על המשתמשים, היישומים, המערכות ובכך למעשה על העסק. מעבר לבקרת גישה לאבטחה דיגיטלית, שיטות אימות חזקות יכולות להגביר את המהימנות - והערך - של הנתונים.

ההיבט השני הוא שיש לטפל באבטחה מוקדם ככל האפשר בתהליך הפיתוח. פעילות זאת כוללת מעורבות של מומחי אבטחה עם צוות הפיתוח קרוב לתחילת מחזור הפיתוח. "כאשר יש שימוש עצום בקוד פתוח, ספריות ציבוריות, ממשקי תכנות יישומים (API) ליישומים אחרים ועוד בתהליך הפיתוח, הדאגה העיקרית היא האבטחה של היישום. ארגונים רבים נכשלים כאן, כי האבטחה מיושמת לאחר מעשה", הוא מסביר. "המפתחים חייבים לקחת על עצמם יותר אחריות לגבי אבטחת הקוד. בדיקות אבטחה חייבות לבצע 'תנועה שמאלה' לשלבים מוקדמים או 'במעלה' תהליכי הפיתוח. הדרך הטובה ביותר לעשות זאת היא באמצעות שילוב כלי אבטחה בכלי ה-CI/CD".

ההיבט השלישי אותו בלקר מדגיש הוא שכלי אבטחת המידע שעמדו לרשות הארגון העובד ב-On-Prem כבר לא רלוונטיים בסביבת הענן. בנוסף, יש מעבר מואץ ליישומים מהדור החדש, המבוססים על Microservices, שמתעדכנים באופן שוטף ובקצב מהיר. זה מחייב את צוותי אבטחת המידע להסתגל לחשיבה אחרת.

"יש בחוץ קהילה גדולה של תוקפים שכל תכליתה למצוא שירות פגיע ולתקוף אותו למטרות כגניבת מידע, נתוני גישה, כריית מטבעות קריפטו או פגיעה בתדמית הארגון", הוא מבהיר. "הדרך המומלצת בעינינו להגן על סביבת ענן, הכוללת מבנה רשת, שרתים, קונטיינרים ו-Serverless Applications, היא באמצעות גישה אחודה ורב-שכבתית. כלומר, נדרש פתרון המספק כיסוי מלא לכל סביבות הענן שבכוחו לסרוק ולמצוא פגיעויות, סיכוני זהות, הגדרות שגויות, סיכוני תנועה ליטרלית, סיסמאות חלשות, חולשות ונוזקות. את אלו יש לנתח לעומק ולשלב את כל הממצאים בתמונה ברורה של הסיכונים, ההקשרים ביניהם וההשפעה העסקית. אנו ממליצים לאפשר לצוות האבטחה לתעדף מניעת סיכונים החוצים את השכבות השונות וכך להתמקד במה שחשוב ביותר.

בשיתוף Wizards