בעולם המודרני, אחת מהמטרות ה"חמות" של תוקפי סייבר הן שרשראות האספקה של פיתוח תוכנה. כשאותם תוקפים פותחים במתקפה על שרשרת אספקה, הם למעשה פוגעים בנקודת התורפה של שוק התוכנה והשירותים המכוונים - התלות של החברות בעדכוני התוכנה של ספקיות התוכנה שלהן. התוקפים שפועלים במרחב הזה מנצלים יותר ויותר חולשות בתהליך הפיתוח והפריסה של התוכנה ומנסים לחבל בו, החל מגניבת קוד ועד למניפולציות שמתבצעות עליו. ארגונים נדרשים לנקוט בגישה פרו-אקטיבית ומודרנית כדי להגן על תקינות התוכנה שלהם ועל הלקוחות והמוצרים שלהם.
בדצמבר 2020 פרץ גורם זר לשרתים של חברת סולרווינד (SolarWind), ובהמשך הצליח לחדור גם למחשבים של הממשל האמריקאי, במה שזכה בזמנו לכינוי “מתקפת שרשרת האספקה החמורה ביותר שהתרחשה אי-פעם בארה"ב". המתקפה המדוברת של הפריצה לתוכנה של סולרווינד הביאה לתקיפה של שורה ארוכה של גופי ממשל וחברות מרכזיות במשק האמריקאי.
במחקר שנערך על-ידי מומחים מחברת Argon Security, שנרכשה לאחרונה על-ידי אקווה סקיוריטי, נמצא כי התקפות על שרשרת אספקת התוכנה צמחו ביותר מ-300% ב-2021 בהשוואה ל- 2020 ושמרבית הארגונים עדיין חשופים להתקפות אלה. "מספר ההתקפות בשנה האחרונה וההשפעה הנרחבת של התקפה בודדת מדגישים את האתגר האדיר שצוותי אבטחת יישומים מתמודדים עמו", אומר ערן אורז'ל, מנהל תחום מכירות ולקוחות ב-Argon. “לצערנו, לרוב הצוותים חסרים משאבים, תקציב וידע להתמודד עם התקפות על שרשרת האספקה. לצוותים שמתמודדים עם אתגרים כאלה, כמו צוותי AppSec, פיתוח ו-DevOps, צפויים עוד אתגרים רבים בדרך להתגבר על מתקפות אלו".


תהליך שרשרת אספקת התוכנה הוא מרכיב מרכזי במחזור החיים של פיתוח היישומים המודרני. כדי לטפל בבעיה, צוותי אבטחה צריכים לחזק את שיתוף הפעולה עם צוותי DevOps, ליישם אוטומציה של חיזוק האבטחה בתהליכי הפיתוח ולאמץ פתרונות אבטחה חדשים, שנועדו לאבטח את תהליך פיתוח התוכנה כנגד גל חדש זה של התקפות מתוחכמות. "בכל 15 שניות משחררות ספקיות שירותי הענן המובילות תוכנות וגרסאות. התעשייה זקוקה ודורשת גישה חדשה, שתסייע לה להתמודד עם האיום של מתקפות על שרשראות האספקה שמעולם לא היה גדול יותר", מאפיין את המצב אילון אלחדד, מנכ"ל ומייסד-שותף ב-Argon.
מניעה, זיהוי ותגובה
Argon שהוקמה לפני כשנה על-ידי אילון אלחדד ועילם מילנר, מספקת פתרון agentless המאפשר חיבור לפלטפורמות ה-DevOps הקיימות בהן משתמשות חברות תוכנה כדי לבנות ולשחרר גרסאות תכנה לעולם. המוצר של החברה ממפה באופן מיידי את כל תהליך שרשרת האספקה של התוכנה ובאמצעות מנוע ייעודי, המתבסס על מסגרת אבטחה שנכתבה על-ידי Argon עצמה, יוצר תיעדוף חכם של הנקודות הפגיעות בתהליך ומגן עליהן בצורה אוטומטית. בנוסף, החברה פיתחה טכנולוגיה ייחודית המאפשרת לזהות ולמנוע שינויים זדוניים של קוד בזמן שהוא נמצא בתהליך השחרור, המסתמך, בין היתר, על עקרונות הנמצאים בחזית הטכנולוגיה. החברה הציגה צמיחה והצלחה עסקית במהירות ובתוך חצי שנה מהשקת המוצר שלה, הוטמע הפתרון אצל עשרות חברות תכנה ברחבי העולם.
כאמור, החברה נרכשה על-ידי חד-הקרן אקווה סקיוריטי (Aqua Security), המפתחת פתרונות אבטחת מידע לסביבות ענן, לאחר שבאקווה זיהו את הפוטנציאל הגדול של המוצר. אקווה סקיוריטי היא החברה המובילה כיום בתחום אבטחת סביבות Cloud Native, כשהיא מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים, במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן.
לאחר ששתי החברות הישראליות חברו יחדיו, הן מציעות לראשונה בתעשייה פתרון לאבטחת כל שלבי הפיתוח וההרצה של יישומי ענן. פלטפורמת ההגנה על יישומי סביבת הענן של אקווה (CNAPP) היא כיום הפתרון היחיד שיכול להגן על מחזור החיים המלא של פיתוח התוכנה (SDLC), החל מכתיבת הקוד, דרך בניית המערכת ועד הרצת היישום בפועל. הפתרון של Argon משלים את היכולות של אקווה בכך שהוא מספק מיפוי מלא עבור כל שחרור גרסה, שמציג את המסלול אותו עברה מזמן כתיבת הקוד, דרך הבנייה שלו ועד האריזה וההתקנה. כאשר משלבים זאת יחד עם היכולות הקיימות של אקווה, וביניהן ניתוח האיומים הדינאמי (DTA) שלה, מאפשרים ללקוחות המשתמשים בפלטפורמה לתת אמון בקוד שהם משחררים.
"יש הרבה רעש בשוק ההולך וגדל של אבטחת יישומי סביבת הענן, אבל כמעט ואין חברות המציעות יכולות הגנה אמיתיות ליישומים האלה, שמונעות התקפות", אומר דרור דוידוף, מנכ"ל ומייסד שותף באקווה סקיוריטי. "הטכנולוגיה הייחודית של Argon הופכת אותנו לספקית היחידה בתעשייה שבאמת מסוגלת לספק הגנה אמיתית ומלאה על תהליכי הפיתוח, לצד פריסה והפעלה של יישומי הענן, ובכך לספק ללקוחותינו הגנת יישומים בענן, מקצה לקצה".
מובילה בתחום אבטחת סביבות Cloud Native
אקווה סקיוריטי (Aqua Security) היא החברה המובילה בתחום אבטחת סביבות Cloud Native. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: בנקים, חברות ביטוח, ממשל, שירותים פיננסים, מדיה, ייצור וקמעונאות. הפלטפורמה של אקווה מאבטחת מגוון רחב של סביבות ענן ציבורי ופרטי: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה כ-500 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.
למידע נוסף בקרו באתר aquasec
ועקבו אחרינו ב- טוויטר
בשיתוף Argon Security





