כלכלת שירותי הענן ממשיכה להתרחב ולצמוח בצורה משמעותית. עד סוף שנת 2022 סך ההוצאה המצרפית בעולם על מנויי שימוש בתוכנות SaaS צפויה להסתכם בכ-145 מיליארד דולר. ארגונים נמצאים בליבו של הליך טרנספורמציה דיגיטלית מואץ ואימוץ השימוש באפליקציות SaaS הולך וגובר. מלבד השינוי במודל ההכנסות אצל יצרניות התוכנה ישנו גם שינוי בנקודת העבודה אצל המשתמשים. למעשה, על-פי גרטנר, 2021 תהיה השנה שבה ההכנסות של יצרניות ומפתחות תוכנה מאפליקציות SaaS תהיה גדולה מההכנסות מתוכנות המותקנות Onprem.
היתרונות העסקיים של שימוש בתוכנות SaaS כבר ברור כיום וכולל, בין השאר, מיקוד בערך העסקי לארגון, יישום מהיר בעלות הקמה נמוכה, תחזוקה זולה וסקאלאביליות וגמישות בשימוש.
גם ברפאל, חברה ביטחונית צומחת ומשגשגת שנדרשת לעמוד ברגולציה מחמירה בהיבטי אבטחת מידע, נעשה שימוש הולך וגדל בפתרונות SaaS לתהליכים עסקיים שונים, כגון שיווק, שירותי לקוחות ופיתוח. כיום מופעלים עשרות שירותי SaaS בפלטפורמות מובילות המספקות פתרונות בנושאי CRM, ERP, CSM,ALM ,DEVOPS ועוד. כמובן שמנוהל בהם מידע בלתי מסווג בלבד, אבל הם חלק בלתי נפרד מתהליכי העבודה של היחידות השונות בארגון.
האשליה - מה אנחנו לא יודעים שאנחנו לא יודעים
השימוש בתוכנות במודל SaaS יוצר לכאורה אשליה שגם נושא הגנת הסייבר כלול ב"עיסקת הרכישה" של שירותי התוכנה. אשליה זו מקורה בכך שבמודל עסקי זה, האחריות לטיפול וניהול תשתיות המחשוב והאפליקציה הן של ספק התוכנה וזו אכן נחסכת מהארגון. אולם אשליה זו אינה תואמת את המתרחש במציאות, שכן השימוש ב-SaaS מביא עימו גישת עבודה חדשה ואיתה פגיעויות פוטנציאליות המהוות עבור תוקפים משטחי תקיפה חדשים שלא היו קיימים קודם.
אשליה זו מגיעה יחד עם מספר אזורי עמימות. אחד מהם הינו בין הארגון לספק התוכנה, מכיוון שאין הגדרה ברורה או התוויה לגבי הצעדים הנדרשים להגנה בסייבר בשימוש בתוכנות SaaS. אזור נוסף של עמימות קיים בחלק מהארגונים בין היחידות העסקיות הממהרות לאמץ ולהשתמש בפתרונות SaaS לבין ה- CIO וה- CISO בשל "הקלות הבלתי נסבלת״ של הפעלת שירותי SaaS שונים, שלעיתים מתבצעת ללא תיאום ופיקוח ויוצרת למעשה Shadow IT שאינו מפוקח ומנוהל.
אז מה הסיכון?
הרוב המוחלט של כלי האבטחה המוכרים פותחו מתוך תפיסה של perimeter security. כלומר, צריך להגן על "המתחם", על נכסי מידע המאוחסנים במשאבי מחשוב בבעלות הארגון. שימוש באפליקציות SaaS לא עונה להגדרה זו, שכן משאבי הארגון מנוהלים במקום חיצוני.
למעשה, פלטפורמת ה-SaaS מאובטחת בדרך כלל בצורה סבירה והסיכון נובע מאופן השימוש בה. ישנן סוגיות שונות ורבות בהקשרי אבטחת מידע בהקשר זה, כגון שמירה והצפנת המידע המנוהל מחוץ לארגון (In rest או In motion), וניהול הגדרות והרשאות גישה שכל טעות בהן (misconfigurations) חושפת מיידית את הארגון לפגיעות, שכן, כאמור, המערכת נמצאת מחוץ ל- perimeter הארגוני.
דוגמה לכך היא תפיסה הרווחת כיום ומחויבת המציאות ובה הגישה של פלטפורמת SaaS פתוחה לאפליקציות צד ג׳ ותוספי תוכנה (Ad Ons) לשימושים שונים המופעלים על גבי מכשירי קצה פרטיים וארגוניים כאחד. בתפיסה זו המשתמשים מאפשרים - ביודעין או שלא ביודעין - נקודות גישה חדשות ולא מבוקרות לנכסי מידע יקרים של הארגון. אפליקציות ותוספים אלו עשויים להיראות תמימים, אבל חלקם זדוניים ומתחזים ומקבלים גישה למידע יקר ערך של הארגון.
