זה מספר עשורים ש-VPN ( Virtual Private Networking) משמש כפתרון הגישה מרחוק המועדף על ארגונים, למרות החסרונות הרבים שלו. עם המעבר הגורף לעבודה מרחוק בתחילת ימי הקורונה, חל גידול ניכר בשימוש ב-VPN ובפרוטוקולים נוספים של גישה מרחוק, כמו RDP Remote Desktop Protocol)). אך היקפי השימוש הנרחבים חשפו מחדש, ואף העצימו, את חולשות האבטחה הקריטיות של ה-VPN. נפגשנו עם אלון יעקב, מנכ"ל פורטק ועידן אבגי, ה-CTO של פורטק, כדי להבין לעומק מה הבעיה עם VPN ומהי החלופה.
מה הבעיה המרכזית בשימוש ב-VPN?
"VPN ו-RDP אינם מתאימים לשימוש בכל המקרים, אלא במקרים ספציפיים של גישה מרחוק, אבל ארגונים רבים משתמשים בהם כברירת מחדל ומקצים גישת VPN לכל דורש, מבלי להתאים בין הפתרון לצורך הספציפי של הארגון. לדוגמה, במקרה של ספקים צד שלישי, או עובדים שמשתמשים במכשיר האישי שלהם, לא מומלץ להשתמש ב- VPN", מסביר אבגי. "RDP לחילופין הוא כלי יעיל לשימוש ברשת הארגונית, אבל מסוכן לשימוש ברשת האינטרנט".
"שימושים פזיזים אלה ב-VPN וב-RDP קורים כל הזמן והעבודה מרחוק רק החריפה את המצב", מוסיף יעקב. "למעשה, כל האקר מתחיל יודע שאם ישיג גישת VPN קרוב לוודאי שיצליח לעקוף בצורה חלקה מספר רב של כלי אבטחה וכך יקבל גישה מלאה לרשת של הארגון. על רקע זה, כמות אירועי הכופרה ב-2020 היתה עצומה, כאשר ב-52% מהמקרים התוקפים השתמשו בחולשות האבטחה של שרתי RDP כדי להשיג אחיזה ראשונית בארגון".
חסרונות ה- VPN
יש אנשים שסבורים בטעות, כי VPN הוא כלי אבטחה, אולם VPN הוא כלי שמאפשר פעילות עסקית ופותח במטרה להגן על המידע שנמצא במעבר בין רשת חיצונית לרשת הארגונית. "מי שמבין את המשמעות ידאג לבטל גישת VPN במקרים בהם יש חוסר התאמה מבחינת שמירה על אבטחת המידע הארגוני", מציין יעקב.
אילו חסרונות נוספים יש בשימוש ב-VPN?
אבגי: "VPN מספק הכל או לא כלום מבחינת גישה לרשת הארגונית, מה שמגדיל את הסיכון, במיוחד כאשר צוות ה-IT וספקים חיצוניים צריכים גישה פריבילגית (Privileged Access). הסיכון גובר, באופן בלתי מוצדק לחלוטין, כאשר משתמש מקבל גישה ל-VPN מהמכשיר האישי שלו. חלק מהסכנות הנוספות הטמונות בשימוש במכשירים פרטיים נובעות ממתן זכויות מנהל מקומי (Local Admin), אי עמידה במדיניות הארגונית, שימוש בתוכנה פגת תוקף ושיתוף המכשיר עם בני המשפחה והשותפים לדירה.
"ל- VPN אין יכולות ניטור והקלטה, דבר המקשה על צוותי אבטחת מידע לתחקר אירועים, במיוחד כאשר מדובר בגישה פריבילגית", הוא מדגיש. "בנוסף, מערכות VPN לא מעודכנות עלולות לפתוח גישה אחורית (Backdoor) לאיומי אבטחה. ארגונים רבים אף מתעלמים מעדכוני גרסה (Patch) של היצרן מתוך חשש שזה יפגע בביצועים. ואם לא די בכך, אז ל- VPN קיימת מגבלה של מספר משתמשים, כך שמעל מכסה מסוימת הוא מונע ממשתמשים חדשים להיכנס ואפילו פוגע בביצועים של המשתמשים הקיימים".
מתיישרים עם עקרונות ה- Zero Trust
פורטק היא המפיצה הבלעדית בישראל של מוצרי חברת BeyondTrust האמריקאית, אשר מזה שלוש שנים נמנית עם החברות המובילות בריבוע הקסם של גרטנר, בקטגורית Privileged Access Management. במסגרת זו מקדמת פורטק מדיניות של Zero Trust בקרב לקוחותיה.
"בשנים האחרונות, הרעיון של Zero Trust זכה למומנטום משמעותי", מציין יעקב. "ריבוי סביבות מבוזרות, גידול בשימוש בענן וטרנספורמציה דיגיטלית עודדו את אנשי ה-IT למצוא דרכים בהן יוכלו להטמיע אמצעי ניטור ובקרה מבוססת Zero Trust, לשיפור האבטחה".
מהם העקרונות של מודל האבטחה Zero Trust?
אבגי: "Zero Trust, או בעברית מודל 'אמון אפס', זו צורת חשיבה וארכיטקטורת ביטחון, שמטרתן למזער את הסיכון למערכות הארגון. המודל מציע להתנהל בסגמנטים קטנים כדי לנטר ולבקר משאבי IT רגישים בארגון. כדי לעשות זאת יש להטמיע טכנולוגיה לניטור וניהול הדאטה, המשתמשים, היישומים, הנכסים ומשאבים נוספים במעבר בין הסגמנטים השונים ולערוך בדיקת אימות (אותנטיקציה) של הסגמנטים.
"מודל ה- Zero Trust דורש גישה מאובטחת ומאומתת לכל המשאבים ומכתיב את השימוש ב- Least Privilege Access. ארכיטקטורת Zero Trust מתייחסת לכל הבקשות לפתיחת גישה לרשת הארגונית כבעלות פוטנציאל להיות זדוניות - וזהו שינוי של 180 מעלות מגישת 'הכל או לא כלום' של VPN", הוא מוסיף.
יעקב: "מודל ה- Zero Trust, המסרב לתת גישה לכל אדם או מערכת כברירת מחדל, מבטא התקדמות לעבר ארכיטקטורה מאובטחת יותר. בנוסף, פתרונות Zero Trust בטוחים יותר, אמינים ובעלי ביצועים טובים יותר מאשר VPN למיניהם. יתרון נוסף הוא שפתרונות Zero Trust לעיתים קרובות פחות מורכבים להטמעה וקלים לתחזוקה".
"ניהול גישה פריבילגי (Privileged Access Management) הוא מרכיב מפתח בגישת ה- Zero Trust. פתרונות PAM יכולים לסייע לארגונים להשיג את כל היתרונות שתוארו מעלה - מאבטחת גישה מרחוק למשתמשים פריבילגים וספקים ועד הטמעת גישה של מינימום הרשאות בקרב משתמשים, אירועים ספציפיים, נכסים וכיוצ"ב, על מנת לנהל בצורה טובה את כל ההרשאות והמידע השמור", מסכם אבגי. "על-ידי מינוף של פתרונות PAM תוכלו ליישר קו עם מדיניות ה-Zero Trust שלכם כדי להפחית משמעותית סיכוני סייבר ולהבטיח שכל דרכי הגישה לרשת מאובטחות, מנוהלות ומתועדות".
בשיתוף פורטק
