הזהויות הדיגיטליות הן שדה הקרב הבא של הסייבר

הזהויות הדיגיטליות, שמספרן מגיע למאות ואלפי זהויות לארגון, יוצרות חוב אבטחה (cybersecurity debt) שהולך ומצטבר. אודי מוקדי, מנכ"ל ומייסד סייברארק, טוען שאבטחת זהויות צריכה לעמוד כיום בעדיפות עליונה של כל חברה ומציג תוכנית לסילוק חוב האבטחה

שיתוף בוואטסאפ

תגובות:

"אחד החובות שהולכים ומצטברים כיום במימדים מדאיגים הוא חוב הזהויות הדיגיטליות" צילום: shutterstock

יואל צפריר, בשיתוף סייברארק

תוכן שיווקי

26 ביוני 2022

חוב הוא כמו כל מלכודת - קל להיכנס אליו, אבל קשה לצאת ממנו. כמו בחיים, כשרוצים לרכוש בית או להשיק אפליקציה חדשה עבור הלקוחות, אנחנו לוקחים על עצמנו חוב - מבצעים את הרכישה היום, באמצעות דחיית התשלום למחר. אך מתברר שגם בעולם האבטחה יש חובות.

חוב האבטחה הוא סוג של "חוב טכני" - מונח שהוטבע לראשונה על-ידי מפתח התוכנה Ward Cunningham כדי להסביר את העלות העתידית של עבודה מחדש על פתרון שלא תוכנן עד הסוף, או כראוי, מההתחלה.

חוב האבטחה מתייחס ספציפית לחולשות אבטחה שלא טופלו ומצטברות בסביבת המחשוב הארגונית ככל שנוספות עוד ועוד מערכות וטכנולוגיות חדשות עם הזמן. כשחוב האבטחה אינו נפרע מיידית, ובמילים אחרות - אם לא מטפלים בנושאי אבטחה בזמן אמת - מצטברת במהירות "ריבית" וכך, עם הזמן יהיה קשה יותר ויקר יותר לתקן את אותם קיצורי הדרך.

"אחד החובות שהולכים ומצטברים כיום במימדים מדאיגים הוא חוב הזהויות הדיגיטליות", אומר אודי מוקדי, מנכ"ל ומייסד סייברארק. "הצטברות החוב חושפת ארגונים לסיכונים מוגברים, כגון: דליפת סיסמאות, שימוש זדוני בזהות ארגונית לבצע גישה לא מורשית למידע ועוד. נוצר מצב פרדוקסלי: בעוד שארגונים רבים הולכים ומגדילים את חוב האבטחה שלהם – למשל, בזמן שהם מקדמים יוזמות דיגיטליות, כמו האצת המעבר לענן, או מפתחים שירותים דיגיטליים חדשים ותומכים במודלים של עבודה מכל מקום - הם מזניחים אמצעי הגנה מבוססי זהויות".

המעבר לענן הכפיל את הסיכון
כל יוזמת מחשוב או דיגיטציה ארגונית מרכזית מובילה לגידול במספר האינטראקציות בין בני אדם, יישומים ותהליכים, מה שמוביל להיווצרותן של זהויות דיגיטליות רבות - של בני אנוש ושל מכונות. השימוש בזהויות דיגיטליות אלו מקל על האינטראקציות ועל הגישה של גורמי צד שלישי למידע ארגוני רגיש ולנכסי מידע הנדרשים כדי לבצע עבודה או פונקציה כלשהי.

שימוש ביותר ויותר אוטומציה והסתמכות על סביבות מחשוב היברידיות ושירותים מבוססי ענן יצרה "'אפקט מכפיל". הזהויות מפוזרות כיום בכל מקום - בענן, על תחנות קצה, בתהליכי הפיתוח ולרוחב שרשרת האספקה. אפקט המכפיל פירושו עוד סיכון. זו הסיבה שבסייברארק קוראים לזהות "שדה הקרב הבא של אבטחת הסייבר".

לפי סקר אחרון של סייברארק, תחת הכותרת "דו"ח מפת האיומים בנושא אבטחת זהויות", לעובד.ת ממוצע.ת יש כיום יותר מ-30 זהויות דיגיטליות. יותר מכך, מספר זהויות המכונה עולה כיום על מספר הזהויות האנושיות פי-45 בממוצע.

המתקפות המזיקות ביותר כיום הן כמעט תמיד תוצאה של תוקף שמנסה להשיג גישה להרשאות ולנצל לרעה את הזהויות עם גישה פריבילגית גבוהה. אין ספק שמטרתם המרכזית של התוקפים היא להתמקד בזהויות.

