צרכנים מצפים כיום מהחוויות הדיגיטליות שיהיו קלות, מהירות, אינטואטיביות ומותאמות להם אישית בצורה מקסימלית. על מנת לענות לדרישות האלה ולהשיג יתרון תחרותי, חברות מרחיבות מאוד את השימוש בטכנולוגיות ושירותים מבוססי ענן, תהליך שרק הואץ מאז שנת 2020. ככל שארגונים מתמקדים בחדשנות מהירה, ובמקביל תומכים בכוח עבודה מבוזר, כך מספר הזהויות - כמו גם סוגי הזהויות והקשרים ביניהן - רק הולכים ומתרבים, הן באפליקציות עסקיות והן בעומסי עבודה בענן.
"הזהות היא שדה הקרב החדש", אמר אודי מוקדי, מנכ"ל ויו"ר סייברארק, בכנס הלקוחות הגלובלי של החברה שהתקיים בחודש שעבר. "סייברארק ממשיכה להשקיע ולממש את חזון אבטחת הזהויות, תוך הצבת הנושא כסוגיה מרכזית במסגרת המגמות העיקריות בתעשיה ובהן טרנספורמציה דיגיטלית, מעבר לענן, חדשנות בבלימת מתקפות ועמידה בתקינה. גישת האבטחה של סייברארק, המתמקדת בהרשאות פריבילגיות, מסייעת לארגונים לאמץ ולהתאים אסטרטגיה מבוססת סיכונים בכדי להתגונן מפני מתקפות על זהויות, בזמן שהם תומכים בכוח עבודה מבוזר, מאמצים את השימוש בענן וטכנולוגיות ענן חדשות, ומספקים חוויות לקוח חיוביות".
כל הדרכים מובילות לזהות
לפני מספר שנים רק קבוצות קטנות של משתמשים (בעיקר אנשי IT בעלי הרשאות אדמין) נחשבו לפריבילגיים, אך בסביבת המחשוב כיום, כל זהות - בין אם של לקוח, של עובד מרוחק, של ספק צד שלישי, מכשיר או אפליקציה - יכולה להפוך לפריבילגית בתנאים מסויימים, וכך לאפשר נתיב תקיפה לנכסי המידע יקרי הערך ביותר של הארגון.
לפי מחקרים, 79% מהחברות חוו פריצה הקשורה לזהות במהלך השנתיים האחרונות. כמו רבים אחרים, מתקפת SolarWinds על שרשרת האספקה הדיגיטלית כללה פריצה לזהות ומניפולציה של גישה פריבילגית. אל מול איומים מודרניים אלה, ברור שהזהות הפכה לשדה הקרב החדש של האבטחה, ולפיכך גישה של "assume breach" (הנחת עבודה שפריצה תתרחש מתישהו), המבוססת על עקרונות "אפס אמון" (Zero Trust) היא קריטית לגמרי.
הגישה של סייברארק לאבטחת זהויות
גישת אבטחת הזהויות של סייברארק מתבססת על ניהול גישה פריבילגית ומתמקדת באבטחת זהויות אינדיבידואליות - זהות אנושית או זהות מכונה - לאורך כל תהליך הגישה לנכסי מידע קריטיים. המשמעות היא, שניתן לאמת את הזהות באופן מדויק, להסמיך אותה בהרשאות המתאימות ולתת לה גישה לנכסים פריבילגיים באופן מובנה - הכל בדרך שניתנת לבקרה, על מנת להבטיח שהתהליך כולו מפוקח ומאובטח.
מאז שחשפה את חזון אבטחת הזהויות בשנה שעברה , סייברארק ניהלה שיחות רבות עם מנהלים בתחום אבטחת הסייבר. "לדיונים אלה יש ערך רב בעיצוב האסטרטגיה של החברה ובסיוע בהפצת תפיסת העתיד שלה בתעשייה", הדגיש מוקדי.
מינוף התובנות האלו - במקביל להתמקדות בחדשנות - הם שהביאו להרחבה, בשנה האחרונה, של פלטפורמת אבטחת הזהויות של סייברארק (CyberArk Identity Security Platform) לכלל מערך מקיף של פתרונות תוכנה כשירות (SaaS) ושירותים מנוהלים. פתרונות אלה מתמקדים בניהול גישה פריבילגית, כאשר הפלטפורמה מספקת ללקוחות גישה אחודה והוליסטית לאבטחת גישה קבועה או דינאמית של כל משתמש, בכל סוגי היישומים או המערכות, מכל מקום ומכל מכשיר.