במחקר שפרסמה השנה חברת Proofpoint עולה שזוהו מאות אפליקציות זדוניות שניסו לתקוף למעלה מ-55% מהלקוחות עם 22% הצלחה על-ידי שימוש בגישת OAuth (שיטה נפוצה למשל על-ידי אמזון גוגל ופייסבוק, בה רובינו משתמשים להאצלת הרשאות בין אפליקציות SaaS). בנוסף, על-פי נתונים שפרסמה מיקרוסופט, מתקפות "פישינג בהסכמה" (consent phishing) באופיס 365 בגישת OAuth כנ"ל, גדלו בצורה משמעותית מאוד בשנת 2021.
בגישות ההגנה בסייבר המסורתיות אין אפשרות לאתר ולשלוט בנקודות כשל פוטנציאליות אלו. טכנולוגיות ההגנה והכלים הקיימים והמוכרים בארגון אינם רלוונטיים לעולם עבודה חדש זה.
למשל, כלי הניטור לא פותחו מתוך ראייה שלוקחת בחשבון את מימד הסיכונים החדשים ובנוסף כוח האדם אינו מוכשר כנדרש ולפיכך גם לא קיימת משנה סדורה לטיפול ותגובה במקרים אלו.
מהתיאור הנ"ל עולה שדווקא בארגונים מתקדמים בהיבטי שימוש בתהליכים עסקיים עדכניים על גבי פלטפורמות מובילות וחדישות, עלול להתפתח "אזור עיוורון בהגנת הסייבר", אזור בו לאנשי התשתיות וההגנה בסייבר, כולל ה-SOC, אין את "השרירים" והכלים המתאימים לטפל כיום בנושא.
מה נדרש לעשות?
כמו בכל עולם פעילות חדש, היכן שיש נקודות כשל יש מי שמנצל אותן לרעה, אבל במקביל גם יש מי שמפתח פתרונות הגנה מתאימים.
פתרונות רלוונטיים, כגון CASB תפיסת Zero Trust, קיימים זה מכבר בשוק ובנוסף מתפתחים גם מענים ופתרונות נוספים בגישות חדשות ובכלים ייעודיים הפועלים במימד טכנולוגי התואם למענה לבעיה.
פתרון מעניין לדוגמה הוא של חברת Canonic הישראלית (גילוי נאות: החברה היא חלק מפורטפוליו ההשקעות של אלרון ונצ'רס). Canonic מנהלת ומבקרת את נתוני פלטפורמות ה- SaaS והאפליקציות המשמשים את הארגון, תוך מיפוי הרשאות ומשתמשים. בכך הפתרון מסייע בזיהוי אפליקציות חשודות, שגיאות תצורה בהגדרתן ואנומליות בתבניות השימוש שלהן, תוך שילוב מודעות לבעיה, שימוש במודיעין רלוונטי, וכמובן - יכולת תגובה וטיפול.
יישום פתרונות כגון אלו מצריך מודעות מצד ה-CISO והגורמים האחראים על אבטחת המידע בארגון וכן מצריך הכרה בסיכון הגלום במשטחי תקיפה חדשים אלו החושפים את הארגון למתקפות וזליגת מידע.
פתרונות הגנה חדשים
לסיכום גם ברפאל, שכאמור עושה שימוש בתוכנות SaaS רבות לצרכים עסקיים שונים, סיכון זה זוהה ואובחן וכיום ניתן לו מענה באמצעות שימוש בטכנולוגיות הגנה חדשות כאלו ואחרות.
לסיכום, כפי שראינו, המודל העסקי של כלכלת שירותי הענן SaaS מביא עימו ערך עסקי רב, אבל בד בבד גם פגיעויות ומשטחי תקיפה חדשים הדורשים יוזמה ונקיטת פעולה על-ידי הארגונים, תוך אחריות לדאוג להגנה בשילוב תפיסה ושיטות כלים חדשים. למעשה זהו עוד פרק במעגל האין-סופי של ההגנה בסייבר המוכר לכולנו - טכנולוגיה חדשה המביאה עימה איומים חדשים ומצריכה מודעות ופתרונות הגנה חדשים.
הכותב הינו בעל 20 שנות ניסיון בעולמות ניהול פיתוח התוכנה, מערכות מידע, תשתיות IT והגנת סייבר. מכהן כיום כסמנכ"ל המחשוב ומערכי המידע של רפאל (CIO) וחבר בקרן ההשקעות אלרון ונצ'רס' בה רפאל מהווה שותף אסטרטגי