התפוצצות הזהויות
כאשר זהויות דיגיטליות אלו אינן מנוהלות ואינן מאובטחות, הן עלולות להוות סיכון סייבר משמעותי. מהסקר הגלובלי של סייברארק, שנערך בקרב 1,750 מקבלי החלטות בתחום אבטחת המידע, עולים הממצאים הבאים:

ל-68% מהזהויות הלא-אנושיות או מהבוטים יש גישה לנתונים ונכסי מידע רגישים.

87% מהארגונים מאחסנים סודות (secrets) במספר רב של מיקומים בסביבות DevOps, ואילו 80% אומרים שלמפתחים יש בדרך כלל יותר הרשאות פריבילגיות ממה שדרוש להם לביצוע תפקידם.

64% ממנהלי האבטחה מודים שארגוניהם אינם מסוגלים לבלום מתקפה על שרשרת האספקה.

"בשנים האחרונות בוצעו השקעות חסרות תקדים במיזמים של טרנספורמציה דיגיטלית, במטרה לענות לדרישות המשתנות של לקוחות ועובדים - שירותים דיגיטליים חדשים, מיקור חוץ על-ידי ספקים מחוץ לארגון, וכמובן אימוץ מאסיבי של תשתית ענן, שירותי SaaS ופיתוח תוכנה בענן. המגמות הללו האיצו מאוד את המספר ההולך וגדל של זהויות דיגיטליות - של בני אנוש ושל מכונות", מבהיר מוקדי. "למעשה, אפשר לקרוא לזה התפוצצות של זהויות, שמגיעות בממוצע ל-600,000 סך הכל עבור ארגון של כ-5,000 עובדים, כאשר 75% מהזהויות שייכות למכונות.

"השילוב של משטח התקפה גדול יותר, מספר זהויות גדול מאי פעם והשקעה פחותה באבטחת המידע - מה שאנו מכנים 'חוב אבטחת מידע' (Cybersecurity Debt) - חושף ארגונים לסיכון גדול מתמיד, אשר כבר עכשיו מביא לגידול באיומי הכופר וחולשות אבטחה בשרשרת האספקה של התוכנה", מזהיר מוקדי, שמוסיף כי "ההשקעות בתוכניות ובכלי אבטחה לא עומדות בקצב הוספת הכלים והשירותים שארגונים אימצו כדי לתמוך ברווחיות ובתהליכי צמיחה. כתוצאה מכך, החוב הזה הולך וצובר ריבית במהירות, נוכח הצורך לנהל ולאבטח את הגישה לנכסי מידע רגישים או בסיכון".

הדילמה של חוב הזהות הדיגיטלית עם הריבית הגבוהה
זהות אחת בארגון שנפרצה מספיקה לגורם זדוני מחוץ לארגון או מתוכו כדי להתחיל מתקפה. משם הוא עולה ברמת ההרשאות הפריבילגיות כדי לנוע עמוק יותר בסביבת המחשוב, תוך חיפוש אחר נכסי מידע בעלי ערך. זו כנראה הסיבה לכך שמשיבים לסקר של סייברארק דירגו את הגישה להרשאות כגורם הסיכון מספר אחת שלהם. עם זאת, 79% ציינו שהארגון שלהם לא נתן עדיפות להגנה על מידע קריטי ונכסים רגישים. במקום זאת, הארגונים שלהם מקדמים במלוא המרץ יוזמות שלדברי המשיבים עלולות להוסיף ממד סיכון משמעותי.

הדיסוננס הזה יצר חוב אבטחה רציני, שממשיך לעלות ככל שה"ריבית" מצטברת בצורת זהויות חדשות ובלתי מנוהלות בכל רכיב מרכזי של תשתית ה-IT.

המחיר (הטרייד-אוף) של הטרנספורמציה הדיגיטלית הארגונית
כמו בחיים האישיים שלנו, רמה מסוימת של חוב היא לעיתים כורח המציאות. אם אתם צריכים לקנות מכונית חדשה כדי לנסוע ולחזור מהעבודה, ייתכן שתצטרכו לקחת הלוואה. באותה מידה, לארגונים רבים אין ברירה והם חייבים להאיץ פרויקטים שיתמכו בתפעול השוטף במהלך אתגרי העבודה מרחוק, ויש לזה מחיר לאורך הדרך.