חידושים נוספים להגנה בסביבות ענן והיברידיות
לאחרונה, חשפה סייברארק חידושים נוספים בפלטפורמת התוכנה והשירותים על מנת לאפשר לארגונים לאבטח גישה ברמה גבוהה ולהבטיח הגנה בסביבות ענן והיברידיות. בין החידושים:
CyberArk Dynamic Privileged Access: גישה פריבילגית דינאמית המביאה לצמצום דרסטי של הסיכון לגישה קיימת באמצעות גישת "בדיוק בזמן" (just in time) לעומסי עבודה היברידיים ובענן כאשר היא מתחילה בלינוקס ו-Windows Virtual Machines. הגישה הפריבילגית הדינאמית של סייברארק כוללת גם יכולות ביקורת (audit) מלאות המספקות תובנות לגבי מי קיבל גישה ומתי. רק סייברארק מאבטחת גישה קבועה ודינאמית בסביבות היברידיות ומרובות עננים, תוך אכיפת בקרה של מינימום גישה פריבילגית.
CyberArk Secure Web Sessions: תוספת של שכבות אבטחה לגישה לאפליקציות מבוססות דפדפן עתירות סיכון, המסופקות באמצעות ניטור רציף, אכיפה של אימות חוזר ובידוד של תהליכים זדוניים הנובעים ממכשירים של משתמשי קצה. Secure Web Sessions מאפשרות לארגונים לתעד ולפקח על התנהגות משתמשים בעלת סיכון ביישומי ווב תוך שמירה על חוויית שימוש חלקה.
CyberArk Lifecycle Management for Privileged Users: זוהי הרחבה של יכולות קיימות המאפשרת כעת ללקוחות להאיץ את תהליך הקליטה של עובדים חדשים, לרבות עובדים עם גישה פריבילגית, ולעמוד ביעילות בדרישות ביקורת ועמידה בתקנות. הרחבה זאת משתלבת בפתרונות ניהול זהות של משאבי אנוש ומספקת לארגונים גמישות נוספת.
בנוסף לפתרונות SaaS חדשים אלה, חשפה סייברארק שירותי ענן קלאוד נייטיב (cloud native) משותפים חדשים הזמינים ללקוחות המריצים את סייברארק על שרתי הארגון, בענן הפרטי שלהם, או בשירותים מנוהלים על-ידי סייברארק. השירותים כוללים ניהול זהות אחוד, שכבה של אימות זהות והסמכה, אנליטיקה של אבטחת זהות המבוססת על בינה מלאכותית, סוכן זהות משולב, ועוד. שירותים חדשים אלה מספקים התייעלות דרמטית ומצמצמים את הסיכונים לצוותי האבטחה.
בתגובה למשוב נרחב מקהילת המפתחים של סייברארק (CyberArk Commons Community), הכוללת מהנדסים ומומחי אבטחה, החברה השיקה גם את Conjur Cloud, גרסת SaaS של פתרון ניהול הסודות של Conjur מבית סייברארק.
חוקרי מעבדות סייברארק עקפו את מנגנון זיהוי הפנים של מיקרוסופט
"מעבדות סייברארק" חשפו בימים אלה חולשת אבטחה שמצאו במנגנון האימות הביומטרי של מיקרוסופט, Windows Hello, מנגנון המאפשר למשתמשים להיכנס למחשב שלהם באמצעות טכנולוגיה של זיהוי פנים.
Windows Hello היא מממערכות האימות ללא-סיסמה הפופולריות ביותר, לפי מיקרוסופט, כאשר 85% ממשתמשי Windows 10 משתמשים במערכת.
עומר צרפתי, חוקר במעבדות סייברארק: "גילינו תכנון שמאפשר לתוקף לעקוף את מנגנון זיהוי הפנים של Hello ולהיכנס למחשב של הקורבן. תוקף עם גישה פיזית למכשיר יכול לזייף את תהליך האימות על-ידי ייצור תמונה של פניו של הקורבן ובהמשך חיבור של מכשיר USB שהותאם במיוחד כדי 'להזריק' את התמונות המזוייפות למנגנון האימות.
"המחקר של סייברארק התמקד ב-Windows Hello ובגרסת האנטרפרייז שלו (הגרסה הארגונית) Windows Hello for Business, אולם באמצעות הטכניקה הזו, כל אימות זיהוי פנים שמסתמך על מצלמת USB – נמצא בפוטנציאל סיכון ועלול לאפשר גישה למחשב של המשתמש הנתקף ולרשת אליה הוא מחובר", הוסיף צרפתי.
צוות מעבדות סייברארק דיווח למיקרוסופט על החולשה שמצא וסייע במציאת צעדים להפחתת הסכנה לארגונים ברחבי העולם. בעקבות שיתוף פעולה עם חוקרי סייברארק, מיקרוסופט פרסמה תיקון תוכנה, שמקטין את משטח המתקפה. צעדים אלה מקשים על מימוש התקיפה אבל לא מונעים אותה לחלוטין.
חוקרי סייברארק יציגו את ממצאי המחקר בכנס Black Hat 2021 ב-4 באוגוסט 2021.
