דווקא בתחום בו האמון הוא אחד הדברים החשובים, דווקא בדיסציפלינה בה יושרה (Integrity) היא אחד משלושה עקרונות אותם מקדם כל מומחה, דווקא באלו התפתחה גישת ה-Zero Trust ("אפס אמון") שמשתדלת לא לבטוח בשום דבר ולהתייחס גם לישויות או לפריטים בסביבה הקרובה כלא בטוחים או אף מסוכנים.
במשך שנים, כשגישת הפרימטר שימשה את עולם הסייבר להגן על ארגונים וחברות, הנחת העבודה היתה שבניית אזור פנימי מוגן יותר, התמקדות בהגנה על גבולותיו, זיהוי כל תנועה חשודה, איתור כל מעבר של אינפורמציה לא מוסברת פנימה או החוצה וחקירתה, יובילו להצלחה בהגנה על הארגון, ולא יפגעו בפעילות השגרה שלשמה הארגון למעשה קיים. צורת הגנה זו היתה שימושית ויעילה בעולם בו ארגון היה יישות וסביבה מוגדרת היטב, על פי רוב גם גיאוגרפית, ונכסיו העיקריים של הארגון או החברה היו בתוך הקמפוסים בו הארגון פעיל. המידע היה אגור במאגרי החברה המצויים בדרך כלל בחוות שרתים גדולה, כשבתוך הארגון, החלק העיקרי של העבודה היה נעשה בתוך סביבת הקמפוס באמצעות מחשבים ופלטפורמות שנמצאות בחברה. תיאור ארגוני זה היה אופייני לרב ארגוני העולם בין שנות ה-60' של המאה הקודמת ועד לפני כעשר שנים. גם כיום קיימים ארגונים שאלמנטים בתיאור הזה עדיין תקפים לגביהם.
בעשור האחרון העולם השתנה דרמטית בכך שחלק מרכזי מנכסי הארגון אינם נמצאים באופן קבוע בתחומו הווירטואלי או הפיזי. חלקים מרכזיים של המידע הארגוני עברו להיות מאוחסנים בעננים ציבוריים או פרטיים מחוץ לארגון, פלטפורמות SAAS כדוגמת Salesforce, Monday, Workday הפכו להיות חלק מהאפליקציות הארגוניות המרכזיות ובארכיטקטורת היסוד שלהם, המידע והתהליכים המלווים נשמר במקום כלשהו שבאחריות חברת ה-SAAS.
זאת ועוד, העובדים בימינו מעוניינים להמשיך ולעבוד גם לאחר שעות העבודה או מחוץ למשרד ועל כן המידע נגיש אליהם גם מהמכשירים הניידים שברשותם. התופעה מאד נוחה גם למעסיק ועל כן היא מאופשרת בקלות. לאחר הקורונה, גם הרגלי העבודה השתנו והעבודה מהבית חלק מסויים של ימי השבוע הפכה להיות נחלתם של חברות וארגונים רבים במשק. הצורך במתן אפשרות עבודה זו לעובדים רבים בחלק מימות השבוע, ולאחדים אף באופן קבוע, הפכה להיות דרישה ארגונית שנדרש לתת לה מענה. שינויים מרכזיים אלה יצרו מצב עולמי חדש בו חלק משמעותי של המידע, התהליכים, הנתונים והפעילות מתרחשים מחוץ לסביבת קמפוס הארגון או החברה. שיטת הפרימטר הפסיקה להיות אפקטיבית ונדרש היה למצוא דרכים חדשות כדי להגן סייברית על הארגונים.
לבנות את האמון מחדש
דורות חדשים של פתרונות החלו להיוולד כדרך להתמודד עם המצב העולמי שנוצר. משפחת פתרונות ה—DSPM, המנסה להסתכל על המידע ללא קשר למקום בו נמצא, היא תוצאה של השינוי; עשרות פתרונות חדשים שמתמודדים עם כל הסביבה העננית שנוצרה גם הם דרך לטפל בחלק מהמרחב החדש; מערכות המגנות על השימוש בפלטפורמות SAAS גם הן תוצאה של השינוי; וכן עלייה משמעותית של חשיבות ההזדהות כדרך לאשר את המשתמש, ללא קשר לרצונו להתחבר לסביבה הארגונית הפיזית או העננית.
גישה אחרת שהתפתחה כחלק מהפתרונות לשינוי היא גישת ZERO TRUST.
בתחילת דרכה החלה השיטה לשפר את החיבורים הרשתיים של ארגונים, החל מחיבורים חיצוניים למשאבי רשת דרך חיבורים שונים אליה בתצורות ובמיקומים מגוונים. קטגוריית הSASE- (Secure Access Service Edge) התפתחה כמשפחה מעשית רחבה יותר המשפרת אזורי חיבוריות מגוונים, לרבות החיבור לענן, הממשקים לאינטרנט והדרישות לחציצה מול סביבות נוספות. המוצרים שהמשיכו להיקרא ZERO TRUST התמקדו יותר בעולם ההזדהות, אולם הגישה הרחבה המשיכה לתפוס תאוצה. משפחות ה-SECURE BROWSING, שקיבלו תנופה אדירה בשנים האחרונות, מייצרות גם הן, במידה רבה, חציצה ואפשר לראות בהן צורת מימוש לגישת ה-ZERO TRUST.