כמעט כל הארגונים שנסקרו (99%) סיפרו שהאיצו יוזמה עסקית או יוזמת מחשוב ב-12 החודשים האחרונים במסגרת המאמצים להגביר גמישות ובידול תחרותי. 79% מהמשיבים הסכימו שב-12 החודשים האחרונים, ארגונם נתן עדיפות לתחזוקת התפעול העסקי על פני אבטחת מידע איתנה. לעומת זאת, פחות ממחצית (48%) התקינו בקרת אבטחת זהויות ביישומים קריטיים לעסק.

לבנות תוכנית סילוק חוב ישימה
המפתח, קובע מוקדי, הוא לטפל בחוב באופן אחראי, לפני שהוא נהיה כבד מדי, או גרוע מזה – הופך ל"פשיטת רגל". ארגונים מסתכנים בכך אם לא הצליחו להתאים את עצמם לקצב השינויים הטכנולוגיים, בגלל החלטות אבטחה אומללות.

כמעט כל המשיבים בסקר אימצו אבטחה במודלים של Zero Trust בהתאם לגישת "לא לבטוח בכלום, לבדוק הכול", כאשר רק מחצית מהם (50%) העניקו עדיפות להטמעה של כלים לאבטחת זהויות כאחד משלוש היוזמות החשובות למימוש.

נוכח מתקפות כופר בלתי פוסקות ואיומים חדשים אחרים, הם נוקטים בגישה הוליסטית יותר לטיפול בחוב האבטחה ובמאמצי הפחתת הסיכון - לא רק בהדגשת הבקרות הטכניות החשובות כמו MFA (אימות רב-שלבי) והרשאה פריבילגית מינימלית (least privilege), אלא גם יוזמות שמציבות את האנשים במרכז, כמו הדרכות המגבירות מודעות לאבטחה כדי להטמיע התנהגות מודעת-לאבטחה בתרבות הארגונית. גישת זו של הגנה לעומק משקפת מנטליות רווחת של “assume breach” (לצאת מנקודת הנחה שיש פריצה), ש-82% מהמשיבים אומרים שאימצו.

היציאה מחוב אבטחה דורשת זמן ולארגונים רבים יש הרבה עבודה לעשות. מוקדי מבהיר כי הכנת תוכנית עבודה מבוססת סיכונים יכולה לסייע להם לזהות דרכים לבצע "תשלומים" מהירים, בהחזר גבוה, ואז לגבש לוח זמנים מעשי כדי לצמצם את חוב האבטחה שנותר. עם תוכנית סיכונים ממוקדת זהויות, ארגונים יכולים למעשה לחזק את ההגנה שלהם כנגד איומים חדשים, ולקדם יוזמות מרכזיות שידחפו את העסקים שלהם קדימה.

אז מה עושים?
פועלים ליצירת שקיפות: 85% מהמשיבים לסקר ציינו ש"רשימת המרכיבים" לפיתוח תוכנה היתה מצמצמת את הסיכון לפגיעה הטמון בשרשרת האספקה של התוכנה.

מאמצים אסטרטגיות לניהול גישה רגישה: שלושת האמצעים המובילים שאימצו או מתכוונים להשיק המנמ"רים ומנהלי האבטחה בסקר הם: ניטור וניתוח בזמן אמת כדי לערוך ביקורת על פעילות של גישות פריבילגיות ; עקרונות של אבטחה פריבילגית מינימלית / עקרונות Zero Trust בתשתית שמריצה יישומים עסקיים קריטיים ; ותהליכים המבודדים יישומים עסקיים קריטיים מהתקנים מחוברים לאינטרנט על מנם להגביל את התנועה הרוחבית.

מעניקים עדיפות לבקרת אבטחת זהויות כדי לאכוף עקרונות Zero Trust: שלוש היוזמות האסטרטגיות המובילות לאכיפת עקרונות Zero Trust הן אבטחת עומסי העבודה, כלי אבטחת זהויות ואבטחה של הדאטה.

"סייברארק מספקת גישת security-first (אבטחה תחילה) כדי להגן על זהויות, תוך התמקדות בניהול גישה פריבילגית", מסכם אודי מוקדי, מנכ"ל החברה. "פלטפורמת אבטחת הזהויות של סייברארק מספקת פתרון מקיף להגנה על זהויות - אנושיות או של מכונות - באפליקציות ארגוניות, בכוח עבודה מבוזר, בעומסי עבודה היברידיים בענן ולאורך כל תהליכי הפיתוח ב- DevOps".

בשיתוף חברת סייברארק (CyberArk)

חזרה למדור