עולם בו הטכנולוגיה משתנה ומתחדשת ללא הרף, מייצר הזדמנויות עסקיות רבות, אך במקביל נוצרים סיכונים ואיומים מצד תוקפים, המגייסים את אותה טכנולוגיה לתקיפת הארגון, לגניבת מידע, לשיבוש ולפגיעה בפעילות השוטפת שלו. תשתיות המידע הקיימות והעתידיות של הארגון צריכות לספק מענה אקטיבי לאיומים ולהיות חלק מאסטרטגיית ההגנה של הארגון. כאשר כל כך הרבה מונח על כף המאזניים, אנו חייבים לשנות את הדרך בה אנו חושבים על אבטחה וזאת בשני תחומים מרכזיים:
* משתמש לגיטימי ותוקף נראים ומתנהגים אותו דבר
עד לפני זמן לא רב, התנהגותם של התוקפים הייתה חריגה באופן ברור ולכן היה קל יחסית לזהות ולחסום אותם בעזרת יכולות בסיסיות, כמו סגמנטציה או גילוי המתבסס על זיהוי פעילויות חריגות. אך הימים הללו עברו מן העולם. היום אנו מתמודדים עם מתקפות מתוחכמות יותר.
ב-2023 ההאקר המומחה נכנס לארגון בדרך כלל דרך הדלת הראשית - בעזרת הרשאות שגנב או בעזרת טכניקות דומות, שלא קל להפרידן מהתעבורה הלגיטימית ברשת הארגונית. ברגע שהם בפנים, התוקפים ישארו "שקטים" במשך שבועות או חודשים ו"יחיו מתחת לרדאר", תוך כדי שהם יאספו בזהירות מידע על הרשת של הארגון. התקיפה שתגיע תכלול תזוזה מינימלית ברשת להשגת מטרתם הזדונית.
השאלה היא כיצד ניתן למצוא ולהרחיק תוקפים לפני שהם יגרמו לנזק? התשובה טמונה בהסתכלות על הקונטקסט של הסביבה כולה. יש צורך בגישה שבוחנת את התנהגות המשתמש: באילו מכשירי קצה הוא השתמש - כמה, מתי והיכן, אילו רשתות הוא חצה ולאילו יישומים ומידע הוא קיבל גישה בסביבות הענן הפרטיות והציבוריות.
* איכות גילוי אנומליות בעזרת AI מוגבלת לאיכות המידע
יכול להיות שכלי ה-AI הטובים ביותר יעמדו לרשותך, אבל בלי נתונים מלאים לא תוכל לגלות במדויק התנהגות חריגה. כיום, ישנם פערי מידע רבים שמגבילים את מה שה-AI יכול "לראות". למשל, אני עדיין לא פגשתי לקוח שהצליח להעביר 100% מתעבורת הדאטה סנטר שלו דרך "קופסאות" אבטחה פיזיות או וירטואליות. בהגדרה, זה אומר שלרוב הארגונים יש הרבה "נקודות עיוורון".
יש גם את עניין ההצפנה. 65% מהתעבורה בתוך הרשת (E-W Traffic) היא מוצפנת. מצד אחד זה טוב לאבטחה, מאחר שתעבורה מוצפנת תקשה על תוקף לאסוף מידע על הרשת. מצד שני, תנועה מוצפנת מגבילה את יכולות הניטור והאיתור של מתקפות על-ידי צוותי האבטחה. זה מייצג "נקודה עיוורון" נוספת.
הוספת יכולות אבטחה המשולבות בתשתיות המידע של הארגון נותנות מענה לרבים מהפערים האלה ומעניקה לצוותי האבטחה יתרון אסטרטגי. שילוב יכולות אבטחה בתשתית, מאפשר הגנה "אישית" לכל ה-workloads, ללא צורך בשכפול התעבורה או הפנייתה ל"קופסת אבטחה" ייעודית, ובכך מסייע בצמצום נקודות העיוורון.
בנוסף, יישום יכולות אבטחה בתוך התשתית נותן מענה ליישומים מודרניים המאמצים ארכיטקטורה מבוזרת וריבוי שירותים. היכולת לראות ולמפות קשרים ותקשורת בין כלל רכיבי היישום תורמת לזיהוי מוקדם של תוקפים, קיצור זמני תגובה ושיפור האבטחה של תהליכי CI/CD בארגון.
לסיכום, החידושים הטכנולוגיים תורמים לקידום הארגון, אך יחד עם זאת יוצרים אתגרי אבטחת מידע חדשים ואנו נדרשים לנראות (Visibility) מלאה של תעבורה בתוך הדאטה-סנטר (E-W traffic). יישום יכולות אבטחת מידע בתוך תשתיות המידע הקיימות והעתידיות של הארגון, יספק נראות ויביא לייעול מערך אבטחת המידע הקיים, תוך קיצור זמן התגובה לאירועים ותמיכה בארכיטקטורה של יישומים מודרניים.
הכותב הוא מנהל מכירות אזורי אבטחה ורשתות בחברת VMware
לאתר >>> VMware
בשיתוף חברת VMware