כשמנתחים את עולם ה-ZERO TRUST, מגלים שלמעשה אין מדובר במוצר או במשפחת מוצרים, כי אם בתפיסה הגורסת שכבר לא ניתן לסמוך על סביבה ספציפית או על סמיכות גיאוגרפית, אלא יש לעצור ולבדוק, לחזור ולבנות את האמון מחדש עם כל משאב רשתי, תהליך, פונקציה או התקן, בטרם מתחילים בפעולה איתו.
תפיסה זו מקבלת משנה תוקף ומשמעויות חדשות בעידן שבו עולם ה-AI מכניס יכולות ותהליכי עבודה חדשים מצד אחד, וחושף אתגרים ואזורים חדשים להגן עליהם מצד שני. אם עד תקופתנו תרחיש אפשרי כלל מצב בו תוקף נעזר בנכסים של משתמש על מנת להתחבר למשאבי רשת, בעידן ה-AI, תוקפים עלולים להשתמש בסרטון FAKE שהוכן עבור ארגון ובו משתמש ספציפי מנחה עובד אחר לעשות פעולה, או לאפשר כניסה. מנגנונים משוכללים שיפותחו בשנים הקרובות יממשו את תפיסת ZERO TRUST ויגנו על הארגון מפני תרחישים כאלה. שיטות אחדות ינסו לחסום סרטים שידעו להצביע עליהם כבעייתיים, מתוך ניתוח המדיה או קבלת דירוג חיצוני, ואילו שיטות מסויימות יבנו מנגנון של הזדהות ומתן אמון במקור או בסביבה הדיגיטלית ממנה מגיע הסרטון.
צעד אחד יותר מדי
כאשר ממשיכים לפתח את תפיסת ה-ZERO TRUST, מבינים שזו איננה טכנולוגיה ספציפית, אלא צורת חשיבה שמטילה ספק בכל מרכיב ואיננה מקבלת דבר מבלי שנבדק ואומת סמוך לרגע האינטראקציה. כאשר חושבים כך על התפיסה היא מגיעה למקומות נוספים. ניתן ליישם חלקים מהתפיסה בצורת העבודה של ארגונים עם לקוחות, שותפים וספקים. אנו רואים שימוש בחלק מעקרונותיה גם בהתייחסות לשימוש בקטעי קוד ובספריות פתוחות במסגרת תהליכי פיתוח. אנחנו נראה הקשרים שונים של התפיסה בהתייחסות לעובד הבודד בארגון, וכן נראה הקשרים שלה גם בחיבור של התקנים הקשורים לסקטור, החל מהתקני IOT וכלה בהתקנים השייכים לסקטור הבריאות, האנרגיה ועוד.
ניתן אף להמשיך בפיתוח התפיסה גם לאזורים שאינם טכנולוגיים באותה מידה. למשל, האם עלינו לשקול לקחת את התפיסה גם לרמת ה-CISO הארגוני?
ה-CISO, שאחראי על הגנת הסייבר בארגון, מצא עצמו במקרים מסויימים בשנים האחרונות במצב בו הנהלת החברה מבקשת ממנו להסתדר עם תקציב מסויים. ההנהלה רוצה לדעת האם הוא ביצע את דרישות הרגולציה, כאשר אנשיו מקדמים את המשימות עד כמה שניתן עם מגבלות מרובות של תעדוף כללי בארגון, ובמידה ותהיה תקיפת סייבר, באופן ברור יש אחראי אחד בארגון וזה הוא/היא. האם גם בצורת ניהול ה-CISO יש מקום לשקול ZERO TRUST? כנראה שזו כבר הליכה צעד אחד יותר מדי עם הרעיון. לפי שעה, כל עוד ה-CISO וצוותו הם בני אדם אמיתיים, נראה שאת האמון בין צוות הסייבר ל—CISO ולהנהלה רצוי עדיין להמשיך לנהל בשיטות המסורתיות.
סוגיות אלו ואחרות יידונו בשבוע הסייבר, אחד מכנסי הסייבר המובילים בעולם ואבן יסוד בתעשיית אבטחת הסייבר העולמית, שיתקיים זו השנה ה-14 באוניברסיטת ת"א, בין ה-27-24 ביוני 2024, בהשתתפות מומחים, חוקרים ומובילי חברות סייבר רבות
הכותב הוא מנהל בכיר ומומחה בתחום הסייבר. משמש כ—CSO של מרכז הסייבר של אוניברסיטת תל-אביב, ה—ICRC, וכן כיועץ של חברות ודירקטוריונים בתחום. בעברו שימש מנכ"ל קבוצת פתרונות הסייבר של DELL, ו—SVP בחברת Sygnia. לפני כן היה שנים במערכת הביטחון ביחידות אמ"ן ובמשרד הביטחון ובין היתר זכה בפרס ביטחון ישראל על אחד מהישגיו. חבר בוועדה המארגנת של Cyber Week ומשמש כיו"ר כנס המחקר והאקדמיה, שולחן עגול סינגפור ישראל ועוד
